自從2021年iOS14.5推出IDFA新規后，無論蘋果是真的想保護消費者隱私，還是像很多“友商”評價的一樣：本質是為了增加自己的廣告服務收入，蘋果對隱私保護的政策正在變得越來越嚴格。

當時ATT框架幾乎給iOS手游和應用的推廣帶來毀滅性的打擊，彼時還叫Facebook的Meta也在當年遭遇了巨大的滑鐵盧，甚至在后續推出了包括ASC在內的一系列黑盒廣告產品，但無可否認的是無論是電商還是應用和游戲，由于eCPM的大幅下滑，整個蘋果的應用生態還是發生了翻天覆地的變化。

從隱私保護的角度來說，ATT框架無疑是成功的，大量用戶選擇拒絕被追蹤，但不可否認的是在整個ATT框架內依舊有一個相對明顯的漏洞——安裝在游戲和應用內的各種SDK。

事實上，這些第三方SDK在很大程度上減輕了開發者的負擔，但不可否認的是：無論是開發者還是用戶，都很難發現各種SDK中隱藏的隱私風險，或者說的更直白一點，繞過ATT框架收集用戶信息的可能性。

于是在2023年WWDC上，蘋果就宣布了新的SDK隱私清單和簽名，以便用戶更好的了解第三方SDK使用和收集數據的方式。

與此同時，Xcode會在開發者準備上架和分發App時，為開發提供一份該App中使用的所有的第三方SDK的隱私清單合并成一個簡單的報告。通過該報告讓開發者能夠全面的了解自己使用的所有第三方SDK，從而更輕松的創建準確的隱私標簽。

這么做的原因也很簡單，因為蘋果要求所有的開發者如果使用第三方SDK，那么他們就需要對App中SDK包含的所有代碼負責，并且清晰地了解SDK是如何收集和使用用戶數據的。從某種程度上來說，這就是將侵犯隱私和審查SDK的風險和責任轉嫁給了開發者，因此提供一些便利自然也在情理之中。

總的來看，這次2024春季隱私清單政策主要就是兩個關鍵：蘋果創建了一個第三方SDK隱私清單和簽名；以及開發者為什么要使用某個API流程。

01

隱私清單和SDK簽名到底是什么？

首先來看隱私清單，其實所謂的第三方隱私清單（privacy manifest），本質上就是讓SDK開發人員提供他們SDK是如何收集數據的，這樣就能夠讓App開發者在集成各種SDK的時候，就能迅速得到一份詳細的相關報告，從而避免額外手機不必要的用戶數據。

更進一步來說，如果開發者在App內集成了不止一個SDK，上文中所說的Xcode也能夠簡單的將第三方SDK中的多個隱私清單合并，最終導出一個報告匯總，從而讓開發者能夠清晰且全面的了解自己所使用的全部SDK是如何收集并應用這些數據的。

由此，開發者就能在提交App Store審核時，能夠更好且更清晰的在后臺提供自己App的隱私標簽，在App Store的后臺明確自己App的數據收集和使用場景，從而讓用戶能夠在詳情頁就清楚的指導該App收集了哪些數據，并且將會把這些數據用在什么地方。

除此之外，蘋果還要求SDK的開發者提供SDK簽名。具體來看，有了SDK簽名，當應用這作者在自己的應用中采用一個第三方應用新版本的時候，Xcode會對其是否由同一個開發者簽名進行驗證，提升軟件供應鏈的完整性。說的簡單直白一點，就是蘋果希望通過簽名認證的方式，來確保SDK不會在開發的過程中被篡改。

經過簽名認證后的 SDK ，在 Xcode15 會顯示對應的 Signature 信息，如果一旦發現本次前面和上次不一致，那么Xcode 就會讓編譯失敗并彈出警告。雖然目前來看，蘋果并沒有要求所有的SDK強制使用簽名，但如果這一SDK涉及到隱私手機，尤其是出現在下面列表中的這些SDK，則一定要添加相關簽名。

需要隱私清單和簽名的SDK：蘋果還專門列出了一個在App Store常用的SDK清單，并且表示，“自2024年春季開始，當您在App Store Connect中提交包含這些SDK的新應用程序時，或者當您提交的更新包含這些SDK的時候，必須包含下面列出的任何SDK的隱私清單。在將列出的SDK用作二進制依賴項的情況下，也需要簽名。所列SDK的任何版本，以及對列表中的SDK進行重新打包的任何SDK，都包含在規定中。”

具體SDK列表截圖如下：

02

給API一個必要理由

除了隱私清單之外，本次新政策最為關鍵的則是所謂的《必要理由API申明》。

簡單來說，就是蘋果只做了一個新的API分類，開發者則需要使用這個分類在隱私清單里面說明為什么需要調用該API接口。從目前的情況來看，蘋果可能是期望通過此舉來規范App使用這些API做各種Fingerprinting識別行為。

相關的API總計有5個：

也就是說，如果 SDK 和 App 里用到了分類里的這些 API ，那么開發者就需要在隱私列表里填寫為什么要使用這些API的原因。

總結一下，本次 iOS 隱私清單主要覆蓋的有：