为保护隐私而设计

（隐私设计） 大家下午好

如你所见 隐私是人们期望的 看重的 是日常生活的一部分

我是Mark 来自Apple隐私工程团队 还有我的同事Julien 今天的主题是令人激动的隐私设计 在我们的平台和你的app中

隐私不仅是指关上门 更是指打开门 建立客户对你的信任

用户将设备带入家庭

将回忆存入相册

观察个人健康

交流思想和感情 因为知道数据都在自己掌控之中

如Tim去年所说 在Apple我们可以 并做到了 给用户最好的 并将他们私密的数据 视为珍贵的财物 既然我们能做到 你们每个人都可以做到 今天的主题 就是帮助你做隐私设计

（数据最小化） 在Apple 隐私从数据最小化开始 仔细检查 app的功能需要哪些数据 可以编辑哪些数据

其中一些最有趣的 和最具挑战性的功能 会使用敏感的个人数据 在Apple 我们使用设备智能化 来构建这些功能 所以你的设备会因你而不同 而Apple不会收集这些数据 （设备的智能化）

在数据共享给Apple 我们会询问用户 用户永远掌握主控权 也知道被共享的内容有哪些 （透明化和控制）

安全是基础 它不仅保护 人们在设备上的数据 服务器上的数据

还加强了我们建立的隐私保护 以及人们所做出的选择

有些公司认为隐私只是为了安全 只要能保护好数据 就可以使用或收集它 然而这是短视的 因为从长远来看 单靠安全保护是不够的

你确实有责任保护收集到的数据 但究其根本 不收集数据的风险更小

还有一些公司 将隐私仅定义为透明化和可控制 让用户知道 他们的数据被用来做什么 如果他们不愿意 就让他们选择退出

但是这毕竟是隐私

它迫使人们 在隐私和功能之间做出选择

控制权不应该由个人承担 用于获得隐私

因为隐私是一项基本人权 对良好社会的运转至关重要 而且隐私太重要了 不能只体现在技术中

所以在Apple 隐私的设计成了我们的特征 这关乎整个运作过程 而不是最后才被添加进来的东西

在Apple 我们每天都在挑战自己 构建带有用户隐私的优秀特性 相信你也可以这样做

接下来的内容是 探讨隐私和用户体验 深入了解框架中 新增的和改进的内容 然后我们退回一步 看看如何克服隐私方面的挑战 通过创新

今天我将讨论四种用户体验

首先 登录Apple 这样你的用户体验可以 跨过不同的平台 无需存储或管理用户凭证

这个例子很好地展示了数据最小化 Apple并不跟踪 人们如何使用你的app 因为这与我们无关 我们也缩减了 登录Apple要共享的数据 只需要登录app所用的数据 因此 想想你是否真的需要 客户的姓名或电子邮件地址 如果需要姓名用于付款 或发货 稍后可以通过 Apple Pay获取

如果你不要求任何其他数据 那么用户只需点击一个按钮 就可以登陆你的app了

如果确实需要与用户联系 比如 提供收据 或找回帐户 我们提供一种简单的方法

人们可能会犹豫 是否要分享真实的电子邮件地址 我们都见过电子邮件列表被盗或转售 然后被垃圾邮件发送者滥用 所以人们可能会提供 假的电子邮件地址 或者一个从不查看的帐户 你可以让用户在登录时验证电子邮件 但这会让用户离开app 还可能会被视为垃圾邮件 这不是一个好的体验 登录Apple帐户后 你将获得一个经验证的电子邮件地址 与用户的AppleID关联

用户可以选择隐藏 他们的电子邮件地址 在这种情况下 你将获得一个 由Apple托管的地址 我们通过它将你的邮件 转发给客户 反之亦然

而且Apple也不会保留 发送过的邮件

每个用户的托管地址 在每个开发者那里都不一样 所以客户可以控制 从哪个开发者那里接收电子邮件 而你可以控制 谁能将电子邮件发送到 我们提供给你的托管地址 通过将域名或地址列入白名单 来接受他们发来的邮件 因为双方都有控制权 所以我们认为这是最好的方式 让用户收到你的电子邮件

我们理解你面临很多挑战 要防止滥用 欺诈 在确认帐户时 你可能想让用户填写这样的验证码 但是它很繁琐 很难本地化 也很难被访问

其他的替代方法又会侵犯用户隐私 例如用可识别个人的信息去确认身份 或者指纹验证

而登陆Apple帐户 我们就可以利用设备智能化 提供一个返回值 代表用户应该是真实的

iOS上支持该数据标签 并在用户创建帐户时提供

实际用户状态属性 ASAuthorizationAppleIDCredential 就是检验返回值的方法 请记住 新手机上的新用户 状态可能显示为未知 所以如果看到这个状态 不要直接拒绝服务 而是提供其他的流程或方法 以便用户进行申诉

所以 登录Apple帐户 是一个能够保护隐私的登录解决方案

现在 我们讨论位置 人们不会泄露自己的位置 和曾经去过的地方 它会显示你的住所 常去的地方 甚至生活模式 以及生活模式的改变 比如 你从今年开始 参加不一样的聚会 换了一个社交圈子 在iOS 13中 我们做了些修改 让用户更智能的控制 何时共享位置

以前在iOS 位置权限的获取是个一次性提示 但这时 用户并未体验过app的地点服务 所以可能会选择 不允许 错过位置服务带来的价值 在你的app中

虽然很多开发者已经设计好 先解释位置的用途 再征求同意 但app的使用才是最好的解释 因此在iOS 13中 我们引入了一个新选项 允许一次 让用户尝试一次app的定位服务 然后再做出决定

如果用户选择 允许一次 app就可以访问位置 跟用户选择“使用期间允许”一样 直到系统认为已经停止使用app 下次用户启动app时 他们将再次被询问 如果他们不想再被询问 直接授权访问 他们只要选择 “使用期间允许”就可以

“总是允许”是什么 “总是允许”访问用户位置 是一个非常强大的功能 如果app直接要求访问 用户可能会很惊讶 你还没有机会证明app的价值 位置信息对app的价值 以及后台需要它的原因 在当下app的使用中

app的位置请求 将一直是“允许一次” 或“使用期间允许”

如果一定要有“总是”选项 会在显示这个询问之后再请求

如果用户选择“使用期间允许” 授权对象将被告知可以始终访问 iOS会持续为app生成 “总是允许”的定位事件 就像以前一样 在提交第一个 “总是允许”的位置事件 给app之前 用户会先收到“使用期间允许” 然后才是“总是允许”

只有用户授权后 才能获取位置事件 app在主屏上使用时 才会询问用户 其他app在前台时不会 所以这不是即时的事件

为提高透明度 我们将定期提醒用户 app正在后台访问位置

升级到iOS 13后不久 我们将提醒用户所有“总是允许” 访问位置的现有app

好在没有破坏功能的API变化 但还是要测试“允许一次”和 “总是允许”这两个新功能 以确保app 能正确地转换状态 如果你一定要“总是允许” 那你就要保证“总是允许”访问 能提供清晰的用户价值 我们认为 这些场景询问 会帮助用户做出明智的选择 决定何时分享位置信息 若任何疑问 欢迎来我们的实验室详谈 观看演讲视频 Core Location新功能 在WWDC app中或周五下午一点 来Core Location实验室

第三个要讨论的 用户体验是Bluetooth 过去只需要用户同意 当你想共享信息 使用Core Bluetooth 的外围管理器API 在程序后台

现在 IOS 13需要用户同意 如果app要使用任何 Core Bluetooth API 它同样适用于链接到 旧SDK的app

你应该提供 NSBluetoothAlwaysUsage 描述目的字符串 在Info.plist 让用户理解app 为何需要Bluetooth 他们就能有根据地做选择 所有运行在iOS 13 或之后的app都要这样 否则app将崩溃

请参考我们去年的演讲 关于编写“目的字符串”的技巧

应用方法很简单 如果用户之前没有授权 而app想要实例化 一个CB外围设备 或者一个中央管理器对象

iOS就会询问用户 是否允许app访问 Bluetooth API 你可以查看新的授权属性 在中央和外围管理器对象上 获取当前的授权状态

更多相关信息 请参加演讲 Core Bluetooth新功能 星期五下午3点20

用户面临的最后一个变化是 MacOS Catalina 我们为更多类型的功能 和数据请求用户同意 去年在macOS Mojave 我们在文件系统对这些数据进行保护 只有用户同意才能访问它们 今年我们又添加了桌面 文档 下载文件夹 iCloud Drive 和第三方云存储 网络和可移动卷

此外 相机和麦克风控制 在MacOS Mojave 现在内嵌屏幕录音 和键盘输入监控加入了 MacOS Catalina

还有用户对触控输入事件的控制 以及AppleEvents 更多相关信息 可观看WWDC app中 macOS安全优势的演讲 或前往明天下午两点的实验室

接下来 我们讲三个 带有新行为的新框架

首先 我要激动地告诉网络开发人员 （智能跟踪预防） 我们引入了智能跟踪预防 ITP 在两年前 防止跨站点的用户跟踪 在Safari中默认开启 它产生了巨大的影响 我们很高兴看到 其他浏览器也采用了类似的技术 并针对跨站点跟踪 建立了共识

我们不认为一个预防跟踪的网站 必须是一个没有广告的网站 去年我们迈出了第一步 构建了隐私保护地基础设施 并加入了验证机制 它能让开发者 衡量广告到app安装的转化率 今年的目标是网站

隐私保护广告点击归因 是广告商和商家采取的新方式 衡量广告宣传是否有效 而无需跟踪单个用户

假设是在SneakerNet上 卖跑鞋 我在search.example上 买了广告 我想知道这些广告 能带来多少访问量和购买量

以前是通过“跨站点跟踪”实现 而ITP现在会阻止它

隐私保护广告点击归因中 Safari将这些广告的点击

与商家转化率关联

并将这些属性报告给广告商 看看这是如何完成的

现在当用户点击SneakerNet 在search.example上的广告时 Safari会保留七天的记录

在这七天里 如果用户在 SneakerNet购买物品 商家或广告商 就能识别到这个潜在的转化

Safari将这个潜在的转化 和之前的广告点击相关联 并记录这个转化的确发生了 从search.example到SneakerNet

Safari把这个转化 报告为一个延迟的瞬时的post search.example

这很容易实现 广告商只需要修饰外部链接的锚标记 用两个新属性 adDestination 预计发生转化的目标站点 这里是 SneakerNet.example

还有adCampaignID

Search.example 可并行多个 SneakerNet广告 CampaignID可以逐个衡量

我们不需要对商户网站做任何更改 就能监测转换 通过现有的追踪像素点 搜索引擎可以重新定向服务器 到定义ConversionID 的知名URL 作为传输组件 转化可以是任何形式 比如将物品放入购物车 创建帐户 或购买商品 ConversionID 帮助商家分辨 不同的转化事件

为保护用户隐私 Safari将Campaign 和ConversionID都限制 在64可能值 因此每个广告和商户之间的转化 只能链接4000个可能值中的一个

Safari会等待24到48小时 然后报告归因 既聚合了多个点击和转化 又能防止关联双方的用户活动

转化归因的传输极为迅速 无需任何cookies 点击和转化不会储存在 私密浏览记录中

隐私保护广告点击归因 在Safari技术前瞻83中 可以试用了 只有在iOS 13 和macOS Catalina上默认为开启 并已提交到W3C 申请成为网络标准 更多信息请参见 webkit.org/blog

接下来是语音识别框架 可以转录音频内容 很多人要求在本地完成转录 对特定的环境尤其有用 比如医疗

iOS 13引入了离线转录 不需要网络链接就能转录音频 且不会让可能敏感的音频流出

就是 isAvailableForLocalRecognition 在语音识别器中 定义 requiresLocalRecognition 在创建语音识别请求时

第三 测试用户有了新的方法 在TestFlight中反馈 作为app开发者 重要的是要了解 用户在哪一步会碰到问题 我们希望帮助你了解测试用户 又不泄露他们的隐私

在iOS 13 TestFlight用户可以 直接从Screenshot UI上传 屏幕截图 通过TestFlight 提交反馈的同时还能上传崩溃报告 帮助你了解用户在做什么 在出现某个问题的时候 测试者控制设备上的数据分享

这在iOS 13上的 TestFlight 2.3中可以 App Store Connect中 提交反馈 更多信息可观看演讲 App Store Connect新功能 在WWDC app中

现在有请我的同事Julien 讲解隐私更新

谢谢 Mark

这一部分是关于 对现有API进行隐私升级

我们会快速浏览五个更新 首先 CNCopyCurrentNetworkInfo CNCopyCurrentNetworkInfo API 返回姓名和Mac地址 就是设备当前连接的 Wi-Fi接入点 它会影响隐私 因为Wi-Fi接入点 会暴露用户地址

从iOS 13开始 CNCopy只对特别类型的 app生效 获得CNCopy资格的app 和设置虚拟隐私网络的app 用NEHotspotConfiguration API 设置无线网络的app 用户同意提供地址的app 这意味着 以后也许不能再访问CNCopy了 更多信息可参考下列有关网络的演讲

第二 联系人访问 从iOS 13起 即便用户授权app访问联系人 也不能再访问联系人的备注内容 联系人的备注内容可能包含敏感信息 比如偷偷说上司坏话 大多数app不需要访问此信息 如果有实际需要 请前往此链接申请资格 第三 自定义URL方案 在以前 如果app 发起自定义URL方案 你可以定义app的发起 通过开放URL选项 它能显示 用户设备上安装的app 从iOS 13开始 源app只显示给 来自同一个开发者的app 第四 游戏中心 为了完善玩家隐私保护 游戏用心添加了两个新的API teamPlayerID 对应组队玩家的识别 gamePlayerID 对应游戏玩家的识别 之前的playerID 识别已经被弃用 游戏app中识别符号会因此改变 更多信息 请观看有关游戏中心的视频 在WWDC app中 第五 上下文信息 IOS不知道 你的app对用户最有用的是什么 你可以提供上下文信息 通过两个主API 将入口点接入app NSUserActivity 在搜索结果中推广app SiriKit INInteraction 设备智能化场景推广app 如Maps、Shortcuts 以及今年新加的Share Sheet 在完善app时 做个有风度的人 删除app上已经删除的内容 你也不想Siri Shortcuts 提供的建议 是已经不存在的信息 只要调用相应的删除API 以上是对现有API的五项隐私更新 下面我们后退一步 讨论下为何隐私问题是创新的好机会 隐私保护是任何产品设计的基础 在Apple 隐私保护团队 与Apple的所有工程师一起 努力提升我们产品的隐私保护水平

我们曾经遇到过一个大问题 我们很想引入一个特性 却不知道如何保护隐私

每当这时候 我们就要挑战自己 我们的目标是打造优秀的功能 但不泄露用户信息 我们通过学习隐私条例 去寻找解决办法并加以创新

今天 我们希望你也能如此做 用户体验不满的有三个地方 机器学习、 Find My和Home 首先是机器学习 建设机器学习app有很多种方法 通常我们训练一个模型 然后评估 那么机器学习的第一个隐私挑战 就是如何训练机器学习模型 但不收集用户敏感数据 在将模型个性化的时候 并且极大提升用户体验 数据仍然是第一步 而且通常都是大量的数据 寻找数据颇具挑战性 有几个办法 第一 从用户处收集数据 为了保护用户隐私 重要的是应用最好的隐私保护方法 比如随机识别符 四舍五入或采样 但有时候 数据本身就是敏感信息 比如用户的面部照片 第二个办法是用户调查 选择并邀请用户私下测试功能 收集他们的数据 我们用这个方法训练Face ID 最后 外部数据集 有些是供研究使用的公开数据集 有些要求与其他公司谨慎合作 这提升了他们自身隐私保护的难度 有了数据后就可以训练模型 比如用Create ML 训练模型适用于大多数用户 但用户也有区别 有各自的需求 如果需要针对特定用户 做个性化的模型要怎么办？ 今年增加了可更新的 Core ML模型 将可更新的模型发送至设备 可更新的模型从用户处获取训练数据 并生成新的个性化模型 我们就这样训练Face ID Face ID根据容貌自动调整 如果你改留胡子或蓄长发 Face ID仍旧可以识别 这都在设备上完成

训练需要使用资源 这也许会影响用户体验 新的后台任务API 可以在后台安排机器学习任务 我们建议 计划最多一周内的任务

如果选择的日期太遥远 iOS可能不会计入日程 更多关于后台任务API的内容 请收看下列演讲 有的时候 不止需要一个用户的信息 而是需要多个不同用户的数据 现在我要跟你们分享 我们正在开发的新技术 它展示了我们在保护隐私上的创新 针对机器学习 联邦学习是个新的方法 在机器学习业内正加速发展 今天我们引入的隐私联邦学习 结合了联邦学习和差分隐私 概念很简单 隐私联邦学习不会收集用户数据 而是收集模型更新数据 换句话说 设备会告诉服务器 机器学习模型应该 如何更新 下面就来演示 从服务器开始 将原始模型给到设备 这里显示为白色 每个设备都用本地数据训练模型 获得一个新模型 变颜色就代表新模型 他们计算新模型 和原始模型的差异 然后将模型更新数据 返回Apple服务器

服务器汇集模型更新数据 生成改进后的新机器学习模型 这里显示为渐变色 记住 这个过程中 不会发送纯文本用户数据 我们不需要任何用户或设备的识别符 然后服务器会更新设备 替换新的模型 这个过程可以 在设备和服务器之间来回循环 从保护隐私的角度 我们需要分析 模型更新数据是否 包含敏感信息 一般情况下是没问题的 因为不是纯文本用户数据 不幸的是 在边角案例中 有些好奇的服务器 可能会重构用户数据 基于模型更新数据 例如 这里 用户发送了 这个城堡的模型更新数据 服务器可能会重构城堡的图片 基于模型更新数据 为了避免 就要保护模型更新数据 在设备和服务器上 使用单独差分隐私 和中央差分隐私 差分隐私为模型更新数据增加噪声 从而保证服务器不能再重构图片 更多关于单独差分隐私的内容 可参考下列我们编写的论文 隐私联邦学习可以改善设备智能化 这并不是研究性实验 我们从iOS 13就开始使用了 有大量使用案例 包括QuickType键盘 个性化的Hey Siri 未来会有更多

训练好模型后就要使用了 这就是第二个机器学习的 隐私保护问题 如何评估模型 又不收集用户数据 迅速完成 又能避免网络延迟 首先想到的是 将用户数据直接发送给服务器 从服务器评估模型 然后返回推断 但这需要将更多 用户数据发送给服务器 因此我们更喜欢设备智能化 将模型下载到设备 设备在本地完成评估 这有很多优点 减少发给服务器的数据 还能离线操作 如果使用Core ML会很快 Core ML经过优化 在iOS和其他设备上能快速运行 很容易就能将现有的模型 转化为Core ML模型 而且 今年 我们增加了模型架构的数量 可被支持 了解更多可观看 下列有关Core ML的演讲 设备智能化对保护隐私有极大优势 要想对用户说明这些优势 要通过隐私保证 隐私保证 是我们对用户说的一句简单的话 不是带法律术语的隐私政策 以Face ID为例 我们说 Face ID数据永远不离开设备 这是清晰有力的声明 承诺我们对Face ID的 隐私保护 用户很容易理解

好的 以上就是机器学习 接下来是Find My

今年宣布了新app Find My 融合了两个app：Find My Friends 和Find My iPhone 其中令人激动的一个功能是 离线查找功能 但这里有个值得注意的问题

如果用户将MacBook 落在了公共图书馆

用户意识到后 打开新的Find My app 想找到MacBook的位置 但没有找到 是因为MacBook没有联网

这里的隐私问题就是 如何支持设备查找无论是 Mac、iPhone、Watch 即时在没有联网的时候 离线查找 在保护丢失设备隐私的同时 还能 保护帮你找到设备的人的隐私 并且保证Apple不会 从中获取任何信息 当然 也不能太过影响电池寿命 这里的挑战很多 我们曾经想过依赖云服务 希望通过Bluetooth 找到丢失的MacBook 将位置上报Apple服务器 但我们不能依赖静态标识符播报 通过Bluetooth 静态标识符可以让任何人在任何时间 追踪任何设备 所以不可行 相反 MacBook播报 短暂有效的公共密钥 密钥随时间更改

任何邻近的手机 都可以通过Bluetooth 收到这个密钥 计算自己的位置 用密钥加密 然后加密的数据会传送给 Apple服务器 注意 因为位置是加密的 Apple就看不见 另外 不用提供附近手机的任何信息 去找丢失的设备 最后 主人可随后向Apple要求 相应的加密数据 加密后获取遗失设备的位置 这样一来 我们就能把下面这条隐私保证 告诉用户 Apple不会知道任何 离线设备或寻找人的位置 这是个惊人的结果 我们设计的这个优秀的功能 具有行业领先的隐私保护水平

第三个是Home

家是所有人最安全最重要的地方 工作后或在WWDC经过漫长一天后 我们会回到这个安全的地方 随着智能家居的流行 新的隐私威胁随之而来 许多消费者对智能家居配件有所担忧 特别是在家里安装安全监控摄像头 这个隐私问题就是 允许用户观察监控 不限地点 又要保证其他人无法接触影像内容 Apple也不行 还要保证智能监控的体验

因此 我们对摄像头供应商 做了两方面的改进 首先 我们基于设备智能化 在家中做计算机视觉 在家居设备上 无论是HomePod、 Apple TV或iPad 我们直接监测家中的人和物件 而不是在云端 第二 用端到端加密模式 存储摄像头记录 就是说只有你能看到摄像内容 我们的隐私保证就是 监控影像 只对你可见 简洁而温馨 现在总结下隐私保护的内容 我们讲了三大隐私保护挑战 并演示了解决方法 本场演讲里 我们还讲了API更新 以及为隐私保护设计的新功能 每年 对每次发布 对每个产品 我们都挑战自己 为创建更好的功能 又不泄露用户信息 因为隐私是设计的基础 对所有产品而言 我们会向用户提供隐私保证 简单的句子 承诺我们对用户隐私的保护

今天我希望你们记住三个要点 第一点 你首先要问问自己 在新的项目中应该如何保护用户隐私 想想你应该做什么 而不是能做什么 获得用户信任 让他们能轻松知道 自己的隐私受到保护 在你的app上 第二点 如果遇到棘手的隐私问题 挑战自己 找寻解决办法 隐私问题是创新的机会 找到方法 在实现功能的同时 不要泄露任何用户数据 第三点 隐私是与用户交流的机会

隐私是以人文本 不要让隐私政策淹没这一点 与用户分享隐私保证 如有更多问题 欢迎参加演讲后的隐私实验室 我谨代表隐私保护全体组员 感谢您今天的到来