隐私保护新功能

嗨 我是隐私工程团队的 Lindsey 欢迎观看“隐私保护的新功能”

在 Apple 隐私保护 是我们一切工作的重中之重 隐私是每个人的基本权利 我们设计的平台旨在保护用户隐私 Apple 和所有开发者打造的产品 在用户的生活中 占据着举足轻重的地位 因此满足用户的期望和选择 是我们共同的责任

针对隐私安全进行设计 是一项具有挑战性的工作 我们使用隐私保护支柱 来帮助我们专注于最重要的事项 Apple 的隐私保护支柱 包括数据最少化、 设备端处理、透明度与控制权 以及安全性 数据最少化是指仅收集 实现某项功能 所需要的最少量数据 设备端处理涉及 在设备上本地执行计算 避免与服务器端处理 相关的潜在风险 透明度与控制权 是指尊重用户的自主权 让用户清楚地知道 自己的哪些数据被收集 并由用户决定是否允许 自己的数据被使用以及如何使用 安全性是提供隐私保护的 技术保证和实施的基础 iOS 18 和 macOS Sequoia 将这些原则付诸实践 它们推出了新的选择器 允许用户只共享自己想要共享的数据

升级了平台保护措施 以避免意外的过度共享

优化了权限对话框 以清楚说明共享的数据

并推出了新的平台功能 来改善用户隐私安全

首先 我将介绍新的选择器 它们允许用户选择 无需授权提示即可分享的数据

它们可打造上下文中的 数据共享体验 包括完全融入 App 中的 可自定 UI 同时尽量减少共享的数据 系统会在屏幕上 显示一个进程外选择器 这是与 App 同步的 但是 App 无法读取这个选择器 用户可以从选择器中选择信息 然后只有这些数据会向 App 共享 我们已经为通讯录、照片 和手记建议提供了选择器 iOS 18 推出了 新数据类型的选择器 第一个新选择器 通过 FinanceKit 提供 FinanceKit 支持访问 一个新的设备端数据类别 这些数据的来源是 Apple Card、 Savings for Card 和 Apple Cash 等 你可以利用交易数据 构建出色的财务管理 App 多个易于采用的机制可最大限度减少 需要管理和保护的数据 个人财务记录可用于分析 个人兴趣、习惯和人生大事 因此这些工具可让用户 向你的 App 共享必要的数据 而避免过度共享多年的财务数据 首先是交易选择器 如果你的 App 需要访问 一组现有的交易记录 而不是不断更新的完整交易记录 这是最好的选择 在你调用交易选择器时 系统会在你的 App 之上绘制选择器 用户可以从显示的列表 或使用搜索来选择交易 例如 费用管理 App 可以允许 用户跟踪和提交 与工作相关的费用报销 而不共享个人物品的购买记录

这使用户可以放心地 使用 App 功能 不用担心泄露敏感信息

其次是持续访问控制 当你的 App 请求访问 所有财务数据时 操作系统将显示 所有符合条件的账户列表 用户可以选择要共享的账户 并为每个账户选择最早的共享日期

这种内置机制意味着 用户多了一层选择 来定制使用体验 这样他们就不需要分享较旧的 敏感数据 App 只会收到相关的部分数据 不需要进行任何额外操作

只有当你的 App 需要访问 持续的财务数据时 才适合使用 FinanceKit API 请求访问所有财务数据 例如 它可能适合 个人预算跟踪 App 与交易选择器不同 它需要成功应用才能获得 FinanceKit 授权 FinanceKit 使 App 能够 利用财务数据构建实用的体验 用户可以利用相关工具来 自行选择 想要共享的数据 请观看“了解 FinanceKit” 进一步了解如何在 App 中实现

iOS 18 和 macOS Sequoia 提供了一个新的选择器 可使用 Image Playgrounds API 在专用的进程外 UI 中 为你的 App 实现图像生成 Image Playground API 使你的 App 能够利用 系统提供的个性化 设备端图像生成功能 这也是 Image Playground App 中 使用的功能 要在你的 App 中集成这些功能 请提供 Image Playground 表单 并根据需要选择提供输入 例如文本提示或图像 用户可以对图像进行迭代 直至获得心仪的图像 只有用户选择的最终图像 才会共享给你的 App 图像生成和选择由操作系统托管 所以没有授权提示 你的 App 只会收到 明确共享的结果 这些选择器用于选择 设备上存储的数据 但有些 App 需要访问蓝牙 和本地网络 以便连接到配件 我们应用与数据选择器相同的原则 来创建 AccessorySetupKit 这是用于设置配件的最简洁 且隐私保护能力最强的方法 它将多种类型的授权 结合到一个进程外选择器中 允许你的 App 通过 蓝牙和 Wi-Fi 连接相关配件 并提供新的配件管理工具 AccessorySetupKit 将所有必需的授权 整合为一个简单直接的流程 取代了之前要求的 3 种不同的授权 包括蓝牙配对提示、 Wi-Fi 网络加入提示 和蓝牙配件配对确认 由于这些提示要求广泛的授权 它们会导致用户在使用 App 时 产生担忧 例如 当 App 与相机配对时 它需要通过蓝牙与相机通信 并连接到相机的 Wi-Fi 热点 AccessorySetupKit 只需轻点一下 即可完成这两个步骤

与相机配对后 Pal About App 可以 通过蓝牙连接到相机 但无法发现 从未与 App 配对的设备 这既有利于保护用户隐私 又不会影响配件使用体验 iOS 18 中更新的蓝牙授权 可让用户在需要时 授予完整的访问权限 这使得这个不需要完整访问权限 的新工具特别实用 它还使已配对配件 管理变得十分简单 你的 App 可以重命名已配对配件 并在“设置”中附加一个资产 “忘记设备”可以彻底删除附件 和它的权限 用户还可以在新的配件菜单中 取消配对配件 或向其他 App 共享配件权限 AccessorySetupKit 是 iOS 18 中 配件配对的最佳方法 它提供的体验更流畅 更直观 并且生成的隐私权限 是 App 使用配件 所需的最小权限

请观看“了解 AccessorySetupKit” 进一步了解 如何在 App 中实现它

这些选择器都提供增强的用户控制 并尽量减少需要收集的数据 以便在你的 App 中 提供出色的功能 iOS 18 和 macOS Sequoia 还推出了升级的平台保护 可能会对你的 App 产生影响 首先 引入专用 Wi-Fi 控制 用于 iOS 上的 MAC 地址轮换 并将 MAC 地址保护引入 macOS 提醒一下 MAC 地址是硬件的唯一标识符 用于在与同一网络关联的 不同设备间 路由网络数据包

设备的 MAC 地址不受 当前 Wi-Fi 安全模式的保护 并且可以被附近的所有其他 Wi-Fi 设备以及所连接网络上的 所有设备看到和跟踪 即使这个网络在其他方面是安全的

MAC 地址不是稳定的用户标识符 但因为它永远不会改变 可能会被滥用来创建 用户个人资料以进行跟踪

在 iOS 中 专用 Wi-Fi 地址现在会轮换 并且 macOS 系统现在也 提供相同的保护措施

iOS 设备将和以前一样继续使用 基于网络的随机 MAC 地址 当网络的“轮换 Wi-Fi 地址” 开启时 网络的 MAC 地址 大约每两周更改一次 如果“轮换 Wi-Fi 地址”被关闭 网络的随机地址将不会随时间变化 忘记的网络的地址 始终会在最多 24 小时后轮换

对于公共网络 “轮换 Wi-Fi 地址”设置 将默认为静态轮换地址 否则 将默认使用随机地址 在 iOS 18 的 Wi-Fi 设置中 “专用 Wi-Fi 地址” 更新为“轮换 Wi-Fi 地址” 以反映功能的扩展

除了随机初始化 现在还将提供 MAC 地址轮换

切换开关的默认状态和行为基于 设备连接的网络类型 相同的功能和相同的轮换政策 现在也在 macOS 中提供 如果你的 App 使用 Wi-Fi 地址 进行网络管理、速率限制 或其他目的 请考虑你的 App 将如何在这些设置下工作 接下来是在 macOS 上运行的 扩展的通知和设置 它们为扩展 App 和 Mac 功能 的软件提供透明度和控制权

用户熟悉 App 但并不总会意识到 App 可能包含后台组件 或者即使下载的 App 未打开 这些组件也可能会运行

例如下载 Pal About App 可能包含程序坞卡片扩展 当 App 关闭时 它也会更新程序坞 中的 App 图标日期 Pal About QuickLook 生成器 会在使用 QuickLook 预览文稿时触发 这些扩展提供了实用的功能 但当 App 安装包含扩展 或扩展在系统中持久运行时 这一点并不明显 为了让不可见的东西可见 现在 macOS 会在扩展安装时 提供系统通知 用户仍可在“登录项和扩展”中 停用扩展 现在支持为更多类型的扩展 生成通知并可在设置中进行控制

除非在“登录项和扩展”的 设置窗口中禁用扩展 否则扩展 将不会被禁止运行

此外 Cron 默认关闭 但可以在同一设置窗口中重新启用 App 的登录项和扩展 现已集中至 macOS 系统设置 中的同一个地方 这可以让用户更轻松地理解和控制 App 是否在运行以及何时运行

如果你有一个系统扩展 并提供关于在何处启用的说明 请更新说明 以指向 通用 -> 登录项和扩展 最后 目录服务插件、 旧版 QuickLook 插件 和 com.apple.loginitems.plist 文件 都不再受支持

所有这些变化都使用户 更清楚地了解系统上运行的内容 并更好地进行控制 最后是 macOS 上的 App 组数据容器保护 它为尚未对所有数据 进行沙盒化的 App 组 和 App 带来了强大的 沙盒化保护功能 App 沙盒可限制 对受保护资源的访问 从而确保数据访问始终在意料之内

如果一个 App 试图访问 另一个 App 的容器 系统会显示允许或拒绝访问的提示 在这个示例中 Pal About 尝试从另一个 App 的容器访问数据 系统显示一个提示 容器外的数据可以被 任何未沙盒化的进程读取 你的 App 可以存储 用户信任 App 而存储 但不愿与他人共享的个人数据 沙盒化可以让用户控制 App 的使用并安心无忧 现在 适用于单个 App 的保护措施 可以扩展到一组 App 的共享容器 在本例中 Pal About Calendar 和 Pal About Mail 可以 向 App 组容器共享 关于联系人和活动的数据 这是在不同 App 之间共享数据 并保证数据安全的好方法 与 App 容器类似 当其他开发者的 App 尝试访问你的组共享容器时 系统将会显示提示 在共享数据之前请求授权 在这个示例中 当示例团队 Cal 试图访问 共享 Pal About 容器中的 Pal About Mail 数据时 系统显示提示

如果你还没准备好 将 App 完全沙盒化 还可以使用组容器 来保护一部分数据

考虑你的 App 是否存储 特别敏感的数据 比如浏览历史记录或照片 你可以只将这些数据存储在 受保护的组容器中 它们将具有相同的保护属性 在这个示例中 Pal About Browser 可以保护 包含浏览历史记录的文件 同时保持联网 且不对样式资源进行沙盒化 要避免在你自己的 App 访问 团队容器时显示提示 请确保在 Info.plist 中 声明权限 正确设置组标识符的格式 并仅使用相应的 Foundation API containerURL (forSecurityApplicationGroupIdentifier:) 来获取共享容器的路径

要进一步了解实现方法 请查看文档 《App Groups Entitlement》

现在交给 Chris 他将讨论权限变化 和新的平台功能 大家好 我是隐私工程团队的 Chris Apple 力求通过每次更新 改进 API 来支持你的 App 使用户能够更好地掌控 自己数据的访问权限 让用户在你的 App 需要时 放心地提供自己的 个人信息 这种控制措施使你能够 提供用户喜爱的功能 因为你只收集必要的数据 iOS 18 和 macOS Sequoia 改进了 本地网络、蓝牙和通讯录访问权限 的透明度和控制权 首先我将介绍 iOS 18 中 共享通讯录的变化 随着时间的推移 用户会保存很多联系人 每个联系人条目都包含 相关个人的大量信息 当用户选择共享通讯录时 你的 App 可以持续 访问所有联系人 iOS 18 提供 选择要共享的联系人的选项 从而为联系人中包含的信息 提供了更高的透明度 和更多控制权 对于请求持续访问 大量联系人的 App 例如提供好友匹配功能 的信息传送 App 联系人提示现在分两个阶段显示 第一个提示询问是否应共享通讯录 如果轻点“继续” 第二个提示显示 提供有限或完整访问权限的选项 当你的 App 请求访问通讯录时 iOS 18 将自动提供新流程 并且不要求采用任何新的 API 如果你的 App 为用户提供 搜索联系人的功能 例如搜索邮件收件人 iOS 18 推出了 App 增量式添加联系人的新方式 即使用 Contact Access 按钮

这个按钮会嵌入到你的 UI 中 而不是全屏显示的选择器 并允许你的 App 在搜索结果中显示 它无权访问的联系人 使用这个按钮时只需轻点一下 在找到唯一匹配项并轻点按钮后 联系人便会被共享 仅为 App 提供这个时刻需要的数据 App 应该很少需要 持续的完整通讯录访问权限 借助 Contact Access 按钮 你可以提供完整的 联系人选择器体验 而不需要完整的访问权限 并使用户能够更放心地 向你的 App 共享联系人 想要进一步了解 如何在 iOS 18 中访问联系人 请观看 “了解 Contact Access 按钮”视频 我们将用于改善通讯录访问权限 的相同原则 应用于蓝牙和本地网络 iOS 18 中的蓝牙 授权提示有所变化 重点放在通过蓝牙连接 访问的共享数据类型的透明度 以及访问权限被滥用时的 潜在隐私安全风险 用户可能认为蓝牙 只是用来连接设备 但蓝牙连接可以透露许多信息 包括设备所在的位置 甚至能够对设备进行唯一标识 以进行跟踪 授予对蓝牙的持久访问权限 是一个重大选择 新的提示会清晰地直观展示 App 在获得许可后可访问的数据 更新后的蓝牙提示现在会显示地图 标明设备的当前位置 以及相关设备的示例 说明你的 App 将如何使用蓝牙 的清晰使用字符串 以及这些额外信息 将为用户提供进行知情选择 所需的信息 iOS 18 将显示更新后的提示 无需采用任何新 API 最后 我将介绍在 macOS 中 请求访问本地网络上的设备时 的新功能 本地网络访问权限 使 App 能够扫描 并尝试连接到 本地网络中的其他设备 这可以透露许多信息 例如用户是在家中 使用熟悉的网络 甚至还能深入分析用户的 生活习惯、爱好和社交圈 macOS Sequoia 为 macOS 带来了 本地网络访问控制能力 当 App 尝试从本地网络访问数据时 会显示一个提示 确保 App 和它的进程 仅在特定时刻请求访问权限 而且你已经在 info.plist 文件中 定义了清晰的描述性使用字符串 因为在没有上下文的情况下显示 提示时 用户不太可能允许访问 一个善意目的的字符串 是使用户信任你的 App 的最佳方式 它应该详细描述你计划如何 使用 App 收集的数据 包括本地网络访问提供的数据 对于所有 App 如果你的 Info.plist 中有 Bonjour Services 键 或网络多播授权 则必须包括本地网络使用描述 否则访问将被阻止 如果你的 App 或它的依赖项 包含 Bonjour 浏览或广告、 自定多播、自定广播 或依赖于本地网络的单播连接 则这些更改适用于你 想要详细了解本地网络隐私 请观看视频 “在你的 App 中支持本地网络隐私” 除了改进提示的显示方式 当你的 App 请求获取 特定类别的数据时 iOS 18 和 macOS Sequoia 提供了新的平台功能 这些功能注重隐私保护和安全 首先是一项系统功能 它为用户提供保护敏感 App 和其中所含信息的新方法 有时用户会将设备交给其他人 比如朋友或家人 让他们看照片或是玩游戏 却又希望确保 其他人无法进入手机的敏感区域 锁住所选的 App 可以让用户高枕无忧 同时为用户提供了 保护隐私数据的新方式 例如信息、约会兴趣和健康信息 iOS 18 带来了 额外的隐私保护功能 允许用户锁定和隐藏任何 App 在访问前要求进行身份验证 当你的 App 被锁定或隐藏时 必须先通过面容 ID、触控 ID 或密码进行身份验证 然后才能访问 App 内容 这包括所有入口点 比如轻点共享表单中的一个操作 App 中的内容不会 显示在系统的其他地方 比如搜索或通知 以免其他人不小心看到敏感信息 另一种保护 App 中 个人数据的方法 是采用自动升级的通行密钥 你的所有账户包含大量密码 管理保护这些密码的生命周期 是一个繁琐且重复的过程 通行密钥基于标准 可以替代密码 它更加简单和安全 还可抵御钓鱼攻击 在 iOS 18 和 macOS Sequoia 中 App 可以自动升级现有账户 以便在登录时使用通行密钥 账户安全 对于保护用户隐私至关重要 如果你的 App 保护 使用密码的账户 我们建议你添加对通行密钥的支持 有了自动通行密钥升级 你的 App 可以在登录时 自动升级现有账户 通行密钥可与密码搭配使用 所以你不必调整登录流程 即可将通行密钥纳入 通过采用通行密钥 你可以为用户提供 轻松安全的登录方式 同时免去追踪另一个密码的负担 要进一步了解自动通行密钥升级 请观看“利用通行密钥升级和 凭证管理器简化登录体验” 最后 我们介绍了 供使用来电者 ID 构建 App 的开发者使用的工具 他们希望利用实时来电者 ID 提供出色体验 而服务器无需知道来电者是谁 这些工具旨在保护隐私 并充分利用私密中继 和私密信息检索 我们在实时来电者 ID 中的 私密信息检索实现 使用同态加密 允许服务器利用 加密的值 无需进行解密 服务器对传入的密文进行计算 评估是否匹配 然后将转换后的密文 返回到请求的设备并显示结果 如果没有私密信息检索 要在不泄露敏感信息的情况下 例如来电号码 实现实时来电者 ID 是不可能的 采用这些工具可让你 提供及时的信息 而不会损害用户隐私 用于配置服务器的开源资源 将于 2024 年下半年推出 想要进一步了解如何使用 实时来电者 ID 查询扩展 请查看文档 《Getting up-to-date calling and blocking information for your app》

今日的每一项更新 都旨在加强隐私安全 通过隐私保护支柱 帮助我们专注于重要事项： 安全地处理个人数据 开发相关工具 帮助你实现同样目标 同时提供用户喜爱的 App 将选择器用于配件、通讯录 交易等 而不是依赖完整访问权限 为用户锁定 App 的情况 做好准备 并充分利用 Wi-Fi 地址轮换 利用新的和改进的授权流程 比如用于蓝牙配件的 AccessorySetupKit 和 Contact Access 按钮 最后 利用新的平台功能 在你的 App 中引入 隐私和安全改进

感谢大家与我和 Lindsey 一起 了解如何为用户构建出色功能 提供强大的隐私保护