自從2021年iOS14.5推出IDFA新規(guī)后，無(wú)論蘋(píng)果是真的想保護(hù)消費(fèi)者隱私，還是像很多“友商”評(píng)價(jià)的一樣：本質(zhì)是為了增加自己的廣告服務(wù)收入，蘋(píng)果對(duì)隱私保護(hù)的政策正在變得越來(lái)越嚴(yán)格。

當(dāng)時(shí)ATT框架幾乎給iOS手游和應(yīng)用的推廣帶來(lái)毀滅性的打擊，彼時(shí)還叫Facebook的Meta也在當(dāng)年遭遇了巨大的滑鐵盧，甚至在后續(xù)推出了包括ASC在內(nèi)的一系列黑盒廣告產(chǎn)品，但無(wú)可否認(rèn)的是無(wú)論是電商還是應(yīng)用和游戲，由于eCPM的大幅下滑，整個(gè)蘋(píng)果的應(yīng)用生態(tài)還是發(fā)生了翻天覆地的變化。

從隱私保護(hù)的角度來(lái)說(shuō)，ATT框架無(wú)疑是成功的，大量用戶選擇拒絕被追蹤，但不可否認(rèn)的是在整個(gè)ATT框架內(nèi)依舊有一個(gè)相對(duì)明顯的漏洞——安裝在游戲和應(yīng)用內(nèi)的各種SDK。

事實(shí)上，這些第三方SDK在很大程度上減輕了開(kāi)發(fā)者的負(fù)擔(dān)，但不可否認(rèn)的是：無(wú)論是開(kāi)發(fā)者還是用戶，都很難發(fā)現(xiàn)各種SDK中隱藏的隱私風(fēng)險(xiǎn)，或者說(shuō)的更直白一點(diǎn)，繞過(guò)ATT框架收集用戶信息的可能性。

于是在2023年WWDC上，蘋(píng)果就宣布了新的SDK隱私清單和簽名，以便用戶更好的了解第三方SDK使用和收集數(shù)據(jù)的方式。

與此同時(shí)，Xcode會(huì)在開(kāi)發(fā)者準(zhǔn)備上架和分發(fā)App時(shí)，為開(kāi)發(fā)提供一份該App中使用的所有的第三方SDK的隱私清單合并成一個(gè)簡(jiǎn)單的報(bào)告。通過(guò)該報(bào)告讓開(kāi)發(fā)者能夠全面的了解自己使用的所有第三方SDK，從而更輕松的創(chuàng)建準(zhǔn)確的隱私標(biāo)簽。

這么做的原因也很簡(jiǎn)單，因?yàn)樘O(píng)果要求所有的開(kāi)發(fā)者如果使用第三方SDK，那么他們就需要對(duì)App中SDK包含的所有代碼負(fù)責(zé)，并且清晰地了解SDK是如何收集和使用用戶數(shù)據(jù)的。從某種程度上來(lái)說(shuō)，這就是將侵犯隱私和審查SDK的風(fēng)險(xiǎn)和責(zé)任轉(zhuǎn)嫁給了開(kāi)發(fā)者，因此提供一些便利自然也在情理之中。

總的來(lái)看，這次2024春季隱私清單政策主要就是兩個(gè)關(guān)鍵：蘋(píng)果創(chuàng)建了一個(gè)第三方SDK隱私清單和簽名；以及開(kāi)發(fā)者為什么要使用某個(gè)API流程。

01

隱私清單和SDK簽名到底是什么？

首先來(lái)看隱私清單，其實(shí)所謂的第三方隱私清單（privacy manifest），本質(zhì)上就是讓SDK開(kāi)發(fā)人員提供他們SDK是如何收集數(shù)據(jù)的，這樣就能夠讓App開(kāi)發(fā)者在集成各種SDK的時(shí)候，就能迅速得到一份詳細(xì)的相關(guān)報(bào)告，從而避免額外手機(jī)不必要的用戶數(shù)據(jù)。

更進(jìn)一步來(lái)說(shuō)，如果開(kāi)發(fā)者在App內(nèi)集成了不止一個(gè)SDK，上文中所說(shuō)的Xcode也能夠簡(jiǎn)單的將第三方SDK中的多個(gè)隱私清單合并，最終導(dǎo)出一個(gè)報(bào)告匯總，從而讓開(kāi)發(fā)者能夠清晰且全面的了解自己所使用的全部SDK是如何收集并應(yīng)用這些數(shù)據(jù)的。

由此，開(kāi)發(fā)者就能在提交App Store審核時(shí)，能夠更好且更清晰的在后臺(tái)提供自己App的隱私標(biāo)簽，在App Store的后臺(tái)明確自己App的數(shù)據(jù)收集和使用場(chǎng)景，從而讓用戶能夠在詳情頁(yè)就清楚的指導(dǎo)該App收集了哪些數(shù)據(jù)，并且將會(huì)把這些數(shù)據(jù)用在什么地方。

除此之外，蘋(píng)果還要求SDK的開(kāi)發(fā)者提供SDK簽名。具體來(lái)看，有了SDK簽名，當(dāng)應(yīng)用這作者在自己的應(yīng)用中采用一個(gè)第三方應(yīng)用新版本的時(shí)候，Xcode會(huì)對(duì)其是否由同一個(gè)開(kāi)發(fā)者簽名進(jìn)行驗(yàn)證，提升軟件供應(yīng)鏈的完整性。說(shuō)的簡(jiǎn)單直白一點(diǎn)，就是蘋(píng)果希望通過(guò)簽名認(rèn)證的方式，來(lái)確保SDK不會(huì)在開(kāi)發(fā)的過(guò)程中被篡改。

經(jīng)過(guò)簽名認(rèn)證后的 SDK ，在 Xcode15 會(huì)顯示對(duì)應(yīng)的 Signature 信息，如果一旦發(fā)現(xiàn)本次前面和上次不一致，那么Xcode 就會(huì)讓編譯失敗并彈出警告。雖然目前來(lái)看，蘋(píng)果并沒(méi)有要求所有的SDK強(qiáng)制使用簽名，但如果這一SDK涉及到隱私手機(jī)，尤其是出現(xiàn)在下面列表中的這些SDK，則一定要添加相關(guān)簽名。

需要隱私清單和簽名的SDK：蘋(píng)果還專(zhuān)門(mén)列出了一個(gè)在App Store常用的SDK清單，并且表示，“自2024年春季開(kāi)始，當(dāng)您在App Store Connect中提交包含這些SDK的新應(yīng)用程序時(shí)，或者當(dāng)您提交的更新包含這些SDK的時(shí)候，必須包含下面列出的任何SDK的隱私清單。在將列出的SDK用作二進(jìn)制依賴(lài)項(xiàng)的情況下，也需要簽名。所列SDK的任何版本，以及對(duì)列表中的SDK進(jìn)行重新打包的任何SDK，都包含在規(guī)定中。”

具體SDK列表截圖如下：

02

給API一個(gè)必要理由

除了隱私清單之外，本次新政策最為關(guān)鍵的則是所謂的《必要理由API申明》。

簡(jiǎn)單來(lái)說(shuō)，就是蘋(píng)果只做了一個(gè)新的API分類(lèi)，開(kāi)發(fā)者則需要使用這個(gè)分類(lèi)在隱私清單里面說(shuō)明為什么需要調(diào)用該API接口。從目前的情況來(lái)看，蘋(píng)果可能是期望通過(guò)此舉來(lái)規(guī)范App使用這些API做各種Fingerprinting識(shí)別行為。

相關(guān)的API總計(jì)有5個(gè)：

也就是說(shuō)，如果 SDK 和 App 里用到了分類(lèi)里的這些 API ，那么開(kāi)發(fā)者就需要在隱私列表里填寫(xiě)為什么要使用這些API的原因。

總結(jié)一下，本次 iOS 隱私清單主要覆蓋的有：