幾個月來，關於DoNotTrack（一個告訴廣告商和其他第三方不要在網際網路上跟蹤你的HTTP標頭檔案）的話題相對平靜，但這個備受爭議的瀏覽器訊號又被推到了聚光燈下。在W3C最近在阿姆斯特丹舉行的面對面會議之後，數字廣告聯盟明確表示“不要求公司尊重DNT”，實際上是說它打算堅持自己對使用者隱私的自我監管方式。重新引起人們興趣的主要原因是微軟決定在windows8的internetexplorer10中預設啟用donottrack，而Adobe工程師royfielding隨後決定對apacheweb伺服器進行重擊，以一種明確覆蓋來自微軟最新瀏覽器的DNT訊號的方式修補它。

據稱，隨著我們鐘愛的網際網路經濟的命運岌岌可危，或許現在正是檢驗“不跟蹤”是什麼的好時機。這個標準是如何形成的，它做了什麼，它如何改變網路廣告？它是像隱私權倡導者所說的那樣無害，還是會危害到我們大家所依賴的免費、支援廣告的網際網路？

我們怎麼來的？

早在2007年，一個由激進分子、學者和律師組成的聯盟就與聯邦貿易委員會接洽，建立了一個類似於全國範圍內成功的“不打電話名單”的線上列表——一個所有電話銷售人員都必須尊重的單一選擇退出名單。該檔案的作者關註的是“營銷人員和廣告網路”，他們能夠“監控和維護消費者在網上和其他數字媒體上從事的各種行為的資料。”透過結合用戶的瀏覽歷史、人口統計資訊和購買歷史等資訊，廣告網路能夠高度精確地瞄準潛在客戶。這種廣告後來被稱為線上行為廣告，或OBA。

直到2010年才從雷達上消失

正如隱私研究人員克裡斯托弗·索吉安（Christopher Soghoian）所指出的，直到2010年，美國聯邦貿易委員會（FTC）才呼籲業界建立一種機制，允許使用者控制瀏覽資料的收集和使用。該機制旨在採用“設計隱私”的方法，就像HTTP cookie（見下文）一樣，允許使用者在每次載入網頁時交流資訊——在這種情況下，他們的偏好不會被跟蹤。這份報告草案提交給了web最大的標準制定機構worldwideweb C***ortium（W3C），該機構成立了跟蹤保護工作組。它的計劃是召集利益相關者，從隱私權倡導者到專門從事OBA的公司，敲定一個聖杯：一個人人都能接受的網路標準，給消費者真正的隱私選擇。小組最終確定了一個HTTP頭，“DNT=1”——每次瀏覽器請求網頁時都會傳送一段很小的文字，禮貌地要求不要被跟蹤。

跟蹤是如何工作的？

圍繞行為定位的爭論取決於所謂的“第三方跟蹤”。這個術語的定義有爭議，但它通常是用來描述一個廣告網路或其他實體使用某種獨特的識別符號來跟蹤單個使用者在多個網站上的行為在這種情況下，“第三方”是指使用者不知道（或不能合理預期知道）他或她正在與之互動的組織。

“第三方追蹤”是一個有爭議的術語

當你訪問一個站點時，比如說Verge，你的瀏覽器會載入Verge（第一方）直接提供的內容，比如我們的文章和圖片。它還載入第三方提供的內容，比如YouTube的嵌入式影片、Facebook的“like”按鈕和廣告內容。在最簡單的情況下，第三方跟蹤發生在第三方在您的計算機上儲存HTTP cookie（幾個位元組的文字）時，您的計算機在下一次兩條路徑交叉時將其發送回ad網路。一個單一的廣告網路可能會在數千個網站上釋出廣告，而cookie的唯一ID號就像一個雷達訊號，每次你載入嵌入該網路廣告的頁面時，它就會亮起。透過記錄這些漏洞，有問題的公司能夠重建你瀏覽歷史的大塊。從絕對值來看，前谷歌人布萊恩•肯尼什（briankennish）計算出，在全球排名前1000位的網站中，谷歌的DoubleClick廣告網路佔據了20多萬個頁面的18%。擁有實名使用者的Facebook在33%的網頁上以第三方身份出現。

不過，HTTP cookie並不是防彈的。它只是文字，而不是應用程式，您可以刪除它，切換瀏覽器或設定以禁用第三方cookie，或者使用像AdBlock Plus這樣的瀏覽器擴充套件來完全停止載入廣告。儘管後兩種解決方案依賴於需要不斷更新的阻止列表，但問題似乎已經解決了（暫時忽略“超級指令碼”，比如那些利用adobeflashplayer的超級指令碼）。

隱私保護人士更擔心的是瀏覽器指紋

隱私保護人士更擔心的是瀏覽器指紋識別，它可以從你的瀏覽器在伺服器上的“外觀”來識別你。這種方法使用計算機隨時提供的資訊，比如使用的瀏覽器版本，以及安裝的外掛和字型。你可能不認為這些平凡的資料是非常有意義的，但如果一起使用，標記的組合足以唯一地識別你。EFF的Panopticlick專案顯示了這樣做是多麼微不足道——2010年，一個大約50萬瀏覽器的樣本發現，84%的瀏覽器是唯一可識別的（對於那些安裝了Flash或Java的瀏覽器，這一比例上升到了94%）。這種“無狀態”（即，不是基於cookie的）跟蹤基本上是使用者看不見的，不能用瀏覽器擴充套件輕易阻止，公司已經做了很多年了。

匿名跟蹤資料

但是假設我們承認使用者跟蹤是網路生活中不可避免的事實，它會對隱私造成真正的威脅嗎？廣告商一再指出，資料匿名化，刪除或“擦洗”個人識別資訊（PII）如姓名和電話號碼，作為證據匿名跟蹤的安全性。但是隱私保護主義者聲稱這個問題並不是那麼簡單。科羅拉多大學法學院教授保羅歐姆（paulohm）在2010年的一篇論文中詳細分析了被刪除資料的去匿名化所帶來的威脅。首先，作者引用了一項里程碑式的研究的後續結果，該研究顯示，美國63%的人可以透過郵政編碼、出生日期和性別的組合來唯一地識別身份，作者總結了最近著名的匿名化方法。其中包括阿文德納拉亞南（arvindnarayanan）和維塔利什馬蒂科夫（Vitaly Shmatikov）廣為宣傳的Netflix評級與IMDb評級的交叉引用，以及卡內基梅隆大學電腦科學教授拉坦亞•斯威尼（Latanya Sweeney）對公開釋出的馬薩諸塞州健康記錄的匿名化，其中包括她將自己的“匿名化”記錄郵寄給州長，以證明這一點。

資料“匿名化”其實是“假名化”

Ohm和其他人指出，傳統的匿名化很容易被打破，而且隨著越來越多的資料公開，這種匿名化可能變得更加脆弱。當一些看似平凡的資料與另一個看似無關的資料庫結合使用時，它就可以提供解鎖大量資訊所需的鑰匙——比如單個使用者瀏覽歷史背後的名字。正如Narayanan等人指出的，“匿名化”資料實際上是“假名化”——一旦使用者的廣告網路ID與自己的名字繫結，那麼這個名字就可以任意繫結到遙遠的時間和未來的日誌上。一旦一個使用者被揭開了偽裝，就沒有回頭路了。

儘管像谷歌和Facebook這樣的大公司確實會在你登入和訪問某個網站時用他們的社交小工具記錄你的瀏覽活動，但他們至少有龐大的品牌需要保護，資料洩露洩露人們敏感資訊的公關噩夢在某種程度上鼓勵了資料安全。但斯坦福大學研究員喬納森•邁耶（Jonathan Mayer）表示，OBA公司的情況並非如此，許多公司都是剛剛成立的小型初創企業，可能沒有足夠的資料保護措施：

I think it's fair to say that the chance of [a data breach at Google or Facebook] is not too high, thankfully… But they're just a couple of companies, and there are a hundred companies that have t*** and t*** of information about users. It would only take a breach at one for users to really be in a tight spot. I guess the question becomes "do you trust all hundred to get it right?"

w3c公司

這讓我們回到了W3C和donotrack，它的目的是透過阻止第三方完全記錄使用者的瀏覽歷史來避免這個問題。追蹤保護工作組成立一年來，公開記錄顯示，已經發送了近5000封電子郵件，參加了數周的面對面會議，委員會成員之間一個小時又一個小時的電話和IRC對話。在這一切之後（或者，有些人可能會說，正因為如此），協議的三大癥結幾乎沒有取得進展。

5000封郵件之後，我們仍然沒有一個功能性的不跟蹤系統

梅耶爾解釋說，第一個問題是一個使用者介面問題——預設值是DNT on還是DNT off，以及如何向用戶顯示選擇。在這種情況下，菲爾丁在apacheweb伺服器上覆蓋IE10的DNT頭的決定有了新的含義，這是一個單方面的舉動，危害了最受關註的談判領域之一。第二個問題涉及到像分析公司這樣的服務提供商在規範下是如何對待的——如果他們在第一方的領域下運營，他們是第三方嗎？第三個問題涉及跟蹤資料的使用，第三方認為他們應該免於DNT。梅耶爾解釋說，雖然隱私權倡導者和其他人一直在推動普遍選擇退出第三方跟蹤，但廣告商一直在推動一種基於使用的方法，只要他們將跟蹤資料用於“研究”和“營銷”等允許的目的，就可以繼續彙編跟蹤資料

“我知道有些使用者不喜歡行為廣告。”

數字廣告聯盟（Digital Advertising Alliance）是一個“領先的國家廣告和營銷貿易集團聯盟”（national Advertising and marketing trade groups），它提出了自己的永續性、基於cookie的選擇退出（opt-out），以替代隱私倡導者支援的“不跟蹤”（Do-Not-Track）標題。cookie不會阻止行為廣告商跟蹤你在網上的行為，但會阻止你看到目標廣告，至少是那些選擇尊重cookie的廣告商。”我知道有些使用者不喜歡行為廣告但這肯定不是隱私問題的嚴重程度，是一些你從未聽說過，也沒有業務關係的公司…收集你的瀏覽歷史。我的觀點是，而且我認為該組織的倡導者和一些政策制定者的觀點是，實際上，你們可以做行為廣告。您只需在不收集使用者瀏覽歷史的情況下進行操作。”

經濟論據

那些因DNT而虧損的公司的反應完全可以預料。任何可能損害線上廣告的舉措，都會遇到很多阻力。線上廣告是免費內容機器運轉的燃料。網際網路的一個不可阻擋的事實是，有人需要為我們讀的文章、看的音樂和Facebook上的Facebook付費。如果我們取締網上追蹤，那麼所有的錢從哪裡來？

到目前為止，OBA的優勢在網路經濟的許多參與者中已經非常明顯。一家專門從事OBA的廣告公司能夠銷售更有效的廣告，賺更多的錢。廣告公司也有動機選擇OBA而不是其他廣告媒體——更有針對性的廣告提供了更好的投資回報。最後，對於廣告支援的網站來說，允許公司提供消費者更有可能採取行動的廣告可以帶來更多的收入，併為新內容的**提供資金。似乎每個人都贏了。

如果我們取締網上追蹤，那麼所有的錢從哪裡來？

但也許這些假設應該受到質疑。首先，OBA只是在線廣告蛋糕中的一塊，資料顯示它並不是一塊特別大的蛋糕，估計在2014年還不到總數的10%。但第二，也許更重要的是，如果像“不跟蹤”這樣的東西被納入法律，廣告商將如何調整他們的支出。

**廣告商戰爭的這一戰線基本上歸結為“如果OBA不再可用，公司將支出轉移到其他型別的線上廣告上的可能性有多大？”梅耶爾和其他人的立場是，在DNT塵埃落定後，如果線上廣告預算幾乎保持不變，而線上廣告對於內容創作者來說幾乎同樣有利可圖，但實際上並沒有什麼改變。

根據我們對廣告支出分佈的瞭解，我們可以肯定，對其他形式的線上廣告的需求是高度彈性的；過去用於OBA的資金中有相當一部分將被分配給其他型別的線上廣告，如上下文廣告和人口統計廣告。使用者隱私和免費廣告支援內容之間的選擇不是二元的，研究人員已經證明，像客戶端儲存這樣的方法可以極大地提高隱私，同時仍然提供線上跟蹤所提供的許多相同的好處。簡言之，終止第三方追蹤確實會損害專門從事OBA的公司，但很難相信這和終止網際網路上的廣告支援內容是一樣的。

不能得到它需要的法律支援嗎？

假設W3C採用了一些隱私保護版本的donotrack，這並不意味著業界一定會遵守它。簡單地說，對於行為廣告商來說，實施一個直接切入他們底線的自願網路標準的利潤動機是微乎其微的。希望聯邦貿易委員會能夠提供執行該標準所需的法律援助，但很難說事情會如何發展。”EFF資深幕僚律師李天（Lee Tien）在電子郵件中表示：“很難判斷勝算，這在很大程度上取決於選舉結果。”無論是立法方面還是監管方面的任何預測都有賴於此。談判通常是困難的，這兩方面是因為倡導者對行業實踐的資訊不足，對不同行業部門如何看待DNT的認識也很模糊。”

如果美國不採取行動，歐洲可能會採取行動

在接受《****》關於W3C在阿姆斯特丹面對面會議前景的採訪時，FTC主席Jon Leibowitz說：“如果到今年年底還沒有達成協議的話，那麼不跟蹤消費者的選擇將有巨大的兩黨動力。”而且，並非所有不跟蹤的法律動力都在美國境內。值得註意的是，歐盟監管機構已試圖將該地區的資料保護指令與不斷演變的“不跟蹤”規範緊密聯絡起來，歐盟的執法可能會對跟蹤辯論在世界其他地區的展開產生影響。

我們該怎麼辦？

隨著正在進行的“不跟蹤”談判在1月份接近預定結束，人們普遍感到絕望，我們不禁要問，網路廣告的未來可能會如何。使用者現在面臨的最明顯的風險是，儲存其瀏覽資訊詳細日誌的OBA公司存在資料洩露的可能性。如果說去年索尼PlayStation網路的駭客攻擊是為《lulz》而進行的，那麼想象同樣的事情發生在廣告商身上並不需要太多的想象力，只會帶來更大的後果——對相關公司、整個行業，最重要的是，受影響的使用者。

但是，即使不追蹤談判失敗，沒有新的立法透過，無處不在的追蹤仍然是現狀，爭取使用者隱私的鬥爭可能不會失敗。微軟決定在預設情況下啟用隱私保護，蘋果選擇遮蔽第三方cookie，以及Mozilla對DNT的早期支援，都表明這些公司非常願意與廣告商抗衡。梅耶爾說，如果業界不開始以有意義的方式實施DoNotTrack，就有可能與瀏覽器供應商展開技術軍備競賽他補充道：“對於工業界來說，這可能是一個比不跟蹤任何事情都糟糕得多的世界。”值得一提的是，正如一位非常資深的美國政策制定者所說，這些人並不像他們應該的那樣害怕。”

是時候打一場更大的仗了

下一步是什麼？預計W3C複雜而緩慢的程序將與美國國會和世界其他國家**更加官僚化的程序成倍增加。眾議院隱私核心小組的兩位聯席主席對數字廣告聯盟在“不跟蹤”問題上的消極立場“表示失望”。這是一個開始，但如果你還記得我們在過去十年中經歷的彈出式廣告和瀏覽器遮蔽之間的軍備競賽，現在是時候為一場更大的戰鬥而振作起來了。