一、谷歌推出FLoC技术

2019年，谷歌提出了所谓的隐私沙盒概念，声称是对未来网络隐私的 “愿景”。该项目的中心是一套无cookie的协议，尤其是旨在满足目前第三方cookie为广告商提供的无数用例。谷歌将其建议提交给了网络标准制定机构W3C，在那里，这些建议主要在网络广告业务组中进行了讨论，该机构主要由广告技术供应商组成。

谷歌和其他广告商已经提出了几十项以鸟类为主题的技术标准：PIGIN, TURTLEDOVE, SPARROW, SWAN, SPURFOWL, PELICAN, PARROT… 认真地说，每一个 “鸟” 的提案都是为了实现定向广告生态系统中的一个功能，而这个功能目前是由Cookie来完成的。

FLoC 旨在帮助广告商在没有第三方cookies的情况下继续进行行为跟踪定位。启用FLoC的浏览器会收集用户的浏览习惯信息，然后使用这些信息将用户分配到一个 “群组”或 “队列” 里。具有类似浏览习惯的用户将被归入同一群组。每个用户的浏览器将与网站和广告商共享一个群组/队列ID，表明他们属于哪个群体。根据该提案，至少有几千名用户应该属于某个群组/队列（尽管这不是确定的）。

如果这听起来很难理解，可以这样想：您的 FLoC ID 就像您最近在网络上的所有活动的简明摘要。

谷歌的概念表明使用每个用户访问的网站的域名作为将人们分组的基础；然后，它使用一种名为 SimHash 的算法来创建分组。SimHash 可以在每个用户的机器上本地计算，所以不需要中央服务器来收集行为数据。但是，中央管理员可以在执行隐私保证方面发挥作用。为了防止任何一个群组太小（即 太具有可识别性），谷歌建议中央管理员可以统计分配给每个群组的用户数量。如果任何一个群组太小，它们可以与其他类似的群组合并，直到每个群组有足够的用户。

根据该提案，大部分的具体内容还没有定论。规范草案指出，用户的群组ID将通过 Javascript 提供，但目前还不清楚是否会对谁能访问它有任何限制，或者是否会以任何其他方式共享ID。

FLoC 还可以基于URL或页面内容而不是域来执行聚类；它也可以使用基于联合学习的系统（正如FLoC的名字所暗示的那样）来代替 SimHash 生成组。目前也不清楚到底会有多少个可能的组。谷歌的实验中使用了8位的组群标识符，这意味着只有256个可能的群组。但是在实践中，这个数字可能会更高；文档中建议使用由4个十六进制字符组成的16位 cohort ID。群组越多，就越具体；更长的 cohort ID意味着广告商可以了解更多关于每个用户的具体兴趣，并更容易对每个人进行指纹识别。

有一件事是指定的，那就是持续时间。FLoC 群组将每周重新计算一次，每次都使用前一周的浏览数据。这使得FLoC群组作为长期身份标识的作用不大，但是，也使其成为衡量用户在一段时间内行为方式的更有力的措施。

二、新的隐私问题

FLoC 是想要将监视资本主义的基础设施 即 行为监控定位广告，包装成 “隐私保护未来” 的一部分，完全可想而知，其核心设计继续涉及与广告商分享监视用户的数据。它只是在制造新的隐私风险。

1、指纹跟踪

浏览器指纹是指从用户的浏览器中收集许多离散的信息，为该浏览器创建一个独特的、稳定的身份标识。EFF的 Cover Your Tracks 项目展示了这一过程是如何运作的：简而言之，您的浏览器与他人的浏览器在外观或行为上的不同之处越多，就越容易留下独特的可识别性指纹。

谷歌已经承认，绝大多数FLoC群组将由数千名用户组成，因此仅凭一个群组ID不应该将你与其他几千名像你一样的人区分开。但是，这仍然给了指纹识别者一个巨大的隐患。如果追踪者从您的FLoC群组开始，它只需要将您的浏览器与其他几千人（而不是几亿人）区分开。从信息理论的角度来看，FLoC群组将包含几个比特的熵，在谷歌的概念验证试验中，高达8比特。考虑到这些信息不太可能与浏览器暴露的其他信息相关联，这些信息的效力就更大了  — — 这将使追踪者更容易为FLoC用户组合出一个独特的指纹。

谷歌已经承认这是一个挑战，但承诺将解决这个问题作为其长期处理指纹问题的更广泛的 “隐私预算” 计划的一部分。听起来挺好听的，但根据其 “常见问题” 栏目，该计划是 “早期阶段的建议，还没有浏览器实践” 。与此同时，谷歌已经开始测试FLoC。

指纹追踪是出了名的难以阻止。像Safari和Tor这样的浏览器已经对追踪者进行了长达数年的消耗战，只为了减少指纹追踪的攻击面，牺牲了自己的大片功能集。缓解指纹追踪一般必需涉及修剪掉或限制不必要的熵源 — — 也就是FLoC。在想好如何处理现有的指纹追踪风险之前，谷歌不应该制造新的指纹追踪风险。

2、跨语境接触

这个问题不太容易解释，大致可以描述为：该技术将与已经可以识别用户的追踪者分享新的个人数据。为了让FLoC对广告商有用，用户的群组必然会透露他们的行为信息。

该项目的Github页面在前面提到了这个问题：

这个API将个人的一般浏览历史记录（以及一般兴趣）的一些信息民主化，让任何选择加入的网站都能获得。…… 知道一个人的个人身份信息的网站（例如，当人们使用自己的电子邮件地址登录时）可以记录和揭示目标用户的群组同伴。这意味着有关个人兴趣的信息最终可能会被公开。

如上所述，FLoC 群组本身不应作为身份标识使用。然而，任何能够以其他方式识别用户的公司 — — 例如，通过向互联网上的网站提供 “用谷歌账户登录” 服务 — — 都能够把从FLoC中了解到的信息与用户的个人资料联系起来。

有两类信息可能以这种方式暴露出来：

A 关于浏览历史的具体信息。追踪者可以逆向设计群组分配算法，以确定属于特定群组的用户可能或肯定访问过特定的网站。

B 关于人口学或兴趣的一般信息。观察者可能会了解到，一般来说，特定群组的成员实质上很可能是某一特定类型的人。例如，一个特定的群组可能会有过多的年轻人、女性和黑人用户；另一个群组是中年共和党选民；第三个群组是LGBTQ+青年。

这意味着您所访问的每个网站在第一次接触时都能很好地了解您是什么样的人，而不需要在整个网络上跟踪您。此外，由于您的FLoC群组会随着时间的推移而更新，能够以其他方式识别您的网站也将能够跟踪您的浏览变化。请记住，FLoC群组不过是您近期浏览活动的总结。

📌 您应该有权在不同的情况下展示您身份的不同方面。如果您访问一个网站获取医疗信息，可能会信任它了解关于您的健康信息，但是，没有理由让它知道您的政治立场；同样，如果您访问一个零售网站，它不应该需要知道您最近是否阅读了抑郁症的治疗方法。FLoC 则侵蚀了这种背景分离，而是向每一个与您互动的人呈现关于您的相同的全部行为总结。

超越 “隐私”

FLoC 声称旨在防止一种非常具体的威胁，即 今天由跨语境身份标识促成的那种个性化特征分析。FLoC和其他提案的目标是避免让追踪者获取他们可以与特定人联系起来的特定信息。但是，正如我们所展示的那样，FLoC实际上只会在许多情况下帮助追踪者，而不是阻止追踪。即使谷歌能够对其设计进行更新并防止这些风险，定位广告的危害也并不仅仅限于侵犯隐私。FLoC的核心目标与其他公民自由声称完全矛盾。

定位广告的权力就是歧视的权力。根据定义，定位广告允许广告商接触到某些种类的人，而排除其他种类的人。定位系统可以用来决定谁可以看到哪个招聘信息或什么样的贷款报价。

多年来，定位广告的机制一直在被用于剥削、歧视和伤害。基于种族、宗教、性别、年龄、或能力的目标人群被分配歧视性广告在工作、住房和信贷等各个方面。基于信用评分历史记录或与之相关的系统性特征的定位，使得高息贷款的掠夺性广告成为可能。基于人口学、地理位置和政治派别的目标定位，有助于出于政治动机的虚假信息和压制选民的政治操纵者。所有类型的行为定位都会增加明确的诈骗风险。

谷歌、Facebook 和许多其他监视资本家看起来似乎在试图控制其目标平台的某些用途；例如，谷歌限制广告商针对 “敏感兴趣类别” 的人的能力。然而，实际效果并非如其宣称的那样；坚定的跟踪者通常可以找到变通的办法来绕避这些限制。

即使对哪些信息可以被用来针对谁拥有绝对的权力，平台也往往没兴趣防止其技术的滥用。FLoC 将使用一种无监督的算法来创建其集群。这意味着，没有人会直接控制人们如何被分组。理想情况下（仅仅对广告商而言），FLoC将创建具有有意义的行为和共同兴趣的群体。但在线行为与各种敏感特征相关  — — 性别、种族、年龄和收入等人口学数据；“五大” 人格特征；甚至心理健康数据。FLoC 很有可能也会根据这些轴线对用户进行分组。FLoC的分组也将直接反映出用户访问了与药物滥用、经济困难、或创伤幸存者有关的网站的访问情况。

谷歌提出，它可以监督系统的输出，检查是否与敏感类别有任何关联。如果发现某个群组分类与某个受保护群体的关系过于密切，管理服务器可以为算法选择新的参数，并告诉用户的浏览器重新分组。

这个解决方案听起来既是奥威尔式的，又是西西弗斯式的 — — 假设谷歌没撒谎，那将意味着为了监控FLoC群组与敏感类别的相关性，谷歌需要使用用户身份的种族、性别、宗教、年龄、健康和财务状况等数据进行大规模审计；每当它发现一个群体与这些轴线中的任何一个轴线相关性太强时，它将不得不重新配置整个算法并再次尝试，希望新版本中没有其他群组受到 “敏感类别” 的牵连。这是它需要解决的问题的一个更困难的版本，而且经常失败。

在一个有FLoC的世界里，根据年龄、性别或收入水平直接锁定用户可能会更加困难。但这并不是不可能的。掌握用户辅助信息的追踪者将能够通过观察和实验了解FLoC分组的 ”含义” — — 即 它们包含什么样的人。那些有决心这样做的人仍将能够进行具体的辨别。此外，这种行为对于平台来说将比现在更难监管。任何有不良意图的广告商都将有合理的否认能力 — — 毕竟，他们 “并没有” 直接针对受保护的类别，他们只是根据行为来监视人们。而整个系统对于用户和监管者来说，将更加不透明。

要阻止谷歌这样做

在FLoC和其他最初的一批提案刚推出时，EFF已经指出FLoC是 “保护隐私技术的反面教材” 。希望这些解释能够揭示FLoC的基本缺陷，使谷歌重新考虑推动它的发展。然而，谷歌仍在继续开发该系统，基本面几乎没有变化。它已经开始向广告商推销FLoC，吹嘘FLoC可以 “95%有效” 地替代基于cookie的目标定位。而从3月2日发布的 Chrome 89 开始，它正在部署这项技术进行试运行。一小部分 Chrome 用户 — — 很可能是数百万人 — — 将被分配（或已经被分配）测试该新技术。

毫无疑问，如果谷歌真的在Chrome浏览器中实施FLoC的计划，它有可能会让从中受益的广告商选择加入，而让受到伤害的用户选择退出。谷歌肯定会宣传这是 “透明度和用户控制” 的一步，这是谎言，因为它清楚地知道，绝大多数用户不会理解FLoC的工作原理，也很少有人会去关闭它。不知情的人还以为自己摆脱了邪恶的第三方cookie — — 他们不知道，事实上谷歌是帮助延长了监视资本主义的保质期，并在此过程中赚取了数十亿美元。

EFF说：我们强调拒绝FLoC。这不是我们想要的世界，也不是用户应得的世界。谷歌需要从第三方追踪时代吸取正确的教训，并设计其浏览器为用户而不是为广告商工作。

五、谷歌已经在数百万浏览器中测试FLoC技术

2021年3月，谷歌启动了队列联合学习（又名FLoC）的“起源试验”。该试验目前已部署到某些地区 0.5% 的 Chrome 用户——目前，这意味着澳大利亚、巴西、加拿大、印度、印度尼西亚、日本、墨西哥、新西兰、菲律宾和美国用户无论大多数广告和隐私设置如何，都将完全随机选择符合条件的地区。默认情况下，只有在 Chrome 中关闭了第三方 cookie 的用户才会选择退出。

此外，FLoC 背后的团队已要求Google 将样本提高到 5% 的用户，以便广告技术公司可以使用新数据更好地训练模型。如果该请求获得批准，将有数千万或数亿用户参与试验。

六、Topic取代FLoC

2022年1月信息表示，FLoC (Federated Learning of Cohorts) 是 Google 有争议的项目，它通过将用户分组到具有可比兴趣的用户组来替代基于兴趣的广告的 cookie，但该项目已死。取而代之的是，谷歌今天宣布了一项新提案：Topic。

Topic表示，当您在网络上移动时，您的浏览器会了解您的兴趣。它将保留您浏览历史的最后三周的数据，截至目前，谷歌将主题数量限制为 300 个，并计划随着时间的推移扩大这一范围。谷歌指出，这些主题不包括任何敏感类别，如性别或种族。

为了找出您的兴趣，Google 会根据这 300 个主题之一对您访问的网站进行分类。对于之前没有分类的站点，浏览器中的轻量级机器学习算法将接管并根据域名称提供估计的主题。

当您出于广告目的访问支持 Topics API 的网站时，浏览器将分享您感兴趣的三个主题——过去三周中的每一个主题——从每周的前五个主题中随机选择。然后，该网站可以与其广告合作伙伴共享此信息，以决定向您展示哪些广告。理想情况下，这将提供一种更私密的方法来决定向您展示哪个广告——谷歌指出，与目前的标准相比，它还为用户提供了更大的控制权和透明度。用户将能够从他们的列表中查看和删除主题——也可以关闭整个主题 API。

谷歌隐私沙盒负责人 Ben Galbraith 在今天宣布之前的新闻发布会上说：“我们从早期的 FLoC 试验中吸取了教训，为主题的设计提供了信息。” “正如我相信你知道的那样，这导致了社区的大量反馈。因此，Topics 取代了我们的 FLoC 提案，我想强调的是，分享提案、进行试验、收集反馈然后对设计进行迭代的整个过程——这就是我们想要的沙盒的整个开放式开发过程，而且真的显示该过程按预期工作。”

该计划是在本季度末开始试用 Topics API，但为了让一切顺利进行，谷歌今天还发布了一个技术解释器，对提案的细节进行了更深入的研究。

七、小结

无论那种技术，只要浏览器厂商想获取你的数据，你只能是待宰的羔羊。你无隐私可言！！！

原文始发于微信公众号（白帽子的成长之路）：谷歌永远不会给你隐私