Wi-Fi路由器公司表示,它们不会跟踪您访问的网站,但它们都会收集和共享用户数据,用于营销。
您家中的Wi-Fi 路由器是您家庭网络的中心枢纽,这意味着来自您屋檐下所有 Wi-Fi 设备的流量都会通过它到达云端。这是大量的数据,所以当你挑选一个数据时,隐私是一个合理的关注点。
问题是,普通消费者几乎不可能收集到太多关于路由器制造商和销售商的隐私行为的信息。数据收集的做法一开始就很复杂,而且大多数隐私政策在揭示这些做法方面做得很差。对于单个制造商来说,培养阅读冗长的法律条款的意愿并非易事,更不用说其中几个了。即使你做到了这一点,你最终可能会遇到比答案更多的问题。
幸运的是,我对细节很感兴趣,在CNET花了几年时间测试和审查路由器之后,大多数制造商都乐于在我有问题时回复我的电子邮件。因此,我开始深入研究这些路由器如何处理数据的细节。
隐私政策的问题
为了找到这篇文章的答案,我梳理了大约3万字的使用条款和其他政策文件——但隐私政策通常不会完全透明地编写。
专注于隐私的电子前沿基金会 ( Electronic Frontier Foundation )的技术专家 Bennett Cyphers 说:“隐私政策真正能做的就是充满信心地告诉你不会发生不好的事情, 但它不会告诉你是否会有什么事情发生。”
“通常,你会看到这样的语言,‘我们收集X、Y和Z数据,我们可能会与我们的业务伙伴共享,我们可能会出于这七种不同的原因中的任何一种而共享’,但是所有这些原因都非常模糊,”Cyphers继续说。“这并不一定意味着该公司正在做你能想象到的最坏的事情,但这意味着如果他们选择用你的数据做坏事,他们就有了掩护。”
他说的没错,我为这篇文章审查的大多数隐私政策都包含大量 Cyphers 所描述的内容,其语言广泛、模糊,实际细节相对较少。更糟糕的是,这些政策中有许多都是涵盖整个公司的内容,包括公司所有产品、服务和网站,以及公司处理销售交易甚至工作申请的数据的方式。这意味着隐私政策大部分内容甚至可能与路由器无关。
然后是长度问题。简而言之,这些隐私政策都不适合快速阅读。其中大部分是用措辞谨慎的法律术语编写的,其目的更多是为了保护公司,而不是通知消费者。一些制造商开始对此有所了解,概述部分旨在用简单的语句总结要点,但即便如此,具体细节通常很少,这意味着用户仍然需要更深入地挖掘细则才能最好地了解用户的数据正在发生的事情。如果公司使用第三方合作伙伴提供威胁检测或虚拟专用网络等附加服务,用户可能需要阅读多项隐私政策,以便充分了解用户的数据。
当我开始阅读所有内容时,所有的这些都是一项艰巨的任务,因此我将注意力集中在为每个制造商寻找几个关键问题的答案上。
我阅读的所有政策都确认相关公司出于营销目的收集了个人数据,但我想知道哪些政策(如果有)跟踪用户的网络活动,包括浏览时访问的网站。我还试图确定是否有任何制造商与他们无法控制的第三方共享他们收集的个人数据,以及他们是否按照《加州消费者隐私法》的定义“出售”个人数据。
*生产Arris网络产品的CommScope声称,它并不出售从产品中收集的数据,而是根据加州法律,它的一些业务操作,包括订单履行和数据分析可能构成销售。您可以在“我的数据是否被出售?”一节中找到更多细节。
我的路由器是否跟踪我访问的网站
Google 针对 Nest Wifi 和 Google Wifi 设备的隐私声明是我从任何制造商那里找到的唯一一项明确声明产品不会跟踪您访问的网站的政策。
你家里几乎所有的网络流量都要经过你的路由器,所以很难想象当你浏览网页时,路由器不会跟踪你所访问的网站。每一个主要制造商都透露,它收集某种形式的用户数据是以营销为目的,但我读的隐私政策几乎没有任何明确语言来回答用户是否应该期望他们的网页历史记录被收集或被记录。
唯一的例外是谷歌。
Google 的 Nest Wifi 隐私支持页面显示:“重要的是,Google Wifi 应用、Google Home 应用的 Wifi 功能以及用户的 Google Wifi 和 Nest Wifi 设备不会跟踪用户访问的网站或收集用户网络上任何流量的内容,” 但是,用户的 Google Wifi 和 Nest Wifi 设备确实会收集与优化用户的 Wi-Fi 性能相关的数据,例如 Wi-Fi 频道、信号强度和设备类型。”
我询问了我为这篇文章调查的其他六家公司,他们是否跟踪了用户访问的网站。虽然他们都没有在他们的隐私政策中说明太多,但其中五个的代表——Eero、Asus、Netgear、TP-Link 和CommScope(制造和销售 Arris Surfboard 网络产品)——告诉我他们的产品不跟踪用户在网络上访问的网站。
“Eero 不跟踪也没有能力跟踪客户的互联网浏览活动,”Eero 发言人说。
“华硕路由器不跟踪用户正在浏览的内容,我们的路由器也不包括定位或广告 cookie,”华硕发言人说。
“Netgear 路由器不会跟踪任何用户的网络活动或浏览历史记录,除非用户选择加入一项服务并且只向用户提供信息,”Netgear 发言人说,并举例说明,比如有些家长想要看到孩子访问过的网站,会使用家长控制功能来监控孩子的网络使用情况,或者使用网络安全功能可以知道哪些网站被自动屏蔽。
TP-Link 还告诉 CNET,它不会以营销为目的收集用户浏览历史记录,但该公司在其隐私政策中使用令人困惑和自相矛盾的语言来混淆视听。该公司的主要隐私政策第 1.2 节规定 ,仅当您使用家长控制功能来监控孩子的网络使用情况时才会收集浏览历史记录——但在法律比较严格的加利福尼亚州居民的单独页面显示,浏览器历史记录是使用 cookie、tag、pixel等类似技术收集、匿名化,然后在 TP-Link 集团内部共享以用于直接营销目的。
当我询问这种差异时,TP-Link 的一位发言人解释说,以上提到的 cookie、tag、pixel是指 TP-Link 网站上使用的跟踪器,而不是指其路由器正在做的任何事情。
发言人说:“我们的政策会更加明确。这是我们目前正在努力做的的事情。”
CommScope公司也表示,其产品不会收集用户的浏览历史记录——不过该公司对直接销售给消费者的零售产品和通过与第三方合作伙伴(主要是互联网服务提供商)合作提供的路由器进行了区分。
公司发言人说:“关于我们的零售冲浪板产品,CommScope无法访问或查看个人用户的网络浏览历史或流经这些零售产品的网络流量的内容。”
以此同时,D-Link 没有回应有关其数据收集做法的多次澄清要求,目前尚不清楚该公司的产品是否跟踪用户浏览数据。如果我收到回复,我会更新这篇文章。
我的数据去哪儿了?
CommScope指出,根据加州法律,它处理和共享用于性能分析的数据的方式构成了加利福尼亚州法律下的个人数据销售。
即使用户的路由器没有跟踪用户访问的特定网站,它仍然会在用户使用它时收集数据。其中大部分是有关用户的网络和使用它的设备的技术数据,制造商需要这些数据来保持设备平稳运行并检测潜在威胁或其他问题。
在大多数情况下,用户的路由器还是会收集个人数据、位置数据和其他标识符——就像我说的,我调查过的每家公司都承认,它以某种方式将此类数据用于营销目的。
将用户的数据用于营销通常意味着用户的数据正在与第三方共享。危险在于,公司可能会与不受其控制的第三方共享,然后他们可以随意使用和共享用户的数据。
“当数据被用于定位广告时,它通常不仅仅被收集数据的公司使用,”Cyphers 说。“该公司将与许多广告公司共享它,这些广告公司可能会与其他一些与广告相关的上下游公司共享它。他们都将使用这些数据来完善他们已经拥有的关于用户的个人信息。”
关于路由器,我看到的所有公司都承认,他们出于营销目的与第三方共享用户数据。这些公司中的大多数声称这些是受公司自身政策约束的内部第三方,我联系到的所有公司都表示,他们不会出于自己的独立目的与第三方共享数据。尽管如此,这对于注重隐私的消费者来说还是一个过高的要求。
我的数据是否被出售
我还询问了我为这篇文章调查的公司,他们是否出售可用于个人识别用户的数据,像2018 年加州消费者隐私法所定义的“销售”。该法律将“销售”广义地定义为“企业将消费者的个人信息出售、出租、发布、披露、传播、提供、转让或以其他方式口头、书面、电子或其他方式传达给其他企业或第三方,以换取金钱或其他有价值的报酬。”
大多数公司在其隐私政策中表示他们不出售个人数据,但CommScope隐私政策包括了 Arris Surfboard 网络产品和路由器出租,而互联网服务提供商承认他们会共享信息,包括标记互联网和其他网络活动信息,目的就是为了营销。
“用于我们某些业务运营的数据,例如订单履行和绩效分析,以及在我们的 CommScope.com 和 Surfboard.com 网站上使用‘cookies’,在保守的解读下,可能构成‘个人信息’的‘销售’。”CommScope的一位代表说。
在该公司是否出售数据的问题上,肯定的回答存在一些细微差别,因为CommScope网站上的订单履行和 cookie 等内容与CommScope家庭网络硬件的使用没有直接关系。尽管如此,值得注意的是,该公司承认其某些做法可能构成加州法律下的“销售”,而我所查看的大多数制造商并未这样做。
“我们可以说,我们不出售从路由器收集的数据,也不会将这些数据用于CommScope的营销目的,”该公司补充道。“但在直接向我们订购路由器或我们提供客户支持的情况下,这些信息仅作为填写订单和提供这些服务的一部分‘出售’(我们对加州法律的解读)。”
加利福尼亚州的用户有权告诉CommScope不要在网站上出售他们的数据,但CommScope表示,在回应居住在其他地方的用户请求时,他们“保留采取不同方法的权利”。
同时,TP-Link 告诉 CNET,它不出售用户个人数据,并且其路由器收集的数据根本没有用于营销。尽管如此,该公司的隐私政策似乎在该问题上留有余地:“除非您允许我们,否则我们不会出售您的个人信息。但是,加利福尼亚州法律对“销售”的定义很宽泛,销售一词可能包括在产品或服务上投放定向广告,或第三方服务如何在我们的产品和服务上使用。”
摩托罗拉路由器用户可以在用于管理其设备的 Motosync 应用程序的设置部分找到一个明确的选择退出数据收集的选项。
用户可以完全退出数据收集吗?
对于一些制造商来说,答案是肯定的。对于用户而言,可以请求查看或删除已收集的关于您的数据。无论具体细节如何,一些制造商在提供清晰、有用的隐私管理选项方面做得比其他制造商做得更好。
最好的方法是为用户提供一个易于定位的选项来提交退出请求。管理摩托罗拉家庭网络软件的公司 Minim 就是一个很好的例子。前往该公司 Motosync 应用程序的设置部分,该应用程序适用于摩托罗拉 MH7603等路由器,您会发现一个明确的选项可以完全退出数据收集。
华硕提供了一个类似的选项,告诉 CNET,“用户可以随时在我们的路由器设置界面中通过单击“撤回”按钮选择退出或撤回对数据收集的同意。”
不幸的是,这种方法更多的是例外而不是规范。我调查的大多数制造商都没有提及在各自的应用程序或网络平台中选择退出数据收集,而是选择通过电子邮件或网络表单处理退出和删除请求。通常,您会在公司的隐私政策中找到这些链接和地址——通常埋在最后,很少有人能找到它们。
Netgear就是这种情况。根据 Apple 的政策,该公司会在 iOS 设备上的设置过程中公开其数据收集,并提供退出选项,但此后无法在应用程序中退出。与此同时,Android 用户根本无法选择退出。
“从 Android 应用程序(或 iOS),用户可以转到关于 > 隐私政策并单击第 13 节中的网络表单链接以删除他们的个人数据,”Netgear 发言人说。“我们将考虑在未来减少这个选项的隐藏。”
包括D-Link和TP-Link在内的其他制造商不提供选择退出数据收集的直接方式,而是指导有隐私意识的用户如何退出通过谷歌、Facebook 或亚马逊进行的定向广告,或者安装由数字广告联盟和网络广告联盟等自律营销行业组织提供的“请勿跟踪”cookie 。这总比没有好,但选择直接退出的方式是一种更便捷的方法——尤其是有些公司可能不会使用像这样的“请勿跟踪”cookie。
“目前,TP-Link 履行Do Not Track cookie!”该公司的隐私政策声明。
Eero 隐私政策的第 8b 和 8c 节明确规定,选择退出数据收集的唯一方法是根本不使用 Eero 设备。请求 Eero 删除它收集的关于您的个人数据将使设备无法使用,并且 Eero 之后仍可能保留您的数据备份。
这将我们带到了 Eero。该公司不提供选择退出数据收集的选项,而是告诉用户阻止其设备收集数据的唯一方法是不使用它们。
“您可以通过卸载应用程序并拔下所有 Eero 设备来停止应用程序收集所有信息,”Eero 隐私政策说明。
您可以通过发送电子邮件至privacy@eero.com要求 Eero 从其记录中删除您的个人数据,但该公司声称,如果不切断用户与 Eero 服务器的连接并使设备无法运行,它就无法删除其收集的数据。
隐私政策还指出,公司“可能被允许或要求保留此类信息而不将其删除”,因此无法保证您的删除请求会真正得到尊重。即使 Eero 确实同意删除您的数据,但这并不意味着该公司不会保留备份。
“当我们删除任何信息时,它将从活动数据库中删除,但可能会保留在我们的备份中,”Eero 的政策写道。
The takeaway
数据收集在当今的消费技术中非常普遍,包括对 智能手机应用程序、社交媒体、电话运营商、网络浏览器等的关注。我会将我对路由器的担忧排在这些后面——但用户的家庭网络隐私仍然值得关注。
从我的角度来看,尽可能选择退出数据收集通常是一个好方法,即使收集本身看起来无害。根本没有好的方法可以确定用户的数据最终将在哪里或将用于什么,隐私政策只会告诉用户很多关于实际收集的数据信息。为此,我列出了本篇文章中涵盖的每个制造商的退出数据收集的选项。而且,当我继续测试和审查网络硬件时,我会及时更新这篇文章。
Asus
用户可以通过前往华硕网络界面的设置部分,单击隐私选项卡,然后单击“撤回”来撤回对数据收集的同意。当连接网络时,可以通过在浏览器的 URL 栏中输入路由器的 IP 地址来访问该 Web 界面,或者通过点击华硕路由器应用程序左上角的选项图标,然后选择“访问 Web GUI”。
CommScope (Arris)
如果用户居住在加利福尼亚州,可以填写表格来告诉CommScope不要在网站上出售用户的数据,但如果居住在其他地方,该公司将不保证会接受请求。在用于设置和管理CommScope产品的任何应用程序中,没有直接选择退出数据收集的选项,但该公司指出,用户可以随时取消订阅促销电子邮件。
D-Link
D-Link 没有提供直接退出数据收集的选项,而是通过使用网络广告倡议联盟提供的 Do Not Track cookie指导用户退出广告。
Eero
Eero 没有选择退出数据收集的设置,因为 Eero 声称如果不将设备数据发送到 Eero 的服务器,其设备将无法运行。
Google Nest
用户可以通过打开 Google Home 应用并点击Wi-Fi > 设置 > 隐私设置来管理用户的 Google Wifi 或 Nest Wifi 隐私设置并选择退出某些数据收集做法。
Netgear
Netgear 并未提供完全退出数据收集的选项,但用户可以在本网站上填写表格以下载和查看 Netgear 收集的任何数据或请求 Netgear 删除该数据。
TP-Link
TP-Link 不提供选择退出数据收集的直接选项,但它确实在其网站上分享了通过 Facebook、谷歌和亚马逊选择退出基于兴趣的广告的说明。该网站还提供有关数字广告联盟和网络广告倡议组织提供的 Do Not Track cookie 的信息,它们是自律营销行业组织。