在俄罗斯入侵乌克兰战争中,网络数据和信息安全备受关注。独立调查媒体ProPublica的报道发现,谷歌可能已经向俄罗斯联邦储蓄银行(Sberbank)所拥有的RuTarget公司,提供了大量美国用户手机ID、IP地址、位置信息以及用户兴趣和在线活动的详细信息。这引发了对谷歌等互联网公司,利用“竞标数据流”售卖广告所带来的用户隐私泄露,以及对国家安全威胁的警告。
俄罗斯入侵乌克兰的第二天,美国参议院情报委员会主席马克·华纳致信谷歌,警告要对“俄罗斯和与俄罗斯有联系的实体利用你的平台”保持警惕,并呼吁审计其广告业务,是否符合经济制裁。
但是,根据ProPublica的一份新报告,就在最近的6月23日,谷歌正在与一家受制裁的俄罗斯广告技术公司,分享潜在的敏感用户数据,这家公司由俄罗斯最大的国有银行拥有。
根据数字广告分析公司Adalytics的研究,谷歌允许RuTarget访问和存储人们在乌克兰和世界其他地区,浏览网站和应用程序的数据,RuTarget是一家帮助品牌和机构购买数字广告的俄罗斯公司。
2月24日, RuTarget被列入美国财政部的制裁实体名单。但Adalytics发现,此后RuTarget还从谷歌接收到近700个用户数据案例。四个月后,也就是6月23日,ProPublica就此事联系了谷歌,数据共享当天就停止了。
RuTarget也以Segmento的名义运营,其属于俄罗斯国有的储蓄银行,美国财政部在对此银行实施最初的制裁时,将其描述为对俄罗斯经济有 “独特的重要性”。财政部4月6日的公告中,RuTarget和俄罗斯储备银行都被列入全面封锁制裁,这意味着美国个人和实体不应该与RuTarget或俄罗斯储备银行进行交易。
特别值得关注的是,分析显示,谷歌与RuTarget共享了关于用户浏览位于乌克兰的网站的数据。这意味着谷歌可能已经交出了诸如用户独特的手机ID、IP地址、位置信息,以及关于用户兴趣和在线活动的细节等关键信息。美国参议员和专家说,这些数据可能被俄罗斯军事和情报部门用来追踪人们或锁定感兴趣的地点。
去年4月,一个由两党组成的美国参议员小组,向谷歌和其他主要广告技术公司发出一封信,警告作为数字广告购买过程一部分的数据共享,对国家安全的影响。他们说,这些用户数据“将成为外国情报机构的金矿,它们可以利用这些数据为黑客攻击、勒索和影响竞选,提供帮助。”
谷歌发言人迈克尔·阿西曼说,其在3月份阻止了RuTarget使用其广告产品。而且从那时起,RuTarget就没有直接通过谷歌购买广告。他承认,在被ProPublica和Adalytics提醒之前,这家俄罗斯公司仍在从谷歌接收用户和广告购买数据。
阿西曼说:“谷歌致力于遵守所有适用的制裁和贸易合规法律,我们已经审查了有关实体,并在今年早些时候采取的措施之外,采取了适当的执法行动,阻止他们直接使用谷歌广告产品。”
阿西曼说,这一行动不仅包括阻止RuTarget进一步访问用户数据,还包括阻止他们通过俄罗斯的第三方购买广告,这些第三方可能不会受到制裁。他拒绝透露RuTarget是否通过谷歌系统,使用这样的第三方购买广告,他也没有评论是否与RuTarget共享乌克兰人的数据。
经营Adalytics并撰写报告的克利兹托夫.弗拉塞克说,RuTarget从谷歌访问和存储用户数据的能力,可能为严重的潜在滥用打开大门。
他说:“据我们所知,他们正在利用这些数据,与他们从其地方搞到的20个数据源相结合,如果RuTarget的其他数据伙伴包括了俄罗斯政府,或情报部门或网络犯罪分子,那么就会有巨大的危险。”
弗吉尼亚州民主党人马克·华纳在给ProPublica的一份声明中,称谷歌未能切断与RuTarget的关系令人震惊。他说:“所有公司都有责任确保,他们没有帮助资助甚至无意中支持普京对乌克兰的入侵。听到一家美国公司可能与一家俄罗斯公司分享用户数据,而这家公司还是由被制裁的国有银行拥有,坦率地说,这是令人失望和难以置信的震惊。 我敦促所有公司从上到下检查他们的商业运作,以确保他们没有以任何方式支持普京的战争。”
谷歌最初未能完全执行对RuTarget的制裁,凸显了资金和数据如何在其领先的数字广告系统中流动,而几乎没有监督或问责。Adalytics公司4月的一份报告显示,谷歌继续在已被财政部列入制裁名单多年的俄罗斯网站上提供广告。6月,ProPublica报告说,尽管谷歌公开反对枪支广告,但却帮助投放了超过1亿个枪支广告,并从中赚钱。
关于RuTarget的调查结果,也是在谷歌和其他科技公司面临立法者,对其处理个人数据的严格审查时出现的。
参议院情报委员会的参议员罗恩·怀登批评谷歌,去年没有向他和他的同事,提供一份与之共享广告数据的外资公司的名单。
他在给ProPublica的一份声明中说:“谷歌拒绝向参议员披露其广告网络,是否将美国人的数据提供给俄罗斯、中国和其他高风险国家的外国公司。现在是国会采取行动,并通过我的两党法案《保护美国人的数据免受外国监控法案》的时候了,这将迫使谷歌和其他网络从根本上改变他们的经营方式,确保不友好的外国政府,不能不受限制地获取美国人的敏感信息”。
上周,怀登和他的同事提出了这项两党法案,以防止美国人的敏感数据被出售或转让给“高风险的外国”。怀登和参议院同事,还致函联邦贸易委员会主席丽娜·汗,要求她调查谷歌和苹果在手机中启用移动广告ID的情况。这些独特的ID可以与其他数据结合起来,对用户进行个人识别。
怀登在信中称,移动ID是谷歌和苹果,将“在线广告转变为一种严密的监视系统,诱发并激励了对美国人个人数据的无限制收集和售卖”。
谷歌的发言人阿西曼说,创建移动广告ID是为了给用户提供控制和隐私,谷歌不允许出售用户数据。
他说:“创建广告ID是为了让用户有更多的控制权,并为开发者提供一种更私密的方式来有效地使他们的应用程序盈利”。
此外,Google Play有相应的政策,禁止将这些数据用于广告和用户分析以外的目的。任何关于广告ID是为了促进数据销售而创建的说法,都是错误的。
“竞标数据流”数据受到审查
参议员所担忧的,也是Adalytics报告的核心是,这些在数字广告购买和公司之间传递的全球数据。这是一个信息宝库,包括一个人独特的移动ID、IP地址、位置信息和浏览习惯。当在公司之间传递以促进广告购买时,这个宝库被称为“竞标数据流”,对由谷歌主导的约5万亿美元的数字广告行业至关重要。
许多数字广告,是通过实时拍卖投放的,其中广告空间的卖方(如网站)与潜在的买方(如品牌和代理商)建立联系。当用户访问一个网站或应用程序时,拍卖就开始了。在几毫秒内,收集到的关于用户的数据,会与潜在的广告买家分享,以帮助他们决定是否出价,向用户展示广告。无论他们是否出价,像RuTarget这样的广告购买平台,都会接收并存储这些竞价流数据,帮助他们随着时间的推移自动积累丰富的数据库。
拍卖过程是由广告交易所运行的。他们连接买家和卖家,并促进他们之间共享竞价数据,这个过程称为“插件同步”。谷歌经营着世界上最大的广告交易系统,而RuTarget是与之共享竞价数据的众多公司之一。RuTarget与谷歌等广告交易所的联系越多,就能收集更多的信息,并与从其他在线和离线来源收集的数据相结合。
杜克大学桑福德公共政策学院的研究员贾斯汀·谢尔曼,负责一个专注于数据经纪人的项目,他说,竞标数据流在很大程度上不受监管,而且可能高度敏感,即使它不包括姓名或电子邮件等个人信息。
他说:“人们越来越关注我们的数据经纪人和广告商的生态系统,是如何将美国人的高度敏感信息泄露、发送或出售给外国实体的,人们还担心外国实体非法获取这些信息。”
谷歌没有披露“竞标数据流”合作伙伴的情况
由于担心信息被滥用,2021年4月,华纳、怀登和四位同事,要求谷歌和其他六个广告交易所,列出他们在过去三年中,与之共享竞价流数据的国内外合作伙伴。他们警告说,这些数据可能对美国国家安全产生严重影响。
他们在给AT&T、Index Exchange、谷歌、Magnite、OpenX、PubMatic、推特和Verizon的信中写道:“很少有美国人意识到,一些拍卖参与者,正在抽走并储存‘投标流数据’,以编制每个人的详尽档案。接着,这些档案被公开出售给任何有信用卡的人,包括对冲基金、政治运动,甚至是政府。”
谷歌几周后作出回应,但以“不披露义务”为由,拒绝列出与之共享投标流数据的公司。
弗拉塞克的研究,揭示了对谷歌回应的准确性的担忧。他在谷歌的支持网站上发现了8个页面,列出了数百家有资格从其获得竞价流数据的国内外公司。一个名单包含300多家公司,其中19家是中国人拥有或总部在中国的,16家是在俄罗斯的公司,包括RuTarget。
弗拉塞克还发现,其中一些公司公开披露了他们与谷歌的关系。而且,正如Vice所报道的,谷歌的一些竞争对手,向参议员披露了他们与之共享数据的外国合作伙伴。
弗拉塞克说,这让人怀疑,当谷歌说它有“不披露义务”时,指的是什么。
他说:“在告诉参议员之前几个月,谷歌就已经在自己的网站上公布了外国合作伙伴的名单”。
谷歌的发言人阿西曼说,谷歌网站上的名单,并没有披露其与这些公司的关系性质。他重申,谷歌与作为投标人的公司有不披露的义务。
谷歌网站上的一份名单(“广告经理认证的外部供应商”)包括一个栏目,描述了每个谷歌供应商的工作内容。其中至少有13家公司被公开认定为 “RTB竞标者”,这意味着他们在谷歌的实时广告拍卖过程中,充当竞标者。
出版商与RuTarget共享数据
谷歌与RuTarget和其他潜在竞标者共享的用户数据,来自数百万个网站和应用程序,这些网站和应用程序依靠硅谷巨人帮助他们从广告中赚钱。许多人可能会惊讶地发现,一家受制裁的俄罗斯广告公司,直到两周前还能获得他们的用户信息。
由于其与谷歌的关系,RuTarget被包括路透社和ESPN在内的主要出版商,公开列为用户数据的接收者。这意味着RuTarget可以拿到数百万人的数据,这些包括用户们每个月访问其在线资产的情况。像其他出版商一样,ESPN和路透社将RuTarget列为用户数据的接收者,在显示给来自欧盟和其他国家用户时,会弹出是否同意隐私条款的插件窗口。
路透社的一位发言人说,其同意弹出窗口中显示的公司,包括RuTarget,来自谷歌提供的一个供应商名单。
这名发言人表示,这个供应商名单是由谷歌管理的,路透社在其网站上使用谷歌的供应商名单。路透社的希瑟·卡彭特说:“据我们了解,谷歌暂停了位于俄罗斯的买家和竞标者,自4月6日以来,我们没有与RuTarget有任何交易记录。”
ESPN没有对评论请求作出回应。
作为谷歌的合作伙伴,用户浏览ProPublica网站,也有可能在某个时候与RuTarget共享了数据。但数字广告的不透明性和技术门槛,让我们很难确定这一点。
数字出版商贸易集团Digital Content Next的负责人杰森·金特说,谷歌的市场力量让出版商除了与该公司合作外没有别的选择。
他说:“优秀的出版商必须信任谷歌提供他们所依赖的大量服务。这是另一个信任错位的例子,我只是对谷歌感到难以置信的失望。”
RuTarget的网站还列出了一批令人印象深刻的全球品牌客户,包括宝洁、李维斯、马自达、万事达、现代汽车、PayPal和辉瑞。这表明这些公司已经与RuTarget合作购买广告,很可能是为了瞄准讲俄语的受众。
辉瑞公司的一位发言人说,公司目前没有与RuTarget合作。辉瑞公司发言人安德鲁.微格在电子邮件中说:“经过与同事的调查,我们已经确定,目前我们与你提到的组织没有任何工作关系,也没有任何近期的记录。”
其余公司没有对评论请求作出回应。
杜克大学的谢尔曼说,RuTarget与谷歌和其他许多实体的联系表明,数字广告和数据收集以及数据经纪人的生态系统,是一个混乱的,真正棘手、需要解开的网络。