跳过内容

MASWE-0110:用户追踪中使用唯一标识符

Beta 版内容

此内容处于 beta 版,仍在积极开发中,因此随时可能发生变化(例如结构、ID、内容、URL 等)。

发送反馈

概述

移动应用程序中的用户追踪涉及收集和分析数据,以监视用户行为、偏好和动向。这使得公司能够识别并跟踪用户随时间和跨不同应用、设备和服务的使用情况。 这种追踪通常在用户不知情或未经明确同意的情况下发生,从而导致严重的隐私问题。

移动应用通常包含来自 Google、Meta(前身为 Facebook)、X(前身为 Twitter)和其他公司的嵌入式实用程序或第三方 SDK。 这些实用程序的示例包括分析工具、广告网络和社交媒体集成组件。 这些组件可以收集与应用功能不直接相关的数据,从而可能访问敏感信息,例如联系人列表或位置历史记录,具体取决于授予的权限。 设备制造商预先安装的应用可能会使问题更加复杂,因为它们可能会在用户不知情的情况下进行侵入式数据收集。

一种常见的追踪方法是使用唯一标识符,尤其是那些无法重置的标识符。 当与来自多个应用的数据相结合时,这些标识符可用于创建个人的详细个人资料 - 估计兴趣、健康状况、性取向和其他个人属性。 这些信息可用于定向广告、个性化内容传递,甚至用于影响政治观点。

引入方式

  • 使用不可重置的标识符:使用用户无法重置的标识符,例如设备 ID、硬件序列号或 MAC 地址,可能会导致未经用户同意的持久追踪。 例如,Android 8.0(API 级别 26)之前的ANDROID_ID是一个在首次启动时随机生成的不可重置标识符,而在最新版本中,它对每个应用签名密钥、用户和设备的组合是唯一的。
  • 滥用可重置的标识符:在未经尊重用户偏好或获得适当同意的情况下,使用可重置的标识符,例如 Android 上的广告 ID 或 iOS 上的 广告标识符(也称为广告商标识符或 IDFA)可能会导致未经授权的追踪。
  • 跨服务链接标识符:跨不同的服务或应用链接标识符以创建用户的统一个人资料,即使在重置或重新安装之后也是如此。这可以通过组合来自不同来源的标识符来完成,例如设备 ID、广告 ID 或其他唯一标识符以及行为数据。
  • 未经用户同意进行追踪:在未经用户明确同意或未提供选择退出或重置标识符的能力的情况下,跨服务或应用追踪用户。 例如,在 iOS 上,根据 App Tracking Transparency (ATT) framework,访问 IDFA 需要明确的用户同意。 IDFV 可以在未经明确同意的情况下跨同一供应商的应用追踪用户,但在从设备中删除所有供应商的应用时会重置。

影响

  • 失去用户信任:用户可能会失去对应用中缺乏唯一标识符如何用于追踪的透明性的信任,这可能会导致负面评论、参与度降低和保留率降低。
  • 侵犯用户隐私:用户可能没有完全意识到接受追踪的含义,例如收集唯一标识符或使用模式。 在某些情况下,追踪可能是使用应用的强制要求,使用户没有真正的选择。 这可能导致隐私侵犯、未经授权使用其信息以及用户对其数据的控制权受到侵蚀。
  • 合规性和法律风险:违反数据保护法律和法规(如 GDPR)会导致法律后果、罚款以及可能不符合平台准则,这可能会导致应用商店删除。

缓解措施

  • 使用可重置的标识符:首选可重置的标识符,例如 Android 上的广告 ID 或 iOS 上的 广告标识符(也称为广告商标识符或 IDFA),用于分析或个性化广告等目的。 始终尊重用户对追踪和数据收集的偏好和同意。 避免使用基于硬件的标识符,例如设备 ID 或 MAC 地址。
  • 使用应用范围的标识符:使用应用范围的标识符来维护用户隐私并防止跨服务追踪。 示例包括ANDROID_ID(在 Android 8.0(API 级别 26)及更高版本上)Firebase 安装 ID (FID) 或私下存储的全局唯一 ID (GUID)。 在 iOS 上,考虑使用 Vendor 标识符 (IDFV) 来跨同一供应商的应用追踪用户,并在卸载所有供应商的应用时重置。
  • 适当地使用广告 ID:将广告 ID 的使用限制在广告服务和用户个人资料上下文中,尊重用户对广告追踪的偏好。 如果没有明确的用户同意,避免在重置后链接标识符,以确保重新开始。 在 Android 上,适当地使用 广告 ID,在 iOS 上,通过在访问 Advertisers (IDFA) 的标识符之前请求用户许可来遵守 App Tracking Transparency (ATT),并避免存储它; 访问advertisingIdentifier 取而代之。
  • 使用适当的 API:使用保护隐私的 API,而不是依赖标识符。 例如,对于 Android 上的设备验证,使用 Play Integrity,在 iOS 上,使用 DeviceCheck(例如,识别利用促销优惠的设备或标记欺诈设备)。 对于隐私友好的广告归因,在 Android 上使用 Attribution Reporting API,并考虑在 iOS 上使用 AdAttributionKitSKAdNetwork
  • 将第三方 SDK 视为您自己的代码:请注意与集成到您应用中的第三方 SDK 关联的任何隐私或安全策略,尤其是那些与使用唯一标识符相关的策略。 确保第三方 SDK 符合平台准则,以进行数据收集和用户同意,例如 Apple 的 App Tracking Transparency (ATT) 和 Google 的 Play Data Safety 政策,以避免滥用标识符并确保透明度。
  • 提供明确的隐私信息:在您的隐私政策、应用商店列表以及应用本身中告知用户有关收集和使用唯一标识符的信息。 清楚地解释追踪的目的以及它如何有益于用户体验。 如果可能,为用户提供选择退出追踪或重置标识符的功能。