מה App Tracking Transparency שולט בפועל

ATT הוא שער הרשאות ש-Apple אוכף ב-iOS וב-iPadOS. כאשר אפליקציה רוצה לגשת ל-Identifier for Advertisers (IDFA) של המכשיר או לבצע מעקב המקשר את המשתמש בין אפליקציות ואתרים השייכים לגורמים אחרים, עליה לקרוא ל-requestTrackingAuthorization ולהציג הנחיית מערכת המבקשת מהמשתמש לאשר או לדחות מעקב. תגובת המשתמש היא בינארית, קבועה עד שהמשתמש ישנה אותה בהגדרות, וגלויה לאפליקציה דרך ה-API של trackingAuthorizationStatus.

הגדרת Apple למעקב

הנחיות המפתחים של Apple מגדירות מעקב באופן ספציפי וצר: קישור נתוני משתמש או מכשיר שנאספו מהאפליקציה שלך עם נתוני משתמש או מכשיר שנאספו מאפליקציות, אתרי אינטרנט או נכסים לא מקוונים של חברות אחרות למטרות פרסום ממוקד או מדידה, או שיתוף נתוני משתמש או מכשיר עם מתווכי נתונים. ההגדרה מוציאה במכוון שימוש צד ראשון בנתונים בתוך האפליקציה, ניתוחים מצטברים אנונימיים ועיבוד למניעת הונאה או ציות משפטי — פעילויות אלו אינן דורשות הנחיית ATT ללא קשר לאם המשתמש העניק אותה.

מה ATT לא עושה

ATT אינו מערכת ניהול הסכמה במובן GDPR. הוא אינו אוסף העדפות מטרה מפורטות, אינו מתעד קבלת הסכמה עם גרסאות מדיניות, אינו מפיץ אותות לספקי אינטרנט בתוך WKWebView, ואינו מספק את דרישת הבסיס החוקי לאחסון או קריאה של עוגיות במכשיר המשתמש. בעל תוכן המתייחס להנחיית ATT כעמדת הציות המלאה שלו לאפליקציה היברידית מרוחק מקנס אחת מכתב רגולטור, מכיוון שטעינת העוגיות בתוך תצוגת האינטרנט היא אירוע נפרד תחת ePrivacy וזקוקה לשכבת הסכמה משלה.

כיצד GDPR ו-ePrivacy חלים בתוך WKWebView

תצוגת האינטרנט בתוך אפליקציה היברידית אינה פטורה בקסם מהכללים החלים על דפדפן שולחן עבודה. ברגע ש-WKWebView קורא או כותב עוגייה שאינה הכרחית לחלוטין, מופעל ePrivacy. ברגע ש-WKWebView שולח בקשת ניתוח או פרסום הנושאת נתונים אישיים, מופעל GDPR. המיכל של Apple אינו משנה את הניתוח — מה שמשתנה הוא פני השטח של היישום, מכיוון שבאנר ההסכמה צריך להרנדר בתוך תצוגת האינטרנט ומצב ההסכמה צריך להיות גלוי לקוד הנייטיב שאולי קורא גם הוא את אותם נתונים.

הבאנר בתוך תצוגת האינטרנט

התבנית הסטנדרטית היא לרנדר באנר CMP בתוך WKWebView בדיוק כפי שהיית עושה באתר אינטרנט. הבאנר מגדיר עוגיות במאגר העוגיות של תצוגת האינטרנט, מפעיל אירוע עדכון-הסכמה בהקשר JavaScript של הדף, ומעדכן את מכונת המצב Google Consent Mode v2 שתגי הניתוח והפרסום של הדף קוראים. היישום אינו שונה מ-CMP רגיל של אינטרנט — מה שכן שונה הוא שמאגר העוגיות מוגבל ל-WKWebView ואינו גלוי לאפליקציות אחרות או ל-Safari, מה שמועיל לבידוד אך אינו מועיל אם בעל התוכן מפעיל גם אתר אינטרנט שבו המשתמש כבר הסכים.

שיתוף הסכמה בין תצוגת האינטרנט ובין המעטפת הנייטיב

הבעיה הקשה יותר היא הגשר בין WKWebView לבין המעטפת הנייטיב. למעטפת הנייטיב עשוי להיות SDK ניתוח משלה הקוראת את IDFA לאחר שהמשתמש הענק ATT, בעוד שלתצוגת האינטרנט יש באנר הסכמה משלה שהמשתמש אולי קיבל ואולי לא. אם המשתמש מעניק ATT אך דוחה הסכמת פרסום בתצוגת האינטרנט, ה-SDK הנייטיב עדיין יכול לקרוא את IDFA אך תגי תצוגת האינטרנט אסורים. אם המשתמש דוחה ATT אך מקבל הסכמת הפרסום של תצוגת האינטרנט, ה-SDK הנייטיב חסום אך תגי תצוגת האינטרנט עדיין צריכים להפעיל — אם כי מזהה המבוסס על IDFA של ה-SDK הנייטיב ברור שאינו יכול לעבור דרך הגשר. התבנית הנקייה ביותר היא מקור אמת אחד — ה-CMP — הנחשף דרך גשר JavaScript שהמעטפת הנייטיב קוראת בהפעלת האפליקציה ובכל שינוי הסכמה, עם הנחיית ATT מקבילה הנסמכת על החלטת הפרסום של ה-CMP במקום לשאול שוב.

שכבת ה-CPRA ומדינות ארה"ב

עבור בעלי תוכן אמריקאיים, לתמונה יש שכבה שלישית. CPRA, בנוסף לאשכול חוקי המדינה שהלכו בעקבות וירג'יניה, קולורדו, קונטיקט ויוטה, מתייחסים ל-IDFA באותו אופן שהם מתייחסים לעוגיות אינטרנט — שניהם מידע אישי שמכירתו או שיתופו מפעילים זכות יציאה. כותרת Global Privacy Control שדפדפני האינטרנט שולחים היא האות הפונה לצרכן, ו-Multi-State Privacy Agreement (MSPA) של IAB עם מחרוזת US Privacy המשויכת היא האות הפונה לבעל תוכן. אפליקציה היברידית הנשלחת לארה"ב צריכה לחשוף קישור "אל תמכור או תשתף את המידע האישי שלי" בתוך האפליקציה עצמה, לנתב את ה-opt-out שנוצר לשניהם CMP של תצוגת האינטרנט ו-SDK מדידה של המעטפת הנייטיב, ולכבד כל כותרת GPC נכנסת המגיעה לתצוגת האינטרנט מקישור עמוק.

ילדים ו-COPPA בתוך אפליקציות היברידיות

אם האפליקציה מדורגת לילדים או שיש כל ציפייה סבירה למשתמשים ילדים, COPPA בארה"ב ותקנות GDPR-K באיחוד האירופי מוסיפים הגבלות נוספות מעבר ל-ATT ולהסכמה הסטנדרטית. לא ניתן לבקש IDFA כלל עבור חשבונות ילדים, הסכמת הפרסום של תצוגת האינטרנט חייבת להיות ברירת המחדל לדחייה, וכל SDK צד שלישי במעטפת הנייטיב חייב להיות מאושר כתואם COPPA לפני שנשלח. בדיקת App Store דוחה אפליקציות מדורגות לילדים המציגות את הנחיית ATT הסטנדרטית, שהיא טעות יישום נפוצה כאשר צוותים בונים קובץ בינארי יחיד לכל הקהלים.

תבנית ההנדסה שנשלחת

ארכיטקטורת האפליקציה ההיברידית ששורדת הן בדיקת App Store והן ביקורת פרטיות של האיחוד האירופי כוללת מספר קטן של אלמנטים שניתן לחזור עליהם. באנר CMP בתוך WKWebView הוא מקור האמת להסכמת פרסום. הנחיית ATT מוצגת רק לאחר שה-CMP נפתר, רק אם המשתמש קיבל הסכמת פרסום, ורק עם הנחייה מקדימה מותאמת המסבירה מה המעקב יאפשר. גשר JavaScript חושף את מצב ההסכמה של CMP למעטפת הנייטיב בהפעלת האפליקציה ופולט אירוע בכל שינוי הסכמה. ה-SDKים של המעטפת הנייטיב כפופים לשניהם הסכמת הפרסום של CMP וסטטוס הרשאת ATT; אחד מהם שמסרב לבקשה מספיק כדי לחסום את ה-SDK.

הנחיות מקדימות והנחיית Apple

Apple מתירה — ובמעשה מצפה — להנחייה מקדימה לפני הנחיית מערכת ATT המסבירה בקול בעל התוכן מדוע האפליקציה רוצה מעקב ומה המשתמש מקבל בתמורה. הנחייה מקדימה הכתובה היטב יכולה להעלות משמעותית את שיעורי ה-opt-in. מה ש-Apple אינה מתירה היא הנחייה מקדימה המנסה לעקוף את הנחיית המערכת, המציגה שגוי את תוצאות הדחייה, או המתנה פונקציונליות האפליקציה בהרשאת מעקב. סוקרים דוחים אפליקציות עבור שלוש התבניות וגם יותר ויותר עבור שימוש בהנחייה המקדימה לכוון לעבר opt-in עם עותק מניפולטיבי.

צד שרת ו-SKAdNetwork כחלופות

כאשר ATT נדחה או הסכמת הפרסום נדחית בתצוגת האינטרנט, בעל התוכן עדיין יכול להסתמך על SKAdNetwork לייחוס — הרשת השומרת על פרטיות של Apple המספקת נתוני המרה מבלי לחשוף מזהי משתמשים בודדים. SKAdNetwork אינו כפוף ל-ATT ופועל ללא קשר להחלטת ההסכמה של המשתמש, מה שהופך אותו לברירת המחדל הנכונה למדידה כאשר הנתיב המותאם אישית סגור. פוסט-בקים מהמעטפת הנייטיב לשירות זהות בבעלות בעל התוכן יכולים גם הם למלא את פער המדידה, בתנאי שהנתונים הם אכן צד ראשון ואינם מצורפים לנתוני גורמים אחרים בדרך המחזירה אותם להגדרת המעקב של Apple.

טעויות נפוצות המפעילות דחיות או ביקורות

האפליקציות ההיברידיות שנמחקות או נקנסות נוטות להיכשל באותם מספר דרכים. באנר CMP בתוך WKWebView מופעל לפני שהנחיית ATT נפתרה, ומניח עוגיות על המכשיר בזמן שהרשאת Apple עדיין בהמתנה — ממצא שעלול לגרום לדחיית App Store. הנחיית ATT מוצגת ללא הנחייה מקדימה ובהפעלה קרה, ומייצרת שיעורי opt-in נמוכים וחוויית משתמש מבלבלת המגדילה נטישה. ה-SDK ניתוח של המעטפת הנייטיב קורא את IDFA לפני ש-CMP הפעיל את אירוע ההסכמה הראשון שלו, ושולח נתונים אישיים על גבי הכבל ללא בסיס חוקי ברור. מצב ההסכמה של תצוגת האינטרנט וסטטוס ההרשאה של המעטפת הנייטיב מוחזקים במאגרים נפרדים ללא סנכרון, ומייצרים משתמש שדחה פרסום בתצוגת האינטרנט אך ה-SDK פרסום הנייטיב שלו עדיין מופעל. כל אחד מאלה הוא תיקון של יום עד יומיים הנדסה ובדיקת רגרסיה — אך כל אחד הוא גם התבנית המדויקת שממנה מתחיל מבקר או סוקר.

סיכום

ATT והסכמה לעוגיות אינם שכבות כפולות מיותרות. ATT הוא שער הרשאות המוגבל ל-API ספציפי של iOS, והסכמה לעוגיות היא בסיס חוקי לעיבוד נתונים בתוך כל סביבה מסוג דפדפן, כולל WKWebView. אפליקציה היברידית זקוקה לשניהם, מחוברים יחד כך שהמשתמש יראה החלטה עקבית אחת ולא שתי הנחיות סותרות, וכך שהמעטפת הנייטיב ותצוגת האינטרנט יכבדו את אותה תשובה. בעלי התוכן שמצליחים עם זה שולחים אפליקציות שעוברות בדיקה, מייצרות הכנסה באופן אמין, ואף פעם אינן מופיעות בסיכום אכיפה של רגולטור. בעלי התוכן שמתייחסים ל-ATT כתשובה המלאה או שמאפשרים להסכמת תצוגת האינטרנט ולמעטפת הנייטיב להתרחק מבלים את 2026 בסירוגין בין פגישות סקירת App Store ומכתבי תגובה לביקורת. בנה את הגשר פעם אחת, התייחס ל-CMP כמקור האמת, והנח ל-ATT להיות המנעול הספציפי ל-iOS מעל עמדת פרטיות שכבר עקבית בשכבת האינטרנט.