几个月来，关于DoNotTrack（一个告诉广告商和其他第三方不要在互联网上跟踪你的HTTP头文件）的话题相对平静，但这个备受争议的浏览器信号又被推到了聚光灯下。在W3C最近在阿姆斯特丹举行的面对面会议之后，数字广告联盟明确表示“不要求公司尊重DNT”，实际上是说它打算坚持自己对用户隐私的自我监管方式。重新引起人们兴趣的主要原因是微软决定在windows8的internetexplorer10中默认启用donottrack，而Adobe工程师royfielding随后决定对apacheweb服务器进行重击，以一种明确覆盖来自微软最新浏览器的DNT信号的方式修补它。

据称，随着我们钟爱的互联网经济的命运岌岌可危，或许现在正是检验“不跟踪”是什么的好时机。这个标准是如何形成的，它做了什么，它如何改变网络广告？它是像隐私权倡导者所说的那样无害，还是会危害到我们大家所依赖的免费、支持广告的互联网？

我们怎么来的？

早在2007年，一个由激进分子、学者和律师组成的联盟就与联邦贸易委员会接洽，创建了一个类似于全国范围内成功的“不打电话名单”的在线列表——一个所有电话销售人员都必须尊重的单一选择退出名单。该文件的作者关注的是“营销人员和广告网络”，他们能够“监控和维护消费者在网上和其他数字媒体上从事的各种行为的数据。”通过结合用户的浏览历史、人口统计信息和购买历史等信息，广告网络能够高度精确地瞄准潜在客户。这种广告后来被称为在线行为广告，或OBA。

直到2010年才从雷达上消失

正如隐私研究人员克里斯托弗·索吉安（Christopher Soghoian）所指出的，直到2010年，美国联邦贸易委员会（FTC）才呼吁业界建立一种机制，允许用户控制浏览数据的收集和使用。该机制旨在采用“设计隐私”的方法，就像HTTP cookie（见下文）一样，允许用户在每次加载网页时交流信息——在这种情况下，他们的偏好不会被跟踪。这份报告草案提交给了web最大的标准制定机构worldwideweb C***ortium（W3C），该机构成立了跟踪保护工作组。它的计划是召集利益相关者，从隐私权倡导者到专门从事OBA的公司，敲定一个圣杯：一个人人都能接受的网络标准，给消费者真正的隐私选择。小组最终确定了一个HTTP头，“DNT=1”——每次浏览器请求网页时都会发送一段很小的文本，礼貌地要求不要被跟踪。

跟踪是如何工作的？

围绕行为定位的争论取决于所谓的“第三方跟踪”。这个术语的定义有争议，但它通常是用来描述一个广告网络或其他实体使用某种独特的标识符来跟踪单个用户在多个网站上的行为在这种情况下，“第三方”是指用户不知道（或不能合理预期知道）他或她正在与之交互的组织。

“第三方追踪”是一个有争议的术语

当你访问一个站点时，比如说Verge，你的浏览器会加载Verge（第一方）直接提供的内容，比如我们的文章和图片。它还加载第三方提供的内容，比如YouTube的嵌入式视频、Facebook的“like”按钮和广告内容。在最简单的情况下，第三方跟踪发生在第三方在您的计算机上存储HTTP cookie（几个字节的文本）时，您的计算机在下一次两条路径交叉时将其发送回ad网络。一个单一的广告网络可能会在数千个网站上发布广告，而cookie的唯一ID号就像一个雷达信号，每次你加载嵌入该网络广告的页面时，它就会亮起。通过记录这些漏洞，有问题的公司能够重建你浏览历史的大块。从绝对值来看，前谷歌人布莱恩•肯尼什（briankennish）计算出，在全球排名前1000位的网站中，谷歌的DoubleClick广告网络占据了20多万个页面的18%。拥有实名用户的Facebook在33%的网页上以第三方身份出现。

不过，HTTP cookie并不是防弹的。它只是文本，而不是应用程序，您可以删除它，切换浏览器或设置以禁用第三方cookie，或者使用像AdBlock Plus这样的浏览器扩展来完全停止加载广告。尽管后两种解决方案依赖于需要不断更新的阻止列表，但问题似乎已经解决了（暂时忽略“超级脚本”，比如那些利用adobeflashplayer的超级脚本）。

隐私保护人士更担心的是浏览器指纹

隐私保护人士更担心的是浏览器指纹识别，它可以从你的浏览器在服务器上的“外观”来识别你。这种方法使用计算机随时提供的信息，比如使用的浏览器版本，以及安装的插件和字体。你可能不认为这些平凡的数据是非常有意义的，但如果一起使用，标记的组合足以唯一地识别你。EFF的Panopticlick项目显示了这样做是多么微不足道——2010年，一个大约50万浏览器的样本发现，84%的浏览器是唯一可识别的（对于那些安装了Flash或Java的浏览器，这一比例上升到了94%）。这种“无状态”（即，不是基于cookie的）跟踪基本上是用户看不见的，不能用浏览器扩展轻易阻止，公司已经做了很多年了。

匿名跟踪数据

但是假设我们承认用户跟踪是网络生活中不可避免的事实，它会对隐私造成真正的威胁吗？广告商一再指出，数据匿名化，删除或“擦洗”个人识别信息（PII）如姓名和电话号码，作为证据匿名跟踪的安全性。但是隐私保护主义者声称这个问题并不是那么简单。科罗拉多大学法学院教授保罗欧姆（paulohm）在2010年的一篇论文中详细分析了被删除数据的去匿名化所带来的威胁。首先，作者引用了一项里程碑式的研究的后续结果，该研究显示，美国63%的人可以通过邮政编码、出生日期和性别的组合来唯一地识别身份，作者总结了最近著名的匿名化方法。其中包括阿文德纳拉亚南（arvindnarayanan）和维塔利什马蒂科夫（Vitaly Shmatikov）广为宣传的Netflix评级与IMDb评级的交叉引用，以及卡内基梅隆大学计算机科学教授拉坦亚•斯威尼（Latanya Sweeney）对公开发布的马萨诸塞州健康记录的匿名化，其中包括她将自己的“匿名化”记录邮寄给州长，以证明这一点。

数据“匿名化”其实是“假名化”

Ohm和其他人指出，传统的匿名化很容易被打破，而且随着越来越多的数据公开，这种匿名化可能变得更加脆弱。当一些看似平凡的数据与另一个看似无关的数据库结合使用时，它就可以提供解锁大量信息所需的钥匙——比如单个用户浏览历史背后的名字。正如Narayanan等人指出的，“匿名化”数据实际上是“假名化”——一旦用户的广告网络ID与自己的名字绑定，那么这个名字就可以任意绑定到遥远的时间和未来的日志上。一旦一个用户被揭开了伪装，就没有回头路了。

尽管像谷歌和Facebook这样的大公司确实会在你登录和访问某个网站时用他们的社交小工具记录你的浏览活动，但他们至少有庞大的品牌需要保护，数据泄露泄露人们敏感信息的公关噩梦在某种程度上鼓励了数据安全。但斯坦福大学研究员乔纳森•迈耶（Jonathan Mayer）表示，OBA公司的情况并非如此，许多公司都是刚刚成立的小型初创企业，可能没有足够的数据保护措施：

I think it's fair to say that the chance of [a data breach at Google or Facebook] is not too high, thankfully… But they're just a couple of companies, and there are a hundred companies that have t*** and t*** of information about users. It would only take a breach at one for users to really be in a tight spot. I guess the question becomes "do you trust all hundred to get it right?"

w3c公司

这让我们回到了W3C和donotrack，它的目的是通过阻止第三方完全记录用户的浏览历史来避免这个问题。追踪保护工作组成立一年来，公开记录显示，已经发送了近5000封电子邮件，参加了数周的面对面会议，委员会成员之间一个小时又一个小时的电话和IRC对话。在这一切之后（或者，有些人可能会说，正因为如此），协议的三大症结几乎没有取得进展。

5000封邮件之后，我们仍然没有一个功能性的不跟踪系统

梅耶尔解释说，第一个问题是一个用户界面问题——默认值是DNT on还是DNT off，以及如何向用户显示选择。在这种情况下，菲尔丁在apacheweb服务器上覆盖IE10的DNT头的决定有了新的含义，这是一个单方面的举动，危害了最受关注的谈判领域之一。第二个问题涉及到像分析公司这样的服务提供商在规范下是如何对待的——如果他们在第一方的领域下运营，他们是第三方吗？第三个问题涉及跟踪数据的使用，第三方认为他们应该免于DNT。梅耶尔解释说，虽然隐私权倡导者和其他人一直在推动普遍选择退出第三方跟踪，但广告商一直在推动一种基于使用的方法，只要他们将跟踪数据用于“研究”和“营销”等允许的目的，就可以继续汇编跟踪数据

“我知道有些用户不喜欢行为广告。”

数字广告联盟（Digital Advertising Alliance）是一个“领先的国家广告和营销贸易集团联盟”（national Advertising and marketing trade groups），它提出了自己的持久性、基于cookie的选择退出（opt-out），以替代隐私倡导者支持的“不跟踪”（Do-Not-Track）标题。cookie不会阻止行为广告商跟踪你在网上的行为，但会阻止你看到目标广告，至少是那些选择尊重cookie的广告商。”我知道有些用户不喜欢行为广告但这肯定不是隐私问题的严重程度，是一些你从未听说过，也没有业务关系的公司…收集你的浏览历史。我的观点是，而且我认为该组织的倡导者和一些政策制定者的观点是，实际上，你们可以做行为广告。您只需在不收集用户浏览历史的情况下进行操作。”

经济论据

那些因DNT而亏损的公司的反应完全可以预料。任何可能损害在线广告的举措，都会遇到很多阻力。在线广告是免费内容机器运转的燃料。互联网的一个不可阻挡的事实是，有人需要为我们读的文章、看的音乐和Facebook上的Facebook付费。如果我们取缔网上追踪，那么所有的钱从哪里来？

到目前为止，OBA的优势在网络经济的许多参与者中已经非常明显。一家专门从事OBA的广告公司能够销售更有效的广告，赚更多的钱。广告公司也有动机选择OBA而不是其他广告媒体——更有针对性的广告提供了更好的投资回报。最后，对于广告支持的网站来说，允许公司提供消费者更有可能采取行动的广告可以带来更多的收入，并为新内容的**提供资金。似乎每个人都赢了。

如果我们取缔网上追踪，那么所有的钱从哪里来？

但也许这些假设应该受到质疑。首先，OBA只是在线广告蛋糕中的一块，数据显示它并不是一块特别大的蛋糕，估计在2014年还不到总数的10%。但第二，也许更重要的是，如果像“不跟踪”这样的东西被纳入法律，广告商将如何调整他们的支出。

**广告商战争的这一战线基本上归结为“如果OBA不再可用，公司将支出转移到其他类型的在线广告上的可能性有多大？”梅耶尔和其他人的立场是，在DNT尘埃落定后，如果在线广告预算几乎保持不变，而在线广告对于内容创作者来说几乎同样有利可图，但实际上并没有什么改变。

根据我们对广告支出分布的了解，我们可以肯定，对其他形式的在线广告的需求是高度弹性的；过去用于OBA的资金中有相当一部分将被分配给其他类型的在线广告，如上下文广告和人口统计广告。用户隐私和免费广告支持内容之间的选择不是二元的，研究人员已经证明，像客户端存储这样的方法可以极大地提高隐私，同时仍然提供在线跟踪所提供的许多相同的好处。简言之，终止第三方追踪确实会损害专门从事OBA的公司，但很难相信这和终止互联网上的广告支持内容是一样的。

不能得到它需要的法律支持吗？

假设W3C采用了一些隐私保护版本的donotrack，这并不意味着业界一定会遵守它。简单地说，对于行为广告商来说，实施一个直接切入他们底线的自愿网络标准的利润动机是微乎其微的。希望联邦贸易委员会能够提供执行该标准所需的法律援助，但很难说事情会如何发展。”EFF资深幕僚律师李天（Lee Tien）在电子邮件中表示：“很难判断胜算，这在很大程度上取决于选举结果。”无论是立法方面还是监管方面的任何预测都有赖于此。谈判通常是困难的，这两方面是因为倡导者对行业实践的信息不足，对不同行业部门如何看待DNT的认识也很模糊。”

如果美国不采取行动，欧洲可能会采取行动

在接受《****》关于W3C在阿姆斯特丹面对面会议前景的采访时，FTC主席Jon Leibowitz说：“如果到今年年底还没有达成协议的话，那么不跟踪消费者的选择将有巨大的两党动力。”而且，并非所有不跟踪的法律动力都在美国境内。值得注意的是，欧盟监管机构已试图将该地区的数据保护指令与不断演变的“不跟踪”规范紧密联系起来，欧盟的执法可能会对跟踪辩论在世界其他地区的展开产生影响。

我们该怎么办？

随着正在进行的“不跟踪”谈判在1月份接近预定结束，人们普遍感到绝望，我们不禁要问，网络广告的未来可能会如何。用户现在面临的最明显的风险是，存储其浏览信息详细日志的OBA公司存在数据泄露的可能性。如果说去年索尼PlayStation网络的黑客攻击是为《lulz》而进行的，那么想象同样的事情发生在广告商身上并不需要太多的想象力，只会带来更大的后果——对相关公司、整个行业，最重要的是，受影响的用户。

但是，即使不追踪谈判失败，没有新的立法通过，无处不在的追踪仍然是现状，争取用户隐私的斗争可能不会失败。微软决定在默认情况下启用隐私保护，苹果选择屏蔽第三方cookie，以及Mozilla对DNT的早期支持，都表明这些公司非常愿意与广告商抗衡。梅耶尔说，如果业界不开始以有意义的方式实施DoNotTrack，就有可能与浏览器供应商展开技术军备竞赛他补充道：“对于工业界来说，这可能是一个比不跟踪任何事情都糟糕得多的世界。”值得一提的是，正如一位非常资深的美国政策制定者所说，这些人并不像他们应该的那样害怕。”

是时候打一场更大的仗了

下一步是什么？预计W3C复杂而缓慢的进程将与美国国会和世界其他国家**更加官僚化的进程成倍增加。众议院隐私核心小组的两位联席主席对数字广告联盟在“不跟踪”问题上的消极立场“表示失望”。这是一个开始，但如果你还记得我们在过去十年中经历的弹出式广告和浏览器屏蔽之间的军备竞赛，现在是时候为一场更大的战斗而振作起来了。