《华尔街日报》调查发现美国州政府网站使用TikTok追踪器

华盛顿——根据一家网络安全公司的最新报告，超过二十个州政府在其官方网站上使用了由TikTok母公司字节跳动有限公司开发的网络追踪代码，这凸显了美国监管机构在限制这款广受欢迎的中资应用进行数据收集活动时所面临的困难。

总部位于多伦多的Feroot Security公司对超过3500家企业、组织和政府实体的网站进行了审查，发现TikTok母公司的所谓追踪像素出现在27个州的30个美国政府网站上，其中包括一些已禁止州网络和设备使用该应用的州。Feroot在今年1月和2月收集了这些数据。

这些代码的存在意味着美国各地的州政府无意中参与了一家外资公司的数据收集活动，而拜登政府高级官员和两党议员都表示，这可能对美国国家安全和美国人隐私构成威胁。

管理政府网站的管理员使用这些像素来帮助他们衡量在TikTok上购买的广告效果。这有助于政府机构确定有多少人在社交媒体应用上看到了广告并采取了某些行动——比如访问网站或注册服务。这些像素的广泛使用为数据收集提供了另一个渠道，而不仅仅是TikTok流行的移动应用，后者在华盛顿越来越受到抨击，认为它可能是中国政府收集美国人数据的一种方式。

报告显示，TikTok的数据追踪器出现在30个美国州政府网站上。图片来源：Alyssa Schukar/华尔街日报Feroot首席执行官伊万·察林尼表示，TikTok的像素代码"可能在您更新驾照、缴纳税款或填写医生表格时监视并记录您的行为"，他补充说这些代码应从收集个人信息的政府机构和公司网站上移除。

“与其他平台类似，我们从广告商处获得的数据用于提升广告服务效果，“TikTok女发言人表示，“我们的条款要求广告商不得与我们共享特定数据，并持续与合作伙伴协作防止此类数据的意外传输。”

TikTok此前强调，其用户数据存储在美国而非中国。该公司承诺投入15亿美元实施保护美国用户数据计划，防止中国政府获取或影响其数据及内容。

将于本周晚些时候出席国会听证会的TikTok首席执行官周受资在周二发布的视频中透露，该应用拥有1.5亿美国用户，较此前"超1亿用户"的笼统表述更为精确。“某些政客已开始讨论封禁TikTok，这意味着你们1.5亿人可能将失去它，“他呼吁用户在平台上分享"喜爱TikTok的理由”，以便他在听证会上引用。

追踪像素，又称网络信标，在商业网站上无处不在。这些免费的软件代码片段旨在通过记录访问者与网站的互动（如点击内容和访问时长）来支持数字营销和广告。

这类像素通常由社交媒体平台创建，例如拥有Facebook和Instagram的Meta Platforms公司，或是广告技术巨头谷歌（Alphabet旗下子公司）。但随着TikTok近年来的崛起，字节跳动一直在打造一个旨在与美国社交媒体服务竞争的广告业务，其像素代码已开始出现在众多面向美国消费者的网站中。

网络安全专家表示，虽然网络追踪像素表面目的是更精准地投放广告，但也存在隐私威胁。这些像素有时可被配置为收集用户在网站上输入的数据，如用户名、地址等敏感信息。当足够多的网站部署了足够多的像素时，运营这些像素的公司就能拼凑出个人用户跨网站浏览行为，构建其兴趣与上网习惯的详细画像。

2022年12月，即将离任的马里兰州州长拉里·霍根禁止州政府网络及设备使用字节跳动软件。照片：Steve Ruark/美联社《华尔街日报》复现了Feroot的部分调查结果，在马里兰州卫生部新冠网站和犹他州政府一个旨在帮助求职者的网站代码中发现了TikTok跟踪像素。这两个州近月来均发布行政命令，禁止在州政府设备及网络上使用该应用，但截至上周，跟踪像素仍存在于这两个官方网站中。

在《华尔街日报》联系后，犹他州和马里兰州移除了该像素。

“我们与广告代理商合作开展教育活动，向犹他州居民介绍如何获取有助于找到更好工作的项目资源，例如额外培训或获得普通教育文凭。”犹他州劳动力服务部发言人表示。她称该像素曾用于此类宣传活动。

马里兰州卫生部发言人表示，其网站上的像素是8月启动的广告活动一部分，州政府正在调查该活动结束后像素仍留存的原因。发言人称已于3月17日移除该像素。去年12月，即将离任的州长Larry Hogan发布网络安全紧急指令，要求从州政府网络及设备中移除字节跳动的软件。

政府网站出现TikTok跟踪代码，凸显了那些将这款中国应用视为潜在数据安全威胁的人士面临的挑战。两党议员正考虑实施全国禁令，但单纯从美国智能手机上移除该应用并不能阻止所有数据追踪活动。美国消费者报告去年曾在亚利桑那州政府网站等多个站点发现TikTok像素。

除了TikTok，Feroot还在一些州政府网站上发现了来自中国企业的跟踪像素，如拥有微信的腾讯控股有限公司、微博公司以及阿里巴巴集团控股有限公司。此外还有来自俄罗斯企业的像素，例如网络安全公司卡巴斯基。该公司产品曾因间谍活动担忧在特朗普执政期间被禁止用于美国民用和军事联邦网络。

根据Feroot报告，许多顶级网站（无论是政府还是企业网站）中存在的像素经常将数据传输到包括中国在内的境外地点。报告称，Feroot检查的网站中约有5%的跟踪像素由外国公司编写。官员们指出，数据流向美国的对手国家——尤其是在威权政府可以强制从私营企业获取大量数据的司法管辖区——对美国人隐私构成威胁。

Feroot发现，其研究的网站平均嵌入了超过13个像素。谷歌的像素远比其他公司更为普遍，92%的被检网站嵌入了某种谷歌跟踪像素。约50%的被检网站含有微软公司或Facebook的像素。TikTok像素出现在不到10%的被检网站中。

数据安全公司Feroot Security调查发现，谷歌跟踪像素嵌入在92%的被检网站中。图片来源：Marlena Sloss/彭博新闻隐私倡导者长期以来一直对像素追踪技术的泛滥表示担忧，无论其来源如何。电子隐私信息中心执行主任艾伦·巴特勒表示，这些数据可用于识别个人、在物理和数字空间追踪他们，并使他们面临常见的网络安全威胁，如网络钓鱼尝试和虚假信息。

巴特勒称：“任何使用跟踪像素来监控人们在网络上浏览行为的社交媒体平台、数据经纪商或广告服务，都侵犯了访问这些网站用户的隐私。这种情况在政府网站上尤其令人不安，因为当人们试图获取必要的信息和服务时，他们正在被追踪。”

 广告技术因其潜在的侵犯隐私和被对手利用可能危害国家安全的双重风险，正日益引发州和联邦立法者的关注。

据知情人士透露，中国和俄罗斯经常通过空壳公司和代理机构从展示广告的交易平台获取营销和消费者信息。这类广告交易平台的代码几乎运行在地球上每部手机上，能够收集大量设备信息。禁用TikTok并不能解决这些数据收集问题，因为大量数据可被商业获取，而美国缺乏全面的隐私保护法律。

在许多情况下，此类数据可用于根据设备向天气或游戏等应用程序提供的位置信息获取设备的精确地理位置。在其他情况下，这些数据可被用于提取有用信息，从而发动更复杂的网络攻击。据熟悉情报能力的消息人士和《华尔街日报》查阅的文件显示，国家行为体也可利用此类系统投放定向恶意软件。

作为1月通过的一项重大国防法案的一部分，国会要求情报机构对"外国对手通过广告技术数据进行追踪"的情况进行评估。据国会官员称，该报告尚未提交给国会。

联系拜伦·陶，邮箱：[email protected]；联系达斯汀·沃尔兹，邮箱：[email protected]

本文刊登于2023年3月22日的印刷版，标题为《各州政府网站植入字节跳动追踪器》。