Što App Tracking Transparency zapravo regulira

ATT je kapija za dozvole koju Apple primjenjuje na iOS-u i iPadOS-u. Kada aplikacija želi pristupiti Identifier for Advertisers (IDFA) uređaja ili provoditi praćenje koje korisnika povezuje između aplikacija i web-stranica u vlasništvu drugih operatera, mora pozvati requestTrackingAuthorization i prikazati sistemski upit koji traži od korisnika da dozvoli ili odbije praćenje. Korisnikov odgovor je binaran, trajan sve dok ga ne promijeni u Postavkama, i vidljiv aplikaciji putem API-ja trackingAuthorizationStatus.

Appleova definicija praćenja

Appleove smjernice za razvojne programere definiraju praćenje specifično i usko: povezivanje podataka o korisniku ili uređaju prikupljenih iz vaše aplikacije s podacima o korisniku ili uređaju prikupljenim iz aplikacija, web-stranica ili offline svojstava drugih tvrtki za ciljano oglašavanje ili mjerenje, ili dijeljenje podataka o korisniku ili uređaju s posrednicima podataka. Definicija namjerno isključuje korištenje podataka prve strane unutar aplikacije, anonimnu skupnu analitiku i obradu za sprečavanje prijevara ili pravnu usklađenost — te aktivnosti ne zahtijevaju ATT upit bez obzira na to je li korisnik odobrio pristup.

Što ATT ne čini

ATT nije sustav upravljanja privolom u smislu GDPR-a. Ne prikuplja detaljne preferencije svrhe, ne bilježi potvrdu o privoli s verzioniranjem pravila, ne prenosi signale web-dobavljačima unutar WKWebViewa, i ne zadovoljava zahtjev zakonite osnove za pohranu ili čitanje kolačića na korisnikovom uređaju. Izdavač koji ATT upit tretira kao cjelokupni položaj usklađenosti za hibridnu aplikaciju jedno je regulatorno pismo udaljen od novčane kazne, jer je učitavanje kolačića unutar web-prikaza zaseban događaj prema ePrivacyju i zahtijeva vlastiti sloj privole.

Kako se GDPR i ePrivacy primjenjuju unutar WKWebViewa

Web-prikaz unutar hibridne aplikacije nije čarobno izuzet od pravila koja se primjenjuju na pregledavač stolnog računala. Čim WKWebView pročita ili napiše kolačić koji nije neophodan, pokreće se ePrivacy. Čim WKWebView pošalje analitički ili oglasni zahtjev koji nosi osobne podatke, pokreće se GDPR. Appleov kontejner ne mijenja analizu — ono što se mijenja jest površina implementacije, jer se banner privole mora prikazivati unutar web-prikaza, a stanje privole mora biti vidljivo nativnom kodu koji možda i sam čita iste podatke.

Banner unutar web-prikaza

Standardni obrazac je prikazati CMP banner unutar WKWebViewa na isti način kao i na web-stranici. Banner postavlja kolačiće u trgovište kolačića web-prikaza, pokreće događaj ažuriranja privole u JavaScript kontekstu stranice i ažurira stroj stanja Google Consent Mode v2 koji čitaju analitičke i oglasne oznake stranice. Implementacija se ne razlikuje od normalne web CMP platforme — ono što se razlikuje jest da je trgovište kolačića ograničeno na WKWebView i nije vidljivo drugim aplikacijama ni Safariju, što je korisno za izolaciju, ali nekorisno ako izdavač vodi i web-stranicu na kojoj je korisnik već dao privolu.

Dijeljenje privole između web-prikaza i nativne ljuske

Teži problem jest most između WKWebViewa i nativne ljuske. Nativna ljuska može imati vlastiti SDK za analitiku koji čita IDFA nakon što je korisnik odobrio ATT, dok web-prikaz ima vlastiti banner privole koji korisnik možda jest ili nije prihvatio. Ako korisnik odobri ATT, ali odbije oglasnu privolu u web-prikazu, nativni SDK i dalje može čitati IDFA, ali oznake web-prikaza ne smiju. Ako korisnik odbije ATT, ali prihvati oglasnu privolu web-prikaza, nativni SDK je blokiran, ali oznake web-prikaza i dalje se trebaju pokrenuti — premda identifikator temeljen na IDFA nativnog SDK-a očito ne može proći kroz most. Najurednije rješenje jest jedini izvor istine — CMP — izložen kroz JavaScript most koji nativna ljuska čita pri pokretanju aplikacije i pri svakoj promjeni privole, uz paralelni ATT upit koji se oslanja na oglasnu odluku CMP-a umjesto ponovnog pitanja.

Razina CPRA-e i američkih saveznih država

Za američke izdavače slika ima treći sloj. CPRA, zajedno s grupom državnih zakona koji su uslijedili nakon Virginije, Colorada, Connecticuta i Utaha, tretira IDFA na isti način kao i web-kolačiće — oboje su osobni podaci čija prodaja ili dijeljenje pokreće pravo na odjavu. Zaglavlje Global Privacy Control koje web-preglednici šalju potrošački je signal, a Multi-State Privacy Agreement (MSPA) IAB-a s pridruženim US Privacy Stringom je signal usmjeren izdavačima. Hibridna aplikacija koja se isporučuje u SAD-u mora unutar same aplikacije izložiti vezu "Ne prodajte ni dijelite moje osobne podatke", preusmjeriti nastalu odjavu i u CMP web-prikaza i u SDK za mjerenje nativne ljuske, te poštivati svako dolazno GPC zaglavlje koje stiže u web-prikaz putem duboke veze.

Djeca i COPPA unutar hibridnih aplikacija

Ako je aplikacija ocijenjena za djecu ili postoji ikakvo razumno očekivanje korisnika djece, COPPA u SAD-u i odredbe GDPR-K u EU-u dodaju dodatna ograničenja povrh ATT-a i standardne privole. IDFA se ne smije tražiti za dječje račune, oglasna privola web-prikaza mora biti u zadanom stanju odbijanja, a svaki SDK treće strane u nativnoj ljusci mora biti potvrđen kao usklađen s COPPA-om prije isporuke. App Store pregled odbija aplikacije namijenjene djeci koje prikazuju standardni ATT upit, što je uobičajena pogreška u implementaciji kada timovi grade jedan binarni kod za sve publike.

Inženjerski obrazac koji prolazi

Arhitektura hibridne aplikacije koja preživi i pregled App Storea i EU reviziju privatnosti ima mali broj ponavljajućih elemenata. CMP banner unutar WKWebViewa izvor je istine o oglasnoj privoli. ATT upit prikazuje se tek nakon što CMP razriješi situaciju, samo ako je korisnik prihvatio oglasnu privolu, i samo uz prilagođeni predupir koji objašnjava što će praćenje omogućiti. JavaScript most izlaže stanje privole CMP-a nativnoj ljusci pri pokretanju aplikacije i emitira događaj pri svakoj promjeni privole. SDK-ovi nativne ljuske uvjetovani su i oglasnom privolom CMP-a i statusom autorizacije ATT-a; odbijanje zahtjeva od strane bilo kojeg od njih dovoljno je za blokiranje SDK-a.

Predupiri i Appleova smjernica

Apple dopušta — i u praksi očekuje — predupir prije sistemskog upita ATT koji glasom izdavača objašnjava zašto aplikacija želi praćenje i što korisnik dobiva zauzvrat. Dobro napisan predupir može značajno povećati stope opt-ina. Što Apple ne dopušta jest predupir koji pokušava zaobići sistemski upit, koji pogrešno prikazuje posljedice odbijanja ili koji uvjetuje funkcionalnost aplikacije autorizacijom praćenja. Pregledavatelji odbijaju aplikacije za sva tri obrasca, a sve više i za korištenje predupira kojim se korisnik manipulativnim tekstom tjera prema opt-inu.

Serverska strana i SKAdNetwork kao zamjene

Kada je ATT odbijen ili je oglasna privola odbijena u web-prikazu, izdavač se još uvijek može osloniti na SKAdNetwork za atribuciju — Appleova mreža za očuvanje privatnosti koja isporučuje podatke o konverzijama bez otkrivanja individualnih korisničkih identifikatora. SKAdNetwork nije podložan ATT-u i funkcionira bez obzira na korisnikovu odluku o privoli, što ga čini ispravnim zadanim rješenjem za mjerenje kada je personalizirani put zatvoren. Postback poruke s nativne ljuske na servis identiteta u vlasništvu izdavača, od poslužitelja do poslužitelja, također mogu popuniti mjernu prazninu, pod uvjetom da su podaci doista prve strane i da se ne spajaju s podacima drugih operatera na način koji bi ih vratio u Appleovu definiciju praćenja.

Uobičajene pogreške koje pokreću odbijanja ili revizije

Hibridne aplikacije koje bivaju uklonjene ili novčano kažnjene obično propadaju na isti malen broj načina. CMP banner unutar WKWebViewa pokreće se prije nego što je ATT upit razriješen, postavljajući kolačiće na uređaj dok je Appleova dozvola još na čekanju — nalaz koji može rezultirati odbijanjem App Storea. ATT upit prikazuje se bez predupira i pri hladnom pokretanju, što proizvodi niske stope opt-ina i zbunjujuće korisničko iskustvo koje povećava odljev. SDK za analitiku nativne ljuske čita IDFA prije nego što CMP pokrene prvi događaj privole, šaljući osobne podatke prema van bez jasne zakonite osnove. Stanje privole web-prikaza i stanje autorizacije nativne ljuske čuvaju se u zasebnim pohranama bez sinkronizacije, čime se dobiva korisnik koji je odbio oglašavanje u web-prikazu, ali čiji nativni oglasni SDK i dalje radi. Svaki od ovih problema popravlja se za jedan do dva inženjerska dana uz prolaz regresijskog testiranja — ali svaki je i točno onaj obrazac kojim revizor ili pregledavatelj počinje.

Zaključak

ATT i privola za kolačiće nisu redundantni slojevi koji se preklapaju. ATT je kapija za dozvole ograničena na specifični iOS API, a privola za kolačiće zakonita je osnova za obradu podataka unutar svake okoline klase preglednika, uključujući WKWebView. Hibridna aplikacija treba oboje, međusobno povezano tako da korisnik vidi jednu koherentnu odluku umjesto dva proturječna upita, i da nativna ljuska i web-prikaz poštuju isti odgovor. Izdavači koji to ispravno urade isporučuju aplikacije koje prolaze pregled, pouzdano se monetiziraju i nikada ne pojavljuju u regulatornom sažetku izvršnih mjera. Izdavači koji ATT tretiraju kao cjelokupan odgovor ili koji dopuštaju da se privola web-prikaza i nativna ljuska razilaze, 2026. godinu provode naizmjenično između sastanaka za pregled App Storea i pisama s odgovorima na revizije. Izgradite most jednom, tretirajte CMP kao izvor istine i pustite ATT da bude zaključanica specifična za iOS povrh položaja privatnosti koji je već koherentan na razini weba.