数据泄密事件：Doordash等多家公司正将你的数据发送到Facebook

2020年6月的某一天，笔者花了13.87美元，通过流行的送餐服务Doordash点了杯珍珠奶茶，喜滋滋地等它到家。下单时，笔者期待着和Doordash之间小小的放纵会持续下去。

笔者并没有明确地将这种服务与自己其他在线账户绑定。也许外卖骑手因此会翻白眼，也许Doordash的推荐系统会各种“利诱”，建议笔者在几天内重复订单。但笔者认为只是购买不会产生太大的影响。

但我错了。Doordash(以及数百家类似的公司)并不只是记录你的每一次购买，他们还与其他公司分享购买数据，这些公司利用这些数据来定向投放广告，Facebook就是其中一家公司。

当具有里程碑意义的加州消费者隐私法 (CCPA)于1月1日生效时，它为加州居民提供了一个前所未有的法律工具，能以此询问大公司收集的有关他们的信息。这包括那些特别希望自己的活动不被发现的公司，比如Clearview AI.。

但是CCPA也创造了一个新而有趣的公司隐私策略——让消费者沉浸在信息中。根据这部 从7月1日开始实施的法律，CCPA会是一笔可怕的罚款，很容易就会给大公司带来数百万甚至数十亿美元的损失。面对这种风险，一些公司似乎在想：“如果我们让消费者接触到几乎所有的信息，我们就不可能被指控违反CCPA，对吧?”

结果就是，消费者现在可以访问包括Facebook在内的几家大公司的海量数据转储。要获得你自己的信息只需登录Facebook.com/your_information，点击下载信息，然后按照说明操作。通常在几分钟内，你就会被邀请下载一个巨大的压缩文件，里面有Facebook知道的关于你的所有信息。

图源：unsplash

没错，就是全部信息。笔者的数据转储是461兆字节，它包含了笔者在Facebook上发的每一个帖子，上传到这个平台上的每一张照片，评论的每一件事，喜欢的每一件事，笔者的所有视频，和朋友的对话等等。

Facebook收集了所有这些数据并不是什么新鲜新闻了，我们都知道Facebook对我们所做的一切都了如指掌。在对美国参议院的访问中，马克·扎克伯格甚至明确表示，公司了解你一切的原因是：“我们运营广告。”

但亲眼看到自己的整个线上生活在充满HTML文档的小文件夹中排列在面前，仍然是令人震惊的。还有一个有趣的=小文件夹，藏在Facebook的海量数据存档中，标记着your_off-facebook_activity(一个只有程序员才会喜欢的目录名)。这个文件夹包含了所有在其他地方提供过你活动数据给Facebook的公司列表。

用Facebook自己的话说，这些数据捕捉了“企业和组织与我们分享的活动的概要，关于你与他们的互动，比如访问他们的应用程序或网站。”这包括“打开一个应用程序，通过Facebook登录一个应用程序，查看内容，搜索商品，将商品添加到购物车购买商品和捐款。”

如果你在无数的电子商务网站上买了一件东西，为政治竞选捐款，使用了几百个参与应用程序中的任意一个，或者，像我这样，买了非常昂贵的珍珠奶茶，Facebook很有可能知道这些。他们用这些信息做什么?这很清楚，它的存在就是为了“向你展示更多相关的广告”，“帮助你发现新的交易和品牌”等等。

对笔者来说，Facebook收集它所能得到的所有数据并不奇怪。但令人惊讶的是，有多少笔者认识以及信任的公司愿意把这些数据交给他们。

通过阅读自己的“非Facebook数据页面”，笔者发现自己的清单中包含了从交手过的大公司(如Sprint和Airbnb)，到新闻网站(如纽约时报和彭博社)，医疗供应商(LabCorp)，慈善机构(碳基金)。

笔者记得在谷歌上搜索的时候找到了一个管道工，其网站是Mr. Rooter，他也在名单上;还有Fitbit和Welltory等健康应用，以及当地的商业网站，比如笔者经常光顾的两个城镇外的一家披萨店。总共有1000多家外部公司向Facebook提供了笔者的活动信息。

图源：unsplash

点击每个公司，笔者都能看到他们提供的数据摘要。这些交易的许多细节都因笼统而模糊不清。Facebook为每个数据点列出了一个“事件类型”字段，大多数都有其通用的名称自定义“CUSTOM”。

根据事件类型很容易确定Facebook记录了什么。例如，在查看Doordash条目时，笔者发现有几件事被记录为购买“PURCHASE”，每一个都有时间标记。笔者把这些和送货单进行了对比，这就是笔者如何发现珍珠奶茶订单从Doordash进入了Facebook上关于笔者生活的巨大数据库。

这些订单确实是作为一个购买事件记录在笔者的Facebook数据中，由Doordash分享的。它的时间显示是6月9日下午2:13，这正是笔者下“Doordash”订单的时间，而且与在Doordash应用程序中访问到的订单历史记录完全吻合。

Facebook再次展示了它收集的数据，但所显示的问题比它所回答的问题更多。Facebook关闭活动页面表示，“出于技术和准确性方面的原因，我们不会显示收到的所有活动信息，也不会显示您添加到购物车中的商品等细节。”

图源：unsplash

不显示出来，但是他们会收集吗?我们不得而知，所以笔者决定找出答案。笔者用Doordash提交了一份CCPA申请，但没有得到批准。于是笔者启动Chrome浏览器，开始使用浏览器开发工具进行网络监控(它会记录浏览器发送和接收的所有原始数据)，为发送到Facebook的数据设置了一个过滤器，进入Doordash的网站，并创建了一个全新的帐户。

从第一次点击开始，笔者就被Facebook正在收集的东西震撼了。当从一个页面浏览到另一个页面，完成创建账户的过程时，Doordash会不断向Facebook发送活动的详细更新。其中包括注册了一个账户，第一次登录的时刻，以及在Doordash网站上浏览的每一个页面。

同样，这是一个全新的Doordash账户。笔者没有使用Facebook账户登录Doordash，也没有做过任何将两项服务链接起来的事情。Doordash完全是在笔者不知情的情况下自愿将数据分享给Facebook。

为了更深入地了解，笔者决定重现那次珍珠奶茶购买，这一次笔者将监视全过程。这是早餐时间，所以笔者决定找一杯奶昔而不是茶。笔者浏览网页找到了当地一家名为VitalityBowls的餐馆。在笔者这么做的同时，Doordash殷勤地将笔者每次行动的数据发送到Facebook。

笔者看到了一款喜欢的奶昔(the TropicalParadise™售价7.49美元)，于是点击来了解更多。Doordash将这个点击发送到Facebook。它甚至包括了点击的商品的名称，以及它链接到的商店(VitalityBowls Dublin)。

这一次笔者能清楚地看到他们发送了什么。它包括商店的标识符、奶昔本身的ID、购买价格、Doordash购物车和订单的ID、购买数量、使用的货币，以及笔者是新顾客这一事实。发送到Facebook的大量数据令人震惊—笔者购物经历的每一步，包括个人点击和确切花费，这些数据都被记录下来并实时分享。

再次强调，Doordash并不是唯一一家将数据发送到Facebook的公司。许多其他公司也分享了购买数据。例如，Sprint公司在笔者购买新手机前后就在Facebook上记录了购买记录。

其他公司也以某种可以理解的形式提供了购买之外的数据。例如，当在Facebook网站上浏览内容(VIEWED CONTENT)时，有几个消息来源告诉Facebook。Welltory，一款健康应用，在我升级(LEVELED UP)的时候被分享。

然后是所有这些用户(CUSTOM)记录。使用相同的浏览器数据监控技术，笔者也许可以确定其中许多数据意味着什么。然而，CCPA可能有一个更简单的方法。笔者可以简单地向笔者感兴趣的每家公司提交请求，并可能准确确定他们向Facebook发送了哪些“客户”数据。

它们应该包括更多(比如被记录的确切数据)，但它确实提供了一个开端，而且它们的许多数据收集工作都是公开的。

其他与公司分享信息的组织可能会对信息泄露感到不满，有些人甚至没有意识到他们在Facebook上发送了什么。今年早些时候，当因违反其隐私政策被指控共享数据时，Zoom做出了这一声明(Doordash的隐私政策承认它与第三方共享数据，但没有特别提到Facebook)。

一些公司可能正在发送他们不应该发送的数据。Facebook有禁止发送敏感数据的政策，比如医疗或财务记录。但当一切都被贴上“CUSTOM”标签时，就不可能知道其是否遵守了这些政策。

这就是CCPA该发挥作用的地方。如果你想知道是谁向Facebook发送了你的数据，确切地说，他们给你发送了什么，现在你可以找到答案了。首先，使用我上面描述的过程，从Facebook获取你自己的海量数据。然后，梳理一下Facebook以外的活动区域，看看是谁向他们发送了你的信息。

最后，向每个公司提交一个CCPA申请，要求详细说明他们是如何共享你的数据的，以及共享的目的是什么。如果你住在加州，你的要求将得到法律的支持。但许多大公司也在将CCPA扩展到该州以外的客户，所以即使你不是加州人也有可能得到回复。

如果你对公司的反馈不满意，或者觉得他们在隐瞒数据，那就去找律师。自从该法律于7月1日生效以来，一些公司正在受理CCPA的案件。根据消费者保护律师Mike Cardoza的说法，他的公司已经开始受理CCPA的案件，律师们“经常以集体诉讼的形式起诉这些案件，这是阻止公司不当行为的一个好方法。”

作为消费者，CCPA和其他隐私法给了我们一个前所未有的权限来访问我们自己的数据。但只有当我们积极保护自己的隐私，了解谁在收集关于我们的数据，以及为什么收集数据时，这些法律才会起作用。

这需要大量的工作，谁会愿意花几个小时在一个巨大的压缩文件模糊角落里梳理，或者在原始的HTTP请求中搜索，以找到寥寥无几的个人信息呢?但如果我们想确保我们的网络生活受到保护，我们就需要投入工作。

所以，卷起你的袖子，抓起你自己的Facebook数据档案，开始挖掘吧。如果发现了一些令人惊讶或担忧的事情，请使用CCPA或你权力范围内的其他法律来跟进。只有通过采取这些步骤来提高透明度并获取信息，我们才能让自己知道大公司对我们了解多少，以及他们在告诉谁。[本文转载自公众号“读芯术”(ID：AI_Discovery)]