隐私合规真是门好生意

因为 iOS 是询问式的 ，Android 是一次性给的。如果要做 app 就要合规，我折腾了 2 个月了

都是打着隐私合规的旗号收保护费的

1 、提供第三方 SDK 的隐私请求是为了厘清责任，而且第三方 SDK 有义务给出合规说明，如果你不写，那出问题了就找你，你写了，出问题了就找 SDK 供应商
2 、2 年前通信研究院来公司宣讲的时候特别强调过他们有 iOS 客户端的检测能力
3 、公司负责这个同事传言是某个这届新话事人搞的合规这事，这个新话事人之前和互联网联系比较紧密，2011 年在浙江担任组织部长的时候被邀请为知乎最早的一批用户，据说合规这事是因为他自己对开屏广告、诱导跳转这些很不满，下面的人迎合上意就搞了这么一出。

最近搞隐私还有手册之类的，也一样搞得头痛，从头到尾都靠抄来抄去完成。

@GTim 问题是有些根本乱来，例如获取 AndroidID ，根本不需要权限，却需要开发者使用各种魔法做限制

@go522000 我是前段时间抄完了某宝某东的第三方 sdk 说明，几个月过去了各大 APP 商店都好好的，今天给我杀出这么个地头虫，我也是无语

@cairnechen 带小孩真的太头痛了

ios 也有办法 hook 的，没什么难度

这不是促使甲方认真对待隐私嘛。不能随便套 sdk 了。。我觉得是。。。好事？

没人管的说不作为，管了又嫌给自己添麻烦，真实屁股决定脑袋。

我觉得这个挺好的，吃这碗饭就要搞清楚细节，麻烦是在所难免的，即使目前还没有完全根治乱象。 就好比工程上的安全要求，肯定是影响效率，但是不得不做。

@lambdaq 我听着也感觉好像?

现在这么严格了，市面上还是充斥着无数的赌博应用，色情应用。

事实上还完全不够，差得远呢。

这个一直是一门生意,在国外也是. 比如 GDPR,信息无障碍

这是好事吧，只不过当下这个过程麻烦点。

隐私，安全，人人都想要，但轮到自己付出代价，就开始不爽了。
人之常情。

@wangxiaoaer 李彦宏当初说的一点没错

要上有 google play, 估计就没这些幺蛾子事了. 去年做国内项目. 真是被搞到吐. 不同部门都来检测一次. 大半年都在搞隐私合规.

第三方 SDK 那也是你的供应商，用户用的是你的产品，不是 SDK.

看完帖子,是你的 app 所用的 sdk 有问题吗?那找你没问题啊

还是国内这些年太野蛮增长了呗，看看其它行业，医疗，金融，一堆合规性要求

@cairnechen 蔡奇？
人家现在是常.委吧，多少尊重一下。

@xxfye 没有直呼他名字已经够尊重了。

好事。

用户用的是你的产品还是用 sdk 。
sdk 如果真有问题你可以选择不用。

GDPR 直接创造很多工作岗位

@paradoxs 这说明警察不作为，执法力度不够大，不能说明开发者有原罪，你这是有罪推定，假设开发者都是骗子和罪犯

所以为什么要获取 Android ID 呢？

我曾经想过专门做一个帮中国企业合规欧洲和美国的各种隐私政策的咨询公司。

美国这边其实有很多做自动审计工具的初创企业，例如 vanta 等等，帮着做 SOCII ，HIPAA 。

@wangxiaoaer 你法我笑.jpg

用户也没要求你用这些 SDK 啊

还不是 app 自己作的。。。看看前几天吐槽开屏广告摇一摇就进入广告的帖子，还把摇一摇的阈值定的特别细。

用户：双手欢迎
码农：骂骂咧咧

环信这种商业性 sdk 有业务配合来处理隐私合规的问题

之前公司 app 被 zf 下，一顿沟通明里暗里的表示要购买指定公司的合规检测服务就能重新上。。。

1. 获取用户设备权限本来就应该进行说明，这是你对用户的义务
2. 现在很多 SDK 都给出了隐私合规指引
3. 给第三方 SDK 擦屁股？当你是做第三方 SDK 的时候你又有别的说法了

Android 的乱在于没有一个统一的口径，不同的管理部门和不同的应用市场； iOS 也有自己的隐私要求，好在只有唯一的上架审核。

好像问题不在于审查，而在于谁去审查，大家信任不信任，哈哈

@lxxself 又是利益链，估计以后国内安卓想上商城麻烦大了~~

@cairnechen 不满也没见整改,现在的垃圾开屏广告直接摇一摇就跳转了,比之前的误触还恶心

毒瘤系统流氓起来，原流氓 APP 才勉强老实一点点

混乱->有序
站在一个用户的角度，你也不想用流氓 app 是不？

又没禁热加载，随便热加载点代码就能直接无视这些监管检测手册，这些鸡毛东西唯一意义就是提高门槛创造收入。

不申请网络权限的 app 因为泄漏隐私下架，所有权限全都要随便一摇就跳走的 app 随便上架。

隐私合规国内现在就是光明正大的乱搞，养活了一大堆检测机构，而且检测规则一点不透明，一个机构一个说法，甚至网安和检测机构沆瀣一气，我们就是被迫买了个推的合规检测服务。这两年有三分之一时间都在弄这破合规的问题，业务的代码反而没什么问题，都是第三方 SDK 的问题，那些国内第三方 SDK 简直就是毒瘤。什么推送，异常上报，广告个顶个的流氓。有时候应用商店中间还掺和一脚，说啥合规问题

摇一摇 这个 你得找字节 都尼玛鬼才 优量汇是跟进的

@tf141

现在的情况我不清楚，两年之前某亿级用户社交媒体平台，本来撤了开屏广告（你应该记得有一阵子各种 App 都把开屏广告下了），看到有友商产品把开屏广告加回去了，就也悄悄加回去，结果被定性为 [故意对抗] ，差点所有应用市场（包括 AppStore ）下架 60 个工作日，后面多方斡旋才花钱免了灾，从这个事应该能感受到当时力度有多大吧，至于后来政策变化受很多因素影响，不是一两句能说清楚的

@XXWHCA 谁叫你们做决策的人要用那些 sdk 呢。。

那些 SDK 本身就难搞。每个 SDK 厂商的要求就不一样。而且这些公司和当地网信部门有关系的（爱加密、网易、360 等）
360 加固是最多人诟病的加固，没有之一。 [利益链非常复杂，而且不透明]

还是那句话：没有 play 的约束，就不会有好结果。

iOS 也有办法。

这两年做了不少隐私合规的事情，这两年才开始亡羊补牢，我觉得时间上还是太晚了。
我们公司找过工信部的人进行合规的演讲，基本上工信部的工作人员把什么能做不能做说的很明白了。
我了解的大厂 SDK 也都基本上按要求整改了。但是现实是架不住商业化利益，大家都会私底下搞些小动作，比如 csj sdk 。
监测机构有不定时的事后巡检，所以不建议继续搞对抗（也许搞事情的是 SDK ）

是的，就是要交保护费

当年 pc 端 数字厂 做这个 那是赚的不要不要的

隐私合规对用户肯定是只有好处的
如果你只是打工人而不是公司领导层，那你担心什么呢？就因为这些工作繁琐难做？
在哪不是一样啊拿钱干活罢了。没了隐私合规的活你也不会更加轻松，有的是活派给你。

@cairnechen 这让我怀疑 zf 的能力了，，，某个领导脑袋一拍，就勒令所有开屏广告关闭，领导脑袋一忘，所有开屏广告重新出现，我吐了，为什么随便一个领导就可以乱发政策啊？？？

现在的开屏广告更是绝了，只要手机轻微摇晃就能打开，感觉像是在疯狂表示不满，但是苦了用户啊。

那到底要不要搞合规和隐私，原来不是极力说国内环境差么
如果 gov 自己没有人力来做这件事情，委托给第三方机构，难道不是大家推崇的市场化的做法么
怎么现在又有人开始冷嘲热讽了
到底要怎么样啊
开屏广告是开屏广告的事情和本话题下边的隐私合规有什么关系么
大家讨论难道都没个方向么

到自己身上就不行了，这不典型的双标么

国内这方面的力度是太低了，而不是太过了
欧盟的 GDPR 才叫严格
还有，iOS 上面，你要是用了一些作恶多端的 SDK ，直接给你下架
国内的问题是，一些大厂和体制内的那些公司，做的东西，可以不遵守什么隐私保护
之前学习通直接被 Play 商店删了，因为是“恶意应用”

@paradoxs 这种应用就不需要通过应用商店分发，跟这个也扯不上关系啊。

@Damn 你可能没明白国内的 sdk 合规之前都有多离谱，推送，广告，支付，地图，定位这些服务类的 sdk 最初都是毒瘤，现在隐私合规限制着还稍微好一点

@psyche08 不只穿山甲，现在这些广告 sdk 都有小动作，如果为了追求高收益什么黑产灰产广告都来了。而且还有把穿山甲、广电通、快手、字节、百度等一系列广告聚合在一起的广告 sdk ，更难管控。这些 sdk 都是插件化，都可以动态下发代码和功能，根本无法想象用户可能收到什么样的广告，从广告质量和隐私合规都是毒瘤。

@kwh 开屏广告的消失是大家不知道尺度在哪里，都选择了一刀切。知道 zf 的底线后，自然一窝蜂的加回来，摇一摇就是属于之前没考虑到的部分，规则总是会滞后的。

报告发过来一看，没有防内存 dump 、没有防止重打包、没有做签名校验。。。明摆着指向企业版应用加固

这个东西搞了我一周，而且用了检测方提供的方案以前能通过，今年通不过，神奇



1 、通过 ptrace 方式判断 。如果进程被附加处于调试状态，则/etc/$(procID)/status 中进行 procid 的判断，如果进程 id 不为零则直接杀死本进程退出。如果进程被附加处于调试状态，则/etc/self/status 中对 TracerPid 后面的进程 ID 进行判断，如果进程 id 不为零则直接杀死本进程退出。
2 、建议被测系统采用的客户端、通信链路、服务器端多层级联动的纵深防御解决方案。