每一天的每一分鐘,在地球上的每一個地方,都有幾十家公司(基本上不受監管,而且很少受到審查)用手機記錄數千萬人的活動,並將信息存儲在巨大的數據文件中。據悉,外媒獲取了迄今為止規模最大、最為敏感的文件。文件內包含超過500億個定位ping信號,涉及在華盛頓、紐約、舊金山和洛杉磯等幾個主要城市的1200多萬美國人。
該文件中的每一條信息都代表了2016年和2017年幾個月期間一部智慧型手機的精確位置。
在花了幾個月的時間篩選數據、跟蹤全美各地用戶的活動,並與幾十家研究這一領域的數據公司、技術人員、律師和學者交談之後,我們感到了同樣的擔憂。在數據文件覆蓋的城市中,它追蹤了幾乎每個社區、每條街道的居民。無論他們是住在維吉尼亞的移動房屋裡,還是住在曼哈頓的豪華大廈裡,都免不了被追蹤。
在一次數據搜索中,我們發現有十幾個人參觀了花花公子大廈,有些人是在夜間到訪的。我們還很容易地發現有訪客來到強尼·戴普、泰格·伍茲和阿諾德·施瓦辛格的莊園。
如果你住在數據集覆蓋的城市之一,並使用共享位置的應用,比如天氣應用、本地新聞應用以及優惠券存儲應用,那麼你也可能出現在其中。
如果你能看到全部的文件內容,你可能再也不會以同樣的方式使用你的手機了。
據悉,這份文件中的數據並非來自電信或大型科技公司,也不是來自政府的監控行動,而是來自於一家位置數據公司,該公司是幾十個利用移動應用軟體悄悄收集精確位置的公司之一。大多數公司你可能都從未聽說過,但對任何能接觸到這些數據的人來說,你的生活就像是一本打開的書。他們可以看到你每天每時每刻去的地方,你與誰見面或與誰過夜,你在哪裡祈禱。無論你去的是美沙酮診所、精神病醫生辦公室還是按摩院,無一例外。
眾多新聞媒體過去也曾報導過智慧型手機追蹤問題,但從來沒有出現這麼大的數據集。儘管如此,這些文件只是位置跟蹤行業每天收集和出售的信息中的一小部分——位置跟蹤在我們的數字生活中無處不在,而且現在似乎任何人都無法避免被追蹤。
在美國,如果試圖強制要求所有12歲以上的公民每天24小時隨身攜帶一個追蹤裝置,以顯示他們的位置,公民們肯定會群情激憤。然而,自蘋果的App Store創建以來的十年間,面對一款又一款的應用軟體,美國人選擇了同意私人公司運營這樣一個系統。如今,這十年走到盡頭,數千萬的美國人,包括許多兒童,發現自己白天在口袋裡裝著間諜,晚上在床邊還被監視。
「這些消費產品的誘惑力如此強大,以至於蒙蔽了我們,讓我們看不到這樣一種可能性,即有另一種方式可以在不侵犯隱私的情況下從技術中獲益。但是這確實存在,」堪薩斯大學監視研究中心的創始主任William Staples說。「所有收集位置信息的公司都使用各種數據海綿進行日常監控。」
在這篇文章中,我們將揭示我們的發現,解釋這一發現讓我們感到震撼的原因。我們會要求你考慮到這種數據的存在所帶來的國家安全風險,以及這種精確的、永遠在線的人體追蹤在企業和政府手中可能意味著什麼。我們還會研究這些公司收集我們的精確位置的法律和道德依據,以及他們用來引誘我們分享這些信息的欺騙技術。
今天,收集和出售所有這些信息是完全合法的。在美國,就像在世界上的大多數地方一樣,沒有聯邦法律限制人體追蹤這一龐大而且有利可圖的行業。只有公司內部政策和員工個人的正派行為,才能阻止那些能夠接觸到數據的人做出過分行為,比如跟蹤分居的配偶,或者把情報官員的晚間通勤時間賣給敵對的外國勢力。
這些公司表示,數據只與經過審查的合作夥伴共享。作為一個社會,我們選擇了相信他們的話,這表現出我們對某些企業的盲目信任,然而我們卻不會將這種信任延伸到幹預少得多、但監管更嚴格的行業。即使這些公司按照可以想像得到的最健全的道德準則行事,他們最終也沒有萬無一失的辦法來保護數據不落入外國安全機構之手。在一個更小但同樣令人不安的範圍內,通常很少有保護措施能阻止擁有這些數據的個人分析師追蹤他的前任情人或受虐者。
記錄一舉一動
收集你所有這些活動信息的公司們有三個理由來證明他們的行為是合理的:一是人們同意被跟蹤;二是數據是匿名的;三是數據是安全的。然而,根據我們獲得的文件和我們對這些公司行為的審查,這些理由都站不住腳。
位置數據包含數十億個數據點,而且沒有姓名或電子郵件地址等可識別信息,但是把真實的名字和地圖上的點聯繫起來就是小孩子的遊戲了。
在大多數情況下,確定一個家庭位置和一個辦公室位置就足以確定一個人的身份。想像一下你的日常通勤:有沒有其他的智慧型手機每天直接往返於你的家和辦公室之間?
喬治城大學法律中心的法學教授和隱私研究員Paul Ohm表示,將位置數據描述為匿名是「完全錯誤的說法」,這一說法已經在多項研究中被揭穿。「真正精確、縱向的地理位置信息絕對不可能匿名,」他補充說道。「DNA可能是唯一比精確的地理位置信息更難匿名化的東西。」
然而,這些公司仍繼續聲稱這些數據是匿名的。在營銷材料和貿易會議上,匿名仍是一個主要的賣點——這是減輕人們對這種侵入性監控的擔憂的關鍵。
為了評估這些公司給出的理由,我們將大部分注意力轉向了那些處於權力位置的人。在諸如家庭住址等公共信息的幫助下,我們很容易地識別並跟蹤許多名人。我們跟蹤了那些有安全許可的軍方官員晚上開車回家的情況;跟蹤了執法人員送孩子上學的情況;我們還看到位高權重的律師和他們的客戶用私人飛機前往度假房產。
這個數據集非常大,肯定會揭露某些醜聞和犯罪,但我們的目的不是挖出它們,而是記錄下監管不足的風險。
觀察圓點在地圖上的移動有時會發現婚姻破裂的跡象、吸毒成癮的證據以及心理治療的記錄。通過時間和地點,把經過處理的ping信號連接到一個真實的人身上,感覺就像在讀別人的日記。
在一個案例中,我們找到了Mary Millben,她是維吉尼亞州的一名歌手,曾為包括川普總統在內的三位總統表演過。她被邀請參加總統就職典禮次日上午在華盛頓國家大教堂舉行的儀式。那也是我們第一次發現她的位置。她還記得,在政要們和第一家庭的簇擁下,當兩黨成員一起祈禱時,大教堂壁龕裡迴蕩的音樂讓她深受感動。與此同時,她手機上的應用也一直在監控這一時刻,細緻入微地記錄著她的位置和停留時間。對於那些可能購買數據訪問權的廣告商來說,這種祈禱服務很可能提供一些有利可圖的營銷洞見。
「知道你有一個我去過的所有地方的清單,而且我的手機與之相連,這很可怕,」Millben告訴我們。「知道我在哪裡,公司就能從中受益,這對我來說有點危險。」
和我們在數據中找到的許多人一樣,Millben說,她對限制自己分享位置的方式很謹慎。然而,和其他大多數人一樣,她也說不出可能收集了她隱私數據的應用的名字。我們的隱私就像我們設備上最不安全的應用一樣不安全。
「這讓我很不舒服,」她說。「我敢肯定,其他所有人也一樣感到不舒服,因為不管我們用的是什麼應用,公司都可以隨意獲取我們的數據和位置。這令人不安。」
總統就職典禮的那個周末產生了大量的個人故事和經歷:典禮上的精英出席者、教堂禮拜上的宗教觀察員、聚集在國家廣場上的支持者。所有這些都被嚴密地監視和記錄了下來。
除此之外,這些公司對抗議者們的行為也進行了同樣嚴格的跟蹤記錄。周五晚上,沉浸在勝利喜悅中的川普支持者們的ping信號從國家廣場消失,幾個小時後,近50萬湧向首都參加女權運動遊行的民眾的ping信號被記錄了下來。如果只看遊行現場的照片,你可能很難把一張臉和一個名字聯繫起來。但在我們的數據中,對抗議活動的ping信號通過數據與清晰的軌跡相連,記錄了抗議活動前後幾個月抗議者的生活情況,他們的生活場所和工作地點都包含在內。
那天下午,我們看到國防部的一位高級官員在遊行的人群中穿過,從國家廣場開始,經過史密森尼國家歷史博物館。那天他的妻子也在國家廣場,我們跟蹤他到他在維吉尼亞的家後發現了這一點。她的手機也在源源不斷地發送位置數據,還有幾個鄰居的手機也是如此。
這名官員的數據軌跡還包括一所高中、幾位朋友的家、安德魯斯聯合基地的訪問、在五角大樓度過的工作日,以及2017年與美國總統歐巴馬在邁爾·亨德森聯合基地舉行的儀式。在那裡,還有近12部電話被追蹤到了。
總統就職日的周末也發生了其他的抗議和騷亂。那個周五,數百名抗議者聚集在國家廣場以北,其中一些人戴著黑色帽子和面具,最終在富蘭克林廣場附近點燃了一輛豪華轎車。這些數據也記錄了那些暴徒的行為。根據精確的時間和地點,我們對數據進行了過濾,還找到了一些在現場的人。許多警察的臉被防暴裝備遮住了。這些數據指引我們找到了至少兩名在現場的警察的家。
儘管我們對華盛頓這一個城市的搜索結果已經很能說明問題,但我們所依賴的還只是一小部分數據。這部分數據僅來自一家公司,聚焦於一個城市,覆蓋時間也不到一年。地理位置數據公司每天收集的信息要比這多出幾個數量級。
數據公司通常也會利用我們沒有使用過的其他信息來源。比如,我們缺乏移動廣告ID或其他標識符,而廣告商常常將這些信息與人口統計信息(如家庭郵政編碼、年齡、性別、甚至電話號碼和電子郵件)結合起來,以創建用於定向廣告的詳細受眾信息。當數據集被合併時,隱私風險會被放大。位置數據集中的所有保護措施都可能因為添加了一兩個其他源而崩潰。
全世界每天都有幾十家公司從這類數據中獲利。它們直接從智慧型手機上收集數據,創造新技術來更好地捕捉數據,或者為定向廣告創建受眾檔案。
所有公司的數據收集都讓人眼花繚亂,因為它不斷變化,似乎不可能固定下來。許多人使用的技術和微妙的語言可能會讓普通智慧型手機用戶感到相當困惑。
雖然許多公司多年來一直在跟蹤我們,但大多數美國人對這些公司並不熟悉。這些公司可以處理來自GPS傳感器、藍牙信標和其他來源的數據。並非所有從事位置數據業務的公司都收集、購買、銷售或使用粒度位置數據。
地理位置數據公司通常會淡化大規模收集此類信息的風險。許多公司還表示,他們並不十分擔心潛在的監管或軟體更新會增加收集位置數據的難度。
「這真的不至於讓我們夜不能寐,」其中一家公司的首席營銷官Brian Czarny說。「Factual網站不會轉售詳細數據,包括我們審查過的信息等。我們覺得沒有人應該這麼做,因為這對整個行業都有風險。」
在聯邦隱私法缺位的情況下,該行業很大程度上依賴於自我監管。一些行業組織提供了旨在加強管理的道德準則。Factual網站和其他許多數據定位與營銷公司加入了移動營銷協會,起草了一份旨在改善自我監管的承諾書。這一承諾書將於明年公布。
各州正開始出臺自己的法律作為回應。《加州消費者隱私保護法案》將於明年生效,並為當地居民增加了新的保護措施,比如允許他們要求公司刪除他們的數據或阻止其出售。但除了一些新的要求外,該法律可能在很大程度上對該行業的侵犯隱私行為產生不了什麼影響。
隱私和數據保護公司VeraSafe的律師Calli Schroeder說:「如果一家私人公司合法地收集位置數據,他們就可以自由地傳播或分享這些數據。」
法律對這些公司公開自己的數據收集行為的要求很少。根據法律,公司只需要在隱私政策中闡述自己的做法,但這些隱私政策往往是晦澀難懂的法律文件,很少有人閱讀,能真正理解的人更是少數。
萬物皆可黑
你的數據到底是不是匿名的真的重要嗎?位置數據公司辯稱,你的數據是安全的,不會構成真正的風險,因為數據存儲在受保護的伺服器上。然而,這一保證已經被公開報導的數據洩露事件破壞了,更不用說那些沒有公開報導的各類數據洩露事件了。事實上,敏感信息很容易被轉移或洩露,下面這個故事就是很好的例子。
我們不斷地留下數據,例如,在上網或使用信用卡購物時會留下數據。但是位置數據不同。我們的精確位置只會在瞬間被用於推送廣告或通知,但隨後被用於更有利可圖的目的,比如把你的購買行為與你在高速公路上駛過的廣告牌聯繫起來。許多使用你的位置信息的應用,比如天氣服務,即使在沒有你的精確位置信息的情況下也能工作得非常好,但是收集你的位置信息可以為分析、授權和將信息傳遞給第三方提供一個利潤豐厚的第二業務。
對於許多美國人來說,他們面臨的唯一真正的風險是他們的信息被曝光會帶來尷尬或不便。但是對於其他一部分人來說,比如虐待案件的倖存者,風險可能是巨大的。誰又能說得清,某一個特定的個體可能想要保持什麼隱私,不讓朋友、家人、僱主或政府知道?我們在清真寺、教堂、墮胎診所、同性戀場所和其他敏感地區發現了數百個ping信號。
在一個案例中,我們觀察到一位微軟工程師的日常活動發生了變化。一個周二的下午,他參觀了微軟的競爭對手亞馬遜在西雅圖的主要園區。接下來的一個月,他在亞馬遜開始了一份新工作。我們花了幾分鐘才確定他是Ben Broili,他現在是亞馬遜Prime Air無人機送貨服務的經理。
「說我不驚訝是假的,」Broili在12月初告訴我們。我們很容易就能看出他是在參加一個工作面試,這引發了一些顯而易見的問題,比如:對高管和員工的內部位置監控會成為企業的標準做法嗎?
Broili並不擔心應用會記錄他的一舉一動,但他說,他不確定這些應用提供的服務是否值得我們犧牲隱私。「這是一大堆可怕的數據,」他說。「我仍然不明白它是如何被使用的。我得看看其他公司是如何將其作為武器,或幫助盈利的。」
如果這類位置數據能讓監視員工變得容易,跟蹤名人也就變得簡單了。他們的私人行為——不論是在深夜,在他們自己的住宅裡,還是已經遠離了狗仔隊——都可能會受到更嚴密的審查。
希望通過與消息人士親自見面來逃避其他形式監視的記者們,可能需要重新考慮這種做法的可行性。數據覆蓋的每個主要新聞編輯室都包含數十個ping信號。通過維吉尼亞州的阿靈頓,我們很容易就找到了《華盛頓郵報》的一名記者。
在一些案例中,他們會繞道去酒店,或是深夜探訪知名人士的家。有一個人幾乎是隨機從洛杉磯的數據中挑選出來的,被發現多次往返於路邊的汽車旅館,每次只停留幾個小時。
雖然這些ping信號本身並不能展現出一幅完整的畫面,但通過研究每個點的日期、時間等,我們可以收集到很多信息。
像Foursquare這樣的大數據公司(也許這是人們在位置數據業務方面最熟悉的一個名字)說他們不會出售詳細的位置數據,而是用它來進行分析,如確定你是否是在手機上看到了一個廣告之後進入商店的。
但一些公司確實出售詳細的數據。買家通常是數據經紀人和廣告公司。但其中一些與消費者廣告無關,包括金融機構、地理空間分析公司和房地產投資公司,他們可以處理和分析如此大量的信息。據一名同意匿名發言的前位置數據公司員工說,買家可能會為購買一批數據支付100多萬美元。
位置數據還與移動廣告ID一起收集和共享。移動廣告ID是一個大約30位數字長的匿名標識,允許廣告商和其他企業通過應用將活動聯繫在一起。該ID還可以用來將位置軌跡與其他信息結合起來,比如你的姓名、家庭地址、電子郵件、電話號碼,甚至是與Wi-Fi網絡綁定的標識符。
數據幾乎可以實時交換,速度非常之快。在幾毫秒內,你的位置數據就可以從智慧型手機轉移到應用伺服器,再導出到第三方。舉個例子,你可能會在經過一家汽車經銷店後就在手機上看到一則新車廣告。
這些數據可以被轉售、複製、盜版和濫用。而且,你還沒有辦法追回它們。
位置數據的意義遠不止是讓消費者看到一些更相關的廣告。這些信息為大型企業提供了關鍵的情報。例如,由《紐約時報》相關報導引發的一起洛杉磯的訴訟案件表明,Weather Channel應用的母公司分析了對衝基金用戶的位置數據。Foursquare在2016年受到了廣泛關注,因為它利用自己的數據預測,在一場大腸桿菌危機之後,Chipotle的銷售額在未來幾個月將下降30%。最終的數據是Chipotle的銷售額下降了29.7%。
人們對位置數據的擔憂主要集中在Verizon和AT&T等電信巨頭身上,他們多年來一直向第三方出售位置數據。去年,Vice的科技網站Motherboard發現,一旦這些數據被出售,它們就會被共享,以幫助賞金獵人實時找到特定的手機。由此產生的醜聞迫使電信巨頭們承諾,他們將停止向數據經紀人出售用戶的位置移動數據。
然而,目前沒有法律條文明確禁止他們這樣做。
位置數據是通過軟體開發工具包或SDK從你的手機傳輸的。這些工具包是一些小程序,可用於在應用中構建功能。它們讓應用開發人員很容易就能添加位置跟蹤功能,這是天氣應用等服務的一個有用組件。因為它們很有用,使用起來也很容易,所以SDK被嵌入到成千上萬的應用中。例如,Facebook、谷歌和亞馬遜都有非常受歡迎的SDK,允許較小的應用連接到大公司的廣告平臺,或幫助提供網絡流量分析或支付基礎設施。
但它們也可以安靜地呆在一個應用上,悄悄收集位置數據,而不需要向應用提供任何實際服務。位置數據公司可能會為這些應用付費——收集有價值的數據,然後將其貨幣化。
數據市場公司VenPath的執行長Nick Hall說:「如果你有一個經常收集位置數據的SDK.,你的數據很可能會在整個行業中被轉售。」
營銷人員的「聖杯」
既然這些信息如此敏感,為什麼還要收集它們呢?
對於品牌來說,了解目標客戶的精確數據是理解「客戶旅程」——從看到廣告到購買產品的每一步——的關鍵。一位營銷人員說,這是廣告的聖杯,是把客戶所有的興趣、在線活動和現實世界的行為聯繫起來的完整畫面。
一旦他們有了完整的客戶旅程,公司就會知道我們想要什麼,我們買了什麼,以及我們為什麼要買。其他組織也已經開始尋找使用這些數據的方法。政治競選可以分析集會參加者的興趣和人口統計,並利用這些數據來塑造他們的信息,試圖操縱特定的群體。
不過,位置數據對社會也有一些明顯的好處。研究人員可以利用原始數據為交通研究和政府規劃者提供關鍵的見解。俄勒岡州波特蘭市議會一致批准了一項通過監控數百萬部手機來研究交通和運輸狀況的協議。聯合國兒童基金會宣布了一項計劃,使用匯總的移動位置數據來研究流行病、自然災害和進行人口統計。
但是,對於個人消費者來說,持續跟蹤的價值還不太明顯。廣告和科技行業透明度的缺乏引發了更多的擔憂。
一款優惠券應用是否需要將用戶每時每刻的位置數據出售給其他公司才能盈利?這真的證明允許公司追蹤數百萬人並可能暴露我們私生活的行為是合理的嗎?
數據公司表示,當用戶同意分享他們的位置時,他們也就同意了被跟蹤。但這些協議條款很少清楚地向用戶顯示數據的打包和出售方式。如果公司能更清楚地展示他們是如何使用這些數據的,人們會願意分享自己的位置嗎?
在黑客入侵和洩密事件發生之後,隱私才成為了一個重要問題。那麼,多年前收集的數據又該如何處理呢?應該繼續使用,還是應該永遠刪除?
如果今天安全存儲的數據還可能很容易就被黑客攻擊、洩露或竊取,那麼這種數據值得冒這樣的風險嗎?
如果只是為了讓我們能看到更相關的廣告,或者為了讓對衝基金經理變得更富有,所有這些監視和風險是否值得?
我們不能指望那些從我們的一舉一動中獲利的公司會自願約束自己的行為,所以國會必須介入,以保護美國人作為消費者的需要和作為公民的權利。在那之前,有一件事是肯定的:我們生活在世界上最先進的監視系統之下。這個系統不是誰故意創建的,它是在技術進步和利潤動機的相互作用下建立起來的,目的是為了賺錢。科技公司曾經耍的最大的把戲就是說服社會來監視自己。