Photo by Jackson David on Unsplash

Firefox 于 11 月 21 日发布了 Firefox 120 Beta 版本, 其中在 HTTP 协议部分添加了对 Sec-GPC 标头的支持:

Firefox 支持全球隐私控制 Sec-GPC 请求标头, 发送该标头可表明用户不同意网站或服务向第三方出售或共享其个人信息. 用户可以通过将首选项 privacy.globalprivacycontrol.enabled 设置为 true (在 about:config 中)在正常和私密浏览模式下启用标头. Navigator.globalPrivacyControlWorkerNavigator.globalPrivacyControl 属性允许 JavaScript 检查用户同意首选项.

—— Firefox 120 for developers - Mozilla | MDN [存档]

那么这个 Sec-GPC 究竟是什么东西? 它为什么要表明用户对数据的请求意愿? 曾经和它相同愿景的 DNT 怎么样了?

长话短说, Sec-GPC 是 DNT 的继任者.

Sec-GPC 这个标头起源于 2009 年提出的 DNT(Do-Not-Track), Firefox 是第一个支持 DNT 的浏览器, 但是目前 MDN 里面给出的提示是: 「不再推荐此功能. 尽管某些浏览器可能仍然支持它, 但它可能已从相关网络标准中删除, 可能正在被删除或者可能仅出于兼容性目的而保留.」, Sec-GPC 虽然也好不到哪里去: 「 此功能是非标准的, 并且不在标准轨道上. 不要在面向 Web 的生产站点上使用它: 它不适用于每个用户. 实现之间也可能存在很大的不兼容性, 并且行为将来可能会发生变化.」, DNT 被看作是一个「失败的网络试验」, 不过起码是有人提出了这种倡议, 并且确实存在也产生过影响.

Sec-GPC 的详细描述参见 Global Privacy Control 提案:

Global Privacy Control (GPC) [存档]

现状

对于 DNT 在用户侧的最直接的表现就是浏览器里面的 "请勿跟踪" 选项:

浏览器里面的 DNT

即使最流行的浏览器都支持了该功能并且还引起了很多人的误会, 让人以为在浏览器中启用了这个选项就不会被跟踪了, 但实际上由于 DNT 最终依赖于服务方而非用户方. 流行且并且支持 DNT 的只有 Medium, Pinterest 和 Reddit. YahooTwitter 曾经有对 DNT 的支持, 但现在已经全都是昨日黄花.

现在还支持 DNT 的全部加起来都是屈指可数. 一般性的 DNT 政策对于提供服务的平台都是写在隐私政策里面, 在这里可以看到所有目前已经实施了 DNT 政策的平台:

Companies Archive - All About DNT [存档]

DNT 的现状以至于让很多人认为 DNT 没有任何作用.

当然也有明确在政策里面写明不遵守的, 比如 Cygames 的隐私政策的 "在线跟踪" 里面写道:

某些 Web 浏览器和其他程序可能会被用来向我们传达您对我们或第三方如何或是否可以收集您在线活动信息的偏好. 目前对于如何响应 "请勿跟踪"(DNT) 信号尚无公认标准, 因此 Cygames 不支持 DNT 浏览器设置, 并且目前未参与任何可能允许我们响应由您发出的关于收集您个人信息或非个人信息的信号或其他机制的 DNT 框架.

—— 隐私政策 | 【Shadowverse】官方网站 | Cygames [存档]

这也是大多数的做法, 比起隐私政策更像一种 "免责声明".

那么, 为什么没有作用? DuckDuckGo 在内的大部分人都认为是法律的缺失, 所以 DuckDuckGo 在欧盟 GDPR 生效后的一年发表了《2019 年禁止跟踪法案》, 期望通过立法为这类技术提供程序性正义的保障.

Do Not Track and the GDPR | 2018 | Blog | W3C [存档]

几乎没有平台遵守, 那么 DNT 是否失去了意义? 特别是对经营全球性服务的互联网公司来说? 但现在下结论还可能为时尚早:

nostr:nevent1qqs0hx0rezzmk9w6fk7geawlns4tj0qkt32sf3adt6j7wzymwfqpl0saqxun4

但德国柏林地区法院裁决, 请勿追踪具有法律约束力. 此案与微软旗下的职业社交网络 LinkedIn 有关, 它在网站上明确表示: 由于目前没有 "请勿追踪" 的相关标准, 它对请勿追踪信号不予回应. 但德国消费者保护组织 vzbv 指出, 如果消费者启用了浏览器的请勿追踪功能, 那么他们发出了一个明确的信号: 不希望其上网行为被跟踪用于广告等目的, 网站运营者必须尊重这一信号. 法官同意了这一意见, 认为 LinkedIn 的声明具有误导性.

—— 德国法庭裁决 Do Not Track 具有法律约束力 | 奇客Solidot [存档]

现在的 Sec-GPC 的状态是 "规范提案", Mozilla 决定在 Firefox 中支持 Sec-GPC 表达了对这个提案的响应, 它也是第一个支持该特性的浏览器.

DNT 和 Sec-GPC 的意义

对互联网用户而言, DNT 和 Sec-GPC 不是一个反追踪和隐私保护工具, 比起要达成更深远的隐私保护目的而言, 它只是一种比 "Cookie 确认弹窗" 更进步和现代的技术. 毕竟第三方 Cookie 马上就要走到了末路:

如果您的网站使用第三方 Cookie, 那么当我们即将弃用它们时, 就该采取行动了. Chrome 计划从 2024 年第一季度开始对 1% 的用户禁用第三方 Cookie, 以方便测试, 然后从 2024 年第三季度开始将覆盖范围扩大到 100%. 最终是否扩大到 100% 的用户范围取决于解决英国竞争与市场管理局(CMA)调查的竞争问题.

—— Preparing for the end of third-party cookies - Chrome for Developers [存档]

是第三方 Cookie 消失了吗? 论形式和手段而言确实消失了, 但论达成目的而言并没有, 它们其实是 "逃" 到了新的地方, Google 为这类 "逃离的第三方 Cookie" 设计了一个新的环境: 隐私沙盒(Privacy Sandbox). 但隐私沙盒对用户而言又是一个在对手的规则里进行 "公平对决" 的擂台.

对互联网用户来说, 隐私是一种「筹码」, 是很多互联网服务的隐藏条件, 特别是依赖于对用户数据分析和货币化的公司而言. Google 推进隐私沙盒与第三方 Cookie 形式上的对抗引起的各国反垄断调查的的原因也只是: 隐私沙盒破坏了几乎所有不通过 Google 用于追踪和收集数据的方式(美国), 可能会对传统媒体和其他数字广告市场产生重大影响(英国).

Privacy Sandbox #Antitrust concerns - Wikipedia [存档]

那么, 互联网用户该怎么办?

我们在这之前可以通过主动或被动避开第三方 Cookie, 隐私沙盒之后呢? 遗憾的是, 现在看来最让用户处于最 "主动" 地位的只有法律, 比如 GDPR, 加州消费者隐私法案(CCPA), 加州在线隐私保护法(CalOPPA)甚至美国儿童在线隐私保护法(COPPA).

DNT 和 Sec-GPC 是相对于这些事后的纠纷依据更提前的事前申明, 让用户和平台之间直接进行隐私和数据「筹码」交易的协商, 这种功能和如今的 "Cookie 确认弹窗" 一模一样, 在更远的未来可能会将这种对 "第三方" 的约束扩展到第一方.

正如 DuckDuckGo 的 CEO 所说的 "我们应该选择数据跟踪, 而不是拒绝数据跟踪.", 天下没有免费的午餐, 在互联网上这顿免费的 "午餐" 一切的代价要么是我们的财产要么是我们的隐私, DNT 和 Sec-GPC 是「交易」前的谈判, 隐私保护相关的法律是「交易」破裂后的仲裁. 我们作为互联网的消费者, 应该尽可能多地掌握主动权.

隐私为什么不能算作一种财产呢?