从IDFA新政看iOS手机操作系统的平台权力边界

2020年6月，苹果在WWDC开发者大会宣布，将在iOS14及后续系统中启用ATT框架（App Tracking Transparency，苹果系统默认的授权弹窗），限制应用读取用户设备的广告标识符IDFA，以保护用户隐私。苹果IDFA新政的主要变化即在于，此前在系统层面默认开启的IDFA权限将下沉到应用层面，且默认关闭。苹果此举意味着一旦用户拒绝授权，精准营销就将彻底丧失生命力。

苹果IDFA新政并非其调整设备标识符的首次尝试，其此前已相继禁止读取IMEI、IMSI、UDID等标识符。谷歌2019年也限制获取Android Q标识符。目前，世界各国对标识符获取使用的监管立法明显滞后于行业发展，设备标识符的收紧还只是底层操作系统厂商的自发行为。设备标识符全都掌握在操作系统厂商手中，软件对硬件的依附关系决定了软件开发者获取设备标识符的被动地位。是否硬件设备厂商基于底层操作系统的优势，可以自顾自地制定规则，禁止用户在该操作系统安装其他竞争性应用、限制应用内打赏的支付渠道、就应用内打赏收取一定比例的分成等，而软件开发者只能顺从？在软硬件厂商的互动博弈中，硬件设备厂商改动操作系统的平台权力边界值得关注。

广告标识符或许不能直接识别用户身份，但其聚集拉通了用户行为的数据，因此，广告标识符的获取与使用需要平衡用户隐私保护与数字广告产业发展的利益关系。此外，苹果控制下的底层操作系统限制标识符获取引发的硬件厂商规则制定权与数据主权的博弈关系也需要深思。

一、操作系统厂商是自身生态的国王？

操作系统厂商对于设备标识符的采集、使用有着近乎绝对的控制力，其可以基于维护生态安全、保护用户隐私等多重目的制定、完善系统使用规则，限制或禁止开发者采集设备标识符。这似乎是其基于商业自由行使权利的正当路径。而一旦权利行使超过合理边界将构成权利滥用，或将受到法律的否定性评价。苹果在IDFA新政中的表现即可能涉嫌权利滥用，或存在不正当竞争行为。

首先，就设备数据的获取与使用，苹果明显存在歧视性的双重标准。一方面，苹果《隐私政策》表明，其将收集包括设备序列号、IMEI或MEID等在内的用户设备信息，并可将其用于数据分析、推销Apple产品和服务、与合作伙伴共享等目的。而另一方面，《苹果开发者计划许可协议》第3.3.9条却禁止app读取设备标识符，并且不允许app基于设备标识符衍生的任何数据来永久识别设备，还禁止app发送设备数据给第三方进行数据分析。

IDFA系苹果2012年为限制APP读取设备标识符UDID而寻求的替代方案，其在保护用户个人数据的前提下，用于帮助开发者跨网站和应用程序追踪用户行为。多年来，默认打开的IDFA已成为iOS平台广告定向投放和效果归因的基础设施。苹果此次默认关闭IDFA，增加APP首次启动时的弹窗许可，为APP读取IDFA设置多重障碍，阻拦APP进行广告监测归因，显然是利用其底层操作系统的规则制定权构建双重标准，有违公平竞争原则。

其次，苹果收回IDFA权限实以隐私保护之名行谋商业利益之实。苹果收回IDFA权限名义上是为更好地保护用户隐私，但此前IDFA的推行亦是以此为名。在Opt-out模式被普遍接受的背景下，IDFA尚未走到非废不可的地步。IDFA的默认关闭则将严重影响用户定向、广告归因和效果衡量，对整个移动广告生态而言如同一场地震。

苹果一方面，可通过IDFA新政扶持自己的广告业务，弥补此前iAd移动广告业务夭折的遗憾。苹果一直在尝试拓展自身的广告业务，从广告市场分杯羹，其在2010年便推出了移动广告业务iAd，以便广告主在全球的App Store中展示自己的广告，但由于iAd的收益并不理想，其在2016年时便腰斩了iAd业务，并于同年推出Apple Search Ads（苹果搜索广告），还在2020年更新Management API时添加了与广告业务相关的2个字段，以获取更多广告收益。

据最新报道，苹果还将于本月底在App Store搜索页面的推荐板块再增加一个广告位，使得广告主可全网推广其应用程序而不仅局限于特定搜索。IDFA新政的施行将严重限制开发者的个性化广告能力以及广告效果评估能力，而这却对苹果广告业务扩张大有助益，苹果App Store中的第二广告位将对广告主更具吸引力。

此前，摩根大通曾预测自2019年起6年内苹果的广告收入增加将逾5倍，达到每年110亿美元，在IDFA新政和App Store第二广告位的影响下，这规模估计还得变大。

另一方面，苹果在限制IDFA获取的同时转而推行SKAdNetwork，但SKAdNetwork“并不好用”，苹果或许可趁机改变“免费服务+广告”的互联网商业模式，强迫APP使用订阅服务或其他应用内支付服务来创收，而苹果将在疲软的硬件收入之外获得更多的付费分成。就目前的情况来看，苹果通过IDFA新政和第二广告位控制APP的推广、扩张自身广告业务、收割经济收益的意图已昭然若揭。

竞争或与损害相伴相生，并非产生损害即意味着不正当竞争。但为提升自身移动广告业务，摄取更多商业机会和利益，出尔反尔，破坏移动广告行业多年来所普遍接受和认可的操作惯例，并在设备数据的获取和利用上对自身和APP进行不合理区别对待，损害广大广告市场主体合法权益，根本上已经涉嫌违反诚实信用原则和商业道德。

最后，苹果收回IDFA权限将严重扰乱移动广告市场竞争秩序。IDFA的默认关闭将导致个性化广告的精准度下降，广告联盟的收入将受到较大影响；开发者和广告主的数据营销业务也将缩减；缺乏自主ID的中小DSP平台还将因为苹果IDFA新政使其根据IDFA搭建的数据管理业务面临终结。据悉，中国广告协会和中国信息通信研究院提出的CAID替代方案（CAA Advertising ID）也面临苹果的警告，届时，广告主和开发者将无码可用，这不亚于一场行业洗牌。苹果通过IDFA新政在iOS生态之上构建围墙，人为提高其他竞争者进入iOS广告市场的门槛，破坏了公平竞争的市场环境，将减少甚至阻碍移动广告市场的有效竞争。以至于有评论道：“苹果正试图利用其巨大的市场力量欺凌、敲诈甚至摧毁竞争对手和商业合作伙伴。”

二、操作系统厂商是数据流动规则的主导者？

《苹果开发者计划许可协议》禁止APP收集设备标识符或基于设备标识符衍生的数据来识别用户设备，禁止APP收集和发送设备数据给第三方。苹果《用户隐私和数据使用》规则既要求APP不得利用指纹特征或设备发出的信号来标识设备或用户，又明令禁止APP未经用户同意，以广告为目的将用户在不同应用内的行为数据进行打通。同时，苹果又在《隐私政策》中表示不会基于第三方营销的广告目的与第三方共享用户数据。可见，苹果利用生态的规则制定权构筑了用户数据流通利用的王国规则。可以料想到，IDFA新政施行后，iOS平台上所有的广告归因均需通过苹果提供数据方能进行，而更为精准的用户数据和设备数据将仅由苹果独占独享。

在网络空间中，数据资源控制、管理和利用的决定权随数据类型区别而有所不同。

在微观层面，设备广告标识符其实际是用户数据，因此，该种数据的获取和利用应由用户和开发者合意决定。苹果只有为用户提供选择的义务，而没有引导用户做决策的权力，更没有替用户下决定的空间。苹果应当允许数字广告产业各方在尊重用户意愿、合乎法律规定的基础上另寻替代方案，而不是利用技术优势替用户默认关闭IDFA权限，也不是凭借市场力量逼迫广告主和开发者接受take it or leave it的零和游戏。中国广告协会日前开发的CAID互联网广告标识，正是在用户同意基础上，基于设备非隐私参数，提供的具有匿名性、可重置性、可开关性的替代方案，苹果应当对用户选择给予充分尊重，允许在IDFA之外适用CAID。

在宏观层面，中国消费者的用户数据，本国在保障其安全与稳定的前提下，对其享有进行完全控制、独立管理、自由使用的自主性，并不受他国的干涉。数据的石油之喻足以彰显未来数据竞争的激烈程度，拥有数据的规模、活性以及对数据的解释、运用能力将决定一国未来在世界舞台的综合竞争力，还事关一国国家总体安全。所以，美国多次以国家安全为由限制中国企业与美国企业的合作，对中国企业获取美国国民数据十分警惕。

苹果IDFA新政施行，开发者若选择使用苹果SKAdNetwork方案，最直接的后果就是中国用户的数据为美国控制的企业所掌握，而根据美国政府2018年颁布的《云法案》，若美国政府需要，所有美国企业都必须将存储在境内外的数据提交给美国政府。届时，我国国民的数据将直接置于美国控制之下，这不仅使我国国民隐私暴露在他国审查和监控之下；其还可能通过控制数据共享，限制我国互联网企业的数据分析运用能力，阻碍我国的核心技术创新和商业模式更迭；更有甚者，其若通过数据挖掘等技术进行深度数据分析，获取更为机密的信息，还将进一步威胁我国的国家安全。

三、操作系统厂商可自由跨境流动数据？

在数据主权之下，数据的本地化存储、出境的安全影响评估是保护数据安全的题中应有之意。我国《网络安全法》明确了关键信息基础设施运营者对境内收集的个人信息的本地化存储及出境安全评估义务；《个人信息出境安全评估办法（征求意见稿）》将义务主体扩大至所有的网络运营者；《个人信息保护法（草案）》也要求处理个人信息达到一定数量的个人信息处理者，应当经过网信部门组织的安全评估；《关于印发全面深化服务贸易创新发展试点总体方案的通知》也鼓励试点开展数据出境安全评估。

作为IDFA新政施行后广告行业在IOS生态唯一可用的归因方案，苹果SKAdNetwork方案在收集的用户数据之后既可能将数据传输到世界各地进行存储，也可能与第三国的服务提供商、苹果合作伙伴进行共享，在进行前述处理活动前，仍需要提前进行数据跨境流动的安全评估，否则将严重损害我国数据主权。此外，为保障数据跨境流动中的用户权益，《个人信息保护法（草案）》还要求个人信息处理者履行告知义务，取得用户的单独同意。新法生效后，苹果再在隐私政策里笼统告知显然就不合适了。

数据在全球范围的流通利用是数字经济时代的核心命题，产业规则的决策权不应由巨头收入囊中，政府立法部门才是规则的主导者。法国竞争管理局在对苹果iOS限制APP追踪措施的初步决定中认为：尽管网络运营商可基于商业自由制定数字平台的使用和维护规则，但此种规则仍需受制于竞争法的约束，规则的执行既要满足客观、透明和不歧视的要求，也不得具有限制竞争的目的或效果，更不能破坏和扭曲现存的有效竞争，否则将影响活跃的市场，也终将损害消费者利益。

另外，IDFA新政并不能减少广告的数量只是增加广告的无效性，消费者仍会受困于垃圾广告。换个角度看，倘若IDFA新政彻底改变了主流的“广告+免费服务”的商业模式，消费者将在享受网络服务时支付更多经济成本，这规则还算是用户利益至上吗？作者：廖尔文（法律工作者）