高举隐私大旗，谷歌拳打Cookie，苹果脚踢SDK

伴随着数字时代的高举谷歌快速发展 ，用户隐私保护意识正在觉醒，隐私对于隐私保护关注度明显上升。大旗与此同时，拳打全球也拉开了隐私保护的苹果大潮流，从GDPR到个人信息保护法，脚踢隐私问题已经成为互联网科技巨头必须直面的高举谷歌“深坑”。

不少巨头在上面栽跟头，隐私其中最令人耳熟能详的大旗就是Meta。2019年因泄露用户隐私，拳打Facebook被罚款50亿美元；2021年，苹果因暴露全球数亿用户的高防服务器脚踢个人信息。Meta被爱尔兰数据保护委员会(DPC)罚款2.65亿欧元。高举谷歌

而就在近日，隐私谷歌高举用户隐私保护的大旗大旗，开始计划全面禁用第三方Cookie，目前已经对1%的用户进行小范围测试，预计将在今年年底扩展到全部Chrome浏览器用户。同样值得关注的是 ，苹果此前发布的2024年应用开发者新规中提到将严厉打击第三方SDK隐私清单 ，将在今年春季重点实施 。

2024年伊始，亿华云谷歌
、苹果两家巨头无疑为用户隐私保护放出了两记重磅“炸弹”。这两大举措不仅对整个科技行业生态产生了巨大影响，在个人隐私保护领域也是标志性事件 。

谷歌宣布取消Cookie

事实上，谷歌的这一举措已酝酿多年 。本次推出的Cookie禁令，所针对的是第三方Cookie ，即在线广告行业在网站上放置的用于跟踪用户
、投放相关广告的云计算Cookie ，不会影响网站用来存储登录信息等基本内容的Cookie。

《华尔街日报》评论称，这是互联网广告行业有史以来最大的变化之一 。此举措的出台将大大改变广告商追踪目标用户的方式，同时也意味着“个性化推荐”将被逐步取消
 。

Cookie的全称为HTTP Cookie ，是一种用于在客户端与服务器之间传递信息的小型文本文件。服务器租用它最早出现在1994年 ，由网景公司的程序员Lou Montulli发明
。最初的目的是为了解决购物车功能的问题，后来被广泛应用于网站的用户追踪和个性化服务
。现如今，Cookie已经成为互联网中不可或缺的一部分。

在互联网行业 ，“Cookie”是指浏览网页后存储在计算机的模板下载缓存文件，包括用户名、密码
、注册账户、手机号等公民个人信息。一些网站为了辨别用户身份会使用“Cookie”。

比如 ，当我们在首次浏览某一网站时，会收到如下图所示的“Cookie”弹窗 。提示“你是否要记住密码”如果选择是，下次访问可以不输入账号密码直接登录，这是Cookie的建站模板功能之一。

Cookie作为互联网中的重要组成部分，为我们提供了许多便利的功能 ，同时也带来了一些隐私和安全的风险。

由于存在数据隐私风险，多家机构及公司都曾对Cookie的使用进行整治 。例如，欧盟禁止在未经用户明确同意的情况下使用不必要的Cookie来分析或跟踪用户，苹果禁止iPhone和iPad用户使用第三方Cookie。

在谷歌宣布取消Cookie后，广告行业对这一举措非常不满。广告技术行业贸易组织IAB Tech Lab的首席执行官Anthony Katsur称对于此事 ，广告行业还远未做好准备。因为这可能会影响公司广告到达理想受众的程度 。

根据Statcounter公布的数据，谷歌浏览器占全球互联网流量的65% ，是名副其实的互联网广告巨头  ，一直以来广告行业都极其依赖谷歌强大的流量。因此，在取消Cookie后，在线广告的价格可能会随着谷歌的举动而发生不可预测的变化 。

苹果对第三方SDK重拳出击

在谷歌之前，全球巨头苹果公司针对用户隐私保护也有“大动作”。

自从2021年 iOS14.5 推出 IDFA 新规后，无论苹果是真的想保护消费者隐私
，还是像很多友商评价的其本质是为了增加自己的广告服务收入也好
，总之苹果对隐私保护的政策正在变得越来越严格
。

2023年冬，苹果发布了2024年春季的应用开发者新规 ，其中提到 ，将严厉打击第三方SDK隐私清单；目的是保护用户隐私；以便用户更加了解第三方SDK的使用和收集数据的方式 。

SDK
，全称Software Development Kit，即软件开发工具包
。广泛来说，它是辅助开发某一类软件的相关文档、范例和工具的集合。而对手机来说 ，通常情况下
，这些SDK 是由广告、数据 、社交网络 、地图和推送平台等第三方服务提供商所开发的工具包，可以提供专业的服务 ，其中封装了复杂的逻辑实现以及请求响应的过程，使其更便于开发人员使用。为了缩短开发时间和提高开发效率 ，手机应用开发商将多种类型的第三方SDK（软件开发工具包）集成到他们的应用程序中 
。不难看出，第三方SDK已经成为了手机应用生态系统的重要组成部分。

应用开发者使用SDK，不仅可以更好地减轻开发者的负担，还能辅助软件的功能开发 ，但是无论是开发者或者用户都很难发现SDK隐藏的隐私风险。

于是在 2023 年 WWDC 上 ，苹果就宣布了新的 SDK 隐私清单和签名 ，以便用户更好的了解第三方 SDK 使用和收集数据的方式 ，并在2024年春季重点实施
 。

第三方隐私清单（privacy manifest） ，本质上就是让 SDK 开发人员提供他们 SDK 是如何收集数据的，这样就能够让 APP 开发者在集成各种 SDK 的时候 ，就能迅速得到一份详细的相关报告，从而避免额外手机不必要的用户数据 。

在此次新规中，苹果要求所有的开发者如果使用第三方 SDK，就必须要对 APP 中 SDK 包含的所有代码负责 ，并且清晰地了解 SDK 是如何收集和使用用户数据的
。

这样开发者就能在提交 APP Store 审核时，能够更好且更清晰的在后台提供自己 APP 的隐私标签，在 APP Store 的后台明确自己 APP 的数据收集和使用场景 ，从而让用户能够在详情页就清楚的指导该 APP 收集了哪些数据 ，并且将会把这些数据用在什么地方 。

除此之外，苹果还要求 SDK 的开发者提供SDK 签名。苹果希望通过签名认证的方式 ，来确保 SDK 不会在开发的过程中被篡改。经过签名认证后的 SDK ，在 Xcode15 会显示对应的 Signature 信息，如果一旦发现本次签名和上次不一致 ，那么 Xcode 就会让编译失败并弹出警告 。虽然目前来看，苹果并没有要求所有的 SDK 强制使用签名，但如果这一 SDK 涉及到隐私手机，尤其是出现在下面列表中的这些 SDK，则一定要添加相关签名 。

在本次新政策中 ，还有一个值得注意的就是API声明。苹果做了一个新的 API 分类 ，开发者需要在隐私清单里面说明为什么需要调用该 API 接口 。从目前的情况来看，苹果可能是期望通过此举来规范 APP 使用这些 API 做各种 Fingerprinting 识别行为。也就是说，如果 SDK 和 APP 里用到了分类里的这些 API ，那么开发者就需要在隐私列表里填写为什么要使用这些 API 的原因 。

在去年6月的WWDC23大会上 ，苹果公司曾公开表示该功能是为所有应用向前迈出的一步，他们鼓励所有的SKD采用 ，以更好地支持依赖它们的应用。同时还表示 ，保护用户隐私 、让用户自己掌控个人信息 ，是苹果设计产品和服务时一贯坚持的理念。

Cookie、SDK或是隐私泄露的“幕后黑手”

谷歌和苹果的此番动作，或许是为了加强企业自身的主流地位，也或许是扩大ios生态的护城河......总之归根结底是为了其商业版图服务
，因此才对第三方痛下杀手。

关于这一点我们在这不过多讨论 ，但有意思的是 ，这两家巨头这次的大动作都是以“隐私之名”发起的，那么限制第三方Cookie和SDK对于用户隐私究竟有哪些帮助？

在探讨这个问题之前，我想先问问 ，在日常生活中 ，大家是否曾有过这样的经历？某天你在网上随便搜索或者曾经购买过某件商品，或者和朋友聊起过某个物品 ，随后马上就会在很多个APP、浏览器、开屏广告等等看到相关内容的广告推送。这时候你是否会有一种“它怎么知道我喜欢什么？”的疑惑，甚至觉得有点细思恐极。明明是不同的APP
、不同的账号 ，为什么能完全能知道我们之前看了什么？

其实隐匿在背后窥视用户隐私的“黑手” ，正是第三方SDK和Cookie。

根据此前国家计算机网络应急技术处理协调中心、中国网络空间安全协会发布的《APP违法违规收集使用个人信息监测分析报告》显示
，第三方SDK收集行为普遍存在 。很多APP甚至会在用户同意隐私政策前就开始收集个人信息 ，且在隐私政策中未明确提及接入SDK数据收集情况 ，同时还有了SDK收集个人信息范围与隐私政策描述不相符等问题。可以说第三方SDK在嵌入App时，也嵌入了风险元素。

不止SDK，存储着用户大量个人信息 ，包括用户的登录状态、浏览信息、设备信息等内容的Cookie也是用户隐私泄露的一大安全隐患 。

虽然Cookie收集的内容本身只是纯文本文件 ，不会泄露隐私信息
，但如果网站以此为线索，长期追踪用户的行为
，或者采取其他交叉技术手段获取信息
，就可以获取到一些用户的隐私信息 。

根据这些收集来的信息 ，海量的用户被迅速“画像”，当用户再次登录这些网站或APP时，它们便会根据用户的“画像”推算其可能感兴趣的内容，从而实现精准推送  。

那么今后如果取消Cookie并对第三方SDK加以限制，能够很大程度地减少其对用户信息的跟踪和收集 ，保护用户的个人数据。其次 ，由于第三方Cookie和SDK经常与多个不同的公司和服务共享数据，这样的举措也能够降低数据泄露和滥用的风险。同时，对第三方Cookie和SDK的限制还可以提高用户的隐私意识 ，让用户更加了解自己的数据是如何被收集和使用的。当用户知道他们的隐私得到了保护，他们对使用该服务或产品的信任度也会增加。

不过值得注意的是，限制第三方Cookie和SDK可能会对业务产生影响，例如可能会降低广告的效果和精准度
，也可能会影响个性化服务和内容的提供。因此
，如何在保护用户隐私和提供优质服务之间找到平衡 ，是业界需要面临的挑战。

个人隐私保护之路依旧漫长

自2021年以来 ，国家陆续出台了《个人信息保护法》、《网络安全法》、《APP违法违规收集使用个人信息行为认定方法》等律法，建立了相对健全的隐私保护制度，尽可能保护大数据时代下的个人信息安全与隐私 。

虽然这些年陆续有保护用户隐私的相关政策出台，但法律规范和飞速发展的互联网相比依然是相对滞后的 。在经济利益的驱使下，有着无限的利用价值的个人隐私数据依旧被“疯狂掠夺”。个人隐私被侵犯的问题仍是个老生常谈的“难题”。

很显然，个人隐私保护已经成为了互联网时代的重要命题。

此次谷歌取消Cookie 、苹果严厉打击第三方SDK ，两大科技巨头带头搞出的“大动作 ，对于保护用户隐私来说，是至关重要的一步。想必今后各平台
、APP在收集用户隐私信息方面的监管必定会越来越严格。

山雨欲来风满楼，日趋完善的个人保护律法配合各大企业打出的这套“组合拳” ，或许真的能带领个人隐私保护冲破现今这个被明码标价的“黑暗时期”。