我相信人都是聪明的,有些人也愿意分享更多数据。 这就要征询他们的同意,每一次都征询。就算他们厌倦了, 也得让他们来告诉你不必再问了。而且你要确切地告诉他们,你会怎样使用他们的数据。
——Steve Jobs 2010 年,万物数字化大会 (All Things Digital Conference)
从 iOS 14.5 起,苹果强制要求开发者为应用适配「应用追踪透明度」框架(App Tracking Transparency,下文简称为 ATT),Facebook 为此事在《纽约时报》投书,号称「为了各地的小公司,我们决定站到苹果的对立面」。
犹如萨拉热窝的一声枪响,象征着苹果和 Facebook 之间一场「热战」的打响。
这场战斗不仅关乎科技巨头们的商业利益,作为两家争夺的核心——用户的数据隐私——才是真正值得关心和探讨的话题。
关于 ATT 的误解和真相
一切的开始,都要从 iOS 14.5 要求的「应用追踪透明度」框架说起。
「应用追踪透明度」框架是苹果在 iOS 开发工具中提供新特性,用来询问用户,应用是否能够获得设备的广告标识符(即 IDFA,Identifier for Advertisers)。而这个广告标识符(下文简称 IDFA),是 iOS 系统自动为每台设备随机生成的一串代码,看上去就像这样:
7D902I08D-7846-4CA4-TE6P-83369125YFDCIDFA 就像是一台设备的身份证,用户在应用内的一切操作,都可以将被应用记录下来,并且与 IDFA 绑定,就形成这台设备的行为数据。
对 ATT 最容易产生的误解,是「ATT 禁止了应用获取 IDFA」。在 iOS 14.5 之前,应用可以在不通知用户的情况下,(通过其他 API)自行获得设备的 IDFA。而苹果最新的要求是,应用必须通过 ATT 才能获得 IDFA。所以, ATT 的作用是把决定权交还给用户,而非完全禁止应用获取 IDFA。从实际流程来看,应用会弹出类似「定位请求」的窗口,用户可以选择是否允许应用获取 IDFA。
如果理解了 ATT 的机制,不禁会疑问:苹果为什么要推出 ATT,不允许应用自行读取 IDFA?要知道,IDFA 是苹果为自己在 2012 年推出的技术。
按照苹果副总裁 Federighi 在接受《华尔街日报》专访 时的说法:
Users deserve and need control of that information.
用户值得且需要掌握这些信息。
这种论调就引发另一个对 ATT 广泛的误解:自从有了 ATT,用户才有了选择权。其实,早在 iOS 14.5 之前,用户就可以让应用无法获取设备的真实 IDFA。
从 iOS 10 开始,苹果就在系统偏好设置中增加了「限制广告追踪(Limit Ad Tracking)」功能,当用户开启这个选项,应用就无法读取到设备真正的 IDFA,取而代之的是一串全是零的代码。
可以看出来,「限制广告追踪」的作用其实和 ATT 非常类似,只是前者需要到系统设置中开启,后者是在打开应用时自动弹出。然而就是这一点细微的差别,造成了广告商们完全不同的反应。据 统计 显示,只有 20% 的 iOS 设备打开了「限制广告追踪」。而由于 ATT 通常是在应用第一次开启就会弹出,让用户做选择,尽管苹果号称弹窗「给了开发者解释的机会」,但可想而知 ATT 的开启率会远超「限制广告追踪(Limit Ad Tracking)」,毕竟都是点一下屏幕,没有人会跟自己的隐私过不去。
也正因如此,在「限制广告追踪」功能推出后各方相安无事, 而现在 Facebook 先是在《纽约时报》刊发檄文,后又 号召自家应用的用户 不要选择拒绝应用读取 IDFA,以保证自己可以提供免费的服务。
最后,对 ATT 最严重的误解就是:ATT 可以保护用户的隐私。
ATT 与隐私的关系要分为两层说:第一,ATT 一定程度上阻止了个人隐私的泄露;第二,即使没有设备的 IDFA,广告商依然能获得用户的个人隐私数据。
在解释 IDFA 时,很容易忽略的一点是:IDFA 在设计之初,只与设备有关,与用户资料无关。也就是说,IDFA 本身就是一层将用户资料与设备分隔的夹层,只不过,这夹层被开发者和数据代理商轻易就戳破了。
开发者不仅拥有设备的行为数据,还有用户资料,可以直接将用户与设备对应起来。更可怕的是,开发者还会将这套数据卖给数据代理商,这样广告商可以掌握了多个应用、多种类似、针对同一用户的资料,形成所谓的用户画像,并且和广告平台合作。在应用加载广告的几毫秒内,广告平台开始拍卖这台设备的广告位,根据数据代理商提供的用户画像,吸引客户群符合用户特征的广告主高价竞拍。这样用户便「享受」到了个人化的广告投放。
就此,「开发者-数据代理商-广告平台-广告主」这样一条商业闭环形成,在这个过程中,用户既不知道自己的数据被卖,也无法控制这一切的发生。
而 ATT 的推出,降低了应用开发者向数据代理商提供的数据的有效性。没有了 IDFA,给多个应用的行为数据匹配成特定用户的过程,稍微增加了一些难度,毕竟无法直接通过 IDFA 确定这些应用是否在同一台设备上。
但 ATT 的作用,也仅此而已。不需要 IDFA,数据代理商也可以轻松定位用户。最显而易见的办法,就是第三方登录系统,例如国内的微信、微博,国外的 Google、Facebook。如果用户用同一个账户登录不同的应用,这些应用开发者天然地获得了同一用户在多个应用中的行为数据。
如果仔细看一眼平时常见的第三方登录账户,会发现它们有一个共同点:都是依赖广告营收的广告商。
即使本身不是科技公司,无法通过第三方账户的方式收集数据,数据代理商们还是有各种解决方案,保证让广告平台和广告主们满意。例如某个应用获取了设备的 IDFA,就上传给数据代理商,数据代理商通过技术手段匹配后,将 IDFA 回传给其他应用;又或者虽然没有 IDFA,但是通过监测多个应用的数据,如果观测到手机特征高度一致,就判定为同一台设备。
总而言之,想单靠 ATT 保护个人隐私,实在太小看无数数据代理商们的技术实力了。
自此,关于 ATT 技术本身的事实已经清晰:
- ATT 可以让用户选择是否交出设备的 IDFA;
- ATT 在功能层面并不是新事物,苹果也不是第一次推出类似功能;
- ATT 无法真正保护用户的个人隐私数据。
这样看来,ATT 是一项吃力不讨好的功能。既不能真正实现保护用户个人隐私的目的,为什么苹果要冒着和 Facebook 上法庭的风险,来强制推广这项功能呢?既然有一万种绕过 IDFA 获得用户数据的方法,Facebook 为什么要出头,把和苹果的矛盾公开化呢?
一切关乎利益
无论是 苹果官网的宣传,还是 Tim Cook 在 CPDP 2021 的发言,苹果公司一直将自己塑造为保护用户个人隐私数据的急先锋。从实际的行为来看,无论是 Safari 2019 年就推出的「阻止跨站跟踪」功能,还是 iOS 日益加强对定位数据、剪贴板的保护,苹果都算得上言行合一。
但如果真如苹果自己所说,道德自律是驱使他们开展这一系列的行动的唯一因素吗?
把时间拨回到 IDFA 出现的 2012 年。在 IDFA 之前,开发者可以读取设备的唯一识别码(UDID,Unique Device Identifier)或者 MAC 地址来分类用户的行为数据。需要说明的是,这两个参数用户是无法控制应用是否读取的,一切都取决于开发者。因为不断有第三方应用数据泄露的事件发生,2012 年三月,美国国会要求 Tim Cook 参加关于隐私数据的 听证会,同年六月的 WWDC 上,iOS 6.0 就禁止开发者读取 UDID 或者 MAC 地址,以 IDFA 取而代之。与前两者不同,IDFA 是可以由用户重置,因此一定程度上保护了隐私数据。
2016 年剑桥分析参与美国大选与 Facebook 的数据泄露丑闻,或许再一次让苹果意识到了个人隐私数据背后的法律风险和商业风险。此次事件曝光后,Facebook 仅在一天之内市值就蒸发 60 亿美元,扎克伯格也被叫到国会开听证会。而虽然事件本身是因为第三方数据公司违反 Facebook 的协议,将数据转卖给剑桥分析。但 Facebook 在整个过程中的毫无作为,也让公众意识到,这是一片没有被监管的土地。
苹果在隐私保护上所做的努力值得被认可,但不可否认的是,苹果作为一家商业公司,这些行为是能降低潜在的法律风险,从而降低商业风险的。相比和 Facebook 对抗所造成的麻烦,加强用户隐私的保护无疑更符合它的全局利益。
除了法律风险的因素,广告是一块苹果不可能视而不见的市场。
互联网广告是一块巨大的市场,数据就像地里的石油。2018 年,数据代理商花费了 2100 亿美元向谷歌和 Facebook 等社交媒体或搜索引擎公司购买用户的数据,作为参照。iPhone 在 2018 财年营收为 1667 亿美元。
但苹果此次推出 ATT,倒不能直接为苹果抢到广告市场的份额。IDFA 是仅用于 iOS 设备的广告标识符,其他公司都有自家的技术方案,例如谷歌在 GMS 中的 GPS ADID (Google Play Services ID for Android)。再加上前文也说道,数据代理商有的是技术手段绕开 IDFA,实现精准的用户画像。也就是说,阻止开发者获取 IDFA,实际上并不能打击到竞争对手,反而可能让自家生态内的数据变得不值钱。
既然如此,Facebook 为什么这次对苹果推行 ATT 反应如此强烈,仅仅是因为没有像谷歌 GMS 一样的利器,以后收集数据起来会提高技术成本吗?
苹果在 2010 年推出了 iAd,提供与谷歌和 Facebook 类似的广告服务。但在 2016 年,宣布完全关闭,转而在应用商店搞起竞价搜索广告业务。尽管苹果官方没有对外解释关闭 iAd 的缘由,但从 iOS 的市场占有率来看,在 iOS 生态内的广告服务,远没有谷歌和 Facebook 的服务能吸引广告主。
所以这一次,苹果换了一种玩法。
前文介绍道,IDFA 的一大作用是辅助分析用户特征,完成用户画像,方便精准投放广告。其实它还有另一项作用,就是用于检查广告的投放效果,业内称之为归因。如果没有 IDFA,也会使得广告平台无法准确地统计广告效果,广告主自然不会为了效果不明的广告位花钱。
而在 iOS 14.5 更新中,除了用户可以感知的 ATT,苹果还向开发者提供了 SKAdNetwork 2.2。SKAdNetwork 是苹果 2018 年推出,在保护用户隐私的前提下,用于测量应用内广告效果的模块。简单来说,使用 SKAdNetwork,在没有 IDFA 的情况下,也可以对广告进行归因。根据 第三方广告平台公司的测试,和使用 IDFA 的技术方案在精准率上相差不过 2%。
在推出 ATT 的同时推出自家的广告归因解决方案,很难不让人将它们联系在一起。过去 iAd 之所以竞争不过谷歌和 Facebook,是因为这两家既是广告平台,又是数据代理商。换句话说,不仅给广告主提供户推送广告的渠道,还能做好售前售后服务,帮广告主精准找到目标用户,之后再提供详细的广告效果数据。这样周到的服务,谁能拒绝的了呢?
而现在苹果在广告市场的策略,更多将自己定义为数据代理商,要知道,苹果从头到尾只说绝对不会靠卖用户数据赚钱,可从没说不会收集和分析自家设备上的数据。不仅如此,苹果还在以保护隐私之名,吸引用户将数据放在自家平台,iOS 13 上推出的 Sign in with Apple 就是最好的例证。
如此一来,或许苹果可以参照应用商店的商业模式,先利用自己的技术号召力(甚至是滥用应用商店的绝对掌控权)引导第三方开发者使用类似 SKAdNetwork 这样的技术框架,积累足够的数据,在封闭的生态里和第三方广告平台完成商业闭环,一起赚广告主的钱。既没有侵害用户隐私的风险,又能抢到一直眼馋的广告市场。
这样的场面,难怪让扎克伯格寝食难安。
是黎明,也是黑夜
苹果与 Facebook 的战斗太过重量级,以至于观众们都忽略了一个事实:苹果推行 ATT 的举动,并不是多么先锋的行为。2016 年起在欧盟生效的《通用数据保护条例》(GDPR,General Data Protection Regulation),基本可以看作苹果隐私政策的样板。
苹果在其官网列举了 隐私保护的四大原则:
- 数据最小化:仅采集提供特定服务所必需的最低数据量;
- 在设备端进行处理:尽可能地在设备上处理数据,而不是将数据发送到 Apple 服务器,从而保护用户隐私,最大限度减少数据收集;
- 给予用户透明度和管控权:确保用户知道哪些数据是被共享的、这些数据将被如何使用,并保证用户可以管控这些数据;
- 安全:软硬件协同工作,保证数据安全。
这四项原则,基本可以看作 GDPR 的「目的明确」、「使用限制」 、「安全防护」和「个体参与」等原则的细化版本。而从实操上,GDPR 生效后,欧盟内的网站都必须在用户打开网页时,询问用户是否能以 Cookie 的形式保存用户数据,这也与 ATT 的效果非常类似。
苹果的隐私政策与 GDPR 如此类似,所以作为消费者,应该无条件地支持苹果,让它带领我们走向隐私保护的正义世界吗?
任何行为, 不仅要看它的合理性,也要注意它的正当性。GDPR 是由代表欧盟的两个行政机关——欧盟委员会和欧洲理事会——所通过的法律条例,而苹果的一切行为和决定,都摆脱不了它作为商业公司的背景。
而作为商业公司,苹果的一切决策都不会有用户参与的机会。
作为上市公司,苹果只需要对它的股东负责,符合它的商业利益(和法律)即可。或许我们现在会为 ATT 摇旗呐喊,但别忘了,也是这家公司,以践行环保之名,拿掉了 iPhone 12 系列包装内的充电器。作为商业公司,苹果此举完全合法合理,不涉及任何法律问题。
如果说拿掉 iPhone 12 充电器事件只是单纯的商业行为,苹果顶多为自己的过度营销所造成的反作用负责。但在涉及用户数据和个人隐私时,苹果真的还拥有 100% 的话语权吗?作为数据的创造者,用户真的应该完全听由苹果来决定如何处置个人数据吗?
或许在个人隐私问题上,我们永远不应该相信任何一家商业机构。
