本文最初发布于《The Markup》。本文与 STAT 联合发布,STAT 是一家提供有关健康、医学和生命科学的值得信赖且权威的报道的国家级出版物。在此处订阅其健康科技新闻通讯。
《The Markup》发现,全国各地的心理健康危机资源网站——这些网站承诺为访客提供匿名服务,而许多访客正处于人生中的绝望时刻——一直在悄悄地将敏感访客数据发送给 Facebook。
根据《The Markup》的测试,与去年夏天推出的全国心理健康危机 988 热线相关的数十家网站通过一种名为 Meta Pixel 的工具传输数据。当访客尝试通过点击网站上的专用呼叫按钮来拨打心理健康紧急求助电话时,这些数据通常会向 Facebook 发送信号。
在某些情况下,填写网站上的联系表格会将加密但易于解密的姓名和电子邮件地址传输给 Facebook。
《The Markup》测试了全国 988 自杀与危机生命线名下的 186 个地方危机中心网站。拨打全国 988 热线电话会根据来电者的区号路由到这些中心。这些组织也经常运营自己的危机热线,并为其社区提供其他社会服务。
《The Markup》的测试显示,超过 30 家危机中心网站使用了 Meta Pixel,以前称为 Facebook Pixel。Pixel 是一种包含在网页中的简短代码片段,可以实现 Facebook 上的广告投放,它是一个免费且广泛使用的工具。《The Markup》在2020 年的调查发现,网络上 30% 的热门网站都使用了它。
《The Markup》发现的 Pixel 以不同的程度追踪访客行为。所有网站都记录了访客浏览了主页,而其他网站则捕获了更多潜在的敏感信息。
许多网站上都包含允许用户直接拨打 988 或地方心理健康帮助热线的按钮。但点击这些按钮通常会触发一个信号发送到 Facebook,其中包含有关访客点击了什么的信息。一个网站上的 Pixel 向 Facebook 发送了关于点击标记为“24 小时危机热线”并拨打地方危机服务电话的访客的数据。
点击按钮或填写表格有时也会将姓名或唯一 ID 号码等个人身份数据发送给 Facebook。
位于华盛顿州西部的希望之翼(Volunteers of America Western Washington)的网站是一个很好的例子。这家社会服务非营利组织表示,每年响应超过 30 万次援助请求。当网络用户访问该组织网站时,主页上的 Pixel 会记录访问情况。
如果访客随后通过网站上标记为“呼叫或发送短信 988”的按钮尝试拨打全国 988 危机热线,那么这次点击——包括按钮上的文本——就会被发送到 Facebook。这次点击还传输了一个“外部 ID”,这是一个Facebook 用于尝试将网络用户与其 Facebook 账户匹配的代码。
如果访客填写了希望之翼西部华盛顿州网站主页上的联系表格,则会向 Facebook 传输更多隐私信息。在填写并发送表格后,Pixel 会传输该人的姓名和电子邮件地址的哈希(或加密)版本。希望之翼西部华盛顿州未回应置评请求。
《The Markup》在其他网站上发现了类似活动。
位于北加州的社会服务组织Contra Costa Crisis Center在用户点击呼叫或发送短信危机服务按钮时,会将此信息通知 Facebook。在大约 3000 英里外,罗德岛的一家名为BH Link的组织使用了一个 Pixel,当访客从其主页点击呼叫危机服务按钮时,该 Pixel 也会 ping Facebook。(在本文发布后,Contra Costa Crisis Center 告诉《The Markup》,它已移除了 Pixel。)
Facebook 可以使用 Pixel 收集的数据将网站访客与其 Facebook 账户相关联,但无论访客是否有 Facebook 账户,数据都会被收集。尽管发送给 Facebook 的姓名和电子邮件地址经过哈希处理,但可以使用免费且广泛使用的网络服务轻松解密。
在《The Markup》联系了这 33 家危机中心了解其做法后,一些中心表示他们不知道该代码在其网站上,并将采取措施将其删除。
“这并非有意为之,感谢您让我们了解潜在的问题,”全国 988 网络合作伙伴康涅狄格州联合劝募协会(United Way of Connecticut)首席信息官 Leo Pellerin 在电子邮件声明中表示。Pellerin 表示,他们已移除该代码,并将其归因于其网站上的一个插件。
爱达荷州危机与自杀热线(Idaho Crisis and Suicide Hotline)主任 Lee Flinn 在一封电子邮件中表示,她“从未听说过 Meta Pixel”,并正在让曾负责该组织网站的外部供应商移除该代码。“我们重视联系我们的人的隐私,任何跟踪设备都不是我们故意的,我们也没有要求任何开发者安装,”她说。“任何关于跟踪的内容一经发现,都将被立即移除。”
坦帕湾危机中心(Crisis Center of Tampa Bay)的发言人 Ken Gibson 表示,该组织最近在其网站上放置了 Pixel 以招聘员工,但现在将 Pixel 收集的信息限制在网站的招聘页面。
在后续测试中,有四个组织似乎已完全移除了该代码。我们联系的大多数中心均未回应置评请求。
Meta 发言人 Emil Vazquez 在一封电子邮件声明中告诉《The Markup”,正如该公司先前回应有关 Meta Pixel 的报道时所提供的声明一样:“广告商不应通过我们的业务工具发送有关人们的敏感信息。这样做违反了我们的政策,我们会教育广告商正确设置业务工具以防止这种情况发生。我们的系统旨在过滤掉它能检测到的潜在敏感数据。”
Vazquez 没有回应关于 Meta 如何确定这些特定数据是否被过滤的问题。
没有证据表明 Facebook 或危机中心本身试图识别访客或来电者,也没有证据表明实际有人通过网站识别出试图寻求帮助的人。一些组织在回应《The Markup》的置评请求时明确表示,他们重视 988 热线承诺的匿名性。
新泽西州Caring Contact的执行董事 Mary Claire Givelber 在一封电子邮件中表示,该组织曾短暂使用 Pixel 在 Facebook 上招募志愿者,但现在将将其移除。
“为避免任何疑问,Caring Contact 未使用 Meta Pixel 来识别、定位或向 Caring Contact 危机热线的任何潜在或实际来电者或短信者投放广告,”Givelber 说。
然而,Meta 可以将其工具收集的信息用于自身目的,通过分布在网络上的 Pixel 发送给该公司的这些数据会进入一个黑箱,该黑箱可以在很少的监督下对数据进行分类和组织。
负责管理全国 988 危机热线的非营利组织Vibrant Emotional Health的发言人 Divendra Jaffar 在一封电子邮件声明中指出,通过 Pixel 传输的数据是加密的。
“虽然 Vibrant Emotional Health 不要求我们的 988 生命线网络中的危机中心提供其营销和广告实践的最新情况,但我们确实向我们的中心、辅导员和工作人员提供最佳实践指南,并要求他们遵守严格的运营标准,这些标准会由我们的政府合作伙伴审查和批准,”Jaffar 说。
该组织未回应提供任何相关最佳实践的请求。
斯坦福人本人工智能研究所(Stanford Institute for Human-Centered Artificial Intelligence)的隐私与数据政策研究员 Jen King 在一次采访中表示,无论出于何种原因,Meta 都通过其工具收集了过多的数据。
“即使这是开发者方面无意为之,您仍然不应该掉入这个陷阱,”她说。“用‘开发者的失误’这个借口早该过时了。”
Pixel 和敏感数据
Facebook 的母公司 Meta 提供 Pixel,作为一种追踪网络访客并在 Facebook 上更精确地定位这些访客广告的方式。对于企业和其他组织来说,这是一个有价值的工具:例如,一家小型公司可以在 Facebook 上直接向购买了某件特定产品的用户投放广告,或者一家非营利组织可以继续在 Facebook 上向上次访问网站时捐赠过的用户进行推广。
一家名为明尼苏达州Greater Twin Cities United Way的组织表示,他们不使用其网站来联系潜在的 988 来电者,而是专注于“捐助者和其他组织利益相关者”。该组织的整合营销经理 Sam Daub 在一封电子邮件声明中表示,该组织使用 Pixel 等工具“促进转化跟踪和内容再营销,面向访问我们网站的用户”,以接触这些人,但并不追踪 988 来电者的具体活动。
除了鼓励用户购买广告外,这类数据对 Meta 也可能很有价值,Meta 根据其服务条款,可以使用这些信息来驱动其算法。该公司保留使用通过 Pixel 传输的数据的权利,例如“个性化我们在 Meta 产品上和产品外向人们展示的功能和内容(包括广告和推荐)”。(这也是为什么在线购物者可能会在网上查看一条裤子,然后突然在社交媒体上看到同一条裤子在打广告。)
Pixel 的受欢迎程度极高。该公司在2018 年告诉国会,网络上有超过两百万个 Pixel 正在收集数据,这一数字在此后很可能有所增加。美国没有联邦隐私立法来监管这些数据的大部分使用方式。
Meta 的政策禁止组织通过 Pixel 发送关于 13 岁以下儿童的敏感信息,或者与敏感的财务或健康事务相关的任何数据。该公司表示,它有一个“旨在过滤掉其检测到的潜在敏感数据”的自动化系统,但广告商有责任“确保其集成不向 Meta 发送敏感信息”。
然而,实际上,《The Markup》发现几个主要服务都向 Facebook 发送了敏感信息。作为与 Mozilla Rally 合作名为Pixel Hunt的项目的一部分,《The Markup》发现 Pixel 会从包括教育部、知名医院和大型税务准备公司在内的来源传输信息。其中许多组织此后已改变了它们使用 Pixel 的方式或停止使用,而立法者们也质疑了涉事公司的数据共享做法。Meta 目前正因这些事件面临数起诉讼。
Meta 特别禁止发送的敏感健康信息类型包括“心理健康和心理状态”信息以及“识别健康状况的物理位置,或治疗/咨询地点”。Vazquez 没有直接回答关于从危机中心发送的数据是否违反 Meta 政策的问题。
有证据表明,即使是 Meta 自己也无法始终说清楚这些数据最终去向何处。在 Vice 的 Motherboard 获得的并发布的泄露文件中,公司工程师表示他们“没有足够水平的控制和可解释性来了解我们的系统如何使用数据”。该文件将用户数据比作泼到水中的一瓶墨水,之后无法回收。当时,一位 Facebook 发言人回应称,该报告忽略了公司“为遵守隐私法规而采取的广泛流程和控制”,尽管发言人没有提供任何具体细节。“得出其不合规的结论是不准确的,”发言人说。
King 说:“Pixel 的原始用例也许没有那么侵入性,或者人们没有如此广泛地使用它”,但她补充说,现在 Meta“显然抓取了过多的数据”。
988 的历史与争议
全国 988 危机热线是联邦通信委员会(Federal Communications Commission)多年努力的成果,旨在为处于心理健康危机中的人们提供一个简单易记的三位数号码。
危机热线是一项极其重要的社会服务——研究发现,它可以阻止人们自杀。新的全国热线,主要是资金更充足、更易获得的长期运行的全国预防自杀生命线的版本,在去年夏天到今年一月之间接听了超过 30 万个电话、聊天和短信。
但 988 的推出伴随着关于隐私和匿名性的问题,主要围绕着呼叫者是否以及如何可能被紧急服务追踪。全国热线被宣传为一项匿名服务,但在过去,呼叫者曾表示他们在拨打危机热线时未经同意就被追踪。在这些事件中,警方有时会直接响应,导致了可怕的事件。
根据该服务,目前的 988 热线不通过地理定位技术追踪用户,尽管辅导员在某些情况下被要求向 911 等紧急服务提供信息。这一要求一直存在争议,像跨性别者生命线(Trans Lifeline)这样的为跨性别社群服务的非营利危机热线退出了该网络。
该组织发起了一项运动,以提高对这一问题的关注。跨性别者生命线(Trans Lifeline)的倡导总监 Yana Calou 在一次采访中告诉《The Markup》,有一些热线“明确表示不”追踪,而这项运动旨在将人们引导到那些热线。(跨性别者生命线不参与全国 988 网络,但也在其网站上使用 Meta Pixel。在被《The Markup》提醒后,跨性别者生命线的发言人 Nemu HJ 表示,他们将从网站上移除该代码。)
数据共享行为也使其他服务提供商陷入争议。去年,Politico 报道称,备受欢迎的心理健康服务非营利组织Crisis Text Line正在与一家营利性子公司合作,后者利用从短信对话中获取的数据来营销客户服务软件。该组织在公开披露后迅速结束了合作关系。
Calou 说,拥有一个让呼叫者和组织之间存在信任的空间,可以在干预中起到至关重要的作用。“真正能够让人们告诉我们真相,让他们感到可以获得支持,”他们说。
本文最初发布于《The Markup》,并根据知识共享署名-非商业性使用-禁止演绎 4.0 国际许可协议重新发布。
