通过更好的隐私建立信任

（你好 WWDC 2020）

大家好 欢迎参加 WWDC

大家好 我叫 Rohith 今天和我一起主持 这场讲座的还有我的同事 Brandon 今天我们将带你了解如何通过 更好的隐私安全来建立与用户间的信任 首先 我会介绍一下 Apple 保护隐私的方法 然后讲解我们如何 贯彻我们的隐私保护原则 来减少 用户在我们的生态系统中被跟踪的情况

那么 我们对隐私保护采取了什么方法呢？

Apple 有四大基本隐私保护支柱 来指导我们的产品和功能 设备端处理 本地处理数据 无需发送至服务器 数据最小化：仅在实际需要时 才索取和使用数据 安全保护 在整个平台上实施隐私保护 透明度和管控 为用户提供对于他们的数据的了解和掌控

这四大支柱有助于我们把强有力的 隐私保护措施融入我们的功能 来巩固与我们用户之间的信任关系

让我们一项一项来讨论这四大支柱 同时 我将向大家展示每个支柱 是如何影响我们今年做出的改变的 先从设备端处理开始 那么 对数据进行操作 而不将其从用户的设备上 发送至远程服务器有什么好处呢？ （后台服务器：第三方） 当你向远程服务器发送数据时 用户便失去了对下列情况的控制能力 谁可以访问数据 数据将与谁共享 以及数据将用于何种目的 而且这个过程还要求采取额外措施 来保护客户数据免受破坏或其它威胁干扰 但有时大家需要 收集数据来训练机器学习模型

因此 我们正在创造更多的方法来利用 Core ML 从而在设备上构建和训练模型 这就像把这些模型 拖放到 Xcode 项目中一样简单 而且 将数据保存在本地可以自动利用 我们设备中强大的安全保护能力 （私有联邦学习） 我们已经利用 设备端学习实现了许多功能 从 iOS 13 开始 我们就开始使用私有联邦学习（PFL） 在潜在的敏感数据上构建机器学习模型 PFL 的实现方式是 让设备发送差异性私有模型更新 而不是发送用户数据 通过这种方式 我们便可以 在服务器上构建集中式模型 而不必去访问用户数据 去年 对于一批主动参与改进产品的用户 我们利用这项技术改进了 快速输入和 Siri 语音识别模式

今年 我们正在引进 许多新的私有联邦学习用例 我们利用我们芯片中强大的神经网络引擎 来使我们能够改进机器学习模型 而不向 Apple 或任何第三方泄露用户数据

要想进一步了解 关于在你的 app 中使用机器学习的知识 请查看下列讲座

此外 我们还为设备 提供了多语言听写的本地功能 所以 当你在手机上口述时 语音数据会直接在你的设备上本地处理 如果你写的 app 使用听写功能 你应该指定使用设备端的听写模型 从而利用这项新技术 今年 我们还推出了一个新的 HomeKit 功能 人脸识别 这样 你的相机和视频门铃 就可以根据你在照片 app 中标记的人 或者从你的智能家居 app 中 识别最近的访问者 让你知道造访者是谁 如果你选择了这个功能 你的家庭中心将会利用设备端智能技术 来识别路过的人 设备端处理对于我们今年推出的 许多新功能来说 是必不可少的 你应该寻找使用设备端处理的新机会 并重新考虑你的设备现有的功能 因为我们的设备功能 正在持续变得越来越强大 通过将设备上发出数据最小化 这个出色的工具能够建立与用户间的信任 现在我把画面交给 Brandon 让他来谈谈我们的下一个隐私保护支柱 数据最小化 谢谢 Rohith 隐私保护关乎与用户建立信任 做好这项工作的最好的方法之一 是只用你需要的数据来完成工作任务

你可以把它看作是一种谨慎的平衡 一种你的 app 可以访问哪些数据 与它将使用哪些数据 来提供该功能之间的平衡 （用户数据 功能） 如果仅仅为了一些收益甚少的功能 而去要求用户分享大量个人信息 这会使用户为了使用某项功能 而做出远超他们心理准备的重大抉择 信任是随着时间建立的 而从尊重用户数据开始 尽可能少地请求访问用户数据 就是很好的第一步

我们知道 这在实践中并不总是那么简单 所以 今年我们将推出几款新工具 来让你更轻松地 在你的 app 可以访问的信息量 与简约的用户体验之间找到平衡 今天我们将讨论在 iOS 14 中 可用新方式访问的三种数据类型 照片、定位和联系人

我们来从一个简单的 照片共享 app 情境中对这些进行了解 这个 app 需要访问照片 来选择你想要分享的照片 访问定位 来找到身边的朋友与之分享 以及访问联系人 如果你想手动选择一个朋友来分享 我们看看这如何在 iOS 13 上实现

用户选择一张照片来发送时 会被要求 授权 app 来访问他们的整个照片图库 app 将请求定位许可 以便在该地区寻找朋友 或者如果用户想将照片发送给特定的朋友 app 会要求访问他们所有的联系人 这样用户就可以选择一个人来分享

查看一下整个流程 你会发现它涉及到很多访问权限 以及很多用户摩擦 要分享一张照片 用户必须处理三条提示 在此过程中 还要授予对于他们的所有照片 精确定位和全部联系人的访问权限 从隐私保护的角度来看 这并不好 虽然用户确实可以管控自己的信息共享 但如果不同意大量分享 他们就无法使用这个 app 的核心功能了 （隐私 可用性） 从可用性角度来看 这也不是很好 但我们可以做得更好 今年 我们将推出几项新技术 来帮助你改善你的 app 在这方面的体验 先从照片说起 对于 iOS 14 上 所有需要访问照片图库的 app 我们引入“限定照片图库” 用户可以授权 app 只访问限定的一些照片 而不是整个照片图库 用户轻点“选择照片”后 他们可以只选择 自己想要与 app 分享的照片 这是 iOS 14 上 所有请求照片访问权限的 app 的新提示 请测试你的 app 兼容性 要想了解更多信息 请查看《限定照片图库》讲座 但这仍然需要弹出一个提示 而我们能够做得更好 大多数 app 只使用少量的照片 比如本例中你想与朋友分享的照片 PHPicker 是一个新框架 它取代了 UIImagePickerController 你可以采用它 来避免提示获得所有照片的访问权限 该框架具有搜索和多选功能 来帮助用户找到他们想要的照片 而不要求用户授予照片图库的访问权限

PHPicker 在你的 app 之外的一个独立进程中运行 不过会在 app 之上进行渲染 你的 app 不能直接访问挑选器 或是对挑选器内容进行截图 只有用户实际选定的内容 才会被传回到你的 app

除非你的 app 极其需要访问所有照片 比如提供备份服务 你都应该使用 PHPicker 要想了解更多关于 PHPicker 的详细信息 请查看《认识新的照片挑选器》讲座

我们现在来看看这对 实际的照片共享 app 意味着什么 用户想要选择一张照片来分享时 PHPicker 就会出现 他们可以在其中只选择他们想要的照片 这是比处理提示更加快捷的用户体验 同时又带来了更好的隐私保护

接下来 我们看一下定位 在 iOS 14 中 我们添加了一项功能 使用户只与 app 分享他们的近似定位

和限定照片图库一样 这是 iOS 14 中 所有需要 获得位置权限的 app 的新访问提示 用户轻点胶囊按钮时 app 将只会收到近似定位的更新

如今许多 app 所具有的功能 与近似定位都十分契合 比如这个照片分享 app 它可以用来在你所在的区域寻找朋友 通过设置 Info.plist 中的 NSLocation DefaultAccuracyReduced 密钥 你可以在请求定位授权时 默认请求你的近似定位 如果你的 app 中 有的功能确实需要精确定位 比如逐向导航 你可以请求用户临时升级为精确定位 在这个照片共享 app 中 我们并不需要 所以我们只需请求获得近似定位

你应该仔细查看 你的 app 如何对近似定位做出响应 你需要尊重用户的意愿 保留尽可能多的可用功能 同时在适当的时候 只考虑请求获得近似定位

要想进一步了解关于 Core Location API 变化的信息 请参阅 《Core Location 的新变化》 要想更深入地了解 Apple 地图 为采用近似定位所做的设计选择 参见《定位隐私设计》 最后 我们来看 如何在 iOS 14 中简化对联系人的访问

今年 我们让“主动键盘”更智能化了 快速输入将从你的设备端联系人数据库中 提示联系人的详细信息 当用户开始 在“输入姓名”字段中键入姓名时 键盘会自动为这个姓名填充正确信息

你可以注释文本字段 来提醒键盘 它应该建议哪种类别的联系人信息 大多数 app 正如这个照片 app 一样 能够在提供出色体验的同时 无需只为了填写一个电话号码 或电子邮件字段而请求访问 用户所有的联系人 要想进一步了解其中的原理 参见《自动填充无处不在》讲座

现在让我们回想一下最初的情况 要想分享照片 用户必须处理三个提示 并授予许多访问权限 既不利于隐私 也不便于操作使用 但是现在利用 iOS 14 中可用的新工具 你能够大大改善用户体验 （发送照片） 它使用户可以顺畅地 只对他们想要分享的照片进行共享 无需通过共享精确定位 即可帮助他们轻松地找到本地区的朋友 并且只需要简单地输入一位朋友的名字 而无需授予对所有联系人的访问权限 既有利于隐私 又具有出色的可用性

无论你的 app 利用新的 API 做出何种独特的设计选择 重要的是 要记住它们所遵循的原则 数据最小化是指 在你需要时 只请求获得你必需的信息 并利用新工具 通过尽可能少的数据来构建强大的功能 这是个很棒的方法 能让用户从初次使用你的 app 开始 就逐步建立起与他们的信任 现在交还给 Rohith 请他来说说我们的下一条隐私原则 安全

谢谢 Brandon 安全是我们生态系统中 支撑并加强隐私保护的另一个基本支柱 （服务器名称跟踪） 今年 我们利用安全性来解决 互联网协议中的服务器名称跟踪问题

服务器名称 被公开的一种方法是使用 DNS 查询

设备访问一个网站时 系统会发送一个 DNS 查询 来把该名称转换为 IP 地址 设备使用的 DNS 服务器 通常是由互联网提供商 无线运营商 企业或其它网络运营商自动配置的 而且因为 DNS 查询 不支持机密性或真实性 查询和服务器地址 可以被第三方或你的网络运营商 读取甚至修改 他们可能收集、监控、保留和共享 有关你的设备发送的 DNS 查询类型的信息

但是采用加密连接后 第三方就无法再看到 DNS 查询了

从今年开始 Apple 平台 将原生支持两个标准加密 DNS 协议

所支持的标准加密 DNS 协议 将保护服务器名称的机密性和真实性 它将与企业 VPN 和 MDM 配置文件共存 iOS 14 还支持 DoH 服务器自动发现 以便设备可以自动使用加密 DNS 协议 如果你托管网络内容 那么可以指令设备 使用你的服务器安全地解析 DNS 查询 Apple 服务器名称会使用 Apple 的 DoH 服务器自动解析 DNS 查询 有关启用这些协议的更多信息 参见《启用加密 DNS》讲座 在你浏览时 显示服务器名称的另一种方式 是通过 TLS 会话建立握手 TLS 是一种用于加密网络流量的协议 即使你已启用加密 DNS 以使名称解析更加私密 TLS 会话建立 仍包括纯文本服务器名称指示（SNI） 就像 DNS 查询一样 SNI 可以被网络上的第三方看到 告诉他们你正在连接的服务器名称

我们目前正在与 互联网工程任务组合作以获得标准化方法 从而加密更多的 TLC 握手 来使第三方无法窥探你的流量 通过这些更新 加密就可以防止网络运营商和第三方 跟踪你在网络上的活动 这只是安全性在我们的系统中 实施隐私保护的众多方式之一 用户依赖于你的 app 来保护他们的数据安全 要想了解更多关于在 iOS 14 中 保护你的 app 以维护用户信任的信息 请参阅以下讲座内容 我们已经讨论了隐私保护的三大支柱 设备端处理、数据最小化和安全保护 除了为开发者提供更好的方式 让他们只请求访问自己所需要的数据外 我们还增加了透明度 让用户了解 app 何时访问何种数据 今年 我们的更新有助于用户更好地了解 app 和网络所收集的是什么样的数据

从 App Store 说起 （App Store 的透明度） 如今 我们已经要求 所有 app 都有隐私政策 今年 我们打算更进一步 通过添加更多信息 帮助你轻松选出最重要的细节

从 2020 年秋季开始 当你向 App Store 提交你的 app 时 你需要填写一份问卷 来描述你的 app 是如何使用用户数据的 你所提供的信息 将在你的商店页面上直接显示给用户 （与你相关的数据） 这让用户 能够在下载之前就了解 app 的用途 他们将能够得知你会收集少量数据 还是大量数据 以及这些数据是否是用来跟踪他们的 （用来跟踪你的数据） 你应该仍旧确保 在诸如隐私政策中或你的网站上 向你的用户提供更多细节 来解释你的数据用途 这些信息 可以在你的 App Store 产品页面上找到

也会在所有平台的 App Store 中显示

如果你安装了任何第三方代码 比如分析或广告 SDK 你还需要声明 它们收集什么数据以及如何使用这些数据 要记住 SDK 是在你的 app 进程中运行的 所以它们和你的 app 拥有相同的访问权限 作为一名开发者 你要对 你的 app 中用户数据的信任和处理负责 这包括你包含进去的任何代码 （后续步骤） 屏幕前的 SDK 开发者们 这是更新你们的说明文档的好时机 从而确保开发者了解你的 SDK 用途 开发者说明文档和问卷会在以后提供 与此同时 联系你的 SDK 开发者 来确保自己理解 他们是如何收集和使用数据的 在网络方面 我们正在做出改变 来让你了解 智能防跟踪功能（ITP）是如何保护你的 ITP 从 iOS 11 和 Safari 11 开始 就一直在保护用户 现在 你能从 Safari 浏览器工具栏中 直接看到 ITP 在帮你防卫的已知跟踪器 你还可以更加深入 去查看 在过去 30 天内的所有浏览中 Safari 浏览器阻止跟踪的完整报告

我们还在增强 app 内的透明度 用户可以复制粘贴大量的敏感信息 如密码、照片甚至信用卡号码 （粘贴板） 只有当用户想要与 app 共享 剪贴板数据时 这些信息才可被访问 你甚至可能并没有意识到 你所包含的代码正在访问粘贴板 （从“信息”粘贴过来的“备注”） 在 iOS 14 中 当 app 访问另一个 app 的粘贴板项目时 我们将向开发者和用户明确说明 这包括编程访问 以及当用户使用键盘、菜单项 或标注栏进行手动粘贴的时候

这有助于 在用户粘贴一个项目时为他们提供确认 也可以警告 那些可能过度访问粘贴板信息的 app

我们还增加了相机和麦克风的透明度

当 app 打开相机或麦克风时 指示器就会出现在状态栏 这样用户随时都能知道 app 什么时候在录制 控制中心另外还会显示 哪个 app 目前正在使用相机或麦克风 或者哪个 app 最近使用过它们 这种透明度也适用于 网站使用相机和麦克风的权限 请确保你了解你的 app 会如何使用粘贴板或录音功能 从而保证只有当功能需要 和用户期望时 它们才会被访问 这可能包括 预热粘贴板、麦克风或摄像头 以使你的 app 响应更迅速 如果一个 app 一经启动 就立即开始录制 那用户可能会感到惊讶

要确保包含用户界面通知 来清楚地说明 你的 app 何时以及为何 会访问粘贴板或开始录制

记住 SDK 也是 app 的一部分 你要对 app 中的代码 以及与最终用户的关系负责 如果你的 app 中的 SDK 使用了粘贴板、麦克风或相机 那么在最终用户眼里 就会像是你的 app 所执行的操作 保持透明度能增强用户对你的 app 以及相应的数据使用的信任

管控与你的 app 共享的数据 与透明度是相辅相成的 那我们来看看今年我们推出的以下更新 从联网部分说起

本地网络上的设备 可以观察并收集有关网络活动的信息 而 app 可以从用户使用的网络中收集用户的信息

每个网络都有其独特性 代表着用户的周围环境 这意味着 app 和其它观察者可以获得 他们是否在家以及谁在他们身边等信息 它们还可以建立一个基于如电视 和其它配件等连接设备的配置文件

今年 我们将增加 对本地网络访问权限的管控 当你的 app 试图访问本地网络时 比如通过 Bonjour 或 mDNS 扫描 它将提示用户为此次访问提供权限 你应该在你的 Info.plist 中声明 你的 app 需要哪些 Bonjour 服务 以便系统了解从哪些服务中提供信息 和之前一样 请确保你提供一个用途字符串 来解释为什么你的 app 需要访问权限 并确保有用户界面通知 这样出现提示也不会让人意外

有关 iOS 14 中本地联网的更多信息 参见 《支持 App 中的本地网络隐私》讲座

MAC 地址是用于 为网络上的特定设备寻址的标识符 但它们不是为跟踪设备而创建的 在 iOS 8 中 我们推出了 MAC 地址随机化 这可以防止用户在没有连接到 Wi-Fi 时 通过他们的 MAC 地址被跟踪

但当用户连接上网络后 他们的物理 Wi-Fi MAC 地址 会留下连接痕迹 因为这个地址不会改变 随着用户从一个网络移动到另一个网络 网络运营商就可以整合 来自他们 Wi-Fi MAC 地址的数据 从而创建一份更完整的用户配置文件 其中包括他们访问过的位置 和他们的网络活动详情 所以 今年我们将引入私有 Wi-Fi 地址 iOS 14 将在加入网络时 自动管理 Wi-Fi MAC 地址 这样 MAC 地址就不会关联到用户的身份 也就不能被用来 在各个网络之间跟踪他们了 它每隔24小时 会为网络生成一个新的 MAC 地址 而新的私有地址 将在用户离开并重新加入网络时使用 用户可以随时控制这项功能 并可在 Wi-Fi 设置中进行调整 因此 通过私有 Wi-Fi 地址 用户每天都会获得一个 不与他们身份相关联的新生成的网络地址 而且用户始终拥有掌控能力

我们今年还将推出近距离交互框架 它使你能够充分利用 我们在 U1 芯片上推出的超宽带测距 近距离交互 在互动游戏和其它点对点用例中 是获得距离和方向信息的好方法 例如 确认附近的手机 就是你正在寻找的手机

使用这个框架时 不需要获取对蓝牙或网络的访问权限 取而代之的 你的 app 将提示获得基于会话的访问权限 所以 当 app 继续在前台运行时 数据才将是可用的 当你提示用户授予许可时 一定要包含明确的说明 并且弹出提示时 要有情境说明 为什么你的 app 要请求获得许可 更多信息请参见《认识近距离交互》讲座

iOS 14 中新增的 app clips 是向用户介绍你的 app 体验的好方法 我们重新设计了 app clips 来使它具有私密性 这样用户在试用的时候 就会感到轻松自在了 如果用户 没有从一个 app clip 升级为完整的 app iOS 就会清理任何不再使用的 app clips 来让它们不留下痕迹 我们还专门为 app clips 的独特用例 设计了新的隐私友好型定位访问权限 来帮助你实现数据最小化 你可以通过检查来确保标签没有移动 或者用户正在加入 一家合适的餐厅的等候名单 定位确认只显示足以完成此任务的信息 而无需获得完整的定位访问权限 用户可以在 App Clip 卡中对此进行控制 当你询问系统 app clip 是否在特定地点被调用时 不会出现额外的提示 但是检查失败并不意味着用户不在附近 用户可能只是关闭了定位服务 或者拒绝了位置确认 你应该为用户提供一种方式来完成操作 比如使用附加确认 请参见《简化你的 App Clip》 和《设计卓越的 App Clips》两场讲座 以获得更多信息

Safari 14 浏览器新增的 Safari 网络扩展让用户可以直接控制 他们的扩展和数据的使用 用户将能够选择 Safari 网络扩展可访问哪些网站 并根据个人需要来自定义 你应该将你的扩展 配置为只请求最低的必要权限 例如 active-tab 权限 允许你在用户调用扩展后 在当前网络页面上运行脚本 而无需进行额外的用户确认 要想进一步了解关于 Safari 网络扩展和隐私的信息 请查看《认识 Safari 网络扩展》讲座

今年在 Mac 上 我们将把许多 iOS 中你所熟悉的技术和隐私保护 带给 macOS 对使用 Core Bluetooth 的 macOS app 用户现在可以控制它们的蓝牙访问权限

如果你使用 Catalyst 来构建你的 app 用户还可以利用限定照片图库 与 iOS 拥有相同授权模型的 HomeKit 对媒体和 Apple Music 的访问权限 以及对 CNCopyCurrentNetworkInfo 的访问权限 就像在 iOS 中一样 你需要提供一个目的字符串 来帮助用户了解你为什么需要他们的数据

今年 我们为你打造了一些很棒的新工具 让你可以在 app 中实现透明度和管控 向用户说明和展示 他们的数据是如何被使用的 以及确保用户 始终能够掌控他们的数据十分重要 这四大隐私保护支柱 可以让用户对自己的数据和设备负责 从用户使用你的 app 的第一刻起 每一个支柱都在持续与他们建立信任 现在交回给 Brandon 来谈谈这些隐私保护支柱是如何结合起来 共同防止用户被跟踪的 从 Safari 浏览器推出的早期开始 我们就内置了跟踪预防功能 用来保护用户浏览网页时的安全 我们一直在努力更新这些保护措施 从默认拦截第三方 cookie 到今年智能防跟踪功能的全新透明度 今年 我们将 同样的防跟踪思维带入了 app 中 即我们认为跟踪应该保持透明 并应该在用户的管控之下 接下来 App Store 的政策将要求 app 在其它公司拥有的 app 和网站上跟踪用户之前先行询问 你的 app 必须显示这个提示 并且在用户轻点“允许跟踪”后 只可以在其它公司的 app 和网站上跟踪他们 这包括跟踪定向广告 广告测量 或与数据代理共享 让我们仔细了解一下 跨公司跟踪在实践中意味着什么

例如 如果你的 app 知道我喜欢硬面包圈 不喜欢葡萄 然后你把这个数据分享给一个数据代理商 而这个人知道我想当宇航员 这就算跟踪 重要的是 即使这些信息 没有直接关联到我的名字 也是算在内的 而且如果它关联到一个特定用户的标识符 如用户ID、广告标识符 设备ID、指纹ID或配置文件 也都同样算在内 在一些特定情况下不要求调用跟踪 API 例如 如果链接仅在用户的设备上完成 这意味着数据不能以可识别出 用户或设备的方式从现有设备上发送出去 或者如果数据正在被共享给数据代理 但只是用于反欺诈、预防或安全目的 无论如何 这种使用必须是以你的名义 而不是出于数据代理的目的 要想获得跟踪用户的权限 请调用 AppTrackingTransparency 框架 由此会出现如图所示的提示

这个框架要求在你的 Info.plist 中填写 NSUserTrackingUsageDescription 密钥

你应该添加一个清晰的描述 来说明为什么你要求跟踪用户

IDFA 是由新的跟踪权限控制的标识符之一 要想请求跟踪用户的权限 须调用 AppTrackingTransparency 框架 如果用户选择“要求 App 不要跟踪” IDFA API 的返回值将全部为“0” AppTrackingTransparency 框架 仅在 iOS 14 SDK 中可用 这意味着 如果你没有针对 iOS 14 来构建你的 app 那么 IDFA 将不可用 并且 API 的返回值将全部为“0”

此外 用户还可以选择 不被任何 app 询问跟踪权限 限制广告跟踪正在向这个转变迁移 正如升级中的用户所期待的那样 启用限制广告跟踪 意味着 iOS 14 上的 app 将继续把 IDFA 读取为“0” 而请求跟踪的开关将会关闭 像限制广告跟踪一样 子帐户 和共享 iPad 的开关将完全关闭和禁用 而且可以通过 MDM 配置文件关闭和禁用

最后 你应该记住 用户可随时禁止跟踪权限 你在使用 IDFA 前 每次启动 app 都要 调用 AppTrackingTransparency 框架 像今天的示例中一样 你不应该缓存或存储 IDFA 考虑一下 如果用户关闭跟踪功能 你应该做些什么改变来停止跟踪他们 我们相信隐私保护是一个创新的机会 基于跟踪方式的重大变化 我们拟定出了一个创新的解决方案 来帮助你解答一个 通常涉及到跟踪的关键问题 即广告归因

对于许多开发者来说 跟踪是 试图回答诸如“哪种广告活动最有效？” 这类业务问题而产生的边际效应 Apple 的搜索广告归因系统 如今不会跨公司跟踪用户 但是其它的归因系统呢？ 今年 我们将宣布 对 SKAdNetwork 的重大改进 这个框架将为你提供一种隐私友好的方式 用以回答有关广告效果的问题 SKAdNetwork 的设计以隐私保护为核心 它使用设备端智能和聚合技术 来提供转化率测量 但不跟踪用户 由于该框架的设计宗旨并非跟踪用户 因此不需要请求跟踪许可 下面说说归因的原理 你通过付费 使你的 app 广告出现在新闻 app 上 如果用户点击这个广告 他们 就可以在 App Store 中看到你的 app 然后决定下载、启动 最后成为你的 app 的新用户 SKAdNetwork 可以帮助你回答很多问题 如“哪个广告活动 为 app 带来了最多的安装次数？” 从图中看来 橙色背景的效果更好 所以多做一些第1类广告活动 少做一些第2类广告可能是个好主意 它还可以帮你了解 广告出现在哪些 app 中 会为你的 app 带来最多的新用户 从这里看 或许你应该专注于 在体育 app 中运营更多的广告活动 那么目前该如何实现呢？ 当用户点击一则广告时 广告 SDK 就会向它们的广告网络发送一条消息 其中包括活动 ID 和与用户关联的标识符 如 IDFA 然后 当用户安装并启动 app 时 该 app 中的广告 SDK 会发送相同的标识符 来告知广告网络 广告网络将这些信息汇总在一起 告知购买广告的开发者 新闻 app 中的第89号广告活动转化成功 那么广告网络了解到了什么呢？ 它们了解到了很多 它们了解到这个用户 已安装了新闻 app 和你的 app 他们点击了这个广告 并且成功实现转化

现在我们来看看不跟踪会是什么样子

如果用户拒绝了跟踪许可 则此处的用户 ID 将消失 因此广告网络将无法了解 任何关于转化率的信息 这对于 传统的转化率测量方法来说是一个问题 但广告网络只是在试图测量转化率 并不包括针对用户的信息 我们构建 SKAdNetwork 的初衷就是实现 在无需用户具体信息的情况下 只了解转化率信息 让我们看看它背后的工作原理 我们不用广告 SDK 直接调用广告网络 而是让它调用设备端的 StoreKit 框架 并把活动 ID 传给它 这些信息由 App Store 客户端存储 同时还会记录 app 下载 当 app 启动时 app 内部的广告网络 需要告诉 StoreKit 它已成功启动 进而让 StoreKit 通知 App Store 客户端

为防止 源和目标 app 的特殊组合识别用户 转化率数据将会被发送给 Apple Apple 将检查是否有足够多的其他用户 实现了同样的转化 如果核查通过 将会通知设备 以便设备能把转化率数据发送给广告网络 最终通过你所运营的广告活动 汇报从新闻 app 到你的 app 的成功转化 为了确保这些信息的完整性 整个过程都要使用加密签名

现在让我们来看看 广告网络从这里了解到了什么 只有第89号广告活动 将一些用户从新闻 app 引去了你的 app 这也是它们一直都在试图测量的 SKAdNetwork 是一个应用隐私保护工程技术的绝佳例子 它通过建立创造性的技术解决方案 来填补功能和隐私保护之间的缺口 有许多组开发者 能够逐步采用 SKAdNetwork 如果你的 app 中包含广告 或者你的 app 在另一个 app 中做了广告 那么就请选择一个 支持 SKAdNetwork 的广告网络 这样 你就不需要提出获取跟踪权限 并且不管用户对跟踪的选择是什么 都会获得转化率数据 如果你是一个广告网络平台 请前往 developer.apple.com 学习如何采用 SKAdNetwork 请查看《App 购买的新增功能》讲座 以进一步了解 有关采用 SKAdNetwork 的信息

总结一下 我们讨论了指导 Apple 产品决策的四大关键隐私保护支柱 并描述了它们今年将如何应用于新功能 其中包括新的跟踪保护措施 希望这将启发你 将隐私保护视为一个创新的机会 并且使用我们今天讨论过的一些工具 通过良好的隐私保护来与用户建立信任 谢谢大家