在 Mozilla，隐私不是一项功能，而是一个基石。这也同样适用于 Firefox 中的广告。

在 Firefox 上，广告的设计旨在支持开放网络，同时不损害您的隐私。这意味着在不收集大量个人数据或跨网站跟踪您的情况下，提供相关的体验。从一开始，我们的方法就是只使用所需的最少信息，将个人数据置于 Mozilla 的控制之下，并就广告的显示方式为您提供明确的选择。

本文将阐述当前广告在 Firefox 中的运作方式，包括我们使用的有限信号及其缘由。虽然技术细节会随着我们的学习与优化持续演进，但我们对 Mozilla 隐私保护原则 的承诺始终如一。

掌控您的广告体验

您可随时关闭 Firefox 新标签页中的广告。具体操作方法在此说明。我们还提供了屏蔽单条广告或举报广告的工具。我们对合作广告主精挑细选，仅允许符合 Mozilla 品牌理念与价值观的广告内容。守护您的体验不仅意味着赋予控制权，更确保您看到的广告符合我们设定的标准。

开源

Firefox 是开源项目。决定广告如何在 Firefox 中投放的核心技术组件均对社区透明开放，供公众理解。

广告系统中如商业条款等未公开内容，因其不涉及技术实现机制。对用户和开发者而言，真正重要的是这些透明要素：Firefox 源代码、数据流向机制，以及内置于设计中的隐私保护措施。

隐私保护

隐私是我们广告方案的基石，正如其对整个 Firefox 的意义。广告主无需知晓您的身份即可触达目标人群，我们绝不允许其在互联网上追踪您的行为。这意味着不使用第三方 Cookie 与设备标识符。这与我们在整个 Firefox 中推行 数据收集 的原则一致——仅收集必要数据，绝不多取。我们绝不会出售或共享您的个人数据。

当前广告主仍试图通过跨站直接追踪、浏览器指纹识别、基于设备特征的恶意广告等手段识别用户。以下章节我们将逐项解析这些行为，并说明我们采取的防护措施。

1) 阻止跨站跟踪

我们的方法：消除跨站标识符并将网络信号视为敏感信息。广告投放应在无需用户级标识、不暴露真实 IP 地址的情况下正常运作。

与常规做法的差异

• 多数发布商：在广告请求中发送真实的用户 IP，不作任何修改。
• 注重隐私的发布商：可能会在发送前截断 IP（例如，丢弃最后一个八位字节 → 192.0.2.xxx）。
• Mozilla 的方案（更进一步）：我们用一个 Mozilla 控制的 IP 池中的合成/代理 IP 替换真实 IP，该 IP 仅映射到大致区域。它由许多用户共享，并且对每个用户来说不是固定的。

Mozilla Ads 不使用

• 用于广告投递的第三方 Cookie
• 设备标识符（例如，移动广告 ID）
• 唯一用户 ID

IP 与位置：我们如何保护您的 IP（及为何仍需使用 IP）

基础功能（如欺诈检测和区域化广告展示）需要特定网络信号。由于 IP 地址可能成为软性标识符，我们始终将其视为敏感信息：

• 请求通过 Mozilla 路由：广告请求源自 Mozilla 控制的基础设施，而非您的设备。广告购买系统（例如，交易平台/SSP）在广告请求中不会收到您的真实 IP。
• 粗略的区域映射：我们用您所在大致区域（城市/都市圈）的一个 Mozilla 运营的 IP 来替代，这样广告就具有区域相关性，并且可以在不暴露您家庭住址的情况下运行完整性检查。
• 共享，而非个人：替代的 IP 被许多人使用，并且对每个用户来说不是固定的，因此不能作为持久的标识符。
• 无精确定位：我们不发送 GPS 或街道级别的坐标；提供的任何位置都是粗略的，并且是从受保护的 IP 地址派生出来的。

这完全从竞价流中移除了真实 IP，同时仅保留了最低限度的功用（例如，城市级别的相关性、基本的欺诈检查）。这就是为什么我们的方法即使在最注重隐私的发布商中也是新颖的。

结果：广告主无法通过 Cookie、设备 ID 或用户 ID 跨站追踪您。购买方看不到您的真实 IP，并且使用的任何信号都是粗略、共享和不稳定的——这降低了关于您的数据在生态系统中累积或在数据集中交叉核对的可能性。

2) 反浏览器指纹追踪

它是什么：即使没有 Cookie 或设备 ID，一些广告系统也会尝试通过组合许多小细节（如设备或浏览器特征）来识别浏览器。这被称为指纹识别。

我们的方法：让您的浏览器融入大众，并从广告流中排除高熵细节。

我们的做法：

• 标准化的用户代理：我们规范化用户代理字符串，以防止罕见的设置脱颖而出。
• 信号最小化：广告请求只包括低风险、必要的字段（例如，单个内容类别、粗略区域）。我们避免发送高熵的设备细节。
• Firefox 新标签页上无广告端 JavaScript：广告不能在这里运行自己的脚本，这阻止了常见的主动指纹识别技术。
• 无用于广告投放的人口统计数据：我们不为广告收集或分享年龄、性别或类似特征。
• 标头清理：我们尽可能地规范化敏感标头，以减少唯一性。

结果：广告主无法根据设备/浏览器的特性可靠地将您单独识别出来，广告可以在没有监视的情况下运作。

3) 防范恶意广告

它是什么：“恶意广告”是指广告试图运行有害代码、强制重定向、收集数据或冒充可信的用户界面。常见的载体是与广告创意一起发布的第三方 JavaScript。

我们的方法：广告从不运行自己的第三方代码。广告仅作为数据通过 Mozilla 运营的广告路由服务进行投放，并由 Firefox 本身渲染，因此没有外部广告 JavaScript 执行。

我们的做法

• 纯数据投递：广告以JSON格式而非第三方HTML/JS代码包形式送达Firefox新标签页
• Mozilla中介层：Firefox客户端永不直连外部广告网络，所有请求均经由Mozilla管控的广告路由服务，该服务会强制执行策略并剥离动态代码路径
• 严格JS边界：仅运行Firefox自有代码，新标签页中禁止执行广告创意提供的JavaScript，从根本上切断恶意软件与追踪脚本的主要传播渠道
• 受控渲染机制：Firefox使用自有HTML/CSS/JS将广告数据转化为可视化内容，维持统一且可审计的执行环境
• 创意与需求方审核：仅接受可信广告源，并执行符合Mozilla价值观的品牌/品类标准
• 用户控制权：支持手动关闭或举报广告，我们对违规创意或采购方实施快速审查与封禁

与行业常规做法的差异

当前广告业普遍将创意以HTML/CSS/JavaScript形式直接投送至用户浏览器运行（通常通过标签/iframe）。相比之下，Firefox通过Mozilla运营的代理服务接收纯数据广告，且仅执行Firefox自有JS。此举显著降低恶意软件风险，并彻底切断第三方追踪的主要途径。

结果：Firefox 新标签页上的广告更注重安全性和完整性，而非第三方交互性。我们将继续评估未来是否可以在不削弱这些保护措施的情况下，支持有限的、保护隐私的交互性。

Mozilla广告数据运用准则

我们仅使用经过隐私保护处理的最低限度信号——刚好满足广告投放与场景适配需求。无关或突兀的广告对任何人都没有价值。我们绝不会出售或共享您的个人数据。

我们发送给广告合作伙伴的数据（为保持相关性与完整性而最小化）

• 内容（一个类别）：投放位置的单个 IAB 类别（例如，“体育”或“自行车”）。我们不发送页面 URL 或完整内容，也不会在单次调用中发送多个类别。
• 粗略区域：城市/都市圈级别的位置，以便提供基本符合地理位置的优惠——没有 GPS 或街道级别的精度。
• 投放基础信息：渲染广告所需的非识别性细节（例如，广告位尺寸）加上受隐私保护的网络信号（见上文IP 与位置）。
  • 用户代理（规范化）：用户代理字符串通常会透露您的浏览器版本、操作系统和设备类型等细节。大多数广告系统会原封不动地传递这些信息，这使您更容易被指纹识别（见上文反指纹保护）。在 Firefox 中，我们会编辑用户代理字符串以减少唯一性：
    • Firefox 版本：我们使用最新的 Firefox 版本，或者如果您使用的是旧版本，则使用最新版本减一。
    • 操作系统：我们仅使用主要平台的广泛操作系统和平台类型，而不暴露详细的系统信息。
    • 此项措施能防止广告主通过特殊配置识别您的设备特征。
• 广告活动效果指标：在美国，我们分享关于我们广告效果如何的信息，而不是谁在与这些广告互动。
  • 默认情况下，我们提供关于广告展示和点击的聚合数据
  • 我们开发了创新的、保护隐私的解决方案，以进一步衡量合作伙伴网站上的增量流量提升和高级别转化信号——所有这些都通过 DAP 使用非识别性的聚合数据（不依赖第三方 Cookie 或用户级标识符），以维护 Mozilla 对用户隐私和数据保护的承诺。

广告数据排除清单

• 无浏览历史记录：广告请求中绝不包含 Firefox 历史记录、书签、打开的标签页或搜索内容。
• 无跨站标识符：不使用第三方 Cookie、设备 ID 和唯一用户 ID。
• 无个人资料数据：不为广告投放收集或分享人口统计数据，如年龄、性别或类似特征。
• 无身份图谱：Firefox 广告不使用哈希电子邮件，也不参与跨站身份系统。
• 无精确定位/真实 IP 地址：广告请求中绝不使用 GPS 坐标和您的实际 IP 地址。

如何优化您的体验

通过使用有限且可预测的信号，我们能在避免过度收集数据的前提下，呈现值得您关注的关联广告。这种平衡既提升了用户体验，又将数据使用严格限制在 Mozilla 可控范围内。

我们的承诺

广告生态长期信奉“数据越多越好”的准-则，我们对此持反对态度。我们绝不出售或共享您的个人数据，您始终拥有控制权——可随时关闭广告、屏蔽单个广告或进行举报。我们仅采用经过隐私保护处理的最低限度信号，确保广告值得您投入注意力而非牺牲数据安全。虽然逆行业主流而行道阻且长，但保持独立正是我们的立身之本。我们坚持此举，既为维持 Firefox 可持续发展，更是为践行 Mozilla 守护健康开放互联网的使命。此方案在保障 Firefox 运营的同时，恪守我们对用户的初心，持续助力开放、普惠的互联网建设