Facebook跟踪所有用户访问记录用于商业目的 或违反欧盟法律

两所比利时大学的研究人员指出，Facebook跟踪所有访问Facebook网站的用户记录，即使这些用户没有Facebook账户也难逃一劫；而且即使他们退出针对性广告，Facebook也会持续跟踪。

来自比利时卢汶大学与布鲁塞尔自由大学的研究人员已发布了对2月份Facebook政策条款分析的更新报告。受比利时隐私委员会委托而写成的这份报告得出一个初步结论：Facebook的行为很可能违反了欧洲法律。

在此基础上，研究人员对Facebook的追踪行为做了进一步的技术分析，主要包括分析诸如“喜欢（like）”按钮（如今它被用于1300多万个第三方网站）等技巧，并测试了广告追踪的退出功能。

“我们发现了非常引人注目的一些新问题，” 来自比利时卢汶大学法律和信息通信技术跨学科中心的法律研究人员Brendan Van Alsenoy表示。

例如，报告指出，Facbook在每个浏览facebook.com域名下网页的用户浏览器中安装了一个cookie，即使非Facebook用户也未能幸免于难。Facebook所安装的cookie名字为“datr”，它包含一个有效期为两年的唯一识别符。

Facebook用户同时也会得到一系列可唯一识别用户身份的其他cookie。

一旦这些cookie被安装，Facebook就会在用户每次访问每个包含Facebook社交插件的网站中收到相关信息，包括网页的URL地址、浏览器信息、以及操作系统等。

这就意味着Facebook默认跟踪所有非Facebook网站的用户访问记录，且用于广告目的。即使用户退出广告也无济于事。安全研究人员指出，即使用户没有Facebook账户并且退出欧洲数字广告联盟网站的针对性广告，也会被跟踪。如果用户退出，Facebook会安装同样的唯一识别符“datr”cookie。

Van Alsenoy表示，Facebook将追踪cookie安装在了欧洲的选择性退出（opt-out意指未经用户事先同意而发送的广告）网站上，但并未在美国及加拿大安装。

报告指出，Facebook还会对用户进行广泛追踪。即使Facebook用户禁用了自己的账号，Facebook仍然会收到唯一识别之前用户的cookie。

此外，如果用户退出追踪，Facebook仍然会接收到含有Facebook社交插件的外部网站访问记录。唯一的变化之处是，Facebook承诺不再将这些信息用于针对性广告中，但Van Alsenoy表示研究人员根本无法验证这一说法。

这些行为产生的一个问题是，这些cookie是在未经用户同意的情况下安装的，而欧盟法律规定只有在非常严格的必要情况下才可这样做。Facebook表示，“datr”cookie在Facebook安全性及站点完整性方面起着关键作用。然而，Van Alsenoy指出，鉴于当用户试图退出针对性广告时，“datr”cookie只用于欧盟，但在类似情况时并没有在美国及加拿大使用，因此很难相信这个cookie对于确保网站的安全有严格的必要性。

研究人员指出，若不希望自己被针对性广告追踪，可使用浏览器扩展如Privacy Badger、Ghostery以及Disconnect，以阻拦追踪行为。

Facebook反驳了报告的说法。“这份报告存在事实性错误，”一名Facebook发言人在早先的一份声明中指出，在报告的早期草案公布之时已向比利时隐私委员会对这些事实性错误进行了更正。

根据Facebook的说法，对登出用户使用cookie是一种标准，也是一种可接受也合乎法律的行为，多年来Facebook以及其他网站都是这样做的。Facebook指出Facebook也使用了这些cookie，目的是为了识别并禁用垃圾邮件发送者、恢复账户信息、提供额外的安全功能如登录通知及登录许可等。Facebook还利用这些cookie发送、筛选、评估、衡量、并理解在Facebook上架及下架的广告，包括由或代表广告子公司或合作伙伴的广告。

Facebook表示，之所以对非Facebook但访问了Facebook.com的用户也安装了cookie，是为了保护Facebook服务及使用该服务的人们免受恶意活动的攻击。这些cookie可帮助人们检测及阻止DOS攻击、及创造大量虚假账户的行为。

Facebook坚称更新后的政策符合欧盟法律，并表示公司与欧盟法规制定者即爱尔兰数据保护专员定期对产品及政策更新进行审议。

不过，Facebook还需要跟其他国家隐私机关进行交涉。比利时、荷兰及一家德国隐私机构均开始启动对Facebook政策变化的调查，并且这三个国家在二月份组建一个任务小组来检查这些政策是否可能违反了欧盟的隐私法律。

比利时隐私委员会表示，这三个国家的相关机构将会参考这份研究报告，但现在得出任何结论还为时过早。比利时隐私委员会希望：如果结果证明Facebook违反了欧盟法律，希望双方能达成友好协议；反之，在极端情况下也可能会起诉Facebook。

本文由测腾代码卫士编译，不代表测腾观点，转载请注明“转自测腾代码卫士www.codesafe.cn”。