Ką iš tikrųjų valdo App Tracking Transparency

ATT yra leidimų vartai, kuriuos Apple taiko iOS ir iPadOS sistemose. Kai programa nori pasiekti įrenginio Identifier for Advertisers (IDFA) arba vykdyti stebėjimą, susiejantį naudotoją per kitų operatorių turimas programas ir svetaines, ji turi iškviesti requestTrackingAuthorization ir pateikti sistemos raginimą, kuriame naudotojo prašoma leisti arba atmesti stebėjimą. Naudotojo atsakymas yra dvireikšmis, išlieka iki pakeitimo Nustatymuose ir programai matomas per trackingAuthorizationStatus API.

Apple stebėjimo apibrėžimas

Apple kūrėjų gairėse stebėjimas apibrėžiamas tiksliai ir siaurąja prasme: naudotojo arba įrenginio duomenų, surinktų iš jūsų programos, siejimas su naudotojo arba įrenginio duomenimis, surinktais iš kitų įmonių programų, svetainių ar neprisijungusios nuosavybės, siekiant tikslinės reklamos arba matavimo, arba naudotojo ar įrenginio duomenų dalijimasis su duomenų tarpininkais. Apibrėžimas sąmoningai neapima pirmosios šalies duomenų naudojimo programoje, anoniminės suvestinės analizės ir duomenų apdorojimo sukčiavimo prevencijos ar teisinio atitikties tikslais — šiai veiklai ATT raginimas nereikalingas, nepriklausomai nuo to, ar naudotojas jį suteikė.

Ko ATT nedaro

ATT nėra sutikimų valdymo sistema GDPR prasme. Jis nerenka detalių tikslo nuostatų, neregistruoja sutikimo kvito su politikos versijomis, nepropaguoja signalų žiniatinklio pardavėjams WKWebView viduje ir netenkina teisėto pagrindo reikalavimo slapukams saugoti ar skaityti naudotojo įrenginyje. Leidėjas, traktuojantis ATT raginimą kaip visą atitikties poziciją hibridinei programai, yra vieno reguliuotojų laiško atstumu nuo baudos, nes slapukų įkėlimas žiniatinklio rodinyje pagal ePrivacy yra atskiras įvykis ir reikalauja savo sutikimų sluoksnio.

Kaip GDPR ir ePrivacy taikomi WKWebView viduje

Žiniatinklio rodinys hibridinėje programoje stebuklingu būdu neatleidžiamas nuo taisyklių, taikomų stacionariai naršyklei. Kai tik WKWebView skaito ar rašo slapuką, kuris nėra griežtai būtinas, suaktyvinamas ePrivacy. Kai tik WKWebView siunčia analizės ar reklamos užklausą su asmens duomenimis, suaktyvinamas GDPR. Apple konteineris nekeičia analizės — keičiasi diegimo paviršius, nes sutikimo juosta turi būti atvaizduota žiniatinklio rodinyje, o sutikimo būsena turi būti matoma vietiniam kodui, kuris taip pat gali skaityti tuos pačius duomenis.

Juosta žiniatinklio rodinyje

Standartinis šablonas — atvaizduoti CMP juostą WKWebView viduje taip pat, kaip svetainėje. Juosta nustato slapukus žiniatinklio rodinio slapukų saugykloje, į puslapio JavaScript kontekstą siunčia sutikimo atnaujinimo įvykį ir atnaujina Google Consent Mode v2 būsenos mašiną, kurią skaito puslapio analizės ir reklamos žymos. Diegimas nesiskiria nuo įprasto žiniatinklio CMP — skiriasi tai, kad slapukų saugykla yra apribota WKWebView ir nematoma kitoms programoms ar Safari, o tai naudinga izoliacijai, tačiau nenaudinga, jei leidėjas taip pat valdo svetainę, kurioje naudotojas jau davė sutikimą.

Sutikimo dalijimas tarp žiniatinklio rodinio ir vietinės aplinkos apvalkalo

Sudėtingesnė problema — tiltas tarp WKWebView ir vietinės aplinkos apvalkalo. Vietinės aplinkos apvalkalas gali turėti savo analizės SDK, kuris skaito IDFA po to, kai naudotojas suteikia ATT, o žiniatinklio rodinys turi savo sutikimo juostą, kurią naudotojas gali priimti arba ne. Jei naudotojas suteikia ATT, bet atsisako reklamos sutikimo žiniatinklio rodinyje, vietinis SDK vis tiek gali skaityti IDFA, bet žiniatinklio rodinio žymos negali. Jei naudotojas atmeta ATT, bet priima žiniatinklio rodinio reklamos sutikimą, vietinis SDK blokuojamas, tačiau žiniatinklio rodinio žymos vis tiek turi veikti — nors vietinio SDK IDFA pagrįstas identifikatorius akivaizdžiai negali pereiti per tiltą. Švariausia schema — vienas tiesos šaltinis — CMP — atskleistas per JavaScript tiltą, kurį vietinės aplinkos apvalkalas skaito programos paleidimo metu ir kiekvieno sutikimo pasikeitimo metu, kartu su lygiagrečiu ATT raginimu, kuris remiasi CMP reklamos sprendimu, o ne klausia iš naujo.

CPRA ir JAV valstijų įstatymų sluoksnis

JAV leidėjams paveiksle yra trečias sluoksnis. CPRA bei valstijų įstatymų grupė, sekusi paskui Virdžiniją, Koloradą, Konektikutą ir Jutą, IDFA traktuoja taip pat, kaip žiniatinklio slapukus — abu yra asmeninė informacija, kurios pardavimas ar dalijimasis suaktyvina atsisakymo teisę. Žiniatinklio naršyklių siunčiamas Global Privacy Control antraštė yra į vartotojus orientuotas signalas, o IAB Multi-State Privacy Agreement (MSPA) su susijusia US Privacy String — į leidėjus orientuotas signalas. Hibridinė programa, pristatomoje JAV, turi pateikti nuorodą „Neparduokite ir nesidalinkite mano asmenine informacija” pačioje programoje, gautą atsisakymą nukreipti tiek į žiniatinklio rodinio CMP, tiek į vietinės aplinkos apvalkalo matavimo SDK, ir gerbti bet kurią gaunamą GPC antraštę, ateinančią į žiniatinklio rodinį iš gilaus nuorodo.

Vaikai ir COPPA hibridinėse programose

Jei programa skirta vaikams arba pagrįstai tikimasi vaikų naudotojų, JAV COPPA ir ES GDPR-K nuostatos ant ATT ir standartinio sutikimo krauvia papildomus apribojimus. IDFA visiškai negalima prašyti vaikų paskyroms, žiniatinklio rodinio reklamos sutikimas turi būti nustatytas kaip atmestas pagal numatytuosius parametrus, o bet kuris trečiosios šalies SDK vietinės aplinkos apvalkale prieš pristatymą turi būti patvirtintas kaip atitinkantis COPPA. App Store peržiūra atmeta vaikams skirtas programas, kurios rodo standartinį ATT raginimą — tai dažna diegimo klaida, kai komandos kuria vieną dvejetainį failą visiems naudotojams.

Inžinerinis šablonas, kuris sėkmingai pristatomas

Hibridinės programos architektūra, atlaikanti tiek App Store peržiūrą, tiek ES privatumo auditą, turi nedidelį skaičių pasikartojančių elementų. CMP juosta WKWebView viduje yra reklamos sutikimo tiesos šaltinis. ATT raginimas rodomas tik po to, kai CMP išsprendžiamas, tik jei naudotojas priėmė reklamos sutikimą, ir tik su pasirinktine išankstiniu raginimu, paaiškinančiu, ką stebėjimas leis. JavaScript tiltas atskleidžia CMP sutikimo būseną vietinei aplinkai programos paleidimo metu ir kiekvieno sutikimo pasikeitimo metu skleidžia įvykį. Vietinės aplinkos apvalkalo SDK yra valdomi tiek pagal CMP reklamos sutikimą, tiek pagal ATT įgaliojimo būseną; vieno iš jų atsisakymas yra pakankamas SDK blokuoti.

Išankstiniai raginimai ir Apple gairės

Apple leidžia — ir praktiškai tikisi — išankstinio raginimo prieš ATT sistemos raginimą, kuriame leidėjo balsu paaiškinama, kodėl programa nori stebėjimo ir ką naudotojas gauna mainais. Gerai parašytas išankstinis raginimas gali ženkliai padidinti prisijungimo rodiklius. Ko Apple neleidžia — tai išankstinio raginimo, kuris bando apeiti sistemos raginimą, klaidingai vaizduoja atsisakymo pasekmes arba programos funkcionalumą sieja su stebėjimo įgaliojimu. Peržiūros darbuotojai atmeta programas dėl visų trijų šablonų ir vis dažniau — dėl manipuliuojančio teksto naudojimo išankstiniame raginime siekiant skatinti prisijungimą.

Serverio pusė ir SKAdNetwork kaip atsarginiai variantai

Kai ATT atmetamas arba reklamos sutikimas atsisakomas žiniatinklio rodinyje, leidėjas vis tiek gali grįžti prie SKAdNetwork priskyrimo tikslais — Apple privatumą saugančio tinklo, kuris pateikia konversijų duomenis neatskleidžiant atskirų naudotojų identifikatorių. SKAdNetwork nereikalauja ATT ir veikia nepriklausomai nuo naudotojo sutikimo sprendimo, todėl tai yra tinkamas numatytasis matavimo variantas, kai personalizuotas kelias uždarytas. Serverio ir serverio atgaliniai skambučiai iš vietinės aplinkos apvalkalo į leidėjui priklausančią tapatybės tarnybą taip pat gali užpildyti matavimo spragą, jei duomenys tikrai yra pirmos šalies ir nesujungti su kitų operatorių duomenimis taip, kad grąžintų juos į Apple stebėjimo apibrėžimą.

Dažnos klaidos, sukeliančios atmetimą ar auditą

Pašalintos ar baudžiamos hibridinės programos paprastai žlunga tais pačiais keliais būdais. CMP juosta WKWebView viduje įsijungia prieš išsprendžiant ATT raginimą, diegiant slapukus į įrenginį, kol Apple leidimas dar laukiamas — tai išvada, galinti lemti App Store atmetimą. ATT raginimas rodomas be išankstinio raginimo ir šalto paleidimo metu, sukeliant žemus prisijungimo rodiklius ir painų naudotojo patirtį, didinančią praradimą. Vietinės aplinkos apvalkalo analizės SDK skaito IDFA prieš tai, kai CMP paleido savo pirmąjį sutikimo įvykį, talpinant asmeninius duomenis tinkle be aiškaus teisėto pagrindo. Žiniatinklio rodinio sutikimo būsena ir vietinės aplinkos apvalkalo įgaliojimo būsena laikomos atskirose saugyklose be sinchronizacijos, sukuriant naudotoją, atmetusį reklamą žiniatinklio rodinyje, bet kurio vietinis reklamos SDK vis dar veikia. Kiekvienas iš jų yra vienos ar dviejų inžinerinių dienų pataisymas ir regresijos testavimo praėjimas — tačiau kiekvienas taip pat yra tikslus šablonas, kuriuo pradeda auditorius ar peržiūros darbuotojas.

Esminis teiginys

ATT ir slapukų sutikimas nėra pertekliniai sluoksniai. ATT yra leidimų vartai, apriboti konkrečia iOS API, o slapukų sutikimas yra teisėtas pagrindas duomenų apdorojimui bet kurioje naršyklės klasės aplinkoje, įskaitant WKWebView. Hibridinei programai reikia abiejų, sujungtų taip, kad naudotojas matytų vieną darnų sprendimą, o ne du prieštaringus raginimus, ir kad vietinės aplinkos apvalkalas bei žiniatinklio rodinys gerbtų tą patį atsakymą. Leidėjai, darantys tai teisingai, pristato programas, išlaikančias peržiūrą, patikimai monetizuojamas ir niekada nerodomų reguliuotojo vykdymo santraukoje. Leidėjai, traktuojantys ATT kaip visą atsakymą arba leidžiantys žiniatinklio rodinio sutikimui ir vietinės aplinkos apvalkalui skirtis, 2026-uosius praleis paeiliui dalyvaudami App Store peržiūros susitikimuose ir rašydami audito atsakymo laiškus. Pastatykite tiltą vieną kartą, traktuokite CMP kaip tiesos šaltinį ir leiskite ATT būti iOS specifine spyna virš privatumo pozicijos, kuri jau yra darni žiniatinklio sluoksnyje.