一、背景

2020年6月29日，抖音海外版TikTok因为频繁读取用户剪贴板内容引争议，甚至被作为将其驱逐出海外市场的导火索。

近日，职场社交应用LinkedIn也被爆出存在监听用户剪贴板的行为，领英随后发表声明，LinkedIn iOS 客户端并不会存储或传输用户的剪贴板内容，这只是一个技术bug，且针对该 bug 的修复程序正在开发中，并且会尽快向用户提供。

二、访问剪贴板常用场景

a)提高用户体验

1.使用手机号登录的时候通过监控剪贴板读取验证码，自动填入

b)分享

2. 分享的时候把链接或是分享码写入剪切板

3. 监控发现复制了其他应用分享码的时候，自动跳转至对应内容

c)正常功能

4. 复制/粘贴

d)其他

5)非法获取用户隐私数据

由此可见，虽然读取剪贴板行为非常敏感，但也存在正常使用场景。

三、使用方法

a)针对AndroidQ以下版本：

无需调用任何系统权限，通过ClipboardManager方法调用。具体可以参考安卓官方开发文档：https://developer.android.com/reference/android/content/ClipboardManager

b)针对AndroidQ及后续版本：

AndroidQ增加了对剪贴板的访问控制，除非应用是默认输入法编辑器（IME）或具有焦点的应用程序，否则无法获取剪贴板内容。

同时，Android Q 上新增 READ_CLIPBOARD_IN_BACKGROUND 权限限制应用后台获取剪贴板内容。由于 READ_CLIPBOARD_IN_BACKGROUND 权限是签名 signature 级别的权限，因此三方应用无法通过授权获取该权限在后台获取剪贴板内容。应用只有在具有焦点时才能获取剪贴板内容。

四、对App运营方建议

目前四部门的监管文件和各种标准中，并没有明确的对访问剪贴板内容的直接要求。但是随着近年来社会上对隐私保护的重视和媒体关注，日后有发酵的可能。我们建议App运营方针对该项侵犯用户隐私的行为进行自查，并按下述方法整改：

• 检查目前App中调用ClipboardManager的相关代码，梳理其使用场景，注意避免在后台的读取剪贴板行为；
• 读取剪贴板行为应尽量由用户通过App功能调用触发；
• 如果确实因为业务需要而访问剪贴板内容，建议调整隐私政策，增加对该项行为的目的描述，并严格控制真实使用目的没有超过告知范围。