“我的手机在监视我,于是我开始追踪监视者”

  • 我的手机上有160个应用。我不知道他们实际上在做什么。但我决定找出答案 …… 

【按】这篇文章的作者 Martin Gundersen 是挪威科技网站 NRKbeta 记者,他的追踪虽然没能真正揭露数据的全部路径,但是足够显示,欧洲人的数据可以也一直在被美国获取,会进入美国情报机构、移民执法和警察部门

并非通过什么有据可查的法律或所谓的情报共享协议,而是通过每个人的智能手机上安装的应用程序,经由一系列保密的交易,难以追责。

这是对高堡奇人世界另一个角度的警示:当人们只看到欧洲最高法院对 Schrems II 的判决时、或者只盯着GDPR时,很可能会忘记高堡奇人的严重性,会严重高估欧洲作为对战高堡奇人的第三方角色的重要性。而事实上,有很多远比 Schrems II 案和GDPR能解决的问题更严重的问题

IYP的立场是警告巴尔干化,而不是为其叫好,我们肯定不会支持类似于 “欧洲应该有自己的硅谷” 这样的流行观点。打破高堡奇人并不是需要第3个或更多的 “硅谷”,相反,是需要推翻硅谷和中国BAT的思考方式。将高堡奇人变成 “三国演义” 并不是解决方案。

也是为什么我们去年认为迈克尔·杜卡基斯研究所主任撰写的那篇文章不够好,虽然它的结论是非常值得支持的,但它的眼界过于局限了,在这里看到这篇文章《从斯诺登到中国 …》。

📌 如果您坚持站在民族国家的利益角度上思考,您将得不出真正能解决眼下的问题的有效方案,在这种思维框架下,您可以得出的方案只有两种:A 加强巴尔干化;B 加强帝国。一对新的红蓝药丸,对吗?

足迹:一家美国公司获得了有关我的一举一动的所有信息

以下是 Martin Gundersen 的文章,采取第一人称

我有种感觉,这些应用程序一直在监视我。好吧,虽然不是监听,而是他们一直在跟踪我的位置。我的一举一动都会被他们盯着。不论是我在买菜、喝酒、还是和朋友出去玩的时候。

我知道背后有一些人一直在买卖这样的信息。他们是如何跟踪我们的,以及他们想用我们的数据做什么?

为了试图弄清这个问题的真相,我在2月份开始了一个实验。我在一部备用手机上安装了很多应用程序。然后我就会把那部手机随身携带。

或者说几乎是随身携带,当我在4月份参加 COVID-19 测试时,我把它留在了家里。

【注:作者的猜想是切实的,是多年来已经被不断证实过的。这里有一份报告可以详细说明这个问题《单向镜的背后,还有一份追踪报道,非常清楚地阐述了数字用户对监视资本主义的恐惧并非偏执,见《如果你不偏执那就是疯了。】

这些年来,我对被监控的感觉越来越强烈,这是有原因的。去年春天,我参加了NRK的一个小组,该小组记录了 8300 多部手机在医院或妇女庇护所时是如何被追踪的。

用 35,000 挪威克朗(3,300欧元/4,000美元),我们就获得了显示数万名挪威人在2019年旅行地点的位置数据。

其中一位是来自斯塔万格的31岁的 Karl Bjarne Bernhardsen。这些信息使我们很容易在数据中识别出他的身份 —— 而那些数据提供商一直在用 “匿名化” 来搪塞人们

【注:关于数据匿名化的狡辩为什么您不应该相信,见《数据匿名化的陷阱》】

当我们给他打电话时,我们可以准确地说出他几乎每天都在哪里,直到2019年,动物园、工作面试、医院 —— 他作为一个初为人父的人,在那里住了几天。

这些数据落在恶意者手中是非常危险的,它可能被任何人所利用, Karl 当时对我们说。

很久以前,人们常说商业监控没那么可怕:“只是用来做广告的”。而现在,越来越多的人意识到了这有多可怕。(监视是为了操纵,不只是失去隐私这么简单。能操纵您购物的人就能操纵您投票,这就是监视资本主义毁掉民主的方式。特别推荐这本书,它清楚地说明这一灾难有多么深远

近期出版的《Vice Motherboard》揭秘了美国军方购买位置数据的惊人内幕,一款穆斯林祈祷应用程序将用户的位置数据发送给美国军事承包商。

“这是一种亵渎”,这是美国伊斯兰关系委员会的一位地方领导人对此的反应。

2018年,一家废弃的肯德基炸鸡店的老板在亚利桑那州的一个边境小镇被捕。他被怀疑参与了通过美国边境下面的一条隧道从墨西哥走私毒品。

180米长的隧道从废弃的肯德基餐厅到墨西哥的住宅

根据《华尔街日报》(WSJ) 的消息,这一行动部分是由于美国移民和海关执法局(ICE)使用商业化的位置数据挖掘到的线索。

最终,美国海关和边境保护局 (CBP) 也买到了*全球*位置数据的使用权,这些商业数据应该是与负责将人们驱逐出境的ICE部门共享的。

NRK的记者在会见机密消息来源时都会被提醒,最好避免携带智能手机,因为当局很可能会获得有关我们行踪的一切信息,甚至未经法院批准就能拿到。

如果我的位置数据落入坏人手中,可能会给其他人带来比我自己更严重的后果。这是一个持续的恐惧 —— 任何时候如果有人告诉了我一些秘密的事,可能就会因此被曝光。

(他说得没错。大规模监视时代最可怕的一点是,您已经无法再信任任何人;因为即便对方本人守约保密,但他们的设备也很难帮您保密)

我请求访问我的数据

向ICE提供有关快餐店信息的公司叫 Venntel。根据该公司记录,它们位于弗吉尼亚州的一个工业集群中。

在该地区,您会发现与国防部门有关的一系列耳熟能详的名字,例如 F-35战斗机背后的公司洛克希德马丁、以及爱德华·斯诺登的前老板 Booz Allen Hamilton。向东行驶20分钟,您将位于CIA总部所在地的弗吉尼亚州兰利。

Venntel指出它位于这栋建筑物中。照片:Google Maps

去年8月20日,我索要了一份 Venntel 公司关于我的所有信息的副本。根据2018年通过的 GDPR,所有欧洲人都有权这样做。

第二天,Ventel 的法律部门要求我确认我最近访问过的一些地址。

他们发来的电子邮件说:“一旦有了这些信息,我们将首先检查您提供的广告ID是否在我们的数据库中。”

所有智能手机都带有那个所谓的 “广告ID”。此ID是随时间推移和跨应用跟踪手机用户的关键。手机所有者可能会被限制访问此ID,尽管实际上很少有人会这样做。

我把我在奥斯陆NRK总部的办公室地址以及我在奥斯陆 Majorstuen 的公寓的地址给了 Venntel。

大约一个月后,我收到了来自 Venntel 的一封有趣的电子邮件,含附件。它包含有关自2月15日以来我去过的所有地方的 75406 条信息。它追溯到我生活中的每一步 —— 远足、出去喝酒、拜访我在挪威南部的祖母 ……

左边的图片显示了我在我居住地区的活动记录。在右侧,您可以看到 Marienlyst 的NRK办公室的地图。随着时间的流逝,这里有大量的点密集在一起,就是我每一刻的位置

资料中没有电话号码和姓名,但是,几乎任何人都很容易发现这就是我。在谷歌和白页中简单的搜索就可以显示有一个 Martin Gundersen 的人住在奥斯陆的 Sorgenfrigata,在 NRK Marienlyst 工作。

Venntel 公司还告诉我,他们已经与他们的客户分享了所有这些我的信息 —— 他们的客户可以将这些信息用于联邦执法和维稳等目的

这些客户是谁,Venntel 拒绝透露。

我是挪威人,我的位置数据怎么会被美国的 Venntel 公司所掌握?我安装的所有应用程序都没有以任何方式提到这家公司。任何地方都没有。甚至没有让我在实际使用之前点击任何所谓的 “确定”。

Venntel 可以告诉我,他们已经从他们的母公司 Gravy Analytics 获取了我的所有信息,而且他们只在少数情况下知道更多关于数据来自哪些应用程序的信息。

Gravy Analytics 是一家基于营销的数据中介。他们收集消费者的大量数据,以提高广告操纵的针对性。Gravy Analytics 还声称,他们不知道大部分数据的来源;但是,在对访问请求的回复中,包含了两家新公司的名字 —— 法国的 Predicio 和美国的 Complementics。

新一轮的数据访问请求发现,一些最终落在 Venntel 手里的位置数据来源于一家名为 Sygic 的斯洛伐克应用开发商,他们有70个不同的应用组合。

根据他们的网页,他们最受欢迎的应用据说有超过2亿用户

2月15日,我安装了两个 Sygic 的导航应用。两者都要求我同意一些个性化广告的条款。

如果你是那些几乎不阅读你同意的内容的人,你并不孤单;很少有人真正阅读他们安装的应用程序和服务的使用条款。

“我同意”,我按下了那个键。我们现在已经达成了一个具有约束力的协议,我和应用程序之间。

违反隐私法

很明显,当 Gravy Analytics 收到数据时,与 Sygic 的协议已经被打破。Gravy Analytics 在他们的隐私政策中表示,我的个人信息可能被用于为合作伙伴和客户提供一系列服务。根据他们自己的隐私政策,这包括欺诈检测、执法和所谓的国家安全等目的。

换个角度来说。Gravy Analytics将我的位置数据共享给了他们的子公司,而他们的子公司是专门提供这些服务的。

这就回到了我在2月15日与 Sygic 达成的协议。

我咨询了三位律师,Malgorzata Agnieszka Cyndecka、Lee Bygrave 和 Arve Føyen,他们都是隐私专家。他们认为,我的个人信息很可能被用于我同意之外的其他目的,这明显违反了GDPR。因为GDPR是对你们到底能用我的个人信息做什么设定了严格的限制和要求。

“如果事实证明合作伙伴可以将个人信息用于除您同意的目的以外的其他用途,这是非常危险的” Cyndecka 说

卑尔根大学法律系副教授 Malgorzata Agnieszka Cyndecka 表示,这种做法不仅颠覆了作为目的的限制原则,也颠覆了GDPR的透明度和公平性原则。

邪恶的天气预报

根据 Gravy Analytics 和 Venntel 的数据文件,我也被天气应用 Fu*** Weather 追踪到了。这款应用承诺会以一种讽刺的、尖锐的方式呈现天气。谁会不愿意每天的预报都有大量脏话伺候呢?

今年秋天安装该应用时,我 “同意” 我的数据可以用于分析和 “货币化”,即为该应用提供资金。

我咨询过的这三位律师也认为这个协议不符合GDPR的规定,因为 “货币化” 到底意味着什么是非常不清楚的。分析也不涵盖 Venntel 的所有商业行为

应用程序 Funny Weather

该应用程序背后的开发者是 Lawiusz Fras,并没有一家大公司。他表示自己并不了解 Venntel,但表示自己对该应用的商业模式持开放态度。

“我与一些公司合作,这些公司利用应用所能获取的一些数据来赚取这方面的钱,这并不是机密”,应用的开发者 Lawiusz Fras 在一封电子邮件中写道。

Fras 承认,该应用程序可以更清楚地说明 “货币化” 所包含的内容。他打算在隐私政策中对此做些什么,但坚持认为用户已经被 “适当告知”。

不可能的追责

来自该天气应用程序的数据如何到达了 Venntel,仍是一个谜,但数据可能流经法国的 Predicio 公司,因为该中介在该应用的隐私权政策中被列为 “合作伙伴”。

Venntel 可能从哪些其他应用程序中接收数据?这个问题被保密得非常严格。甚至移动应用程序背后的人也不知道他们自己已经参与其中了。

“我们不知道 Venntel 这家公司”,Zuzana Kacanova 在回复我的提问关于我的数据是如何在他们那里结束的时候这样说。

Kacanova 声称,根据GDPR,我作为用户的 “同意” 意味着数据被合法拿走,他们的合作伙伴有合同义务只将我的数据用于营销目的。

“根据您提供的信息,并不清楚 Venntel 掌握的关于您的数据来源是 Sygic GPS 导航公司。如果证明属实,则违反了我们与各合作伙伴的合同。”

NRK 进行的一项技术分析显示,有几个细节表明,来自 Sygic 的数据最终落入了 Venntel 手中。例如,Complementics 用于 Sygic 数据的一个ID也出现在 Venntel 的数据中。

Kacanova 并没有回答关于这将对其与 Predicio 或 Complementics 的伙伴关系产生什么样的后果的问题。(不会产生什么后果的,这种合作会继续进行,这就是监视资本主义体制)

建立在违法行为之上

随着2018年GDPR的到来,隐私倡导者已经赢得了一个重要的胜利。欧洲的共同立法本来是为了让交易用户数据的公司受到更严格的审查。然而,部分数字广告行业却并没有任何变化。

“他们试图坚持旧的做法,并把它们伪装成不同的东西,但核心还是一样的”,David Martin 在布鲁塞尔的客厅里说。

他是欧洲消费者伞式组织 BEUC 的数字权利小组的负责人。他说,部分数字广告系统是 “建立在几乎系统性违反GDPR的基础上的”。(他指的系统性违法现象更准确说应该是GDPR本身的缺陷,见《为什么说欧洲新法规反而会加强 Facebook 和Google 的霸权?》)

David Martin 与大多数隐私倡导者的观点一致。在理论上,GDPR是伟大的, 但在实践中,它有严重的缺点。

David Martin 认为,欧洲数据保护机构拥有很大的权力,但是他们在执行GDPR时过于谨慎了

奥地利隐私研究者和活动家 Wolfie Christl 多年来一直在调查公司如何使用我们的数据。最近,他协助挪威消费者委员会编写了 “失控” 这份报告,记录了应用程序生态系统中一些潜在的侵犯隐私行为。

他说,在大多数情况下,很难甚至完全无法追踪个人数据是如何在应用程序、数据经纪人及其客户之间流动的

在 Christl 看来,欧盟的数据保护当局似乎无法或不愿阻止许多违反GDPR的行为。

【注:他说的 “不愿” 并非偏颇,它就是事实,也是为什么说将打败高堡奇人的期待放在欧洲身上可能是不切实际的。您可以这里看到具体解释,《讽刺性依赖》】

他认为欧洲官员需要迅速采取行动。但问题是,是否有人愿意听从。Føyen Torkildsen 律师事务所合伙人 Arve Føyen 认为,很难对 Venntel 这样的公司进行处罚,因为他们在欧洲没有办事处。

Føyen 解释说,法律本身恐怕会给人一种规则适用的错觉 —— 但实际上,采取法律行动是不可能的。

数字相册

自从我把特定的手机带到 Nordmarka 森林里喝咖啡和吃华夫饼的地方 —— Ullevålseter 小屋后,已经几个月过去了。

在我的屏幕上,我现在看到的是沿着森林小路蜿蜒的小点。在我休息的地方,有几个点簇拥在一起,在我快步走过的地方,那些点相距较远。

我从右边走来,在院子里停了下来,直到我坐在图片右边的长凳上。总的来说,这张照片显示了8月9日星期日那天36分钟内我的一举一动

那是一个炎热的夏末周日。马蝇很活跃,尤其是在沼泽地附近。

人们往往会忘记大部分自己去过的地方,以及在那里做过的事。不过,几条线索还是足以让记忆回归。在那个夏日的星期天,重走我当时的路,就像翻阅一本旧相册,每一页都有自己的故事。

而更有趣的是,背后有神奇的人掌握着所有这些数据。掌握着我的一举一动。

重复我自己的脚步是不可思议的,尽管在我的情况下这些数据没有泄露任何浪漫的恋情、秘密的会议或尴尬的健康问题。

但必须承认,我们大多数人在生活中都有不想分享的时刻。哪怕是对我们最亲近的人,我们的老板,或者是政府,也不愿分享。

我能够绘制出从我的手机移动应用到 Venntel 的数据流,但我仍然有很多未解的问题。Venntel 的哪些客户获得了我的信息?会不会是国防部门的公司、情报部门、FBI?

很难得到答案

Gravy Analytics 没有回应我们的多次询问。其子公司 Venntel 也不愿接受电话或电子邮件的采访。

在一份简短的声明中,Venntel 声称,我的手机动向没有与ICE或CBP共享。他们还写道,他们与应用提供商 Sygic 或 Lawiusz Fras 没有关系。(NRK从未声称他们有直接关系,但有文件显示,该公司正在通过其他人从这些应用程序中获取信息)。

Venntel 写道:“我们不会进一步评论我们的业务关系或对法律的解释”。

在给NRK的一份声明中,美国海关和边境保护局(CBP)表示,他们对商业数据的访问是 “有限的”,他们是 “按照相关的规则和条例来使用的”。

CBP新闻官员 Jason Givens 没有回答后续问题,即 CBP 在获取欧洲公民的数据或美国边境地区以外的手机数据时受到哪些限制。

FBI和ICE也与 Venntel 签订了合同,但他们没有回答关于该公司为这些间谍追踪欧洲境内外的欧洲人提供什么机会的问题。

当 Predicio 在8月11日回应访问请求时,他们没有提到任何关于2月至7月期间与 Venntel 共享数据的事。(Funny Weather 应用是在8月10日安装的)。Predicio 没有回复我关于采访的反复询问。

Complementics 联合创始人 Walter Harrison 表示,我的数据只用于营销分析。Harrison 不想接受采访,他没有回答关于他们与 Gravy Analytics 的关系的问题。⚪️

Telefonen spionerte på meg. Slik fant jeg overvåkerne

发表评论

此站点使用Akismet来减少垃圾评论。了解我们如何处理您的评论数据