设备标识符收集

Risk: low

描述

设备标识符收集

设备标识符 (Device Identifier) 是一种随时间保持稳定的值（基于硬件的、平台提供的或由应用程序生成的），可用于在各个会话期间唯一标识设备或用户。这些标识符可实现设备识别以及活动的长期关联，但也引发了重大的隐私问题。

通常分为三大类：

基于硬件的标识符

硬件标识符来源于设备的物理组件或固件，通常在设备的整个生命周期内保持不变。

• IMEI / MEID：过去常用于标识移动设备的唯一调制解调器标识符。在现代操作系统中，对其访问受到严格限制。
• 序列号 (Serial Number)：由制造商分配的唯一硬件标识符。通常普通应用程序无法访问。

平台提供的标识符

操作系统会提供具有有限作用域或权限的标识符。

• Android ID：一种稳定的、作用于应用范围的标识符，在现代 Android 版本中，只要应用程序和签名密钥不变，即使重新安装应用它也会保留。
• IDFV (Identifier for Vendor)：一种 iOS 标识符，在属于同一供应商的所有应用之间共享，只有在卸载该供应商的所有应用时才会被重置。
• IDFA (Advertising Identifier)：用于广告和分析、用户可重置的标识符。在现代隐私框架下，仅当获得用户同意时可用。

应用程序生成的标识符

应用程序可以生成自己的标识符，并将其持久化存储。

• 自定义 UUID：存储在本地存储或安全系统密钥链 (Keychain) 中的随机标识符，可能在应用程序重新安装后继续存在。
• 派生或哈希标识符：通过组合设备的属性所生成的值。

如果这些标识符能用于关联用户在一段时间内的活动，那么它们就起到了设备标识符的作用。

隐私与法规注意事项

在 GDPR、CCPA 及类似框架等主要隐私法规下，持久性的设备标识符被归类为 个人数据 (personal data)，因为它们允许对用户或设备进行识别或跟踪。处理不当可能会违反：

• 数据最小化原则 (Data minimization)
• 目的限制原则 (Purpose limitation)
• 透明度要求 (Transparency requirements)
• 同意义务 (Consent obligations)

平台政策（如 Apple App Store，Google Play）进一步限制了在未经用户明确授权的情况下，将持久性标识符用于分析、广告或跨应用跟踪。

安全与合规性影响

持久性标识符可能会被滥用于：

• 设备指纹识别 (Device fingerprinting)
• 跨应用或跨服务跟踪 (Cross-app or cross-service tracking)
• 行为分析 (Behavioral profiling)

因此，它们需要被谨慎处理，且收集必须有合理的理由。

建议

修复建议

为了安全、尊重隐私地处理持久性设备标识符，遵循最小化跟踪风险和遵守隐私法规的最佳实践至关重要。建议采取以下两种一般策略：

• 限制收集并优先使用更安全的标识符：仅在应用程序的核心功能严格必要时，才收集持久性设备标识符。避免使用基于硬件的标识符（如 IMEI 或序列号），除非有极其必要的运营需求。当需要收集时，优先选择更安全的替代方案，例如平台批准的、作用于应用的标识符（例如，Android 的 App Set ID，iOS 的 IDFV）或临时/自定义生成的 UUID，并在应用的生命周期内将其安全存储。

• 透明度与同意：清楚记录收集任何持久性标识符的目的。在隐私政策中披露收集做法，并在法律要求的情况下获得用户的同意。

• 安全存储：使用平台提供的安全存储机制（例如，Android Keystore，iOS Keychain）安全地存储所有持久性标识符。避免以明文形式或在其他应用可以访问的位置存储标识符。

• 避免跨应用跟踪：不要将持久性标识符用于广告、分析或在多个应用程序之间进行跟踪，除非平台政策和用户同意明确允许。

通过遵循这些最佳实践，应用程序可以降低隐私风险，遵守法规要求，并维护用户的信任。

链接

• Android Developers - Identifiers
• Android Developers - App Set ID
• Apple Developer - Identifier for Vendor (IDFV)