[iOS] Privacy Manifest 정리 ( feat.privacy_scanner )

Privacy Manifest 대응을 위해 간단히 정리해 보고자 한다.

우연히 찾았던 techinpark님의 privacy manifest scanner

어떠한 항목에 대해 작성해야 할지 잘 모르겠다면 한 번 사용해 보면 좋을 것 같다.

GitHub - techinpark/ios_privacy_manifest_scanner: scan your Xcode Swift project for required reason API usage

 

 

---

Privacy Manifest File

수집하는 데이터와 Required Reason API를 사용하는 이유를 명시한 파일이다.

Property List로 개인이 만든 애플리케이션뿐만 아니라 타사 SDK에서도 수집한 데이터와 API를 사용하는 이유에 대해서 명시해야 한다.또한, 외부 SDK 요구사항에 ‘Privacy Manifest와 서명이 필요한 SDK(SDKs that require a privacy manifest and signature)’라고 적혀있다면 외부 SDK에 Privacy manifest 파일을 추가해주어야 한다.

개인 앱의 Privacy Manifest File과 사용하는 외부 SDK의 Privacy Manifest File을 통합하여 Privacy Report를 만들 수 있다. Privacy Report를 App Store Connect에 함께 등록하면 대응할 수 있게 된다.

1. Privacy Manifest File 생성하기

- App Privacy 파일을 생성하기 + 타겟 설정

- 생성하게 되면 PrivacyInfo.xcprivacy라는 파일이 생성된다.

2. PrivacyInfo.xcprivacy

4가지의 속성을 추가할 수 있다.

(1) NSPrivacyTracking

- App Tracking Transparency framework에 정의된 대로 추적을 위해 데이터를 사용하는지 여부를 나타내는 Boolean값이다.

User Privacy and Data Use - App Store - Apple Developer

(2) NSPrivacyTrackingDomains

- 추적에 사용되는 인터넷 도메인을 나열한 String 배열이다. 만약 유저가 App Tracking Transparency framework를 통해 추적 권한을 주지 않으면 이러한 도메인에 대한 네트워크 요청이 실패하고 오류가 발생한다.

(3) NSPrivacyCollectedDataTypes

- Dictionary 배열로 수집하는 데이터 항목을 나타낸다. 

- 상당히 많은 종류의 키값이 존재한다. 연락처 정보부터 시작해 건강, 결제, 위치 등등 아래의 링크에서 필요한 것이 어떤 것인지 찾아보자

Describing data use in privacy manifests | Apple Developer Documentation

(4) NSPrivacyAccessedAPITypes

- Dictionary 배열로 접근하는 API 타입을 나타낸다. API 타입은 Required Reason API로 지정되어 있다.

3. 수집 항목 나타내기 (NSPrivacyCollectedDataTypes)

- 수집한 데이터 항목과 Required Reason API에 대한 이유를 명시해야 한다고 했으니 수집한 데이터 항목을 명시하는 방법부터 알아보자.

- 수집항목은 Privacy Manifest File의 NSPrivacyCollectedDataTypes를 통해 나타낼 수 있다. 딕셔너리 배열 타입으로, 키값으로는 아래와 같은 항목을 사용할 수 있다.

(1) NSPrivacyCollectedDataType: 수집하는 데이터 타입을 식별할 수 있는 String이다. 아래의 데이터 유형 항목에서 앱 또는 타사 SDK가 수집하는 데이터와 일치하는 값을 선택해야 한다. 앞서 설명했던 연락처 정보, 결제, 건강 등에 대한 키값과 설명을 확인하면 된다.

(2) NSPrivacyCollectedDataTypeLinked: 데이터 유형을 사용자의 ID에 연결하는지 여부를 나타내는 Boolean 값이다. 예를 들어, 광고와 관련된 SDK를 사용하고 있을 경우, 광고 SDK에서 현재 사용자를 특정할 수 있는 데이터 유형이 있다면 True, 없다면 False로 처리하면 된다.

App Privacy Details - App Store - Apple Developer

(3) NSPrivacyCollectedDataTypePurposes: 데이터를 수집하는 이유를 나열하는 문자열 배열이다.

4. Required Reason API 사용 목적 나타내기

- API의 사용 목적은 NSPrivacyAccessedAPITypes에서 명시할 수 있다.

(1) Key 값

- NSPrivacyAccessedAPIType: 앱이 사용하는 필수 API의 카테고리를 식별하는 문자열이다.

- NSPrivacyAccessedAPITypeRasons: 앱이 API를 사용하는 이유를 식별하는 문자열 배열이다.

(2) UserDefaults도 사용 목적을 명시하여야 한다.

- 아래의 이미지는 사용 이유들에 대한 값들이다.

- 실제로 UserDefaults와 관련해 앱 내에서 단순한 목적으로 사용 중이기에 아래와 같이 선택하여 제출했다.

[ 주의 사항 ]

- 수집된 데이터 항목과 사용목적을 명시할 때는 공식 문서에서 제공된 항목만을 키 & 밸류로 설정할 수 있다. 커스텀할 경우, 리젝사유가 될 수도 있다는 것을 알아두자.

5. Privacy Report

- 마지막으로 외부 SDK와 앱 내의 Privacy Manifest File을 가지고 Privacy Report를 만들면 된다.

(1) Product → Archive 진행

(2) Organizer에서 Archive를 우클릭하여 Generate Privacy Report를 선택하자.

이제 저장할 위치를 선택하고, 앱스토어 커넥트에서 앱이 수집하는 개인정보를 채워주면 된다.