谷歌的絮絮是一个可怕的想法

在我们知道的时候，没有人应该哀悼饼干的死亡。二十多年来，第三方饼干一直是林木，在媒体上是一个阴影，种子，多亿美元广告监测行业;逐步淘汰跟踪cookie和其他持久性的第三方标识符很长。然而，正如广告行业下面的基础一样，最大的球员决心落在他们的脚上。

谷歌正在引领替换第三方Cookie，并使用新的技术套件来定位网络上的广告。其一些提议表明，它还没有从正在进行的反障碍到监视商业模式中学到的正确教训。这篇文章将侧重于其中一个提案，絮状物，这可能是最雄心勃勃的，并且可能是最有害的。

Floc是一种使您的浏览器进行追踪的新方法，该探测器常用于其自行本身：在这种情况下，将最近的浏览活动沸腾到行为标签中，然后与网站和广告商共享。该技术将避免第三方cookie的隐私风险，但它将在此过程中创建新的风险。它还可能加剧了行为广告的许多最差的非隐私问题，包括歧视和掠夺性靶向。

谷歌的隐私倡导者的投资是，一个拥有絮状物的世界（以及“隐私沙箱”的其他元素）将比我们今天的世界更好，其中数据经纪人和广告科技巨头轨道和超自行失分的形象。但这种框架基于虚假前提，我们必须在“旧跟踪”和“新追踪”之间选择。它不是 - 或者。没有重新发明跟踪轮，我们应该想象一个没有目标广告的无数问题的更好的世界。

我们站在路上的叉子。在我们身后是第三方饼干的时代，也许是网络最大的错误。在我们之前是两种可能的期货。

在一个，用户可以通过他们选择与他们选择互动的每个站点来确定与其共享的信息。没有人需要担心他们的过去的浏览将持有它们 - 或利用以操纵它们 - 当他们接下来打开标签时。

另一方面，每个用户的行为都以网站到现场作为标签，概括但是富有了知识的人的意义。他们最近的历史蒸馏成几个位，是“民主化”，并与数十名无名演员共享，参加每个网页的服务。用户开始与忏悔的每一项互动：这是我本周一直在做的事情，请相应地对待我。

用户和倡导者必须拒绝絮状物和其他误导的尝试重新入门行为目标。我们植入谷歌放弃絮状物并将其努力重定向建设真正的用户友好的网络。

2019年，谷歌介绍了隐私沙箱，它对网络隐私的愿景。在该项目的中心是一套套件，旨在满足目前为广告商提供的第三方Cookie的无数用例。谷歌对W3C的建议，网络的标准机构，他们主要在Web广告业务组中讨论，一个主要由广告技术供应商组成的机构。在中期几个月里，谷歌和其他广告商提出了几十个鸟类主题技术标准：仔猪，龟林，麻雀，天鹅，斯皮罗，鹈鹕，鹦鹉......这是清单的。严重地 。每个“鸟”提案旨在执行目前由cookie完成的目标广告生态系统中的一个功能。

絮状物代表“联邦学习队列”，旨在帮助广告商在没有第三方饼干的情况下执行行为目标。启用FLoC的浏览器将收集有关其用户的浏览习惯的信息，然后使用该信息将其用户分配给“群组”或组。具有类似浏览习惯的用户 - 对于“类似”的定义 - 将被分组为同一伙伴。每个用户的浏览器都会共享一个群组ID，指示他们属于哪个组，其中包含网站和广告商。根据该提案，至少几千名用户应该属于每个队列（虽然这不是保证）。

如果听起来很密集，以这种方式想到：您的拼接ID就像是您最近在网络上活动的简洁摘要。

谷歌的概念证明使用了每个用户访问的网站的域作为将人们分组在一起的基础。然后，它使用称为simhash的算法来创建组。 Simhash可以在每个用户的计算机上本地计算，因此不需要中央服务器收集行为数据。但是，中央管理员可以在执行隐私担保方面发挥作用。为了防止任何群组太小（即识别），谷歌建议一个中央演员可以计算分配每个队列的用户数。如果任何太小，它们可以与其他类似的队列相结合，直到每一个都表示足够的用户。

根据该提案，大多数具体细节仍然在空中。说明草案指出，用户的队列ID将通过JavaScript获得，但目前尚不清楚是否存在对谁可以访问它的任何限制，或者是否将以任何其他方式共享ID。 Floc可以基于URL或页面内容而不是域执行群集;它还可以使用基于联合的学习的系统（作为名称Floc意味着）生成组而不是SimHash。它还不清楚有多少可能的队列会有。谷歌的实验使用了8位队列标识符，这意味着只有256个可能的队列。在实践中，数字可能要高得多;该文档建议一个包含4个十六进制字符的16位群组ID。有更多的伙伴，他们将更具体;较长的群组ID意味着广告商更多地了解每个用户的兴趣，并且有更容易的时间指纹。

指定的一件事是持续时间。每次使用前一周浏览的数据时，将每周重新计算Floc Cocors。这使得Floc队列不太有用作为长期标识符，但它也使得它们更有效地衡量用户随着时间的推移方式。

Floc是套件的一部分，旨在将有针对性的广告带入隐私保留未来。但核心设计涉及与广告商共享新信息。不出所料，这也创造了新的隐私风险。

第一个问题是指纹识别。浏览器指纹是从用户浏览器中收集许多离散信息的实践，以为该浏览器创建一个唯一的稳定标识符。 EFF的封面您的曲目项目演示了该过程的工作原理：简而言之，您的浏览器外观或与其他方式不同的方式越多，指纹更容易。

谷歌已经承诺，绝大多数弗洛克队列将包括成千上万的用户，所以单独的群岛ID不应该将你与像你这样的其他人的其他人区分开来。然而，仍然给出指纹污染的头部开始。如果追踪器从Floc Cocort开始，它只必须将您的浏览器区分开几千人（而不是几亿）。在信息理论术语中，谷歌的概念试验证明，Floc Cocorts将包含几个熵-8位为8位。鉴于浏览器曝光的其他信息不太可能与其他信息相关联。这将使跟踪器更容易将独特的Floc Users指纹放在一起。

谷歌已承认这是一项挑战，但已承诺将其作为更广泛的“隐私预算”计划的一部分，它必须长期处理指纹。解决指纹是一种令人钦佩的目标，其提议是一个有前途的追求途径。但根据常见问题解答，该计划是“早期提案，并没有浏览器实施。”与此同时，谷歌将于本月早期开始测试Floc。

指纹识别难以停止。像Safari和Tor这样的浏览器已经从事多年来的浪费战争，对抗跟踪器，牺牲了大量的他们自己的功能集，以减少指纹攻击表面。指纹识别缓解通常涉及修剪或限制不必要的熵来源 - 这就是絮状物。谷歌不应创造新的指纹风险，直到它弄清楚如何处理现有的风险。

第二个问题不太容易解释：技术将与可以识别用户的跟踪器共享新的个人数据。对于为广告商有用的Floc，用户的队列必然揭示有关其行为的信息。

此API将访问有关个人的一般浏览历史（以及普遍兴趣）的某些信息的民主化。 ......了解一个人pii的网站（例如，当人们使用他们的电子邮件地址登录时）可以记录和揭示他们的队列。这意味着有关个人的信息和＃39; S兴趣最终可能会成为公众。

如上所述，Floc Cocorts本身不应该作为标识符。但是，任何能够以其他方式识别用户的公司 - 例如，通过向Internet周围的网站提供“登录Google”服务 - 将能够将其从Floc到用户的个人资料中的信息绑定。

有关浏览历史记录的具体信息。跟踪器可能能够反向工程师队列分配算法，以确定属于特定队列的任何用户可能或肯定访问的特定站点。

有关人口统计或利益的一般信息。观察者可能会学到一般来说，特定队列的成员基本上可能是一种特定类型的人。例如，特定的队列可能超过年轻，女性和黑色的用户;另一个队员，中年共和党选民;第三，LGBTQ +青年。

这意味着您访问的每个网站都会对您首次联系的人有一个好主意，而无需完成跟踪网络的工作。此外，由于您的Floc Cocort将随着时间的推移更新，可以以其他方式识别您的站点也能够跟踪浏览的更改。请记住，Floc Cocort比您最近浏览活动的摘要更少，而且没有任何内容。

您应该有权在不同的背景下呈现您身份的不同方面。如果您访问的网站有关医疗信息，您可以使用有关您的健康信息的信息，但没有理由需要知道您的政治是什么。同样，如果您访问零售网站，则不需要知道您是否最近读取了抑郁症的治疗。絮凝物侵蚀这种情况下的这种情况，而是向您与之交互的每个人提出相同的行为摘要。

Floc旨在防止非常具体的威胁：今天通过跨上下文标识符启用的个性化分析。 Floc和其他提案的目标是避免让跟踪器访问他们可以绑定到特定人员的特定信息。正如我们所示，Floc实际上可能在许多环境中帮助跟踪器。但即使谷歌能够迭代其设计并防止这些风险，目标广告的危害不仅限于违反隐私。 Floc的核心目标与其他公民自由有可能。

目标的力量是歧视的力量。根据定义，目标广告允许广告商在不包括其他人的同时达到某种人。目标系统可用于决定谁能看到职业发布或贷款，就像广告鞋一样轻松。

多年来，有针对性广告的机械经常用于剥削，歧视和伤害。基于种族，宗教，性别，年龄或能力来定位人们的能力允许就业，住房和信贷歧视。基于信用历史的目标 - 或系统地与之相关的特征 - 为高利息贷款提供掠夺性广告。基于人口统计，地点和政治关系的目标有助于提供政治动机的不忠实和选民抑制的承诺。各种行为目标增加了令人信服的骗局的风险。

Google，Facebook和许多其他广告平台已经尝试在某些使用的目标平台上举行。例如，谷歌将广告商限制在“敏感兴趣类别”中针对人的能力。但是，这些努力经常缩短;决定的演员通常可以找到对某些类型的目标或某些类型的平台限制的解决方法。

即使通过绝对的权力来实现任何信息，可以用于瞄准谁，平台往往无法防止滥用其技术。但是Floc将使用无监督算法创建其集群。这意味着没有人会直接控制人们如何分组。理想情况下（对于广告商），Floc将创建具有有意义行为和共同兴趣的群体。但在线行为与各种敏感的特征相连，如性别，种族，年龄和收入等各种敏感特征; “大5”个性特征;甚至心理健康。 Floc很可能也将沿着这些轴中的一些人进行分组。 Floc分组还可以直接反映对与药物滥用，财务困难或对创伤幸存者的支持相关的网站的访问。

谷歌提出了它可以监控系统的输出，以检查与其敏感类别的任何相关性。如果发现特定的队列与特定保护组太密切相关，则管理服务器可以为算法选择新参数，并告诉用户浏览器再次对本身进行组。

这个解决方案听起来兼而有之奥威尔和Sisyphean。为了监视Floc组如何与敏感类别相关，谷歌需要使用有关用户种族，性别，宗教，年龄，健康和财务状况的数据进行大规模审核。每当它发现沿着这些轴中的任何轴相关的群组时，它必须重新配置整个算法并再次尝试，希望在新版本中涉及其他“敏感类别”。这是一个更困难的问题，它已经尝试，经常失败，解决。

在一个有絮凝的世界中，可以基于年龄，性别或收入直接定位用户可能更难以实现。但这不是不可能的。可以访问有关用户的辅助信息的跟踪器将能够学习哪些絮凝物“均值” - 通过观察和实验来学习它们的含义。那些确定这样做的人仍然可以歧视。而且，这种行为对警方的平台更难，而不是它已经是。具有糟糕意图的广告商将具有合理的可信性 - 毕竟，它们不直接针对保护类别，他们只是根据行为到达人们。并且整个系统对用户和监管机构更加不透明。

我们在首次推出的情况下撰写了关于Floc和其他初始批次提案，称为Floc“与隐私保留技术相反。”我们希望标准过程将阐明絮状物的基础缺陷，导致谷歌重新考虑将其推向前进。实际上，官方GitHub页面上的几个问题提高了我们在此突出显示的完全相同的问题。但是，谷歌继续开发系统，将基本面几乎保持不变。它已开始投资于广告商，吹嘘该絮凝物是基于Cookie的靶向的“95％有效”的替代品。并从3月2日发布的Chrome 89开始，它正在部署该技术进行试运行。一小部分Chrome用户 - 仍然可能数百万人 - 将被分配（或已被分配）测试新技术。

如果谷歌通过其计划在Chrome中实施Floc的计划，毫无误，它可能会让每个人都参与“选择”。该系统可能会选择将从它中受益的广告商选择，并为阻碍受伤的用户选择退出。谷歌肯定会将这一步为“透明度和用户控制”的一步，因为绝大多数用户无法理解Floc工作的绝大多数，而且很少有人会脱离他们的方式。它将拍摄在Web上的新私人时代的背面，摆脱了邪恶的第三方饼干 - 谷歌帮助延伸到其保质期，在这个过程中赚取数十亿美元。

它不一定是这样。隐私沙箱最重要的部分，如丢弃第三方标识符和战斗指纹，真的将真正改变网络。谷歌可以选择拆除旧脚手架的监控，而不用新的东西和独特的有害的东西。

我们强调拒绝絮絮的未来。这不是我们想要的世界，也不应该是一个用户应得的。 Google需要从第三方跟踪时代的时代学习正确的教训，并设计其浏览器，为用户工作，而不是广告商。

注意：我们向谷歌致电验证了本职位中提供的某些事实，以及请求有关即将到来的原产地试验的更多信息。我们在发布时没有收到回复。