【第三方Cookie替代技术1：FLoC】靠分群取代个人化，用联合学习建立浏览器广告追踪新作法

第三方Cookie禁用不只对广告科技圈带来巨大冲击，Google自己就是全球最大的广告业者，营收超过8成来自广告，这项政策同样对Google带来影响。因此，Google早在2019年就开源发起隐私沙盒（Privacy Sandbox）专案，号召各界提案，积极发展替代的广告追踪技术，希望能在保护用户隐私的同时，也满足广告投放需求。

Google已经将隐私沙盒计划交给万维网国际标准组织W3C，改由一群广告技术供应商组成的网络广告业务小组共同讨论，目标要将新技术推展为网络标准。目前，隐私沙盒已经有30多项提案，每个专案都是用来替代现在目标式广告生态系统中，由第三方Cookie所完成的功能。目标要在用户浏览网页时，确保用户的个人资讯受到保护，且不会被跨网站追踪。

隐私沙盒之所以受到关注，不只因为当中的任何提案，都可能成为Chrome采用的新技术，更因沙盒试图创造了一个空间，来寻找隐私与广告之间平衡的新机会。

隐私沙盒中的第一个提案，就是现在讨论度最高，同时是Google力推的群组联合学习技术（Federated Learning of Cohorts，FLoC）。

在装置上分群，FLoC要以群体偏好向个人投放广告

FLoC是一个用来取代Cookie而设计的关联性广告投放技术，有别于Cookie追踪的是个人的网络浏览行为，FLoC先将类似行为的使用者归类成同一群，观察这群使用者的行为偏好，来对个人投放这个群组偏好的商品广告，将个人行为隐藏在群体中，来保护个人隐私。

技术上，Google利用联合学习来建立FLoC模型，可提供数千种群组（Cohort），每个群组代表着最近拥有类似浏览记录的数千个浏览器。使用者装置上的浏览器，则会根据FLoC模型来归类自己于哪一个群组，且会随着浏览记录不同而改变。分类过程则会透过联合学习的方式，在个人装置上进行运算，让使用者的浏览记录保持私密。

浏览器将用户分类到相应的群组后，当用户打开品牌官网浏览商品，该网站就会向浏览器取得用户所属的群组资讯，并将这个群组资讯告诉广告平台；用户浏览任何媒体时，媒体也会向浏览器取得所属群组资讯，同样提供给广告平台，广告平台就能依据这个群组的偏好来投放商品广告。

根据Google的测试，透过FLoC投放关联性广告的转换成效，可达到使用第三方Cookie成效的95%，虽然具体结果会根据分类算法强度以及受众类型而不同，但已经是一种有效的替代方案。

采用FLoC的广告投放方式，是在浏览器将用户分类到相应的群组后，品牌网站与媒体网站，会分别向浏览器取得该用户所属的群组资讯，并将这个群组资讯告诉广告平台，再由广告平台依据群组偏好来投放商品广告。（图片来源／CC BY 4.0 by Google）

FLoC隐私争议与浏览器支持度成落地挑战

Google今年3月底，先在特定市场展开FLoC测试，4月释出的Chrome 90，也首度嵌入隐私沙盒控制功能。Google也开始与第三方业者合作测试FLoC，比如Twitter先前被揭露，已经在程式码嵌入FLoC算法，与Google广告系统相连结。

不过，自从Google发布FLoC以来，不只多家企业和组织反对，其他主流浏览器也没有支持，Google将第三方Cookie退场期限延后了一年，似乎就是因FLoC上路备受挑战之故。

电子前线基金会（EFF）就指出，FLoC技术仍有两大问题未解决，一是助长指纹识别，二是会跨脉络（Cross-context Exposure）泄漏用户资讯。EFF指出，FLoC的分组机制虽然将用户隐藏在群组中，但因FLoC已经先对使用者分群，因此网站只需透过用户的FLoC ID，加入其他相关联的资料，反而更容易对特定用户建立唯一指纹。

另外，FLoC分群机制还可能让网站透过浏览记录的特定资讯，反向推算出某群组使用者的组成，比如某个群组可能大多为年轻、女性和黑人用户。这带来的问题是，用户造访的每个网站时，甚至不需要进行跨站追踪，就能在第一次接触用户时了解对方是哪一类型的人。EFF认为，用户有权在不同的脉络下展示不同的身份，但FLoC破坏了资讯分离性，向所有网站提供相同的行为摘要。

EFF也提醒，虽然Google强调，FLoC不会与Google或任何人分享个别装置的浏览记录，但是，“当你在默认启用时，Google Sync就已经与Google分享了用户详细的Chrome浏览记录。”

富盈数据技术长周并弘也持同样观点，指出FLoC本身在装置上进行运算时，看似不会搜集用户资讯，但还是需将Chrome搜集到的数据与云端数据库比对，才能进行分群。这个机制本身就显示了Google说法的疑虑。

基于这些问题，EFF公开反对Google的FLoC技术，今年4月更发布了反FLoC追踪的网站“Am I FLoCed?”，用来检查用户的浏览器是否成为了FLoC的实验品。

除了EFF，浏览器业者也纷纷出面反对FLoC技术，如隐私浏览器Brave、Vivaldi都表态不支持，Firefox也宣布暂不加入测试。DuckDuckGo则是推出Chrome扩充套件，让使用者可以停用FLoC。微软Edge虽然未正面表态是否实作FLoC技术，但已在隐私沙盒中发表名为PARAKEET的方案，显示现阶段不会跟进FLoC。

The Trade Desk香港总经理颜任廷观察，多数浏览器业者不表态支持，是FLoC面临的一大挑战。而且，FLoC技术只能用于浏览器中，无法成为跨浏览器、跨平台、跨App的ID追踪方案，仍有其局限性。

不只广告投放，隐私沙盒还要找成效转换、防诈骗流量、防指纹追踪新作法

除了FLoC，隐私沙盒不少提案也陆续展开测试。尤其第三方Cookie退场后，追踪者可能会透过其他手法来识别用户，比如透过用户装置的IP地址，试图在用户不知情或无法选择退出的情况下，追踪用户资讯。Gnatcatcher提案就是试图透过全球网络位址转换（Network Address Translation），结合受信任与经审核过的CDN及代理服务器（HTTP-Proxy），在不干扰网站正常运作的情况下，遮蔽用户IP以保护其隐私。

避免用户身份被识别的另一个作法，是限制网站可以存取的用户资料量。对此，Chrome也提出了隐私预算专案（Privacy Budget），让用户浏览器设定一个配额，限制每个网站透过用户浏览器来取得的总资讯量，来确保用户身份不会被识别出来。这是与FLoC相搭配的提案，以避免追踪者取得过多用户浏览资讯，进而从一个群组数千名用户辨识出单一个人的风险。

或像是用来衡量点击转换率的事件级迭代API正进入测试阶段。这个提案试图透过引入噪声与限制API一次可以分享的转换资料量，建立一个不需要像过去得靠第三方Cookie来计算广告转换成效的作法。由于广告主可搜集的资料减少，广告主也必须排序，哪些转换率对他们来说更重要。

另外还有Google去年发布的FLEDGE提案，可用来建立一个储存广告活动出价与预算等资讯的“信任服务器”，要让广告公司运用自带服务器（Bring Your Own Server）的模式，进行广告媒合与投放。

在防止广告诈欺方面，Google有一个提案是信任令牌API（Trust Token），不需要暴露用户身份的情况下验证用户是否为真人。透过信任令牌，网站可以向信任的用户颁发加密令牌，令牌会被储存在用户的浏览器中，当用户前往其他不信任用户的网站时，令牌会被兑换，来验证用户的真实性，借此将一个网站对用户的信任，传递到另一个网站。这些信任令牌无法被用来识别个人身份，且经过加密签名，无法被伪造。

隐私沙盒也新增了一项WebID专案，要在Chrome中新增WebID识别机制，来取代Email登入网络服务。WebID是一个能代指用户的统一资源标识符（URI），透过用户与公钥的关联性，来识别出单一用户，作为用户登入网络服务的验证基础。这与苹果在iCloud推出Hide My Email的意图相同，都是要避免用户的Email资讯被服务供应商搜集后，被用于用户跨站行为的识别与追踪。