2026 年 4 月,多伦多大学公民实验室(The Citizen Lab)发布了一份重磅调查报告,披露了由以色列公司 Cobwebs Technologies 开发、现由 Penlink 销售的大规模地理位置监控系统 Webloc。这套系统利用移动应用和数字广告生态系统中流转的用户数据,为政府机构和执法部门提供对数百万人实时和历史的地理位置监控能力。这一发现将长期存在于数字广告行业的数据滥用问题推到了公众视野的中心,暴露出一个长期被忽视的隐私与公民自由隐患。
广告情报(ADINT)的技术本质
公民实验室将这类基于商业广告数据进行监控的技术统称为 “广告情报”(Advertising Intelligence,简称 ADINT),这一术语据报最早由监控行业自身提出。Webloc 正是 ADINT 技术的典型代表,其核心原理是将原本用于精准广告投放的用户数据,重新定向用于政府监控和执法调查。这种数据用途的转变引发了严重的法律和伦理问题。
从技术实现角度来看,Webloc 获取数据的渠道主要有两种。第一种是通过实时竞价(Real-Time Bidding,RTB)系统获取。每当用户在手机上打开一个嵌入了广告的应用或访问一个带有广告的网页时,系统会在不到一秒钟的时间内进行一场拍卖,数十甚至数百家数字营销公司会在这场拍卖中收到该用户的数据,包括设备标识符、位置信息、浏览偏好等。据报告估计,一位普通欧洲公民的数据每天会被广播给数百个未知方数百次。第二种是通过嵌入在移动应用中的第三方软件开发工具包(SDK)获取。许多应用 —— 无论是游戏、天气应用还是社交应用 —— 都内置了来自第三方的追踪软件,这些软件以 SDK 的形式集成到应用中,开发者借此实现广告变现或用户分析功能。监控厂商通常从数据经纪人那里直接购买这些通过 SDK 收集的数据。
无论数据来源于 RTB 还是 SDK,原始数据的典型构成包括:移动广告 ID(Mobile Advertising ID,MAID)—— 这是一个分配给手机或其他移动设备的唯一标识符、时间戳、地理位置坐标、设备信息(如设备型号、操作系统版本、语言设置)、以及用于广告定向的用户画像信息,如年龄、性别、兴趣爱好、购买行为等。值得注意的是,美国联邦贸易委员会(FTC)近期已明确澄清,移动广告 ID 在市场上并不提供匿名性,因为 “许多” 企业 “经常” 将广告 ID 与用户的姓名、地址和电话号码等个人信息关联起来。
Webloc 的技术架构与监控能力
根据公民实验室获取的泄露技术文档,Webloc 系统能够持续访问来自全球约 5 亿台移动设备的实时地理位置数据流。这些数据每 4 至 24 小时更新一次,系统保留了最长三年的历史数据。系统支持多种查询和分析功能,包括针对特定已知移动设备 ID 的位置记录查询、在一个或多个指定区域内被观察到的所有设备的记录检索(geofencing/perimeter 查询)、以及当被监控设备出现在新位置或新设备进入监控区域时的实时警报功能。
Webloc 界面展示的典型监控案例包括:一名位于阿布扎比的男性用户,其手机上安装的 141 个应用中,有 81 个在五天内发送了不同的 GPS 坐标此外还有 110 次基于 Wi-Fi 定位的记录,系统对其位置的跟踪每天最多可达 12 次。另一个案例显示,系统成功追踪了一名从德国经奥地利前往匈牙利的人员,基于 39 条历史位置记录(系统实际记录了 500 条)。更值得关注的是,系统具备热力图功能,能够清晰展示某台设备在白天和夜间的典型位置分布。技术文档明确指出,可以 “据此安全地推断” 用户的家庭住址和工作地点。
在数据关联方面,Webloc 的 "Cross Analysis – Connections" 工具能够基于用户访问过的地点揭示设备之间的关联性。这一功能使得调查人员可以识别出经常出现在同一地点的多个设备,从而推断出家庭成员关系或社交网络。系统还可以将位置记录与 Google 街景视图叠加展示,进一步便利了实地监视行动的策划。
值得注意的是,Webloc 不仅仅是位置追踪工具。它实际上是一个综合性的用户画像系统,能够将位置数据与丰富的行为特征数据进行关联。根据 2021 年的技术文档,系统收集的数据类别包括:移动设备广告 ID(同时支持 Android 的 GAID 和 iOS 的 IDFA)、IP 地址、时间戳、GPS 坐标、Wi-Fi 定位(包括 SSID 和 BSSID)、设备制造商和型号、操作系统版本、用户年龄和性别、语言设置、用户画像标签(如 “通勤族”、“家长”、“游戏玩家”、“旅行者” 等广告定向类别)、以及手机上安装和使用的应用程序列表。
数据供应链的模糊地带
尽管公民实验室投入了大量资源调查 Webloc 的数据供应链,但该供应链的具体运作方式仍然不透明。报告指出,Webloc 的数据可能来自 SDK 来源、RTB 来源或两者的组合,数据可能通过直接或间接的方式从其他数据经纪人处获取。Penlink 在回应公民实验室时声称,其 “从提供商处获取位置数据,这些提供商通过 SDK 获得用户对位置数据共享的同意,并按照 FTC 的要求从数据集中过滤敏感位置”,但这一说法无法得到独立验证。
从技术分析来看,2021 年的文档显示 Webloc 确实通过移动应用 SDK 获取数据,因为系统展示了 Wi-Fi 接入点的详细信息(包括 SSID 名称),而 RTB 数据流通常无法访问此类信息。然而,到了 2026 年,数据供应链可能已经发生变化。监控技术供应商获取数据的数据经纪人多次被从其应用数据来源中切断,因此供应链处于不断变化之中。
关于数据 “匿名化” 和 “用户同意” 这两大法律依据,学界和监管机构普遍持怀疑态度。欧洲模式下,根据 GDPR,位置记录和与广告 ID 或其他个人标识符关联的行为数据并非匿名数据,而是个人数据。GDPR 对 “知情同意” 设置的高标准使得从移动应用开发商、广告商到监控供应商这一整条供应链上的任何参与者,都难以依靠有效同意来为将出于运营应用或投放广告之目的收集的数据用于监控目的进行辩护。在美国,FTC 最近在针对多家数据经纪人的执法行动中明确认定,其位置数据销售属于违法的不公平商业行为。
客户网络与全球部署现状
公民实验室的报告详细披露了 Webloc 的客户群体,揭示了令人担忧的广泛部署。在美国,联邦机构中 Immigration and Customs Enforcement(ICE)于 2025 年 9 月至 2026 年 9 月期间购买了最高达 230 万美元的 Tangles 和 Webloc 授权;海军情报办公室(Office of Naval Intelligence)于 2021 年购买了 Webloc 年度授权;陆军太空与导弹防御司令部(USASMDC)于 2022 年通过国防承包商 SAIC 购买了 Tangles 和 Webloc;此外,内政部印第安事务局警察(BIA Police)也签署了相关合同。
在州和地方层面,德克萨斯州公共安全部(DPS)自 2021 年起将 Webloc 用于边境安全巡逻;西弗吉尼亚州国土安全部自 2021 年起运营着一个包含 Webloc 的融合中心;洛杉矶警察局(LAPD)于 2022 年至 2023 年期间使用了该系统;此外还包括达拉斯、巴尔的摩、图森、纽约市地方检察官办公室以及加州埃爾克格罗夫市警察局等。在欧洲,匈牙利国内情报机构(Constitution Protection Office)自 2022 年起使用 Webloc,这被认为是欧洲首次确认使用基于广告的监控技术。在中美洲,萨尔瓦多国家民事警察于 2020 年 12 月以 68 万美元的价格购买了 Tangles、Lynx 和 Webloc。
基于技术分析,公民实验室识别出了与 Cobwebs 产品部署相关的服务器基础设施,遍及至少 21 个国家,包括美国、荷兰、新加坡、德国、英国、以色列、日本、墨西哥、哥伦比亚、印度尼西亚、肯尼亚、阿拉伯联合酋长国、伊拉克和香港。值得注意的是,在 298 台与 Cobwebs 服务器基础设施相关的活跃主机中,有 219 台托管在微软 Azure 数据中心。
隐私风险的量级与性质
Webloc 所代表的风险具有独特的量级和性质。传统的监控手段通常针对特定个人或群体,需要执法部门获得司法授权后才能实施。然而,Webloc 这类系统即使只用于追踪少数目标,也仍然在持续处理大量完全无关人员的敏感数据 —— 每次查询都会触发对整个数据集的扫描。这种 “批量监控” 的特性意味着,即使是出于正当目的的监控行动,也会导致对无辜民众的大规模数据收集。
位置数据的敏感性极高,它可以揭示一个人的家庭住址、工作地点、日常作息规律、就医记录、社交活动和政治倾向。学术研究表明,仅凭几个位置数据点就足以识别出特定个人。即便如 Penlink 所声称的那样过滤了医院、学校和宗教场所等 “敏感位置”,仅仅基于位置模式的分析仍然可以推断出大量敏感信息。公民实验室的报告特别指出,图森警察局(Tucson Police Department)最初购买该系统是用于人口贩运调查,但实际上很快将其扩展用于入室盗窃和抢劫调查,甚至用于监视总统和副总统候选人访问期间的抗议活动 —— 这种 “任务蔓延”(mission creep)现象极为令人担忧。
普通用户的防御选择
尽管面临系统性挑战,普通用户仍然可以采取一些措施来减少数据外泄的风险。在 iOS 设备上,用户在新应用安装时应拒绝 “允许应用在其他公司的应用和网站上跟踪您的活动” 权限,并定期审查已授权跟踪的应用列表。在 Android 设备上,用户可以根据设备厂商和安卓版本的具体情况,在设置中删除广告 ID 或选择退出广告个性化功能。此外,定期审查应用的位置权限和其他敏感权限也是必要的。
然而,公民实验室的报告也客观指出,这些建议措施只能最大程度地减少而非完全阻止应用与第三方共享数据。应用供应商和第三方不断寻找绕过现有保护措施的方法,而 “持久或专有标识符” 等替代追踪技术仍然存在。
结语
Webloc 案例深刻揭示了数字广告生态系统的阴暗面 —— 一个原本为商业目的设计的数据流通基础设施,如何被重新包装并用于政府监控。这不仅是技术问题,更是法律、监管和治理层面的系统性问题。欧洲数据保护机构、美国 FTC 以及各国立法机关正在加强对位置数据销售的监管,但监管的步伐是否能跟上技术滥用的速度,仍然是一个严峻的疑问。在等待监管完善的同时,提升公众对 ADINT 技术的认知,可能是推动变革的最直接动力。
资料来源:The Citizen Lab, "Uncovering Webloc: An Analysis of Penlink's Ad-Based Geolocation Surveillance Tech" (April 2026)