| 昨夜的315晚會讓無數人激動,央視點名批評一堆企業,以網易為代表的一批精準廣告投放企業中槍。微博上不出所料的鬧翻了天,形象清新的網易和強悍兇狠的央視誰是灰姑娘誰是后媽似乎一目了然。
可是網易真的是完全無辜嗎?激情過后我們去仔細研究下Cookies定義和央視視頻,發現盡管央視有自己的硬傷,但似乎沒有完全冤枉網易。而其他幾個被央視點名的公司如品友、易傳媒、傳漾,根據視頻中展示出來的證據,則基本上可以確定的確通過非正常手段搜集了大量用戶信息。
淼叔不站在任何勢力或公司的立場,只站在傳播、發現真相的立場上,來分析、重現一下這段恩怨。
一、Cookies的確記錄了個人信息
首先來看央視揭露網易的視頻,在央視自己的官網CNTV上有。這次很多技術大牛站出來支持網易,但我基本可以確定他們沒有完整地看這段視頻,因為這里面暴露的問題其實在技術上并不高深。
視頻中對網易提出了兩個指控,第一個是讓第三方勢力獲取了用戶在本站的Cookies,第二個是網易郵箱內容可以被人為查看,由此確定用戶身份職業,針對性地投放廣告。實際上,第一個指控成立的可能性較大,第二個指控則未必成立,需要更多的證據來支撐。
還要先向不了解Cookies的讀者介紹一下這種“小甜餅”;即使了解它定義的人很多也未必了解它的使用禁忌(確定你完全懂的讀者可以直接去讀第二個小標題,看網易怎樣向第三方網站提供了Cookies)。昨晚在Google被央視無辜引用中槍后,其旗下一個官方帳號馬上介紹了Cookies的定義,依據是維基百科。根據定義,Cookies是某些網站為了辨別用戶身份而儲存在用戶本地終端上的數據(通常經過加密)。好了下面我們要開始說人話了(注意,人話是為了便于不了解技術的人了解原理,并不像技術表達那樣嚴謹無瑕,請懂技術的人別拿這個來攻擊我)。由于我們通常訪問網站所使用的HTTP協議沒有記憶功能,但有些場合下網站服務器必須“記住”用戶訪問了哪些網頁、做了哪些操作,所以需要一種中間手段去記錄這些東西,這時候網站服務器就會在用戶電腦中寫下一小段純文本文件作為標記,這種類似于“備忘錄即時貼”的文本文件就是Cookies。
常用的例子是,如果你在網絡上買東西,下單了一個鼠標,然后再去買鍵盤;這時候瀏覽器已經離開了鼠標商品頁面,由于HTTP協議沒有記憶功能,所以在你看鍵盤的時候,鼠標的購買記錄已經被后一個訪問記錄沖掉了。就算你買了100件商品,最后結賬時也只能看到最后一樣。為了避免這種情況出現,購物網站會在每次下單后,都在你的電腦上寫下一小段Cookies來記錄;最后結賬時,讀取這些Cookies,從而匯總出你的購物清單。
按照定義和上面的例子來看,Cookies有幾個特點,第一,它具有專屬性,就是誰發出的Cookies就只有誰有權限讀。你去淘寶買完了東西又上京東,京東的服務器來讀取Cookies時是無法讀取淘寶放在你機器中的Cookies的,它只能放置自己的Cookies,在需要時讀取。所以盡管你電腦上存儲了淘寶京東新浪草榴等一堆網站的Cookies,但只要電腦不丟,這些Cookies本身都是安全的,沒有哪個網站能主動取走。
第二個特點,Cookies的確能記錄你的很多個人信息,比如你經常訪問哪類網頁,在網頁上停留多久,通常在什么時候上網等等。這些信息有些人可能毫不在乎,但如果有廣告商集中搜集過去,就能掌握這個人的上網興趣口味,有時還能推算出收入水平等個人信息。不過,對于很多地方強調的Cookies會保存用戶密碼問題,在我看來倒未必是迫在眉睫的危險,因為這些密碼通常會用不可逆的方式加密,泄露出去也無法還原出用戶密碼;這方面的話題還可以專門開一篇文章講,我們暫時打住,還是去談主題。廣告商怎么搜集用戶的Cookies?這就來講。
二、如何非正常獲取Cookies
根據專屬性特點,只有用戶主動訪問的網站,才能下發、獲取屬于自己的Cookies,那要收集大批用戶的Cookies,只有兩個途徑:一個是做出一個受人歡迎的網站,有成千上萬人來訪問你,那你自然就能獲得大批量用戶的Cookies,并由此得出整個人群的訪問特點。通常這種做法雖然還存在一定爭議,但熟悉互聯網的人會傾向于認為這是合法的,畢竟網站需要根據每個人的不同特點提供個性化服務,比如你去亞馬遜買書,一進去它就會給你推薦一批經管書,因為你此前幾次購買、瀏覽的都是這類書籍。這給用戶帶來了便利,也便于提高網站出售貨品的效率。Google、網易等網站也通過這種方式來分析用戶行為習慣,針對性地推送廣告,并計算廣告的投放效率。因此,像Google 百度、網易新浪這些超大型網站,擁有數億甚至十幾億用戶的Cookies都很正常,只要不向第三方出售這些數據,目前他們擁有這些數據還是合法的。
但在央視報道中,品友、傳漾、易傳媒等公司聲稱自己擁有數千萬甚至數億用戶數據,很明顯他們自己的網站沒達到這種受歡迎程度,那這些數據怎么來的?如果上述公司沒拿出確鑿的證據來,我們傾向于相信央視的結論,這幾個公司的確用非正常途徑獲取了大批量用戶信息。而這的確是應該受到譴責甚至法律懲罰的行為。我們來看下網站怎么獲取不屬于自己的Cookies。
第二個獲取大批量Cookies的途徑,就是明買暗偷。自己做不出受人歡迎的網站,那就去跟大網站買。類似網易這樣的商業性大網站出于謹慎考慮,通常不敢用這種方式出售數據,但一些個人搭建而又人氣火爆的論壇,不排除以這種方式獲利。暗偷的話,就是在大型網站上放置Cookies竊賊,術語叫網絡信標或網絡臭蟲。
網絡臭蟲的工作原理是,在受用戶歡迎、被廣泛訪問的網頁上放置一個一像素大小的圖片,這樣用戶看不到這張圖片,但它依然可以正常工作:它的工作就是通過獲取Cookies來獲知用戶的瀏覽習慣。舉例來說,現在竊賊公司在網易女人頻道的所有網頁上都放置了臭蟲。當用戶訪問網易女人頻道頁面時,由于臭蟲位于本網頁,因此它有權下發、獲得用戶的Cookies;又由于臭蟲中內嵌了竊賊網站的地址,因此它可以把網易女人頻道訪問者的Cookies搜集并回傳到竊賊公司。如果網易女人頻道一天有1000萬人訪問,則該公司一天就獲取了1000萬份個人信息。
三、網易到底干沒干外泄Cookies的事
網易有沒有干這樣的事?我們把上述央視視頻拉到5分3秒處播放,面對記者“網站能不能加代碼”的詢問,網易公司華東渠道銷售經理郭興華總監說,“如果你放得比較靠里面,比如說是女性頻道,對網站影響不大的,一般還是可以申請得到”。也就是說,如果以投放廣告等利益相誘惑,網易的銷售人員還是可以承諾,在自己的網站上掛上網絡臭蟲代碼的(只需要跟廣告圖標放在一起即可,技術上很簡單)。而由于網易具有的巨大流量,一旦真的做出這種事,那所有網易用戶的Cookies就會被出價購買廣告的公司獲取。
而在網易公司事后的聲明中,對于自己的網頁是否允許加掛第三方代碼只字未提,我們還注意到,這個聲明是由網易郵箱發出,而非網易公司。也就是說,郵箱撇清了自己,卻把具有更大嫌疑的網易門戶撇在了一邊。
網易郵箱的確有底氣發出這種聲明,盡管他們愚蠢的銷售人員大言不慚地在鏡頭前聲稱“郵件內容我們都看得到啊”。我們應該知道,自從Gmail推出后,根據用戶郵件內容投放廣告已經成為一種生意。Gmail的原理是,用機器自動掃描用戶的郵件內容并進行語義分析,根據分析結論,投放高度相關的廣告在用戶郵箱界面上。
這個技術在推出初期在美國引發了爭議,因為Google的確掃描并獲知了郵件內容;但后來這項做法漸漸得到了認可,因為執行掃描、分析、投放一條龍的全部是機器,Gmail用戶的郵件隱私并未被任何人類獲取。而且機器掃描分析郵件的邏輯與人類并不相同,即使Google的分析郵件服務器數據暴露了,人類基本也沒辦法從中反推出郵件內容,只能看到一堆主題詞、權重。既然Gmail承諾了提供數G的容量(當年這可是天文數字)和免費使用的便利(尼瑪Google現在開始對超出容量收費了淼叔每年為此支出25美刀),用戶也就默許了它用廣告收入來維持這些服務。
網易郵箱投放廣告的原理應該也是這個,不過從此前的一些報道和網易自己發布的資料看,它還沒智能到掃描郵件內容匹配廣告的程度,網易的做法應該是從一些公司那兒承接了郵件發放的單子,再將廣告郵件投放給具有相關興趣的郵箱用戶——如何知道用戶具有這方面的興趣?通過分析他們的郵件獲得。這個分析、投放的過程應該也是全自動全機器的,所以網易郵箱聲明說“不存在任何個人參與窺探用戶隱私的可能性”。銷售人員所說的“我們能看到郵件內容”,其實技術化表達應該是“俺們網易的服務器可以根據郵件分析出用戶的習慣喜好”,可惜正如淼叔一開始所說的,人話就是沒技術用語嚴密,估計這個銷售人員真要被網易給規范掉了。
最后要說明的是,央視引用FTC懲罰Google的案例來證明美國也反對收集Cookies,這個例子是錯的。這次罰款的罪名不是Google收集了Cookies,而是Google無視蘋果電腦上safari瀏覽器的隱私設置(用戶可以在瀏覽器中設置拒絕接受Cookies),直接在用戶電腦上放置Cookies,引發處罰。也就是說,懲罰的是未經允許獲得Cookies的行為,如果用戶不反對,那網站本身獲得Cookies的行為并不會受懲罰。
四、不潑臟水,歡迎探討
好了,說了這么多,我們基本得出結論,央視說網易協助第三方公司獲取了大量用戶Cookies,這個指控成立的可能性更大;對郵箱的指控,則有可能是出于對技術的誤讀。之所以我們都不用很確定的詞語,因為這兩種行為都是網易銷售人員披露出來的。又有人要問,都是她們說的,為什么你認為第一個指控可信,第二個指控不可信?這必須得說,還是靠經驗。外泄郵箱內容,這在各國都是足以信譽破產的死罪(當然根據當地法律法規……你懂的);而在網頁上掛個代碼泄露些Cookies出去,因為個人上網習慣本身算不算隱私還有爭議,這種手法又隱蔽得多,再加上高出價或人情牌,是可能進行操作的。
當然,這并不代表央視就是正義的代表了,晚會集中打假的確給人搞運動的印象(雖然這在傳播學上是有效的,但尼瑪拿假貨泛濫來當傳播契機也夠那啥的吧),暗訪拍攝、事后不向采訪對象求證等新聞操作方式也一直備受爭議。但無論央視自身形象怎樣,作為關注互聯網行業的親愛的讀者們,我們還是要客觀地看待真實暴露出來的問題。
限于技術水平,本文可能會存在一些照顧不到的地方甚至硬傷,也歡迎更了解Cookies原理的各位大牛或大妞們來函來電參與討論。我無意給“任何個人”或公司潑臟水,希望能理性探討,引發更多對于Cookies濫用現狀的關注。
---------------------------------------------------------------
更新(李開復發了一條微博如下,供參考):
李開復:【網易郵箱是否有隱私問題?】按照郵件內容(或其他用戶信息)投放精準廣告和個性化體驗,這是大部分郵箱(包括谷歌)都用的技術,雖有爭議,但不是網易獨家的問題。建議所有郵箱:1)告知用戶那些信息被使用,2)保證不濫用信息,3)提供do not track選項(保護隱私,但放棄精準廣告和個性化體驗)
編輯:北京信誠IT保姆IT外包部 http:// www.aboverow.cn www.xcit.com.cn |
當前位置:
