加州隐私法面临合规困境
加利福尼亚州的《消费者隐私法》(CCPA)本应赋予居民对其个人数据的实质性控制权。但一项涵盖逾7,000个热门网站的全面审计却呈现出截然不同的景象。研究人员将其描述为对CCPA的"工业规模违规"——众多科技巨头系统性地无视了一项直接内置于浏览器中、受法律认可的隐私信号。
该信号名为全球隐私控制(Global Privacy Control,简称GPC)。启用后,它会向你访问的每一个网站自动发送指令,告知对方不得追踪或出售你的个人信息。根据CCPA的规定,在加州开展业务的企业必须遵从该信号,这并非可选项,而是法律要求。然而,审计发现,在某些情况下,即便GPC信号处于激活状态,86%的访问记录中追踪行为依然持续发生。
这个数字值得我们深思。用户可能已经做了一切该做的事,启用了受法律保护的隐私设置,但在绝大多数浏览会话中,其行为仍遭追踪,数据仍可能被出售。
为何法律保护单靠自身远远不够
CCPA等隐私法律代表着真正的进步。它们确立了权利,建立了执法机制,并将举证责任转移至企业,要求其为数据处理行为提供正当依据。但此次审计揭示了隐私倡导者长期以来警告的一个漏洞:法律的效力取决于其执行力度。
当违规行为如此普遍、如此系统化时,这意味着企业已经盘算出:监管处罚的风险低于其收集数据的价值。这是一个结构性问题,而非个人问题。无论你多么仔细地阅读Cookie弹窗、多少次点击"全部拒绝",都无法修复一个追踪基础设施在后台持续运行、无视你任何操作的系统。
这一问题的影响范围也远超加州。尽管CCPA仅适用于加州居民,但违规网站的用户遍布全球。同样的追踪技术、广告网络和数据经纪商在全球范围内运作。如果大型企业连一部具有真正约束力的州法律都愿意无视,那么在保护力度更弱的司法管辖区,情况很可能更为糟糕。
这对你意味着什么
此次审计带来的现实启示令人不安,却至关重要:在网络浏览过程中,你不能单靠法律框架来保护自己的隐私。企业的合规行为往往参差不齐,而根据这项研究,在遵从用户明确隐私偏好方面,企业的表现在最坏的情况下几乎可以忽略不计。
这并不意味着隐私法律毫无价值。监管压力、罚款和公众问责确实会在长期内推动改变。但与此同时,你的实际浏览行为很可能正在被追踪,其程度远超任何同意弹窗或退出设置所呈现的样子。
从技术层面而非政策层面提供保护的工具,才能带来更可靠的防护。能够拦截第三方追踪器的浏览器扩展,不会去请求企业遵从你的偏好,而是直接阻止追踪代码加载。同样,VPN能够加密你的互联网连接并隐藏你的IP地址——而IP地址正是跨网站构建用户行为画像所使用的主要标识符之一。这两种方式都不依赖企业的善意,也不依赖监管执法。
浏览器层面的隐私控制也日趋成熟。Firefox以及以隐私优先为理念构建的浏览器,默认情况下会拦截许多追踪脚本。GPC信号本身是一项值得启用的浏览器设置——不是因为企业会可靠地遵从它(此次审计已清楚表明他们不会),而是因为它创建了一份关于你所声明偏好的书面记录,这在执法行动中可能具有重要意义。
立即保护隐私的实用步骤
鉴于此次审计的发现,以下是能够提供真实保护(而非依赖政策承诺)的具体行动建议:
- 在浏览器设置中启用全球隐私控制(GPC)。 它未必总能得到遵从,但它增添了一层法律依据,并得到越来越多注重隐私的浏览器的支持。
- 使用拦截追踪器的浏览器扩展,例如uBlock Origin,或使用默认拦截第三方脚本的隐私浏览器。无论网站是否遵从你的退出偏好,这些工具都能发挥作用。
- 考虑在日常浏览中使用VPN,尤其是在你无法控制的网络环境中。VPN不能直接拦截追踪器,但它能防止你的互联网服务提供商和网络层监控者拼凑出你的活动图谱,同时隐藏将你跨站会话关联在一起的IP地址。
- 定期检查浏览器的隐私设置。 第三方Cookie、防指纹识别保护以及追踪拦截功能,在主流浏览器中通常默认处于关闭状态。
- 对Cookie同意弹窗保持怀疑态度。 研究持续表明,无论用户选择了哪个选项,许多网站都会继续追踪。
CCPA是推动企业对个人数据处理方式负责的重要一步。但此次审计印证了众多隐私研究人员多年来的论断:法律权利与技术现实是截然不同的两件事。理解这一差距,并利用现有工具主动弥合它,是当下实现有效隐私保护最可靠的路径。
