谷歌今起強制實施安卓APP隱私保護新政

安卓用戶將能查看APP收集的隱私數據（及其目的和用途）。

谷歌將于本周三在安卓（Android）官方應用商店Google Play推出應用隱私政策。

用戶在下載安裝安卓應用時，頁面將顯示“隱私標簽”，讓用戶一眼就能看到APP收集了哪些個人信息，并決定是否繼續安裝（下圖）：

當用戶在Play商店中查找應用程序時，除了“關于此應用程序”和“評分和評論”等內容條目，將有一個名為“數據隱私和安全”的新條目，開發人員可以在其中解釋他們收集了哪些（隱私）數據。谷歌去年展示了這個功能，今天終于開始在Play商店中全面強制實施。

值得注意的是，雖然該隱私政策聲稱用戶從本周三開始就能夠查看APP所收集的隱私信息，但該政策并不能保證開發人員及時、如實和完全地填寫收集了哪些信息。

谷歌要求開發者提供所采集隱私信息的截止日期是7月20日。而且，APP收集哪些隱私數據的信息都是由開發者提供，除了道德和榮譽外，沒有明確的審核機制來確保這些信息的真實性。以下是Google向開發人員發出的通知：

您獨自負責在Google Play應用商店中您的應用詳情中進行完整且準確的聲明……當Google發現您的應用行為與您的聲明之間存在差異時，我們可能會采取適當的措施，包括強制措施。

根據谷歌的隱私新政，開發人員將需要列出他們正在收集的數據、收集數據的原因以及與誰共享數據。在審核表單中，谷歌將隱私數據分為“位置”、“個人信息”、“財務信息”、“網絡歷史記錄”、“聯系人”等，不同隱私數據類型對應大量數據類型。

谷歌還要求開發人員闡明其數據安全措施，包括數據是否在傳輸過程中加密，以及用戶是否可以隨時要求刪除其數據。

開發人員不僅需要聲明他們收集的數據，還要聲明他們與第三方共享了哪些用戶數據，這有助于披露APP收集個人數據背后的真實目的。

最后，還有一個保護兒童隱私的“Google Play家庭政策”合規要求，這主要是面向美國COPPA和歐盟GDPR的一堆要求。

谷歌表示，開發人員還可以表明他們的應用程序是否“已經根據全球安全標準進行了獨立驗證”。谷歌自己有一個“移動應用安全評估”標準，開發者可以支付3000到6000美元讓“谷歌授權實驗室合作伙伴”根據這個標準對應用進行審計。此審核包括對應用程序加密實踐的審查、已知漏洞檢查、最低權限要求以及Github上列出的一系列其他測試（https://github.com/appdefensealliance/ASA/blob/main/MobileAppSecurityAssessment/MobileSecurityGuide.md）。

雖然谷歌的APP數據安全政策對緩解安卓應用生態中大量的惡意和詐騙應用很有意義（也有助于谷歌追溯攻擊者），但該政策的實施可謂姍姍來遲，因為蘋果公司早在2020年就推出了類似的“隱私標簽”功能（下圖）：

根據往常經驗，谷歌的隱私新政的實施過程可能需要一段時間。谷歌表示，少數“幸運的“安卓用戶今天就能夠開始查看APP的隱私數據收集信息，但可能還需要數周時間才能推廣到所有安卓用戶。

參考鏈接：

https://support.google.com/googleplay/android-developer/answer/10787469

（來源：@GoUpSec）