5億部手機被追蹤：美國警方買了套"廣告定位系統"

2023年7月，以色列監控公司Cobwebs Technologies與美國Penlink完成合并。三個月后，多倫多大學Citizen Lab發布的一份報告揭開了這套系統的真面目——它讓全球5億臺移動設備變成了實時追蹤目標，而買家名單里躺著美國移民與海關執法局（ICE）、得克薩斯州公共安全部、洛杉磯警察局等一串執法機構。

這套叫Webloc的工具，核心邏輯簡單到近乎粗暴：從移動應用和數字廣告商手里買數據，然后把廣告ID變成追蹤坐標。

Citizen Lab研究員Wolfie Christl、Astrid Perry等人在報告中寫道：「Webloc提供來自全球多達5億臺移動設備的持續更新記錄流，包含設備標識符、位置坐標以及從移動應用和數字廣告中收集的畫像數據。」

換句話說，當你在天氣App里看明天會不會下雨，在手游里領每日獎勵，在新聞客戶端刷頭條時——那些應用里嵌入的廣告SDK（軟件開發工具包）正在把你的位置、設備ID、使用習慣打包出售。Webloc做的就是批量采購這些數據，再賣給執法部門當情報工具。

從廣告商到警察：一條數據供應鏈的成型

Webloc的運作方式在2020年10月就已公開。Cobwebs Technologies當時將其定位為「尖端位置智能平臺」，聲稱能「通過網絡數據與地理空間數據點的融合分析，用交互式分層地圖連接數字世界與物理數據」。這套說辭放在企業軟件發布會上毫無違和感，但細究技術路徑，它依賴的是數字廣告生態的一個長期漏洞：廣告ID的跨應用追蹤能力。

廣告ID（Advertising ID，蘋果叫IDFA，谷歌叫GAID）本是為了讓用戶能重置、關閉個性化廣告而設計的。但行業默認的規則是：應用開發者可以收集這個ID，并與廣告商共享。Webloc的巧處在于，它不直接入侵手機，而是向廣告商、數據經紀商批量采購這些「合規」數據流，再按地理位置、時間范圍、設備特征進行篩選。

Penlink官網對Webloc的功能描述相當直白：「調查和解讀基于位置的數據以支持您的案件。」更具體的 capabilities 包括：回溯最長三年的歷史位置、從IP地址推斷地理位置、通過分析常駐地點識別設備持有人的家庭住址和工作場所。

三年回溯意味著什么？假設警方2023年鎖定某個嫌疑人，可以調取此人2020年以來的活動軌跡——疫情期間的居家地點、抗議現場的停留記錄、診所或宗教場所的到訪頻次，全部可查。

Citizen Lab確認的Webloc客戶名單覆蓋多個層級：聯邦層面的ICE（移民與海關執法局）、美國軍方、國土安全部西弗吉尼亞分部；州級的得克薩斯州公共安全部；地方層面的紐約市地區檢察官辦公室、洛杉磯警察局、達拉斯警察局、巴爾的摩警察局、圖森警察局、達勒姆警察局，以及加州Elk Grove市、亞利桑那州Pinal County等小型轄區。

國際買家同樣醒目：匈牙利國內情報機構、薩爾瓦多國家警察。這種客戶結構暗示Webloc的銷售策略——瞄準執法權限模糊、監管審查較弱的地區。

Cobwebs的黑歷史：被Meta封殺的"網絡雇傭兵"

Webloc的開發商Cobwebs Technologies并非無名之輩。2021年12月，Meta（原Facebook）將該公司列入「網絡雇傭兵」黑名單，一次性封禁其約200個賬戶。

Meta當時的公告措辭嚴厲：Cobwebs運營虛假賬號進行目標偵察，甚至實施社會工程學攻擊——潛入封閉社區和論壇，誘騙用戶泄露個人信息。Meta確認其客戶遍布孟加拉國、中國香港、美國、新西蘭等地，活動范圍橫跨情報收集與輿論操控。

這次封禁是Meta當年針對監控行業的大規模清理行動的一部分，同期上榜的還包括以色列NSO Group（飛馬間諜軟件開發商）、印度BellTroX等七家公司。諷刺的是，Cobwebs的社交媒體情報工具Tangles仍在正常銷售，Webloc更是作為Tangles的「附加模塊」推向市場——被社交平臺封殺后，它的業務重心轉向了廣告數據這條更隱蔽的供應鏈。

2023年與Penlink的合并完成了身份洗白。Penlink成立于1986年，是美國本土的執法軟件供應商，主打「關鍵任務通信與數字證據采集分析」。這層美國外殼讓Cobwebs的技術更容易通過政府采購審查，Webloc也順勢進入更多美國執法機構的采購清單。

一個值得玩味的細節：Citizen Lab報告指出，Webloc的數據源包含「移動應用和數字廣告」，但未公開具體是哪些應用、哪些廣告商在供貨。這種信息不對稱是整套商業模式的護城河——執法部門知道自己在買什么，公眾卻無從知曉自己的數據流經了哪些中介。

廣告追蹤的灰色地帶：合法與監控的模糊邊界

Webloc引發的爭議核心在于：它利用的是數字廣告行業的常規操作，而非傳統意義上的「黑客技術」。這使得法律監管陷入兩難。

在美國，執法機構獲取位置數據的法律框架本就支離破碎。2018年Carpenter v. United States案確立了一條原則：警方獲取歷史手機位置信息需要搜查令。但該案針對的是電信運營商的基站數據，廣告ID的位置追蹤是否適用同一標準？至今沒有明確判例。

更現實的漏洞在于：Carpenter案保護的是「合理隱私期待」，而廣告ID的收集基于用戶「同意」——盡管這種同意通常隱藏在冗長的服務條款中，且多數用戶并不理解其后果。Webloc的買家可以主張，他們購買的是商業市場上公開流通的數據，而非直接調取電信記錄，從而繞過搜查令要求。

匈牙利和薩爾瓦多的案例則暴露了另一重風險。這兩個國家的執法機構缺乏美國式的司法審查傳統，Webloc這類工具落入其手，追蹤對象可能從犯罪嫌疑人擴展到政治異見者、記者、NGO工作者。Citizen Lab將匈牙利國內情報機構列為Webloc用戶，正值該國歐爾班政府被歐盟多次指控壓制媒體自由、操控司法系統之際。

薩爾瓦多總統布克爾2022年以打擊幫派為名實施全國緊急狀態，已導致數萬人被逮捕，人權組織廣泛報告任意拘捕和酷刑指控。Webloc進入該國警察系統的時間線雖未精確披露，但其「人口級監控」能力與布克爾政府的集權風格高度契合。

技術層面的一個關鍵問題：Webloc聲稱能「識別設備背后的人員」，方法是分析常駐地點推斷家庭住址和工作場所。這種「去匿名化」在技術上并不復雜——只要位置精度足夠、時間跨度夠長，廣告ID就能與現實身份關聯。但這也意味著，Webloc的用戶不僅能追蹤「某個設備」，還能鎖定「某個人」，且無需接觸目標手機。

5億設備的背后：數字廣告供應鏈的失控

Webloc的覆蓋規模——5億臺設備——大致相當于全球智能手機用戶的十分之一。這個數字揭示了一個常被忽視的真相：數字廣告生態的數據收集能力已遠超任何單一政府的監控基礎設施。

廣告技術（AdTech）行業的運行邏輯是實時競價（RTB，Real-Time Bidding）。當用戶打開一個嵌入廣告的App， milliseconds 內會發生數百次數據拍賣：廣告商競價展示機會，同時接收關于該用戶的地理位置、設備型號、興趣標簽等信息。Webloc這類工具正是截流了這些數據——可能是直接從廣告商處采購，也可能是從數據經紀商手中二次購買。

2022年，愛爾蘭數據保護委員會對Meta開出3.9億歐元罰單，認定其RTB行為違反GDPR。2023年，美國聯邦貿易委員會（FTC）起訴數據經紀商Kochava，指控其出售的位置數據可用于追蹤敏感場所（墮胎診所、宗教場所、家暴庇護所）的訪客。這些監管動作針對的是廣告數據濫用的冰山一角，而Webloc的存在表明，執法采購已成為數據經紀的重要下游市場。

Citizen Lab報告未披露Webloc的具體定價，但參考同類工具的市場行情，警方采購這類「情報平臺」通常按查詢次數或數據量付費，年費可達數十萬美元。對于中小型警察局，這可能是筆可觀開支；但對于ICE這類聯邦機構，不過是預算表上的一個條目。

一個未被回答的問題是：Webloc的數據源是否包含美國境內設備？從技術上講，只要用戶安裝了與Webloc數據供應商合作的App，無論身處何地都會被納入。這意味著，美國公民的日常位置數據可能正通過廣告供應鏈流向國內執法機構，而無需任何司法授權。

ICE的使用尤其引發擔憂。該機構負責移民執法，其「邊境100英里」政策已賦予其超常規權限。Webloc的三年回溯能力，配合ICE現有的數據庫（如移民記錄、出入境信息），可以構建出極其精細的人員活動圖譜——不僅追蹤「非法入境者」，也可能波及與其有接觸的美國公民和合法居民。

行業反應與監管真空

Citizen Lab報告發布后，Penlink未對媒體查詢作出回應。Cobwebs Technologies的品牌已隨合并逐步淡出，其技術遺產以Webloc和Tangles的名義繼續流通。

美國國會近年來多次提出限制執法機構購買商業數據的法案，包括2023年的《第四修正案不可出售法案》（Fourth Amendment Is Not For Sale Act），但均未通過。該法案的核心主張是：政府從數據經紀商處購買個人信息，與直接調取應適用同等法律標準——即需要搜查令。

反對者——主要是執法部門和部分情報機構——的論點是：商業數據采購是公開市場的合法行為，若施加搜查令要求，將嚴重妨礙犯罪調查和反恐工作。Webloc的案例恰好落入這個辯論的核心：當廣告數據被重新定義為「情報工具」，第四修正案的邊界在哪里？

歐盟的GDPR和《數字服務法》（DSA）對廣告追蹤施加了更嚴格限制，要求明確用戶同意、限制敏感數據處理。但Webloc的國際客戶名單顯示，這些法規存在明顯的地域盲區——匈牙利作為歐盟成員國，其國內情報機構使用Webloc是否違反歐盟法律？Citizen Lab的報告未深入探討，但這個問題本身就暴露了跨境數據流動的監管裂縫。

技術層面，蘋果2021年推出的App Tracking Transparency（應用追蹤透明度）框架要求App獲取用戶許可后才能訪問IDFA，理論上應削弱Webloc這類工具的數據源。但谷歌的Android生態仍占全球智能手機市場的七成，且其Privacy Sandbox替代方案進展遲緩，廣告ID在Android端的收集幾乎不受阻礙。Webloc的5億設備覆蓋規模，很可能主要依賴Android供應鏈。

一個產品細節：Penlink官網的Webloc介紹頁面配有一張示意圖，顯示地圖上密布的熱力圖和軌跡線條——與消費級健身App的跑步記錄界面驚人地相似。這種視覺設計的刻意「去威脅化」，或許是其能滲透執法采購流程的隱性助力。

當Citizen Lab的研究人員追問Penlink，Webloc的數據源具體包含哪些應用、哪些廣告商時，對方保持了沉默。而此刻，全球數億臺手機仍在持續生成位置數據，通過廣告競價系統流入未知的數據池——其中一部分的終點，是某個警察局分析師的電腦屏幕。