跟踪预防政策

目录

• 跟踪定义
• 跟踪类型
• 我们将阻止的跟踪
• 政策规避
• 无例外
• 意外影响
• 致谢

本文档阐述了 WebKit 认为作为一项政策，应由网页浏览器默认阻止的网络跟踪做法。这些做法对用户有害，因为它们侵犯了用户的隐私，而未赋予用户识别、理解、同意或控制它们的能力。

我们已在 WebKit 中实施或打算实施技术保护措施，以阻止本政策中包含的所有跟踪做法。如果我们发现额外的跟踪技术，我们可能会扩大本政策以包含这些新技术，并且我们可能会实施技术措施来阻止这些技术。

WebKit 中我们当前的防跟踪缓解措施普遍适用于所有网站，或基于算法的设备端分类。要了解这些技术缓解措施，您可以阅读我们关于 WebKit 中的跟踪预防 的文档。

我们将根据本政策审查 WebKit 补丁。我们将根据本政策审查新的和现有的网络标准。我们将创建新的网络技术，以在不重新引入跟踪功能的情况下，重新启用特定的无害做法。

跟踪定义

跟踪是指收集个人跨一个或多个网站的身份或活动数据。即使此类数据不被认为是个人可识别的，它仍然是跟踪。

第一方是用户有意并知情访问的网站，如浏览器URL字段所示，以及由同一组织运营的网页资源集合。实际上，如果资源属于同一个可注册域，我们认为它们属于同一方：一个公共后缀加上一个额外的标签。示例：site.example、www.site.example和s.u.b.site.example都属于同一方，因为site.example是它们共享的可注册域。

第三方是指不属于上述第一方定义范围的任何一方。

特权第三方是指由于内置在浏览器或操作系统中的特殊访问权限，有可能在用户不知情或未经用户同意的情况下跨网站跟踪用户的第三方。示例：一个可以了解用户浏览情况的中央票据交换所；一个浏览器独家允许托管跟踪脚本的域名。WebKit 的政策不允许特权第三方。

与其他方的互动被视为第三方互动，即使在上下文中短暂告知用户（例如，以重定向的形式）。仅仅将鼠标悬停在、静音、暂停或关闭特定内容，不构成互动的意图。

跟踪类型

跨站跟踪是指跨多个第一方网站的跟踪；网站与应用之间的跟踪；或将该活动数据保留、使用或分享给收集数据的第一方以外的其他方。

有状态跟踪是指利用用户设备上的存储进行的跟踪。这种存储可以是短暂的或持久的。此类存储包括但不限于 cookies、DOM 存储、IndexedDB、HTTP 缓存及其他缓存、HSTS 和媒体密钥。它还包括通过可能跨站点访问的通信机制进行的跟踪，例如 Service Workers 或 Broadcast Channels。

隐蔽有状态跟踪是指使用并非旨在用于通用存储的机制（例如 HSTS 或 TLS）进行的有状态跟踪。

导航跟踪是指通过由顶级导航或子资源加载的源控制并传输到目的地的信息进行的跟踪。这包括基于 URL 参数的跟踪或链接修饰，即通过添加到 URL 的信息进行的跟踪，以及可以设置为包含跟踪信息的 HTTP 头数据，例如 referrer（引用页）。

指纹识别，或无状态跟踪，是基于用户行为和计算环境属性的跟踪，无需显式客户端存储。这包括用户网页浏览器及其配置、用户设备及其配置、用户位置或用户网络连接的属性。指纹识别向量包括但不限于已安装字体、用户代理字符串、GPU 详细信息、CPU 详细信息、IP 地址和 TLS 连接。

隐蔽跟踪包括隐蔽有状态跟踪、指纹识别以及任何其他类似地对用户不可见且无法控制的方法。

跟踪也可能通过目前未知且不属于这些类别的技术进行。

我们将阻止的跟踪

WebKit 将尽最大努力阻止所有隐蔽跟踪和所有跨站跟踪（即使它不隐蔽）。这些目标适用于上述所有类型的跟踪，以及我们目前未知的跟踪技术。

如果某项特定的跟踪技术在不给用户造成过大损害的情况下无法完全阻止，WebKit 将限制该技术的使用能力。例如，限制跟踪的时间窗口或减少可用熵位——可用于识别用户或用户行为的唯一数据点。

如果即使限制某项技术的能力在不给用户造成过大损害的情况下也不可能，WebKit 将征求用户的知情同意以进行潜在跟踪。

我们将某些用户行为，例如使用同一帐户登录多个第一方网站或应用程序，视为默示同意将用户识别为在这些多个位置拥有相同身份。但是，此类登录应需要用户操作并能被用户注意到，而不是不可见或隐藏的。

政策规避

我们对待规避已发布的防跟踪措施，其严肃性与利用安全漏洞相同。

如果一方试图规避我们的跟踪预防方法，我们可能会在不事先通知的情况下增加额外的限制。这些限制可能普遍适用；适用于算法分类的目标；或适用于从事规避行为的特定方。

无例外

我们不对特定方授予跟踪预防技术的例外。有些方可能对同时用于跟踪的技术有合法用途。但 WebKit 通常没有技术手段来区分合法用途和跟踪，也不知道相关方现在或将来会如何处理收集到的数据。

意外影响

网络上存在一些我们不打算扰乱的做法，但它们可能因为依赖也用于跟踪的技术而受到无意影响。我们将此视为意外影响。这些做法包括

• 使用定向或个性化广告为网站提供资金（参见下方的私密点击测量）。
• 衡量广告效果。
• 使用第三方登录提供商的联合登录。
• 单一组织控制的多个网站的单点登录。
• 使用用户身份以尊重其偏好的嵌入式媒体。
• “点赞”按钮、联合评论或其他社交小部件。
• 欺诈预防。
• 机器人检测。
• 提高客户端身份验证的安全性。
• 单一网站范围内的分析。
• 受众测量。

当面临权衡时，我们通常会优先考虑用户利益而非保留当前的网站做法。我们相信这是网页浏览器的角色，网页浏览器也被称为用户代理。

然而，我们将努力限制意外影响。我们可能会修改跟踪预防方法，以允许某些用例，特别是在更严格的措施会损害用户体验时。在其他情况下，我们将设计并实现新的网络技术，以在不重新引入跟踪功能的情况下重新启用这些做法。这些示例包括 Storage Access API 和 私密点击测量。

我们希望看到一个健康的网络生态系统，其设计理念就是隐私保护。

致谢

我们的政策受到 Mozilla 的反跟踪政策 的启发和借鉴。