前些时间看到一个消息,腾讯、百度和字节跳动测试工具绕开苹果的ATT(AppTrackingTransparency,简称 ATT,旨在保护用户隐私的应用追踪透明度框架),估计这个应该是在测试CAID。
过一两天又出现一个消息,苹果警告中国开发者,不要绕开苹果的ATT,否则会被下架。
其实中国广告协会2020年就在计划推出CAID,为此还成立了CDA Tech Lab互联网广告技术实验室,主要为了推进互联网广告各项标准和技术工具的落地实施,支撑政府有关部门在互联网广告数据安全、内容合规、隐私保护方面的治理工作,之后发布了《移动互联网广告标识技术规范》,在2021年初开始测试CAID。
CAID全称是CAA Advertising ID,叫中国广告协会互联网广告标识,简称广告标识。是中国广告协会与中国信息通信研究院联合研究机构、广告产业链各方提出中国广告协会互联网广告标识CAID。
中国信息通信研究院这个组织很有意思,它之前已经在iOS端推出了卓信ID,现在和中国广告协会又在iOS端推出CAID。
更早之前,中国信息通信研究院和它成立的MSA(移动安全联盟,Mobile Security Alliance)一起推出了安卓的OAID应对Android Q。
需要注意,市面上还有一家商业公司热云数据也推出了个CAID,但这个CAID的全称是China Anonymization ID,两个是完全不一样的东西。
CAID的推出应对苹果系统更改广告标识符(IDFA)权限对互联网广告市场带来的影响,简单的就是替代IDFA对用户做跟踪。
CAID的实现方式分为两种,一种是在终端上实现,其实就是客户端生成,一种是采集信息上传到服务端,这种叫服务端生成。
至于在客户端生成还是服务端生成ID,为了在低速网络环境下也能够正常使用,往往是同时使用的,但以服务端为核心,服务端方便调整逻辑或和一些规则的阈值,主流是服务端生成,从上原理可以知道,CAID是收集了APP的一些参数,根据《移动互联网广告标识技术规范》,CAID是收集:设备启动时间(秒)、国家、语言、设备名称(MD5)、系统版本、设备machine、运营商、物理内存、硬盘、系统更新时间(秒)、设备model、时区,这些参数在一段时间内保持稳定,使用算法应最大程度保障不同设备获取的移动互联网广告标识不相同。
为了安全,《移动互联网广告标识技术规范》并未透露使用的算法,这可以理解,毕竟这是核心,我甚至会怀疑公布的收集的字段也是放烟雾弹。
详细原理可以看:基于用户的归因模式——通用ID方案
目前市面上已经有多个企业或行业组织看到这是个商业机会,都推出类似的各种ID。
卓信ID是中国信息通信研究院泰尔终端实验室推出的,比中广协推出的更早,去年就在一些公司测试。
原理是:采集终端设备 ID 及硬件信息上传到中国信通院服务端,生成(匿名化)根ID,再将根ID过匿名化生成卓信ID,中信通再将卓信ID同步至各服务商(APP公司),服务商再将卓信ID下发到APP。
可信ID是北京数字联盟网络科技有限公司推出,这是一家商业公司推出的ID服务。
官方说是:可信ID是基于移动设备物理层和协议层的信息,结合数字联盟独有的算法生成的设备ID,为移动设备颁发唯一不变的“身份证”,其实还是采集一些设备信息,在服务端通过算法生成ID,映射关系存储起来,通过这种方式实现IDFA的找回。
CAID全称是China Anonymization ID,中文名是专为移动营销行业定制的匿名化标识方案,是热云数据联合多家业内知名合作方共同推出。
CAID方案采集少量设备非隐私参数按规则加密生成CAID。
CAID具有重置机制,在如下三种情况下是会被重置:
重置后生成新的CAID,且应用只能获取新的CAID。另外,用户还可以自主关闭CAID,关闭后返回值为空或0。
这几个重置机制跟移动安全联盟的OAID一致,其实CAID就是安卓的OAID,毕竟这两个的背后都有中国信息通信研究院,出方案肯定会参考借鉴。
申请CAID的地址:http://www.cnaa123.com/caid/login
网站还比较简陋,而且还是备案在个人名下的。
从上述原理可以知道,CAID的使用是需要中心化服务器,中心化服务器可以使用中广协提供的,也可以自建。
中广协提供的中心化服务器是需要大量硬件和带宽支撑,所以使用中广协的CAID是需要付费的,CAID日均请求量的不同分为以下五种情况:
日均CAID请求量(百万次) | 技术服务费(万元/年) | |
A | 1以下 | 3(叁万元整) |
B | 1(包括)-10(不包括) | 10(拾万元整) |
C | 10(包括)-50(不包括) | 30(叁拾万元整) |
D | 50(包括)-100(不包括) | 50(伍拾万元整) |
E | 100及以上 | 100(壹佰万元整) |
可以根据自己日活量预估CAID的日均请求量选择,进行少补多退。
苹果警告中国开发者不要绕开ATT,中广协CAID的应该是被禁止,苹果即使在欧洲摊上官司,跟行业协会杠上,也明确表示要推进ATT,不太可能在中国网开一面。
我也就相关ID解决方案咨询苹果的隐私部门的人,可以说,目前上述方案都是不允许的,看看各方的博弈,苹果是否会网开一面。
苹果App Tracking Transparency有两种情况是豁免的:
第一条是允许在设备本地对数据做处理,但是不能将能够识别出用户的数据发送出去,这个估计是留给差分隐私做使用的,应用的话可以参考Chrome的隐私沙盒,有可能后续苹果会继续往这方面走。
第二条用于用于欺诈检测、欺诈防范或安全防护目的,就是用于风控的,不需要经过ATT,就可以获取信息用于风控,一般是返回一些状态码标识风险。
但如果同时返回ID的,不就是ID服务了嘛,实际上可以利用这个去提供ID服务,或用风控的名义去提供ID服务,肯定会有剑走偏锋的味道,也有一些方式是这么干的。