Mitä App Tracking Transparency Todella Hallitsee

ATT on lupaportti, jota Apple valvoo iOS:ssä ja iPadOS:ssä. Kun sovellus haluaa käyttää laitteen Identifier for Advertisers (IDFA) -tunnistetta tai suorittaa seurantaa, joka yhdistää käyttäjän muiden operaattoreiden sovelluksiin ja verkkosivustoihin, sen on kutsuttava requestTrackingAuthorization ja näytettävä järjestelmäkehote, joka pyytää käyttäjää sallimaan tai estämään seurannan. Käyttäjän vastaus on binaarinen, pysyvä kunnes hän muuttaa sitä Asetuksissa, ja sovelluksen näkyvissä trackingAuthorizationStatus API:n kautta.

Applen Seurannan Määritelmä

Applen kehittäjäohje määrittelee seurannan tarkasti ja suppeasti: sovelluksestasi kerättyjen käyttäjä- tai laitetietojen yhdistäminen muiden yritysten sovelluksista, verkkosivustoilta tai offline-ominaisuuksista kerättyihin käyttäjä- tai laitetietoihin kohdennettua mainontaa tai mittausta varten tai käyttäjä- tai laitetietojen jakaminen datavälittäjille. Määritelmä jättää tarkoituksella ulkopuolelle sovelluksen sisäisen ensimmäisen osapuolen tietojen käytön, anonyymit kokonaisanalytiikkatiedot ja petoksen ehkäisemiseen tai lainsäädännön noudattamiseen liittyvän käsittelyn — nämä toiminnot eivät vaadi ATT-kehotetta riippumatta siitä, onko se myönnetty.

Mitä ATT Ei Tee

ATT ei ole GDPR:n mukainen suostumuksen hallintajärjestelmä. Se ei kerää yksityiskohtaisia käyttötarkoitusmieltymyksiä, ei tallenna suostumustositetta politiikan versionhallinnalla, ei välitä signaaleja WKWebView:n sisällä oleville web-toimittajille eikä täytä evästeiden tallentamisen tai lukemisen laillisen perustan vaatimusta käyttäjän laitteella. Julkaisija, joka käsittelee ATT-kehotetta koko vaatimustenmukaisuusasentonaan hybridisovellukselle, on yksi viranomaisen kirje päässä sakosta, koska evästeiden lataus verkkonäkymässä on erillinen tapahtuma ePrivacyn nojalla ja tarvitsee oman suostumustasonsa.

Miten GDPR ja ePrivacy Soveltuvat WKWebView:n Sisällä

Hybridisovelluksen sisäinen verkkonäkymä ei ole maagisesti vapautettu säännöistä, jotka koskevat pöytätietokoneselaimia. Heti kun WKWebView lukee tai kirjoittaa evästeen, joka ei ole ehdottoman välttämätön, ePrivacy aktivoituu. Heti kun WKWebView lähettää analytiikka- tai mainospyynnön, joka sisältää henkilötietoja, GDPR aktivoituu. Applen kontti ei muuta analyysia — se mikä muuttuu, on toteutuspinta, koska suostumusbannerin on esityttävä verkkonäkymässä ja suostumustilan on oltava natiivin koodin nähtävissä, joka saattaa myös lukea samoja tietoja.

Banneri Verkkonäkymässä

Standardimalli on esittää CMP-banneri WKWebView:ssä samalla tavalla kuin verkkosivustolla. Banneri asettaa evästeet verkkonäkymän evästevarastoon, käynnistää suostumuspäivitystapahtuman sivun JavaScript-kontekstissa ja päivittää Google Consent Mode v2 -tilakoneen, jota sivun analytiikka- ja mainontatapit lukevat. Toteutus ei eroa normaalista web-CMP:stä — mikä eroaa, on se, että evästevarasto on rajattu WKWebView:hin eikä näy muille sovelluksille tai Safarille, mikä on hyödyllistä eristämisen kannalta, mutta epäkäytännöllistä jos julkaisija pyörittää myös verkkosivustoa, jossa käyttäjä on jo antanut suostumuksensa.

Suostumuksen Jakaminen Verkkonäkymän ja Natiivikuoren Välillä

Vaikeampi ongelma on silta WKWebView:n ja natiivikuoren välillä. Natiivikuorella voi olla oma analytiikka-SDK, joka lukee IDFA:ta sen jälkeen kun käyttäjä on myöntänyt ATT:n, kun taas verkkonäkymällä on oma suostumusbanneri, jonka käyttäjä on saattanut hyväksyä tai ei. Jos käyttäjä myöntää ATT:n mutta hylkää mainonnan suostumuksen verkkonäkymässä, natiivi-SDK voi silti lukea IDFA:ta, mutta verkkonäkymän tapit eivät saa tehdä niin. Jos käyttäjä kieltää ATT:n mutta hyväksyy verkkonäkymän mainonnan suostumuksen, natiivi-SDK on estetty mutta verkkonäkymän tappien pitäisi silti laueta — vaikka natiivi-SDK:n IDFA-pohjainen tunniste ei tietenkään voi kulkea sillan läpi. Siistein malli on yksi totuuden lähde — CMP — joka on paljastettuna JavaScript-sillan kautta, jota natiivikuori lukee sovelluksen käynnistyksen yhteydessä ja jokaisen suostumuksen muutoksen yhteydessä, sekä rinnakkainen ATT-kehote, joka nojaa CMP:n mainontapäätökseen uudelleen kysymisen sijaan.

CPRA ja Yhdysvaltain Osavaltiotaso

Yhdysvaltalaisille julkaisijoille tilanne sisältää kolmannen tason. CPRA sekä Virginian, Coloradon, Connecticutin ja Utahin seuraamat osavaltiolait kohtelevat IDFA:ta samalla tavalla kuin web-evästeitä — molemmat ovat henkilötietoja, joiden myyminen tai jakaminen laukaisee kieltäytymisoikeuden. Global Privacy Control -otsikko, jonka web-selaimet lähettävät, on kuluttajalle näkyvä signaali, ja IAB:n Multi-State Privacy Agreement (MSPA) siihen liittyvine US Privacy String -merkkijonoineen on julkaisijalle näkyvä signaali. Yhdysvalloissa julkaistavan hybridisovelluksen on tarjottava sovelluksen sisällä linkki "Älä myy tai jaa henkilötietojani", ohjattava tuloksena oleva kieltäytyminen sekä verkkonäkymän CMP:hen että natiivikuoren mittaus-SDK:han, ja kunnioitettava kaikkia saapuvia GPC-otsikoita, jotka saapuvat verkkonäkymään syvälinkin kautta.

Lapset ja COPPA Hybridisovelluksissa

Jos sovellus on luokiteltu lapsille tai sillä on kohtuullinen odotus lapsikäyttäjistä, COPPA Yhdysvalloissa ja GDPR-K-säännökset EU:ssa lisäävät ylimääräisiä rajoituksia ATT:n ja tavanomaisen suostumuksen päälle. IDFA:ta ei saa pyytää lainkaan lapsitileillä, verkkonäkymän mainonnan suostumuksen on oletusarvoisesti oltava kieltäytyminen, ja kaikkien natiivikuoren kolmannen osapuolen SDK:iden on oltava vahvistettuja COPPA-yhteensopiviksi ennen toimittamista. App Storen tarkastus hylkää lapsille luokitellut sovellukset, jotka näyttävät tavanomaisen ATT-kehotteen, mikä on yleinen toteutusvirhe, kun tiimit rakentavat yhden binaariedition kaikille kohderyhmille.

Tekninen Malli, Joka Läpäisee Tarkastuksen

Hybridisovelluksen arkkitehtuuri, joka selviää sekä App Store -tarkastuksesta että EU:n tietosuoja-auditoinnista, sisältää pienen määrän toistettavia elementtejä. CMP-banneri WKWebView:ssä on mainonnan suostumuksen totuuden lähde. ATT-kehote näytetään vasta sen jälkeen kun CMP on ratkaissut tilanteen, vain jos käyttäjä on hyväksynyt mainonnan suostumuksen, ja vain mukautetulla esi-kehotteella, joka selittää mitä seuranta mahdollistaa. JavaScript-silta paljastaa CMP:n suostumustilan natiivikuorelle sovelluksen käynnistyksen yhteydessä ja lähettää tapahtuman jokaisen suostumuksen muutoksen yhteydessä. Natiivikuoren SDK:t on portitettu sekä CMP:n mainonnan suostumuksella että ATT-valtuutustilalla; kumpi tahansa pyyntöä kieltäessään riittää estämään SDK:n.

Esi-kehotteet ja Applen Ohjesääntö

Apple sallii — ja käytännössä odottaa — esi-kehotteen ennen ATT-järjestelmäkehotetta, joka selittää julkaisijan äänellä miksi sovellus haluaa seurannan ja mitä käyttäjä saa vastineeksi. Hyvin kirjoitettu esi-kehote voi nostaa opt-in-tasoja huomattavasti. Mitä Apple ei salli, on esi-kehote, joka yrittää ohittaa järjestelmäkehotteen, joka vääristää kieltäytymisen seurauksia tai joka ehdollistaa sovelluksen toiminnallisuuden seurannan valtuutuksesta. Tarkastajat hylkäävät sovellukset kaikista kolmesta mallista ja yhä useammin esi-kehotteen käyttämisestä opt-inin suuntaan manipuloivalla tekstillä.

Palvelinpuoli ja SKAdNetwork Varajärjestelminä

Kun ATT on kielletty tai mainonnan suostumus on hylätty verkkonäkymässä, julkaisija voi silti turvautua SKAdNetwork:iin attribuutiota varten — Applen tietosuojaa säilyttävä verkosto, joka toimittaa konversiotietoja paljastamatta yksittäisiä käyttäjätunnisteita. SKAdNetwork ei ole ATT:n alainen ja toimii riippumatta käyttäjän suostumuspäätöksestä, mikä tekee siitä oikean oletuksen mittaukselle, kun personoitu polku on suljettu. Palvelimelta palvelimelle tapahtuvat postback-viestit natiivikuoresta julkaisijan omistamaan identiteettipalveluun voivat myös täyttää mittausaukon, edellyttäen että tiedot ovat aidosti ensimmäistä osapuolta eikä niitä yhdistetä muiden operaattoreiden tietoihin tavalla, joka veisi ne takaisin Applen seurannan määritelmän piiriin.

Yleiset Virheet, Jotka Laukaisevat Hylkäyksiä tai Auditointeja

Hybridisovellukset, jotka poistetaan tai sakkoihin, epäonnistuvat yleensä samoilla tavoilla. CMP-banneri WKWebView:ssä laukeaa ennen kuin ATT-kehote on ratkaistu, asettaen evästeitä laitteelle Applen luvan ollessa vielä vireillä — havainto, joka voi johtaa App Store -hylkäykseen. ATT-kehote näytetään ilman esi-kehotetta ja kylmäkäynnistyksellä, tuottaen alhaisia opt-in-tasoja ja hämmentävän käyttäjäkokemuksen, joka lisää poistumisprosenttia. Natiivikuoren analytiikka-SDK lukee IDFA:ta ennen kuin CMP on laukaissut ensimmäisen suostumustapahtumansa, lähettäen henkilötietoja verkon yli ilman selkeää laillista perustetta. Verkkonäkymän suostumustila ja natiivikuoren valtuutustila säilytetään erillisissä varastoissa ilman synkronointia, tuottaen käyttäjän, joka on kieltänyt mainonnan verkkonäkymässä, mutta jonka natiivi mainonta-SDK laukeaa edelleen. Jokainen näistä on yhden tai kahden insinöörityöpäivän korjaus ja regressiotestipäivitys — mutta jokainen on myös täsmälleen se malli, jolla auditoija tai tarkastaja aloittaa.

Loppupäätelmä

ATT ja evästeiden suostumus eivät ole päällekkäisiä tasoja. ATT on lupaportti, joka on rajattu tiettyyn iOS API:n, ja evästeiden suostumus on laillinen peruste tietojen käsittelylle missä tahansa selainluokan ympäristössä, mukaan lukien WKWebView. Hybridisovellus tarvitsee molemmat, kytkettyinä yhteen niin, että käyttäjä näkee yhden johdonmukaisen päätöksen kahden ristiriitaisen kehotteen sijaan, ja niin, että natiivikuori ja verkkonäkymä noudattavat samaa vastausta. Julkaisijat, jotka onnistuvat tässä, toimittavat sovelluksia, jotka läpäisevät tarkastuksen, monetisoituvat luotettavasti eivätkä koskaan näy viranomaisten täytäntöönpanon yhteenvedossa. Julkaisijat, jotka pitävät ATT:ta koko vastauksena tai jotka antavat verkkonäkymän suostumuksen ja natiivikuoren ajautua erilleen, viettävät vuoden 2026 vuorotellen App Store -tarkastuskokouksissa ja auditoinnin vastauskirjeissä. Rakenna silta kerran, kohtele CMP:tä totuuden lähteenä ja anna ATT:n olla iOS-spesifinen lukko jo web-tasolla johdonmukaisen tietosuoja-asennon päälle.