据称这家欧盟公司出售了德国的位置数据

这篇研究与以下媒体合作完成：德国广播电台（Bayerischer Rundfunk），《世界报》（Le Monde）（法国），瑞士广播公司（SRF/RTS）（瑞士），NRK（挪威），BNR Nieuwsradio（荷兰），WIRED和404 Media（美国）。它同时是“Databroker文件”的一部分。

如此精确的数百万用户的位置信息，如何通过数据经纪人之手传递出去？自去年以来，netzpolitik.org和德国广播电台（Bayerischer Rundfunk）的团队就这个问题展开了调查，自秋季以来，与国际调查伙伴们共同合作。焦点集中在美国数据经纪公司Datastream Group的数据库上，该公司目前已经更名为Datasys。

或许答案就来自数据销售商自己——通过一封写给美国参议员的律师信。信中试图将这些位置信息显得无害，并指认了一个“负责方”：根据信中说法，Datastream Group是从“Eskimi.com”获得了这些数据。而Eskimi是一家立陶宛的广告公司——一个来自欧盟的公司。

信中提到，Eskimi很可能是我们手中包含约36亿条位置信息和约1100万广告ID的数据库的来源。我们曾在2024年夏季进行过报道，其中不仅揭露了个人的详细位置信息，还包括了有军事基地和情报机关大楼的人员。通过广告ID，可以将这些数据条目与特定手机关联，许多地点数据的聚集能够揭示出被追踪者的私人地址和工作地点。

在回应我们询问时，Eskimi的CEO Vytautas Paukstys否认与Datastream Group有任何关系。他在给我们的一份英文回应中写道：

然而，我们的调查提供了可能质疑这一说法的证据。可能通过另一家与Eskimi有密切关系的公司，这些数据被流转出去——但一切仍需要进一步梳理。

行业巨头

Eskimi的总部位于立陶宛维尔纽斯的这座大楼中。- 所有权归SRF所有

Eskimi在广告行业内并不陌生。该公司提供多种服务：例如，它为客户在应用程序和网站上销售广告位，或管理数字广告活动。它在网站上展示了包括汽车制造商、电子产品公司和饮料提供商在内的知名企业的标志。

对于Google来说，Eskimi也是个熟悉的名字。Google回应称，Eskimi是“授权买家”，这意味着该公司可以利用Google的广告拍卖基础设施。根据Google的要求，授权买家必须遵守相关规定；例如，禁止将实时竞价中产生的数据用于广告以外的目的或转售，这些都将在定期审核中检查。Google是否会在Eskimi的情况下采取行动，Google未予回应。

此外，Eskimi在行业组织IAB Europe中也被列为供应商，并因此参与了所谓的TCF。TCF是“透明度与同意框架”的缩写，是欧盟地区广告技术公司用来获取和管理用户同意的核心基础设施。

根据欧洲法院的一项裁决，TCF是否符合规定仍存在疑问。尽管如此，广告公司通过TCF得以获取众多应用程序和网站用户的数据，从而获得信任。我们向IAB Europe提出的询问并未得到回复。

缺失的拼图

通过调查，Eskimi与数据经纪人文件提供了一个重要的线索。

最初，在2024年夏季，我们与德国广播电台共同报道了涉及36亿条位置信息的数据库，其中包含1100万台手机的数据。我们揭露了这一数据来自美国数据商，并且介绍了我们与一个数据交易平台的联系，以便与商家进行接触。然而，我们当时并不知道这些数据最初的来源。

2025年1月，我们首次能够通过具体应用程序披露，部分应用程序用户的数据流向了数据经纪商。我们发现，来自德国最流行的天气应用程序Wetter Online的用户数据也出现在了数据市场上。尽管如此，数据的具体流转路径仍不清楚。

现在，我们能够更加清晰地描述数据在广告行业生态系统中的流转方式——更多信息我们会在这里报道。而且，我们可以首次指出，Eskimi可能是一个来自欧盟的大型数据收集公司，并且存在转售数据的可能性。Datastream Group已经通过律师信明确指出了与Eskimi的关联。

律师信

这封信来自代表数据经纪人Datastream的律师事务所，收件人是美国参议员Ronald Wyden，后者将这封信与我们团队共享。

Wyden是美国民主党成员，长期以来致力于推动隐私保护和数据安全。他曾推动限制监控行为，并调查商业监控公司。他已经针对其他数据经纪公司促成了联邦贸易委员会（FTC）采取行动。

在我们向Wyden询问后，这位参议员去年夏季表示关注，并将此事报告给五角大楼。在2024年秋季，当我们与WIRED合作发布报道，聚焦于美国军事和情报机关的数据泄露时，Wyden再次要求采取进一步措施。Datastream Group最终通过律师信对参议员做出了回应。信函日期为2025年11月20日，并明确提到前一天WIRED的报道。

信中有一段重要内容（译自英文）：

这些数据来自常见的Apple和Android手机应用程序。然而，Eskimi否认与Datastream Group有任何商业往来。我们将这封信和Eskimi的否认做了对比，Datastream的律师事务所则未对此做出回应，而是声明称数据样本的来源属于保密协议，信中所述内容为“私人”的，不供公开讨论。

信函中，律师还进一步声明，Datastream的数据库是“匿名”的，而我们的团队则“超出预期”地对数据进行了“修改”。

为了回顾一下，我们的调查团队曾将这些包含广告ID的位置信息与地图数据进行比对，从而揭示出被追踪者的潜在住址。我们还通过查找电话簿和拨打电话对这些数据进行了验证。

后续的追踪

当这封信件到达美国参议员时，我们还只是针对德国的那个包含36亿条位置信息的数据集进行了报道，而有关另一个包含40,000个应用程序的数据集的报道则是在几个月后才发布的。然而，即便如此，关于应用程序数据集的一些线索显示，这些数据可能也来自Eskimi。

根据我们对包含40,000个应用程序的数据库的分析，这些数据可能是在实时竞价（RTB）过程中收集的。RTB是一种在互联网上进行广告位置竞标的拍卖过程——更多细节我们将在这里解释。这些数据的结构与RTB数据非常相似。大多数位置信息显然是通过IP地址推导出来的，而这在RTB中也是典型的做法。

多年来，研究人员和隐私保护者一直在警告：通过实时竞价中收集的数据，可以实现大规模监控。广告公司只需收集为了广告目的而产生的数据，并将其转售给数据经纪商。通过数据经纪商，这些数据最终可以作为公开的商品出售给任何对其感兴趣的人。借此途径，监控公司也可以获取这些数据——更多关于这方面的细节，我们将在ADINT专题文章中进一步阐述。

在Eskimi的手册中，它公开承认，自己会在实时竞价中“收集和存储”数据，且因此积累了“超过20亿”个用户档案。根据其另一本手册，Eskimi收集的数据包括广告ID、GPS位置信息、IP地址等。

我们与德国广播电台和国际合作伙伴共同分析了来自数据集的应用程序，并发现Eskimi对许多这些应用程序并不陌生，甚至可能是它们的业务合作伙伴。

为了进一步分析，我们查看了这些应用程序的所谓app-ads.txt文件。该文件列出了应用程序所有者授权的广告销售商。该文件并不能保证所列信息的准确性或时效性，也无法确保这些公司真正参与广告销售。

根据分析，Eskimi出现在我们检查的26,500多个应用程序的22,000个app-ads.txt文件中。这意味着，我们所研究的数据集中的许多应用程序，与Eskimi之间可能有某种联系。

然而，在我们分析的文件中，也出现了许多其他公司。Google和微软的广告公司Xandr，比Eskimi更加频繁地出现在文件中。因此，有可能Eskimi只是一个广泛使用的广告合作伙伴，并不参与数据的转售。

另外，我们还发现了一些进一步的线索，表明我们所分析的应用程序数据集，可能与Eskimi有关。例如，一个开发者论坛中的帖子提到了一个标注为Eskimi的数据集。这个数据集的文件结构与我们所分析的应用程序数据集完全相同，包括广告ID、设备型号、时间戳等数据项。

然而，这些线索并不能提供直接证据。Eskimi的CEO Paukstys坚决否认向Datastream Group提供数据，且表示Eskimi并不是数据经纪商。然而，Eskimi与另一家公开作为数据经纪商运作的公司存在紧密的关系。

Redmob的关系

例如，Eskimi与一家名为Redmob的数据经纪商有着紧密的合作关系，Redmob在其网站上公开提供包含位置信息和广告ID在内的数据集销售。根据其网站的介绍，Redmob的数据来源包括50多个数据源，实时涌入超过2930亿条数据流。这种庞大的数据量被声称具有“前所未有的规模”。

Redmob和Eskimi的高层管理人员部分重合。Redmob的创始人同时也是Eskimi的CEO：Vytautas Paukstys。Redmob网站上表示，若有关于隐私保护的问题，可以直接联系Eskimi。

Vytautas Paukstys回答了我们关于Eskimi和Redmob的所有问题，但他的回答却没有涉及Redmob，而只针对Eskimi。他未对Redmob提供的数据或其与Datastream Group的关系进行回应。Redmob没有欧盟境内的注册公司：其网站上列出的公司地址，在去年从新加坡迁移到了迪拜。

Redmob网站内容消失

直到最近，Redmob曾在数据交易平台Datarade上提供实时竞价数据。根据网站提供的信息，这些数据涉及15亿用户，年费为50,000美元。但该信息在我们向Datarade提出问题后被撤下。Datarade回应称：“我们已立即对Redmob提供的内容进行了检查，并已将相关内容从平台上移除。”原因是根据平台规定，个人数据只能以汇总和匿名化的形式提供。

Redmob在Datarade上的特别之处在于，欧盟地区的数据明确不在其销售范围内。Redmob网站上所显示的世界地图也刻意不包括欧盟。那么，为什么会有这种做法呢？

这个问题也引起了外界的疑问。根据Redmob网站上之前的常见问题，它曾明确表示：“我们目前不提供来自欧盟的数据。不过，您仍然可以联系我们，我们可以更好地理解您的业务需求。”

这一回答令人困惑。如果Redmob不提供欧盟数据，那为什么要邀请联系呢？我们向Redmob的CEO Paukstys提出了问题，但他没有回答。之后，我们发现，这个常见问题部分的答案在我们提出问题后便消失了。与此同时，Redmob网站上多次提到的位置信息也被删除了。

或许，Redmob实际上能访问欧盟的数据。Eskimi网站上有一份信息页面，其中提到，Redmob可以在遵循GDPR（即欧盟数据保护条例）的前提下，收集来自实时竞价的数据。

数据保护当局的回应

回顾一下，Vytautas Paukstys的回应只涉及Eskimi，未涉及Redmob。因此，我们再次提出了问题：Redmob是否与Datastream Group有业务关系？它是否收集并转售欧盟用户的数据？

Paukstys在其回复邮件中并未针对Redmob给出明确答复，而是重申了先前的声明，并表示他不清楚Redmob与应用程序数据集的结构是否相关。

因此，关于Redmob和Eskimi之间的具体关系仍然存在许多悬而未决的问题。由于Eskimi在欧盟内注册，因此欧盟的数据保护机构更容易介入调查，而非像Redmob这样的非欧盟公司。我们已向立陶宛的数据保护机构询问其意见。该机构的发言人表示，至今未收到任何关于Eskimi的投诉，因此也没有展开调查。她进一步表示，目前该机构正在收集更多信息，以便对情况做出评估。