伴隨著數(shù)字時(shí)代的快速發(fā)展，用戶(hù)隱私保護(hù)意識(shí)正在覺(jué)醒，對(duì)于隱私保護(hù)關(guān)注度明顯上升。與此同時(shí)，全球也拉開(kāi)了隱私保護(hù)的大潮流，從GDPR到個(gè)人信息保護(hù)法，隱私問(wèn)題已經(jīng)成為互聯(lián)網(wǎng)科技巨頭必須直面的“深坑”。

不少巨頭在上面栽跟頭，其中最令人耳熟能詳?shù)木褪荕eta。2019年因泄露用戶(hù)隱私，F(xiàn)acebook被罰款50億美元；2021年，因暴露全球數(shù)億用戶(hù)的個(gè)人信息。Meta被愛(ài)爾蘭數(shù)據(jù)保護(hù)委員會(huì)(DPC)罰款2.65億歐元。

而就在近日，谷歌高舉用戶(hù)隱私保護(hù)的大旗，開(kāi)始計(jì)劃全面禁用第三方Cookie，目前已經(jīng)對(duì)1%的用戶(hù)進(jìn)行小范圍測(cè)試，預(yù)計(jì)將在今年年底擴(kuò)展到全部Chrome瀏覽器用戶(hù)。同樣值得關(guān)注的是，蘋(píng)果此前發(fā)布的2024年應(yīng)用開(kāi)發(fā)者新規(guī)中提到將嚴(yán)厲打擊第三方SDK隱私清單，將在今年春季重點(diǎn)實(shí)施。

2024年伊始，谷歌、蘋(píng)果兩家巨頭無(wú)疑為用戶(hù)隱私保護(hù)放出了兩記重磅“炸彈”。這兩大舉措不僅對(duì)整個(gè)科技行業(yè)生態(tài)產(chǎn)生了巨大影響，在個(gè)人隱私保護(hù)領(lǐng)域也是標(biāo)志性事件。

谷歌宣布取消Cookie

事實(shí)上，谷歌的這一舉措已醞釀多年。本次推出的Cookie禁令，所針對(duì)的是第三方Cookie，即在線廣告行業(yè)在網(wǎng)站上放置的用于跟蹤用戶(hù)、投放相關(guān)廣告的Cookie，不會(huì)影響網(wǎng)站用來(lái)存儲(chǔ)登錄信息等基本內(nèi)容的Cookie。

《華爾街日?qǐng)?bào)》評(píng)論稱(chēng)，這是互聯(lián)網(wǎng)廣告行業(yè)有史以來(lái)最大的變化之一。此舉措的出臺(tái)將大大改變廣告商追蹤目標(biāo)用戶(hù)的方式，同時(shí)也意味著“個(gè)性化推薦”將被逐步取消。

Cookie的全稱(chēng)為HTTP Cookie，是一種用于在客戶(hù)端與服務(wù)器之間傳遞信息的小型文本文件。它最早出現(xiàn)在1994年，由網(wǎng)景公司的程序員Lou Montulli發(fā)明。最初的目的是為了解決購(gòu)物車(chē)功能的問(wèn)題，后來(lái)被廣泛應(yīng)用于網(wǎng)站的用戶(hù)追蹤和個(gè)性化服務(wù)。現(xiàn)如今，Cookie已經(jīng)成為互聯(lián)網(wǎng)中不可或缺的一部分。

在互聯(lián)網(wǎng)行業(yè)，“Cookie”是指瀏覽網(wǎng)頁(yè)后存儲(chǔ)在計(jì)算機(jī)的緩存文件，包括用戶(hù)名、密碼、注冊(cè)賬戶(hù)、手機(jī)號(hào)等公民個(gè)人信息。一些網(wǎng)站為了辨別用戶(hù)身份會(huì)使用“Cookie”。

比如，當(dāng)我們?cè)谑状螢g覽某一網(wǎng)站時(shí)，會(huì)收到如下圖所示的“Cookie”彈窗。提示“你是否要記住密碼”如果選擇是，下次訪問(wèn)可以不輸入賬號(hào)密碼直接登錄，這是Cookie的功能之一。

Cookie作為互聯(lián)網(wǎng)中的重要組成部分，為我們提供了許多便利的功能，同時(shí)也帶來(lái)了一些隱私和安全的風(fēng)險(xiǎn)。

由于存在數(shù)據(jù)隱私風(fēng)險(xiǎn)，多家機(jī)構(gòu)及公司都曾對(duì)Cookie的使用進(jìn)行整治。例如，歐盟禁止在未經(jīng)用戶(hù)明確同意的情況下使用不必要的Cookie來(lái)分析或跟蹤用戶(hù)，蘋(píng)果禁止iPhone和iPad用戶(hù)使用第三方Cookie。

在谷歌宣布取消Cookie后，廣告行業(yè)對(duì)這一舉措非常不滿(mǎn)。廣告技術(shù)行業(yè)貿(mào)易組織IAB Tech Lab的首席執(zhí)行官Anthony Katsur稱(chēng)對(duì)于此事，廣告行業(yè)還遠(yuǎn)未做好準(zhǔn)備。因?yàn)檫@可能會(huì)影響公司廣告到達(dá)理想受眾的程度。

根據(jù)Statcounter公布的數(shù)據(jù)，谷歌瀏覽器占全球互聯(lián)網(wǎng)流量的65%，是名副其實(shí)的互聯(lián)網(wǎng)廣告巨頭，一直以來(lái)廣告行業(yè)都極其依賴(lài)谷歌強(qiáng)大的流量。因此，在取消Cookie后，在線廣告的價(jià)格可能會(huì)隨著谷歌的舉動(dòng)而發(fā)生不可預(yù)測(cè)的變化。

蘋(píng)果對(duì)第三方SDK重拳出擊

在谷歌之前，全球巨頭蘋(píng)果公司針對(duì)用戶(hù)隱私保護(hù)也有“大動(dòng)作”。

自從2021年 iOS14.5 推出 IDFA 新規(guī)后，無(wú)論蘋(píng)果是真的想保護(hù)消費(fèi)者隱私，還是像很多友商評(píng)價(jià)的其本質(zhì)是為了增加自己的廣告服務(wù)收入也好，總之蘋(píng)果對(duì)隱私保護(hù)的政策正在變得越來(lái)越嚴(yán)格。

2023年冬，蘋(píng)果發(fā)布了2024年春季的應(yīng)用開(kāi)發(fā)者新規(guī)，其中提到，將嚴(yán)厲打擊第三方SDK隱私清單；目的是保護(hù)用戶(hù)隱私；以便用戶(hù)更加了解第三方SDK的使用和收集數(shù)據(jù)的方式。

SDK，全稱(chēng)Software Development Kit，即軟件開(kāi)發(fā)工具包。廣泛來(lái)說(shuō)，它是輔助開(kāi)發(fā)某一類(lèi)軟件的相關(guān)文檔、范例和工具的集合。而對(duì)手機(jī)來(lái)說(shuō)，通常情況下，這些SDK 是由廣告、數(shù)據(jù)、社交網(wǎng)絡(luò)、地圖和推送平臺(tái)等第三方服務(wù)提供商所開(kāi)發(fā)的工具包，可以提供專(zhuān)業(yè)的服務(wù)，其中封裝了復(fù)雜的邏輯實(shí)現(xiàn)以及請(qǐng)求響應(yīng)的過(guò)程，使其更便于開(kāi)發(fā)人員使用。為了縮短開(kāi)發(fā)時(shí)間和提高開(kāi)發(fā)效率，手機(jī)應(yīng)用開(kāi)發(fā)商將多種類(lèi)型的第三方SDK（軟件開(kāi)發(fā)工具包）集成到他們的應(yīng)用程序中。不難看出，第三方SDK已經(jīng)成為了手機(jī)應(yīng)用生態(tài)系統(tǒng)的重要組成部分。

應(yīng)用開(kāi)發(fā)者使用SDK，不僅可以更好地減輕開(kāi)發(fā)者的負(fù)擔(dān)，還能輔助軟件的功能開(kāi)發(fā)，但是無(wú)論是開(kāi)發(fā)者或者用戶(hù)都很難發(fā)現(xiàn)SDK隱藏的隱私風(fēng)險(xiǎn)。

于是在 2023 年 WWDC 上，蘋(píng)果就宣布了新的 SDK 隱私清單和簽名，以便用戶(hù)更好的了解第三方 SDK 使用和收集數(shù)據(jù)的方式，并在2024年春季重點(diǎn)實(shí)施。

第三方隱私清單（privacy manifest），本質(zhì)上就是讓 SDK 開(kāi)發(fā)人員提供他們 SDK 是如何收集數(shù)據(jù)的，這樣就能夠讓 APP 開(kāi)發(fā)者在集成各種 SDK 的時(shí)候，就能迅速得到一份詳細(xì)的相關(guān)報(bào)告，從而避免額外手機(jī)不必要的用戶(hù)數(shù)據(jù)。

在此次新規(guī)中，蘋(píng)果要求所有的開(kāi)發(fā)者如果使用第三方 SDK，就必須要對(duì) APP 中 SDK 包含的所有代碼負(fù)責(zé)，并且清晰地了解 SDK 是如何收集和使用用戶(hù)數(shù)據(jù)的。

這樣開(kāi)發(fā)者就能在提交 APP Store 審核時(shí)，能夠更好且更清晰的在后臺(tái)提供自己 APP 的隱私標(biāo)簽，在 APP Store 的后臺(tái)明確自己 APP 的數(shù)據(jù)收集和使用場(chǎng)景，從而讓用戶(hù)能夠在詳情頁(yè)就清楚的指導(dǎo)該 APP 收集了哪些數(shù)據(jù)，并且將會(huì)把這些數(shù)據(jù)用在什么地方。

除此之外，蘋(píng)果還要求 SDK 的開(kāi)發(fā)者提供SDK 簽名。蘋(píng)果希望通過(guò)簽名認(rèn)證的方式，來(lái)確保 SDK 不會(huì)在開(kāi)發(fā)的過(guò)程中被篡改。經(jīng)過(guò)簽名認(rèn)證后的 SDK ，在 Xcode15 會(huì)顯示對(duì)應(yīng)的 Signature 信息，如果一旦發(fā)現(xiàn)本次簽名和上次不一致，那么 Xcode 就會(huì)讓編譯失敗并彈出警告。雖然目前來(lái)看，蘋(píng)果并沒(méi)有要求所有的 SDK 強(qiáng)制使用簽名，但如果這一 SDK 涉及到隱私手機(jī)，尤其是出現(xiàn)在下面列表中的這些 SDK，則一定要添加相關(guān)簽名。

在本次新政策中，還有一個(gè)值得注意的就是API聲明。蘋(píng)果做了一個(gè)新的 API 分類(lèi)，開(kāi)發(fā)者需要在隱私清單里面說(shuō)明為什么需要調(diào)用該 API 接口。從目前的情況來(lái)看，蘋(píng)果可能是期望通過(guò)此舉來(lái)規(guī)范 APP 使用這些 API 做各種 Fingerprinting 識(shí)別行為。也就是說(shuō)，如果 SDK 和 APP 里用到了分類(lèi)里的這些 API ，那么開(kāi)發(fā)者就需要在隱私列表里填寫(xiě)為什么要使用這些 API 的原因。

在去年6月的WWDC23大會(huì)上，蘋(píng)果公司曾公開(kāi)表示該功能是為所有應(yīng)用向前邁出的一步，他們鼓勵(lì)所有的SKD采用，以更好地支持依賴(lài)它們的應(yīng)用。同時(shí)還表示，保護(hù)用戶(hù)隱私、讓用戶(hù)自己掌控個(gè)人信息，是蘋(píng)果設(shè)計(jì)產(chǎn)品和服務(wù)時(shí)一貫堅(jiān)持的理念。

Cookie、SDK或是隱私泄露的“幕后黑手”

谷歌和蘋(píng)果的此番動(dòng)作，或許是為了加強(qiáng)企業(yè)自身的主流地位，也或許是擴(kuò)大ios生態(tài)的護(hù)城河......總之歸根結(jié)底是為了其商業(yè)版圖服務(wù)，因此才對(duì)第三方痛下殺手。

關(guān)于這一點(diǎn)我們?cè)谶@不過(guò)多討論，但有意思的是，這兩家巨頭這次的大動(dòng)作都是以“隱私之名”發(fā)起的，那么限制第三方Cookie和SDK對(duì)于用戶(hù)隱私究竟有哪些幫助？

在探討這個(gè)問(wèn)題之前，我想先問(wèn)問(wèn)，在日常生活中，大家是否曾有過(guò)這樣的經(jīng)歷？某天你在網(wǎng)上隨便搜索或者曾經(jīng)購(gòu)買(mǎi)過(guò)某件商品，或者和朋友聊起過(guò)某個(gè)物品，隨后馬上就會(huì)在很多個(gè)APP、瀏覽器、開(kāi)屏廣告等等看到相關(guān)內(nèi)容的廣告推送。這時(shí)候你是否會(huì)有一種“它怎么知道我喜歡什么？”的疑惑，甚至覺(jué)得有點(diǎn)細(xì)思恐極。明明是不同的APP、不同的賬號(hào)，為什么能完全能知道我們之前看了什么？

其實(shí)隱匿在背后窺視用戶(hù)隱私的“黑手”，正是第三方SDK和Cookie。

根據(jù)此前國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心、中國(guó)網(wǎng)絡(luò)空間安全協(xié)會(huì)發(fā)布的《APP違法違規(guī)收集使用個(gè)人信息監(jiān)測(cè)分析報(bào)告》顯示，第三方SDK收集行為普遍存在。很多APP甚至?xí)谟脩?hù)同意隱私政策前就開(kāi)始收集個(gè)人信息，且在隱私政策中未明確提及接入SDK數(shù)據(jù)收集情況，同時(shí)還有了SDK收集個(gè)人信息范圍與隱私政策描述不相符等問(wèn)題?？梢哉f(shuō)第三方SDK在嵌入App時(shí)，也嵌入了風(fēng)險(xiǎn)元素。

不止SDK，存儲(chǔ)著用戶(hù)大量個(gè)人信息，包括用戶(hù)的登錄狀態(tài)、瀏覽信息、設(shè)備信息等內(nèi)容的Cookie也是用戶(hù)隱私泄露的一大安全隱患。

雖然Cookie收集的內(nèi)容本身只是純文本文件，不會(huì)泄露隱私信息，但如果網(wǎng)站以此為線索，長(zhǎng)期追蹤用戶(hù)的行為，或者采取其他交叉技術(shù)手段獲取信息，就可以獲取到一些用戶(hù)的隱私信息。

根據(jù)這些收集來(lái)的信息，海量的用戶(hù)被迅速“畫(huà)像”，當(dāng)用戶(hù)再次登錄這些網(wǎng)站或APP時(shí)，它們便會(huì)根據(jù)用戶(hù)的“畫(huà)像”推算其可能感興趣的內(nèi)容，從而實(shí)現(xiàn)精準(zhǔn)推送。

那么今后如果取消Cookie并對(duì)第三方SDK加以限制，能夠很大程度地減少其對(duì)用戶(hù)信息的跟蹤和收集，保護(hù)用戶(hù)的個(gè)人數(shù)據(jù)。其次，由于第三方Cookie和SDK經(jīng)常與多個(gè)不同的公司和服務(wù)共享數(shù)據(jù)，這樣的舉措也能夠降低數(shù)據(jù)泄露和濫用的風(fēng)險(xiǎn)。同時(shí)，對(duì)第三方Cookie和SDK的限制還可以提高用戶(hù)的隱私意識(shí)，讓用戶(hù)更加了解自己的數(shù)據(jù)是如何被收集和使用的。當(dāng)用戶(hù)知道他們的隱私得到了保護(hù)，他們對(duì)使用該服務(wù)或產(chǎn)品的信任度也會(huì)增加。

不過(guò)值得注意的是，限制第三方Cookie和SDK可能會(huì)對(duì)業(yè)務(wù)產(chǎn)生影響，例如可能會(huì)降低廣告的效果和精準(zhǔn)度，也可能會(huì)影響個(gè)性化服務(wù)和內(nèi)容的提供。因此，如何在保護(hù)用戶(hù)隱私和提供優(yōu)質(zhì)服務(wù)之間找到平衡，是業(yè)界需要面臨的挑戰(zhàn)。

個(gè)人隱私保護(hù)之路依舊漫長(zhǎng)

自2021年以來(lái)，國(guó)家陸續(xù)出臺(tái)了《個(gè)人信息保護(hù)法》、《網(wǎng)絡(luò)安全法》、《APP違法違規(guī)收集使用個(gè)人信息行為認(rèn)定方法》等律法，建立了相對(duì)健全的隱私保護(hù)制度，盡可能保護(hù)大數(shù)據(jù)時(shí)代下的個(gè)人信息安全與隱私。

雖然這些年陸續(xù)有保護(hù)用戶(hù)隱私的相關(guān)政策出臺(tái)，但法律規(guī)范和飛速發(fā)展的互聯(lián)網(wǎng)相比依然是相對(duì)滯后的。在經(jīng)濟(jì)利益的驅(qū)使下，有著無(wú)限的利用價(jià)值的個(gè)人隱私數(shù)據(jù)依舊被“瘋狂掠奪”。個(gè)人隱私被侵犯的問(wèn)題仍是個(gè)老生常談的“難題”。

很顯然，個(gè)人隱私保護(hù)已經(jīng)成為了互聯(lián)網(wǎng)時(shí)代的重要命題。

此次谷歌取消Cookie、蘋(píng)果嚴(yán)厲打擊第三方SDK，兩大科技巨頭帶頭搞出的“大動(dòng)作，對(duì)于保護(hù)用戶(hù)隱私來(lái)說(shuō)，是至關(guān)重要的一步。想必今后各平臺(tái)、APP在收集用戶(hù)隱私信息方面的監(jiān)管必定會(huì)越來(lái)越嚴(yán)格。

山雨欲來(lái)風(fēng)滿(mǎn)樓，日趨完善的個(gè)人保護(hù)律法配合各大企業(yè)打出的這套“組合拳”，或許真的能帶領(lǐng)個(gè)人隱私保護(hù)沖破現(xiàn)今這個(gè)被明碼標(biāo)價(jià)的“黑暗時(shí)期”。