前段时间有一个非常引发行业关注的消息:腾讯、百度、字节跳动等大厂在测试一种能够绕开苹果 ATT(App Tracking Transparency)限制的识别方案。
业界普遍猜测,这种方案正是2021年开始测试的CAID(中国广告协会互联网广告标识)。
然而没过几天,苹果便向中国开发者发出警告:任何试图绕开 ATT 机制的行为,都可能导致应用下架。
这场风波让CAID再次进入公众视野。
CAID的背景:为何会出现?
2020年中国广告协会计划推出CAID,并成立CDA Tech Lab 互联网广告技术实验室,用于推动广告行业标准制定、数据安全与隐私保护的落地。随后正式发布了《移动互联网广告标识技术规范》,并于 2021 年初开始测试。
CAID的出现,本质上是为了应对苹果限制IDFA获取权限后给广告技术带来的冲击——广告归因链路断裂、效果测量受阻、投放效率下降。
因此,CAID的目标就是:
在保护隐私的前提下,为广告行业提供一个可替代 IDFA 的设备标识,维持广告生态正常运转。
但这一点很快与苹果的ATT构成直接冲突,成为行业争议的核心。
CAID是什么?
CAID 全称 CAA Advertising ID,即 中国广告协会互联网广告标识,简称广告标识,它由中国广告协会、中国信息通信研究院(信通院) 和行广告产业链各方共同提出。
值得注意:
- 市面上有一家商业公司“热云数据”推出一个同名 CAID(China Anonymization ID),与行业版CAID完全无关,两者不能混淆。
- 中国信息通信研究院这个组织很有意思,它之前已经在iOS端推出了卓信ID,现在和中国广告协会又在iOS端推出CAID。更早之前,中国信息通信研究院和它成立的MSA(移动安全联盟,Mobile Security Alliance)一起推出了安卓的OAID应对Android Q。
CAID 的技术逻辑:如何生成一个设备 ID?
CAID的实现方式分为两种,一种是在终端上实现,其实就是客户端生成,一种是采集信息上传到服务端,这种叫服务端生成。
客户端生成
在用户设备上,首次启用的时候,设备硬件参数和随机数通过算法在客户端生成CAID,同时将映射关系上传。
缺点:客户端会涉及到多次的数据上传和交互,也不便于规则的调整,不推荐使用。
服务端生成
采集APP具有一定识别能力的非用户隐私数据,发送到中心化服务端,里面有ID管理中心,可通过多参数与随机数经过一定算法生成广告标识ID,再下发给APP端,对于一台终端而言,其广告标识ID具有唯一性,这相当于给每一台终端新发了一张“身份证”。
至于在客户端生成还是服务端生成ID,为了在低速网络环境下也能够正常使用,往往是同时使用的,但以服务端为核心,服务端方便调整逻辑或和一些规则的阈值,主流是服务端生成,从上原理可以知道,CAID是收集了APP的一些参数,根据《移动互联网广告标识技术规范》,CAID是收集:设备启动时间(秒)、国家、语言、设备名称(MD5)、系统版本、设备machine、运营商、物理内存、硬盘、系统更新时间(秒)、设备model、时区,这些参数在一段时间内保持稳定,使用算法应最大程度保障不同设备获取的移动互联网广告标识不相同。
为了安全,《移动互联网广告标识技术规范》并未透露使用的算法,这可以理解,毕竟这是核心。
从CAID的生成原理可以判断它的本质是典型的设备指纹(Device Fingerprinting)。
CAID的重置
CAID具有重置机制,在如下三种情况下是会被重置:
- 用户在系统设置中手动重置,CAID将重置
- 移动智能终端恢复出厂设置时,CAID将重置
- CAID自身可定期重置。
重置后生成新的CAID,且应用只能获取新的CAID。另外,用户还可以自主关闭CAID,关闭后返回值为空或0。
这几个重置机制跟移动安全联盟的OAID一致,其实CAID就是安卓的OAID,毕竟这两个的背后都有中国信息通信研究院,出方案肯定会参考借鉴。
申请CAID
申请CAID的地址:http://www.cnaa123.com/caid/login,网站还比较简陋,而且还是备案在个人名下的。
提供的形式和价格
从上述原理可以知道,CAID的使用是需要中心化服务器,中心化服务器可以使用中广协提供的,也可以自建。
中广协提供的中心化服务器是需要大量硬件和带宽支撑,所以使用中广协的CAID是需要付费的,CAID日均请求量的不同分为以下五种情况:
| 日均CAID请求量(百万次) | 技术服务费(万元/年) | |
| A | 1以下 | 3(叁万元整) |
| B | 1(包括)-10(不包括) | 10(拾万元整) |
| C | 10(包括)-50(不包括) | 30(叁拾万元整) |
| D | 50(包括)-100(不包括) | 50(伍拾万元整) |
| E | 100及以上 | 100(壹佰万元整) |
可以根据自己日活量预估CAID的日均请求量选择,进行少补多退。
CAID与其他类似方案
市面上已经有多个企业或行业组织看到这是个商业机会,都推出类似的各种ID,争夺“IDFA替代方案”这块蛋糕
中信通 卓信ID
卓信ID是中国信息通信研究院泰尔终端实验室推出的,比中广协推出的更早,去年就在一些公司测试。
数盟 可信ID
可信ID是北京数字联盟网络科技有限公司推出,这是一家商业公司推出的ID服务。
官方说是:可信ID是基于移动设备物理层和协议层的信息,结合数字联盟独有的算法生成的设备ID,为移动设备颁发唯一不变的“身份证”,其实还是采集一些设备信息,在服务端通过算法生成ID,映射关系存储起来,通过这种方式实现IDFA的找回。
热云数据 CAID
CAID全称是China Anonymization ID,中文名是专为移动营销行业定制的匿名化标识方案,是热云数据联合多家业内知名合作方共同推出。
CAID方案采集少量设备非隐私参数按规则加密生成CAID。
最新情况
苹果警告中国开发者不要绕开ATT,需要在ATT的规则下获取用户授权才可以使用。
开发者如何合规应对?(非常关键)
苹果ATT有两种豁免场景:
- 您 app 中的用户数据或设备数据仅与用户设备上的第三方数据关联, 且不会以能识别用户或设备的方式从设备中对外发送。
- 与您共享数据的数据代理商仅将数据用于欺诈检测、欺诈防范或安全防护目的,并且仅代表您行事。例如,仅出于防范信用卡诈骗的目的使用数据代理商。
第一条是允许在设备本地对数据做处理,但是不能将能够识别出用户的数据发送出去,这个估计是留给差分隐私做使用的,应用的话可以参考Chrome的隐私沙盒,有可能后续苹果会继续往这方面走。
第二条用于用于欺诈检测、欺诈防范或安全防护目的,就是用于风控的,不需要经过ATT,就可以获取信息用于风控,一般是返回一些状态码标识风险。
但如果同时返回ID的,不就是ID服务了嘛,实际上可以利用这个去提供ID服务,或用风控的名义去提供ID服务,肯定会有剑走偏锋的味道,也有一些方式是这么干的。
