2020 年 1 月,Google 宣布了其增加 chrome 浏览器隐私保护计划的关键细节,该计划将删除第三方 cookie,从本质上阻止企业用来跟踪网络用户的数据和行为。
受该计划影响的公司数以千计。其中包括 51・Degree。这是英国一家数据分析公司,使用实时数据来帮助企业追踪他们网站的性能。James Rosewell 运行了这家公司长达 12 年,但因为 Google 的这项决定,51 Degree 的生存到达了岌岌可危的程度。
“在 2020 年 1 月末,我们意识到 Google 提出的措施会对我们产生巨大影响”。于是,Rosewell 在去年向英国竞争和市场管理局提出投诉,指控 Google 试图通过其垄断地位将其竞争对手拒之门外,而自己却继续追踪用户数据和行为。
但吸引反垄断监管机构的注意只是 Rosewell 计划让 Google 推迟该隐私保护措施(隐私沙箱提议)的一部分,他的进一步行动,是成为万维网联盟(Privacy Sandbox initiative,W3C)的成员。
W3C 是网络上最极客的线上社区之一。它由 Web 的发明者 Tim Berners-Lee 于 1994 年创立。
在这里,网站出版商、搜索引擎公司、广告技术公司、隐私权益倡导者、学者等人聚集在一起讨论 Web 的标准。
来自各个公司的顶尖技术人员发起新技术标准的建议,如果该建议得到其余公司的响应,那么 W3C 最终会制定相应 web 标准来确保网站安全。而且所有标准的指定都是公开化的。迄今为止,W3C 已成功产生了超过 335 项技术标准,包括 HTML5、XML、CSS 和 Web 可访问性指南等,这些标准使 Web 得以运转。
一般而言,W3C 的成员们在 Github 或者 Zoom 会议上达成关于标准的公式,并精心记录会议摘要,汇总形成档案库,记录这些成员们制定出的网络新标准。
但最近随着 W3C 成为互联网隐私战争的关键战场,这种协作精神正在遭受挑战。过去的一年里,人们在这个社区争论着隐私的真正含义、网络若何在实际运用中更加私密以及科技巨头们到底应该具有多大的权利来单方面宣布标准的改变。
围绕这个议题,一道明显的裂痕出现了。
两个阵营
针对上述问题,社区基本分为两个阵营。
一边是来自于 Apple、Google、Mozilla、Brave 和 Microsoft 等科技巨头的工程师们。尽管在商业领域他们是竞争者,但为了响应全球监管机构以及用户的呼声,他们都不约而同的指出需要保护 web 隐私,并正在依托 W3C 来开发新的隐私保护标准,以抵抗企业们长久以来依赖的追踪技术。
另一边是一些利用跨站追踪技术来进行网站优化和提供广告投放业务的公司,这些公司小到包括 Rosewell 掌管的 51degree,大到像 Facebook 这样的商业巨头。
自从去年 4 月加入 W3C 以来,Rosewell 俨然成为该阵营的主力军,当 Facebook 的开发者小心翼翼地编辑 Apple 和 Google 的隐私保护提案时,Rosewell 的 “进攻” 显得大放异彩,因为他显然不会受到公开所带来的限制。
在任何一天你都可以在致力于隐私保护的小组里找到他的身影:他正在深入讨论浏览器新标准。
这位成员不会指出如何让浏览器的隐私规范更好地工作的相关技术问题,而是经常问一些哲学问题,比如,是否有人真的希望他们的浏览器为他们做某些隐私方面的决定。
他在 W3C 论坛上表达了对其底层程序的担忧,他呼吁 W3C 的领导层更清楚地阐明该组织所代表的价值观。
Rosewell 认为,其提出的这些问题可以阻止互联网世界完全步入只能由 Apple、Google 或者 Microsoft 这样的巨头去设计与掌控规则的地步。“我非常担心未来会出现这些公司完全不受约束的情况”,Rosewell 说,“如果没有人站出来阻止他们,那么我们就会陷入群体思维(group-think)和泡沫行为(bubble behavior)”。
但是 W3C 的领导者们觉得,Rosewell 只是试图通过像 “我们是在保护用户的选择” 或者 “我们是来使网络更开放的” 这样愤世嫉俗而又具有蛊惑性的话语,来阻止新的隐私保护标准的实施,同时也只是打着 Google 垄断的旗号来确保其能公司够继续盈利,而这种盈利是建立在侵犯用户隐私的基础之上。
联邦贸易委员会前首席技术专家 Ashkan Soltani 指出,“我非常关注这些浏览器供应商无约束地单方面决策所产生的影响,但我更关心利用这种关注来为自己谋利而造成更坏结果的行为”。
同样地,反追踪浏览器的制造商 Brave 公司的隐私主管 Pete Snyder 说,“他们(Rosewell 之类的行动者)正在减缓浏览器加强用户隐私保护的步伐”。
Solitani 和 Snyder 共同认为,来自广告技术行业以及其他领域的公司尽管没有明面上去阻止隐私保护政策的实行,但他们都在尝试模糊新的标准,以使得他们在新的标准下合法去追踪用户数据。“幸运的是,W3C 社区的人们都很聪明,能理解他们的意图,但不幸的是,政策的实际制定者们则做不到”。
Solitani 和 Snyder 还表示,那些来自于广告公司的、新加入 W3C 的成员们,并不会在已有的隐私保护提案上去提供细节化描述(因为这种提案会影响他们的业务),而是提出新的方案,使他们可以在打着隐私保护的幌子下继续追踪用户数据。
历史重演
这样的争论其实只是历史的重演,早在十多年在,W3C 便致力于用户不被追踪。
他们尝试允许用户通过浏览器中的一个简单的开关按钮,来选择退出跨网站追踪,从而保护用户隐私。
为此,W3C 专门成立了一个官方 “不追踪”(Do Not Track)工作小组,来将该想法转化为正式的标准,这个组织包括了 Yahoo、IBM 和 Microsoft 等科技巨头以及一些学术界和民间的代表。
与 W3C 的其他小组(如兴趣小组、商业小组和社区小组)不同,工作小组是实际技术标准编写、定稿、发布的主要媒介,工作小组中的成员们需要针对新标准互相商讨并纠正,正是由于工作小组的存在,许多新标准才得以被颁布。
但当年小组的成员们连最基本的细节,比如 “追踪”(Track)本身的定义问题,都无法达成一致,这也预示着当年 “不追踪” 小组必然失败。
不过,真正让 “不追踪” 计划被搁置的原因是 MicroSoft 决定在 ie 浏览器中默认开启 “禁止追踪” 信息,这种单方面的举措让诸多公司感到不满,于是突然之间他们完全失去了参与讨论的兴趣。
Tene 简洁地总结了 “不追踪” 小组的努力:“它旷日持久,充满了强硬的言辞与战斗战术,但由于缺乏行业的支持与双方无法达成一致的事实,它最终失败。”
口舌之争
Soltani 曾是 “不追踪” 小组的一员,但随着 “不追踪” 小组的失败,其退出了 W3C,转而专注于起草《加州消费者隐私法》及其后续的《加州隐私法》,该法案要求网页能够接收浏览器发来的信号(Global Privacy Control,全局隐私控制),从而退出对用户隐私的追踪。
这些法案只在加州实施,其实质其实就是 “不追踪” 小组的精神延续,它有效地将 “不追踪” 的本质与法律力量结合在了一起。
2020 年春天,Soltani 回归 W3C,他想把全局隐私控制信号变为 W3C 新的标准,从而迫使互联网的所有浏览器都采用该信号来保护用户隐私。
因为他的努力,目前像 Brave 和 DuckDuckGo 之类的浏览器已经实施了该项措施。但回到 W3C 之后,其内部关于用户隐私的争吵就如同十多年前 “不追踪” 小组一样,让 Soltani 感觉到似曾相识,“我已经很多年没有参与 W3C 的实务了,但很明显我现在又像是回到了’不追踪’小组,尽管现在糟糕十倍”。
造成这种局面的另一个原因是,Google 推出了一系列新的隐私保护标准,被称为隐私沙盒(Privacy Sandbox)。
谷歌的隐私沙盒产品经理 Marshall Vale 说:"我们为数十亿用户提供 Chrome 浏览器,所以我们对这些用户真的有巨大的责任。"
Google 提出的隐私沙盒标准之一 —— 群组联邦学习(Federated Learning of Cohorts,FLOC),将消除广告商利用 cookies 追踪特定用户网络行为的能力,其根据 Chrome 浏览器用户访问的网站将他们分成若干组,从而广告商可以根据他们推断的兴趣来锁定这些群体。
但这一提议遭到了隐私保护者以及使用追踪用户数据谋利的公司的反对,隐私保护者认为个人兴趣很容易被逆向设计,且依据个人兴趣来定位会使得歧视性的广告语成为可能,而那些追踪用户数据谋利的公司则认为 Google 是想自己独自掌握用户数据从而扼杀他们这些公司,因此,目前浏览器并没有采用这项技术。尽管受挫,但隐私沙盒计划也激发了一大批新人来加入 W3C,他们试图找出 FLOC 适用的情况,并以此建立起一座桥梁。
就在 Soltani 这些人尝试建立起这座桥梁的时候,Rosewell 成为了强有力的反对者。双方发生激烈争论,Rosewell 甚至希望 W3C 咨询委员介入,从而终止标准的指定,这使得 W3C 的其他成员感到震惊,他们认为 W3C 不是网络参议会,而是一个标准制定机构,是那些希望构建事物标准的人们相互协作的平台,显然 Rosewell 与他们背道而驰。
在 Rosewell 看来,科技巨头们在 W3C 中有着极大的权力,而这些权力影响的新标准的指定,他指责 Apple 暗地里进行用户数据交易(privacy washing),他认为,每年 Apple 从 Google 那里获取数十亿美元,从而允许 iPhone 用户的手机上能够使用 Google 的搜索引擎。
“Google 每年向苹果支付 120 亿美元不仅仅是因为 iphone 手机上有他们的标志,而是为了获取交易产生的数据”,Rosewell 说。
Rosewell 否认他正在削弱隐私保护。
“我坚决站在保护用户隐私的方面,如果我被定性为反隐私,我会很伤心”,他认为,“直到 W3C 定义了什么是隐私,什么是竞争,大家才会达成一致,而在达成一致的过程中,巨头们已经占据了主导地位”。
与 Rosewell 持有相同观点的人不在少数,W3C 内部也有部分成员认为,W3C 的会费以及新标准指定的诸多约束都会使得小公司疲惫不堪,而大公司们没有这些烦恼,因为他们占据了人员数量的上风。Rosewell 派的担心也不无到底,W3C 的改善网络广告业务组的 369 名成员中就有 40 名为 Google 工作。
与 Rosewell 同一阵营的,还有 Facebook 这样的依靠用户数据谋利的巨头公司,不同于 Rosewell 的激进,Facebook 在经历过多次隐私丑闻之后,再也没有资格公开挑战任何其他公司的隐私保护提案,所以 Facebook 的 “抗议” 则相对更温和一些。
Facebook 工程师 Ben Savage 起草了一项提案,让用户在浏览器分配给他们的兴趣方面有更多的选择,这项提案受到了 W3C 的欢迎,并引起了广泛的讨论。
与其他人或者组织不同,Facebook 非常依赖于新标准,因为在与会的科技巨头中,Facebook 是唯一一家没有自己的浏览器或操作系统的公司,但它却又确实收集了全球数十亿人的大量数据来谋利。
今年,Facebook 推荐了一名候选人担任 W3C 顾问委员会的成员,在最近的一次会议上,Facebook 自愿担任起一个隐私增强技术工作组的重担。
“过去的六个月里,他们在这些问题上变得更加直言不讳,这是非常棒的。”Rosewell 说。他特别指出 Savage “在表达另一种声音方面做得很好。”
然而,尽管 Savage 试图进行合作,但他对 W3C 内部强大的参与者 (即 Apple) 颇有微词。
上周,Savage 在推特上发表了一篇冗长的帖子,指责 Apple 的 “恶劣行为”。他说,Google 一直在开发替代公开追踪的方法,而苹果却决定 “炸毁” 网络广告的世界。
他指责 Apple 试图将应用程序开发商从广告商业模式转向应用收费模式,“这样苹果好从中抽取 30% 的分成”。
“以隐私保护为借口,扼杀广告资助的商业模式,迫使开发商采用 Apple 可以征税的收费模式,“Savage 写道,“而他们自己的应用程序永远都是零税。” 他认为,这才是苹果所谓隐私保护的目的。
这场战争可能会旷日持久,而 W3C 显然已成为这场战争的关键战场。
References:
https://blog.chromium.org/2020/01/building-more-private-web-path-towards.html
https://www.w3.org/2011/tracking-protection/charter
https://analyticsindiamag.com/privacy-wars-can-w3c-play-a-mediator/
https://www.protocol.com/policy/w3c-privacy-war
