数字营销新闻资讯

Google & Facebook 大咖实战经验分享,带你玩转外贸营销

研究人员表示,Facebook 的广告工具可以针对单一用户

一个由西班牙和奥地利的学者和计算机科学家团队撰写的新研究论文表明,如果你足够了解 Facebook 平台分配给他们的利益,那么使用 Facebook 的目标定位工具将广告专门发送给一个人是可能的。
这篇题为《 Facebook 上的独特性: 利用非 pii 数据锁定个人用户的构想和证据》的论文描述了一种“数据驱动模型”,该模型定义了一个度量标准,显示 Facebook 用户可以根据广告平台附加的兴趣被唯一识别的概率。
研究人员证明,他们能够使用 Facebook 的广告管理工具,以这样一种方式锁定一些广告,即每个广告只到达一个单一的 Facebook 用户。
这项研究提出了一些新的问题,涉及 Facebook 广告定位工具的潜在有害用途,以及这家科技巨头的个人数据处理帝国的合法性,因为它收集的用户信息可以被用来唯一识别个人,从其平台上的众多用户中挑选出他们,甚至完全基于他们的兴趣。
这些发现可能会增加立法者的压力,要求他们禁止或逐步淘汰行为广告。多年来,行为广告一直受到攻击,因为人们担心它会给个人和社会带来各种各样的危害。而且,至少,这篇论文似乎可能会促使人们呼吁对如何使用这种侵入性工具进行强有力的制衡。
这些发现还强调了独立研究能够审问算法广告技术的重要性,并且应该增加平台的压力,不要关闭研究人员的访问。
在 Facebook 上的兴趣是个人数据
马德里大学的卡洛斯三世、奥地利格拉茨技术大学和西班牙 IT 公司 GTD 系统与软件工程的研究人员详细介绍了一个关键发现: 拥有 Facebook 所知道的稀有兴趣或者大量兴趣可以使你在 Facebook 平台上很容易被识别,即使是在数十亿其他用户的海洋中。
他们继续说道: “在这篇论文中,我们尽我们所知,第一次针对个人的独特性进行研究,考虑到世界人口数量级的用户群,”他们指的是 Facebook 对其超过28亿活跃用户的数据挖掘所固有的规模(注意: 该公司也处理非用户的信息,这意味着它的覆盖范围比 Facebook 上活跃用户的覆盖范围更广)。
研究人员认为,这篇论文首次证明了“系统地利用 FB 广告平台来实现基于非 pii (基于兴趣的)数据的纳米定位的可能性”。
早些时候,Facebook 的广告平台是一对一操纵的渠道,这一点曾引起过争议。例如,2019年《每日点报》(Daily Dot)的一篇文章讲述了一家名为 Spinner 的公司向性挫败的丈夫出售一项“服务”,目的是向他们的妻子和女友发出操纵心理的信息。这些暗示性的、潜意识操纵性的广告会出现在目标人物的 Facebook 和 Instagram 订阅页面上。
这份研究报告还提到了2017年英国政治生活中的一个事件,当时工党的竞选负责人显然成功地利用了 Facebook 的定制观众广告定位工具,“蒙蔽”了前领导人杰里米 · 科尔宾(Jeremy Corbyn)的眼睛。但在这种情况下,他的目标不仅仅是 Corbyn,还包括他的同伙,以及一些结盟的记者。
通过这项研究,这个团队证明了使用 Facebook 的广告管理工具来针对一个 Facebook 用户投放广告是可能的——他们称这个过程为“纳米定位”(相对于目前广告技术的“标准”,即针对一组用户的微定位“基于兴趣”的广告)。
他们写道: “我们通过21个 Facebook 广告活动进行了一项实验,目标是本文的3位作者,以此证明,如果广告客户从用户那里获得足够的兴趣,Facebook 广告平台就可以被系统地利用,专门向特定用户投放广告。”他们补充说,本文提供了“第一个经验证明”,即“只要知道目标用户的一组随机兴趣,就可以在 Facebook 上系统地实现一对一/纳米定位”。
他们用于分析的兴趣数据是通过用户在2017年1月之前安装的浏览器扩展从2390名 Facebook 用户那里收集的。
这个名为 Facebook 用户数据估值工具(Data Valuation Tool for Facebook Users)的扩展,分析了每个用户的 Facebook 广告偏好页面,收集分配给他们的利益,并根据他们在浏览 Facebook 平台时收到的广告,对他们为 Facebook 带来的收入进行实时估值。
虽然兴趣数据是在2017年之前收集的,但研究人员去年进行了实验,测试通过 Facebook 的广告平台是否可能实现一对一的目标。
他们在讨论测试结果时解释道: “特别是,我们配置了针对本文三位作者的纳米定位广告活动。”。“我们测试了我们的数据驱动模型的结果,为每个目标作者创建定制的受众,使用了从 FB 分配给他们的兴趣列表中随机选择的5、7、9、12、18、20和22个兴趣组合。
“2020年10月至11月,我们总共开展了21次广告活动,以证明纳米定位技术在今天是可行的。我们的实验验证了我们的模型的结果,表明如果攻击者知道用户的18个以上的随机兴趣,他们将能够以非常高的概率将其纳米化。特别是,在我们的实验中,9个广告活动使用了18个以上的兴趣点,其中8个成功地纳米定位了所选择的用户。
所以对于那些想要操纵你的人来说,拥有18个或更多的 Facebook 兴趣爱好真的很有趣。
没有什么可以阻止纳米定位
防止一对一目标的一个方法是,如果 Facebook 对最小受众规模设置一个强有力的限制。
根据该报纸的报道,如果一个广告活动的潜在受众规模大于1000人(或者大于20人,在2018年 Facebook 提高上限之前) ,这家广告科技巨头会利用其广告活动管理工具为广告商提供一个“潜在受众”价值。
然而,研究人员发现,Facebook 实际上并没有阻止广告商发起一项针对用户数量低于潜在接触限制的广告活动ーー该平台只是没有告诉广告商他们的信息将接触到多少人(或者说很少)。
他们能够证明这一点的方法是,运行多个广告活动,成功地瞄准一个 Facebook 用户; 通过查看 Facebook 广告报告工具生成的数据(“ FB 报告说只有一个用户联系到了他们”) ,验证他们广告的受众规模是一个; 在他们的网络服务器上,由(唯一的)用户点击广告生成一个日志记录; 在第三个验证步骤中,他们要求每个纳米定向用户收集广告及其相关内容的快照,“为什么我会看到这个广告?”选择。他们说,在成功的纳米靶向病例中,这些药物与他们的靶向参数相匹配。
“从我们的实验中得出的主要结论如下: (i)如果攻击者能够从目标用户中推断出18 + 的兴趣,那么纳米定位用户的可能性很大; (ii)纳米定位非常便宜,(iii)根据我们的实验,预计有2/3的纳米定位广告将在不到7个有效的广告时间内送达目标用户。”。
在论文的另一部分,研究人员讨论了防止纳米定位的对策。他们认为,Facebook 声称的受众规模限制“已被证明是完全无效的”,并断言这家科技巨头的20人限制“目前没有实施”。
他们还指出,Facebook 声称它适用于定制受众(另一个涉及广告商上传 PII 的目标定位工具)的100个上限有一些变通办法。
虽然研究人员在他们的论文中将基于利益的数据称为“非 pii”[亦称个人身份信息数据] ,但重要的是要注意到,在欧洲的法律环境中,这种框架是没有意义的ーー在欧盟的一般数据保护条例(GDPR)下,法律对个人数据的看法要宽泛得多。
PII 在美国是一个更常见的术语ーー美国没有相当于泛欧洲公共安全总局的全面(联邦)隐私立法。
广告技术公司通常也更喜欢使用 PII,因为 PII 与他们实际处理的所有信息相比,更有界限,而这些信息可以用来识别和描述个人,并以他们为目标投放广告。
根据 GDPR,个人数据不仅包括明显的标识符,如个人的姓名或电子邮件地址(又名“ PII”) ,而且还包括可以间接用于识别个人的信息,如个人的位置或他们的兴趣。
数十年来的其他研究也反复显示,有时只需要少量“非 pii”信息,例如信用卡元数据或 Netflix 的浏览习惯,就可以重新识别个人。
因此,我们不应感到惊讶的是,Facebook 庞大的人物分析和广告定位帝国(它不断地、无处不在地挖掘互联网用户的活动,以获取基于兴趣的信号(即个人数据) ,从而用“相关”的广告定位用户) ,已经创造了一个新的攻击载体——如果你足够了解他们(而且他们拥有 Facebook 账户) ,就可能操纵世界上几乎所有人。
但这并不意味着这里没有法律问题。
事实上,Facebook 声称为了广告定位而处理用户个人数据的法律依据多年来一直在欧盟受到挑战。
广告定位的法律依据
这家科技巨头曾经声称,用户同意他们的个人数据被用于广告定位。然而,它并没有为人们提供一个自由的、具体的和知情的选择,让他们决定是否愿意被描述为行为广告,或者只是想与他们的朋友和家人联系。(而自由、具体和知情是 GDPR 的同意标准。)
如果你想使用 Facebook,你必须接受你的信息被用于广告定位。这就是欧盟隐私倡导者所称的“强迫同意”。也就是强迫,而不是同意。
然而,自从 GDPR (2018年5月)开始应用以来,Facebook 似乎已经转向声称它能够合法处理欧洲人的广告信息,因为用户实际上与它签订了接收广告的合同。
本周早些时候,欧盟主要监管机构——爱尔兰数据保护委员会(DPC)公布了一项初步决定,提议对 Facebook 处以3600万欧元的罚款,理由是该公司对这一静音开关不够透明。
尽管 DPC 似乎对 Facebook 的广告合同主张没有异议,但其他欧洲监管机构并不同意,而且可能会反对爱尔兰的决定草案,因此监管机构对 Facebook 向 GDPR 提出的那起诉讼的审查正在进行中,而且远未结束。
如果这家科技巨头最终被发现绕过了欧盟的法律,它最终可能会被迫让用户自由选择他们的信息是否可以用于广告定位——这实际上会在其广告定位帝国中炸开一个存在主义的大洞,因为正如这项研究所强调的那样,即使持有一些兴趣数据,也是个人数据。
不过现在,这家科技巨头正在使用其惯用的策略,否认这里有什么可看的。
Facebook 的一位发言人在一份声明中回应了这项研究,他驳斥了这篇论文,称其“关于我们的广告系统如何运作的说法是错误的”。
Facebook 的声明继续试图转移人们对研究人员核心结论的注意力,以尽量减少他们研究结果的重要性ーー其发言人写道:
关于我们的广告系统是如何工作的这项研究是错误的。除非某人选择分享他们的兴趣爱好,否则广告商是无法获取这些广告的。如果没有这些信息或者特定的细节来识别看到广告的人,研究人员的方法对于试图打破我们的规则的广告客户来说将毫无用处。
作为对 Facebook 反驳的回应,论文作者之一安吉尔•奎瓦斯(Angel Cuevas)形容该论点是“不幸的”。他表示,该公司应该采取更强有力的对策,防范纳米定位的风险,而不是试图声称没有问题。
在论文中,研究人员确定了一些他们认为可能与纳米定位相关的有害风险,例如心理说服、用户操纵和勒索。
Cuevas 告诉 TechCrunch: “令人惊讶的是,Facebook 隐含地认识到纳米定位技术是可行的,唯一的对策是假设广告商无法推断用户的兴趣。”。
“广告商可以通过许多方式推断出消费者的兴趣。在我们的论文中,我们使用了一个浏览器插件(为了研究目的,需要得到用户的明确同意)。更重要的是,除了兴趣之外,还有其他参数(我们在研究中没有使用) ,如年龄、性别、城市、邮政编码等。
“我们认为这是一个不幸的论点。我们相信,像 Facebook 这样的玩家可以采取更强有力的对策,而不是假设广告商无法推断用户的兴趣,以便以后用来定义 Facebook 广告平台上的受众。”
人们可能会回想起2018年剑桥分析公司(Cambridge Analytica)的 Facebook 数据滥用丑闻,当时一名进入 Facebook 平台的开发人员能够在大多数用户不知情或不同意的情况下,通过一个测试应用程序提取数百万用户的数据。
因此,正如 Cuevas 所说,不难想象广告商/攻击者/代理商采用类似的不透明和不公正的策略来获取 Facebook 用户的兴趣数据,试图操纵特定的个人。
在这篇论文中,研究人员指出,在他们的纳米定位实验结束几天后,Facebook 关闭了他们用来运行这些活动的账户,没有任何解释。
这家科技巨头没有回答我们就这项研究向它提出的具体问题,包括为什么它关闭了这个账户ーー如果它这么做是因为它发现了纳米定向问题,那么它为什么没能阻止广告的运行,而是首先针对一个用户。
期待诉讼
这项研究对 Facebook 的业务有什么更广泛的影响?
我们采访的一位隐私研究人员表示,这项研究肯定会对诉讼有所帮助。鉴于欧盟监管机构针对 Facebook (以及更广泛的广告技术)的隐私执法进展缓慢,欧洲的诉讼正在增加。
另一位用户指出,这些发现突显出 Facebook 有能力大规模地“系统地重新确认”用户身份——“同时假装它不处理数据上的‘个人数据’”——这表明,这家科技巨头已经积累了足够多的用户数据,基本上可以绕过有限的法律限制,这些限制可能会限制其处理 PII。
因此,希望对行为广告可能带来的危害进行有效限制的监管机构,需要明智地了解 Facebook 自己的算法如何能够从其拥有并附加给用户的大量数据中寻找并利用代理,以及它可能提出的相关论点,即其处理过程因此避免了任何法律影响(例如,Facebook 在推断敏感利益问题上使用的策略)。
另一位隐私观察家、独立隐私研究员兼顾问 Lukasz Olejnik 博士称,这项研究令人震惊,他将该论文评为本十年十大最重要隐私研究成果之一。
“28亿用户中只有一个用户?虽然 Facebook 平台声称有预防措施使这种微目标定位成为不可能?到目前为止,这是近十年来十大最重要的隐私研究成果之一。”。
”用户似乎可以根据《公共安全和公共关系法》第4(1)条的含义通过其利益加以识别,这意味着利益构成个人数据。唯一需要注意的是,我们不确定这种处理过程的规模(因为纳米测试只在三个用户身上进行过测试)。”
Olejnik 说,研究表明,目标是基于个人数据ーー“可能甚至是 GDPR 第9条所指的特殊类别数据”。
”这意味着需要用户的明确同意。当然,除非采取适当的保护措施。但基于这篇论文,我们得出结论,即使存在这些问题,也是不够的。”。
当被问及他是否认为这项研究表明存在违反《公平与安全法》的情况时,奥列尼克说: “ DPAs 应该进行调查。毫无疑问,”他补充说: “即使这件事在技术上具有挑战性,立案最多也只需要两天。”
我们把这项研究标记给了 Facebook 在欧洲的负责人、爱尔兰的 DPA,询问该隐私监管机构是否会进行调查,以确定是否存在对 GDPR 的违规行为,但在撰写本文时,该机构尚未作出回应。
禁止微目标定位?
关于该文件是否强化了取缔微目标定位的理由,奥莱尼克辩称,遏制这种做法“是前进的方向”,但他表示,现在的问题是如何做到这一点。
“我不知道目前的行业和政治环境是否会准备好全面禁令。我们至少应该要求采取技术上的预防措施。”。“我的意思是,我们已经被告知,这些措施已经到位,但(在 Facebook 的纳米定位方面)似乎并非如此。”
Olejnik 还表示,基于谷歌隐私沙箱(Privacy Sandbox)提案中的一些构想,可能会有一些改变。然而,由于广告技术方面的投诉引发了对竞争的审查,该提案已被搁置。
当被问及他对微目标定位禁令的看法时,Cuevas 告诉我们: “我个人的立场是,我们需要理解隐私风险与经济(就业、创新等)之间的权衡。我们的研究明确表明,广告技术行业应该明白,仅仅考虑 PII 信息(电子邮件、电话、邮政地址等)是不够的,他们需要实施更严格的措施来界定受众。
“尽管如此,我们并不认为应该禁止微目标定位(microtargeting,即定义一个(至少)拥有数万用户的受众的能力)。微目标市场的背后有一个非常重要的市场,它创造了许多就业机会,这是一个非常具有创新性的行业,它做的有趣的事情并不一定是坏事。因此,我们的立场是限制微目标的潜力,以保障用户的隐私。”
“在隐私领域,我们认为尚未解决的公开问题是同意,”他还表示。“研究团体和广告技术生态系统必须共同努力(理想情况下是一起的) ,创造一个高效的解决方案,获得用户的知情同意。”
放大来看,欧洲对 ai 驱动工具提出了更多的法律要求。
今年早些时候,欧盟提出了一项关于人工智能高风险应用的立法,建议全面禁止人工智能系统使用“潜意识技术,以便在实质上扭曲一个人的行为,从而导致或可能导致该人或另一个人的身体或心理伤害”。
因此,至少推测一下 Facebook 的平台是否会面临欧盟未来的人工智能监管禁令是有趣的ーー除非该公司制定适当的保障措施,有力地防止其广告工具被用来敲诈或从心理上操纵个人用户的风险。
不过,就目前而言,对于 Facebook 的眼球定位帝国来说,这仍然是一项利润丰厚的业务。
当被问及未来对该平台的研究计划时,库瓦斯表示,他们下一步显然想做的工作是将兴趣与其他人口统计信息结合起来,看看纳米定位是否“更加容易”。
“我的意思是,广告商很有可能将用户的年龄、性别、城市(或邮政编码)与一些兴趣结合起来,以纳米定位用户,”他建议说。“我们想知道需要组合多少这些参数。推断用户的性别、年龄、地点和兴趣可能比推断几十个兴趣要容易得多。”
Cuevas 补充说,这种纳米定位论文已经被接受,将在下个月的 ACM 互联网测量会议上发表。