近日,一项涉及用户隐私安全的研究引发广泛关注——网络安全专家发现,微软Windows操作系统内置了一项名为“Windows设备ID”的追踪机制,能够跨设备、跨应用追踪用户行为,即便用户关闭了广告ID、退出账户甚至重置系统,该标识仍然保持稳定。这一发现将微软推上隐私争议的风口浪尖。

无处不在的“数字指纹”

据安全研究人员披露,Windows设备ID并非传统意义上的Cookie或登录账户痕迹,而是一种基于硬件与系统组合生成的唯一标识符。该ID与设备的主板、硬盘序列号、网卡MAC地址等底层硬件信息挂钩,经过算法处理后生成一串64位的哈希值。微软将其用于广告定向投放、应用推荐以及故障诊断等场景。

更令人担忧的是,该ID不仅限于微软自家生态。研究人员测试发现,当用户使用Edge浏览器访问外站、安装第三方UWP应用(如Spotify、Instagram)时,这些应用也能通过微软提供的API接口获取该设备ID。这意味着,第三方开发者可以借此将用户在不同应用和服务中的行为串联起来,构建出精细的用户画像,“这比传统的浏览器指纹追踪更为隐蔽和持久。”

用户难以主动关闭

与传统追踪技术不同,Windows设备ID被深植于系统层面。普通用户无法像关闭Cookie那样一键禁用。在“设置-隐私-常规”界面中,虽然存在“允许应用使用我的广告ID以获取个性化体验”的开关,但研究者指出,关闭该开关仅会重置广告ID,而非设备ID本身。即便用户重置操作系统或更换硬盘,只要主板等核心硬件未变,设备ID仍保持不变。

“微软将设备ID描述为‘用于改善用户体验’,但在实际操作中,它更像一个无法擦除的数字纹身。”网络安全研究员Alex Chen在报告中写道。他警告称,该机制可能被恶意软件滥用,用于绕过账户封锁、跟踪设备盗刷行为,甚至配合钓鱼攻击精准定位受害者。

微软回应:用于“合法目的”

针对舆论质疑,微软官方发言人回应称,Windows设备ID的生成与使用完全遵循“依法合规、透明可控”的原则。该ID仅用于改善微软服务体验、防止欺诈以及维护系统安全,且不包含任何可直接识别个人身份的信息(如姓名、邮箱)。微软强调,第三方应用获取设备ID需获得用户明确授权,且开发者不得将其用于跨站追踪。

然而,批评者指出,微软对“明确授权”的定义过于宽泛——在首次运行Edge浏览器或安装部分UWP应用时,弹出的隐私条款往往以“同意并继续”等默认选项诱导用户授权。用户若未仔细阅读条款,便可能在不自知的情况下交出设备ID的使用权。

监管与隐私保护再成焦点

此次事件再次凸显了科技巨头在隐私保护上的模糊地带。欧盟《通用数据保护条例》(GDPR)要求企业为追踪行为提供“选择加入”而非“选择退出”机制,并赋予用户“被遗忘权”。但Windows设备ID的底层硬件绑定特性,使得用户即使彻底删除账户,该ID依然附着于设备实体上,难以做到真正的数据清除。

中国网络安全专家李敬祥教授在接受采访时表示:“设备ID本身不一定是恶意的,但它的不可撤销性构成了风险。一旦数据泄露,攻击者可以通过该ID持续追踪用户一生。监管部门应要求微软提供单独关闭或重置设备ID的选项,且默认应处于关闭状态。”

截至发稿时,微软尚未宣布任何关于Windows设备ID的管理优化计划。隐私倡导组织“数字权利联盟”已向美国联邦贸易委员会发出请愿,要求调查微软是否存在欺骗性商业行为。对于普通用户而言,目前唯一可采取的防护措施是:通过组策略禁用设备ID共享,或定期检查已授权的应用列表,收回不必要的权限。

在数字化时代,隐私已不再是“用户自己的事”。Windows设备ID事件再一次敲响警钟:当一只无形的眼睛跨越系统边界,持续凝视着你的每一次点击、每一次搜索时,真正的选择权究竟在哪里?这或许是整个科技行业需要严肃回答的问题。