伴隨著數(shù)字時代的快速發(fā)展，用戶隱私保護意識正在覺醒，對于隱私保護關(guān)注度明顯上升。與此同時，全球也拉開了隱私保護的大潮流，從GDPR到個人信息保護法，隱私問題已經(jīng)成為互聯(lián)網(wǎng)科技巨頭必須直面的“深坑”。

不少巨頭在上面栽跟頭，其中最令人耳熟能詳?shù)木褪荕eta。2019年因泄露用戶隱私，F(xiàn)acebook被罰款50億美元；2021年，因暴露全球數(shù)億用戶的個人信息。Meta被愛爾蘭數(shù)據(jù)保護委員會(DPC)罰款2.65億歐元。

而就在近日，谷歌高舉用戶隱私保護的大旗，開始計劃全面禁用第三方Cookie，目前已經(jīng)對1%的用戶進行小范圍測試，預(yù)計將在今年年底擴展到全部Chrome瀏覽器用戶。同樣值得關(guān)注的是，蘋果此前發(fā)布的2024年應(yīng)用開發(fā)者新規(guī)中提到將嚴厲打擊第三方SDK隱私清單，將在今年春季重點實施。

2024年伊始，谷歌、蘋果兩家巨頭無疑為用戶隱私保護放出了兩記重磅“炸彈”。這兩大舉措不僅對整個科技行業(yè)生態(tài)產(chǎn)生了巨大影響，在個人隱私保護領(lǐng)域也是標志性事件。

谷歌宣布取消Cookie

事實上，谷歌的這一舉措已醞釀多年。本次推出的Cookie禁令，所針對的是第三方Cookie，即在線廣告行業(yè)在網(wǎng)站上放置的用于跟蹤用戶、投放相關(guān)廣告的Cookie，不會影響網(wǎng)站用來存儲登錄信息等基本內(nèi)容的Cookie。

《華爾街日報》評論稱，這是互聯(lián)網(wǎng)廣告行業(yè)有史以來最大的變化之一。此舉措的出臺將大大改變廣告商追蹤目標用戶的方式，同時也意味著“個性化推薦”將被逐步取消。

Cookie的全稱為HTTP Cookie，是一種用于在客戶端與服務(wù)器之間傳遞信息的小型文本文件。它最早出現(xiàn)在1994年，由網(wǎng)景公司的程序員Lou Montulli發(fā)明。最初的目的是為了解決購物車功能的問題，后來被廣泛應(yīng)用于網(wǎng)站的用戶追蹤和個性化服務(wù)。現(xiàn)如今，Cookie已經(jīng)成為互聯(lián)網(wǎng)中不可或缺的一部分。

在互聯(lián)網(wǎng)行業(yè)，“Cookie”是指瀏覽網(wǎng)頁后存儲在計算機的緩存文件，包括用戶名、密碼、注冊賬戶、手機號等公民個人信息。一些網(wǎng)站為了辨別用戶身份會使用“Cookie”。

比如，當(dāng)我們在首次瀏覽某一網(wǎng)站時，會收到如下圖所示的“Cookie”彈窗。提示“你是否要記住密碼”如果選擇是，下次訪問可以不輸入賬號密碼直接登錄，這是Cookie的功能之一。

Cookie作為互聯(lián)網(wǎng)中的重要組成部分，為我們提供了許多便利的功能，同時也帶來了一些隱私和安全的風(fēng)險。

由于存在數(shù)據(jù)隱私風(fēng)險，多家機構(gòu)及公司都曾對Cookie的使用進行整治。例如，歐盟禁止在未經(jīng)用戶明確同意的情況下使用不必要的Cookie來分析或跟蹤用戶，蘋果禁止iPhone和iPad用戶使用第三方Cookie。

在谷歌宣布取消Cookie后，廣告行業(yè)對這一舉措非常不滿。廣告技術(shù)行業(yè)貿(mào)易組織IAB Tech Lab的首席執(zhí)行官Anthony Katsur稱對于此事，廣告行業(yè)還遠未做好準備。因為這可能會影響公司廣告到達理想受眾的程度。

根據(jù)Statcounter公布的數(shù)據(jù)，谷歌瀏覽器占全球互聯(lián)網(wǎng)流量的65%，是名副其實的互聯(lián)網(wǎng)廣告巨頭，一直以來廣告行業(yè)都極其依賴谷歌強大的流量。因此，在取消Cookie后，在線廣告的價格可能會隨著谷歌的舉動而發(fā)生不可預(yù)測的變化。

蘋果對第三方SDK重拳出擊

在谷歌之前，全球巨頭蘋果公司針對用戶隱私保護也有“大動作”。

自從2021年 iOS14.5 推出 IDFA 新規(guī)后，無論蘋果是真的想保護消費者隱私，還是像很多友商評價的其本質(zhì)是為了增加自己的廣告服務(wù)收入也好，總之蘋果對隱私保護的政策正在變得越來越嚴格。

2023年冬，蘋果發(fā)布了2024年春季的應(yīng)用開發(fā)者新規(guī)，其中提到，將嚴厲打擊第三方SDK隱私清單；目的是保護用戶隱私；以便用戶更加了解第三方SDK的使用和收集數(shù)據(jù)的方式。

SDK，全稱Software Development Kit，即軟件開發(fā)工具包。廣泛來說，它是輔助開發(fā)某一類軟件的相關(guān)文檔、范例和工具的集合。而對手機來說，通常情況下，這些SDK 是由廣告、數(shù)據(jù)、社交網(wǎng)絡(luò)、地圖和推送平臺等第三方服務(wù)提供商所開發(fā)的工具包，可以提供專業(yè)的服務(wù)，其中封裝了復(fù)雜的邏輯實現(xiàn)以及請求響應(yīng)的過程，使其更便于開發(fā)人員使用。為了縮短開發(fā)時間和提高開發(fā)效率，手機應(yīng)用開發(fā)商將多種類型的第三方SDK（軟件開發(fā)工具包）集成到他們的應(yīng)用程序中。不難看出，第三方SDK已經(jīng)成為了手機應(yīng)用生態(tài)系統(tǒng)的重要組成部分。

應(yīng)用開發(fā)者使用SDK，不僅可以更好地減輕開發(fā)者的負擔(dān)，還能輔助軟件的功能開發(fā)，但是無論是開發(fā)者或者用戶都很難發(fā)現(xiàn)SDK隱藏的隱私風(fēng)險。

于是在 2023 年 WWDC 上，蘋果就宣布了新的 SDK 隱私清單和簽名，以便用戶更好的了解第三方 SDK 使用和收集數(shù)據(jù)的方式，并在2024年春季重點實施。

第三方隱私清單（privacy manifest），本質(zhì)上就是讓 SDK 開發(fā)人員提供他們 SDK 是如何收集數(shù)據(jù)的，這樣就能夠讓 APP 開發(fā)者在集成各種 SDK 的時候，就能迅速得到一份詳細的相關(guān)報告，從而避免額外手機不必要的用戶數(shù)據(jù)。

在此次新規(guī)中，蘋果要求所有的開發(fā)者如果使用第三方 SDK，就必須要對 APP 中 SDK 包含的所有代碼負責(zé)，并且清晰地了解 SDK 是如何收集和使用用戶數(shù)據(jù)的。

這樣開發(fā)者就能在提交 APP Store 審核時，能夠更好且更清晰的在后臺提供自己 APP 的隱私標簽，在 APP Store 的后臺明確自己 APP 的數(shù)據(jù)收集和使用場景，從而讓用戶能夠在詳情頁就清楚的指導(dǎo)該 APP 收集了哪些數(shù)據(jù)，并且將會把這些數(shù)據(jù)用在什么地方。

除此之外，蘋果還要求 SDK 的開發(fā)者提供SDK 簽名。蘋果希望通過簽名認證的方式，來確保 SDK 不會在開發(fā)的過程中被篡改。經(jīng)過簽名認證后的 SDK ，在 Xcode15 會顯示對應(yīng)的 Signature 信息，如果一旦發(fā)現(xiàn)本次簽名和上次不一致，那么 Xcode 就會讓編譯失敗并彈出警告。雖然目前來看，蘋果并沒有要求所有的 SDK 強制使用簽名，但如果這一 SDK 涉及到隱私手機，尤其是出現(xiàn)在下面列表中的這些 SDK，則一定要添加相關(guān)簽名。

在本次新政策中，還有一個值得注意的就是API聲明。蘋果做了一個新的 API 分類，開發(fā)者需要在隱私清單里面說明為什么需要調(diào)用該 API 接口。從目前的情況來看，蘋果可能是期望通過此舉來規(guī)范 APP 使用這些 API 做各種 Fingerprinting 識別行為。也就是說，如果 SDK 和 APP 里用到了分類里的這些 API ，那么開發(fā)者就需要在隱私列表里填寫為什么要使用這些 API 的原因。

在去年6月的WWDC23大會上，蘋果公司曾公開表示該功能是為所有應(yīng)用向前邁出的一步，他們鼓勵所有的SKD采用，以更好地支持依賴它們的應(yīng)用。同時還表示，保護用戶隱私、讓用戶自己掌控個人信息，是蘋果設(shè)計產(chǎn)品和服務(wù)時一貫堅持的理念。

Cookie、SDK或是隱私泄露的“幕后黑手”

谷歌和蘋果的此番動作，或許是為了加強企業(yè)自身的主流地位，也或許是擴大ios生態(tài)的護城河......總之歸根結(jié)底是為了其商業(yè)版圖服務(wù)，因此才對第三方痛下殺手。

關(guān)于這一點我們在這不過多討論，但有意思的是，這兩家巨頭這次的大動作都是以“隱私之名”發(fā)起的，那么限制第三方Cookie和SDK對于用戶隱私究竟有哪些幫助？

在探討這個問題之前，我想先問問，在日常生活中，大家是否曾有過這樣的經(jīng)歷？某天你在網(wǎng)上隨便搜索或者曾經(jīng)購買過某件商品，或者和朋友聊起過某個物品，隨后馬上就會在很多個APP、瀏覽器、開屏廣告等等看到相關(guān)內(nèi)容的廣告推送。這時候你是否會有一種“它怎么知道我喜歡什么？”的疑惑，甚至覺得有點細思恐極。明明是不同的APP、不同的賬號，為什么能完全能知道我們之前看了什么？

其實隱匿在背后窺視用戶隱私的“黑手”，正是第三方SDK和Cookie。

根據(jù)此前國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心、中國網(wǎng)絡(luò)空間安全協(xié)會發(fā)布的《APP違法違規(guī)收集使用個人信息監(jiān)測分析報告》顯示，第三方SDK收集行為普遍存在。很多APP甚至?xí)谟脩敉怆[私政策前就開始收集個人信息，且在隱私政策中未明確提及接入SDK數(shù)據(jù)收集情況，同時還有了SDK收集個人信息范圍與隱私政策描述不相符等問題。可以說第三方SDK在嵌入App時，也嵌入了風(fēng)險元素。

不止SDK，存儲著用戶大量個人信息，包括用戶的登錄狀態(tài)、瀏覽信息、設(shè)備信息等內(nèi)容的Cookie也是用戶隱私泄露的一大安全隱患。

雖然Cookie收集的內(nèi)容本身只是純文本文件，不會泄露隱私信息，但如果網(wǎng)站以此為線索，長期追蹤用戶的行為，或者采取其他交叉技術(shù)手段獲取信息，就可以獲取到一些用戶的隱私信息。

根據(jù)這些收集來的信息，海量的用戶被迅速“畫像”，當(dāng)用戶再次登錄這些網(wǎng)站或APP時，它們便會根據(jù)用戶的“畫像”推算其可能感興趣的內(nèi)容，從而實現(xiàn)精準推送。

那么今后如果取消Cookie并對第三方SDK加以限制，能夠很大程度地減少其對用戶信息的跟蹤和收集，保護用戶的個人數(shù)據(jù)。其次，由于第三方Cookie和SDK經(jīng)常與多個不同的公司和服務(wù)共享數(shù)據(jù)，這樣的舉措也能夠降低數(shù)據(jù)泄露和濫用的風(fēng)險。同時，對第三方Cookie和SDK的限制還可以提高用戶的隱私意識，讓用戶更加了解自己的數(shù)據(jù)是如何被收集和使用的。當(dāng)用戶知道他們的隱私得到了保護，他們對使用該服務(wù)或產(chǎn)品的信任度也會增加。

不過值得注意的是，限制第三方Cookie和SDK可能會對業(yè)務(wù)產(chǎn)生影響，例如可能會降低廣告的效果和精準度，也可能會影響個性化服務(wù)和內(nèi)容的提供。因此，如何在保護用戶隱私和提供優(yōu)質(zhì)服務(wù)之間找到平衡，是業(yè)界需要面臨的挑戰(zhàn)。

個人隱私保護之路依舊漫長

自2021年以來，國家陸續(xù)出臺了《個人信息保護法》、《網(wǎng)絡(luò)安全法》、《APP違法違規(guī)收集使用個人信息行為認定方法》等律法，建立了相對健全的隱私保護制度，盡可能保護大數(shù)據(jù)時代下的個人信息安全與隱私。

雖然這些年陸續(xù)有保護用戶隱私的相關(guān)政策出臺，但法律規(guī)范和飛速發(fā)展的互聯(lián)網(wǎng)相比依然是相對滯后的。在經(jīng)濟利益的驅(qū)使下，有著無限的利用價值的個人隱私數(shù)據(jù)依舊被“瘋狂掠奪”。個人隱私被侵犯的問題仍是個老生常談的“難題”。

很顯然，個人隱私保護已經(jīng)成為了互聯(lián)網(wǎng)時代的重要命題。

此次谷歌取消Cookie、蘋果嚴厲打擊第三方SDK，兩大科技巨頭帶頭搞出的“大動作，對于保護用戶隱私來說，是至關(guān)重要的一步。想必今后各平臺、APP在收集用戶隱私信息方面的監(jiān)管必定會越來越嚴格。

山雨欲來風(fēng)滿樓，日趨完善的個人保護律法配合各大企業(yè)打出的這套“組合拳”，或許真的能帶領(lǐng)個人隱私保護沖破現(xiàn)今這個被明碼標價的“黑暗時期”。