苹果在官网发布的《即将发布的第三方SDK要求》中指出，SDK能够为App带来很多的便利，但也可能会对用户的隐私产生一定的影响，所以当App集成SDK时，需要对其使用的SDK包含的所有代码负责，并且切实了解SDK的数据收集和使用实践。因此，苹果在WWDC上宣布了新的SDK隐私清单和签名要求，旨在帮助大家更好地了解第三方SDK的数据处理方式。同时，Xcode会在开发者准备上架和分发App时，为其提供一份由此App所嵌入的所有的SDK的隐私清单合并成的一份报告，使得开发者能够基于此报告真正全面了解SDK的数据处理情况，从而创建更准确的隐私标签，切实保障用户的知情权。

苹果官网发布的《即将发布的第三方SDK要求》中指出，苹果提出的SDK 隐私清单和签名要求目前强制适用于App常用的86款SDK，官网的截图具体如下：

SDK隐私清单可以清晰的披露SDK的数据处理情况，如果一个App集成了多款SDK，苹果的Xcode工具会将App使用的所有第三方SDK的隐私清单合并为一个简单易读的隐私报告，帮助开发者更好地了解App中SDK的数据处理情况。App开发者可以通过执行以下操作来创建隐私报告：

1. 在Xcode中打开项目；
2. 选择“产品”>“存档”，Xcode会创建归档并在管理器中显示它；
3. 按住Control键点按管理器中的归档，然后选取“生成隐私报告”；
4. 选择保存隐私报告的位置；
5. 切换到Finder；
6. 导航到保存隐私报告的位置，然后双击以在“预览”中打开报告。

苹果官网发布的《即将发布的第三方SDK要求》中指出，苹果现在推出了SDK签名功能，在上述86款SDK用作二进制文件依赖项的情况下，需要采用签名功能，因为用作二进制依赖项的SDK是以二进制文件形式存在的预编译完成的代码库或框架，可以直接被链接至App，可能存在被篡改的风险，所以当App将新版本的SDK作为已编译好的代码库或框架（二进制文件）集成至App中时，Xcode将验证它是否由同一开发者签名，验证一致后才可以继续进行编译，从而通过确保SDK未被篡改的一致性来提高软件供应链的完整性。

苹果官网文档中指出，App或SDK在使用某些API来实现核心功能时，可能会存在滥用API以尝试识别设备或用户的问题，这也被称为指纹识别，但是无论用户是否授予App跟踪权限，指纹识别都是苹果所禁止的行为，所以苹果新增要求App和 SDK阐述在iOS、iPadOS、Apple tvOS、visionOS或watchOS上使用5类特殊API的原因，以便于检查是否仅出于预期目的来使用这些API，从未更好地保护用户隐私。

苹果官网文档中指出，原则上开发者只能基于上述列表中的原因来使用这5类API，但是苹果也会持续审核使用API的原因，并将不时地更新上述原因列表。如果开发者确实是基于有益于用户的考虑，需要基于原因列表外的其他原因来使用这5类API，则开发者可以给苹果发送请求以增加新的原因。

最后，苹果官网文档中指出，新的隐私保护要求从2024年春季开始实施，但其实从2023年秋季开始，苹果就已经开始检查，并针对有问题的开发者进行邮件通知。因此，相关开发者现在需要进行内部梳理，落实苹果的隐私新规，避免影响产品上架使用。

（文章来源：CCIA数据安全工作委员会）