《華爾街日報》調查發現美國州政府網站使用TikTok追蹤器

華盛頓——根據一家網絡安全公司的最新報告，超過二十個州政府在其官方網站上使用了由TikTok母公司字節跳動有限公司開發的網絡追蹤代碼，這凸顯了美國監管機構在限制這款廣受歡迎的中資應用進行數據收集活動時所面臨的困難。

總部位於多倫多的Feroot Security公司對超過3500家企業、組織和政府實體的網站進行了審查，發現TikTok母公司的所謂追蹤像素出現在27個州的30個美國政府網站上，其中包括一些已禁止州網絡和設備使用該應用的州。Feroot在今年1月和2月收集了這些數據。

這些代碼的存在意味着美國各地的州政府無意中參與了一家外資公司的數據收集活動，而拜登政府高級官員和兩黨議員都表示，這可能對美國國家安全和美國人隱私構成威脅。

管理政府網站的管理員使用這些像素來幫助他們衡量在TikTok上購買的廣告效果。這有助於政府機構確定有多少人在社交媒體應用上看到了廣告並採取了某些行動——比如訪問網站或註冊服務。這些像素的廣泛使用為數據收集提供了另一個渠道，而不僅僅是TikTok流行的移動應用，後者在華盛頓越來越受到抨擊，認為它可能是中國政府收集美國人數據的一種方式。

報告顯示，TikTok的數據追蹤器出現在30個美國州政府網站上。圖片來源：Alyssa Schukar/華爾街日報Feroot首席執行官伊萬·察林尼表示，TikTok的像素代碼"可能在您更新駕照、繳納税款或填寫醫生表格時監視並記錄您的行為"，他補充説這些代碼應從收集個人信息的政府機構和公司網站上移除。

“與其他平台類似，我們從廣告商處獲得的數據用於提升廣告服務效果，“TikTok女發言人表示，“我們的條款要求廣告商不得與我們共享特定數據，並持續與合作伙伴協作防止此類數據的意外傳輸。”

TikTok此前強調，其用户數據存儲在美國而非中國。該公司承諾投入15億美元實施保護美國用户數據計劃，防止中國政府獲取或影響其數據及內容。

將於本週晚些時候出席國會聽證會的TikTok首席執行官周受資在週二發佈的視頻中透露，該應用擁有1.5億美國用户，較此前"超1億用户"的籠統表述更為精確。“某些政客已開始討論封禁TikTok，這意味着你們1.5億人可能將失去它，“他呼籲用户在平台上分享"喜愛TikTok的理由”，以便他在聽證會上引用。

追蹤像素，又稱網絡信標，在商業網站上無處不在。這些免費的軟件代碼片段旨在通過記錄訪問者與網站的互動（如點擊內容和訪問時長）來支持數字營銷和廣告。

這類像素通常由社交媒體平台創建，例如擁有Facebook和Instagram的Meta Platforms公司，或是廣告技術巨頭谷歌（Alphabet旗下子公司）。但隨着TikTok近年來的崛起，字節跳動一直在打造一個旨在與美國社交媒體服務競爭的廣告業務，其像素代碼已開始出現在眾多面向美國消費者的網站中。

網絡安全專家表示，雖然網絡追蹤像素表面目的是更精準地投放廣告，但也存在隱私威脅。這些像素有時可被配置為收集用户在網站上輸入的數據，如用户名、地址等敏感信息。當足夠多的網站部署了足夠多的像素時，運營這些像素的公司就能拼湊出個人用户跨網站瀏覽行為，構建其興趣與上網習慣的詳細畫像。

2022年12月，即將離任的馬里蘭州州長拉里·霍根禁止州政府網絡及設備使用字節跳動軟件。照片：Steve Ruark/美聯社《華爾街日報》復現了Feroot的部分調查結果，在馬里蘭州衞生部新冠網站和猶他州政府一個旨在幫助求職者的網站代碼中發現了TikTok跟蹤像素。這兩個州近月來均發佈行政命令，禁止在州政府設備及網絡上使用該應用，但截至上週，跟蹤像素仍存在於這兩個官方網站中。

在《華爾街日報》聯繫後，猶他州和馬里蘭州移除了該像素。

“我們與廣告代理商合作開展教育活動，向猶他州居民介紹如何獲取有助於找到更好工作的項目資源，例如額外培訓或獲得普通教育文憑。”猶他州勞動力服務部發言人表示。她稱該像素曾用於此類宣傳活動。

馬里蘭州衞生部發言人表示，其網站上的像素是8月啓動的廣告活動一部分，州政府正在調查該活動結束後像素仍留存的原因。發言人稱已於3月17日移除該像素。去年12月，即將離任的州長Larry Hogan發佈網絡安全緊急指令，要求從州政府網絡及設備中移除字節跳動的軟件。

政府網站出現TikTok跟蹤代碼，凸顯了那些將這款中國應用視為潛在數據安全威脅的人士面臨的挑戰。兩黨議員正考慮實施全國禁令，但單純從美國智能手機上移除該應用並不能阻止所有數據追蹤活動。美國消費者報告去年曾在亞利桑那州政府網站等多個站點發現TikTok像素。

除了TikTok，Feroot還在一些州政府網站上發現了來自中國企業的跟蹤像素，如擁有微信的騰訊控股有限公司、微博公司以及阿里巴巴集團控股有限公司。此外還有來自俄羅斯企業的像素，例如網絡安全公司卡巴斯基。該公司產品曾因間諜活動擔憂在特朗普執政期間被禁止用於美國民用和軍事聯邦網絡。

根據Feroot報告，許多頂級網站（無論是政府還是企業網站）中存在的像素經常將數據傳輸到包括中國在內的境外地點。報告稱，Feroot檢查的網站中約有5%的跟蹤像素由外國公司編寫。官員們指出，數據流向美國的對手國家——尤其是在威權政府可以強制從私營企業獲取大量數據的司法管轄區——對美國人隱私構成威脅。

Feroot發現，其研究的網站平均嵌入了超過13個像素。谷歌的像素遠比其他公司更為普遍，92%的被檢網站嵌入了某種谷歌跟蹤像素。約50%的被檢網站含有微軟公司或Facebook的像素。TikTok像素出現在不到10%的被檢網站中。

數據安全公司Feroot Security調查發現，谷歌跟蹤像素嵌入在92%的被檢網站中。圖片來源：Marlena Sloss/彭博新聞隱私倡導者長期以來一直對像素追蹤技術的泛濫表示擔憂，無論其來源如何。電子隱私信息中心執行主任艾倫·巴特勒表示，這些數據可用於識別個人、在物理和數字空間追蹤他們，並使他們面臨常見的網絡安全威脅，如網絡釣魚嘗試和虛假信息。

巴特勒稱：“任何使用跟蹤像素來監控人們在網絡上瀏覽行為的社交媒體平台、數據經紀商或廣告服務，都侵犯了訪問這些網站用户的隱私。這種情況在政府網站上尤其令人不安，因為當人們試圖獲取必要的信息和服務時，他們正在被追蹤。”

 廣告技術因其潛在的侵犯隱私和被對手利用可能危害國家安全的雙重風險，正日益引發州和聯邦立法者的關注。

據知情人士透露，中國和俄羅斯經常通過空殼公司和代理機構從展示廣告的交易平台獲取營銷和消費者信息。這類廣告交易平台的代碼幾乎運行在地球上每部手機上，能夠收集大量設備信息。禁用TikTok並不能解決這些數據收集問題，因為大量數據可被商業獲取，而美國缺乏全面的隱私保護法律。

在許多情況下，此類數據可用於根據設備向天氣或遊戲等應用程序提供的位置信息獲取設備的精確地理位置。在其他情況下，這些數據可被用於提取有用信息，從而發動更復雜的網絡攻擊。據熟悉情報能力的消息人士和《華爾街日報》查閲的文件顯示，國家行為體也可利用此類系統投放定向惡意軟件。

作為1月通過的一項重大國防法案的一部分，國會要求情報機構對"外國對手通過廣告技術數據進行追蹤"的情況進行評估。據國會官員稱，該報告尚未提交給國會。

聯繫拜倫·陶，郵箱：[email protected]；聯繫達斯汀·沃爾茲，郵箱：[email protected]

本文刊登於2023年3月22日的印刷版，標題為《各州政府網站植入字節跳動追蹤器》。