Ko lietotņu izsekošanas pārredzamība faktiski regulē

ATT ir atļauju vārti, ko Apple ievieš iOS un iPadOS ierīcēs. Kad lietotne vēlas piekļūt ierīces reklāmdevēja identifikatoram (IDFA) vai veikt izsekošanu, kas saista lietotāju dažādās citu operatoru lietotnēs un vietnēs, tai jāizsauc requestTrackingAuthorization un jāparāda sistēmas uzvedne, kas lūdz lietotājam atļaut vai liegt izsekošanu. Lietotāja atbilde ir bināra, pastāvīga, līdz lietotājs to maina iestatījumos, un lietotne var to redzēt, izmantojot trackingAuthorizationStatus API.

Apple izsekošanas definīcija

Apple izstrādātāju norādījumi definē izsekošanu konkrēti un šauri: lietotāja vai ierīces datu, kas savākti no jūsu lietotnes, sasaiste ar lietotāja vai ierīces datiem, kas savākti no citu uzņēmumu lietotnēm, vietnēm vai bezsaistes īpašumiem mērķtiecīgai reklamēšanai vai mērījumiem, vai lietotāja vai ierīces datu kopīgošana ar datu brokeriem. Definīcija apzināti izslēdz pirmās puses datu izmantošanu lietotnē, anonīmu apkopoto analītiku un apstrādi krāpšanas novēršanai vai juridiskai atbilstībai — šīm darbībām nav nepieciešama ATT uzvedne neatkarīgi no tā, vai lietotājs ir to piešķīris.

Ko ATT nedara

ATT nav piekrišanas pārvaldības sistēma GDPR izpratnē. Tas nesavāc detalizētas mērķa preferences, nereģistrē piekrišanas saņemšanu ar politikas versijām, nepārraida signālus tīmekļa pārdevējiem WKWebView iekšienē un neapmierina likumīgā pamata prasību sīkfailu glabāšanai vai lasīšanai lietotāja ierīcē. Izdevējs, kurš uzskata ATT uzvedni par visu savu atbilstības nostāju hibrīdlietotnei, ir viena regulatora vēstule no naudas soda, jo sīkfailu ielāde tīmekļa skatā ir atsevišķs notikums saskaņā ar ePrivacy un tai nepieciešams savs piekrišanas slānis.

Kā GDPR un ePrivacy attiecas uz WKWebView iekšpusi

Tīmekļa skats hibrīdlietotnē nav burvīgi atbrīvots no noteikumiem, kas attiecas uz darbvirsmas pārlūkprogrammu. Brīdī, kad WKWebView nolasa vai raksta sīkfailu, kas nav stingri nepieciešams, tiek aktivizēts ePrivacy. Brīdī, kad WKWebView nosūta analītikas vai reklamēšanas pieprasījumu, kas satur personas datus, tiek aktivizēts GDPR. Apple konteiners nemaina analīzi — mainās ieviešanas virsma, jo piekrišanas joslai jātiek renderētai tīmekļa skata iekšienē un piekrišanas stāvoklim jābūt redzamam vietējam kodam, kas, iespējams, arī lasa tos pašus datus.

Josla tīmekļa skata iekšienē

Standarta veids ir renderēt CMP joslu WKWebView iekšienē tāpat kā vietnē. Josla iestata sīkfailus tīmekļa skata sīkfailu krātuvē, nosūta piekrišanas atjaunināšanas notikumu lapas JavaScript kontekstā un atjaunina Google Consent Mode v2 stāvokļa mašīnu, ko lasa lapas analītikas un reklāmas tagi. Ieviešana neatšķiras no parastā tīmekļa CMP — atšķirīgs ir tas, ka sīkfailu krātuve ir ieskopota WKWebView un nav redzama citām lietotnēm vai Safari, kas ir noderīgi izolācijai, bet nepalīdz, ja izdevējs arī vada vietni, kur lietotājs jau ir piekritis.

Piekrišanas kopīgošana starp tīmekļa skatu un vietējo apvalku

Grūtāka problēma ir tilts starp WKWebView un vietējo apvalku. Vietējam apvalkam var būt savs analītikas SDK, kas lasa IDFA pēc tam, kad lietotājs ir piešķīris ATT, savukārt tīmekļa skatam ir sava piekrišanas josla, kuru lietotājs var vai nevar būt pieņēmis. Ja lietotājs piešķir ATT, bet noraida reklāmas piekrišanu tīmekļa skatā, vietējais SDK joprojām var lasīt IDFA, bet tīmekļa skata tagi nedrīkst. Ja lietotājs noraida ATT, bet pieņem tīmekļa skata reklāmas piekrišanu, vietējais SDK ir bloķēts, bet tīmekļa skata tagi joprojām jāaktivizē — lai gan vietējā SDK IDFA identifikators acīmredzami nevar šķērsot tiltu. Tīrākā shēma ir viens patiesības avots — CMP — atklāts caur JavaScript tiltu, ko vietējais apvalks lasa lietotnes startēšanas laikā un katras piekrišanas maiņas laikā, ar paralēlu ATT uzvedni, kas deleģē CMP reklāmas lēmumam, nevis jautā atkārtoti.

CPRA un ASV štatu slānis

ASV izdevējiem attēlam ir trešais slānis. CPRA, kopā ar štatu likumu kopu, kas sekoja Virdžīnijā, Kolorādo, Konektikutā un Jūtā, izturas pret IDFA tāpat kā pret tīmekļa sīkfailiem — abi ir personas informācija, kuras pārdošana vai kopīgošana aktivizē atteikšanās tiesības. Globālās privātuma kontroles galvene, ko nosūta tīmekļa pārlūkprogrammas, ir patērētāja puses signāls, un IAB Multi-State Privacy Agreement (MSPA) ar saistīto ASV privātuma virkni ir izdevēja puses signāls. Hibrīdlietotnei, kas tiek laista klajā ASV, jānodrošina saite «Nepārdot vai nekopīgot manu personas informāciju» pašā lietotnē, jāmaršrutē rezultējošā atteikšanās gan uz tīmekļa skata CMP, gan uz vietējā apvalka mērīšanas SDK, un jārespektē jebkura ienākoša GPC galvene, kas ierodas tīmekļa skatā no dziļās saites.

Bērni un COPPA hibrīdlietotnēs

Ja lietotne ir novērtēta bērniem vai ja pastāv kāda saprātīga sagaidāmība par bērnu lietotājiem, COPPA ASV un GDPR-K noteikumi ES pievieno papildu ierobežojumus papildus ATT un standarta piekrišanai. IDFA nedrīkst prasīt bērnu kontiem vispār, tīmekļa skata reklāmas piekrišanai pēc noklusējuma jābūt noraidītai, un jebkurš trešās puses SDK vietējā apvalkā ir jāapstiprina kā COPPA atbilstošs pirms laišanas klajā. App Store pārskats noraida bērniem novērtētas lietotnes, kas rāda standarta ATT uzvedni — tas ir izplatīta ieviešanas kļūda, kad komandas veido vienu bināro failu visām auditorijām.

Inženiertehniskā shēma, kas tiek laista klajā

Hibrīdās lietotnes arhitektūra, kas iztur gan App Store pārskatu, gan ES privātuma auditu, satur nelielu skaitu atkārtojamu elementu. CMP josla WKWebView iekšienē ir reklāmas piekrišanas patiesības avots. ATT uzvedne tiek rādīta tikai pēc tam, kad CMP ir atrisinājusi, tikai ja lietotājs ir pieņēmis reklāmas piekrišanu, un tikai ar pielāgotu priekšuzvedni, kas izskaidro, ko izsekošana iespējos. JavaScript tilts atklāj CMP piekrišanas stāvokli vietējam apvalkam lietotnes startēšanas laikā un emitē notikumu katras piekrišanas maiņas laikā. Vietējā apvalka SDK ir atkarīgi gan no CMP reklāmas piekrišanas, gan no ATT autorizācijas statusa; jebkurš no tiem, kas noraida pieprasījumu, ir pietiekams, lai bloķētu SDK.

Priekšuzvednes un Apple vadlīnijas

Apple atļauj — un praksē sagaida — priekšuzvedni pirms ATT sistēmas uzvednes, kas izskaidro izdevēja balsī, kāpēc lietotne vēlas izsekošanu un ko lietotājs saņem pretī. Labi uzrakstīta priekšuzvedne var ievērojami palielināt piekrišanas rādītājus. Ko Apple neatļauj, ir priekšuzvedne, kas mēģina apiet sistēmas uzvedni, kas nepatiesi atspoguļo noraidīšanas sekas vai kas nosaka lietotnes funkcionalitāti atkarībā no izsekošanas autorizācijas. Recenzenti noraida lietotnes par visiem trim shēmiem un arvien vairāk par priekšuzvednes izmantošanu, lai mudinātu uz piekrišanu ar manipulatīvu tekstu.

Servera puses un SKAdNetwork kā rezerves

Kad ATT ir noraidīts vai reklāmas piekrišana ir noraidīta tīmekļa skatā, izdevējs joprojām var izmantot SKAdNetwork atribūcijai — Apple privātumu saglabājošo tīklu, kas nodrošina konversijas datus, neatklājot atsevišķus lietotāju identifikatorus. SKAdNetwork nav pakļauts ATT un darbojas neatkarīgi no lietotāja piekrišanas lēmuma, kas padara to par pareizo mērīšanas noklusējumu, kad personalizētais ceļš ir slēgts. Servera-uz-serveri atpakaļnosūtīšana no vietējā apvalka uz izdevēja piederošu identitātes pakalpojumu var arī aizpildīt mērīšanas plaisu, ar nosacījumu, ka dati ir patiesi pirmās puses un nav apvienoti ar citu operatoru datiem tādā veidā, kas tos atgriež Apple izsekošanas definīcijā.

Izplatītas kļūdas, kas izraisa noraidījumus vai auditus

Hibrīdās lietotnes, kas tiek izņemtas vai sodītas, mēdz neizdoties vienā un tajā pašā nelielā skaitā veidu. CMP josla WKWebView iekšienē aktivizējas pirms ATT uzvedne ir atrisināta, ievietojot sīkfailus ierīcē, kamēr Apple atļauja vēl ir gaidīšanas stadijā — atradums, kas var izraisīt App Store noraidīšanu. ATT uzvedne tiek rādīta bez priekšuzvednes un aukstā startēšanas laikā, radot zemu piekrišanas rādītāju un mulsinošu lietotāja pieredzi, kas palielina aizbraukšanu. Vietējā apvalka analītikas SDK lasa IDFA pirms CMP ir nosūtījis savu pirmo piekrišanas notikumu, ievietojot personas datus tīklā bez skaidra likumīgā pamata. Tīmekļa skata piekrišanas stāvoklis un vietējā apvalka autorizācijas stāvoklis tiek glabāti atsevišķās krātuvēs bez sinhronizācijas, radot lietotāju, kurš ir noraidījis reklāmu tīmekļa skatā, bet kura vietējais reklāmas SDK joprojām darbojas. Katra no tām ir vienas līdz divu inženierdienstu labojums un regresijas testa caurlaide — bet katra ir arī tieši tā shēma, ar kuru auditors vai recenzents sāk.

Galvenais secinājums

ATT un sīkfailu piekrišana nav liekas pārklājas. ATT ir atļauju vārti, kas ieskopoti konkrētā iOS API, un sīkfailu piekrišana ir likumīgais pamats datu apstrādei jebkurā pārlūkprogrammas klases vidē, ieskaitot WKWebView. Hibrīdlietotnei ir nepieciešami abi, savienoti tā, lai lietotājs redzētu vienu saskanīgu lēmumu, nevis divus pretrunīgus uzvednes, un lai vietējais apvalks un tīmekļa skats godātu vienu un to pašu atbildi. Izdevēji, kas to dara pareizi, laiž klajā lietotnes, kas iztur pārskatu, monetizē uzticami un nekad neparādās regulatora izpildes kopsavilkumā. Izdevēji, kas uzskata ATT par pilnu atbildi vai ļauj tīmekļa skata piekrišanai un vietējam apvalkam atšķirties, 2026. gadu pavada, mainot App Store pārskatīšanas sanāksmes ar audita atbildes vēstulēm. Izveidojiet tiltu vienu reizi, uzskatiet CMP par patiesības avotu un ļaujiet ATT būt iOS specifiskai atslēgai uz privātuma nostāju, kas jau ir saskanīga tīmekļa slānī.