無法實現的“不要追蹤”，無法保障的“用戶隱私”

【獵雲網（微信號：ilieyun）】3月23日報導 （編譯：大黃）

今天，全社會都在討論和審查互聯網巨頭對用戶數據的使用。早在十年前，很多人就開始反感追蹤用戶隱私實現精準廣告投放的操作了。那時，瀏覽器提供了一個“不要追蹤”的選項，為用戶提供一鍵隱私保護。

值得注意的是，這並不是說用戶不會收到廣告，單純是屏蔽掉精準投放廣告相關的技術。選擇“不要追蹤”後，網站將不再分析用戶行為，從而不會提供精準投放廣告。

這功能死了。

“不要追蹤”功能早幾年前就沒用了。蘋果於今年二月從Mac和iOS端的Safari中移除這一選項，標誌著消費者和網絡廣告投放商之間最後一丁點互相理解的消亡。

萬維網聯盟（W3C理事會）旗下致力於保護網民隱私的追蹤保護工作小組的在運行八年後，也就是今年一月十七日，正式宣告解散。二月份Safari 12.1版本更新說明裡寫到：不要追蹤功能“過期”了。用詞準確到令人難過。

2018年十月，工作小組解散前在公開郵件中探討該如何描述“不要追蹤”功能的失敗。幾番探討後，最終版本是這樣寫到的：

“……該擴展功能並沒有得到廣泛應用，導致無法為更進一步的發展尋求到足夠的支持。用戶端、第三方以及整個互聯網生態系統都不打算支持這個功能。”

工作小組的成員由廣告從業者行會、大廣告公司、廣告投送平台、隱私保護組織、政府和瀏覽器製作商組成。聲明可以算是把失敗的責任攬到了小組自己身上。根據會議記錄，該小組在2011-2013年間緊密磋商過一陣，自2013年後就再也沒有組織過全體會議。

先前，大家都認為這個工作小組的存在意味著廣告業積極投身在線隱私領域的自我規範。結果“不要追蹤”只是個沒牙齒的紙老虎。W3C理事會電子前沿基金會代表Alan Toner對此評論道：“破壞一項事業最好的方式就是積極投身其中。”

還有更諷刺的。蘋果發言人針對公司在W3C工作組解散後立刻移除“不要追蹤”功能的解釋是這樣的：追蹤系統通過每個用戶不同的瀏覽器設置和特徵來標記區分用戶，借此對抗廣告攔截。如果開啟這項功能，廣告平台可以通過這個特徵標記這個瀏覽器。

一鍵隱私保障

不要追蹤功能脫胎於聯邦貿易委員會的“不要撥打”政策。該政策允許消費者通過到相關機構注冊自己的號碼來拒絕一切推銷電話。推銷公司不能在數據庫中存儲這些號碼。（“不要撥打”政策也失敗了，因為只有遵紀守法的公司才會遵守這項要求，而打騷擾電話的主要是漠視法紀的公司和本來就打算違法的騙子。）

最初，“不要追蹤”功能也是打算采取注冊製。2009年，隱私鬥士Chris Soghoian和Sid Stamm設計了一個火狐插件，該插件會在瀏覽器給伺服器的元數據中加入“不要追蹤”的標簽。如果用戶開啟了不要追蹤功能，那麽數據標記為1，沒有開啟則為0。非常簡單。雖然當時的伺服器還沒有跟上規章制度的步伐，不過這些技術性細節都可以慢慢調整。

如火狐瀏覽器中這樣，不要追蹤功能被設計成一個簡單的按鈕。

這個簡明的方案受到熱捧。幾年內所有主流瀏覽器都添加了這個功能。現在是Rose-Hulman技術學院副教授的Stamm認為他的標簽功能相當於“讓用戶直接喊出‘嗨，我不喜歡被追蹤！’”他當年和Soghoian一起開發這個插件，他們覺得“人們沒意識到到底多少用戶信息被收集起來了。”

Stamm和Soghoian現在成為了俄勒岡州參議員羅恩·懷特（民主黨）的隱私和數字安全顧問。他們參與了隱私保護團體和數字安全工程師中對“不要追蹤”功能的倡議。2011年，聯邦貿易委員會似乎打算提議讓“不要追蹤”功能從瀏覽器附加功能變成行業規範需要有的功能。W3C組織了一個工作小組以研究如何讓“不要追蹤”成為被普遍接受的標準並作為行業規範貫徹落實。

現普林斯頓大學副教授Arvind Narayanan參與過“不要追蹤”標準化小組，他在一份郵件中表示，聯邦立法的可能引來了廣告從業者。一旦確認不會對此進行立法，“冗長的談判變得對廣告行業有利起來。這些談判創造出一種主動參與自我規範的假象，這樣的假象讓立法規範顯得多餘。”

時機就這樣錯過了。無論是社交網絡還是通過廣告盈利的科技公司都想盡可能避免“不要追蹤”功能。內容發布者沒那麽想要這個技術來保護訪問網站的用戶，廣告客戶也對隱私保護沒有興趣。

一個重要的博弈點在於“不要追蹤”究竟是不是非此即彼的選擇。這是一個可以開關的選項，看上去是二元對立的。但是如果用戶根本不知道這個功能存在，那麽就引入了第三種狀態：還沒決定。如果用戶沒發現這個功能，瀏覽器要麽默認關閉“不要追蹤”，要麽壓根不發送這個標簽。

微軟決定I.E.瀏覽器默認開啟“不要追蹤”，讓廣告商更排斥這個功能。

微軟站了出來。2012年，微軟決定將I.E.瀏覽器的“不要追蹤”設定為默認開啟。這是保護隱私的好事兒，終於給I.E.用戶一個勝過谷歌Chrome的特性。

已經進入廣告生態的公司本來就有很多理由對“不要追蹤”功能抱有敵意，把“不要追蹤”功能默認開啟的設定簡直就是在直接威脅他們。Aqfer創始人，在線廣告業大佬Dan Jaye這樣評論道：“微軟把‘不要追蹤’功能當成行銷工具的那一刻起，這項功能就失去了道德的制高點。”

互動廣告局技術實驗室首席科技官Sam Tingleff表示，廣告業從業者反對“不要追蹤”功能的原因還有一個，是因為這功能太簡單了。用戶只能開關所有在該瀏覽器下所有網頁的客製廣告追蹤，而不是通過黑名單白名單這樣有的放矢的針對某些網頁開關追蹤。W3C的工作小組也對這個問題進行了很多討論。

因為缺乏立法和行業規範，微軟神經大條的把它當成行銷工具（然後又在2015回滾了默認選項為關閉“不要追蹤”），W3C工作小組的毫無進展。最終，“不要追蹤”選項成了毫無效力的紙老虎。Narayanan說，他在2013年就看清了，“不要追蹤”功能失敗了。用戶還沒嘗到被追蹤的感覺，“不要追蹤”功能就失敗了。

廣告攔截軍備競賽

用戶沒法選擇，美國政府機構不來監管，廣告行業期待的春天終於到了？這可不一定。

即使在“不要追蹤”功能還在的時候，用戶信息追蹤和精準投放廣告都泛濫到過分的地步。主流內容網站一篇新聞旁邊可能有七十道一百個獨立運行的遠程Java或跟蹤圖片，搞得一個文字內容頁面運行起幾兆字節的程序，導致瀏覽器卡得不行。

即使不看W3C專項工作組的會議報告，不了解網頁代碼的人都能注意到事情的變化。買點什麽東西後會被相關產品廣告追好久，一個簡單的網頁半天打不開。不懂相關技術的人也曉得，他們沒同意就被追蹤了。這是非常糟糕的瀏覽體驗。

隨之而來的是廣告屏蔽器的崛起。廣告屏蔽器阻攔追蹤代碼，讓他們無法加載，提升瀏覽速度，同時讓追蹤方無法獲取用戶特徵，於是，無法跨網站追蹤用戶。

PageFair針對2016年的相關報告中指出，全球11%的互聯網用戶在某種程度上使用廣告屏蔽器，廣告屏蔽器用戶每年以30%的速度增長。（比如廣受爭議的AdBlock Plus，這款軟體允許大廣告客戶花錢來讓部分滿足條件的廣告繞過屏蔽系統。）

儘管廣告業盈利受損，一些長期從業者卻並不責怪用戶的選擇。Jaye說，“絕大多數人都是因為糟糕的用戶體驗選擇了屏蔽器。”這是廣告業自己釀的苦水，互動廣告局技術實驗室的Sam Tingleff也認可這一點： “我們認為，絕大多數選擇廣告屏蔽器的用戶是為了提升他們的瀏覽體驗，我們完全支持用戶這樣的選擇。”

隨著廣告屏蔽器的崛起，一些廣告網絡通過檢測瀏覽器特徵，並在用戶設備上靜默運行Java代碼來創造出一種他們能識別並追蹤的獨特特徵。研究項目“Am I Unique”就用提供基於此的分析：該項目通過檢測瀏覽器特徵來推測你對廣告追蹤商的價值。

Jaye說他也被逼得在2018年安裝了AdBlock Plus，不是為了阻攔廣告或者追蹤，而是為了防止Chrome瀏覽器崩潰。他發現他經常瀏覽的網站有很多都用一個古老的JavaScript功能來攝取那台聯想筆電陀螺儀的數據，這會幫助追蹤網站標記他。而瀏覽器獲取聯想陀螺儀信息的過程有bug，會導致瀏覽器崩潰。

就是在這樣的環境下，蘋果認為“不要追蹤”會構成潛在的標記項目。只有一小部分Safari用戶開啟了“不要追蹤”，這意味著他們有這個不同於大眾的特徵。Apple在一份聲明中這樣說：“標記是通過獲取一台設備可被檢測的設置項來試圖追蹤它。因為‘不要追蹤’是一個對網頁可見的設置項目，所以它會被用來標記。”

Narayanan在一系列推文中寫到，這條信息讓追蹤網絡更有可能追蹤獨特的瀏覽器或用戶，儘管受害者沒那麽多，但還是足夠讓蘋果關閉這個功能了。

蘋果在數字追蹤保護（ITP）欄目下不斷為iOS和MacOS構築反追蹤方案，阻止廣告網絡追蹤用戶的嘗試。Mozilla在火狐瀏覽器也中做出了類似的努力。谷歌Chrome的話，谷歌的商業模式是廣告驅動的。

大家都輸了

這場軍備競賽的輸家是內容發布者和他們的潛在讀者。隨著更多人選擇廣告屏蔽器，內容發布者的廣告收入相應減少，於是裁員，倒閉，讀者能看到的內容就越來越少，近年來調查記者內容的減少就是因為這個。一些內容發布者或禮貌或獨斷地屏蔽了開啟廣告屏蔽器的讀者。一些廣告屏蔽器於是推出反反廣告屏蔽器器，一種循環就此展開。

只有一小部分廣告經費花在精準投放廣告上。Jaye說精準投放廣告可比非精準投放厲害多了，在效果上相差十倍都有。Jaye認為，如果不給用戶在追蹤方面提供選項，谷歌，臉書，亞馬遜這些不是那麽依靠第三方廣告和跨平台追蹤的巨頭就會主宰廣告市場，導致互聯網上由廣告支持發布的內容越來越少。

顯而易見，通過技術手段屏蔽追蹤廣告的用戶對他們訪問的網站並沒有什麽好處。EFF地Toner說：“廣告投放者應該不依靠追蹤實現精準投放。”整個行業花費太多精力在追蹤上，從沒想過其他方案。

Jaye支持通過把數據所有權還給用戶，實現用戶選擇。通過使用加密證書地高等數學技巧，而不是追蹤和標簽，來觀察廣告是否精準投放。總的來說，他表示沒有技術中間商的市場會更健康：“我們該怎麽回到原來那種廣告商和客戶的直接互動？”

原版“不要追蹤”的創作者Stamm認為現在這個狀況非常可恥。廣告行業拒絕同“不要追蹤”功能合作，把他們卷入更糟糕的狀況。他說，“如果大家坐下來和消費者好好交流，事情會好得多。”

互動廣告局技術實驗室的Sam Tingleff也表達了同樣的期待：“通過合作——瀏覽器和移動終端作業系統同媒體行業的合作——來提升用戶體驗，保證更多免費內容和服務，讓互聯網更開放更有價值。”

“不要追蹤”的失敗帶來了一系列嚴格的政府規範。這是完全可以預料的，行業不願意選擇折衷的方案於是被政府乾預。2018年三月歐盟開始實行的一般數據保護條例（GDPR），這不是為了解決“不要追蹤”的失敗，而是為了針對大量靜默追蹤用戶的網站。

GDPR依靠重罰執行的披露和選擇開啟條款，武裝起了用戶的隱私。今年一月法國的數據保護機構出於“缺乏透明度、缺乏充分信息、缺乏用戶對客製廣告明確同意”，向谷歌徵收了5000萬歐元的罰款。Toner說我們“這才剛剛開始。”他表示，GDPR給公民和隱私保護機構提供了充分的法律武器，目前很多針對亞馬遜、谷歌、領英、臉書、谷歌的投訴正在進行中。

加利福尼亞也通過了針對加州科技巨頭們的隱私保護法案，將在2020年生效。在聯邦層面，美國的立法和監管機構也在考慮制定相關的法案。

羅恩·懷登參議員在2018年十一月把他的消費者數據保護法案草案在同儕間傳閱。該法案要求設立一個類似最開始的“不要追蹤”注冊機制。該法案將下，公司可以選擇提供基於付費訂閱的內容，而不能拒絕為關閉追蹤功能的客戶提供服務，付費價格不應超過所損失的利潤。

政府有政府的規章，市場有也市場的選擇。隨著廣告收入的減少，很多內容發布者選擇提供付費內容而不是追蹤廣告。部分公司成功轉型。

“不要追蹤”功能試圖通過給用戶表達意願的方式，提供一個折衷的解決方案。折衷的方案失敗後，廣告商只能面對監管部門的介入（來規範合法追蹤的邊界）和廣告屏蔽技術（這樣誰都不會贏）。隨著用戶越來越挑剔，廣告客戶和內容發布這也會越來越選擇尊重用戶的隱私。