西班牙和奥地利的学者和计算机科学家联合组成的一个科研团队,撰写了一篇新的研究论文。论文表示,若你对Facebook推送的的兴趣列表了如指掌,你就会发现,Facebook利用定位工具向指定用户投放广告的行为是有一定可能性的。
《Facebook的独到之处:无个人数据情况下,Facebook对目标用户的构想及其证明》一文中描述了一个“数据驱动模型”,该模型针对平台的度量标准下了一个定义:广告平台只需根据Facebook用户的兴趣标签,便可以对其进行单独识别。
研究人员演示了他们利用Facebook广告管理器定位多个广告,并使每个广告只覆盖一个目标用户的过程。
研究人员提出了一些新的问题,包括Facebook广告定位工具使用的潜在危害,以及,从更广泛层面上来讲,这家科技巨头个人数据处理帝国的合法性。因为,要精准识别用户,就要依靠用户信息采集,然后从成千上万的用户中,匹配单个用户。而平台仅需纯粹地基于用户的个人兴趣标签,即可完成以上操作。
迫于调查结果带来的压力,立法者不得不禁止或者淘汰行为广告。多年来,行为广告倍受攻击,人们担心它会给个人以及社会带来各种各样的危害。但至少,对于使用诸如此类侵入性工具,该论文有可能促使人们呼吁对其进行强有力的制衡。
调查结果也强调了独立研究有权询问广告技术算法的重要性,同时还强调了应该给平台施加压力,防止取消研究人员的访问权限。
兴趣也是个人数据
来自马德里卡洛斯三世大学、奥地利格拉茨技术大学、西班牙信息技术公司和GTD系统与软件工程公司的研究人员研究人员写道:“我们的模型结果显示,Facebook只需在其所设置的兴趣标签里,推送4个稀有兴趣标签和22个随机兴趣标签给任一用户,他们就可成为可能性高达90%的精准用户。”他们还介绍了一个关键发现,那就是,无论你是拥有大量的兴趣爱好还是几乎没有兴趣爱好,如若Facebook系统知道了,即便身处茫茫数十亿用户之中,你也很容易被平台拎出来。
“在此篇论文中,考虑到世界人口数量级的用户群,在此尽我们所知,第一次针对个人独特性进行了研究。”他们继续说道,“世界人口数量级的用户群”这里指的便是Facebook的固定用户规模,而Facebook挖掘就是其28亿活跃用户的数据。(注意:该公司还处理了非用户信息,意味着其业务覆盖范围不止于Facebook活跃用户。)
研究人员认为,这篇论文首次证明了“系统性探索Facebook广告平台基于非个人身份信息下的兴趣选择,实施纳米定位的可能性”。
早先就“Facebook广告平台是一对一的操纵渠道”便存在着争议。例如2019年Daily Dot刊登的一篇关于Spinner公司的文章。该公司向性沮丧的丈夫兜售“服务”,而这种“服务”就是对他的妻子和女友发送心理操纵的信息。而Facebook和Instagram上经常会弹出这种具有暗示性和潜意识操纵性的广告。
该研究论文还提到了2017年英国政治生活中的一起事件。很显然,当时的工党竞选人使用了Facebook自定义受众广告定位工具,成功地蒙蔽了前领导人杰里米·科尔宾。但在当时,他的目标不仅仅是科尔宾,还包括科尔宾的同盟以及一些与之结盟的记者。
通过这项研究,该团队证明了Facebook的广告管理器工具对任一用户进行广告定位是可能的。他们称其为“纳米定位”过程,相对于当前对用户“基于兴趣”标准进行微定位广告技术。
“我们不想舍近求远,于是选择了本文三位作者为样本。通过了解Facebook对他们推送的21个广告,进行了一项实验,用以求证是否只要广告商对用户的兴趣爱好了如指掌,Facebook广告平台便会系统性向指定用户推送广告。”他们写道,并补充说,此论文提供了“第一个经验证据”,即“Facebook只需了解用户一系列随机兴趣爱好,便会对他们进行一对一或者是纳米定位,推送广告。”
用于此次分析的兴趣数据,采集自2017年1月之前安装浏览器扩展程序的2390名Facebook用户。
扩展程序“Facebook用户数据评估工具”解析了每个Facebook用户的广告偏好页、汇集了推送标签,再根据用户浏览网页时接收到的广告,提供了用户为Facebook创造的实时收益估计。
虽然兴趣数据是在2017年之前收集的,但实验“通过Facebook的广告平台进行一对一定位是否可行”的测试则是去年展开的。
“我们针对三位作者,特别设计了纳米定位广告活动”,他们解释讨论了他们的测试结果。“我们测试了数据驱动模型的结果,从Facebook分配的兴趣列表列,随机选择兴趣组合5、7、9、12、18、20和22,为每个目标作者量身定制受众群。”
“2020年10月和11月之间,我们总共进行了21次广告活动,证明了纳米定位如今是可行的。我们的实验验证了模型结果,如果系统知道任一用户的18个以上的随机兴趣,他们可以以非常高的概率对其进行纳米定位。特别是,我们的实验中,拥有18个以上兴趣选择的9个广告活动中,有8个成功地纳米定位了所选用户。”
因此,在Facebook上拥有18个或更多的兴趣,对那些想要操纵你的人来说,非常有趣。
纳米定位难以阻止
防止一对一定位的方法之一,便是Facebook对最小受众规模进行强有力的限制。
据该论文,如果广告活动的潜在受众规模大于1000人(或大于20人,在2018年之前,Facebook提高了这一限制),这家广告技术巨头会向使用广告活动管理器工具的广告商提供一个“潜在影响力”值。
然而,研究人员发现,Facebook实际上并未阻止广告商发起广告活动。这场活动主要那些针对小于潜在覆盖限制的用户。它只是没有告诉广告商他们的信息会推广覆盖到多少用户,但其实覆盖的用户很少。
他们打算通过运行多个成功锁定一个Facebook用户的活动加以证明。一是通过查看Facebook的广告报告工具产生的数据(“Facebook报告说只接触到了一个用户”)来验证他们的广告受众规模;二是他们的网络服务器上有一个由(单独)用户点击广告产生的日志记录;以及第三个验证步骤,他们请求每个纳米目标用户截图广告,选择相关的“我为什么看到这个广告?”选项。他们说,这与他们之前纳米定位成功案例中的定位参数相匹配。
“我们的实验结论主要如下。(i) 如果系统能从目标用户身上推断出18个以上的兴趣,那么在Facebook上对用户进行纳米定位是非常有可能的;(ii) 纳米定位是非常便宜的;(iii) 根据我们的实验,三分之二的纳米定位广告有望在7个有效日的活动时间内传递给目标用户。”研究人员在结果总结中补充说道。
论文的另一部分讨论了防止纳米定位的对策。研究人员认为,Facebook声称的受众规模限制“已证明完全无效”,并断言该科技巨头的20个限制“目前并未加以应用。”
他们还建议,对于Facebook声称适用于“自定义受众”(另一种涉及广告商上传非个人数据定位工具)的100个限制,是存在变通办法的。
摘自论文:
为了防止广告商针对狭窄的受众群体,Facebook实施了通过对反制措施,即对可以构成受众群体的最低用户数量进行限制。然而,这些限制已证明是完全无效的。一方面,Korolova等人指出,在他们论文结果的激励下,Facebook不允许使用广告活动管理器配置小于20的受众。而我们的研究表明,这一限制目前也未加以应用。另一方面,Facebook执行的最小自定义受众规模为100个用户。正如第7.2.2节所介绍的,部分文献中说到了一些不同的方法克服这个限制,然后使用自定义受众来实现纳米目标的广告活动。
虽然研究人员在他们的论文中把基于兴趣的数据称为 “非PII”,又称为“非个人身份信息”,但要着重注意,在欧洲的法律背景下,这种框架是没有意义的。根据欧盟的《通用数据保护条例》(GDPR),法律对个人数据有更广泛的看法。
在美国,“PII”是一个很常见的术语。但美国没有相当于泛欧盟GDPR的(联邦)全面隐私立法。
广告技术公司通常也更愿意采用PII,因为与他们实际处理的所有信息相比,它们界限更宽。这些信息可用于识别和描述个人,为他们提供广告。
根据GDPR,个人数据不仅包括明显的标识符,如一个人的姓名或电子邮件地址(又称“PII”),而且还包括可间接识别个人的信息,如一个人的位置或他们的兴趣。
以下是GDPR第4(1)条中的相关内容(强调“我们的”):
个人数据“是指与已识别或可识别的自然人(“数据主体”)有关的任何信息;可识别的自然人是指可以直接或间接识别的人,特别是通过参考诸如姓名、识别号码、位置数据、在线标识符或与该自然人的身体、生理、遗传、精神、经济、文化或社会身份有关的一个或多个因素。
几十年来,其他研究也一再表明,只要有少量的“非PII”信息,如信用卡元数据或Netflix的观看习惯,就有可能对个人进行重新识别。
因此,对于Facebook庞大的人员分析和广告定位帝国,我们应该是见怪不怪了。广而持久地挖掘互联网用户的活动,获得基于兴趣的信号,即个人数据,对个人进行分析,然后把他们与相关广告进行定位在一起。Facebook创造了一个新的攻击载体。如果你足够了解他们,而他们还有一个Facebook账户,那么你几乎可以操纵这世界上的任何人。
但这并不意味着法律上过得去。
事实上,针对“Facebook处理人们的个人数据,进行广告定位”一事,Facebook声称具有法律依据,但多年来一直备受欧盟的挑战。
广告定位的法律依据
这家科技巨头曾声称,用户同意将个人数据用于广告定位。然而,它并没有向人们一个提供自由、具体且知情的选择,包括人们是愿意被量身定做行为广告?还是只想与他们的朋友和家人联系。据GDPR,自由、具体和知情才是同意标准。
如果你想使用Facebook,你就不得不接受个人信息用于广告定位。这就是欧盟隐私运动者所称的“强制同意”,换言之,是“胁迫”,而不是“同意”。
然而,早在2018年5月,即GDPR生效以来,Facebook似乎已经转而声称,处理欧洲人信息用于广告是合法的,因为在用户同意使用条例中已包含了愿意接收广告。
本周早些时候,Facebook的主要欧盟监管机构爱尔兰数据保护委员会(DPC)公布了一项初步决定,建议对该公司这种不透明的无声转换,罚款3600万美元。
虽然DPC似乎对Facebook的广告合同主张没有异议,但其他欧洲监管机构却不同意,而且很可能反对爱尔兰的决定草案。所以,根据GDPR,对Facebook这一特定投诉的监管审查仍在进行,而且远未结束。
如果这家科技巨头想要绕开欧盟法律,最终,可能不得不让用户自由选择是否他们的信息可用于广告定位,而这基本上算是在其广告定位帝国中炸出了一个漏洞。正如研究所强调的,即便持有几条兴趣数据也是个人数据。
不过现在,这家科技巨头拿出了他的惯用策略,否认一切,表示这些兴趣爱好毫无用武之地。
一份回应该研究的声明中,Facebook发言人驳斥了这篇论文,声称它“对我们的广告系统的运作方式理解有误”。
Facebook的声明试图将注意力从研究人员的核心结论上转移开来,将他们的发现的意义降到最低。其发言人写道:
这项研究对于我们的广告系统如何运作的理解有误。除非用户选择分享,否则广告商无法获得我们与用户相关联的目标兴趣广告列表。如果没有信息或具体细节来识别接收广告的用户,那么对于想要打破规则的广告商来说,研究人员的方法是无用的。
针对Facebook的反驳,论文的作者之一Angel Cuevas认为他的论点是“不幸的”,并表示该公司应该部署更强有力的对策来防止纳米定位的风险,而不是用侥幸心理,声称没有问题。
论文中,研究人员确定了一些他们认为可能与纳米定位有关的有害风险,如心理说服、用户操纵和敲诈。
“令人惊讶的是,Facebook已隐约承认纳米定位是可行的,他们唯一的对策便是假设‘广告商无法推断出用户的兴趣’,”Cuevas告诉TechCrunch。
“推理人们的兴趣,广告商有很多方法。论文中也提到了,我们单单利用一个浏览器插件便做到了(出于研究目的,也得到了用户的明确同意)。更有甚者,除了兴趣之外,还有其他的诸如年龄、性别、城市、邮政编码等我们在研究中没有使用的参数。”
“我们认为这个一个不幸的说法。我们相信像Facebook这样的玩家可以实施更强大的反制措施,而不是假设‘广告商无法推断出用户的兴趣’,之后却又用于定位Facebook广告平台中的受众。”
人们可能还记得,2018年剑桥分析公司Facebook数据滥用丑闻。在大多数用户不知情或不同意的情况下,一个有权进入Facebook平台的开发者通过一个测验应用程序便提取了数百万用户的数据。
因此,正如Cuevas所说,不难设想广告商、攻击者、代理机构也会采取类似的不透明和不光明的手段来获取Facebook用户的兴趣数据,从而操纵某个特定个人。
研究人员在论文中指出,他们的纳米定位实验结束几天后,Facebook关闭了他们用来开展活动的账户,且未作任何解释。
这家科技巨头没有回答我们关于这项研究的具体问题,包括它为什么关闭账户。如果它这样做是因为它发现了纳米定位问题,那么它为什么没有在第一时间阻止广告运行和定位任一用户。
有望诉诸法律
这项研究可能会对Facebook的业务产生什么广泛的影响?
我们采访的一位隐私研究者表示,这项研究肯定会对诉讼有帮助。鉴于欧盟监管机构对Facebook以及更其他普遍的广告技术侵犯隐私执法步伐缓慢,这种诉讼在欧洲会越来越多。
另一个研究者指出,研究结果强调了Facebook是如何有能力大规模地“系统重新识别用户”,同时还假装并未经手这些“个人数据”。这一切都表明了这家科技巨头已经积累了足够多的用户数据,对其处理PII的行为,基本上可以规避法律的狭隘限制。
因此,对行为广告可能带来的伤害,监管建构应实施有意义地限制;对Facebook如何利用自身算法在其所持大数据中寻找、利用测算指标定位用户,监管机构的反应也应该更为灵敏。对于Facebook如何降低诸如推断敏感利益问题时法律对它的影响及其所使用的策略,进行相关论证。
另一位隐私观察家、独立隐私研究员和顾问Lukasz Olejnik博士称,这项研究令人震惊!该论文本是最近十年里最为重要的十大隐私研究成果之一。
“28亿人中定位到1个用户?Facebook平台声称有预防措施,这种微定位不可能实现?目前为止,这是最近十年里最重要的十大隐私研究结果之一。”他告诉TechCrunch。
“看来,根据GDPR第4(1)条,Facebook仍可通过兴趣标签,对用户进行识别。也就是说,兴趣构成了个人数据。鉴于只对三个用户进行了纳米测试,我们不确定这样的处理方式将如何扩展,这是唯一一个需要大家留心的地方。”
Olejnik说,研究表明,目标定位是基于个人数据的,该数据甚至可能是GDPR第9条提到的特殊类别数据。
“这意味着,除非做了适当的保护措施,否则用户的明确同意必不可少。但根据该论文,我们的结论是,如果真的有保护措施,那它远远不够。”他补充说。
采访中问到Olejnik是否认为该研究表明了Facebook违反了GDPR,Olejnik说:“毫无疑问,DPA应该进行调查。”他补充到:“即使此事在技术上可能具有挑战性,但立案最多只需两天。”
我们向Facebook在欧洲的主要数据保护机构(DPA)爱尔兰DPC提出了这项研究,询问隐私监管机构是否会进行调查,从而确定Facebook是否存在违反GDPR的情况。但撰写本文时,DPC仍未回应。
禁止微定位?
该论文是否为取缔微定位提供了强有力理由,Olejnik认为,遏制这种做法“是未来的方向”,但现在的问题是如何做到这一点。
“就目前的行业和政治环境,我不确定是否已经为全面禁止微定位做好了准备。至少,我们应该采取技术预防措施。”他说。“我的意思是,早些时间就已经告知了我们这些工作已准备到位,但在Facebook的纳米定位下,情况不是很妙。”
Olejnik还表示,据谷歌的网页隐私开放标准Privacy Sandbox提案中的一些想法,可能会有一些变化。不过,由于广告技术投诉引发的竞争审查,该提案已停滞。
采访问及Cuevas对禁止微定位的看法时,他告诉我们:“我个人的立场是,我们需要了解隐私风险和经济(就业、创新等)之间的权衡。我们的研究明确表明了广告技术行业应该明白,只了解诸如电子邮件、电话、邮政地址等PII信息是不够的,他们需要对受众的定义方式采取更为严格的举措。”
“说到这里,我们不赞同微定位,即在至少数百万用户中定位一人,这种定位应该令行禁止。微定位的背后,有一个极为重要的市场,它创造了许多就业机会,可以说是一个极具创新的部门。它现在做的事情不仅不是坏事,还很有趣。因此,我们的立场是限制对用户实施一对一微定位,保证用户的隐私”。
“我们认为,隐私领域亟待解决的是‘同意’问题,”他说到。“研究界和广告技术生态系统必须努力,最好是团结一心,共同提供一个有效的解决方案,获得用户的知情同意。”
放大来看,欧洲的人工智能驱动的工具,也还有诸多法律要求迫在眉睫。
今年早些时候提出的“欧盟关于人工智能高风险应用的立法建议”,全面禁止人工智能系统部署“超越人体意识的潜意识技术,实质性地扭曲人类行为,导致或可能导致该人或其他人的身体或心理伤害”。
因此,根据欧盟未来的人工智能条例,大家茶余饭后不妨猜一猜,Facebook平台是否可能面临禁止。除非该公司采取适当的保障措施,有力防止其广告工具用于敲诈或心理操纵个人用户,降低公司风险。
不过,就目前而言,对于Facebook的眼球定位帝国来说,这还是有利可图的。
采访问及Cuevas对该平台的未来研究计划时,他说,他们想做的下一项工作显然是将兴趣与其他人口统计信息结合起来研究,看看纳米定位是否“更加容易”。
“我的意思是,广告商很有可能将用户的年龄、性别、城市(或邮政编码)和一些兴趣结合起来,对用户进行纳米定位,”他建议说。“我们想了解,你需要结合多少个这样的参数。推理出一个用户的出生、性别、年龄、地点和少数兴趣可比推理出几十个兴趣更为容易。”
Cuevas补充说,纳米定位的论文已被接收,将在下个月国际多媒体会议互联网测量大会上发表。
注:该报到已更新,并作了更正。最初错误地指出,研究人员使用了Facebook的自定义受众工具(Facebook’s Custom Audience tool )对个人用户进行纳米定位,该工具实际上被称为Facebook广告管理器(Facebook Ads Manager)。
本文来自互联网,不代表前途科技立场,如若转载,请注明出处:https://accesspath.com/tech/5689112/
