加州隐私审计发现谷歌、微软、Meta在用户拒绝追踪后仍收集数据
一项由隐私搜索引擎webXray发布的独立审计报告指出,谷歌、微软和Meta在加州用户选择退出数据追踪后,仍大量设置广告追踪cookie,涉嫌违反加州消费者隐私法案(CCPA)。
该审计于2026年3月对加州超过7000个热门网站的网络流量进行监测,结果显示55%的网站在用户拒绝追踪的情况下仍设置广告cookie。谷歌未遵守全球隐私控制(GPC)信号的比例高达87%。审计报告指出,当浏览器启用GPC时,会向谷歌服务器发送“sec-gpc: 1”信号,谷歌应停止返回追踪cookie,但实际响应中仍包含“set-cookie”命令,明确创建名为IDE的广告cookie。
微软的违规率为50%,Meta为69%。审计发现,Meta提供的追踪代码未包含任何GPC信号检测机制,无论用户隐私偏好如何,均无条件加载、触发追踪事件并设置cookie。
三家公司均对报告提出异议。谷歌称该研究基于“对产品工作机制的根本误解”,微软和Meta也未承认违规。加州CCPA赋予用户拒绝个人数据被出售的权利,GPC是实现该权利的技术标准,违规企业可能面临数亿美元罚款。
此次审计凸显全球科技巨头在隐私合规执行中的系统性漏洞,引发对数据治理与用户权利保障的广泛关注。
编辑点评
此次审计揭示了全球科技巨头在隐私合规执行层面的系统性缺陷,其影响远超加州一地。尽管CCPA和GPC为用户提供了明确的法律和技术工具,但谷歌、微软、Meta等企业仍以“技术复杂性”或“产品误读”为由规避责任,反映出企业利益与用户权利之间的结构性冲突。这种大规模违规行为不仅挑战了美国在数字隐私立法上的领先地位,也对全球数据治理标准构成压力——若主要科技公司无法遵守本国法律,其他国家在制定类似法规时将面临更强的合规阻力。此外,该事件可能催生更严格的监管措施,包括针对科技巨头的专项执法、罚款机制升级,甚至推动联邦层面隐私立法的加速。从长远看,若企业持续漠视用户选择权,将侵蚀公众对数字平台的信任,进而影响数字经济发展根基。