Anthony Chavez(GoogleVP,Android安全隐私部门PM)在2.16发表了一篇blog,Introducing the Privacy Sandbox on Android[1]。
这篇文章里提到:
- Google Play上有90%的应用是免费的,主要是因为电子广告的支撑
- 一个良好的app生态系统,需要对用户、开发者和生意模式都是有利的
- 当前正在计划使用已经在web上实践过的privacy box方案,将方案同步在android平台上
- 但一些细节还需要借助行业的力量一起完善,计划2022年底释放第一个beta release
Android Privacy sandbox技术方案
Google在chrome上已经规划和实践过多年privacy sandbox的技术方案,目前也希望移植到Android里。
理论上,Privacy sandbox方案可以用于所有的三方SDK,但当前会主要聚焦在对广告SDK的治理,毕竟广告SDK是使用用户隐私数据的重点区域。
通过阅读官方技术文档[2]可以发现,目前在Android平台,方案主要包括如下四个方向:
- SDK Runtime
- Topics
- FLEDGE on Android
- Attribution Reporting
SDK Runtime
一个面向市场发布的App通常都会包含大量的三方SDK,如登录SDK、打点SDK、PUSH SDK等,大多也会包含广告SDK。
这些SDK与Apk(宿主)共享用户数据和权限,可能会对用户隐私造成威胁。
SDK Runtime方案是将App运行时与SDK运行时进行分离,单独对SDK的运行环境进行管理。
此时,SDK不再享有和APK同样的权限和数据获取能力,且获取系统隐私数据的行为收到宿主APK的管控。
应用市场也需要提供对应的支持。
应用市场不仅要分发应用,还需要支持SDK的上传、审核和分发。App在清单文件中声明所依赖的SDK名称、版本等信息,在下载安装的同时,也会下载SDK的“安装包”进行安装。
Topics
Google提供了一套获取用户喜好标签的API
- Google基于用户的应用安装列表,通过机器学习的方式,识别出用户的喜好
- Google建议不要使用topic缓存,每次都通过接口来获取
- 不同的应用获取的topics可能是不同的
- 用户每安装一个新的应用,就可能会生成新的topic
- 用户卸载一个应用,相关的topic也不会立即失效,会持续一段时间
FLEDGE on Android
FLEDGE: First Locally-Executed Decision over Groups Experiment
第一个本地执行的群体决策实验
FLEDGE 解决的问题场景,在APP与APP之间的广告行为,而非用户个人兴趣。
直接看字面意思很难理解,看下案例吧。
A是一个电商应用,如果用户在A的购物车中有暂未购买的商品,需要在B中进行广告展示。此时Google提供了两套API来实现这个功能,避免敏感数据的共享或上传到服务器:
- Custom Audience API
- Ad Selection API
广告的后台逻辑还会涉及到竞价。在Ad Selection API中,会引导sell-side将挑选逻辑放在端侧进行。
Attribution Reporting
归因报告,解决依赖跨端的用户识别符做归因转化分析的问题。
Attribution Reporting API 中包括:
- 归因报告
- 基于机器学习的事件级优化建议报告
- 无效流量和广告欺诈的报告
国内环境
在国内,这几年政府部门(包括网信办工信部)对互联网应用的合规问题管制的非常严格和频繁。针对市面上的头部和腰部APP进行了频繁的审核,不合规且不能在规定时间内完成整改的应用,则被强制下架处理。
据了解,今年(2022年)开始也即将聚焦在SDK的合规问题上。
拟定的法规大多聚焦在数据的获取、使用和处理规范上。如果Google的这套Android Privacy sandbox能顺利引进到国内厂商,各大应用商店和头部公司开发者配合,法律法规辅以约束,相信对于隐私的治理会上一个大台阶。