只是搜了一下“袜子”,结果接下来几天里,打开各种App看到的全是袜子广告。你是不是也有过类似的经历?
你的过去全都被看见了,背后是“Cookie”这项技术在作祟。通过第三方Cookie,广告商能轻松追踪到你在网上的浏览记录。
于是谷歌今年做出了一个决定,用一种叫做FLoC的新技术来保护你的隐私。
听起来是件好事?
没想到,此举却遭到了大多数科技巨头的联合抵制。
除Chrome之外几乎所有浏览器,包括微软Edge、Firefox、Vivaldi、Opera,统统站出来反对,当然也少不了靠保护隐私起家的Brave。
虽然它们当中大多数浏览器和Chrome有着同一个兄弟——Chromium。
不仅有浏览器厂商,其他搜索引擎,乃至网站开发者都站了出来。
DuckDuckGo这种向来跟谷歌对着干的搜索引擎,直接在Chrome插件中添加了屏蔽FLoC的功能,啪啪打脸。
此外参与抵制的还有最大建站程序WordPress、电子前沿基金会(EFF)等。
GitHub也刚刚加入战局,用一条简短的公告宣布,所有github.io域名下的GitHub Pages页面都将添加一条新的HTTP Header,来阻止FLoC。
虽然没有直接提及谷歌和FLoC的事,但是这条Header的作用就是声明页面拒绝被FLoC跟踪。
此举得到了程序员们广泛一致好评。
谷歌推出的这项新技术,把跟踪用户浏览记录的任务,从集中服务器转交给了分散的用户浏览器。
FLoC将用户分成人群 (Cohort)进行追踪,用联邦学习保护个人隐私不被泄露,同时谷歌声称不会对医疗、政治、宗教等敏感话题进行追踪。
这说得不是挺好么,为什么会遭到抵制呢?
从定位个人到定位群组
FLoC的全名叫做“同类群组的联邦学习”,是一种通过联邦学习这种AI技术进行网络跟踪的方法
FLoC不像Cookies一样跟踪单个用户的行为,而是把行为相似的用户分为同类群组。
比如,有1000个人访问了某个数码产品的网站,在这1000个人里有500个浏览了足球网站,那么这500人将被标记成“既爱数码又爱足球”小组。
如果这500人里,又有300人看过撸猫的网站,那么这300人将被标记成“既爱数码又爱足球又撸猫”小组。
以此类推……
谷歌说,他们不会基于兴趣对同类群组进行标记,只是将他们分组并分配ID,广告商不能看到具体你浏览了哪些内容。
但是广告商们还是能确定每个同类群组的用户类型,依然能精准识别出你的爱好,只是没法定位到你个人而已。
谷歌的FLoC是比Cookie好,但也仅仅是好了一些。广告商们是没法追踪个人了,但是个性化广告依然存在啊。
所以,抵制FLoC的各大公司认为,这是在“打着保护隐私的幌子侵犯隐私”。
谷歌为何这么做
电子前沿基金会认为,谷歌让人们在“旧追踪技术”(第三方Cookies)和“新追踪技术”(FLoC)之间做选择,狡猾的把“本可以没有追踪”这个选项隐去了。
Vivaldi的CEO认为,第三方Cookies本来是用来保存登录信息的,但被滥用于广告追踪,已经被抵制的差不多了,各大网站也都采取了不用Cookies维持登录的替代方法。
各大浏览器已经取消第三方Cookies,那么谷歌为何还要推出FLoC?
这和谷歌的商业模式有着直接的关系。
谷歌4月29日公布的最新财报显示,2021年第一季度,谷歌广告营收337.63亿美元,占公司总营收的82%。
如果因为追踪技术丢失了广告主,那么将对谷歌的营收造成巨大影响。所以谷歌推出FLoC的原因也就不难理解了。
另外,谷歌宣布Chrome浏览器将在2022年彻底禁止第三方Cookies。而Chrome浏览器当前的市场份额高达64%。
此举将使依赖第三方Cookies技术的中小广告提供商直接破产。新的环境下,FLoC完全由谷歌掌握,造成了更大的垄断。
保护隐私,却无法避免大数据杀熟
实际上,FLoC能否起到保护用户的作用,还要打上一个大大的问号。
反对FLoC的Vivaldi浏览器在一篇博客中详细论述了它的危害:
在过去,一个小型广告提供商只能在他们投放广告的几个网站追踪到你,而不能获得你浏览行为的全景。
但是在以后,你所浏览的每个接受FLoC的网站页面,都会被用于计算群组的行为,哪怕这些页面根本不包含广告。
如果你访问一个医疗网站,你可能会告诉它你的健康信息,但它并不需要知道你的地理位置。
同样,如果你访问一个购物网站,它不应该知道你最近是否阅读了抑郁症的治疗方法。
当然,为了打消你的疑虑,上面一些情况不会发生。
谷歌会将极度敏感的信息会被排除在FLoC之外,比如你浏览过哪些成人网站,看过哪些医疗信息,都不会被记录。
但即便广告商无法定位到个人,但你的所在群组行为数据依然可以被掌握,广告商们仍然可以给这个群组投放广告,更好地进行“大数据杀熟”。
FLoC并不安全
另外,FLoC也无法保证你的隐私完全不被泄露。
因为,除了Cookies之外,还有一种浏览器指纹识别技术也能对访问特定网站的用户进行追踪。
它能根据你访问时的硬件信息、屏幕分辨率、字体甚至窗口大小等,把你从众多用户中揪出来,打上ID,并进一步追踪你的行为。
在以前,指纹识别需要将你的浏览器从访问一个网站的所有浏览器中区分出来。
而有了FLoC,只需要将你的浏览器从同一群组中的几千个浏览器区分出来就行了,这实际上是增加了指纹识别的风险。
此外,谷歌声称无需建立集中的服务器处理FLoC信息,以此保护隐私安全,但是FLoC所以依赖的联邦学习技术并非万无一失。
已有论文发现,从可以从联邦学习的梯度中恢复原始数据,将原本加密的图片重新恢复出来。
谷歌不敢在欧盟使用
谷歌挑选数百万Chrome用户进行FLoC技术测试,并未告知用户,用户也没有选择退出的权利。
在测试期间,Cookies和FLoC同时针对这些用户运作,使他们承受了更多隐私暴露的风险。
谷歌计划今年下半年到明年年初在Chrome上推广这项技术。
另外我们注意到,FLoC测试的地区中不包含任何欧盟国家,这是由于谷歌担心FLoC可能违反欧盟法规,也说明了FLoC并未获得史上最严隐私规范GDPR的许可。
毕竟天价罚款可不是闹着玩的。
检测一下,你被FLoC了吗?
说了这么多,如何知道自己被谷歌用上了FLoC?
方法很简单,电子前沿基金会上线了一个网站,只要打开它就能检测到了。
所幸的是FLoC测试版目前只影响到0.5%的Chrome用户。
最后,对苹果用户来说,还有个好消息,iOS 14.5已经加入了防止隐私跟踪的功能,用户只要在“设置”的隐私选项中将“跟踪”一项关闭即可。