Apa yang Sebenarnya Diatur oleh App Tracking Transparency

ATT adalah gerbang izin yang diterapkan Apple di iOS dan iPadOS. Ketika sebuah aplikasi ingin mengakses Identifier for Advertisers (IDFA) perangkat atau melakukan pelacakan yang menghubungkan pengguna di seluruh aplikasi dan situs web milik operator lain, aplikasi harus memanggil requestTrackingAuthorization dan menampilkan prompt sistem yang meminta pengguna untuk mengizinkan atau menolak pelacakan. Respons pengguna bersifat biner, persisten hingga pengguna mengubahnya di Pengaturan, dan terlihat oleh aplikasi melalui API trackingAuthorizationStatus.

Definisi Pelacakan Apple

Panduan pengembang Apple mendefinisikan pelacakan secara spesifik dan sempit: menghubungkan data pengguna atau perangkat yang dikumpulkan dari aplikasi Anda dengan data pengguna atau perangkat yang dikumpulkan dari aplikasi, situs web, atau properti offline perusahaan lain untuk iklan bertarget atau pengukuran, atau berbagi data pengguna atau perangkat dengan broker data. Definisi tersebut sengaja mengecualikan penggunaan data pihak pertama di dalam aplikasi, analitik agregat anonim, dan pemrosesan untuk pencegahan penipuan atau kepatuhan hukum — aktivitas tersebut tidak memerlukan prompt ATT terlepas dari apakah pengguna telah memberikannya.

Apa yang Tidak Dilakukan ATT

ATT bukan sistem manajemen persetujuan dalam arti GDPR. ATT tidak mengumpulkan preferensi tujuan yang terperinci, tidak merekam tanda terima persetujuan dengan versi kebijakan, tidak menyebarkan sinyal ke vendor web di dalam WKWebView, dan tidak memenuhi persyaratan dasar hukum untuk menyimpan atau membaca cookie di perangkat pengguna. Penerbit yang memperlakukan prompt ATT sebagai postur kepatuhan penuh untuk aplikasi hybrid hanya satu surat regulator dari denda, karena pemuatan cookie di dalam tampilan web adalah peristiwa terpisah di bawah ePrivacy dan membutuhkan lapisan persetujuannya sendiri.

Bagaimana GDPR dan ePrivacy Berlaku di Dalam WKWebView

Tampilan web di dalam aplikasi hybrid tidak secara ajaib dikecualikan dari aturan yang berlaku untuk browser desktop. Saat WKWebView membaca atau menulis cookie yang tidak benar-benar diperlukan, ePrivacy terpicu. Saat WKWebView mengirimkan permintaan analitik atau iklan yang membawa data pribadi, GDPR terpicu. Wadah Apple tidak mengubah analisis — yang berubah adalah permukaan implementasi, karena banner persetujuan harus dirender di dalam tampilan web dan status persetujuan harus terlihat oleh kode native yang mungkin juga membaca data yang sama.

Banner di Dalam Tampilan Web

Pola standarnya adalah merender banner CMP di dalam WKWebView seperti yang Anda lakukan di sebuah situs web. Banner tersebut menetapkan cookie di penyimpanan cookie tampilan web, mengirimkan acara pembaruan persetujuan ke konteks JavaScript halaman, dan memperbarui mesin status Google Consent Mode v2 yang dibaca oleh tag analitik dan iklan halaman. Implementasinya tidak berbeda dari CMP web biasa — yang berbeda adalah bahwa penyimpanan cookie dilingkup ke WKWebView dan tidak terlihat oleh aplikasi lain atau Safari, yang berguna untuk isolasi tetapi tidak berguna jika penerbit juga menjalankan situs web di mana pengguna sudah memberikan persetujuan.

Berbagi Persetujuan antara Tampilan Web dan Cangkang Native

Masalah yang lebih sulit adalah jembatan antara WKWebView dan cangkang native. Cangkang native mungkin memiliki SDK analitik sendiri yang membaca IDFA setelah pengguna memberikan ATT, sementara tampilan web memiliki banner persetujuan sendiri yang mungkin diterima atau ditolak pengguna. Jika pengguna memberikan ATT tetapi menolak persetujuan iklan di tampilan web, SDK native masih bisa membaca IDFA tetapi tag tampilan web tidak boleh. Jika pengguna menolak ATT tetapi menerima persetujuan iklan tampilan web, SDK native diblokir tetapi tag tampilan web tetap harus dijalankan — meskipun pengidentifikasi berbasis IDFA dari SDK native jelas tidak dapat melewati jembatan. Pola terbersih adalah satu sumber kebenaran — CMP — yang diekspos melalui jembatan JavaScript yang dibaca oleh cangkang native saat aplikasi dimulai dan pada setiap perubahan persetujuan, dengan prompt ATT paralel yang mengikuti keputusan iklan CMP daripada bertanya ulang.

Lapisan CPRA dan Negara Bagian AS

Bagi penerbit AS, gambarannya memiliki lapisan ketiga. CPRA, ditambah gugus undang-undang negara bagian yang mengikuti Virginia, Colorado, Connecticut, dan Utah, memperlakukan IDFA sama seperti cookie web — keduanya adalah informasi pribadi yang penjualan atau pembagiannya memicu hak opt-out. Header Global Privacy Control yang dikirim browser web adalah sinyal yang menghadap konsumen, dan Multi-State Privacy Agreement (MSPA) IAB dengan US Privacy String terkaitnya adalah sinyal yang menghadap penerbit. Aplikasi hybrid yang dikirim di AS perlu memaparkan tautan 'Jangan Jual atau Bagikan Informasi Pribadi Saya' di dalam aplikasi itu sendiri, merutekan opt-out yang dihasilkan ke dalam CMP tampilan web dan SDK pengukuran cangkang native, serta menghormati setiap header GPC masuk yang tiba di tampilan web dari tautan mendalam.

Anak-anak dan COPPA di Dalam Aplikasi Hybrid

Jika aplikasi dinilai untuk anak-anak atau memiliki ekspektasi wajar tentang pengguna anak-anak, COPPA di AS dan ketentuan GDPR-K di UE menumpuk pembatasan tambahan di atas ATT dan persetujuan standar. IDFA sama sekali tidak boleh diminta untuk akun anak-anak, persetujuan iklan tampilan web harus default ke tolak, dan setiap SDK pihak ketiga di cangkang native harus dikonfirmasi sesuai COPPA sebelum dikirim. Peninjauan App Store menolak aplikasi berperingkat anak yang menampilkan prompt ATT standar, yang merupakan kesalahan implementasi umum ketika tim membangun satu biner untuk semua audiens.

Pola Rekayasa yang Berhasil Dirilis

Arsitektur aplikasi hybrid yang bertahan dari peninjauan App Store maupun audit privasi UE memiliki sejumlah kecil elemen yang dapat diulang. Banner CMP di dalam WKWebView adalah sumber kebenaran untuk persetujuan iklan. Prompt ATT ditampilkan hanya setelah CMP terselesaikan, hanya jika pengguna menerima persetujuan iklan, dan hanya dengan pra-prompt khusus yang menjelaskan apa yang akan diaktifkan pelacakan. Jembatan JavaScript mengekspos status persetujuan CMP ke cangkang native saat aplikasi dimulai dan mengeluarkan acara pada setiap perubahan persetujuan. SDK cangkang native dijaga oleh persetujuan iklan CMP maupun status otorisasi ATT; salah satu yang menolak permintaan sudah cukup untuk memblokir SDK.

Pra-Prompt dan Pedoman Apple

Apple mengizinkan — dan dalam praktiknya mengharapkan — pra-prompt sebelum prompt sistem ATT yang menjelaskan dengan suara penerbit mengapa aplikasi menginginkan pelacakan dan apa yang didapat pengguna sebagai imbalannya. Pra-prompt yang ditulis dengan baik dapat meningkatkan tingkat opt-in secara substansial. Apa yang tidak diizinkan Apple adalah pra-prompt yang mencoba melewati prompt sistem, yang salah mewakili konsekuensi penolakan, atau yang mengondisikan fungsionalitas aplikasi pada otorisasi pelacakan. Peninjau menolak aplikasi untuk ketiga pola tersebut dan semakin sering karena menggunakan pra-prompt untuk mendorong ke arah opt-in dengan salinan yang manipulatif.

Sisi Server dan SKAdNetwork sebagai Cadangan

Ketika ATT ditolak atau persetujuan iklan ditolak di tampilan web, penerbit masih dapat berfallback ke SKAdNetwork untuk atribusi — jaringan pelestarian privasi Apple yang memberikan data konversi tanpa mengekspos pengidentifikasi pengguna individu. SKAdNetwork tidak tunduk pada ATT dan bekerja terlepas dari keputusan persetujuan pengguna, yang menjadikannya default yang tepat untuk pengukuran ketika jalur yang dipersonalisasi tertutup. Postback server-ke-server dari cangkang native ke layanan identitas milik penerbit juga dapat mengisi kesenjangan pengukuran, asalkan data tersebut benar-benar pihak pertama dan tidak digabungkan dengan data operator lain dengan cara yang menariknya kembali ke definisi pelacakan Apple.

Kesalahan Umum yang Memicu Penolakan atau Audit

Aplikasi hybrid yang ditarik atau didenda cenderung gagal dengan cara yang sama. Banner CMP di dalam WKWebView dijalankan sebelum prompt ATT terselesaikan, menempatkan cookie di perangkat sementara izin Apple masih tertunda — temuan yang dapat mengakibatkan penolakan App Store. Prompt ATT ditampilkan tanpa pra-prompt dan saat pertama kali dibuka, menghasilkan tingkat opt-in yang rendah dan pengalaman pengguna yang membingungkan yang meningkatkan churn. SDK analitik cangkang native membaca IDFA sebelum CMP menjalankan acara persetujuan pertamanya, menempatkan data pribadi di jaringan tanpa dasar hukum yang jelas. Status persetujuan tampilan web dan status otorisasi cangkang native disimpan di penyimpanan terpisah tanpa sinkronisasi, menghasilkan pengguna yang telah menolak iklan di tampilan web tetapi SDK iklan nativenya masih berjalan. Masing-masing dari ini adalah perbaikan satu hingga dua hari kerja rekayasa dan satu siklus pengujian regresi — tetapi masing-masing juga merupakan pola tepat yang dibuka oleh auditor atau peninjau.

Kesimpulan

ATT dan persetujuan cookie bukanlah lapisan yang berlebihan. ATT adalah gerbang izin yang dilingkup ke API iOS tertentu, dan persetujuan cookie adalah dasar hukum untuk memproses data di lingkungan kelas browser apa pun, termasuk WKWebView. Aplikasi hybrid membutuhkan keduanya, dihubungkan bersama sehingga pengguna melihat satu keputusan yang koheren daripada dua prompt yang saling bertentangan, dan sehingga cangkang native dan tampilan web menghormati jawaban yang sama. Para penerbit yang melakukan ini dengan benar mengirimkan aplikasi yang lulus peninjauan, menghasilkan uang secara andal, dan tidak pernah muncul dalam ringkasan penegakan regulator. Para penerbit yang memperlakukan ATT sebagai keseluruhan jawaban atau yang membiarkan persetujuan tampilan web dan cangkang native terpisah menghabiskan 2026 bergantian antara pertemuan peninjauan App Store dan surat respons audit. Bangun jembatan sekali, perlakukan CMP sebagai sumber kebenaran, dan biarkan ATT menjadi kunci khusus iOS di atas postur privasi yang sudah koheren di lapisan web.