Anthony Chavez（GoogleVP，Android 安全隐私部门 PM）在 2.16 发表了一篇 blog，Introducing the Privacy Sandbox on Android^[1]。

这篇文章里提到：

• Google Play 上有 90%的应用是免费的，主要是因为电子广告的支撑

• 一个良好的 app 生态系统，需要对用户、开发者和生意模式都是有利的

• 当前正在计划使用已经在 web 上实践过的 privacy box 方案，将方案同步在 android 平台上

• 但一些细节还需要借助行业的力量一起完善，计划 2022 年底释放第一个 beta release

Android Privacy sandbox 技术方案

Google 在 chrome 上已经规划和实践过多年 privacy sandbox 的技术方案，目前也希望移植到 Android 里。

理论上，Privacy sandbox 方案可以用于所有的三方 SDK，但当前会主要聚焦在对广告 SDK 的治理，毕竟广告 SDK 是使用用户隐私数据的重点区域。

通过阅读官方技术文档^[2]可以发现，目前在 Android 平台，方案主要包括如下四个方向：

• SDK Runtime

• Topics

• FLEDGE on Android

• Attribution Reporting

SDK Runtime

一个面向市场发布的 App 通常都会包含大量的三方 SDK，如登录 SDK、打点 SDK、PUSH SDK 等，大多也会包含广告 SDK。

这些 SDK 与 Apk（宿主）共享用户数据和权限，可能会对用户隐私造成威胁。

SDK Runtime 方案是将 App 运行时与 SDK 运行时进行分离，单独对 SDK 的运行环境进行管理。

此时，SDK 不再享有和 APK 同样的权限和数据获取能力，且获取系统隐私数据的行为收到宿主 APK 的管控。

应用市场也需要提供对应的支持。

应用市场不仅要分发应用，还需要支持 SDK 的上传、审核和分发。App 在清单文件中声明所依赖的 SDK 名称、版本等信息，在下载安装的同时，也会下载 SDK 的“安装包”进行安装。

Topics

Google 提供了一套获取用户喜好标签的 API

• Google 基于用户的应用安装列表，通过机器学习的方式，识别出用户的喜好

• Google 建议不要使用 topic 缓存，每次都通过接口来获取

• 不同的应用获取的 topics 可能是不同的

• 用户每安装一个新的应用，就可能会生成新的 topic

• 用户卸载一个应用，相关的 topic 也不会立即失效，会持续一段时间

FLEDGE on Android

FLEDGE: First Locally-Executed Decision over Groups Experiment 第一个本地执行的群体决策实验

FLEDGE 解决的问题场景，在 APP 与 APP 之间的广告行为，而非用户个人兴趣。直接看字面意思很难理解，看下案例吧。

A 是一个电商应用，如果用户在 A 的购物车中有暂未购买的商品，需要在 B 中进行广告展示。此时 Google 提供了两套 API 来实现这个功能，避免敏感数据的共享或上传到服务器：

• Custom Audience API

• Ad Selection API

广告的后台逻辑还会涉及到竞价。在 Ad Selection API 中，会引导 sell-side 将挑选逻辑放在端侧进行。

Attribution Reporting

归因报告，解决依赖跨端的用户识别符做归因转化分析的问题。

Attribution Reporting API 中包括：

• 归因报告

• 基于机器学习的事件级优化建议报告

• 无效流量和广告欺诈的报告

国内环境

在国内，这几年政府部门（包括网信办工信部）对互联网应用的合规问题管制的非常严格和频繁。针对市面上的头部和腰部 APP 进行了频繁的审核，不合规且不能在规定时间内完成整改的应用，则被强制下架处理。

据了解，今年（2022 年）开始也即将聚焦在 SDK 的合规问题上。

拟定的法规大多聚焦在数据的获取、使用和处理规范上。如果 Google 的这套 Android Privacy sandbox 能顺利引进到国内厂商，各大应用商店和头部公司开发者配合，法律法规辅以约束，相信对于隐私的治理会上一个大台阶。

Ref

1. Introducing the Privacy Sandbox on Android↩︎

2. Privacy Sandbox on Android↩︎