DoorDash和数以千计的其他公司被动地将您的数据发送到Facebook

2020年6月9日下午2点13分，我花了13.87美元，通过广受欢迎的外卖服务DoorDash让泡茶送货上门。我不能说我对这个决定感到特别自豪。

当我购买这项服务时，我以为我和DoorDash之间会留有一点小小的纵容，因为我没有做任何事情来明确地将这项服务与我的其他在线账户联系起来。也许送货的司机会翻白眼。也许DoorDash的推荐系统会说“啊，这是一笔丰厚的交易！”并建议我几天后重复这份订单。但我认为我的购买不会有太大的影响。

但我错了。DoorDash(以及数百家类似的公司)并不只是记录你的每一笔购买。他们还与其他公司共享购买数据，这些公司正在使用这些数据来定向广告。我会发现，由于我订购了大量的泡茶，其中一家公司就是Facebook。

当具有里程碑意义的隐私法加州消费者隐私法(CCPA)于1月1日生效时，它为加州居民提供了前所未有的法律工具，可以获取大公司收集的关于他们的信息。这包括那些真正希望自己的活动保持黑暗的公司，比如Clearview AI。

但CCPA也创造了一种新的有趣的企业隐私战略-将消费者淹没在信息中。这里的逻辑是有道理的。CCPA是可怕的-根据7月1日开始执行的这项法律，大公司的罚款很容易达到数百万甚至数十亿美元。面对这种风险，一些公司似乎认为，“如果我们让消费者基本上所有的东西都能接触到，我们就不可能被指控违反CCPA，对吗？”

其结果是，消费者现在可以访问包括Facebook在内的几家大公司的海量数据转储。要获取您自己的信息，只需转到Facebook.com/your_information，单击“下载您的信息”，然后按照说明操作即可。通常在几分钟内，你就会被邀请下载一个巨大的zip文件，里面包含了Facebook所知道的关于你的一切。

当我说一切的时候，我指的是一切。我自己的数据转储是461兆字节。它包含了我在Facebook上发布的每一篇帖子，我上传到该平台的每一张照片，我评论或喜欢的一切，我的所有视频，与朋友的对话，等等。

Facebook收集了所有这些数据，这并不完全是突发新闻。我们都很久以前就知道，Facebook基本上知道我们做的每件事。马克·扎克伯格(Mark Zuckerberg)在痛苦的美国参议院之行中，甚至清楚地表明了公司了解你的一切的原因：“我们做广告。”

看到你的整个在线生活在装满HTML文档的小文件夹中排列在你面前，仍然是令人叹为观止的。但确切地说，这并不令人震惊。

更有趣的是一个小文件夹，隐藏在Facebook的海量数据档案中，标签为“your_off-facebook_active”(一个只有程序员才会喜欢的目录名)。此文件夹包含已将您在其他地方的活动数据提供给Facebook的所有公司的列表。从2020年1月开始是新的。

用Facebook自己的话说，这些数据捕捉到了“企业和组织与我们分享的关于你与他们互动的活动的摘要，比如访问他们的应用程序或网站。”这包括“打开应用程序、用Facebook登录应用程序、查看内容、搜索物品、将物品添加到购物车中、进行购买”和“捐款”。

是的。如果你在无数的电商网站上购买了一件商品，为一场政治竞选捐款，使用过数百款参与的应用程序中的任何一款，或者，就我而言，购买了一杯极其昂贵的泡泡茶，那么Facebook很有可能知道这件事。他们用这些知识做什么呢？再说一次，这是相当清楚的。它的存在是为了“向你展示更多相关的广告”，“帮助你发现新的业务和品牌”，诸如此类。

对我来说，Facebook正在吸纳它可能获得的所有数据并不令人惊讶。然而，令人惊讶的是，我所了解和信任的公司中，有多少公司愿意将这些数据交给他们。

翻阅我自己的“脸谱网外”数据页面，我发现了应用程序、网站、组织、软件程序和政治事业的名人录。我的清单包括了我使用的各种公司，从我使用的大公司(如Sprint和Airbnb)，到新闻网站(如“纽约时报”和彭博社)，到医疗提供者(LabCorp)，再到慈善机构(Carbon Fund)。

这就是我如何发现我的放纵的泡泡茶订单已经从DoorDash进入了Facebook关于我生活的巨大数据库。

甚至我记得通过谷歌搜索找到的一位水管工，鲁特先生也在名单上。同时出席的还有像Fitbit和Wellary这样的健康应用程序，以及当地的商业网站，比如我经常光顾的两个城镇外的一家披萨店。总共有1000多家外部公司向Facebook提供了我的活动信息。

点击每家公司，我可以看到他们提供的数据的摘要-某种程度上。这些交易的许多细节被笼统地掩盖了。Facebook为每个数据点列出了一个“事件”类型字段，并且大多数数据点都有一个通用的(如果有点不祥的)名称“自定义”。

但许多人并没有这样做。根据事件类型，通常很容易确定Facebook记录了什么。例如，查看我的DoorDash条目，我看到有几个事件被记录为“Purchase”。每一张都标有时间戳。我对照我的DoorDash订单列表交叉引用了这些内容。这就是我如何发现我的放纵的泡泡茶订单已经从DoorDash进入了Facebook关于我生活的巨大数据库。

有问题的订单确实作为购买事件记录在我的Facebook数据中，由DoorDash共享。它的时间戳是下午2点13分。6月9日。那正是我下DoorDash订单的时候，时间戳与我能够在DoorDash应用程序中访问的订单历史记录完全匹配。

Facebook再次向我展示了它收集的数据的一些线索。但它所展示的问题比它回答的问题更多。Facebook自己在off facebook active上的页面上写道：“出于技术和准确性的原因，我们不会显示我们收到的所有…活动。我们也不会显示您添加到购物车中的商品等详细信息。“。

他们不会表现出来的。但他们会收集吗？仅从Facebook之外的活动视图来看，这是不可能知道的。所以我决定找出真相。我向DoorDash提交了CCPA申请，但它进展缓慢。因此，我启动了谷歌的Chrome浏览器，开始使用浏览器的开发工具(记录你的浏览器发送和接收的所有原始数据)进行网络监控，为发送到Facebook的数据设置了一个过滤器，访问DoorDash的网站，创建了一个全新的账户。

从第一次点击开始，我就被Facebook正在收集的东西惊呆了。当我从一个页面导航到另一个页面并完成帐户创建过程时，DoorDash不断地向Facebook发送关于我活动的详细更新。其中包括我注册了一个账户的事实，我第一次登录它的那一刻，以及我在DoorDash网站上查看的每个页面。

同样，这是一个全新的DoorDash账户。我没有使用我的Facebook账户登录DoorDash，也没有做过任何将这两个服务联系起来的事情。DoorDash选择与Facebook完全自愿地共享我的数据，完全在我不知情的情况下。

为了更深入地挖掘，我决定重现我购买的奢华泡泡茶，这一次是在完全监控的情况下。早餐时间到了，所以我决定找一杯奶昔而不是茶。我导航到我当地的活力碗餐厅的页面。就在我这么做的时候，DoorDash勤奋地将我的每一项行动的数据发送到Facebook。我看到了一种我喜欢的奶昔(热带天堂™售价7.49美元)，所以我点击了它来了解更多信息。DoorDash向Facebook发送了这个点击。它甚至包括我点击的项目的名称，以及它所链接的商店(Vitality Bowls Dublin)。

冰沙看起来不错，所以我把它加到了购物车里。这产生了对Facebook的另一次ping。我完成了结账过程，果然，最后一次点击DoorDash向Facebook发送了一个购买事件。只是这一次，我可以确切地看到他们寄来的是什么。它包括商店的标识符、奶昔本身的ID、购买价格、DoorDash购物车和订单的ID、我购买的数量、我使用的货币，以及我是新顾客的事实。发送到Facebook的数据量令人震惊-我购物体验的每一个方面，包括个人点击和我花费的确切金额，都被记录下来，并及时分享。

再说一次，DoorDash远不是唯一一家将我的数据发送到Facebook的公司。许多其他公司也分享了采购数据。例如，当我买了一部新手机时，Sprint就在Facebook上记录了一份购买记录。

其他公司也以某种程度上可以理解的格式提供了购买以外的数据。例如，当我在他们的网站上“浏览内容”时，几个新闻来源告诉Facebook。当我“升级”时，健康应用程序Wellory分享了这个应用程序。那是什么意思，我不知道。但是它有一种龙和地下城的感觉。

然后是所有的“自定义”记录。使用相同的浏览器数据监视技术，我很可能可以确定其中许多项的含义。然而，有了CCPA，可能会有一个容易得多的方法。我只需向我感兴趣的每家公司提交申请，就可以准确地确定他们要向Facebook发送哪些“定制”数据。这正是我计划要做的。

值得称赞的是，他们非常清楚为什么要收集你的所有数据。而且，它们让你可以相对容易地访问所有Facebook相关活动的海量档案(不过，是以人类可读的HTML格式！)，这至少会让你知道哪些公司向他们发送了哪些类别的数据，即使具体细节很模糊。它们应该包含更多内容(比如正在记录的确切数据)，但这确实提供了一个开始，而且他们的许多数据收集工作都是公开的。

与公司共享您的信息的其他组织可能对这种共享不太满意。有些人可能甚至没有意识到他们在向Facebook发送什么。今年早些时候，Zoom被指控共享数据，违反了隐私政策(DoorDash的隐私政策承认它与第三方共享数据，但没有具体提到Facebook)。

一些公司可能会发送他们不应该发送的数据。Facebook有禁止发送医疗或财务记录等敏感数据的政策。但是，当所有东西都贴上“习惯”的标签时，就不可能判断这些政策是否得到了遵守。

这就是像CCPA这样的法律发挥作用的地方。如果你想知道是谁把你的数据发送到Facebook上--具体地说，他们发送的是什么--你现在有办法找出答案了。首先，使用我上面描述的流程，从Facebook获取您自己的海量数据转储。然后，梳理一下“脸谱网之外的活动”部分，看看是谁给他们发来了关于你的数据。

但是，只有当我们积极参与我们自己的隐私，了解谁在收集我们的数据，以及为什么收集我们的数据时，法律才会起作用。

最后，向每家公司提交CCPA请求，要求详细说明他们是如何共享您的数据的，以及共享的目的是什么。如果你住在加利福尼亚州，你的请求将得到法律的支持。但许多大公司也在将CCPA扩展到州外的客户。所以即使你不是加州人也有可能得到回复。

如果你对一家公司的反应不满意，或者觉得他们隐瞒了数据，那就请律师吧。自7月1日该法律生效以来，目前有几家律师事务所正在受理CCPA案件。消费者保护律师迈克·卡多萨(Mike Cardoza)所在的公司已经开始受理CCPA案件，他表示，律师“经常将案件作为集体诉讼提起诉讼，这是阻止企业不当行为的好方法。”

作为消费者，CCPA和其他隐私法赋予了我们前所未有的数据访问权限。但是，只有当我们积极参与我们自己的隐私，了解谁在收集我们的数据，以及为什么收集我们的数据时，法律才会起作用。这可能需要大量的工作，谁会愿意花几个小时梳理一个巨大的zip归档文件的模糊角落，或者搜索原始的HTTP请求来查找一些个人信息呢？但是，如果我们想要确保我们的在线生活受到保护，我们就需要投入这项工作。

所以，卷起袖子，抓起你自己的Facebook数据档案，开始挖掘吧。如果您发现令人惊讶或担心的事情，请使用CCPA或您管辖范围内的其他法律进行跟进。我会和你一起做同样的事。只有通过采取这些迈向透明和公开的步骤，我们才能让自己了解大公司对我们的了解-以及他们在告诉谁。