美国联邦通信委员会(FCC)在2016年10月启用了新的消费者隐私规则,力图规范各家网站留存用户信息的行为。新规则要求互联网服务提供商存储和使用消费者数据时,必须确保它们不会被轻易地分析、追踪到用户个人。然而,美国斯坦福大学(SU)与普林斯顿大学(PU)研究人员近日联合发布的研究报告显示,这些所谓“匿名”的合法留存数据,完全可以被人透过与社交媒体资料配对的方式,追踪到具体用户。
在以未登录方式浏览网站时,用户可能会认为他们是匿名的。但我们的研究证实,网络公司可以通过其他方式知道他们是谁。
研究者在报告中指出,在线广告公司通过在网页上嵌入跟踪程序,构建出用户的浏览档案。一些广告商会将用户个人信息附加到这些档案中,但是大多数公司承诺网页浏览数据不与任何个人身份信息相链接。因而研究人员想知道,即使网络浏览数据不包含个人身份信息,但是否可以通过技术手段解除数据的匿名化并识别出特定用户。
研究人员决定从自己做起,有限制地公开一些个人资料注册成为社交媒体用户。此后研究者又创建了一种算法,将他们的匿名网络浏览历史与其社交媒体帐户中出现的链接进行比较。“每个人的浏览历史都是独一无二的,包含了可能暴露他们身份的痕迹。”斯坦福大学助理教授、研究参与者之一 Sharad Goel 解释称。
研究证实,算法程序能够在不同数据组中找出浏览模式的规律,并使用这些模式来识别用户。但研究人员注意到该方法并不完美,它需要一个能链接到外部网站的社交媒体来源。但他们表示:“只要浏览历史里有30条源自 Twitter 的链接,我们推断相应匿名用户的成功率就超过50%以上。”
此后在涉及374名自愿提交网络浏览数据者的实验中,他们的算法获得了更大的成功。研究人员通过将志愿者的匿名网络浏览数据与数亿社交媒体用户进行配对,成功识别出70%以上志愿者的 Twitter 帐号。
伦敦帝国学院(ICL)助理教授 Yves-Alexandre de Montjoye 表示,该研究表明“构建一个大规模的去匿名化程序其实很容易,它不需要任何特殊的东西,只要有知道如何编写代码的人员就行。”
Yves-Alexandre de Montjoye 还指出:“我们多年来所看到的所有证据都表明,数据匿名化有很大的局限性。这项研究同样如此,它促使我们重新思考大数据时代的个人隐私与数据保护方法。”
声音
传统的说法是,你应该小心你所分享的链接,但我们的研究表明,即使你只浏览而不分享任何东西,同样也可以被找出来。