Android 10 中的隐私权变更

Android 10(API 级别 29)引入了多项功能和行为变更,以更好地保护用户隐私。这些变更让用户更清楚地了解并更好地控制其数据及为应用提供的功能。这些功能可能意味着,应用所依赖的特定行为或数据的行为方式可能与旧版平台不同。如果您的应用遵循当前处理用户数据的最佳实践,那么对应用的影响应该微乎其微。

本页面列出了每项变更的摘要。

重大变更

本部分介绍了 Android 10 中与隐私权相关的主要变更。

外部存储访问权限范围限定为应用文件和媒体

默认情况下,以 Android 10 及更高版本为目标平台的应用在访问外部存储空间时被分区访问(即分区存储)。此类应用可以查看外部存储设备中的以下类型的文件,而无需请求任何与存储相关的用户权限:

  • 应用专属目录中的文件(使用 getExternalFilesDir() 访问)。
  • 应用创建的照片、视频和音频片段(通过媒体库访问)。

如需详细了解分区存储以及如何共享、访问和修改保存在外部存储设备上的文件,请参阅有关如何管理外部存储设备中的文件以及如何访问和修改媒体文件的指南。

在后台运行时访问设备位置信息需要权限

为了让用户更好地控制应用对位置信息的访问权限,Android 10 引入了 ACCESS_BACKGROUND_LOCATION 权限。

ACCESS_FINE_LOCATIONACCESS_COARSE_LOCATION 权限不同,ACCESS_BACKGROUND_LOCATION 权限只会影响应用在后台运行时对位置信息的访问权限。除非满足以下条件之一,否则应用会被视为在后台访问位置信息:

如果您的应用创建并监控地理围栏,并以 Android 10(API 级别 29)或更高版本为目标平台,您必须声明 ACCESS_BACKGROUND_LOCATION 权限。

以 Android 9 或更低版本为目标平台时自动授予访问权限

如果您的应用在 Android 10 或更高版本上运行,但以 Android 9(API 级别 28)或更低版本为目标平台,平台会应用以下行为:

  • 如果您的应用为 ACCESS_FINE_LOCATIONACCESS_COARSE_LOCATION 声明了 <uses-permission> 元素,系统会在安装过程中自动为 ACCESS_BACKGROUND_LOCATION 添加 <uses-permission> 元素。
  • 如果您的应用请求了 ACCESS_FINE_LOCATIONACCESS_COARSE_LOCATION,系统会自动将 ACCESS_BACKGROUND_LOCATION 添加到请求中。

在设备升级到 Android 10 后访问

如果用户授予您的应用对设备位置信息(ACCESS_COARSE_LOCATIONACCESS_FINE_LOCATION)的访问权限,然后将其设备从 Android 9 升级到 Android 10,系统会自动更新已向应用授予的基于位置的权限集。升级后您的应用获得的一组权限取决于应用的目标 SDK 版本及其定义的权限,如下表所示:

表 1. 设备升级到 Android 10 后位置信息权限状态发生的变化

目标平台版本 授予了粗略或精细
权限?
清单中是否定义了
后台权限?
更新后的默认权限状态
Android 10 前台和后台访问权
Android 10 仅前台访问权
Android 10 (被系统忽略) 无访问权
Android 9 或更低版本 在设备升级时由系统自动添加 前台和后台访问权
Android 9 或更低版本 (被系统忽略) 没有权限

请注意,即使在系统自动更新应用对设备位置信息的访问权限后,用户也可以更改此访问权限级别。例如,用户可能会减少应用只能在前台访问的权限,或者完全撤消访问权限。在尝试访问设备的位置信息之前(尤其是在前台服务中),您的应用应检查用户是否仍允许您的应用接收此位置信息。

在 Android 10 设备上更新目标 API 级别时,访问权限会被撤消

假设您的应用已安装在搭载 Android 10 的设备上。在这种情况下,如果您将应用更新为以 Android 10 为目标平台,设备会撤消 ACCESS_BACKGROUND_LOCATION 权限。

如需详细了解如何在应用在后台运行时检索设备的位置信息,请参阅有关定期接收位置信息更新的指南。

针对从后台启动 activity 的限制

从 Android 10 开始,系统会增加针对从后台启动 activity 的限制。这项行为变更有助于最大限度地减少对用户造成的中断,并且可以让用户更好地控制其屏幕上显示的内容。只要您的应用因用户互动的直接结果启动 activity,该应用就极有可能不受这些限制的影响。

如需详细了解从后台启动 activity 的建议替代方案,请参阅有关如何在应用中提醒用户注意有时效性的事件的指南。

标识符和数据

本部分列出了针对如何使用标识符和数据的变更。

移除了联系人关系密切程度

从 Android 10 开始,平台不再跟踪联系人亲和性信息。因此,如果您的应用对用户的联系人进行搜索,系统不会按互动频率对搜索结果进行排序。

关于 ContactsProvider 的指南包含一项说明,从 Android 10 开始,所有设备上的特定字段和方法已作废的声明。

随机分配 MAC 地址

在搭载 Android 10 或更高版本的设备上,默认情况下,系统会传输随机分配的 MAC 地址。

如果您的应用处理企业用例,平台会提供 API,用于执行与 MAC 地址相关的多项操作:

  • 获取随机分配的 MAC 地址:设备所有者应用和资料所有者应用可以通过调用 getRandomizedMacAddress() 检索分配给特定网络的随机分配 MAC 地址。
  • 获取实际的出厂 MAC 地址:设备所有者应用可以通过调用 getWifiMacAddress() 检索设备的实际硬件 MAC 地址。此方法对于跟踪设备队列非常有用。

对 /proc/net 文件系统的访问权限实施了限制

在搭载 Android 10 或更高版本的设备上,应用无法访问 /proc/net,其中包括与设备的网络状态相关的信息。需要访问此信息的应用(如 VPN)应使用 NetworkStatsManagerConnectivityManager 类。

对不可重置的设备标识符实施了限制

从 Android 10 开始,应用必须具有 READ_PRIVILEGED_PHONE_STATE 特许权限才能访问设备的不可重置标识符(包括 IMEI 和序列号)。

受影响的方法包括:

如果您的应用没有该权限,但您仍尝试查询不可重置标识符的相关信息,则平台的响应会因目标 SDK 版本而异:

  • 如果应用以 Android 10 或更高版本为目标平台,则会发生 SecurityException
  • 如果应用以 Android 9(API 级别 28)或更低版本为目标平台,则相应方法会返回 null 或占位符数据(如果应用具有 READ_PHONE_STATE 权限)。否则,会发生 SecurityException

许多使用场景都不需要不可重置的设备标识符。例如,如果您的应用将不可重置的设备标识符用于广告跟踪或用户分析目的,请为这些特定用例使用 Android 广告 ID。如需了解详情,请参阅唯一标识符最佳实践

限制了对剪贴板数据的访问权限

除非您的应用是默认的输入法 (IME) 或当前获得焦点的应用,否则它无法在 Android 10 或更高版本上访问剪贴板数据。

保护 USB 设备序列号

如果您的应用以 Android 10 或更高版本为目标平台,则只有在用户授予应用访问 USB 设备或配件的权限之后,应用才能读取序列号。

如需详细了解如何使用 USB 设备,请参阅有关如何配置 USB 主机的指南。

摄像头和连接性

本部分列出了针对摄像头元数据和连接 API 的变更。

对访问摄像头详情和元数据的权限实施了限制

Android 10 更改了 getCameraCharacteristics() 方法默认返回的信息的广度。具体而言,您的应用必须具有 CAMERA 权限才能访问此方法的返回值中可能包含的设备特定元数据。

如需详细了解这些变更,请参阅需要权限的相机字段部分。

对启用和停用 WLAN 实施了限制

以 Android 10 或更高版本为目标平台的应用无法启用或停用 Wi-Fi。WifiManager.setWifiEnabled() 方法始终返回 false

如果您需要提示用户启用或停用 Wi-Fi,请使用设置面板

对直接访问已配置的 Wi-Fi 网络实施了限制

为了保护用户隐私,只有系统应用和设备政策控制器 (DPC) 支持手动配置 Wi-Fi 网络列表。给定 DPC 可以是设备所有者,也可以是资料所有者。

如果您的应用以 Android 10 或更高版本为目标平台,并且不是系统应用或 DPC,则以下方法不会返回有用数据:

如果您的应用需要连接到 Wi-Fi 网络,请使用以下替代方法:

一些电话 API、蓝牙 API 和 WLAN API 需要精确位置权限

如果您的应用以 Android 10 或更高版本为目标平台,则它必须具有 ACCESS_FINE_LOCATION 权限,才能使用 Wi-Fi API、Wi-Fi Aware API 或 Bluetooth API 中的多种方法。以下部分列出了受影响的类和方法。

电话

Wi-Fi

蓝牙

权限

本部分介绍了 Android 权限模型的相关更新。

限制对屏幕内容的访问

为了保护用户的屏幕内容,Android 10 更改了 READ_FRAME_BUFFERCAPTURE_VIDEO_OUTPUTCAPTURE_SECURE_VIDEO_OUTPUT 权限的作用域,从而禁止以静默方式访问设备的屏幕内容。从 Android 10 开始,这些权限只能通过签名访问

需要访问设备屏幕内容的应用应使用 MediaProjection API,此 API 会显示提示,要求用户同意访问。

面向用户的权限检查(针对旧版应用)

如果您的应用以 Android 5.1(API 级别 22)或更低版本为目标平台,用户首次在搭载 Android 10 或更高版本的设备上使用您的应用时,会看到一个权限界面,如图 1 所示。通过该屏幕,用户有机会撤消系统先前在安装应用时授予应用的权限。

对话框的屏幕截图
图 1. 面向用户的对话框,允许查看旧版权限

身体活动识别

Android 10 针对需要检测用户步数或对用户的身体活动(例如步行、骑车或坐车)进行分类的应用引入了 android.permission.ACTIVITY_RECOGNITION 运行时权限。此项权限旨在让用户了解设备传感器数据在“设置”中的使用方式。

除非用户已向您的应用授予此权限,否则 Google Play 服务中的一些库(例如 Activity Recognition APIGoogle Fit API)不会提供结果。

设备上要求您声明此权限的内置传感器只有计步器步测器传感器。

如果您的应用以 Android 9(API 级别 28)或更低版本为目标平台,只要您的应用满足以下每个条件,系统就会根据需要自动向您的应用授予 android.permission.ACTIVITY_RECOGNITION 权限:

  • 清单文件包含 com.google.android.gms.permission.ACTIVITY_RECOGNITION 权限。
  • 清单文件包含 android.permission.ACTIVITY_RECOGNITION 权限。

如果系统自动授予 android.permission.ACTIVITY_RECOGNITION 权限,在您将应用更新为以 Android 10 为目标平台后,应用会保留此权限。但是,用户可以随时在系统设置中撤消此权限。

从界面中移除了权限组

从 Android 10 开始,应用无法在界面中查询权限的分组方式