精准推送背后的个人信息共享网络 _小知识

澎湃新闻采访人员陈志芳实习生仇铭哲石秦一
移动互联网时代，一件被反复质疑的事情是，App是否在窃听用户。
多个社交平台上，网友们经历了相似的故事，刚跟朋友说完某个产品，打开手机，购物App或社交软件就出现相关广告。
事实上，想要实现精准推送，往往是利用大数据和推送算法而非窃听。App使用记录、地理位置、好友关系等个人信息在App共享网络中穿梭，企业借助这些信息、利用特定算法，构建出庞大的用户画像体系。中国电子技术标准化研究院网安中心测评实验室副主任何延哲认为，App窃听的成本高、法律风险大，而企业精准推送的能力其实来源于App间共享的用户个人信息。
这些个人信息关乎用户隐私，相关法律法规陆续出台。2022年3月1日，国家网信办等四部门联合发布的《互联网信息服务算法推荐管理规定》正式施行，剑指算法乱象——“大数据杀熟”、诱导用户沉迷网络、操纵榜单等。去年11月1日，个人信息保护法生效，同日，工信部发布通知提出39家互联网企业应建立个人信息保护“双清单”，即“已收集个人信息清单”和“与第三方共享个人信息清单”，后者要求腾讯、阿里巴巴等39家企业52款App在App二级菜单中列出与第三方共享的用户个人信息基本情况。
我们梳理了这些App在安卓系统上的第三方共享个人信息清单，试图勾勒出这一复杂的共享网络。

文章插图
个人信息共享网络：39家企业 V.S. 超200家企业
“我怀疑手机在偷看我们的聊天记录。”网友小周信誓旦旦地说。她刚跟朋友在社交软件上聊完某款沐浴露，社交软件就给她推送了相应的广告。不过，一条更可能的精准推送路径是，此前小周的朋友在购物平台上搜索过这款沐浴露，她们的搜索记录、好友关系、设备标识符等个人信息在社交软件和购物平台的共享网络中流动、匹配，最终算法告诉企业，小周也很可能对这款沐浴露感兴趣。
“双清单”的推动下，个人信息共享网络逐渐展现在大众眼前。多数被测App在界面二级菜单中就有“与第三方个人信息共享清单”的入口，该清单告知用户的个人信息共享基本情况，包括与第三方共享的个人信息种类、使用目的等。企业会在隐私政策、注册页面等取得用户同意，其中部分企业会将共享信息进行加密处理、去标识化，有的企业则让第三方自行处理共享信息。
就当前52款App公布的第三方共享个人信息清单而言，用户个人信息的流向纷繁复杂，涉及每个现代人在移动互联网时代生活的方方面面——App、手机厂商和运营商。超过200家企业成为52款App的第三方，包括腾讯、阿里巴巴等互联网企业，其次是小米、OPPO等手机厂商，友盟、穿山甲等广告营销和数据统计类企业。
需要指出的是，不同App公布的第三方共享清单的详细程度不同，多数被测App没有公布广告主及其代理商、关联公司、授权合作伙伴等的完整名单。

文章插图
过于精准的广告推送让用户担心个人隐私泄露，“双清单”、算法推荐管理规定等法规的施行则有助于破除“算法黑箱” 。何延哲表示，建设“双清单”让个人信息收集和共享行为更加透明化。环球律师事务所合伙人孟洁进一步称，第三方共享清单最直接的作用是保障用户权利，用户能更直接、便捷地了解其个人信息是如何被企业使用、共享的，同时也便于公众、监管机构对互联网产品的监督和管理。
数字ID“设备标识符”成高频共享的个人信息
个人信息共享网络中，手机是“定位”用户、量化用户行为的重要媒介。个体的点击、搜索、购买、行走轨迹等等都将化身数据，被输入到算法系统中。
想要利用这些数据进行精准广告推送，识别用户身份是关键。每台手机都有的唯一设备标识符发挥着重要作用，设备标识符家族包括IMEI、Android ID、IDFA、Mac地址等，代表用户的“数字ID” 。此次测评中，设备标识符属于高频共享的个人信息，企业收集和共享了设备标识符、使用行为等个人信息，算法系统借此“算出”用户的生活习惯和消费行为等特征，构建出用户个人画像。
这已是互联网企业的常见做法。中国信息通信研究院杨正军等人在《互联网广告标识问题研究与应对建议》中提到，互联网广告产业链涉及多个实体，从App、智能电视，到第三方监测平台、数据平台、自动化交易平台。