从注意力经济到人类目标锁定经济
使现代数字广告进入情报领域的不是道德沦丧,而是其技术架构的结构性特征。程序化广告被设计用来优化一个简单功能:通过汇总个人及其环境的最大可用信号,在"正确时刻"识别"正确的人"并向其推送"正确信息"。
为此,广告技术生态系统增加了多种传感器:收集精确地理位置的应用程序SDK、持久广告标识符、终端指纹、浏览历史、上下文数据(Wi-Fi网络、时间安排、通过频率等)。所有这些都被注入实时竞价流(RTB),自动化平台在几毫秒内评估在给定时刻在给定屏幕上显示横幅广告的"价值"。
参见我之前的文章:现代数字广告的技术经济基础
这些大量数据流随后被一系列中介机构捕获、转换和转售:广告代理商、聚合商、数据管理平台(DMP),然后是将这些信号重组为"细分市场"和"受众"的数据掮客。正是这些为优化点击率和销售而设计的相同数据流,一旦脱离其营销目的,就成为传统情报手段难以达到的精确人类目标锁定的原始材料。
广告情报如何将广告转化为实地传感器
广告情报(Adint)是指以广告层作为传感器进行情报收集,而无需在目标终端上部署特定的间谍软件。从技术上讲,广告情报服务提供商无需"入侵"手机:他们只需购买广告行业已经在流通的数据流访问权限即可。
在典型场景中,服务提供商:
- 从数据掮客或市场平台获取包含移动广告标识符(MAID、IDFA、GAID等)的数据流,这些标识符与地理坐标、时间戳和最少元数据相关联;
- 在一段时间内关联这些数据流以重建轨迹:居住地、工作地、路线、习惯、频繁通过点;
- 应用地理过滤器:例如,所有在军事基地、大使馆、部委、战略研究中心或宗教场所或政治集会场所周边观察到的终端;
- 构建可能属于感兴趣目标(情报人员、外交官、官员、政治反对派、记者、活动人士)的设备"监视名单"。
一旦识别出这些设备,广告情报的威力在于它们无论移动到哪里都会日复一日地持续为广告数据流提供信息。无需任何搜查令,无需电信运营商征用,购买服务的机构可以潜在跟踪:
- 敏感人员的日常活动;
- 他们访问被认为有风险的场所(与消息源会面、参加政治会议、与非政府组织接触、在专业诊所就诊等);
- 定期出现在同一受限区域的人员"集群",揭示网络、小组、秘密会议。
这种机制不仅限于尊重民主问责链的国家。同一服务提供商可以向受法律约束的欧洲服务机构和专制政权的内部安全部门出售这些能力的访问权限,技术上没有差异,背景审查几乎不存在。
数据掮客的关键作用:系统性妥协
数据掮客是核心妥协点,因为他们在数据改变状态的确切位置运作:数据不再是广告链的原始流,而是成为结构化、可查询、可供第三方使用的资源。
他们的模式基于几个有问题的特征:
时间积累:广告代理商只"看到"孤立的展示,而数据掮客则在长时间内记录数百万事件。在六个月、一年甚至更长时间后,可以重建设备移动的完整历史。
交叉丰富:同一广告标识符与其他来源(浏览数据、购买、来自其他SDK的地理位置信息、哈希电子邮件数据库等)相关联。终端变成配置文件,这个配置文件有时变成身份,即使在合同中仍保持匿名。
合同不透明:访问条件各不相同,但通常集中在"营销"或"分析"使用条款上。实际上,没有什么能阻止情报部门通过商业掩护(空壳公司、本地承包商、集成商)操作以获取完全标准化的数据集。
全球范围:这些掮客不购买"国家"数据而是全球数据流,涵盖大型平台或国际市场。一旦手机哪怕只一次暴露于使用其合作伙伴的活动,无论在哪个国家,它都会进入他们的数据库。
对于购买国而言,这种配置是理想的:
- 不直接依赖移动运营商或电信设备商,因此外交摩擦较少;
- 无需在实地投资重型收集能力;
- 可以将这些广告技术数据与自己的数据库(乘客档案、行政数据库、合法拦截)交叉比对以进一步去匿名化。
然而,对于目标国来说,这是一个噩梦:敏感人员、民选官员、行政干部或民间社会参与者的行程和习惯最终出现在敌对服务机构可以通过简单购买访问的数据库中,有时通过多个中介。
客户国、目标国:输入的漏洞
当西方服务机构外包或向外国公司购买广告情报能力时,他们实际上是在输入漏洞。外部承包商:
- 看到通过的查询、目标地理区域、搜索参数,这些隐式描述了被认为具有战略意义的区域、基础设施和配置文件;
- 可以推断操作优先级、部署模式、事件之间的关联;
- 实际上保持对数据管道和所使用模型的技术控制,即使客户拥有"专用"界面或实例。
在这些承包商位于其安全部门对国内企业基础设施享有合法或非正式访问权的国家的情况下,广告情报成为主权问题。风险不再仅仅是公民数据被第三方合作伙伴利用,而是外国服务机构可以通过观察其他国家自己的广告情报使用情况来绘制其操作面("谁去哪里、何时、与谁")。
在另一个极端,不太关心基本权利尊重的国家可以使用这些相同服务来目标锁定:
- 政治反对派和散居侨民活动人士,通过简单观察其终端在收留国进行跟踪;
- 在其领土或冲突区域的记者和非政府组织,通过其在某些区域的通过被发现;
- 宗教或种族少数群体,通过光顾宗教场所、协会、特定社区被识别。
在这些配置中,最初"中性"的广告技术链成为可随意目标锁定的大规模监控装置,没有本地或国际司法控制。公民同意的概念不再有任何相关性:终端"同意"为天气服务或游戏共享位置,但信息随后传递给不对任何独立法官负责的人。
对DSI、RSSI和公共官员的操作影响
对于行政部门的DSI、部级RSSI或重要运营商的信息系统安全负责人,广告情报和数据掮客的妥协要求重新考虑移动政策和应用程序组合管理。代理人、民选官员、法官、警察、军人的智能手机不再仅仅是需要对抗恶意软件的"安全"终端:它们是移动广告信标。
一些直接后果:
-
主要风险不是攻击,而是结构性泄漏
即使没有感染,手机也会通过广告层持续发射地理位置信号。GDPR制裁和隐私政策不足以遏制这种现象,因为大部分泄漏发生在供应商-用户双边关系之外。 -
"无害"应用程序成为传感器
免费游戏、天气应用、可疑VPN、手电筒或电池优化工具通常充满广告SDK。正是它们传输广告情报利用的大部分信号。专注于"专业应用程序"而不处理其余设备组合的使用章程留下了巨大漏洞。 -
如果不严密,专业/个人分离是不够的
BYOD或双用途终端将敏感代理人的私人行程和习惯暴露给相同的广告链。带着公务手机和"健谈"个人手机回家的代理人允许广告情报参与者通过观察其系统性共定位来交叉比对两个配置文件。 -
公共移动数据可以被关联
访问卡、连接日志、公务车辆移动轨迹可以被对手与其通过广告情报观察到的内容交叉比对,增强其将广告标识符归属于真实身份的能力。
限制暴露的实用行动轴
在这个领域,纯粹的监管话语是不够的:制裁机制总是相对于承包商的创新和外国服务的使用来得太晚。对于决策者来说,首先要提前减少攻击面,然后并行处理更结构性的公共政策杠杆。
在技术和组织层面:
敏感终端的限制性应用政策
暴露人员(情报、外交、高级公务员、法官、警察、军队、战略监管机构)的公务终端必须被视为广告SDK的"禁区"。这意味着对授权应用程序的严格选择、系统验证广告和分析SDK的存在,以及对这些终端禁用大众应用商店。
分区和加固设备
高风险配置文件必须拥有分区终端:无广告技术、加固、可能限于应用程序白名单的公务手机,以及可能明确分离、使用受约束的个人终端。前者绝不能用于私人用途(社交网络、游戏、在线购物等)。
激进的广告和位置参数配置
通过MDM配置禁止个性化广告、跨应用跟踪和非必要应用程序的位置访问,大大减少了广告情报可利用的信号量。这不会消除风险,但会大大降低重建轨迹的粒度。
目标感兴趣配置文件的针对性敏感化
在敏感区域移动或担任战略职能的代理人必须专门接受广告情报风险培训:避免哪些应用程序、如何禁用不必要服务、为什么在某些区域永久开机的手机会成为第三国可访问的广告跟踪器。
在政治和监管层面:
数据掮客的具体框架
数据掮客必须从监管盲区中移出并成为具体制度的对象:对销售数据量和类别的透明义务、禁止向某些类型客户(位于风险司法管辖区的空壳公司、已识别的情报承包商)销售、独立审计。
公共合同中的主权条款
涉及广告数据流的公共合同(国家传播活动、公共数字服务运营商)必须纳入限制向受激进域外立法约束的参与者转移的条款,并禁止向未经批准的掮客转售。
有针对性的国际合作
可信的数字主权政策通过与其他暴露国家合作绘制广告情报承包商地图、共享妥协指标("广告"IOC),并在适当情况下将某些参与者列入制裁或出口限制名单。
国家安全的范式转变
广告情报和数据掮客的妥协标志着一个转折:威胁不再仅仅来自核心网络设备或关键软件,而是来自在未将自己视为情报基础设施的情况下构建的"辅助"数据经济。
对于DSI、RSSI、政治决策者,结论很简单:
- 像对待电信供应商、云超大规模供应商或设备制造商一样,将广告链和数据掮客视为战略暴露面;
- 一旦涉及代理人或关键基础设施,就将广告地理位置视为国家安全数据;
- 将广告情报风险纳入理论、培训、安全审计和外交仲裁。
只要敏感人员的终端继续不受控制地为全球广告市场提供信息,最好的数据保护法律仍将基本上是理论性的。掌握广告技术链和重新控制数据掮客不再是纯粹的"数字"主题:它们现在是主权、反干预以及对某些国家来说是保护其最暴露公民生命和自由的问题。
