定向广告使个人数据面临受到过度监控的风险

个人数据是网络广告行业的物华天宝，是新数字经济的引擎。但我们并不是这一资源的受益者。相反，广告技术公司出售我们的个人数据攫取巨额利润，而这些数据往往是在我们不知情或未经我们同意的情况下出售的。

这一价值高达 5 万亿美元的巨大贸易涉及不同阶段的众多参与者，但尽管规模庞大，却大多不为我们所知。

让我们一起仔细看一下这个产业的幕后故事。

每毫秒都在拍卖你的数据

几乎每个应用程序都会插入广告，虽然你可能会觉得看到的广告或弹出的位置是随机的，但事实绝非如此。更有可能的是，这些广告是专门为你投送的。这意味着，使用同一应用程序的其他人可能会获得完全不同的“广告体验”。现在，我们来详细解释一下广告投送过程是如何进行的。

假如，你正在使用一款有广告的应用程序（超过三分之一的应用程序发布商依靠广告赚钱）。该应用程序的目标不外乎就是将广告位卖给出价最高的人，因此向连接应用程序发布商和广告商的平台（如 Google Ads）发出请求。然后，该平台将请求发送到另一个运行广告交易平台的平台上，该平台是一个实时拍卖广告位的地方。然后，广告交易平台会将请求通报给代表数字广告商的许多其他平台，如 Facebook Ads Manager 或 Google Display & Video 360。这些平台会分析有关用户的设备和上网行为的信息，并决定他们愿意为你投送广告的机会支付多少费用。整个过程被称为 RTB (中文：实时竞价，全称：Real Time Bidding)，在几毫秒内完成，获胜者可以在用户的屏幕上显示他们的广告。

但有一个问题：个人数据不仅会被赢得拍卖并向你展示广告的广告商看到。当广告商争夺应用程序上的广告空间时，他们都会有访问用户数据的权限，其中包括设备、位置、应用程序使用情况等信息。之所以会出现这种情况，是因为在处理或保护竞价流数据方面没有明确的规则或标准。这意味着竞拍失败的竞拍者仍可将个人数据用于其他用途。什么用途？继续往下阅览。

Google 和 Facebook 是 RTB 市场的主导者。按我们的数据显示，Google 广告服务占所有初始广告请求的 11% 以上，而支持移动应用程序和移动网站竞价的 Facebook Audience Network 约占 10%。初始请求是指应用程序发送的加载广告的请求，如果请求成功，会触发更多的广告请求。领先的移动应用内实时竞价交易平台 Applovin 排在第三位，约占所有广告请求的 7%。Amazon 广告系统（英文：Amazon Ad System）和以色列的 ironSource（运营一家广告交易所）紧随其后，分别约占 2.4% 和 1.3%。

除了广告商和出版商，广告交易平台上的另一个关键角色是数据经纪人，他们也有访问竞价流数据的权限。目的不是为用户提供广告服务，而是将这些数据重新打包，卖给自己的客户，其中可能有政府机构。而后者则可以随意使用这些“商业获取”的数据，数据不附带任何条件。一些常见的用途包括监控、移民执法和维持治安。

Z 世代（大部分为00后）的应用程序向美国政府泄露位置数据

华尔街日报最近的一篇报道完美地诠释这一趋势：一家名为 “Near Intelligence” 的消费者数据经纪商通过“直通实体”“直到今年早些时候”向美国政府承包商出售敏感的用户数据，包括来自欧盟的数据。Near Intelligence 收集的数据将落入 DCSA（中文：国防反情报与安全局）、NSA（中文：国家安全局）、NGA（中文：国家地理空间情报局）、USAF Cyber Ops（中文：美国空军网络行动）、国防部和 JCOS（中文：参谋长联席会议）手中。

尽管这些广告交易所后来声称，Near 转售数据并将其用于非广告目的违反服务条款，但它仍能这样做相当长一段时间。

Life360 是无意中向 Near Intelligence（并通过 Near Intelligence 向美国政府）提供数据的应用程序之一。Life360 是一款位于旧金山的应用程序，允许朋友和家人在同意的情况下追踪彼此的位置，尤其受 Z 世代的欢迎，被称为“最热门的返校配件 ”。该应用程序需要许多权限才能运行，例如在不使用该应用程序时，可以访问用户的大致位置，在使用该应用程序时，可以访问您的精确位置。一个应用程序需要的权限越多，与广告合作伙伴共享的数据就越多，这些数据对政府的潜在价值就越大。

有时，当应用程序的可疑数据行为被曝光并受到质疑时，它们可能会声称自己已经改变了做法。但通常情况下，它们只会稍作调整然后粉饰太平，继续营业。

The Markup 早在 2021 年 12 月就发现 Life360 正在向大约十多家数据合作伙伴出售精确位置数据，而且还赚了不少钱。Life360 随后表示，它将停止出售数据，但指出它将继续向分析公司出售精确位置数据和“聚合”位置数据。虽然 Life360 称 Near 与政府机构共享数据违反其服务条款，但该公司似乎没有采取足够的措施来防止这种情况发生。

比你想象的更常见

政府机构在没有授权令或法律监督的情况下通过不正当手段获取用户敏感数据的做法很常见，尤其是在数据保护法律不健全的国家。这种情况基本上无处不在，欧盟可能是个例外。数据经纪人肆无忌惮地参与这种秘密交易，甘愿承受任何可能带来的声誉损失。

除了广告交易平台，数据经纪人获取数据的另一种常见方式是直接通过应用程序。有些应用程序可能会分享精确的位置信息，有些则会分享您的设备类型、姓名或电话号码等。更重要的是，所有数据都与用户的移动广告标识符相关联，或者换句话说，与分配给设备的唯一 ID 相关联。随着从不同应用程序和其他在线及离线来源（如社交媒体资料和公共记录）获取信息，数据经纪人对了解会逐渐加深。最后，数据经纪人就能建立起你的独特个人档案。

因挖掘应用程序数据而声名狼藉的数据经纪人之一是 SafeGraph，我们去年曾详细报道过案例。简而言之，SafeGraph 从使用其 SDK（软件开发工具包）的应用程序中获取了位置数据。SDK 是应用程序开发人员用来节省时间和金钱的代码片段，因为它们提供现成的功能（如位置跟踪），使开发人员不必从头开始创建。通过 SDK 分享用户数据，开发者还可能获得数据经纪人的报酬。这是因为，如果您允许某个应用程序访问用户的位置，那么该应用程序中的 SDK 也将能够访问您的位置并将其发送给数据经纪人。

实际上，数据共享，或者说数据销售的做法无处不在，不乏其例。这里仅举几例：

• 2022 年 5 月，一份报告发现，美国政府机构，如 ICE，在没有任何监督的情况下，从私营公司购买了数十亿个数据点。每当这种做法受到质疑，政府就会想办法绕过限制。例如，俄勒冈州禁止与移民及海关执法局共享本州数据后，俄勒冈州车管所将驾驶执照记录出售给数据经纪商，以便移民及海关执法局可以访问这些记录。

• 2021 年 3 月，Vice 的 Motherboard 披露，一个执行无人机打击和侦察任务的美国军事单位通过一个名为 “Locate X” 的工具从普通应用程序中购买位置数据，该工具由一家名为 Babel Street 的数据经纪商开发。

• 2020 年 11 月，美国军方从一个穆斯林祈祷应用程序中购买位置数据 被披露，这是迄今为止最引人注目的案例之一。

不再是秘密

多年来，在政府无法合法扣押你的数据的情况下，它可以采用迂回的方式，在在线数据市场上购买，这已经是公开的秘密了。这种做法有据可查，以至于到了某个时候，连美国政府也不再装模作样了。今年 3 月，联邦调查局局长 Christopher Wray 首次承认联邦调查局从私营公司购买了美国的电话地理位置信息。但他声称，该机构在某一时刻停止了这样做。至于你是否相信他的话，就看你自己了。

如何摆脱政府通过定向广告对你的监控？

面对这台数据挖掘和数据销售机器，你可能会感到无能为力，因为这台机器的每一个齿轮都是为了榨取你的数据来牟利。如果没有强有力的立法禁止政府机构在不受任何监督的情况下从私人公司获取数据，这种做法很可能会继续下去。首先，因为政府通过这种方式获取数据要容易得多；其次，因为它能赚取丰厚的利润。

因此，你能做的就是减少你在网上留下的痕迹，并掩盖那些你无法避免的痕迹。您可以采取一些措施来保护个人数据不受监控：

• 禁用或重置广告标识符。用户的广告 ID 是分配给您设备的唯一号码，数据经纪商用它来链接不同来源的有关个人数据。因此，如果您禁用（并不总是可以禁用）或重置广告 ID，就会使数据经纪商建立个人档案的工作变得更加复杂。

• 不要赋予应用程序不必要的权限。许多应用程序会要求一些它们并不真正需要的权限，如访问位置、摄像头、通讯录等。这些权限可能会被用来收集你的数据并与数据经纪人共享。你可以在设备设置中检查和更改应用程序的权限。此外，即使某个应用程序确实需要某些敏感权限（如天气应用程序需要访问您的位置），也要谨慎给予。在下载应用程序之前，请研究其隐私惯例，阅读评论，并查看有关其数据共享行为的任何新闻。

• 使用广告拦截程序。我们永远不会厌倦地说：每一个广告请求，浏览器加载广告的请求，也是一个跟踪请求！广告拦截程序不仅能阻止广告加载，还能阻止跟踪用户上网行为和兴趣的脚本。今年早些时候，我们估计 广告跟踪请求约占互联网流量的 19.6%，其中大部分请求是“隐藏的”，即依赖于最初的广告请求和其他广告域的加载。

• 减少使用“免费”服务。记住，如果你不付钱，你就不是顾客，而是产品。