高举隐私大旗，谷歌拳打Cookie，苹果脚踢SDK

伴随着数字时代的高举谷歌快速发展 ，用户隐私保护意识正在觉醒 ，隐私对于隐私保护关注度明显上升。大旗与此同时 ，拳打全球也拉开了隐私保护的苹果大潮流，从GDPR到个人信息保护法，脚踢隐私问题已经成为互联网科技巨头必须直面的高举谷歌“深坑”。

不少巨头在上面栽跟头，隐私其中最令人耳熟能详的大旗就是Meta 。2019年因泄露用户隐私
，拳打Facebook被罚款50亿美元；2021年，苹果因暴露全球数亿用户的服务器租用脚踢个人信息 。Meta被爱尔兰数据保护委员会(DPC)罚款2.65亿欧元。高举谷歌

而就在近日，隐私谷歌高举用户隐私保护的大旗大旗 ，开始计划全面禁用第三方Cookie，目前已经对1%的用户进行小范围测试，预计将在今年年底扩展到全部Chrome浏览器用户。同样值得关注的是，苹果此前发布的2024年应用开发者新规中提到将严厉打击第三方SDK隐私清单，将在今年春季重点实施。

2024年伊始，亿华云谷歌
、苹果两家巨头无疑为用户隐私保护放出了两记重磅“炸弹”。这两大举措不仅对整个科技行业生态产生了巨大影响 ，在个人隐私保护领域也是标志性事件。

谷歌宣布取消Cookie

事实上 ，谷歌的这一举措已酝酿多年。本次推出的Cookie禁令 ，所针对的是第三方Cookie，即在线广告行业在网站上放置的用于跟踪用户 、投放相关广告的免费模板Cookie，不会影响网站用来存储登录信息等基本内容的Cookie 。

《华尔街日报》评论称 ，这是互联网广告行业有史以来最大的变化之一。此举措的出台将大大改变广告商追踪目标用户的方式
，同时也意味着“个性化推荐”将被逐步取消。

Cookie的全称为HTTP Cookie ，是一种用于在客户端与服务器之间传递信息的小型文本文件 。高防服务器它最早出现在1994年 ，由网景公司的程序员Lou Montulli发明 。最初的目的是为了解决购物车功能的问题，后来被广泛应用于网站的用户追踪和个性化服务 。现如今
，Cookie已经成为互联网中不可或缺的一部分 。

在互联网行业，“Cookie”是指浏览网页后存储在计算机的香港云服务器缓存文件，包括用户名 、密码、注册账户、手机号等公民个人信息 。一些网站为了辨别用户身份会使用“Cookie” 
。

比如 ，当我们在首次浏览某一网站时
，会收到如下图所示的“Cookie”弹窗。提示“你是否要记住密码”如果选择是 ，下次访问可以不输入账号密码直接登录 ，这是Cookie的模板下载功能之一。

Cookie作为互联网中的重要组成部分 ，为我们提供了许多便利的功能，同时也带来了一些隐私和安全的风险。

由于存在数据隐私风险，多家机构及公司都曾对Cookie的使用进行整治。例如
，欧盟禁止在未经用户明确同意的情况下使用不必要的Cookie来分析或跟踪用户，苹果禁止iPhone和iPad用户使用第三方Cookie 。

在谷歌宣布取消Cookie后 ，广告行业对这一举措非常不满 。广告技术行业贸易组织IAB Tech Lab的首席执行官Anthony Katsur称对于此事，广告行业还远未做好准备。因为这可能会影响公司广告到达理想受众的程度 。

根据Statcounter公布的数据 ，谷歌浏览器占全球互联网流量的65%，是名副其实的互联网广告巨头，一直以来广告行业都极其依赖谷歌强大的流量。因此，在取消Cookie后，在线广告的价格可能会随着谷歌的举动而发生不可预测的变化
。

苹果对第三方SDK重拳出击

在谷歌之前
，全球巨头苹果公司针对用户隐私保护也有“大动作”。

自从2021年 iOS14.5 推出 IDFA 新规后，无论苹果是真的想保护消费者隐私 ，还是像很多友商评价的其本质是为了增加自己的广告服务收入也好，总之苹果对隐私保护的政策正在变得越来越严格 。

2023年冬，苹果发布了2024年春季的应用开发者新规
，其中提到 ，将严厉打击第三方SDK隐私清单；目的是保护用户隐私；以便用户更加了解第三方SDK的使用和收集数据的方式。

SDK，全称Software Development Kit，即软件开发工具包。广泛来说 ，它是辅助开发某一类软件的相关文档、范例和工具的集合。而对手机来说，通常情况下 ，这些SDK 是由广告、数据 、社交网络 、地图和推送平台等第三方服务提供商所开发的工具包，可以提供专业的服务
，其中封装了复杂的逻辑实现以及请求响应的过程，使其更便于开发人员使用
 。为了缩短开发时间和提高开发效率，手机应用开发商将多种类型的第三方SDK（软件开发工具包）集成到他们的应用程序中。不难看出，第三方SDK已经成为了手机应用生态系统的重要组成部分。

应用开发者使用SDK，不仅可以更好地减轻开发者的负担，还能辅助软件的功能开发 ，但是无论是开发者或者用户都很难发现SDK隐藏的隐私风险 。

于是在 2023 年 WWDC 上，苹果就宣布了新的 SDK 隐私清单和签名，以便用户更好的了解第三方 SDK 使用和收集数据的方式，并在2024年春季重点实施。

第三方隐私清单（privacy manifest），本质上就是让 SDK 开发人员提供他们 SDK 是如何收集数据的，这样就能够让 APP 开发者在集成各种 SDK 的时候 
，就能迅速得到一份详细的相关报告，从而避免额外手机不必要的用户数据 。

在此次新规中，苹果要求所有的开发者如果使用第三方 SDK 
，就必须要对 APP 中 SDK 包含的所有代码负责，并且清晰地了解 SDK 是如何收集和使用用户数据的 。

这样开发者就能在提交 APP Store 审核时，能够更好且更清晰的在后台提供自己 APP 的隐私标签 ，在 APP Store 的后台明确自己 APP 的数据收集和使用场景 ，从而让用户能够在详情页就清楚的指导该 APP 收集了哪些数据  ，并且将会把这些数据用在什么地方 。

除此之外
，苹果还要求 SDK 的开发者提供SDK 签名。苹果希望通过签名认证的方式 
，来确保 SDK 不会在开发的过程中被篡改 。经过签名认证后的 SDK 
，在 Xcode15 会显示对应的 Signature 信息 ，如果一旦发现本次签名和上次不一致
，那么 Xcode 就会让编译失败并弹出警告 。虽然目前来看 ，苹果并没有要求所有的 SDK 强制使用签名，但如果这一 SDK 涉及到隐私手机 ，尤其是出现在下面列表中的这些 SDK，则一定要添加相关签名 。

在本次新政策中
，还有一个值得注意的就是API声明 。苹果做了一个新的 API 分类，开发者需要在隐私清单里面说明为什么需要调用该 API 接口 。从目前的情况来看，苹果可能是期望通过此举来规范 APP 使用这些 API 做各种 Fingerprinting 识别行为。也就是说，如果 SDK 和 APP 里用到了分类里的这些 API ，那么开发者就需要在隐私列表里填写为什么要使用这些 API 的原因
。

在去年6月的WWDC23大会上，苹果公司曾公开表示该功能是为所有应用向前迈出的一步 ，他们鼓励所有的SKD采用，以更好地支持依赖它们的应用。同时还表示 ，保护用户隐私、让用户自己掌控个人信息，是苹果设计产品和服务时一贯坚持的理念 。

Cookie 、SDK或是隐私泄露的“幕后黑手”

谷歌和苹果的此番动作
，或许是为了加强企业自身的主流地位，也或许是扩大ios生态的护城河......总之归根结底是为了其商业版图服务，因此才对第三方痛下杀手
。

关于这一点我们在这不过多讨论，但有意思的是，这两家巨头这次的大动作都是以“隐私之名”发起的 ，那么限制第三方Cookie和SDK对于用户隐私究竟有哪些帮助？

在探讨这个问题之前，我想先问问，在日常生活中，大家是否曾有过这样的经历
？某天你在网上随便搜索或者曾经购买过某件商品，或者和朋友聊起过某个物品，随后马上就会在很多个APP、浏览器、开屏广告等等看到相关内容的广告推送。这时候你是否会有一种“它怎么知道我喜欢什么？”的疑惑，甚至觉得有点细思恐极。明明是不同的APP、不同的账号，为什么能完全能知道我们之前看了什么？

其实隐匿在背后窥视用户隐私的“黑手”，正是第三方SDK和Cookie 。

根据此前国家计算机网络应急技术处理协调中心、中国网络空间安全协会发布的《APP违法违规收集使用个人信息监测分析报告》显示，第三方SDK收集行为普遍存在。很多APP甚至会在用户同意隐私政策前就开始收集个人信息，且在隐私政策中未明确提及接入SDK数据收集情况
，同时还有了SDK收集个人信息范围与隐私政策描述不相符等问题 。可以说第三方SDK在嵌入App时 ，也嵌入了风险元素
。

不止SDK
，存储着用户大量个人信息 
，包括用户的登录状态 、浏览信息
、设备信息等内容的Cookie也是用户隐私泄露的一大安全隐患
。

虽然Cookie收集的内容本身只是纯文本文件 ，不会泄露隐私信息，但如果网站以此为线索
，长期追踪用户的行为，或者采取其他交叉技术手段获取信息 ，就可以获取到一些用户的隐私信息。

根据这些收集来的信息，海量的用户被迅速“画像” ，当用户再次登录这些网站或APP时 ，它们便会根据用户的“画像”推算其可能感兴趣的内容，从而实现精准推送  。

那么今后如果取消Cookie并对第三方SDK加以限制，能够很大程度地减少其对用户信息的跟踪和收集，保护用户的个人数据
。其次，由于第三方Cookie和SDK经常与多个不同的公司和服务共享数据  ，这样的举措也能够降低数据泄露和滥用的风险 。同时 ，对第三方Cookie和SDK的限制还可以提高用户的隐私意识 
，让用户更加了解自己的数据是如何被收集和使用的。当用户知道他们的隐私得到了保护 ，他们对使用该服务或产品的信任度也会增加 。

不过值得注意的是，限制第三方Cookie和SDK可能会对业务产生影响，例如可能会降低广告的效果和精准度  ，也可能会影响个性化服务和内容的提供 
。因此，如何在保护用户隐私和提供优质服务之间找到平衡
，是业界需要面临的挑战 。

个人隐私保护之路依旧漫长

自2021年以来
，国家陆续出台了《个人信息保护法》 、《网络安全法》、《APP违法违规收集使用个人信息行为认定方法》等律法，建立了相对健全的隐私保护制度
，尽可能保护大数据时代下的个人信息安全与隐私  。

虽然这些年陆续有保护用户隐私的相关政策出台，但法律规范和飞速发展的互联网相比依然是相对滞后的。在经济利益的驱使下 ，有着无限的利用价值的个人隐私数据依旧被“疯狂掠夺” 。个人隐私被侵犯的问题仍是个老生常谈的“难题”
。

很显然 ，个人隐私保护已经成为了互联网时代的重要命题。

此次谷歌取消Cookie、苹果严厉打击第三方SDK ，两大科技巨头带头搞出的“大动作，对于保护用户隐私来说，是至关重要的一步。想必今后各平台、APP在收集用户隐私信息方面的监管必定会越来越严格 。

山雨欲来风满楼 ，日趋完善的个人保护律法配合各大企业打出的这套“组合拳”，或许真的能带领个人隐私保护冲破现今这个被明码标价的“黑暗时期”。