Hvað App Tracking Transparency stjórnar í raun

ATT er leyfisgátt sem Apple framfylgir í iOS og iPadOS. Þegar forrit vill fá aðgang að Identifier for Advertisers (IDFA) tækisins eða framkvæma rekjanlegar aðgerðir sem tengja notandann þvert á forrit og vef í eigu annarra rekstraraðila, verður það að kalla á requestTrackingAuthorization og birta kerfisglugga sem biður notandann um að leyfa eða neita rekjanleika. Svar notandans er tvíþætt, varanleg þar til það er breytt í Stillingum, og forriti sýnilegt í gegnum trackingAuthorizationStatus API.

Skilgreining Apple á rekjanleika

Þróunarhandbók Apple skilgreinir rekjanleika sérstaklega og þröngt: tengja notanda- eða tækigögn safnað úr forritinu þínu við notanda- eða tækigögn safnað frá forritum, vefsíðum eða ótengdum eignum annarra fyrirtækja í þeim tilgangi að nota markvissa auglýsingar eða mælingar, eða deila notanda- eða tækigögnum með gagnamillurum. Skilgreiningin útilokar meðvitað fyrstu aðilanotkun gagna innan forrits, nafnlægar heildargreiningar og vinnslu í þágu svikavarnar eða lagalegrar samræmis — þær starfsemi krefjast ekki ATT-gluggans óháð því hvort notandinn hefur veitt hann.

Hvað ATT gerir ekki

ATT er ekki samþykktarstjórnunarkerfi í skilningi GDPR. Hann safnar ekki nákvæmum tilgangsval, skráir ekki samþykktarkvittun með stefnuútgáfum, dreifir ekki merkjum til vefbirgja í WKWebView og uppfyllir ekki lagalegar kröfur um að geyma eða lesa vafrakökur á tæki notanda. Útgefandi sem lítur á ATT-gluggann sem fulla samræmisafstöðu fyrir blandað forrit er eitt eftirlitsbréf frá sekt, vegna þess að vafrakökuhleðslan inn í vefglugganum er aðskilinn atburður samkvæmt ePrivacy og þarf sitt eigið samþykktarlag.

Hvernig GDPR og ePrivacy gilda í WKWebView

Vefglugginn í blönduðu forriti er ekki töfralega undanþeginn reglum sem gilda um skjáborðsvafra. Þegar WKWebView les eða skrifar vafrakökur sem eru ekki strangt nauðsynlegar, er ePrivacy virkjað. Þegar WKWebView sendir greiningar- eða auglýsingarbeiðni sem ber persónuupplýsingar, er GDPR virkjað. Ílát Apple breytir ekki greiningunni — það sem breytist er útfærslufletinum, vegna þess að samþykktarborðann þarf að birta í vefglugganum og samþykktarstaðan þarf að vera sýnileg innfæðum kóða sem kann einnig að lesa sömu gögn.

Borðinn í vefglugganum

Staðlað mynsturið er að birta CMP-borða í WKWebView á sama hátt og þú myndir gera á vefsíðu. Borðinn setur vafrakökur á vafrakökugeymsluna í vefglugganum, sendir samþykktaruppfærsluatburð í JavaScript-samhengi síðunnar og uppfærir Google Consent Mode v2 stöðuvél sem greiningarmerki og auglýsingamerki síðunnar lesa. Útfærslan er ekki ólík venjulegum vef-CMP — það sem er ólíkt er að vafrakökugeymslán er takmarkað við WKWebView og er ekki sýnilegt öðrum forritum eða Safari, sem er gagnlegt fyrir einangrun en óheppilegt ef útgefandinn rekur einnig vefsíðu þar sem notandinn hefur þegar samþykkt.

Deilir samþykki milli vefgluggans og innfæða skelisins

Erfiðara vandamálið er brúin milli WKWebView og innfæða skelisins. Innfæðan skel getur haft sitt eigið greiningarSDK sem les IDFA eftir að notandinn hefur veitt ATT, á meðan vefglugginn hefur sinn eigin samþykktarborða sem notandinn kann eða kann ekki að hafa samþykkt. Ef notandinn veitir ATT en hafnar auglýsingasamþykki í vefglugganum, getur innfæðan SDK enn lesið IDFA en merki vefgluggans mega ekki. Ef notandinn neitar ATT en samþykkir auglýsingasamþykki vefgluggans, er innfæðan SDK blokkuð en merki vefgluggans ættu enn að keyra — þótt IDFA-byggður auðkennir innfæðans SDK geti greinilega ekki farið í gegnum brúna. Hreinsasta mynsturið er ein uppspretta sannleika — CMP — opnuð í gegnum JavaScript-brú sem innfæðan skel les við forritisræsingu og við hvert samþykktarbreytingu, með samhliða ATT-glugga sem deilir auglýsingaákvörðun CMP frekar en að spyrja aftur.

CPRA og bandarískt ríkislagalag

Fyrir bandaríska útgefendur hefur myndin þriðja lagið. CPRA, auk þyrpingarinnar af ríkislögum sem fylgdu Virginíu, Kóló, Connecticut og Utah, meðhöndlar IDFA á sama hátt og vafrakökur á vef — báðar eru persónuupplýsingar og sala eða deiling þeirra veldur opt-out rétti. Global Privacy Control-fyrirsögnin sem vefvafrar senda er neytendahallaðir merki, og Multi-State Privacy Agreement (MSPA) IAB með tilheyrandi US Privacy String er útgefendahallaðir merki. Blandað forrit sem er sent út í Bandaríkjunum þarf að birta 'Selja eða deilir ekki persónuupplýsingarnar mínar' tengil í forritinu sjálfu, senda opt-out niðurstöðuna bæði í CMP vefgluggans og mælingarSDK innfæðans skelis, og virða hvers konar komandi GPC-fyrirsögn sem berst í vefgluggann frá dýptengli.

Börn og COPPA í blönduðum forritum

Ef forritið er metið fyrir börn eða hefur einhverja sanngjarnar væntingar um barnnotendur, legja COPPA í Bandaríkjunum og GDPR-K ákvæðin í ESB fleiri takmarkanir á ATT og staðlað samþykki. IDFA má alls ekki beðið um fyrir barnareikninga, auglýsingasamþykki vefgluggans verður að vera sjálfgefið neita og öll þriðja aðila SDK í innfæðum skelinu verður að staðfesta COPPA-samhæfð áður en þau eru send. App Store yfirfarnir hafna forritum metnum fyrir börn sem sýna staðlað ATT-glugga, sem er algeng útfærsluvilla þegar teymi smíða eitt tvíkóða forrit fyrir allt lið.

Verkfræðimynsturinn sem er gefinn út

Blandaðar forritsuppbygging sem lifir af bæði App Store yfirfarnarferli og ESB persónuverndarúttekt hefur fáar endurtekanlegar einingar. CMP-borðinn í WKWebView er uppspretta sannleika um auglýsingasamþykki. ATT-glugginn er birtur aðeins eftir að CMP hefur leyst, aðeins ef notandinn samþykkti auglýsingasamþykki, og aðeins með sérsniðnum forstigli sem útskýrir hvað rekjanleiki mun gera mögulegt. JavaScript-brú opnar samþykktarstöðu CMP til innfæðans skelis við forritræsingu og sendir atburð við hvert samþykktarbreytingu. SDK innfæðans skelis eru gáttar á bæði auglýsingasamþykki CMP og ATT-heimildastöðu; annaðhvort eitt sem neitar beiðninni er nóg til að loka á SDK.

Forstigl og leiðbeining Apple

Apple leyfir — og í reynd væntir — forstigils á undan ATT kerfisglugga sem útskýrir með rödd útgefanda hvers vegna forritið vill rekjanleika og hvað notandinn fær í staðinn. Vel skrifað forstigl getur aukið opt-in hlutfall verulega. Það sem Apple leyfir ekki er forstigl sem reynir að komast í kringum kerfisgluggan, sem rangskilgreinir afleiðingar neitanar eða sem gerir forritsvirkni háða rekjanleikaheimldum. Endurskoðendur hafna forritum fyrir öll þrjú myndurnin og í vaxandi mæli fyrir notkun forstiglsins til að knýja á opt-in með meðvirkri textun.

Netþjónahlið og SKAdNetwork sem varabirgðir

Þegar ATT er neitað eða auglýsingasamþykki hafnað í vefglugganum, getur útgefandinn enn fallið aftur til SKAdNetwork fyrir úthlutun — persónuverndarvarðveitu net Apple sem skilar umbreytingargögnum án þess að afhjúpa einstaka notandaauðkenna. SKAdNetwork er ekki háð ATT og virkar óháð samþykktarákvörðun notanda, sem gerir það að réttu sjálfgildi fyrir mælingar þegar sérsniðna leiðin er lokuð. Netþjóna-til-netþjóna bakhleðslur frá innfæðum skelinu til auðkenningþjónustu í eigu útgefanda geta einnig fyllt mælingarholuna, að því tilskildu að gögnin séu í raun fyrstu aðilagögn og séu ekki tengd við gögn annarra rekstraraðila með hætti sem dregur þau aftur inn í rekjanleikaskilgreiningu Apple.

Algengar villur sem valda höfnunum eða úttektum

Blandaðar forrit sem eru fjarlægð eða sektað hafa tilhneigingu til að mistakast á sama litla hátt. CMP-borðinn í WKWebView kveikir á áður en ATT-glugginn hefur leyst, setur vafrakökur á tækið á meðan leyfi Apple er enn í bið — niðurstaða sem getur leitt til App Store höfnunar. ATT-glugginn er birtur án forstigils og við kalt ræsingu, sem gefur lágt opt-in hlutfall og ruglingskennt notandaupplifun sem eykur brottfall. Greiningarkerfi innfæðans skelis les IDFA áður en CMP hefur sent sitt fyrsta samþykktaratburð, setur persónugögn á netið án skýrrar lagalegrar grunns. Samþykktarstaðan í vefglugganum og heimildastaðan í innfæðum skelinu eru geymdar í aðskildum geymslunum án samstillingar, sem skapar notanda sem hefur hafnað auglýsingum í vefglugganum en innfætt auglýsingarSDK hans er enn að keyra. Hvert þessara er lagfæring á einum til tveimur verkfræðidögum og endurgreinisarpróf — en hvert þessara er einnig nákvæmt mynsturið sem endurskoðandi eða yfirfarnarmaðurinn opnar á.

Niðurstaðan

ATT og vafraköku-samþykki eru ekki óþarfar hliðlagsgerðir. ATT er leyfisgátt takmarkaður við tiltekið iOS API, og vafraköku-samþykki er lagalegur grunnur fyrir vinnslu gagna í hvaða vafraflokkumhverfi sem er, þar á meðal WKWebView. Blandað forrit þarf bæði, tengt saman þannig að notandinn sjái eina samræmda ákvörðun frekar en tvær mótsagnakennar kvaðar, og þannig að innfæðan skel og vefglugginn virða sömu svarið. Útgefendur sem gera þetta rétt senda forrit sem standast yfirfarnir, skilar tekjum á áreiðanlegan hátt og birtast aldrei í eftirlitsaðila yfirlit yfir brot. Útgefendur sem líta á ATT sem alla svarið eða sem láta samþykki vefgluggans og innfæðans skelis rekast í sundur eyða 2026 þar sem þeir skiptast á milli App Store yfirfarnarfunda og svarbréfa úttektar. Byggðu brúna einu sinni, meðhöndlaðu CMP sem uppsprettu sannleika og láttu ATT vera iOS-sértæka läst ofan á persónuverndarafstöðu sem er þegar samræmd á veflagi.