隐私安全已成为国内外互联网广告行业面临的最严峻挑战。
一年前,苹果ATT框架的实施已经让行业真实地感受到其中的冲击,连行业巨头Facebook都无力改变当下的趋势,不得不忍受巨额损失,重建广告系统以求隐私和效果双全的解决方案。
一年后,移动端生态的另一巨头谷歌也决定,将其之前探索的“隐私沙盒”(Privacy Sandbox)技术应用于安卓系统内,以限制安卓系统内的数据收集和跨应用追踪能力。这意味着,安卓系统也即将迎来一个隐私至上的时代。
撤销广告标识符,谷歌将“隐私沙盒”引入安卓系统
上周三,谷歌宣布将“隐私沙盒”技术引入安卓的计划,旨在打造一个更先进、隐私的广告解决方案,从而限制与第三方共享用户数据,并且在没有跨应用标识符(包括广告ID)的情况下运行。同时,谷歌也在试图通过技术手段降低私密数据收集的可能性,比如以更安全的方式对接APP与广告SDK。
“隐私沙盒”是最初谷歌在2019年公布的一项隐私保护计划。当时正值谷歌浏览器宣布关闭第三方cookies之后,“隐私沙盒”就是其给出的替代方案,目的是通过建立一系列工具和技术手段,限制广告主采集用户数据,在不获取数据的情况下还能做到定向投放,维护用户隐私安全的同时保证广告效果。如今,距离第三方cookies正式禁用还有不到1年的时间,“隐私沙盒”的解决方案已开始在安卓系统上开发落地,预计在2022年末运行测试。
经历了第三方cookie废除、苹果IDFA受禁等一系列事件后,很多人已经意识到,安卓系统的“禁令”也许不会立刻到来,但也不会太远。谷歌也表示这将是一项多年的计划,需要与全行业开发者共同合作努力才能完成,并保证目前安卓手机的设备标识符还能继续使用两年。
类似于苹果的IDFA,每台安卓设备上都有一个独一无二的标识符,即“Advertising ID”,又称为“GAID”,通过标识符,广告主就能够采集用户信息,并向用户定向推送应用内广告。而当安卓系统也迎来隐私变革,意味着GAID也即将退出历史舞台。
其实,早在去年,谷歌就开始针对广告标识符增加了一系列隐私保护机制。例如当安卓用户选择退出个性化广告后,第三方就无法获取其标识符,取而代之的是一连串毫无意义的“0字符”,关于用户的现有数据也会被移除。
谷歌于2021年末宣布加强对广告ID的隐私保护
谷歌与苹果,两种“隐私观”
从去年4月苹果的IDFA受限到今年安卓的隐私计划上线,似曾相识的历史背后,苹果与谷歌虽然有着共同的目的,但二者的“隐私观”却截然不同。
这一点,谷歌也在公布时就狠狠地“内涵”了苹果的做法:“我们意识到其他平台对广告隐私采取了不同的手段,直接禁止开发者和广告主使用现有的一些技术。我们认为,如果不能事先提供一个能够保护隐私的替代方案,那么这样的方法也许就是无效的,甚至在用户隐私和开发者业务上产生更坏的结果。”
谷歌在官方博客上“内涵”苹果
去年4月,苹果正式将IDFA权限交于用户手中,开发者要想获取IDFA需要明确向该用户提出请求。一些广告分析公司的结果反馈,仅在美国市场就有96%用户拒绝了追踪请求。Facebook也因此“元气大伤”,几次“对战”后,苹果态度依旧态度强硬,坚持自己的原则。
从商业角度看,虽然苹果并不依赖于广告业务,但IDFA的受限确实能够让其成为最大的获益方。短期看,手握海量用户数据,足以让苹果在iOS应用上拥有绝对话语权;长期来讲,无法保证的广告效果或许也会让开发者转而选择订阅模式变现,苹果也能在其中抽成,获取可观的利润。
此外,如此严苛的措施下,苹果ATT的有效性依旧受到了业内学者的质疑。有苹果前工程师指出,研究发现ATT政策实际上并未对第三方追踪上有太多影响,即便用户选择拒绝IDFA请求,一些追踪方也能躲避掉ATT规则拿到用户数据。这意味着,ATT政策看似让用户掌握了主动权,但其实很有可能只是一种“心理安慰”的错觉。
而谷歌在这方面则要小心谨慎得多,试图采取更柔性的措施。毕竟,广告业务是谷歌收入的主要来源,因此如果以破坏整个生态为代价来维护隐私安全并不是谷歌想看到的;此外,安卓上90%以上应用都是免费的,对开发者来说,数字广告收入就是“饭碗”一般的存在。因此,为了保持整个应用生态健康稳定,谷歌势必要选择一个两全的方案,既能保证开发者的收入,又能保证用户的隐私权益,让生态内各方能够平稳过渡,避免像苹果那样带来巨大的冲击,这也就是“隐私沙盒”的初衷。
不过,在此之前“隐私沙盒”也面临着各方质疑,一些隐私保护者和广告主认为其依旧存在着指纹识别、跨语境隐私曝光等较为严重的隐私漏洞,况且目前该项技术并未全面应用,无法保证最终的成效。
针对安卓系统的“隐私沙盒”究竟有哪些升级?
去年这个时候,谷歌就公布了关于浏览器端“隐私沙盒”技术的一系列进展。前不久,谷歌也透露出了关于“隐私沙盒”的新升级。
一是Topics API,用来实现基于兴趣的广告投放,也是过去FLoC解决方案的升级。大概逻辑就是Topics工具能够基于用户一周的历史记录识别出最具代表性的一些话题,比如运动、旅行交通等。这些兴趣话题最多只能保存3周,过期话题会被自动删除。同样,话题的识别和选择等一系列过程都是在本地设备上完成,外部服务器(包括谷歌服务器)都无法干涉。
当用户访问一个网站时,Topics会在过去3周所识别出来的兴趣话题中选出3个话题分享给网站和广告商。同时,Topics也给予了用户足够的控制权和透明度,用户能够自由选择移除不希望被别人知道的兴趣话题。
如图:左边为用户能够看到的第三方cookies获取的信息,以链接的方式呈现
右边为在Topics工具中,兴趣的管理更加一目了然
谷歌还强调,Topics还会排除类似于性别、种族等敏感类别。谷歌认为,有了Topics,广告商无需再通过指纹识别等隐蔽追踪技术就能够继续投放相关广告。这似乎也是对去年质疑者的发问做出了回应。
二是SDK Runtime,是安卓“隐私沙盒”计划中的关键。类似于“防火墙”的工具,SDK Runtime主要用来阻止其他工具访问和获取用户信息及历史记录。
正常情况下,广告SDK在APP内部运行时,通常能够访问APP内的一切信息,而一些APP开发者也许并不能完全意识到这些实际访问权限的大小。通过SDK Runtime,则只能访问被明确授权的信息。比如如果应用程序 A 试图恶意读取应用程序 B 的数据,就会因没有权限而被阻止。
因此,SDK Runtime相当于为数据的采集与分享提供了一个安全的环境,并且通过明确的访问权限保证信息安全。
FLEDGE,主要用于再营销,是去年隐私沙盒计划中“TURTLEDOVE”的升级。逻辑与Topics类似,在安卓的Privacy Sandbox 内,FLEDGE能够让开发者在应用程序内基于用户交互行为来定义目标受众,并支持应用内的广告竞价,在此过程中无需再调用外部服务,拍卖在应用程序内进行,买方(成功出价)和卖方都可以通过 FLEDGE API 将拍卖结果传送至自身的服务器。
最后是Attribution Reporting,广告衡量,即在不泄露标识符的情况下告知广告表现。作用类似于苹果的SKADNetwork,主要提供粗粒度、带噪音的、无法识别用户的转化统计数据,无需再分享GAID。
“安卓上的‘隐私沙盒’是我们提高用户隐私标准的关键,”谷歌在博客中提到。技术的变革过程中,总是少不了质疑,但这正是进步的动力。不可否认的是,效果与隐私之间的博弈是全行业共同面对的挑战,也是近几年来苹果、谷歌、脸书都在极力解决的难题。每一次技术的变革都有可能打破平衡,带来突破,谷歌的解决方案或许不是最终答案,但隐私保护绝无终点可言,争议与质疑过后,相信新的平衡也将在不远处。