此时此刻,掏出手机,在社交 app 上发一条“塞尔达天下第一”的动态;
半小时后,你就能在另一个 app 上,看见一堆塞尔达攻略视频和 Switch 广告。
如果再搜一条“一个人旅游要注意些什么”,下一秒社交 app 就会给你推“同城异性交友”……
所有的 app,都否认自己会搜集用户隐私。但像这样的场景你肯定经历过无数次,真的很难让人不怀疑自己的隐私就是在全网裸奔。
搜什么推什么:app 们是如何串通一气,组团追踪你的?
视频版
↓↓ 看完这个视频就知道了 ↓↓
↑↑ 信我,真的超级好看?↑↑
图文版
很多人会说,就是 app 们在窃听我的谈话!心情能理解,但冷静一下,直接窃听的风险和成本都太高,人家没必要这么干。
更重要的是,你在第一次使用 app 时,是不是“同意”过这条长达几十页的《隐私政策》。是的,谁都知道你根本没看,而且也没得选,但反正你在法律上就是同意过。
所以,app 们完全有更隐蔽、自然,而且合法的方式,来搜集信息,追踪你。
具体来说,主要有三种方式。
第一种叫 cookie,这是最复古的一种方式~ 你应该在很多网站上看到过这种提示。
在你访问这个网页的瞬间,网站会记录你的登录帐号、搜索记录、浏览内容、停留时长等各种信息。这份存在本地的文件,就叫 cookie。
cookie 的好处是每次登录时你不用再输一遍帐号密码,设置选项偏好,网络冲浪更丝滑。这种自己创建自己用的cookie,被称为“第一方 cookie”。
但还有一种 cookie,叫“第三方 cookie”,它是给别人用的。
比如,当你打开浏览器访问天猫时,它就会同时创建一个天猫,和一个淘宝的 cookie。只要你登录过天猫,下次打开淘宝时,它就能用同个帐号密码自动登录,省去麻烦。
听起来很方便是吧?但第三方 cookie 的真正目的,其实是收集更多信息,给你推送广告。
为了方便理解,我们设想一个场景:
假如柴司转行卖狗粮,需要投放广告,那就会面临一个问题:我不能到处乱投,我得找到真正养狗的那些人,给他们投广告。但问题是,我怎么知道哪些网站里的哪些用户养了狗?
我们是没精力对接每一个网站,挨个问一遍的。所以为了提高投广告的效率,让金主更高效地撒币,一种营销机构出现了,那就是“广告联盟”。
Google、Facebook、BAT、京东、字节……还有卖手机的厂商们,全都有自己的广告联盟。
广告联盟们一边对接柴司这种卖货的甲方,另一边对接了一大堆接入了联盟的网站。此时柴司只要把狗粮广告直接交给广告联盟,然后由广告联盟们来对接网站,筛选出养狗用户就可以了。
但广告联盟怎么同时对接这么多网站呢?
是的,可以用第三方 cookie。
当你访问一个网站时,这个网站会同时创建多个第三方 cookie;而当你打开另一个网站时,只要它们同属于一个广告联盟,那就能从这些记录中找出留给自己的那份。所以哪怕你从来都没有登录过这个网站,也没在这个网站里搜索任何跟狗粮相关的内容,它们也能利用这些数据,跨网站生成精准的广告推荐。这难免让很多人觉得自己被监控了。
比如作为“全球最大的中文搜索引擎”,百度也经营着一个规模巨大的广告联盟,诸多接入了百度广告联盟的网站都能为你量身定制广告。
2013 年,南京的朱女士发现用百度搜索“减肥”“隆胸”等关键词后,在浏览其他网站时,会出现这些广告。于是以侵犯隐私权为由,将百度告上法庭,但最终败诉。
cookie 虽然强,但有两个问题。
首先,刚才说了,cookie 是一个本地文件,这就意味着用户和各种软件都可以随时清除掉它们;
而第二个问题,就更加致命了,那就是……时代。
这年头谁还用网页上网啊,大家都用app了好吗?cookie 什么的,真不熟。
所以为了跟上时代的浪潮,如今的广告联盟除了 cookie 之外,还用上了两个更新的手段:一个叫“帐号”,一个叫“设备标识符”。
“帐号”很好理解。你帐号的访问信息会被记录并直接传上服务器,想删都删不掉。
而且网站会给你的账号打上各种标签。比如阿里的“达摩盘”平台,能给你的淘宝帐号打上上千个标签,比如当地天气特征、你的身高、体重、消费能力,甚至连你住什么档次的小区,都包含在内。
如果你被标记为“养狗”用户,那不光淘宝能给你精准推送柴司狗粮,其他接入了阿里广告联盟的 app 上,可能也会出现狗粮广告。
如果说“帐号”是软件,那“设备标识符”就是在硬件层面锁定你。
你可以把“设备标识符”理解成手机的身份证号。比如每台手机都有一个设备标识符,叫 IMEI,全球唯一,且不可修改。
早期许多 Android app 会向用户索要“电话”权限,它并不是真的要打电话,而是为了获得这份 IMEI 码。有了它,不管你怎么切账号,只要没换手机,app 们就知道,“你”还是“你”,然后给你推广告。
比如这些 app 中,都内置了字节跳动旗下广告平台“穿山甲”的 SDK。这样,你在抖音、今日头条上的每一次划屏、收藏、点赞……等等行为,都会被收集、分析,并通过设备表示符标记。未来你再打开这些 app 时看到的广告,就可能就跟你以前点赞过的某个短视频有关。
可以说,在“cookie + 帐号 + 设备标识符”全面掌控之下,在你“同意”《隐私政策》的那一刻起,想给你精准推广告简直太容易了,哪需要搞什么窃听啊。
而且,很多网站和app都加入了不止一个广告联盟。比如豆瓣就加入了腾讯、华为、淘宝等多家巨头旗下的广告联盟,这些广告联盟又分别关联了无数个其他网站。这就是你经常会觉得自己被“跨软件追踪”了的原因。
所以,没招了吗?
还有一点点~
在 cookie 方面,从2020 年开始,苹果的 Safari 浏览器已经默认全面禁用第三方 cookie,Google 的 Chrome 浏览器也宣布在 2024 年下半年禁止第三方 cookie。其实现在很多浏览器都已经支持“阻止第三方cookie”的功能,你可以留心设置一下。
然后在“设备标识符”方面,在 iOS 6 和 Android 10 更新后,如今的 app 已经不再能合法获得这串唯一的 IMEI 码了。
取而代之的,是一串叫“广告标识符”的编码,它相当于一串“临时身份证”。需要的 app 可以自由获取,在短期内追踪和标记用户行为。但你也可以随时重置,重新做人。
到了 2021 年,iOS 14.5 还直接默认关闭了app们获取广告标识符的权限。所以很多 iPhone 用户在打开新 app 时,会看到这样一个窗口,其实就是 app 在求你帮它重新开启这个权限。我们不知道你怎么选的,反正我们是全关了。
根据我国2021年推出的首部《个人信息保护法》及相关规定,app 必须明确公开推荐算法的基本原理,以及具体收集了哪些信息。即便用户曾经同意了“个性化算法推荐”,也必须提供“便捷”的方式,让你能 4 步之内把它关闭。
当然,这些手段并不能从根源上避免厂商收集和分享你的个人信息,但确实多了一些限制。另外,你关闭的只是“个性算法推荐”,跟你个人行为直接相关的广告少了,但广告数量本身不会减少。毕竟广告是整个互联网的经济引擎之一,我们自己不也是天天盼着接广告么……
最后,我们不想渲染恐慌,也不想惹麻烦,所以还是要诚实地讲:
正规软件的信息收集,都是合法的。他们尽管追踪了你的许多数据,但并不会直接把这个模糊的画像对应到精确、具体的个人。也就是说,它们知道有个用户想买狗粮,但这个用户是陈某还是朱某,它不知道,也不在乎,更重要的是,法律不允许它知道。
不知道这个事实,能不能让你稍微宽心一点。如果还是不能的话……
那也没办法啦!