Tracker Installations Are Not Created Equal: Understanding Tracker Configuration of Form Data Collection

该研究通过定性分析与大规模测量，揭示了 Google 和 Meta 的追踪器在文档引导及默认配置中鼓励网站收集用户表单中的个人敏感信息（PII），并发现尽管 Google 追踪器部署更广泛，但 Meta 追踪器配置为收集表单数据的比例更高，且部分金融与健康类网站存在违规收集行为。

要点

这篇论文就像是一次**“数字侦探行动”**，由纽约大学等机构的研究人员发起，旨在揭开一个我们每天都在经历、却很少注意到的秘密：当你填写网站上的表格（比如注册账号、订阅新闻、预约医生）时，你的个人信息到底去了哪里？

为了让你更容易理解，我们可以把这篇论文的研究过程想象成**“检查两家超级大超市（Google 和 Meta）给小商店提供的‘智能收银机’”**。

1. 核心故事：两家“收银机”的不同套路

想象一下，Google 和 Meta（Facebook 的母公司）是两家巨头，它们向全球的小网站（比如医院、银行、商店）免费提供一种叫“追踪器”的智能收银机。

• 它的功能：不仅能记录谁进了店，还能自动扫描顾客在收银台填写的表格，把名字、电话、邮箱等**“个人敏感信息”（PII）**偷偷抄下来，传给 Google 或 Meta，用来给你打更精准的广告。
• 研究目的：研究人员想知道，这些“收银机”到底被设置成“自动抄写”模式了吗？如果是，有多少网站在偷偷这么做？

2. 发现一：说明书里的“陷阱” (文档分析)

研究人员首先像**“用户体验侦探”**一样，仔细研读了 Google 和 Meta 给网站管理员看的“操作说明书”和“设置界面”。

• Meta 的套路（热情过头的推销员）：

  • Meta 的设置流程就像是一个**“热情过头的推销员”**。当你安装它的追踪器时，它会直接弹窗问：“要不要开启自动收集顾客信息？”
  • 陷阱：它默认把“开启”按钮选好了，而且把所有能收集的信息（名字、电话、邮箱等 11 项）都默认勾选。如果你不想被收集，你得主动去取消勾选。
  • 误导：它还在说明书里说：“别担心，我们给数据加了‘哈希’（Hashing，一种加密）处理，很安全。”
  • 真相：研究人员指出，这就像推销员说“我把你的身份证号涂黑了，所以很安全”，但实际上，只要手里有钥匙（Meta 的数据库），涂黑的身份证号依然能轻易还原成你的真实身份。美国联邦贸易委员会（FTC）早就说过，这种“哈希”并不能真正保护隐私。

• Google 的套路（复杂的迷宫）：

  • Google 的设置流程像是一个**“复杂的迷宫”**。它没有像 Meta 那样直接弹窗让你选“开启”，而是把功能藏得很深。
  • 矛盾：它的说明书里一方面说“严禁发送个人身份信息”，另一方面又教你怎么收集。这种自相矛盾让网站管理员（很多是非技术人员）感到困惑，不知道到底该不该开，或者开了会不会违规。

3. 发现二：大规模“实地抽查” (测量研究)

为了验证这些理论，研究团队像**“网络警察”一样，扫描了40,150 个**热门网站（包括医院、银行、普通商店等）。他们给每个网站都塞了一个假的“填表机器人”，看看这些“智能收银机”会不会把假数据偷偷传回去。

惊人的结果：

• Google 更常见，但 Meta 更“贪婪”：

  • Google 追踪器安装在 72.6% 的网站上（非常普遍）。
  • Meta 追踪器只安装在 28.2% 的网站上。
  • 但是！ 一旦安装了 Meta 追踪器，62.3% 的网站都默认开启了“自动收集个人信息”的功能。
  • 相比之下，Google 追踪器开启这个功能的只有 11.6%。
  • 比喻：Google 的收银机虽然到处都是，但大多数是关着“偷听”功能的；而 Meta 的收银机虽然少一些，但只要装上了，绝大多数都开着“偷听”模式。

• 敏感行业的“漏网之鱼”：

  • 法律规定，医院（医疗）和银行（金融）网站严禁自动收集用户的敏感信息。
  • Meta 和 Google 也声称会限制这些行业的自动收集功能。
  • 但是，研究发现，许多真正的医院和银行网站（比如戒毒中心、信用卡公司）依然配置了自动收集功能。
  • 原因：这些网站在设置时，可能自己选错了行业分类（比如把自己标成了“普通商业”而不是“医疗”），或者管理员根本不知道这个开关意味着什么，就顺着默认设置点了“下一步”。

4. 他们收集了什么？

对于 Meta 追踪器，研究发现：

• 99.5% 开启收集的网站都在偷邮箱。
• 93.7% 在偷全名。
• 93.5% 在偷电话号码。
• 这三样东西凑在一起，基本上就能精准锁定你是谁了。

5. 总结与启示

这篇论文告诉我们一个残酷的现实：隐私泄露往往不是因为黑客技术有多高深，而是因为“默认设置”和“误导性的说明书”。

• 网站管理员（很多是普通的市场人员或外包公司）并不是坏人，他们只是被 Google 和 Meta 的**“默认勾选”和“模糊建议”**给带偏了。
• Google 和 Meta 为了商业利益，把“收集隐私”包装成了“优化广告效果”的必备功能，并暗示“加密了就很安全”，实际上是在利用用户的无知。

给普通人的建议：

1. 警惕表单：在敏感网站（医疗、金融）填写信息时，要格外小心。
2. 使用工具：可以使用广告拦截插件（Ad Blockers），它们有时能阻止这些追踪器发送数据。
3. 推动改变：这项研究呼吁监管机构（如 FTC）介入，要求 Google 和 Meta 修改他们的设置界面，把“关闭收集”设为默认，并停止使用“哈希加密很安全”这种误导性宣传。

一句话总结：
Google 和 Meta 给网站管理员递了一把**“默认开启的隐私收割机”**，并告诉他们“这很安全，不用管”。结果，无数敏感网站在不知情的情况下，把用户的名字、电话和邮箱源源不断地送进了广告巨头的数据库。

技术摘要

这篇论文《Tracker Installations Are Not Created Equal: Understanding Tracker Configuration of Form Data Collection》（追踪器安装并非千篇一律：理解表单数据收集的追踪器配置）由纽约大学和东北大学的研究团队共同完成。文章深入探讨了 Google Tag 和 Meta Pixel 这两大主流网络追踪器在配置收集用户个人身份信息（PII）时的机制、文档引导以及实际部署情况。

以下是该论文的详细技术总结：

1. 研究背景与问题 (Problem)

• 核心问题：定向广告依赖于对用户在线活动的全面追踪。为了完善用户画像，广告公司（如 Google 和 Meta）鼓励网站管理员不仅安装追踪脚本，还要将其配置为自动收集用户填写的表单中的个人身份信息（PII），如电子邮件、电话号码和姓名。
• 现有研究的不足：以往的研究通常将追踪器的安装视为二元状态（安装或未安装），忽略了配置这一关键维度。追踪器必须被明确配置才能提取表单数据。
• 具体痛点：
  • 在医疗和金融等敏感行业，收集 PII 可能违反联邦法律（如美国的 HIPAA 和 GLBA）。
  • 2023 年 FTC 曾对 BetterHelp 和 GoodRx 等公司因泄露敏感数据给第三方追踪器处以罚款。
  • 目前尚不清楚有多少网站实际上启用了表单数据收集，以及追踪器的文档和界面设计如何影响管理员的配置决策（例如是否存在“暗黑模式”或误导性建议）。

2. 研究方法 (Methodology)

研究采用了定性分析与大规模定量测量相结合的方法。

A. 定性分析：文档与用户界面 (UI)

• 对象：Google Tag 和 Meta Pixel 的官方文档及配置界面。
• 方法：研究人员扮演网站管理员，按照官方指引安装和配置追踪器，并通过逆向工程分析实际收集的数据和加载的 JavaScript 代码。
• 编码框架：基于“暗黑模式”（Dark Patterns）理论，对文档和 UI 进行了五类编码：
  1. 隐藏风险 (Hidden risk)：未充分披露隐私风险。
  2. 最不隐私的默认值 (Least private defaults)：默认开启最大程度的数据收集。
  3. 最不隐私的建议 (Least private recommendations)：文档明确建议开启数据收集。
  4. 损失厌恶 (Loss aversion)：暗示不开启数据收集会错失营销机会。
  5. 矛盾语言 (Contradictory language)：文档声明与实际操作机制相悖（例如声称哈希能保护隐私，但实际可关联用户）。

B. 定量测量：大规模网站扫描

• 数据集：从 Tranco 和 SimilarWeb 获取了 40,150 个网站，涵盖健康（3,406 个）、金融（1,633 个）及其他非敏感垂直领域。
• 技术实现：
  • 在 Google Cloud 的 Linux 虚拟机上运行 Chrome 浏览器。
  • 表单注入 (Form Injection)：在页面加载后，自动注入一个包含 PII 字段（邮箱、电话、姓名等）的测试表单并提交。
  • 流量捕获：监控网络请求，检测是否有哈希后的 PII 数据被发送到 Google 或 Meta 的特定 URL。
  • 静态分析：解析 Meta Pixel 的配置文件，确定其是否被配置为自动收集数据（Google Tag 因混淆严重主要依赖动态检测）。
• 验证：通过人工手动访问样本网站，验证自动检测的误报和漏报率，并测试了接受/拒绝 Cookie 对检测结果的影响。

3. 主要发现与结果 (Key Results)

A. 文档与界面设计 (Qualitative Findings)

• Meta Pixel：
  • 在基础设置流程中，通过向导明确引导管理员开启自动数据收集。
  • 默认设置：一旦开启，默认选中所有 11 种 PII 字段（邮箱、电话、姓名、地址等），管理员需主动取消选择才能保护隐私（“最不隐私的默认值”）。
  • 误导性：文档声称哈希（Hashing）能保护隐私，但 FTC 和学术界已多次证明哈希不足以防止重识别。
• Google Tag：
  • 配置流程复杂，数据收集功能未包含在基础设置向导中，需管理员自行寻找并开启。
  • 矛盾：文档一方面声称政策禁止发送 PII，另一方面又提供收集 PII 的功能指南，且未明确区分哈希与明文的风险。
• 敏感行业限制：两者都要求管理员在设置时声明网站类别（如医疗/金融），若声明为敏感类别则限制自动收集。但这一分类完全依赖管理员自我申报，且文档未解释违规后果，导致许多敏感网站可能错误分类以绕过限制。

B. 实际部署情况 (Quantitative Findings)

• 安装率：Google Tag 安装率极高（72.6%），Meta Pixel 较低（28.2%）。
• 配置收集率（关键差异）：
  • Meta Pixel：在安装了 Meta Pixel 的网站中，62.3% 被配置为收集表单数据。
  • Google Tag：在安装了 Google Tag 的网站中，仅 11.6% 被配置为收集表单数据。
  • 结论：Meta 的引导式设置流程导致其追踪器被配置收集 PII 的频率远高于 Google。
• 敏感行业表现：
  • Meta：在医疗和金融行业，Meta Pixel 收集表单数据的比例显著下降（医疗 30.8%，金融 20.3%），表明其技术限制在一定程度上有效，但仍有大量违规案例（如戒毒中心、银行网站）。
  • Google：Google Tag 在敏感行业的收集率与非敏感行业无显著差异（约 11.5%-13.4%），说明其限制机制并未有效发挥作用。
• 收集的数据类型：
  • 在配置了 Meta Pixel 收集数据的网站中，99.5% 收集邮箱，93.7% 收集全名，93.5% 收集电话号码。
  • 超过一半（51.3%）的网站使用了默认配置（收集所有字段）。

C. 违规案例

研究识别出多个明确属于医疗和金融领域的网站（如 NAMI、Equifax、Capital One 等），它们安装了追踪器并配置为收集 PII，这直接违反了 Google 和 Meta 的政策以及美国联邦法律。

4. 主要贡献 (Contributions)

1. 方法论创新：建立了定性分析追踪器文档/界面的框架，以及大规模测量网站追踪器配置状态的数据管道。
2. 揭示误导机制：暴露了 Google 和 Meta 如何通过文档和 UI 引导管理员开启自动 PII 收集，并使用了已被 FTC 驳斥的“哈希即隐私”的说辞。
3. 量化配置差异：首次大规模量化发现，Meta Pixel 被配置收集表单数据的频率（62.3%）远高于 Google Tag（11.6%），且 Meta 的设置流程是主要原因。
4. 识别违规风险：具体指出了大量医疗和金融行业网站存在违规配置，可能正在非法收集敏感数据。

5. 意义与启示 (Significance)

• 隐私保护视角：研究证明了追踪器的配置界面设计（UI/UX）和文档引导对隐私保护具有决定性影响。"Bad Defaults"（糟糕的默认设置）和"Loss Aversion"（损失厌恶）语言直接导致了隐私泄露。
• 监管建议：
  • 监管机构（如 FTC）应加强对追踪器文档和默认设置的审查，禁止误导性隐私声明。
  • 仅靠网站管理员自我申报行业类别不足以保护敏感数据，需要更严格的技术强制手段。
• 技术防御：
  • 作者开发了一个 Chrome 扩展原型，可在用户填写表单前检测并警告页面中已配置收集 PII 的 Meta Pixel。
  • 网站管理员应警惕外部承包商对追踪器的配置，并审查敏感行业的合规性。
• 未来方向：需要行业、政府和学术界共同努力，推动更隐私友好的广告技术（如不依赖 PII 重识别的归因方法），并加强执法力度。

总结：该论文揭示了网络追踪器并非仅仅是“安装与否”的问题，其配置方式才是隐私泄露的关键。Meta 和 Google 的界面设计在很大程度上诱导了管理员开启高隐私风险的数据收集功能，导致大量敏感网站在用户不知情的情况下泄露个人身份信息。