两大移动操作系统的隐私“内卷” 之第四篇 - 迈向更高水平的隐私设计和测试实践

来源:那一片数据星辰

文章摘要
引言 隐私持续地成为两大移动操作系统的“内卷”重点[1]。谷歌一侧:安卓不仅改进了相对“传统”的权限和存储隐私保护,还在通过隐私沙盒重塑移动互联网广告的市场生态。
引言
隐私持续地成为两大移动操作系统的“内卷”重点[1]。谷歌一侧:安卓不仅改进了相对“传统”的权限和存储隐私保护,还在通过隐私沙盒重塑移动互联网广告的市场生态。苹果一侧:隐私继续嵌入iOS 16的各项功能设计中,隐私计算技术也开始向应用商店的2B特性推广。二者的内卷也引来了世界各地监管的密切关注。隐私沙盒早在年初便已引起调查,更新需要定时报备;WWDC大会后不久,iOS中防止追踪用户(ATT)的功能也旋即遭调查。出于隐私合规的考虑,我们不仅需要知道什么是“隐私的”,还要知道什么是“太隐私的”。
以下按从具体到抽象、从回顾到前瞻的次序,基于对2022年谷歌I/O大会和苹果WWDC大会的观察,分五节逐步介绍、简析两大系统隐私更新。今天是第四篇:在前文基础上再进一步,梳理双方开发者大会所宣贯的、更高水平的隐私设计和测试实践。

迈向更高水平的隐私设计和测试实践
权限、功能和更加绚丽的隐私沙盒固然有趣,谷歌、苹果对高水平隐私测试和验证的强调同样值得关注。在第二篇应用商店部分的隐私安全披露和隐私营养标签也提及了这一点。
苹果对“如何填写隐私营养标签”的指引是相应典例,具体分三步:一是创建数据清单,二是填写表单,三是更新标签。以下逐次介绍。
创建数据清单
第一步创建数据清单本身可以视为隐私合规评审中简洁的、值得推荐的实践。为了确保清单准确、全面,首先需要列出产品的所有功能,然后可以通过五种方式来了解支持每项功能的个人数据。第一种是访谈利益相关者,既包括产品、研发,也包括营销、法务等相关方。第二种是检查内部文档。第三种是审计流量(抓包扫描有无个人数据),按苹果说法,这也是先前推出“应用隐私报告”的考量之一。第四种是审计服务端留存处理的个人数据。最后一种是:因为应用需要对所嵌入的SDK、广告网络等第三方的数据处理行为负责,所以还需要扫描、沟通并填写第三方处理的数据,亦可参考其营养标签。综合这些方式,才能确保清单的准确和全面。
填写App Store Connect表单
第二步是填写App Store Connect表单,这里重要的点是如何正确理解涉及的概念。首先是“收集”,只要数据会被传输出设备端,并且在实时请求服务之后仍然可以访问,就属于收集。苹果特别提醒:只要存在服务器日志、用户主页或者分析功能,就需要注意是否存在收集。这里也存在范围很窄的豁免:符合若干条件的用户反馈或报告页面有可能豁免。其次是更加细致地归类所收集的数据。比如说,只要数据与设备、账户或者主页关联,苹果就会认为这是与身份相关的数据。产品交互、浏览历史和搜索历史三类数据的归类各自亦有细则。苹果推荐与法务合作填写归类这一步。最后是填写数据是否用于“追踪”。如首篇权限和功能的隐私更新的ATT中,追踪既包括出于个性化广告或广告测量目的、将所收集数据与其他公司收集数据相关联,又包括将数据共享给数据经纪商。两部分都有进一步的细节。
更新清单
第三步是更新清单。苹果明确了有三种情况下需要更新清单:上线新功能,嵌入新的第三方或者将已经收集的数据用于新的目的。
谷歌的数据安全表单同样强调准确、全面,需要对数据类型(“照片/种族或IP/位置”)、处理行为(“收集”)和第三方相应判断。推荐的开发者应对流程大体亦相似。
综之,随着苹果谷歌对披露要求的日益提高,开发者采取更高水平隐私设计的必要性也会越来越强。考虑到数据清单需要和产品功能保持对应、随其更新而更新,每一对应的数据类型还需要经历越来越复杂的归类判断,隐私合规前置到产品功能设计,或者至少是上线前评审的时间点是必需的。同时,隐私合规也会需要更完备的工具,来充分整合、对齐操作系统/应用商店期待开发者在合规中充分掌握的所有类型的信息输入。
注释:
[1] 一般地,以下内容均整理自2022年谷歌I/O大会和苹果WWDC大会。
技术驱动法律,专业成就未来