出品 | 虎嗅科技组

作者 | 丸都山

头图 | IC Photo

“谷歌所谓的隐私保护计划，就像很多人的减肥计划一样，只是说说而已。”这是在谷歌推出“隐私沙盒”后，《华尔街日报》做出的评论。

但凡事都有例外，当社会冲突裹挟着汹涌民意时，谷歌举起了隐私保护的大旗。

7月2日，谷歌公司正式宣布，将删除那些能够显示用户访问过堕胎诊所的位置数据。

就在谷歌做出表态的8天前，美国联邦最高法院推翻了1973年对“罗伊诉韦德案”的判决结果。保守派大法官们认为，堕胎权并非宪法赋予的权利，这意味着美国各州在规范堕胎方面获得自由裁量权，在个别州，女性堕胎今后可能被判非法。

“如果我们的系统识别出有人访问过堕胎场所，我们将在他们访问后不久从位置历史记录中删除这些条目。”谷歌核心系统和体验高级副总裁Jen Fitzpatrick在一篇博客文章中写道。同时她表示，前往咨询中心、家庭暴力庇护所、堕胎诊所和生育中心等地方是“非常私密”的事情。

可问题是，能够让美国政府及时、高效地获知患者就诊信息的帮手，难道不正是以谷歌为代表的科技巨头们吗？

就在1个月前，42位美国民主党议员向谷歌CEO Sundar Pichai写信施压，要求谷歌停止收集、保留不必要的地理位置数据。当然，那时民间关于堕胎与反堕胎舆论还没有得到激烈的发酵，谷歌也并未做出回应。

关于隐私安全问题，应该将矛头指向谷歌吗？这很难给出答案，一方面谷歌是“个性化广告推送”的始作俑者，占据着全球52%的数字广告市场份额。另一方面，通过用户数据获益的远不止谷歌一家，而其中的大多数在用户隐私保护上也远不如谷歌。

因为搜索堕胎，她被指控二级谋杀

在电影《绿皮书》书中，主角二人开车穿越“日落小镇（日落后禁止黑人出行）”被白人警察拦下的桥段令人印象深刻。历史上，这个小镇所在的密西西比州不仅以“白人至上主义”而闻名，同样也是保守宗教势力的大本营。

2017年，密西西比州的一名妇女Latice Fisher因堕胎被指控二级谋杀。

在法庭审判上，检方拿出了多项证据去证明Fisher是在主观上想要“杀死胎儿”，其中包括浏览器历史中关于堕胎药的搜索、流产手术的细节，以及Fisher出入堕胎诊所的位置记录。

在密西西比州，女性堕胎要被证明“妊娠已危及生命”

万幸的是，Fisher最终被判无罪。但这也引起美国群众的恐慌，这些详尽的网络浏览记录是谁向检方提供的？答案显而易见：Fisher使用的浏览器是Chrome，提供定位的APP也是谷歌地图。

这种现象并不是孤立存在的。包括Meta、苹果、微软在内的科技公司每年会受到美国执法部门数以万计的数据共享请求，秉承着“多一事不如少一事”的原则，这些关于用户的信息大多被科技公司们和盘托出。

商业公司是否应该对执法机构保留用户的隐私权？这需要根据所在国的相关法律法规加以分析，这里我们不进行讨论。

但值得关注的是，科技公司大规模收集用户数据这个行为本身，对用户而言是否存在隐私泄露的风险？

这里要先引入一个概念：“第三方Cookie”。这项在1993年被开发的技术，最初的目的是帮助用户避免频繁登录同一网站时打开页面过慢的问题。

本质上，Cookie是对用户上网数据与行为的记录和存储，以此发展出的第三方Cookie则是由非用户网络域名建立的，且放置在网络访问者计算机上的跟踪代码。当用户访问网站时，第三方Cookie会跟踪此信息，并将其发送给创建Cookie的第三方，比如广告商。

对于这些广告商来说，第三方Cookie可帮助自己了解用户整体的在线行为，比如他们的兴趣爱好。有了详实的数据，广告商便可建立完备的访客档案用来给访问者发送定向广告。

在早期的互联网上，由于内容匮乏，被用于记录第三方Cookie的基本只有浏览器，但随着移动互联时代的到来，用户数字信息记录也开始趋于完整、立体。

这些信息有多么详细呢？谷歌把所有的用户数据都发布在“takeout.google.com”的网站上，用户可以根据需求自行下载，其中包括地图、通讯录、Chrome浏览器数据等37项谷歌应用。根据这些统计数据，谷歌可以完整地掌握用户的个人资料和使用习惯，甚至是用户近期遭遇的重大事项。

尽管谷歌标明用户可以在设置中自主选择关闭信息记录，但在很多时候，用户关闭这些按钮的过程堪比一部“碟中谍”，比如谷歌的应用会在用户关闭信息记录后，反复向用户询问“是否开启”，或者默认“在下一次进入应用时自动开启”。

而在特殊情况下，这些关闭按钮可能只是摆设。美联社此前发布的一份调查显示，即使用户在隐私设置中关闭“位置数据”这一项，谷歌服务依然会自动储存添加了时间的用户位置信息。

尽管谷歌在用户数据的问题上被屡次诟病，但至少用户能够知道谷歌在收集什么，更多时候，其他网站的用户根本不清楚平台在收集自己的哪种信息。

隐私保护靠自觉？

互联网安全专家Max Eddy曾发表过一个观点，“安全”和“隐私”这两个词是无法和谷歌划等号的。

这句话不仅适用于谷歌，也适用于所有的搜索引擎。

因为搜索引擎的商业模式就是建立在收集用户数据基础之上的。从行业的角度来讲，用户数据是机器学习的来源，它能为用户提供更具针对性的内容。从公司的角度来说，利用用户数据细分目标群体是数字广告业的基石，如果数字广告无法保障触达率和转化率，那么搜素引擎公司将失去主要收入来源。

但在用户越来越注重隐私安全保护的今天，科技公司也在积极探索可以对用户数据予以一定保护的新技术。

2020年初，谷歌宣布将在两年内从Chrome浏览器中逐步删除第三方Cookie，但如果只是简单地删除第三方Cookie，广告主们可能都不会答应。因此谷歌推出了一种名为FLoC（Federated Learning of Cohorts，群组联合学习）的API。

根据谷歌的官方解释，FLoC 算法使用机器学习算法来分析用户数据，然后根据个人访问的站点创建人群的集合。广告商不会获得用户的本地数据，而是直接获得更广泛的人群画像，从而进行广告发放。

某种程度上，FLoC算法的确能够对用户隐私保护起到积极作用，因为它能够因为他将数据收集的侧重点从用户个人画像转移至群体画像。

图片来源：Eeb.Dev 

但计划赶不上变化，在宣布推出FloC的五个月后，2020年6月，Chrome浏览器被曝出大规模用户信息泄露事件，一家名为GalComm的互联网域名注册商开发的恶意软件窃取用户的敏感信息，包括电子邮件和工资单，这款软件在扩展程序上架后的数日内便引来了3300万次下载。

这场大规模用户信息泄露事件再一次把谷歌推上风口浪尖，很多用户认为即使改用FLoC算法，谷歌依然无法保护用户的隐私安全，尽管此时的FLoC还未正式应用……

业内公司也适时地向谷歌发起“背刺”，包括微软、FireFox在内的一众科技公司都明确表示自家产品会禁用该功能。用户、友商和广告商的多重压力让谷歌最终放弃FLoC，转而开发全新的替代品Topics API。

相比于FLoC，Topics API收集用户的信息更少了，浏览器会根据用户的浏览历史归类出最能代表个人的6个主题类别，比如说“健身”或“旅行”，广告商将根据这些主题对用户进行投放。

需要注意的是，整个过程将完全在用户的设备上进行，不涉及Google或其他服务的任何外部服务器，而且只会给广告商提供那些不含用户敏感信息的数据。

谷歌的行动几乎展现出了一家搜索引擎公司的最大诚意，但科技公司Brave对此评价道，“擅自为用户定义敏感/非敏感信息，这本身就是对用户隐私的侵犯。”

Brave的表态可能含有来自竞争对手的主观情绪，但这也引申出一个问题：科技公司在收集用户数据上难道就没有限制吗？

可能还真没有。

就以医疗数据隐私保护为例，美国在1996年颁布过一项联邦法律《健康保险可携性和责任法案》（HIPAA）。该法案明确规定，对于包括在访问权内的信息，受管辖实体可以在某些特定情况下拒绝访问。例如，当医疗保健专业人员认为访问可能会对个人或他人造成伤害。

图片来源：the ame group 

这里可以看出这条法案最大的BUG：即浏览器保留患者数据时，医疗人员该如何判断这一行为是否会对个人造成伤害？患者又该如何知晓这一情况？

根据HIPAA的出发规定，如果不法行为涉及商业利益，则可能面临最高25万美元的罚款以及最长10年的刑期，这让美国的医生们在提及患者隐私时讳莫如深，但科技巨头们却可以凭借收集的用户数据在数字医疗领域混得风生水起。

归根结底，技术更迭对隐私安全问题很难提供实质性的保护，正如上文所提到的，人们不能指望依靠广告精准推送的科技公司们去实现“自我革命”，能够提供保障的只有政府监管的不断完善。

这一点对于全球互联网行业都应适用。

Tips：我是虎嗅前沿科技组张晋源，关注消费电子、半导体与元宇宙，随时欢迎交流。（请务必备注商业身份，谢谢。微信：18510113471）