自從2021年iOS14.5推出IDFA新規(guī)后，無論蘋果是真的想保護消費者隱私，還是像很多“友商”評價的一樣：本質(zhì)是為了增加自己的廣告服務(wù)收入，蘋果對隱私保護的政策正在變得越來越嚴格。

當時ATT框架幾乎給iOS手游和應(yīng)用的推廣帶來毀滅性的打擊，彼時還叫Facebook的Meta也在當年遭遇了巨大的滑鐵盧，甚至在后續(xù)推出了包括ASC在內(nèi)的一系列黑盒廣告產(chǎn)品，但無可否認的是無論是電商還是應(yīng)用和游戲，由于eCPM的大幅下滑，整個蘋果的應(yīng)用生態(tài)還是發(fā)生了翻天覆地的變化。

從隱私保護的角度來說，ATT框架無疑是成功的，大量用戶選擇拒絕被追蹤，但不可否認的是在整個ATT框架內(nèi)依舊有一個相對明顯的漏洞——安裝在游戲和應(yīng)用內(nèi)的各種SDK。

事實上，這些第三方SDK在很大程度上減輕了開發(fā)者的負擔，但不可否認的是：無論是開發(fā)者還是用戶，都很難發(fā)現(xiàn)各種SDK中隱藏的隱私風險，或者說的更直白一點，繞過ATT框架收集用戶信息的可能性。

于是在2023年WWDC上，蘋果就宣布了新的SDK隱私清單和簽名，以便用戶更好的了解第三方SDK使用和收集數(shù)據(jù)的方式。

與此同時，Xcode會在開發(fā)者準備上架和分發(fā)App時，為開發(fā)提供一份該App中使用的所有的第三方SDK的隱私清單合并成一個簡單的報告。通過該報告讓開發(fā)者能夠全面的了解自己使用的所有第三方SDK，從而更輕松的創(chuàng)建準確的隱私標簽。

這么做的原因也很簡單，因為蘋果要求所有的開發(fā)者如果使用第三方SDK，那么他們就需要對App中SDK包含的所有代碼負責，并且清晰地了解SDK是如何收集和使用用戶數(shù)據(jù)的。從某種程度上來說，這就是將侵犯隱私和審查SDK的風險和責任轉(zhuǎn)嫁給了開發(fā)者，因此提供一些便利自然也在情理之中。

總的來看，這次2024春季隱私清單政策主要就是兩個關(guān)鍵：蘋果創(chuàng)建了一個第三方SDK隱私清單和簽名；以及開發(fā)者為什么要使用某個API流程。

01

隱私清單和SDK簽名到底是什么？

首先來看隱私清單，其實所謂的第三方隱私清單（privacy manifest），本質(zhì)上就是讓SDK開發(fā)人員提供他們SDK是如何收集數(shù)據(jù)的，這樣就能夠讓App開發(fā)者在集成各種SDK的時候，就能迅速得到一份詳細的相關(guān)報告，從而避免額外手機不必要的用戶數(shù)據(jù)。

更進一步來說，如果開發(fā)者在App內(nèi)集成了不止一個SDK，上文中所說的Xcode也能夠簡單的將第三方SDK中的多個隱私清單合并，最終導(dǎo)出一個報告匯總，從而讓開發(fā)者能夠清晰且全面的了解自己所使用的全部SDK是如何收集并應(yīng)用這些數(shù)據(jù)的。

由此，開發(fā)者就能在提交App Store審核時，能夠更好且更清晰的在后臺提供自己App的隱私標簽，在App Store的后臺明確自己App的數(shù)據(jù)收集和使用場景，從而讓用戶能夠在詳情頁就清楚的指導(dǎo)該App收集了哪些數(shù)據(jù)，并且將會把這些數(shù)據(jù)用在什么地方。

除此之外，蘋果還要求SDK的開發(fā)者提供SDK簽名。具體來看，有了SDK簽名，當應(yīng)用這作者在自己的應(yīng)用中采用一個第三方應(yīng)用新版本的時候，Xcode會對其是否由同一個開發(fā)者簽名進行驗證，提升軟件供應(yīng)鏈的完整性。說的簡單直白一點，就是蘋果希望通過簽名認證的方式，來確保SDK不會在開發(fā)的過程中被篡改。

經(jīng)過簽名認證后的 SDK ，在 Xcode15 會顯示對應(yīng)的 Signature 信息，如果一旦發(fā)現(xiàn)本次前面和上次不一致，那么Xcode 就會讓編譯失敗并彈出警告。雖然目前來看，蘋果并沒有要求所有的SDK強制使用簽名，但如果這一SDK涉及到隱私手機，尤其是出現(xiàn)在下面列表中的這些SDK，則一定要添加相關(guān)簽名。

需要隱私清單和簽名的SDK：蘋果還專門列出了一個在App Store常用的SDK清單，并且表示，“自2024年春季開始，當您在App Store Connect中提交包含這些SDK的新應(yīng)用程序時，或者當您提交的更新包含這些SDK的時候，必須包含下面列出的任何SDK的隱私清單。在將列出的SDK用作二進制依賴項的情況下，也需要簽名。所列SDK的任何版本，以及對列表中的SDK進行重新打包的任何SDK，都包含在規(guī)定中?！?

具體SDK列表截圖如下：

02

給API一個必要理由

除了隱私清單之外，本次新政策最為關(guān)鍵的則是所謂的《必要理由API申明》。

簡單來說，就是蘋果只做了一個新的API分類，開發(fā)者則需要使用這個分類在隱私清單里面說明為什么需要調(diào)用該API接口。從目前的情況來看，蘋果可能是期望通過此舉來規(guī)范App使用這些API做各種Fingerprinting識別行為。

相關(guān)的API總計有5個：

也就是說，如果 SDK 和 App 里用到了分類里的這些 API ，那么開發(fā)者就需要在隱私列表里填寫為什么要使用這些API的原因。

總結(jié)一下，本次 iOS 隱私清單主要覆蓋的有：