美國聯邦通訊委員會(FCC)在2016年10月啟用了新的消費者隱私規則,力圖規範各家網站留存用戶資訊的行為。新規則要求互聯網服務提供商存儲和使用消費者數據時,必須確保它們不會被輕易地分析、追蹤到用戶個人。然而,美國史丹福大學(SU)與普林斯頓大學(PU)研究人員近日聯合發布的研究報告顯示,這些所謂「匿名」的合法留存數據,完全可以被人透過與社交媒體資料配對的方式,追蹤到具體用戶。
在以未登錄方式瀏覽網站時,用戶可能會認為他們是匿名的。但我們的研究證實,網絡公司可以透過其他方式知道他們是誰。
研究者在報告中指出,在線廣告公司透過在網頁上嵌入跟蹤程式,構建出用戶的瀏覽檔案。一些廣告商會將用戶個人資訊附加到這些檔案中,但是大多數公司承諾網頁瀏覽數據不與任何個人身份資訊相鏈接。因而研究人員想知道,即使網絡瀏覽數據不包含個人身份資訊,但是否可以通過技術手段解除數據的匿名化並識別出特定用戶。
研究人員決定從自己做起,有限制地公開一些個人資料註冊成為社交媒體用戶。此後研究者又創建了一種算法,將他們的匿名網絡瀏覽歷史與其社交媒體帳戶中出現的鏈接進行比較。「每個人的瀏覽歷史都是獨一無二的,包含了可能暴露他們身份的痕跡。」史丹福大學助理教授、研究參與者之一 Sharad Goel 解釋稱。
研究證實,算法程式能夠在不同數據組中找出瀏覽模式的規律,並使用這些模式來識別用戶。但研究人員注意到該方法並不完美,它需要一個能鏈接到外部網站的社交媒體來源。但他們表示:「只要瀏覽歷史裏有30條源自 Twitter 的鏈接,我們推斷相應匿名用戶的成功率就超過50%以上。」
此後在涉及374名自願提交網絡瀏覽數據者的實驗中,他們的算法獲得了更大的成功。研究人員透過將志願者的匿名網絡瀏覽數據與數億社交媒體用戶進行配對,成功識別出70%以上志願者的 Twitter 帳號。
倫敦帝國學院(ICL)助理教授 Yves-Alexandre de Montjoye 表示,該研究表明「構建一個大規模的去匿名化程式其實很容易,它不需要任何特殊的東西,只要有知道如何編寫代碼的人員就行。」
Yves-Alexandre de Montjoye 還指出:「我們多年來所看到的所有證據都表明,數據匿名化有很大的侷限性。這項研究同樣如此,它促使我們重新思考大數據時代的個人隱私與數據保護方法。」
聲音
傳統的說法是,你應該小心你所分享的鏈接,但我們的研究表明,即使你只瀏覽而不分享任何東西,同樣也可以被找出來。