本文轉載自公眾號“讀芯術”(ID：AI_Discovery)。

2020年6月的某一天，筆者花了13.87美元，通過流行的送餐服務Doordash點了杯珍珠奶茶，喜滋滋地等它到家。下單時，筆者期待著和Doordash之間小小的放縱會持續下去。

筆者并沒有明確地將這種服務與自己其他在線賬戶綁定。也許外賣騎手因此會翻白眼，也許Doordash的推薦系統會各種“利誘”，建議筆者在幾天內重復訂單。但筆者認為只是購買不會產生太大的影響。

[[337908]]

但我錯了。Doordash(以及數百家類似的公司)并不只是記錄你的每一次購買，他們還與其他公司分享購買數據，這些公司利用這些數據來定向投放廣告，Facebook就是其中一家公司。

當具有里程碑意義的加州消費者隱私法 (CCPA)于1月1日生效時，它為加州居民提供了一個前所未有的法律工具，能以此詢問大公司收集的有關他們的信息。這包括那些特別希望自己的活動不被發現的公司，比如Clearview AI.。

但是CCPA也創造了一個新而有趣的公司隱私策略——讓消費者沉浸在信息中。根據這部 從7月1日開始實施的法律，CCPA會是一筆可怕的罰款，很容易就會給大公司帶來數百萬甚至數十億美元的損失。面對這種風險，一些公司似乎在想：“如果我們讓消費者接觸到幾乎所有的信息，我們就不可能被指控違反CCPA，對吧?”

結果就是，消費者現在可以訪問包括Facebook在內的幾家大公司的海量數據轉儲。要獲得你自己的信息只需登錄Facebook.com/your_information，點擊下載信息，然后按照說明操作。通常在幾分鐘內，你就會被邀請下載一個巨大的壓縮文件，里面有Facebook知道的關于你的所有信息。

[[337909]]

圖源：unsplash

沒錯，就是全部信息。筆者的數據轉儲是461兆字節，它包含了筆者在Facebook上發的每一個帖子，上傳到這個平臺上的每一張照片，評論的每一件事，喜歡的每一件事，筆者的所有視頻，和朋友的對話等等。

Facebook收集了所有這些數據并不是什么新鮮新聞了，我們都知道Facebook對我們所做的一切都了如指掌。在對美國參議院的訪問中，馬克·扎克伯格甚至明確表示，公司了解你一切的原因是：“我們運營廣告。”

但親眼看到自己的整個線上生活在充滿HTML文檔的小文件夾中排列在面前，仍然是令人震驚的。還有一個有趣的=小文件夾，藏在Facebook的海量數據存檔中，標記著your_off-facebook_activity(一個只有程序員才會喜歡的目錄名)。這個文件夾包含了所有在其他地方提供過你活動數據給Facebook的公司列表。

用Facebook自己的話說，這些數據捕捉了“企業和組織與我們分享的活動的概要，關于你與他們的互動，比如訪問他們的應用程序或網站。”這包括“打開一個應用程序，通過Facebook登錄一個應用程序，查看內容，搜索商品，將商品添加到購物車購買商品和捐款。”

如果你在無數的電子商務網站上買了一件東西，為政治競選捐款，使用了幾百個參與應用程序中的任意一個，或者，像我這樣，買了非常昂貴的珍珠奶茶，Facebook很有可能知道這些。他們用這些信息做什么?這很清楚，它的存在就是為了“向你展示更多相關的廣告”，“幫助你發現新的交易和品牌”等等。

對筆者來說，Facebook收集它所能得到的所有數據并不奇怪。但令人驚訝的是，有多少筆者認識以及信任的公司愿意把這些數據交給他們。

通過閱讀自己的“非Facebook數據頁面”，筆者發現自己的清單中包含了從交手過的大公司(如Sprint和Airbnb)，到新聞網站(如紐約時報和彭博社)，醫療供應商(LabCorp)，慈善機構(碳基金)。

筆者記得在谷歌上搜索的時候找到了一個管道工，其網站是Mr. Rooter，他也在名單上;還有Fitbit和Welltory等健康應用，以及當地的商業網站，比如筆者經常光顧的兩個城鎮外的一家披薩店。總共有1000多家外部公司向Facebook提供了筆者的活動信息。

[[337910]]

圖源：unsplash

點擊每個公司，筆者都能看到他們提供的數據摘要。這些交易的許多細節都因籠統而模糊不清。Facebook為每個數據點列出了一個“事件類型”字段，大多數都有其通用的名稱自定義“CUSTOM”。

根據事件類型很容易確定Facebook記錄了什么。例如，在查看Doordash條目時，筆者發現有幾件事被記錄為購買“PURCHASE”，每一個都有時間標記。筆者把這些和送貨單進行了對比，這就是筆者如何發現珍珠奶茶訂單從Doordash進入了Facebook上關于筆者生活的巨大數據庫。

這些訂單確實是作為一個購買事件記錄在筆者的Facebook數據中，由Doordash分享的。它的時間顯示是6月9日下午2:13，這正是筆者下“Doordash”訂單的時間，而且與在Doordash應用程序中訪問到的訂單歷史記錄完全吻合。

Facebook再次展示了它收集的數據，但所顯示的問題比它所回答的問題更多。Facebook關閉活動頁面表示，“出于技術和準確性方面的原因，我們不會顯示收到的所有活動信息，也不會顯示您添加到購物車中的商品等細節。”

[[337911]]

圖源：unsplash

不顯示出來，但是他們會收集嗎?我們不得而知，所以筆者決定找出答案。筆者用Doordash提交了一份CCPA申請，但沒有得到批準。于是筆者啟動Chrome瀏覽器，開始使用瀏覽器開發工具進行網絡監控(它會記錄瀏覽器發送和接收的所有原始數據)，為發送到Facebook的數據設置了一個過濾器，進入Doordash的網站，并創建了一個全新的帳戶。

從第一次點擊開始，筆者就被Facebook正在收集的東西震撼了。當從一個頁面瀏覽到另一個頁面，完成創建賬戶的過程時，Doordash會不斷向Facebook發送活動的詳細更新。其中包括注冊了一個賬戶，第一次登錄的時刻，以及在Doordash網站上瀏覽的每一個頁面。

同樣，這是一個全新的Doordash賬戶。筆者沒有使用Facebook賬戶登錄Doordash，也沒有做過任何將兩項服務鏈接起來的事情。Doordash完全是在筆者不知情的情況下自愿將數據分享給Facebook。

為了更深入地了解，筆者決定重現那次珍珠奶茶購買，這一次筆者將監視全過程。這是早餐時間，所以筆者決定找一杯奶昔而不是茶。筆者瀏覽網頁找到了當地一家名為VitalityBowls的餐館。在筆者這么做的同時，Doordash殷勤地將筆者每次行動的數據發送到Facebook。

筆者看到了一款喜歡的奶昔(the TropicalParadise™售價7.49美元)，于是點擊來了解更多。Doordash將這個點擊發送到Facebook。它甚至包括了點擊的商品的名稱，以及它鏈接到的商店(VitalityBowls Dublin)。

這一次筆者能清楚地看到他們發送了什么。它包括商店的標識符、奶昔本身的ID、購買價格、Doordash購物車和訂單的ID、購買數量、使用的貨幣，以及筆者是新顧客這一事實。發送到Facebook的大量數據令人震驚—筆者購物經歷的每一步，包括個人點擊和確切花費，這些數據都被記錄下來并實時分享。

Doordash將筆者購買奶昔的數據片段發送到Facebook。用紅色標注的潛在識別信息是筆者的隱私 | 圖源:Thomas S

再次強調，Doordash并不是唯一一家將數據發送到Facebook的公司。許多其他公司也分享了購買數據。例如，Sprint公司在筆者購買新手機前后就在Facebook上記錄了購買記錄。

其他公司也以某種可以理解的形式提供了購買之外的數據。例如，當在Facebook網站上瀏覽內容(VIEWED CONTENT)時，有幾個消息來源告訴Facebook。Welltory，一款健康應用，在我升級(LEVELED UP)的時候被分享。

然后是所有這些用戶(CUSTOM)記錄。使用相同的瀏覽器數據監控技術，筆者也許可以確定其中許多數據意味著什么。然而，CCPA可能有一個更簡單的方法。筆者可以簡單地向筆者感興趣的每家公司提交請求，并可能準確確定他們向Facebook發送了哪些“客戶”數據。

值得稱贊的是，Facebook非常清楚他們為什么要收集你的所有數據。而且它們讓訪問所有與Facebook相關的活動的大量存檔變得相對便易，這至少可以讓你知道哪些公司正在發送哪些類別的數據，即使具體細節是模糊的。

它們應該包括更多(比如被記錄的確切數據)，但它確實提供了一個開端，而且它們的許多數據收集工作都是公開的。

其他與公司分享信息的組織可能會對信息泄露感到不滿，有些人甚至沒有意識到他們在Facebook上發送了什么。今年早些時候，當因違反其隱私政策被指控共享數據時，Zoom做出了這一聲明(Doordash的隱私政策承認它與第三方共享數據，但沒有特別提到Facebook)。

一些公司可能正在發送他們不應該發送的數據。Facebook有禁止發送敏感數據的政策，比如醫療或財務記錄。但當一切都被貼上“CUSTOM”標簽時，就不可能知道其是否遵守了這些政策。

這就是CCPA該發揮作用的地方。如果你想知道是誰向Facebook發送了你的數據，確切地說，他們給你發送了什么，現在你可以找到答案了。首先，使用我上面描述的過程，從Facebook獲取你自己的海量數據。然后，梳理一下Facebook以外的活動區域，看看是誰向他們發送了你的信息。

最后，向每個公司提交一個CCPA申請，要求詳細說明他們是如何共享你的數據的，以及共享的目的是什么。如果你住在加州，你的要求將得到法律的支持。但許多大公司也在將CCPA擴展到該州以外的客戶，所以即使你不是加州人也有可能得到回復。

如果你對公司的反饋不滿意，或者覺得他們在隱瞞數據，那就去找律師。自從該法律于7月1日生效以來，一些公司正在受理CCPA的案件。根據消費者保護律師Mike Cardoza的說法，他的公司已經開始受理CCPA的案件，律師們“經常以集體訴訟的形式起訴這些案件，這是阻止公司不當行為的一個好方法。”

作為消費者，CCPA和其他隱私法給了我們一個前所未有的權限來訪問我們自己的數據。但只有當我們積極保護自己的隱私，了解誰在收集關于我們的數據，以及為什么收集數據時，這些法律才會起作用。

[[337912]]

圖源：unsplash

這需要大量的工作，誰會愿意花幾個小時在一個巨大的壓縮文件模糊角落里梳理，或者在原始的HTTP請求中搜索，以找到寥寥無幾的個人信息呢?但如果我們想確保我們的網絡生活受到保護，我們就需要投入工作。

所以，卷起你的袖子，抓起你自己的Facebook數據檔案，開始挖掘吧。如果發現了一些令人驚訝或擔憂的事情，請使用CCPA或你權力范圍內的其他法律來跟進。只有通過采取這些步驟來提高透明度并獲取信息，我們才能讓自己知道大公司對我們了解多少，以及他們在告訴誰。