Android 10 中的隐私权变更

Android 10(API 级别 29)引入了多项功能和行为变更,目的是更好地保护用户的隐私权。这些变更能让用户更清楚地了解并更好地控制他们的数据及为应用提供的权能。这些隐私权功能可能意味着应用所依赖的特定行为或数据可能会与较低版本的平台有所不同。如果您的应用遵循当前有关处理用户数据的最佳做法,则其受到的影响应该会最大限度地减少。

本页面列出了每项变更的摘要。

重大变更

本部分介绍了 Android 10 中与隐私权相关的主要变更。

外部存储访问权限范围限定为应用文件和媒体

默认情况下,以 Android 10 及更高版本为目标平台的应用在访问外部存储设备中的文件时存在范围限制,即分区存储。此类应用可以查看外部存储设备内以下类型的文件,无需请求任何与存储相关的用户权限:

  • 特定于应用的目录中的文件(使用 getExternalFilesDir() 访问)。
  • 应用创建的照片、视频和音频片段(通过媒体库访问)。

如需详细了解分区存储以及如何共享、访问和修改在外部存储设备上保存的文件,请参阅有关如何管理外部存储设备中的文件以及如何访问和修改媒体文件的指南。

在后台运行时访问设备位置信息需要权限

为了让用户更好地控制应用对位置信息的访问权限,Android 10 引入了 ACCESS_BACKGROUND_LOCATION 权限。

ACCESS_FINE_LOCATIONACCESS_COARSE_LOCATION 权限不同,ACCESS_BACKGROUND_LOCATION 权限仅会影响应用在后台运行时对位置信息的访问权限。除非符合以下条件之一,否则应用将被视为在后台访问位置信息:

如果您的应用创建和监控地理围栏,并且以 Android 10(API 级别 29)或更高版本为目标平台,则必须声明 ACCESS_BACKGROUND_LOCATION 权限。

以 Android 9 或更低版本为目标平台时自动授予访问权限

如果您的应用在 Android 10 或更高版本上运行,但其目标平台是 Android 9(API 级别 28)或更低版本,则 Android 平台具有以下行为:

  • 如果您的应用为 ACCESS_FINE_LOCATIONACCESS_COARSE_LOCATION 声明了 <uses-permission> 元素,则系统会在安装期间自动为 ACCESS_BACKGROUND_LOCATION 添加 <uses-permission> 元素。
  • 如果您的应用请求了 ACCESS_FINE_LOCATIONACCESS_COARSE_LOCATION,系统会自动将 ACCESS_BACKGROUND_LOCATION 添加到请求中。

在设备升级到 Android 10 后访问

如果用户向您的应用授予设备位置信息访问权限(ACCESS_COARSE_LOCATIONACCESS_FINE_LOCATION),然后将其设备从 Android 9 升级到 Android 10,则系统会自动更新应用已获取的基于位置信息的那组权限。您的应用在升级后接收的那组权限取决于应用的目标 SDK 版本及其定义的权限,如下表所示:

表 1. 设备升级到 Android 10 之后位置信息使用权限状态发生的变化

目标平台版本 是否授予了粗略或
精确位置信息权限?
清单中是否
定义了后台权限?
更新后的默认权限状态
Android 10 前台和后台访问权
Android 10 仅前台访问权
Android 10 (被系统忽略) 无访问权
Android 9 或更低版本 在设备升级时由系统自动添加 前台和后台访问权
Android 9 或更低版本 (被系统忽略) 无访问权限

请注意,即使在系统自动更新应用对设备位置信息的访问权限之后,用户仍然可以更改这种访问权限级别。例如,用户可以选择让应用只能在前台访问位置信息,或者完全撤消使用权。在尝试访问设备的位置信息之前,尤其是在前台服务中,您的应用应检查用户是否仍然允许您的应用接收此类位置信息。

在 Android 10 设备上更新目标 API 级别时会撤消访问权限

假设您的应用已安装在搭载 Android 10 的设备上。在这种情况下,如果您将应用更新为以 Android 10 为目标平台,设备会撤消 ACCESS_BACKGROUND_LOCATION 权限。

如需详细了解如何在应用在后台运行时检索设备的位置信息,请参阅有关如何定期接收位置信息更新的指南。

针对从后台启动 activity 的限制

从 Android 10 开始,系统会增加针对从后台启动 activity 的限制。此项行为变更有助于最大限度地减少对用户造成的中断,并且可以让用户更好地控制其屏幕上显示的内容。只要您的应用启动 activity 是因用户互动直接引发的,该应用就极有可能不会受到这些限制的影响。

如需详细了解从后台启动 activity 的建议替代方法,请参阅有关如何在应用中提醒用户注意有时效性的事件的指南。

标识符和数据

本部分列出了针对如何使用标识符和数据的变更。

移除了联系人关系密切程度

从 Android 10 开始,平台不再跟踪联系人亲密程度信息。因此,如果您的应用对用户的联系人进行搜索,系统将不会按互动频率对搜索结果排序。

有关 ContactsProvider 的指南包含一项说明特定字段和方法已废弃的声明(从 Android 10 开始,这些字段和方法在所有设备上已作废)。

随机分配 MAC 地址

默认情况下,在搭载 Android 10 或更高版本的设备上,系统会传输随机分配的 MAC 地址。

如果您的应用处理企业使用场景,平台会提供 API,用于执行与 MAC 地址相关的几个操作:

  • 获取随机分配的 MAC 地址:设备所有者应用和资料所有者应用可以通过调用 getRandomizedMacAddress() 检索分配给特定网络的随机分配 MAC 地址。
  • 获取实际的出厂 MAC 地址:设备所有者应用可以通过调用 getWifiMacAddress() 检索设备的实际硬件 MAC 地址。此方法对于跟踪设备队列非常有用。

对 /proc/net 文件系统的访问权限实施了限制

在搭载 Android 10 或更高版本的设备上,应用无法访问 /proc/net,其中包含与设备的网络状态相关的信息。需要访问此信息的应用(如 VPN)应使用 NetworkStatsManagerConnectivityManager 类。

对不可重置的设备标识符实施了限制

从 Android 10 开始,应用必须具有 READ_PRIVILEGED_PHONE_STATE 特许权限才能访问设备的不可重置标识符(包括 IMEI 和序列号)。

受影响的方法包括:

如果您的应用没有该权限,但您仍尝试查询不可重置标识符的相关信息,则 Android 平台的响应会因目标 SDK 版本而异:

  • 如果应用以 Android 10 或更高版本为目标平台,则会发生 SecurityException
  • 如果应用以 Android 9(API 级别 28)或更低版本为目标平台,则相应方法会返回 null 或占位符数据(如果应用具有 READ_PHONE_STATE 权限)。否则,会发生 SecurityException

许多使用场景都不需要不可重置的设备标识符。例如,如果您的应用将不可重置的设备标识符用于广告跟踪或用户分析目的,请为这些特定使用场景使用 Android 广告 ID。如需了解详情,请参阅唯一标识符的最佳实践

限制了对剪贴板数据的访问权限

对于 Android 10 或更高版本,除非您的应用是默认输入法 (IME) 或是目前聚焦的应用,否则它无法访问剪贴板中的数据。

保护 USB 设备序列号

如果您的应用以 Android 10 或更高版本为目标平台,则该应用只能在用户授予其访问 USB 设备或配件的权限后才能读取序列号。

如需详细了解如何使用 USB 设备,请参阅有关如何配置 USB 主机的指南。

摄像头和连接性

本部分列出了针对摄像头元数据和连接 API 的变更。

对访问摄像头详情和元数据的权限实施了限制

Android 10 更改了 getCameraCharacteristics() 方法默认返回的信息的广度。具体而言,您的应用必须具有 CAMERA 权限才能访问此方法的返回值中可能包含的设备特定元数据。

如需详细了解这些变更,请参阅关于需要权限的相机字段的部分。

对启用和停用 WLAN 实施了限制

以 Android 10 或更高版本为目标平台的应用无法启用或停用 Wi-Fi。WifiManager.setWifiEnabled() 方法始终返回 false

如果您需要提示用户启用或停用 Wi-Fi,请使用设置面板

对直接访问已配置的 Wi-Fi 网络实施了限制

为了保护用户隐私,只有系统应用和设备政策控制器 (DPC) 支持手动配置 Wi-Fi 网络列表。给定 DPC 可以是设备所有者,也可以是资料所有者。

如果应用以 Android 10 或更高版本为目标平台,并且应用不是系统应用或 DPC,则下列方法不会返回有用数据:

如果您的应用需要连接到 WLAN 网络,请使用以下备用方法:

一些电话 API、蓝牙 API 和 WLAN API 需要精确位置权限

如果应用以 Android 10 或更高版本为目标平台,则它必须具有 ACCESS_FINE_LOCATION 权限才能使用 WLAN、WLAN 感知或蓝牙 API 中的一些方法。以下部分列出了受影响的类和方法。

电话

WLAN

蓝牙

权限

本部分介绍了 Android 权限模型的相关更新。

限制对屏幕内容的访问

为了保护用户的屏幕内容,Android 10 更改了 READ_FRAME_BUFFERCAPTURE_VIDEO_OUTPUTCAPTURE_SECURE_VIDEO_OUTPUT 权限的作用域,从而禁止以静默方式访问设备的屏幕内容。从 Android 10 开始,这些权限只能通过签名访问

需要访问设备屏幕内容的应用应使用 MediaProjection API,此 API 会显示要求用户同意访问的提示。

面向用户的权限检查(针对旧版应用)

如果您的应用以 Android 5.1(API 级别 22)或更低版本为目标平台,则用户首次在搭载 Android 10 或更高版本的设备上使用您的应用时,系统会向其显示权限屏幕,如图 1 所示。此屏幕可以让用户撤消系统先前在安装时授予您应用的访问权限。

对话框的屏幕截图
图 1. 面向用户的对话框,允许查看旧版权限

身体活动识别

Android 10 针对需要检测用户步数或对用户的身体活动(例如步行、骑车或坐车)进行分类的应用引入了 android.permission.ACTIVITY_RECOGNITION 运行时权限。此项权限旨在让用户了解设备传感器数据在“设置”中的使用方式。

除非用户已向您的应用授予此权限,否则 Google Play 服务中的一些库(例如 Activity Recognition APIGoogle Fit API)不会提供结果。

设备上要求您声明此权限的内置传感器只有计步器步测器传感器。

如果您的应用以 Android 9(API 级别 28)或更低版本为目标平台,只要您的应用满足以下各项条件,系统会根据需要自动向您的应用授予 android.permission.ACTIVITY_RECOGNITION 权限:

  • 清单文件包含 com.google.android.gms.permission.ACTIVITY_RECOGNITION 权限。
  • 清单文件包含 android.permission.ACTIVITY_RECOGNITION 权限。

如果系统自动授予 android.permission.ACTIVITY_RECOGNITION 权限,当您将应用更新为以 Android 10 为目标平台后,您的应用会保留此权限。不过,用户可以随时在系统设置中撤消此权限。

从界面中移除了权限组

从 Android 10 开始,应用无法在界面中查询权限的分组方式