美国海关和边境保护局(CBP)通过商业采购方式,从在线广告生态系统中获取广告标识符(AdID)关联的用户精准位置数据。
以下内容基于 DHS 内部未公开的 PTA 文件及配套调查信息,全面披露 CBP 在 2019-2021 年开展的AdID 有效性试点项目核心细节:
CBP 通过采购商业广告数据服务,从实时竞价(RTB)流(相关阅读:关于广告实时竞价(RTB)的一切)、移动应用软件开发工具包(SDK)中抓取普通用户移动设备的位置数据,可实现对设备的长期轨迹追踪,数据源头覆盖游戏、约会、健身、天气等海量日常应用。
尽管 CBP 声称该项目仅用于跨境犯罪与恐怖主义相关的靶向执法,但 DHS 监察长办公室(OIG)后续调查证实,CBP、移民与海关执法局(ICE)等机构均存在非法使用该类数据的行为,甚至出现工作人员利用数据跟踪同事的滥用情形。
美国 CBP 的核心法定职责为防范恐怖分子入境、维护美国边境安全,在边境口岸执行海关、移民相关法律,有权对试图入境或已入境、可能危害美国国家安全的人员开展侦查、拦截与调查。为完善靶向定位、背景审查与非法网络识别工作流程,CBP 启动了对商业广告位置数据执法有效性的测试评估。
传统互联网时代,营销商通过 Cookie 追踪用户网页行为;随着智能手机与移动应用的普及,Cookie 的追踪效果大幅下降。移动应用开发者最初通过设备硬编码的唯一设备标识符(UDID)关联用户应用行为,但该方式引发了强烈的隐私争议。
2013 年,苹果与谷歌先后推出广告标识符体系:苹果推出广告商标识符(IDFA),安卓推出谷歌广告标识符(GAID),即统一简称的 AdID。AdID 是与设备临时关联的哈希化标识符,并非固化在设备中,用户可随时重置、选择关闭或限制相关追踪,设计初衷是在替代 UDID 的同时,给予用户更高的隐私控制权。
但 AdID 仍可实现对设备活动的持续追踪,包括应用使用行为、时间戳与精准地理位置信息,成为在线广告生态的核心追踪工具,也为执法机构的监控行为提供了技术基础。
根据《2002 年电子政务法》与《2002 年国土安全法》,DHS 及其下属机构在部署或测试新技术前,必须完成《隐私阈值分析》(PTA),评估该项目是否需要开展全面的《隐私影响评估》(PIA),这是 DHS 内部核心的隐私合规前置程序。
以下为CBP 为 AdID 有效性试点项目提交的 PTA 文件,也是 CBP 首次官方确认其采购的位置数据来源于在线广告行业。
该项目由 CBP 外勤办公室(OFO)、国家靶向中心(NTC)负责实施,项目类型为试点项目,首次制定于 2018 年 12 月,试点启动时间为 2019 年 5 月 1 日,原定结束时间为 2021 年 5 月 1 日,配套 PTA 文件于 2019 年 6 月提交至部门隐私办公室,2020 年 9 月 30 日获 DHS 隐私办公室核准,有效期至 2021 年 9 月 30 日。
CBP 在文件中明确,试点项目的核心目标是评估商用 AdID 关联位置数据在执法工作中的有效性,测试与分析范围仅聚焦于与跨境犯罪活动、已确认存在恐怖主义 / 犯罪关联行为的 AdID。
项目执行层面,CBP 成立了由外勤办公室、美国边境巡逻队、空中和海上行动处、隐私与多元化办公室代表组成的评估委员会,负责制定用户使用准则、账号发放规范、用户活动监控机制,并整合跨平台评估结果;同时向 CBP 各外勤办公室、边境巡逻区、空中和海上行动部门及国家靶向中心开放了商用 AdID 平台的使用权限,并对所有 AdID 相关的调研、分析申请与响应结果进行全流程追踪。
文件显示,该试点原定周期为 12 个月,可根据需要申请延期;试点期间采集的信息,在试点结束后将继续留存,直至 CBP 制定出合规的留存期限规范。
针对平台使用人员,CBP 设置了专项隐私与合规培训,明确要求平台及数据的使用必须符合 CBP 现有执法权限,必须基于边境相关执法事由,数据留存的事由需按政策要求清晰记录存档。
CBP 获取的 AdID 位置数据主要来自两大渠道,均来自普通用户日常使用的移动应用,全程对用户隐形,且多数应用开发者并不知情:
- SDK 来源数据
数据厂商通过嵌入数万款移动应用的软件开发工具包(SDK)采集位置数据,仅当用户主动同意应用获取位置权限时才会生成数据,并非所有具备定位功能的应用都嵌入了共享数据的 SDK。
- RTB 来源数据
即实时竞价流数据,当应用内展示广告时,会触发毫秒级的广告竞价流程,该过程中会同步传输设备的 AdID 与位置信息,监控方可通过该流程抓取相关数据,这也是 CBP 官方确认的核心数据来源之一。
数据源头覆盖了海量日常应用,根据外媒推测,也许包括《糖果传奇》《地铁跑酷》等热门游戏,Tinder、Grindr 等约会应用,Tumblr 社交平台,MyFitnessPal 等健身应用,以及天气、新闻类工具应用。
AdID 的设计初衷,就是保护设备持有者的身份与隐私。通过本项目获取的所有 AdID 数据,仅对应 AdID 关联周期内的移动智能设备,不与设备持有者的任何个人可识别信息关联,也无法获取相关信息,包括但不限于:设备持有者姓名、电话号码、社保号码、邮箱地址、社交媒体及应用用户名、设备唯一设备标识符(UDID)、设备国际移动设备识别码(IMEI)、设备国际移动用户识别码(IMSI)。
本项目的 AdID 数据,直接从数据供应商平台获取,同时通过另外两家接入同源数据的商业平台间接获取。数据厂商通过软件开发工具包(SDK)和实时竞价(RTB)数据流,从数据提供方采集并聚合 AdID 定位数据。
仅当设备和应用的用户主动同意并选择共享位置信息时,才会产生相关 AdID 数据;且仅在设备使用状态下采集,设备待机或关机时绝不采集。设备持有者可随时重置 AdID。
本项目绝不使用无线运营商和 / 或设备厂商采集的定位数据。SDK 来源的定位数据由应用记录,目前已有数万款应用嵌入了相关 SDK(并非所有具备定位功能的应用都嵌入了共享定位数据的 SDK)。RTB 来源的定位数据在广告投放时生成并记录。
为进一步提升安全性,AdID 数据提供方会对原始 AdID 做二次匿名化处理,生成全新的哈希化 AdID 供厂商平台使用,该新哈希化 ID 被称为 “提供方 ID”。该机制让平台用户仅能查看提供方生成的 AdID,及其关联的地理位置数据、活动时间戳。
厂商平台仅支持查询最长 90 天的分段数据,历史数据最远可追溯至 2017 年 6 月 16 日。
同时有两家供应商提供了增强版本,支持 CBP 用户查看、检索原始 AdID 及设备关联元数据。
CBP 在 PTA 文件中声称,该项目不采集任何个人可识别信息(PII),AdID 数据不关联设备持有者的姓名、电话号码、社保号码、邮箱、设备硬件序列号等个人信息。但该说法存在根本性的隐私漏洞:
尽管 AdID 本身不包含直接个人信息,但持续的位置轨迹数据可精准关联到设备持有者的住所、工作地点、就医记录、宗教活动场所等敏感信息,可间接推断出个人身份,实现对特定人员的全流程追踪;
该类数据采购无需法院签发的搜查令,绕过了美国宪法第四修正案对公民人身、住宅、文件不受无理搜查和扣押的保护,形成了常态化的无证监控渠道。
这类信息是追踪每个人的位置、阅读、观看和收听内容的金矿,而 RTB 实时竞价体系本质上是全球最大的数据泄露事件,其在网站和应用的后台隐形运行,让所有用户都处于风险之中。
声明:本文来自黑鸟,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
