Android 10 中的隐私权变更

Android 10（API 级别 29）引入了多项功能和行为变更，目的是更好地保护用户的隐私权。这些变更能让用户更清楚地了解并更好地控制他们的数据及为应用提供的权能。这些隐私权功能可能意味着应用所依赖的特定行为或数据可能会与较低版本的平台有所不同。如果您的应用遵循当前有关处理用户数据的最佳做法，则其受到的影响应该会最大限度地减少。

本页面列出了每项变更的摘要。

重大变更

本部分介绍了 Android 10 中与隐私权相关的主要变更。

外部存储访问权限范围限定为应用文件和媒体

默认情况下，对于以 Android 10 及更高版本为目标平台的应用，其访问权限范围限定为外部存储，即分区存储。此类应用可以查看外部存储设备内以下类型的文件，无需请求任何与存储相关的用户权限：

• 特定于应用的目录中的文件（使用 getExternalFilesDir() 访问）。
• 应用创建的照片、视频和音频片段（通过媒体库访问）。

要详细了解分区存储以及如何共享、访问和修改在外部存储设备上保存的文件，请参阅有关如何管理外部存储设备中的文件以及如何访问和修改媒体文件的指南。

在后台运行时访问设备位置信息需要权限

为了让用户更好地控制应用对位置信息的访问权限，Android 10 引入了 ACCESS_BACKGROUND_LOCATION 权限。

与 ACCESS_FINE_LOCATION 和 ACCESS_COARSE_LOCATION 权限不同，ACCESS_BACKGROUND_LOCATION 权限仅会影响应用在后台运行时对位置信息的访问权限。除非符合以下条件之一，否则应用将被视为在后台访问位置信息：

• 属于该应用的 Activity 可见。

• 该应用运行的某个前台设备已声明前台服务类型为 location。

  要声明您的应用中的某个服务的前台服务类型，请将应用的 targetSdkVersion 或 compileSdkVersion 设置为 29 或更高版本。详细了解前台服务如何继续执行用户发起的需要访问位置信息的操作。

以 Android 9 或更低版本为目标平台时自动授予访问权限

如果您的应用在 Android 10 或更高版本上运行，但其目标平台是 Android 9（API 级别 28）或更低版本，则该平台具有以下行为：

• 如果您的应用为 ACCESS_FINE_LOCATION 或 ACCESS_COARSE_LOCATION 声明了 <uses-permission> 元素，则系统会在安装期间自动为 ACCESS_BACKGROUND_LOCATION 添加 <uses-permission> 元素。
• 如果您的应用请求了 ACCESS_FINE_LOCATION 或 ACCESS_COARSE_LOCATION，系统会自动将 ACCESS_BACKGROUND_LOCATION 添加到请求中。

在设备升级到 Android 10 后访问

如果用户向您的应用授予对设备位置信息的访问权限（ACCESS_COARSE_LOCATION 或 ACCESS_FINE_LOCATION），然后将其设备从 Android 9 升级到 Android 10，则系统会自动更新应用已获取的基于位置信息的那组权限。您的应用在设备升级后接收的那组权限取决于应用的目标 SDK 版本及其定义的权限，如下表所示：

表 1. 设备升级至 Android 10 之后位置权限状态发生的变化

目标平台版本	是否授予了 粗略或精确位置信息使用权限？	清单中是否 定义了后台权限？	更新后的默认权限状态
Android 10	是	是	前台和后台访问权
Android 10	是	否	仅前台访问权
Android 10	否	（被系统忽略）	无访问权
Android 9 或更低版本	是	在设备升级时由系统自动添加	前台和后台访问权
Android 9 或更低版本	否	（被系统忽略）	无访问权

如需详细了解如何在应用在后台运行时检索设备的位置信息，请参阅有关如何定期接收位置信息更新的指南。

针对从后台启动 Activity 的限制

从 Android 10 开始，系统会增加针对从后台启动 Activity 的限制。此项行为变更有助于最大限度地减少对用户造成的中断，并且可以让用户更好地控制其屏幕上显示的内容。只要您的应用启动 Activity 是因用户互动直接引发的，该应用就极有可能不会受到这些限制的影响。

要详细了解从后台启动 Activity 的建议替代方法，请参阅有关如何在应用中提醒用户注意有时效性的事件的指南。

标识符和数据

本部分列出了针对如何使用标识符和数据的变更。

移除了联系人亲密程度信息

从 Android 10 开始，平台不再跟踪联系人亲密程度信息。因此，如果您的应用对用户的联系人进行搜索，系统将不会按互动频率对搜索结果排序。

有关 ContactsProvider 的指南包含一项描述特定字段和方法的声明（从 Android 10 开始，这些字段和方法在所有设备上已作废）。

随机分配 MAC 地址

默认情况下，在搭载 Android 10 或更高版本的设备上，系统会传输随机分配的 MAC 地址。

如果您的应用处理企业使用场景，平台会提供 API，用于执行与 MAC 地址相关的几个操作。

• 获取随机分配的 MAC 地址：设备所有者应用和资料所有者应用可以通过调用 getRandomizedMacAddress() 检索分配给特定网络的随机分配 MAC 地址。
• 获取实际的出厂 MAC 地址：设备所有者应用可以通过调用 getWifiMacAddress() 检索设备的实际硬件 MAC 地址。此方法对于跟踪设备队列非常有用。

对 /proc/net 文件系统的访问权限实施了限制

在搭载 Android 10 或更高版本的设备上，应用无法访问 /proc/net，其中包含与设备的网络状态相关的信息。需要访问这些信息的应用（如 VPN）应使用 NetworkStatsManager 或 ConnectivityManager 类。

对不可重置的设备标识符实施了限制

从 Android 10 开始，应用必须具有 READ_PRIVILEGED_PHONE_STATE 特许权限才能访问设备的不可重置标识符（包含 IMEI 和序列号）。

受影响的方法包括：

• Build
  • getSerial()
• TelephonyManager
  • getImei()
  • getDeviceId()
  • getMeid()
  • getSimSerialNumber()
  • getSubscriberId()

如果您的应用没有该权限，但您仍尝试查询不可重置标识符的相关信息，则平台的响应会因目标 SDK 版本而异：

• 如果应用以 Android 10 或更高版本为目标平台，则会发生 SecurityException。
• 如果应用以 Android 9（API 级别 28）或更低版本为目标平台，则相应方法会返回 null 或占位符数据（如果应用具有 READ_PHONE_STATE 权限）。否则，会发生 SecurityException。

许多使用场景都不需要不可重置的设备标识符。例如，如果您的应用将不可重置的设备标识符用于广告跟踪或用户分析目的，请为这些特定使用场景使用 Android 广告 ID。要了解详情，请参阅唯一标识符的最佳做法。

限制了对剪贴板数据的访问权限

除非您的应用是默认输入法 (IME) 或是目前处于焦点的应用，否则它无法访问 Android 10 或更高版本平台上的剪贴板数据。

保护 USB 设备序列号

如果您的应用以 Android 10 或更高版本为目标平台，则该应用只能在用户授予其访问 USB 设备或配件的权限后才能读取序列号。

要详细了解如何使用 USB 设备，请参阅有关如何配置 USB 主机的指南。

摄像头和连接性

本部分列出了针对摄像头元数据和连接 API 的变更。

对访问摄像头详情和元数据的权限实施了限制

Android 10 更改了 getCameraCharacteristics() 方法默认返回的信息的广度。具体而言，您的应用必须具有 CAMERA 权限才能访问此方法的返回值中可能包含的设备特定元数据。

要详细了解这些变更，请参阅关于需要权限的摄像头字段。

对启用和停用 WLAN 实施了限制

以 Android 10 或更高版本为目标平台的应用无法启用或停用 WLAN。WifiManager.setWifiEnabled() 方法始终返回 false。

如果您需要提示用户启用或停用 WLAN，请使用设置面板。

对直接访问已配置的 WLAN 网络实施了限制

为了保护用户隐私，只有系统应用和设备政策控制器 (DPC) 支持手动配置 WLAN 网络列表。给定 DPC 可以是设备所有者，也可以是资料所有者。

如果应用以 Android 10 或更高版本为目标平台，并且应用不是系统应用或 DPC，则下列方法不会返回有用数据：

• getConfiguredNetworks() 方法始终返回空列表。

• 每个返回整数值的网络操作方法（addNetwork() 和 updateNetwork()）始终返回 -1。

• 每个返回布尔值的网络操作（removeNetwork()、reassociate()、enableNetwork()、disableNetwork()、reconnect() 和 disconnect()）始终返回 false。

如果您的应用需要连接到 WLAN 网络，请使用以下备用方法：

• 要触发与 WLAN 网络的即时本地连接，请在标准 NetworkRequest 对象中使用 WifiNetworkSpecifier。
• 要添加 WLAN 网络以便考虑为用户提供互联网访问权限，请使用 WifiNetworkSuggestion 对象。您可以分别通过调用 addNetworkSuggestions() 和 removeNetworkSuggestions() 来添加和移除显示在自动连接网络选择对话框中的网络。这些方法不需要任何位置权限。

一些电话 API、蓝牙 API 和 WLAN API 需要精确位置权限

如果应用以 Android 10 或更高版本为目标平台，则它必须具有 ACCESS_FINE_LOCATION 权限才能使用 WLAN、WLAN 感知或蓝牙 API 中的一些方法。以下部分列举了受影响的类和方法。

电话

• TelephonyManager
  • getCellLocation()
  • getAllCellInfo()
  • requestNetworkScan()
  • requestCellInfoUpdate()
  • getAvailableNetworks()
  • getServiceState()
• TelephonyScanManager
  • requestNetworkScan()
• TelephonyScanManager.NetworkScanCallback
  • onResults()
• PhoneStateListener
  • onCellLocationChanged()
  • onCellInfoChanged()
  • onServiceStateChanged()

WLAN

• WifiManager
  • startScan()
  • getScanResults()
  • getConnectionInfo()
  • getConfiguredNetworks()
• WifiAwareManager
• WifiP2pManager
• WifiRttManager

蓝牙

• BluetoothAdapter
  • startDiscovery()
  • startLeScan()
• BluetoothAdapter.LeScanCallback
• BluetoothLeScanner
  • startScan()

权限

本部分介绍了 Android 权限模型的相关更新。

限制对屏幕内容的访问

为了保护用户的屏幕内容，Android 10 更改了 READ_FRAME_BUFFER、CAPTURE_VIDEO_OUTPUT 和 CAPTURE_SECURE_VIDEO_OUTPUT 权限的作用域，从而禁止以静默方式访问设备的屏幕内容。从 Android 10 开始，这些权限只能通过签名访问。

需要访问设备屏幕内容的应用应使用 MediaProjection API，此 API 会显示提示，要求用户同意访问。

面向用户的权限检查（针对旧版应用）

如果您的应用以 Android 5.1（API 级别 22）或更低版本为目标平台，则用户首次在搭载 Android 10 或更高版本的平台上使用您的应用时，系统会向其显示权限屏幕，如图 1 所示。此屏幕让用户有机会撤消系统先前在安装时向应用授予的访问权限。

身体活动识别

Android 10 针对需要检测用户步数或对用户的身体活动（例如步行、骑车或坐车）进行分类的应用引入了 ACTIVITY_RECOGNITION 运行时权限。此项权限旨在让用户了解设备传感器数据在“设置”中的使用方式。

除非用户已向您的应用授予此权限，否则 Google Play 服务中的一些库（例如 Activity Recognition API 和 Google Fit API）不会提供结果。

设备上要求您声明此权限的内置传感器只有计步器和步测器传感器。

如果您的应用以 Android 9（API 级别 28）或更低版本为目标平台，并在其清单文件中指定 com.google.android.gms.permission.ACTIVITY_RECOGNITION 权限，则系统会根据需要自动向您的应用授予此权限。当您将应用更新为以 Android 10 为目标平台时，平台会保留此权限。但是，用户可以随时在系统设置中撤消此权限。

从界面中移除了权限组

从 Android 10 开始，应用无法在界面中查询权限的分组方式。