當行業逐漸駛向第三方cookies終結的時代,相應的替代方案也在逐漸發展成型,其中谷歌FLoC(聯邦群組學習技術)是目前業內討論最多的技術手段之一。由于目前FLoC剛剛在全球范圍內開啟內測,FLoC究竟會為行業帶來什么實質影響其實依舊存疑。
效果方面,谷歌稱FLoC群組的精確度足以支持廣告投放。在之前其公布的測試數據中,利用FLoC達到的投放效果與第三方Cookies相差無幾,與基于cookie的廣告投放相比,FLoC能達到其中95%的效果。此外谷歌還聲明,利用谷歌自身平臺投放所能獲取的數據信息與其他廣告平臺無異。
而在另一邊,谷歌的FLoC方案也引來了隱私安全專家們的抨擊,有人認為FLoC并無法保證隱私安全,甚至使當下情況更加糟糕。
占據全球2/3的市場份額,谷歌的任何措施都會為行業生態帶來不小的影響,海外廣告生態更甚。谷歌的FLoC究竟是基于什么邏輯?其目前存在哪些隱私漏洞?將會對廣告投放帶來哪些潛在影響?
谷歌FLoC背后的產品邏輯
FLoC(Federated Learning of Cohorts)即群組聯邦學習,是谷歌針對廣告定向推出的技術解決方案,也是其隱私沙盒(Privacy Sandbox)項目中的重要組成部分。與第三方Cookies能直接追蹤到個體級別數據不同,FLoC則基于用戶近期行為以興趣為維度分成不同群組,一個群組用戶具備相似興趣喜好,由此來幫助廣告主進行定向投放。
每個群組都享有共同的特點和興趣,群組內的用戶都會被標記成相同ID。當然由于用戶可能會被分到不同類型的群組中,所以也會表現出不同的ID標識。根據最初試驗,這些群組數據始終處于流動之中,每7天更新一次。當用戶的瀏覽行為發生變化時,瀏覽器就會捕捉到其新喜好,據此把安排用戶加入到相應的群組中。
在隱私方面,谷歌FLoC主要通過兩方面來保證安全性。一方面,通過FLoC,用戶個人信息隱藏于群組之中,使其不能被輕易識別;另一方面,聯邦學習技術能夠實現在用戶本地進行計算分組,無需再設立一個中央服務器來集中收集用戶行為數據,個體瀏覽記錄將保密,無法分享給任一方,瀏覽器本身會自動識別訪問歷史并基于行為記錄進行分組,以此降低隱私泄露風險。此外,谷歌保證群組體量達到足夠大時才會被第三方識別,體量小的群組將會與其他或相似群組合并以確保不可識別性。
例如當你訪問一個網站時,Chrome瀏覽器會告訴這個網站該用戶屬于cohortxxxxxx,然后網站就能夠知道該群組用戶比較喜歡小型貨車和皮革靴。之后,廣告主可以通過一方數據、機器學習模型或預測分析等方式來評估、衡量與匹配,然后選擇投放。當然網站也可以選擇不參與FLoC,意味著這些網站將無法得到訪戶相關群組的信息。此外,用戶也可以在后臺設置中選擇退出第三方cookies,那么該用戶數據也不會被FLoC追蹤。
目前,谷歌已在全球開啟測試。最初谷歌計劃在澳大利亞、巴西、加拿大、印度、新西蘭等地區隨機選擇0.5% Chrome用戶進行測試,廣告主、第三方等公司均可加入試用,后臺關閉第三方cookies的用戶將不會被選擇。隨后,谷歌FLoC內部團隊又請求將測試樣本擴大至5%用戶,以便于廣告技術公司更好地訓練模型,如果該請求被準許,意味著接入FLoC測試的用戶將達到億級水平。
不過仔細觀察發現,測試地區中并沒有來自歐盟的國家,意味著谷歌的FLoC方案并沒有得到GDPR隱私條例的認可。除此之外,谷歌的FLoC解決方案也因無法保障隱私安全而被業界各方抨擊。海外瀏覽器Brave、DuckDuckGo、 Vivaldi、Opera以及微軟的Edge和Firefox都未加入到FLoC的測試中。
FLoC面臨的隱私安全隱患
在外界看來,谷歌的FLoC背后都有哪些隱私安全隱患呢?從業內各方反饋來看,大概有以下三點。
1. 指紋識別風險猶在 簡單來講,指紋識別是一種將瀏覽器上的行為活動與用戶個人身份做匹配的技術手段。用戶在訪問瀏覽器時都會生成唯一標識當前瀏覽器的一串字符,類似于能識別個人身份的“指紋”。瀏覽器可通過瀏覽器的屏幕分辨率、字體、語言、操作系統、IP地址、窗口大小等一系列數據來判斷用戶身份,據此進行精準投放。
有數據隱私安全專家表示,Cohort ID越長代表所能生成的群組數量越多,意味著廣告主所能獲取的用戶興趣信息越多,被指紋識別的可能性也就越大。在最初的試驗里,一個Cohort ID是8比特,意味著將只能產生256個可能的組合,一定程度上限制了追蹤能力。不過在最近一次測試版本中,Chrome顯示其Cohort ID已經包含50比特,即能產生33872個群組。這樣一來,雖然每個群組包含的用戶量極大,通過群組ID不會直接定位到個人,但其透露出的更多信息也會為指紋識別提供了補充,一旦能定位到用戶所在群組,結合其他零碎數據反而會更容易識別出個體身份。
2. 弱勢群組容易被歧視對待
技術總有兩面性,廣告定向在用于精準投放的同時也對弱勢群體帶來了歧視、羞辱與傷害。例如基于性別、年齡、種族、宗教等維度推薦帶有歧視性的求職、買房、信貸等廣告,甚至根據信用記錄或類似信息來推薦高利貸都是在利用弱勢群體標簽謀私利。 正因如此,谷歌、Facebook等廣告平臺一直在限制定向能力。例如谷歌禁止廣告主以“涉及敏感隱私的興趣”來做定向。不過仍難杜絕此類事件發生。
谷歌FLoC使用的是無監督算法,意味著FLoC僅根據用戶的相似特征進行分組,并且在聚類過程中不知道用戶標簽,任何人都無法直接干涉FLoC的分組邏輯。理想狀態下,FLoC應根據有實際意義的行為、喜好聚類,但事實上用戶在網上表現出來的行為難免會表露出性別、民族、年齡、收入甚至心理健康等敏感特征,意味著這些敏感信息也極有可能參與到FLoC的決策分組中。
對此擔憂,谷歌表示可以通過監測系統輸出結果的方式來確保群組特征不涉及任何敏感隱私問題。一旦某個群組與被保護群體關聯緊密,管理服務器將會重置算法。不過,這種解決方案并不實際。專家指出,這意味著谷歌需要根據用戶的種族、性別、宗教、年齡、健康、財務狀況等一系列數據來進行大規模審查,一旦發現一個群組涉及隱私泄露風險就要重設整個算法,然后再次測試直至監測的群組不涉及任何隱私問題,實際操作難度、成本都非常巨大。
此外,對于追蹤者而言,只要具備一定數量的用戶數據也能通過觀察和試驗知曉FLoC群組中用戶的共同特征,這也為群體歧視提供了技術上的可能。
3. 跨語境下的隱私曝光
4. 對于廣告主而言,通過谷歌的FLoC群組一定能夠得出該群組用戶的行為信息,這也是其所能提供的核心營銷價值。不過一些公司本身也能通過其他技術手段來識別到個體,一旦這些公司在網站上提供“用谷歌賬號登錄”的選項,也能關聯到FLoC的群組信息,得到更全面的用戶畫像。
5. 在這種情況下,有兩種類別信息最容易被泄露。一是瀏覽記錄;追蹤者可能通過結論反推過程,即利用反工程原理推導出屬于該群組的用戶都瀏覽過哪些網站。二是用戶的大致特征、興趣,即推算出某群組所含用戶更有可能具備的特征畫像。例如群組一的用戶傾向于是年輕女性、群組二用戶大概率為LGBTQ年輕群體等。
6. 這意味著當用戶剛剛進入網站時,網站就已經知曉用戶的大概特征。而隨著FLoC每隔一段時間的更新,這些能用其他方式識別用戶的網站也能監測到該用戶瀏覽行為的變動,從而產生了跨語境隱私風險。
按理說,用戶有權決定不同語境中所顯露出的身份信息。正如我們不會告知商場導購自身健康情況,也有權不對公司告知私人生活狀態。然而這份本應得的權力卻在網絡時代被剝奪和侵犯。當你瀏覽醫藥健康網站時,網站或許還知道你的政治立場,當你登錄零售網站購物時,它也許還知道你最近在接受心理治療... FLoC無法解決跨語境的信息隱私問題,因為其可能向你登陸過的網站提供了同一份行為記錄。
當然,除了技術中尚未補全的隱私漏洞,谷歌的“強勢立場”也與一些原則問題有所矛盾。例如在開啟FLoC試驗后,樣本用戶并未被詢問和告知,此外也有人擔憂FLoC乃至“隱私沙盒”解決方案會在日后逐漸向谷歌自身廣告平臺傾斜,導致其既當運動員又做裁判。
谷歌FLoC帶來的潛在行業影響
在廣告投放方面,谷歌FLoC才剛剛開啟大范圍測試,具體影響難以明確,但可以預見其中帶來的部分限制和影響。
1. FLoC并不能完全替代第三方Cookies
注意,FLoC只是谷歌“隱私沙盒”解決方案中的一部分,并不能說完全替代第三方Cookies。FLoC僅適用于Chrome瀏覽器數據,跨瀏覽器、跨設備乃至線下數據均無法觸及。目前FLoC僅支持基于興趣的定向,無法解決廣告排序、頻控等問題。
2. 定向精準度會下降
對廣告主而言,FLoC產生的群組還不夠靈活和精細。廣告主若想判斷該群組對一件具體商品的興趣度依舊很難。例如廣告主想將該廣告展示給過去7天內在亞馬遜上搜索阿迪達斯運動鞋的用戶就不太可能了,FLoC只能實現將該廣告展示給喜歡運動鞋的人。
3. 廣告效果衡量
如果說一個FLoC群組代表一種身份標識,那么歸因也將變得十分困難。廣告主該如何衡量廣告效果?廣告可見度指標是否會重于轉化指標?營銷效果是否會下降?
當然,谷歌早已想到這一點。其對應的歸因方案是“事件轉化衡量API”,去年9月已開始面向公共測試。瀏覽器會記錄和收集點擊、轉化數據,并向Ad Tech公司分享匿名報告,報告中用戶ID被Event ID代替,并且會混入一定比例噪音。谷歌稱未來該解決方案還會支持瀏覽轉化數據。
而針對具體廣告活動的衡量上,谷歌于去年4月發布了“聚合衡量API”,能夠衡量Unique Users在多個網站上瀏覽同一廣告的次數。該方案也將于今年開啟公測。
4. 再營銷
谷歌“隱私沙盒”中的另一方案TURTLEDOVE(斑鳩)就是通過新網頁瀏覽器API和on-device廣告競價解決隱私保護下的再營銷問題。
具體步驟如下:
(1)用戶通過瀏覽器訪問了一個自行車交易網站,在上面瀏覽山地車。網站認為用戶對山地車感興趣,購買意向較強。
(2)通過API,網站向瀏覽器請求將該用戶添加到其預先設定的“山地車興趣組”中,同時其Ad Network也向瀏覽器發出請求,準許其讀取該興趣小組。(Ad Network僅有讀取功能,無法儲存該興趣群組數據)
不過,當網絡包圍和席卷人們的生活,用戶在網絡上的每一次點擊、瀏覽、注冊、登錄都暴露在后端一行行真實存在的數據代碼之上,即便平臺方竭盡全力避免隱私泄露,依舊難擋伸向隱私的一雙雙“黑手”。至少從世界最大的廣告巨頭谷歌來看,目前廣告效果與隱私安全仍未得到很好地解決。放眼于全局,隱私與效果的平衡將始終是行業研究的長期命題。
參考文章:
Progress update on the Privacy Sandbox initiative by Google:https://developer.chrome.com/blog/privacy-sandbox-update-2021-jan/
What is TURTLEDOVE? Google's TURTLEDOVE Explained by AdTech Explained:
https://adtechexplained.com/turtledove-explained/
Google Is Testing Its Controversial New Ad Targeting Tech in Millions of Browsers. Here’s What We Know by Electronic Frontier Foundation :https://www.eff.org/deeplinks/2021/03/google-testing-its-controversial-new-ad-targeting-tech-millions-browsers-heresGoogle’s FLoC Is a Terrible Idea by Bennett Cyphers by Electronic Frontier Foundation :https://www.eff.org/deeplinks/2021/03/googles-floc-terrible-idea
