Согласие на cookie для мобильных приложений: руководство по соответствию GDPR и CCPA
Когда мы говорим о согласии на cookie, всё внимание достаётся сайтам. Но мобильные приложения обрабатывают столько же — часто больше — персональных данных, чем сайты. И правила применяются одинаково. GDPR не делает различий между cookie сайта и SDK приложения, который собирает идентификаторы устройств, данные о местоположении или рекламные идентификаторы.
Чем мобильное согласие отличается от веб
Сайты используют cookie. Приложения используют SDK, идентификаторы устройств (IDFA/GAID), локальное хранилище и вызовы API. Технология разная, но юридическое требование одно и то же: вам нужно информированное, свободно данное согласие до сбора персональных данных в несущественных целях.
- Сайты: баннеры cookie, Consent Mode, строки TCF
- Приложения: внутриприложенческие диалоги согласия, запросы ATT (iOS), гейты инициализации SDK
- Оба: должны получить согласие до отслеживания, разрешать отзыв, вести записи
Apple ATT против согласия GDPR
App Tracking Transparency (ATT) от Apple — это не то же самое, что согласие GDPR. ATT — это платформенное требование Apple, оно контролирует доступ к IDFA. GDPR — это юридическое требование, оно контролирует всю обработку персональных данных. Вам нужны оба. Согласие на ATT не удовлетворяет GDPR, а согласие GDPR не обходит ATT.
Что требует согласия в мобильных приложениях
- Рекламные SDK — AdMob, Meta Audience Network, AppLovin
- Аналитические SDK — Firebase Analytics, Mixpanel, Amplitude
- SDK атрибуции — Adjust, AppsFlyer, Branch
- Идентификаторы устройств — IDFA (iOS), GAID (Android)
- Данные о местоположении — GPS, геолокация по IP
- Токены push-уведомлений — когда связаны с профилями пользователей
Лучшие практики внедрения
- Показывайте согласие до инициализации SDK — не загружайте отслеживающие SDK, пока пользователь не дал согласие
- Предоставляйте детальный выбор — аналитика и реклама должны быть отдельными переключателями
- Поддерживайте отзыв согласия — пользователи должны иметь возможность передумать в настройках приложения
- Храните записи о согласии — ведите серверные журналы с отметками времени и объёмом согласия
- Обрабатывайте ATT и GDPR отдельно — одного согласия на ATT недостаточно для GDPR
CCPA для мобильных приложений
Калифорнийский CCPA/CPRA применяется к приложениям, которые собирают данные жителей Калифорнии. В отличие от GDPR, CCPA использует модель отказа — пользователи могут потребовать, чтобы их данные не продавались и не передавались. Вашему приложению нужен механизм «Не продавать и не передавать мою личную информацию».
FlexyConsent для мобильных устройств
Лёгкий JavaScript от FlexyConsent работает в гибридных приложениях (Cordova, Ionic, React Native WebView) и мобильном вебе. Для нативных приложений наш API согласия предоставляет те же сигналы TCF 2.3 и Consent Mode V2, что и веб-решение.