本文 最初发表在 The Markup.
想象一个高中生,她想上大学,喜欢为学校的足球队加油,并且自己也参加一两个体育项目。
一天放学后,她注册了一个 官方 ACT 账户,以便安排大学入学考试并查看考试成绩。然后,她通过 Common App 网站 研究了几所大学,并且和每年一百多万名学生一样,她使用该网站为她梦想的大学开始申请。
她花了几分钟使用 Prezi 网站为课堂准备演示文稿。在课间休息时,她通过 一个名为 ArbiterSports 的服务 注册了学校的课后体育项目,然后她拿起手机,记起通过 Jostens 公司 订购年鉴。漫长的一天结束了,她拿出笔记本电脑,通过 NFHS Network (一项高中体育订阅服务)观看学校的重头足球比赛。
这位学生不知道的是:尽管她在自己家里的网络隐私中浏览网页,但 Facebook 却看到了她做的很多事情。
据《The Markup》的测试显示,她访问的每一个网站都使用了 Meta Pixel,这是一个跟踪工具,能在用户浏览网页时悄悄地收集信息并传输给 Facebook。数百万个看不见的像素嵌入在互联网的各个网站中,使企业和组织能够通过广告在 Facebook 上定位他们的客户。
企业自愿在其网站上嵌入像素,以收集足够多的客户信息,以便之后在 Meta 的社交平台 Facebook 和 Instagram 上投放广告。例如,如果网站的结账页面上有像素,而访客购买了一顶带有学校标志的棒球帽,那么该像素可能会记录这次互动,并且该页面所有者以后可以在 Facebook 上向该人发送更多服装广告。这也是人们在其他网站购物后,在 Facebook 和 Instagram 上看到相同广告的原因之一。《The Markup》还发现, 医院、 远程医疗公司、 报税网站 和 心理健康危机网站 也在使用该像素,并将敏感信息传输给社交媒体公司。
除了鼓励企业花费广告费用外,Facebook 还会接收传输的数据,并利用这些数据来优化其算法。Facebook 还可以利用像素数据将网站访问者与其 Facebook 账户关联起来,这意味着企业可以接触到访问过其网站的特定人群。无论访问者是否有账户,像素都会收集数据。
我们的调查发现,该像素存在于数十个针对从幼儿园到大学的儿童的流行网站上,包括那些如果学生想参加学校活动或申请大学几乎必须使用的网站。
在此查看我们的数据: GitHub
在某种程度上,这并不令人意外:像像素这样的跟踪工具非常普遍,以至于密集跟踪几乎已成常态。芝加哥大学计算机科学副教授 Marshini Chetty 说,你可以说“这些教育网站和其他任何网站都一样”。
但处理儿童问题引发了关于网络跟踪的更大疑问。她说:“为什么有 Meta Pixel?为什么有会话记录器?”“这些网站上应该有它们的位置吗?”
根据负责该考试的非营利组织的数据,2022 年有约 140 万 名高中生参加了 ACT 考试,高于 2021 年的 130 万 人。《The Markup》发现,官方 ACT 登录页面会跟踪访问该网站的用户,当学生登录时,像素会将学生电子邮件地址的加密版本发送给 Facebook。Meta 表示,这些“哈希”电子邮件地址“ 有助于保护用户隐私”。但 很容易 确定数据预先混淆的版本——而且 Meta 明确使用 哈希信息将其他像素数据链接到 Facebook 和 Instagram 个人资料。
在登录 ACT 账户后,如果学生在下一页接受了 cookies,Facebook 就会收到他们几乎所有点击内容的详细信息——包括加密但可识别的数据,如他们的名字和姓氏,以及他们是否正在注册 ACT。该网站甚至记录了关于学生种族和性别的信息,以及他们是否计划申请大学经济援助或需要残疾住宿。
ACT 的一位发言人拒绝置评,但在《The Markup》联系置评几天后,我们再次测试了 ACT 账户页面 中的像素,发现它已不再向 Facebook 发送个人数据。
当学生访问 Common App 网站时,像素会告知 Facebook 他们点击了什么,包括他们是否开始申请。之后他们被导向的关联申请 URL 不会跟踪他们。据该组织称,每年有超过 100 万名学生通过 Common App 申请大学, 据该组织称,并且有 1000 多所大学通过该平台接受申请。该组织未回应置评请求。
如果有人在 Prezi 上开始或修改演示文稿,Facebook 就会收到通知。当学生或家长访问 ArbiterSports 以注册学校或大学的活动时,像素会告诉 Facebook 他们在该平台上搜索了哪些学校。当有人点击电子邮件地址联系学校以获取更多信息时,像素会告诉 Facebook。根据 ArbiterSports 的网站,该公司 声称 是“美国 K-12 和大学体育及赛事管理的支柱”,并且“有超过 6500 万美国人使用它,是我们中的五分之一。” Prezi 和 ArbiterSports 未回应置评请求。
Jostens 会详细跟踪任何查找年鉴的人,告诉 Facebook 他们浏览了哪些学校,并在他们登录时发送其哈希电子邮件地址。如果访问者通过 NFHS 网络导航到高中体育页面观看比赛,该网站会将搜索文本发送给 Facebook。 Jostens 表示,它与 40,000 多所学校合作,每年为 250 万客户提供服务。一些学校要求学生向 Jostens 订购毕业礼服等服装。Jostens 未回应置评请求。
尽管这些网站中的许多网站没有发送学生的(或任何网站访问者的)电子邮件或姓名,但 Facebook 不需要 这些信息来跟踪和重新定位他们进行广告宣传。来自像素的数据与个人 IP 地址相关联——IP 地址是类似计算机邮寄地址的标识符,通常可以链接到特定个人或家庭——从而在学生和他们的页面浏览之间建立更紧密的联系。(Meta 提供了像素选项,允许组织调整他们收集和传输的数据—— 您可以在此处关闭或限制它。)
Meta 的一位发言人 Emil Vazquez 在一封电子邮件声明中 指出,该公司 最近已更改 了广告商在其服务上向青少年营销的方式,包括限制广告商定位他们的方式。该公司对其商业工具的使用条款禁止组织发送关于 13 岁以下儿童的数据。
“我们在政策中已明确表示,广告商不得通过我们的商业工具发送有关个人的敏感信息,”Vazquez 说。“这样做违反了我们的政策,我们教育广告商如何正确设置商业工具以防止这种情况发生。我们的系统旨在过滤掉它能够检测到的潜在敏感数据。”
跟踪 13 岁以下儿童
Facebook 不允许 13 岁以下儿童使用其服务。但《The Markup》发现,一些针对 13 岁以下儿童的网站也使用像素来跟踪访问者。
例如,如果一位老师布置了一个班级访问教育阅读网站 Raz-Kids(一个面向幼儿园到五年级儿童的服务),该网站会在访问者点击标记为“KIDS LOGIN”的按钮时通知 Facebook。(在那之后,他们会被导向一个专门的登录页面,该页面没有像素。)
ABC Mouse —一个动画学习网站——和 XtraMath——一个教育数学服务——的首页使用该工具来跟踪对其首页的访问。数字阅读平台 Kids.getepic.com 不使用像素。但是,如果学生导航到主页 getepic.com,并点击“I’m a kid”弹出窗口,点击以及将他们标识为孩子的按钮文本就会被发送到 Facebook。该服务明确在其网站上宣传自己是面向 12 岁及以下儿童的。
然而,一旦访问者通过了这些网站的首页,他们就不再被跟踪,因为这些网站都有专门的学生登录页面,并且不使用像素跟踪器。
这些面向 13 岁以下儿童的网站的发言人强调,它们有单独的、不跟踪的儿童专用网址,并且只在其面向公众的首页上使用像素来向潜在客户(如教师)营销其产品。
XtraMath.org 的执行董事 Roy King III 在一封电子邮件中表示,该网站将像素用于商业推广,但“我们应用程序中的学生数据不会与任何营销数据混合、关联或识别”,并且该网站遵守儿童隐私法。Epic 的发言人 Kiki Burger 也指出他们使用了单独的、无跟踪的网站,并表示 Epic 的实际教育产品不进行跟踪。
Raz-Kids 的母公司 Cambium Learning 的发言人 John Jorgenson 同样指出,儿童会被引导到一个不进行跟踪的页面,他说“我们的方法是将应用程序登录页面与我们网站的其他部分进行区分,我们跟踪这些一般网站流量”。
《The Markup》测试了这些网站的像素,因为它们是从美国公立学校链接最多的网站之一。我们通过扩展芝加哥大学和纽约大学(NYU)计算机科学研究人员在今年创建的一个列表,收集了关于流行的教育相关网站的数据。研究人员使用美国 K-12 学校的公共数据库,生成了 60,000 多个美国公立学校的网址,并从中生成了 15,000 多个域名。
然后,研究人员从这些学校的域名中抓取了其他网站的链接。他们收集了出现频率最高的链接列表,从而得到了一份学校最有可能引导访问者的网站列表。然后,他们将列表缩小到仅包含与教育技术相关的网站。最后,他们使用了 《The Markup》的 Blacklight 工具,该工具扫描网站上的跟踪器,发现了 Meta Pixel 等工具的广泛使用。
《The Markup》重新运行了研究人员的 Blacklight 搜索,然后进行了更深入的分析。对于列表中使用了像素的 30 个网站,我们分析了浏览网站时的网络流量,这让我们能够详细了解网站如何与 Facebook 通信。
总而言之,我们搜索了列表中以某种方式使用 Meta Pixel 的几十个网站。搜索存在一些局限性:仅仅因为一个学校链接到一个网站,并不一定意味着学校批准该网站,或希望学生使用它。其中许多网站也是面向学校管理员而不是学生的教育产品推广网站。由于它们需要登录,因此《The Markup》无法直接审查其中一些产品。
Future of Privacy Forum 的高级技术专家 Jim Siegl 表示,学区可能在监管他们为学校服务而签约的应用程序方面做得很好。但即使是通过公开网络的商业营销页面来搜索这些应用程序,情况也大不相同。
Siegl 用一个比喻来形容一个被一家公司包围的社区里的学校,周围散布着监控摄像头。“为了去学校,比利必须穿过这个公司社区,穿过公司的前厅才能到达教室,”他说。
Facebook 与儿童的复杂关系
去年年初,《The Markup》启动了 Pixel Hunt 项目,旨在探索 Meta Pixel 如何被悄悄用于跟踪网络用户。该项目强调了 Meta Pixel 收集潜在敏感数据(包括 教育 、 金融 和 健康 信息)的几种方式。自该系列启动以来,该系列已引起了立法者和监管机构的关注和 直接质询 ,并导致了对 Meta 和其他公司提起了 数十起诉讼。
然而,关于网络上的像素如何收集儿童和青少年数据的问题,却鲜有关注。今年早些时候,《Gizmodo》曾报道 报道,负责 SAT 和 AP 考试的 College Board 正在向 Facebook、TikTok 等平台传输 SAT 分数和成绩信息。The Markup 的最新测试显示,像素在一些 SAT 相关页面上仍然活跃。据 College Board 称,2023 届的 190 万名学生 参加了 SAT 考试。College Board 的传播总监 Jerome White 在一份声明中表示,该组织不向 Meta 发送个人身份信息,并且“像素只是衡量 College Board 广告有效性的一种手段”。
Facebook 与年轻人的关系尤其复杂,并且有着长达多年的争议史,一直延续至今。上个月,40 多个州的联盟 起诉了 Meta。各州总检察长指控 Meta 利用故意设计的成瘾性来吸引儿童和青少年使用 Instagram 等应用程序,并在此过程中侵犯儿童隐私。Meta 反驳了这些指控,并声称它已为年轻人引入了保护措施。
本月,前 Facebook 工程师 Arturo Béjar 向国会作证,Facebook 明知故犯,未能阻止开发损害儿童的系统。Béjar 不是第一个就此问题发表看法的 Meta 前员工。另一位前雇员 Frances Haugen 于 2021 年 发布了内部文件,表明 Facebook 明知其产品损害青少女的心理健康,这一发现与 独立研究人员的说法 一致。
这些披露之后,人们对 Facebook 将幼儿引入不健康数字空间的担忧日益加剧。在 Facebook 计划发布一款面向 13 岁以下儿童的 Instagram 版本的消息传出后,这些担忧更是进一步加剧,而美国对他们有特殊的隐私保护。
这一计划很快引起了立法者和儿童健康倡导者的审查,2021 年,在项目泄露消息约六个月后,该公司宣布暂停 Instagram Kids。Instagram 主管 Adam Mosseri 在当时的一份声明中说:“虽然我们认为有必要开发这种体验,但我们已决定暂停该项目。”“这将使我们有时间与家长、专家、政策制定者和监管机构合作,倾听他们的担忧,并展示该项目对当今在线年轻青少年来说的价值和重要性。”
美国没有一项联邦隐私法能广泛涵盖所有数据。有一项于 1998 年通过的法律,确实涵盖了 13 岁以下儿童的数据: 《儿童在线隐私保护法》(COPPA)。
COPPA 适用于面向 13 岁以下儿童或营销给他们的网站,或者知道他们正在收集 13 岁以下儿童数据的网站。这些网站必须在收集数据前获得家长许可,并让这些家庭有机会选择退出,包括通过网络跟踪技术。否则,他们可能面临联邦贸易委员会(FTC)的处罚。与其面对从数百万家长那里获得许可的艰巨任务,一些服务干脆不允许 13 岁以下的儿童使用其平台——尽管实际上,很多人仍然通过谎报年龄来创建账户。
一个服务在法律上是否被视为面向儿童,还有一些解释的空间,FTC 对各种公司采取了执法行动,如 教育技术供应商 Edmodo 和 亚马逊的 Alexa 设备。FTC 表示,它可能会根据主题内容,以及是否包含“动画角色或儿童导向的活动和奖励”来判断一个服务是否面向儿童。
但再次强调,“儿童”是指 13 岁以下。“如果你超过 13 岁,就没有专门的法律来处理隐私保护了,”Siegl 说。
今年 5 月,FTC 直接对 Facebook 采取了行动,指控该公司违反了之前的隐私命令,并 禁止该公司 将其收集的关于 18 岁以下用户的数据变现。该机构表示,Facebook 的“鲁莽行为让年轻用户面临风险”。Meta 称此举为“政治噱头”,并表示 FTC 正在扩大其管辖范围。
有迹象表明,加强对儿童的更严格、更广泛的监管势头正在形成。多个州已经 提议或通过了法律,扩大了涵盖的数据类型,或将 COPPA 的保护范围扩大到包括 13 至 18 岁的儿童。
但过去试图通过新的联邦法律的尝试都停滞不前。目前正在审议的一项法案《儿童在线安全法》(Kids Online Safety Act)将对社交媒体网站施加新的要求,以防止未成年人看到有害内容。然而,该法案和其他法案 引发了对审查制度的民权担忧,尤其是在“有害”内容可能包含什么方面。
与此同时,负责保护学生和儿童的人员不得不凭借现有条件行事。
作为研究的一部分,芝加哥大学和纽约大学的团队采访了学校管理人员,了解他们的安全措施。他们普遍发现,许多学区缺乏适当评估学生隐私问题的技术技能或资源。
“某种形式的全面联邦隐私法规将是有帮助的,”在识别教育网站的研究论文中工作的芝加哥大学博士生兼法学学生 Jake Chanenson 说。“我们最后的隐私法还是 90 年代的。”
本文 最初发表在 The Markup,并根据 知识共享署名-非商业性使用-禁止演绎 4.0 国际许可协议 重新发布。
