随着数字时代的快速发展,用户隐私保护意识正在觉醒,对于隐私保护关注度明显上升。与此同时,全球也拉开了隐私保护的大潮流,从GDPR到个人信息保护法,隐私问题已经成为互联网科技巨头必须直面的“深坑”。
不少巨头在上面栽跟头,其中最令人耳熟能详的就是Meta。2019年因泄露用户隐私,Facebook被罚款50亿美元;2021年,因暴露全球数亿用户的个人信息。Meta被爱尔兰数据保护委员会(DPC)罚款2.65亿欧元。
而就在近日,谷歌高举用户隐私保护的大旗,开始计划全面禁用第三方Cookie,目前已经对1%的用户进行小范围测试,预计将在今年年底扩展到全部Chrome浏览器用户。同样值得关注的是,苹果此前发布的2024年应用开发者新规中提到将严厉打击第三方SDK隐私清单,将在今年春季重点实施。
谷歌、苹果两家巨头无疑为用户隐私保护放出了两记重磅“炸弹”。这两大举措不仅对整个科技行业生态产生了巨大影响,在个人隐私保护领域也是标志性事件。
谷歌取消Cookie:
谷歌的这一举措已酝酿多年。本次推出的Cookie禁令,所针对的是第三方Cookie,即在线广告行业在网站上放置的用于跟踪用户、投放相关广告的Cookie,不会影响网站用来存储登录信息等基本内容的Cookie。
Cookie的全称为HTTP Cookie,是一种用于在客户端与服务器之间传递信息的小型文本文件。它最早出现在1994年,由网景公司的程序员Lou Montulli发明。最初的目的是为了解决购物车功能的问题,后来被广泛应用于网站的用户追踪和个性化服务。现如今,Cookie已经成为互联网中不可或缺的一部分。
Cookie作为互联网中的重要组成部分,为我们提供了许多便利的功能,同时也带来了一些隐私和安全的风险。
由于存在数据隐私风险,多家机构及公司都曾对Cookie的使用进行整治。例如,欧盟禁止在未经用户明确同意的情况下使用不必要的Cookie来分析或跟踪用户,苹果禁止iPhone和iPad用户使用第三方Cookie。
在谷歌宣布取消Cookie后,广告行业对这一举措非常不满。广告技术行业贸易组织IAB Tech Lab的首席执行官Anthony Katsur称对于此事,广告行业还远未做好准备。因为这可能会影响公司广告到达理想受众的程度。
根据Statcounter公布的数据,谷歌浏览器占全球互联网流量的65%,是名副其实的互联网广告巨头,一直以来广告行业都极其依赖谷歌强大的流量。因此,在取消Cookie后,在线广告的价格可能会随着谷歌的举动而发生不可预测的变化。
苹果打击第三方SDK:
在谷歌之前,全球巨头苹果公司针对用户隐私保护也有“大动作”。
自从2021年 iOS14.5 推出 IDFA 新规后,无论苹果是真的想保护消费者隐私,还是像很多友商评价的其本质是为了增加自己的广告服务收入也好,总之苹果对隐私保护的政策正在变得越来越严格。
2023年冬,苹果发布了2024年应用开发者新规,其中提到,将严厉打击第三方SDK隐私清单;目的是保护用户隐私;以便用户更加了解第三方SDK的使用和收集数据的方式。
SDK,全称Software Development Kit,即软件开发工具包。广泛来说,它是辅助开发某一类软件的相关文档、范例和工具的集合。而对手机来说,通常情况下,这些SDK 是由广告、数据、社交网络、地图和推送平台等第三方服务提供商所开发的工具包,可以提供专业的服务,其中封装了复杂的逻辑实现以及请求响应的过程,使其更便于开发人员使用。为了缩短开发时间和提高开发效率,手机应用开发商将多种类型的第三方SDK(软件开发工具包)集成到他们的应用程序中。不难看出,第三方SDK已经成为了手机应用生态系统的重要组成部分。
应用开发者使用SDK,不仅可以更好地减轻开发者的负担,还能辅助软件的功能开发,但是无论是开发者或者用户都很难发现SDK隐藏的隐私风险。
于是在 2023 年 WWDC 上,苹果就宣布了新的 SDK 隐私清单和签名,以便用户更好的了解第三方 SDK 使用和收集数据的方式,并在2024年春季重点实施。
第三方SDK隐私清单:
第三方隐私清单(privacy manifest),本质上就是让 SDK 开发人员提供他们 SDK 是如何收集数据的,这样就能够让 APP 开发者在集成各种 SDK 的时候,就能迅速得到一份详细的相关报告,从而避免额外手机不必要的用户数据。
在此次新规中,苹果要求所有的开发者如果使用第三方 SDK,就必须要对 APP 中 SDK 包含的所有代码负责,并且清晰地了解 SDK 是如何收集和使用用户数据的。
这样开发者就能在提交 APP Store 审核时,能够更好且更清晰的在后台提供自己 APP 的隐私标签,在 APP Store 的后台明确自己 APP 的数据收集和使用场景,从而让用户能够在详情页就清楚的指导该 APP 收集了哪些数据,并且将会把这些数据用在什么地方。
第三方SDK签名:
苹果还要求 SDK 的开发者提供SDK 签名。苹果希望通过签名认证的方式,来确保 SDK 不会在开发的过程中被篡改。经过签名认证后的 SDK ,在 Xcode15 会显示对应的 Signature 信息,如果一旦发现本次签名和上次不一致,那么 Xcode 就会让编译失败并弹出警告。虽然目前来看,苹果并没有要求所有的 SDK 强制使用签名,但如果这一 SDK 涉及到隐私手机,尤其是出现在下面列表中的这些 SDK,则一定要添加相关签名。
API声明:
在本次新政策中,还有一个值得注意的就是API声明。苹果做了一个新的 API 分类,开发者需要在隐私清单里面说明为什么需要调用该 API 接口。从目前的情况来看,苹果可能是期望通过此举来规范 APP 使用这些 API 做各种 Fingerprinting 识别行为。也就是说,如果 SDK 和 APP 里用到了分类里的这些 API ,那么开发者就需要在隐私列表里填写为什么要调用这些 API 的原因。
影响:
谷歌取消Cookie和苹果严厉打击第三方SDK,这两大举措对于用户隐私保护来说,是至关重要的一步。
对于用户隐私保护:
这两大举措将大大减少第三方对用户信息的跟踪和收集,保护用户的个人数据。其次,由于第三方Cookie和SDK经常与多个不同的公司和服务共享数据,这样的举措也能够降低数据泄露和滥用的风险。同时,对第三方Cookie和SDK的限制还可以提高用户的隐私意识,让用户更加了解自己的数据是如何被收集和使用的。当用户知道他们的隐私得到了保护,他们对使用该服务或产品的信任度也会增加。
对于广告行业:
这两大举措将对广告行业产生一定的影响。以谷歌取消Cookie为例,这意味着广告商将无法再通过Cookie来追踪用户的行为,从而投放更精准的广告。这可能会导致广告的效果和精准度下降,广告行业的收入也会受到影响。
对于应用开发者:
这两大举措也将给应用开发者带来一些挑战。以苹果严厉打击第三方SDK为例,这意味着开发者在使用第三方SDK时需要更加谨慎,确保SDK不会对用户隐私造成侵害。开发者还需要更加了解用户的隐私权益,并在应用中提供更透明的隐私信息。
总结:
谷歌取消Cookie和苹果严厉打击第三方SDK,是互联网时代个人隐私保护的重要进展。这两大举措将对用户隐私保护、广告行业、应用开发者等产生深远的影响。
原创文章,作者:首席安全官,如若转载,请注明出处:https://cncso.com/google-and-apple-take-steps-to-protect-user-privacy.html