作者 | 刘洪善 华为云产品经理
如今,苹果早已在广大用户心中树立起了领先的安全隐私品牌。用户认为苹果更关心、更愿意投入资源保护用户隐私,尽管并非十全十美,但尽心尽力。
我们不禁要问,用户所谓苹果的安全隐私做得好,到底是指什么?用户是否真切感受到了苹果的安全隐私保护措施?用户为什么会有这样的感受?本文考察了2011年至2020年10年间苹果在WWDC大会上发布的安全隐私相关言论、技术、特性,并结合苹果近10年一百多篇安全隐私报道,6部安全隐私白皮书,希望能从中管窥苹果安全隐私保护体系的一二。
但从后面一步步的分析,我们会发现苹果的隐私设计并没有依赖什么“黑科技”,有的只是按照基本的安全隐私原理、常识,体系化的构建隐私保护体系,“阳光底下无新事”。
安全与隐私在技术产品上是区别较为明显的,安全更多的强调防攻击,隐私则强调对人的尊重,安全是隐私的基础,但一般用户会认为安全措施的存在也是为了保护隐私,因此为行文方便,后文在不需要强调安全的情况下,安全隐私都用隐私作为统称。
与所有事物的发展一样,苹果的隐私品牌也不是生来就有的,而是经历了10年的漫长发展,其对隐私的重视程度,是在重大事件的驱动下一步步升级,直至成为苹果的“核心价值观”的。这也符合安全原理:如无重大安全事件或有直接的威胁,安全毕竟是一项投入后不容易被用户感知到价值的工作,是企业的“成本中心”,所以安全事件与威胁往往成为企业真正重视安全工作的驱动力之一(另外一个是法律合规)。
其中发生的重大安全事件的2个年份极可能对苹果的隐私战略产生了重大影响。
第一个是2011年。2010年6月,乔布斯将原来的iPhone OS系统重新定名为“iOS”,并发布新一代“iOS 4”,开启了新一轮的移动互联网狂潮。但不到一年,2011年4月,苹果就被爆出将用户定位信息明文上传服务器,侵犯用户隐私。一时指责苹果的舆论铺天盖地,生病中的乔布斯也不得不出面澄清。
从现在看,当时的苹果显然还不具备像现在的对敏感用户数据的分类分级和保护意识,更不用说已经建立了完整的隐私保护体系。
定位门后不久,苹果就从谷歌挖来了时任谷歌全球隐私顾问的Jane Horvath担任苹果全球隐私主管,被苹果内部称为“隐私三沙皇”之一,负责协调产品、法务、安全工程、隐私审核组成的隐私团队,在iOS和自研应用中落地隐私设计(PbD)。
(该团队架构已成为各大公司的标配)
次年,苹果在WWDC 2015上推出了旨在保护用户数据的“应用沙盒”,这是一个非常重要的隐私措施。沙盒实际上是一种全面限制应用数据流动方向的数据隔离体系,这套体系有2个基本特点:一是,每个应用都有自己的存储空间,应用不能翻过自己的存储空间去访问别的存储空间的内容;二是,应用请求的数据都要通过系统的权限检测,如不符合系统设定的规则,则不被放行,应用也就获取不到用户数据。基于沙盒体系,苹果后10年推出了大量用户可感知、可控制、防应用滥用数据的隐私特性,比如照片的只读不可写入、地理位置的获取须用户授权等。(沙盒:本质是一个数据隔离体系,对数据流动方向的管控非常严格)
第二个是2014年。2014年7月,苹果被黑客爆出存在多个后门,这些后门通过一项此前并未公开的技术来提取iPhone中短信、通讯录和照片等个人数据。苹果先否认,后又承认。同时期,央视报道,iPhone会通过“常去地点”功能记录用户地理信息,iPhone上可以查看过去一段时间内手机到过的地点及次数;同时,iPhone上安装的第三方应用也会记录用户位置信息。这些位置信息都会被回传至苹果总部服务器。这接连发生的两件安全事件,使苹果在隐私上负面缠身。应该是经过了内部反思和讨论,不久后的WWDC 2015上,苹果正式提出“隐私是基本人权”的理念,把隐私提升到了前所未有的企业责任的高度,并延续至今,出现在各种宣传中。
除了2011年和2014年发生的安全事件驱动苹果隐私战略升级,我们不得不考虑苹果是一家美国公司,有其特殊的法律环境,比如集体诉讼在美国较为常见。
从见诸报端的诉讼或审查,仅2019年,苹果就因用户质疑隐私保护不力,被集体诉讼了4次。我们当然知道苹果法务团队是世界顶级的,但不应单从是否胜诉来看待被反复起诉或审查,而应视为对苹果隐私品牌的减损。这些诉讼或针对苹果系统本身的安全问题,或针对苹果对第三方应用管控不力。因此,为防止来自法律上的压力,苹果逐年加强对自身和第三方应用的隐私管控力度以保护用户隐私,不能认为苹果作为一个组织,是出于一个自发的“崇高使命”。
崇高使命也许现在是有的,也是其一直宣扬的,但其形成却是在各种负面事件和商业利益中逐步演变成今天的样子的。2015年把隐私作为核心价值观的“人设”一旦树立,则苹果在隐私保护上的投入无论是主动还是被动(安全事件),都只能继续下去,因为打破人设的代价无异于摧毁一个品牌。
(安全事件驱动隐私保护升级)
这10年的WWDC,苹果关于隐私的演讲,都存在不变的营销内容,与他们的日常PR比照,叙事架构高度一致,存在4个不变。
苹果一开始都会提出现实世界中充满隐私挑战,暗示苹果是无须论证的用户隐私守护者。这与暴雪魔兽世界十几年间传递的“总是被追赶,从未被超越”的形象非常类似:都没有明确说自己就是“The One”,但举手投足都站在一个或产品高地或道德高地或两者兼具的位置上,居高临下的去对受众说教。
前面说过,10年间,苹果关于隐私的调门一步步升高,特别是2014年,苹果连续爆发了“定位门”与“后门门”2个特大隐私丑闻,作为回应,2015年WWDC,苹果提出:“隐私是基本人权”。2015年WWDC后,12月,苹果又爆发了与FBI就是否解锁苹果手机数据的大战,在连续被爆出隐私丑闻和树立了新的隐私人设的背景下,苹果不可能与FBI公开合作(其实苹果已提供了部分帮助),大战的是是非非至今也没有争清楚,但苹果为了保护用户隐私而“硬刚”FBI的行为,却在用户心中树立了苹果的隐私品牌,掩盖了之前的种种隐私丑闻,增加了用户好感。2020年,又有类似的事件发生,但已不能像2015年的案子引起广泛关注。
(来自WWDC2015)
值得注意的是,几乎每年的隐私演讲都引用苹果CEO Tim Cook关于隐私的讲话,向受众传递苹果从最高层开始就关心用户隐私的人设。反复引用Tim Cook的话,是否也有一种在内部推行隐私保护措施遇到阻力时用于消除分歧的意味?
联系路透社2016年发布的一篇报告,揭露了苹果在内部推行隐私保护爆发的内部矛盾,数名员工把三名隐私主管称为“隐私沙皇”,并透露Siri被苹果收购初期因内部隐私保护要求而进行了庞大的重构,引起了内部强烈的反弹。
这也符合基本的安全原理:因安全属“成本中心”,且用户对其背后庞大的安全隐私体系不可见,安全的价值难以量化,对用户表现出几个弹框不可能让用户快速提升对系统和产品的好感,因此很多安全措施和特性的推行,容易遭到忽视甚至抵制,没有由上而下的坚定意志,难以在内部协调,需要从企业的文化骨子里就建立“隐私第一”的价值观,变成无可置疑的工作,而不是总在想“我做这个能给我带来什么卖点”,你做了不一定能带来“卖点”,但你不做,则很可能变成操作系统和产品隐私保护体系里的缺陷。
在2019年WWDC上,苹果明确提出其赖以保护用户隐私的四原则:数据保护——透明和控制——本地数据处理——数据最小化,沿用至今,并反复在各种隐私宣传中提及。四原则中,数据保护是基础,透明和控制是手段,数据最小化是目的。透明和控制是用户最能感受到的一个原则,因为隐私体系的最表层,比如各类权限授权弹框、隐私营养标签等,是用户所经常看见和操作的。
(来自WWDC2019)
在此之前,苹果的隐私原则是不稳定的,2015年是5条、2016年是6条……但其核心没变过:以数据全生命周期保护为基础,以应用最小化读取数据为目标,以透明和控制为用户呈现手段。但其实,苹果的隐私特性,除了符合四原则,还符合满足法律合规、隐藏用户关联等原则。但不可否认,四原则具有内在的稳定性和延续性,原因为何?
可以肯定,是因为苹果一直采用发展了20多年并且在GDPR中被定为法律的PbD的缘故,对熟悉PbD的人而言,苹果的隐私四原则并没有什么新意,只是基本的隐私保护设计方法,苹果做的只是按PbD的八大隐私保护原则进行了提炼(在2019年之前,甚至直接在大会上展示这些PbD原则)。
(PbD的八大隐私保护原则)
苹果全球隐私主管Jane Horvath也曾在CES 2019上明确表示:“我们定义隐私的方式就是让消费者坐在驾驶座上,他们应该控制并选择他们的数据。在苹果,我们真正关注的一件事就是PbD。我们有很多不同的方法,但它真的从设计之初就开始了。”
但可能有人会说:“把苹果的隐私四原则与PbD八原则比照,本地数据处理似乎不是PbD里的原则?”
确实,本地数据处理不是典型的PbD,但它是数据最小化的一种具体体现,彰显了苹果强大的硬件处理和ML能力,同时也与新兴的“边缘计算”理念高度契合。减少数据的网络传输环节,就地处理,理论上,确实可以让用户数据更安全,这也是一个常识。但也应注意,如果终端侧的防护能力不强,则本地数据处理未必能就保护好用户数据。
(用人脸生物识别数据不出端来说明本地数据处理,来自WWDC2019)
最佳实践,其实就是发布的一系列隐私特性,这是苹果重点宣讲的部分,比如模糊定位使得应用不能获得用户的精确位置、营养标签使得用户能清楚应用收集了哪些数据等。一方面,印证隐私理念和原则实实在在的落地;一方面,说明苹果在保护用户隐私中有大量技术产品实践,给用户传递信心。这些特性分析起来,我们就可以清楚这10年,苹果的隐私保护真正在做些什么,后续可能会做哪些。因其非常重要,后文将独立一篇,展开分析。
以用户为中心是苹果的企业文化,这种文化也体现在了对隐私特性的设计上,强调隐私特性也要有很好的用户体验,比如,在WWDC 2017推出、在WWDC 2018重点强调的照片选择器,使得应用不能一次读取全部照片,保护隐私的同时,对用户而言,省掉了反复决策是否给予照片权限的操作;对开发者而言,不仅省掉了反复向用户索要授权的开发工作,更重要的是,避免了申请授权被拒绝的危险。这一切,只需要调用苹果提供的照片选择器即可完成。更少的开发量获得更隐私更快更好的用户体验,正常的应用是没有理由拒绝适配的。后文将分析的具体隐私特性,也可看出这一点。
(来自WWDC2018)
营销的本质在于内容,而这4段论中的4段,则是苹果10年间隐私营销的主要内容。那么苹果的具体营销方法有哪些?其实并没有特别的,不外乎是围绕这4段内容,用事件营销、PR等常用的手段去反复宣传,后文会展开分析。但可以肯定的说,类似FBI那样的事件,虽然是苹果隐私品牌营销的高峰,但这样的事件并不是一个组织能刻意创造出来的,不可能在苹果的意料之内,而是苹果的隐私事件(2011和2014)、隐私价值观与突发社会事件碰撞的结果。
下期预告:苹果隐私十年史:变与不变(2)营销与产品
>>访问华为开发者联盟官网,了解更多相关内容
>>获取开发指导文档
>>华为移动服务开源仓库地址:GitHub、Gitee
关注我们,第一时间了解华为移动服务最新技术资讯~