文|TopMarketing

隱私安全已成為國內外互聯網廣告行業面臨的最嚴峻挑戰。

一年前，蘋果ATT框架的實施已經讓行業真實地感受到其中的沖擊，連行業巨頭Facebook都無力改變當下的趨勢，不得不忍受巨額損失，重建廣告系統以求隱私和效果雙全的解決方案。

一年后，移動端生態的另一巨頭谷歌也決定，將其之前探索的“隱私沙盒”（Privacy Sandbox）技術應用于安卓系統內，以限制安卓系統內的數據收集和跨應用追蹤能力。這意味著，安卓系統也即將迎來一個隱私至上的時代。

撤銷廣告標識符，谷歌將“隱私沙盒”引入安卓系統

上周三，谷歌宣布將“隱私沙盒”技術引入安卓的計劃，旨在打造一個更先進、隱私的廣告解決方案，從而限制與第三方共享用戶數據，并且在沒有跨應用標識符（包括廣告ID）的情況下運行。同時，谷歌也在試圖通過技術手段降低私密數據收集的可能性，比如以更安全的方式對接APP與廣告SDK。

“隱私沙盒”是最初谷歌在2019年公布的一項隱私保護計劃。當時正值谷歌瀏覽器宣布關閉第三方cookies之后，“隱私沙盒”就是其給出的替代方案，目的是通過建立一系列工具和技術手段，限制廣告主采集用戶數據，在不獲取數據的情況下還能做到定向投放，維護用戶隱私安全的同時保證廣告效果。如今，距離第三方cookies正式禁用還有不到1年的時間，“隱私沙盒”的解決方案已開始在安卓系統上開發落地，預計在2022年末運行測試。

經歷了第三方cookie廢除、蘋果IDFA受禁等一系列事件后，很多人已經意識到，安卓系統的“禁令”也許不會立刻到來，但也不會太遠。谷歌也表示這將是一項多年的計劃，需要與全行業開發者共同合作努力才能完成，并保證目前安卓手機的設備標識符還能繼續使用兩年。

類似于蘋果的IDFA，每臺安卓設備上都有一個獨一無二的標識符，即“Advertising ID”，又稱為“GAID”，通過標識符，廣告主就能夠采集用戶信息，并向用戶定向推送應用內廣告。而當安卓系統也迎來隱私變革，意味著GAID也即將退出歷史舞臺。

其實，早在去年，谷歌就開始針對廣告標識符增加了一系列隱私保護機制。例如當安卓用戶選擇退出個性化廣告后，第三方就無法獲取其標識符，取而代之的是一連串毫無意義的“0字符”，關于用戶的現有數據也會被移除。

谷歌于2021年末宣布加強對廣告ID的隱私保護

谷歌與蘋果，兩種“隱私觀”

從去年4月蘋果的IDFA受限到今年安卓的隱私計劃上線，似曾相識的歷史背后，蘋果與谷歌雖然有著共同的目的，但二者的“隱私觀”卻截然不同。

這一點，谷歌也在公布時就狠狠地“內涵”了蘋果的做法：“我們意識到其他平臺對廣告隱私采取了不同的手段，直接禁止開發者和廣告主使用現有的一些技術。我們認為，如果不能事先提供一個能夠保護隱私的替代方案，那么這樣的方法也許就是無效的，甚至在用戶隱私和開發者業務上產生更壞的結果。”

谷歌在官方博客上“內涵”蘋果

去年4月，蘋果正式將IDFA權限交于用戶手中，開發者要想獲取IDFA需要明確向該用戶提出請求。一些廣告分析公司的結果反饋，僅在美國市場就有96%用戶拒絕了追蹤請求。Facebook也因此“元氣大傷”，幾次“對戰”后，蘋果態度依舊態度強硬，堅持自己的原則。

從商業角度看，雖然蘋果并不依賴于廣告業務，但IDFA的受限確實能夠讓其成為最大的獲益方。短期看，手握海量用戶數據，足以讓蘋果在iOS應用上擁有絕對話語權；長期來講，無法保證的廣告效果或許也會讓開發者轉而選擇訂閱模式變現，蘋果也能在其中抽成，獲取可觀的利潤。

此外，如此嚴苛的措施下，蘋果ATT的有效性依舊受到了業內學者的質疑。有蘋果前工程師指出，研究發現ATT政策實際上并未對第三方追蹤上有太多影響，即便用戶選擇拒絕IDFA請求，一些追蹤方也能躲避掉ATT規則拿到用戶數據。這意味著，ATT政策看似讓用戶掌握了主動權，但其實很有可能只是一種“心理安慰”的錯覺。

而谷歌在這方面則要小心謹慎得多，試圖采取更柔性的措施。畢竟，廣告業務是谷歌收入的主要來源，因此如果以破壞整個生態為代價來維護隱私安全并不是谷歌想看到的；此外，安卓上90%以上應用都是免費的，對開發者來說，數字廣告收入就是“飯碗”一般的存在。因此，為了保持整個應用生態健康穩定，谷歌勢必要選擇一個兩全的方案，既能保證開發者的收入，又能保證用戶的隱私權益，讓生態內各方能夠平穩過渡，避免像蘋果那樣帶來巨大的沖擊，這也就是“隱私沙盒”的初衷。

不過，在此之前“隱私沙盒”也面臨著各方質疑，一些隱私保護者和廣告主認為其依舊存在著指紋識別、跨語境隱私曝光等較為嚴重的隱私漏洞，況且目前該項技術并未全面應用，無法保證最終的成效。

針對安卓系統的“隱私沙盒”究竟有哪些升級？

去年這個時候，谷歌就公布了關于瀏覽器端“隱私沙盒”技術的一系列進展。前不久，谷歌也透露出了關于“隱私沙盒”的新升級。

一是Topics API，用來實現基于興趣的廣告投放，也是過去FLoC解決方案的升級。大概邏輯就是Topics工具能夠基于用戶一周的歷史記錄識別出最具代表性的一些話題，比如運動、旅行交通等。這些興趣話題最多只能保存3周，過期話題會被自動刪除。同樣，話題的識別和選擇等一系列過程都是在本地設備上完成，外部服務器（包括谷歌服務器）都無法干涉。

當用戶訪問一個網站時，Topics會在過去3周所識別出來的興趣話題中選出3個話題分享給網站和廣告商。同時，Topics也給予了用戶足夠的控制權和透明度，用戶能夠自由選擇移除不希望被別人知道的興趣話題。

如圖：左邊為用戶能夠看到的第三方cookies獲取的信息，以鏈接的方式呈現；右邊為在Topics工具中，興趣的管理更加一目了然

谷歌還強調，Topics還會排除類似于性別、種族等敏感類別。谷歌認為，有了Topics，廣告商無需再通過指紋識別等隱蔽追蹤技術就能夠繼續投放相關廣告。這似乎也是對去年質疑者的發問做出了回應。

二是SDK Runtime，是安卓“隱私沙盒”計劃中的關鍵。類似于“防火墻”的工具，SDK Runtime主要用來阻止其他工具訪問和獲取用戶信息及歷史記錄。

正常情況下，廣告SDK在APP內部運行時，通常能夠訪問APP內的一切信息，而一些APP開發者也許并不能完全意識到這些實際訪問權限的大小。通過SDK Runtime，則只能訪問被明確授權的信息。比如如果應用程序 A 試圖惡意讀取應用程序 B 的數據，就會因沒有權限而被阻止。

因此，SDK Runtime相當于為數據的采集與分享提供了一個安全的環境，并且通過明確的訪問權限保證信息安全。

FLEDGE，主要用于再營銷，是去年隱私沙盒計劃中“TURTLEDOVE”的升級。邏輯與Topics類似，在安卓的Privacy Sandbox 內，FLEDGE能夠讓開發者在應用程序內基于用戶交互行為來定義目標受眾，并支持應用內的廣告競價，在此過程中無需再調用外部服務，拍賣在應用程序內進行，買方（成功出價）和賣方都可以通過 FLEDGE API 將拍賣結果傳送至自身的服務器。

最后是Attribution Reporting，廣告衡量，即在不泄露標識符的情況下告知廣告表現。作用類似于蘋果的SKADNetwork，主要提供粗粒度、帶噪音的、無法識別用戶的轉化統計數據，無需再分享GAID。

“安卓上的‘隱私沙盒’是我們提高用戶隱私標準的關鍵，”谷歌在博客中提到。技術的變革過程中，總是少不了質疑，但這正是進步的動力。不可否認的是，效果與隱私之間的博弈是全行業共同面對的挑戰，也是近幾年來蘋果、谷歌、臉書都在極力解決的難題。每一次技術的變革都有可能打破平衡，帶來突破，谷歌的解決方案或許不是最終答案，但隱私保護絕無終點可言，爭議與質疑過后，相信新的平衡也將在不遠處。