App Tracking Transparency'nin Gerçekte Neyi Yönettiği

ATT, Apple'ın iOS ve iPadOS'ta uyguladığı bir izin kapısıdır. Bir uygulama, cihazın Identifier for Advertisers (IDFA)'sına erişmek veya kullanıcıyı diğer operatörlere ait uygulamalar ve web siteleri üzerinden birbirine bağlayan takip işlemleri yapmak istediğinde requestTrackingAuthorization'ı çağırması ve kullanıcıdan takibi izin vermesini ya da reddetmesini isteyen bir sistem istemi sunması gerekir. Kullanıcının yanıtı ikili, Ayarlar'da değiştirene kadar kalıcı ve trackingAuthorizationStatus API'si aracılığıyla uygulama tarafından görülebilir niteliktedir.

Apple'ın Takip Tanımı

Apple'ın geliştirici kılavuzu takibi özellikle ve dar biçimde tanımlar: uygulamanızdan toplanan kullanıcı veya cihaz verilerini, hedefli reklam veya ölçüm amacıyla diğer şirketlerin uygulamalarından, web sitelerinden veya çevrimdışı mülklerinden toplanan kullanıcı veya cihaz verileriyle ilişkilendirmek ya da kullanıcı veya cihaz verilerini veri komisyoncularıyla paylaşmak. Tanım, uygulama içindeki birinci taraf veri kullanımını, anonim toplu analitiği ve sahtekârlık önleme ya da yasal uyumluluk için işlemeyi bilinçli olarak dışarıda bırakır — bu faaliyetler, kullanıcı izin vermiş olsa da olmasa da ATT istemi gerektirmez.

ATT'nin Yapmadıkları

ATT, GDPR anlamında bir onay yönetim sistemi değildir. Ayrıntılı amaç tercihlerini toplamaz, politika sürümlendirmesiyle onay makbuzu kaydetmez, WKWebView içindeki web satıcılarına sinyal iletmez ve kullanıcının cihazına çerez depolamak veya okumak için yasal dayanak gereksinimini karşılamaz. ATT istemini hibrit bir uygulamada tüm uyumluluk tutumu olarak değerlendiren bir yayıncı, bir düzenleyici mektubunun ardından para cezasından uzak olmayabilir; zira web görünümü içindeki çerez yüklemesi ePrivacy kapsamında ayrı bir olaydır ve kendi onay katmanını gerektirir.

GDPR ve ePrivacy'nin WKWebView İçinde Nasıl Uygulandığı

Hibrit bir uygulamadaki web görünümü, masaüstü tarayıcı için geçerli olan kurallardan mucizevi biçimde muaf değildir. WKWebView, kesinlikle gerekli olmayan bir çerezi okur ya da yazarsa ePrivacy devreye girer. WKWebView, kişisel veri içeren bir analitik veya reklam isteği gönderirse GDPR devreye girer. Apple'ın konteyneri analizi değiştirmez — değişen şey uygulama yüzeyidir; çünkü onay banner'ının web görünümü içinde görüntülenmesi ve onay durumunun aynı verileri de okuyabilecek native koda görünür olması gerekir.

Web Görünümünün İçindeki Banner

Standart desen, bir CMP banner'ını WKWebView içinde, bir web sitesinde yapacağınız gibi görüntülemektir. Banner, web görünümünün çerez deposuna çerezler yazar, sayfanın JavaScript bağlamına bir onay güncelleme olayı gönderir ve sayfanın analitik ile reklam etiketlerinin okuduğu bir Google Consent Mode v2 durum makinesini günceller. Uygulama, normal bir web CMP'sinden farklı değildir — farklı olan, çerez deposunun WKWebView kapsamına alınmış ve diğer uygulamalar ya da Safari tarafından görülemiyor olmasıdır; bu, yalıtım açısından yararlı ancak yayıncı kullanıcının zaten onay verdiği bir web sitesini de işletiyorsa işe yaramaz.

Web Görünümü ile Native Kabuk Arasında Onay Paylaşımı

Daha zor sorun, WKWebView ile native kabuk arasındaki köprüdür. Native kabuk, kullanıcı ATT'yi onayladıktan sonra IDFA'yı okuyan kendi analitik SDK'sine sahip olabilirken web görünümü, kullanıcının kabul edip etmediğinden bağımsız kendi onay banner'ına sahip olabilir. Kullanıcı ATT'yi onaylar ancak web görünümündeki reklam onayını reddederse native SDK IDFA'yı okuyabilir ama web görünümünün etiketleri bunu yapmamalıdır. Kullanıcı ATT'yi reddeder ancak web görünümünün reklam onayını kabul ederse native SDK engellenir ama web görünümünün etiketleri yine de çalışmalıdır — her ne kadar native SDK'nin IDFA tabanlı tanımlayıcısı köprüden geçemese de. En temiz desen, tek bir gerçek kaynağı — CMP — olmasıdır; bu kaynak, native kabuğun uygulama başlangıcında ve her onay değişikliğinde okuduğu bir JavaScript köprüsü aracılığıyla açığa çıkar ve yeniden sormak yerine CMP'nin reklam kararına ertelenmiş paralel bir ATT istemiyle desteklenir.

CPRA ve ABD Eyalet Katmanı

ABD'li yayıncılar için tablonun üçüncü bir katmanı vardır. CPRA ve Virginia, Colorado, Connecticut ile Utah'ı takip eden eyalet yasaları kümesi, IDFA'ya web çerezleriyle aynı muameleyi yapar — her ikisi de satışı veya paylaşımı vazgeçme hakkını tetikleyen kişisel bilgilerdir. Web tarayıcılarının gönderdiği Global Privacy Control başlığı tüketiciye yönelik sinyaldir; IAB'nin ilişkili ABD Gizlilik Dizisi ile birlikte Multi-State Privacy Agreement (MSPA)'sı ise yayıncıya yönelik sinyaldir. ABD'de dağıtılan bir hibrit uygulamanın uygulamanın içinde 'Kişisel Bilgilerimi Satma veya Paylaşma' bağlantısını göstermesi, ortaya çıkan vazgeçmeyi hem web görünümünün CMP'sine hem de native kabuğun ölçüm SDK'sine yönlendirmesi ve web görünümüne derin bir bağlantıdan ulaşan gelen GPC başlığına saygı göstermesi gerekir.

Hibrit Uygulamalarda Çocuklar ve COPPA

Uygulama çocuklara yönelik olarak derecelendirilmişse veya çocuk kullanıcılar bekleniyorsa, ABD'deki COPPA ve AB'deki GDPR-K hükümleri ATT ve standart onayın üzerine ek kısıtlamalar yığar. IDFA, çocuk hesapları için hiçbir şekilde talep edilmemeli, web görünümünün reklam onayı varsayılan olarak reddedilmeli ve native kabuktaki üçüncü taraf SDK'ların tümü gönderilmeden önce COPPA uyumlu olduğu doğrulanmalıdır. App Store incelemesi, standart ATT istemini gösteren çocuklara yönelik derecelendirilen uygulamaları reddeder; bu, ekipler tüm izleyiciler için tek bir ikili dosya oluşturduğunda ortaya çıkan yaygın bir uygulama hatasıdır.

Gönderilen Mühendislik Deseni

Hem App Store incelemesini hem de AB gizlilik denetimini atlatacak hibrit uygulama mimarisinin az sayıda tekrarlanabilir öğesi vardır. WKWebView içindeki CMP banner'ı, reklam onayı için gerçek kaynağıdır. ATT istemi yalnızca CMP çözüme kavuştuktan sonra, yalnızca kullanıcı reklam onayını kabul etmişse ve yalnızca takibin ne sağlayacağını açıklayan özel bir ön istemle gösterilir. Bir JavaScript köprüsü, CMP'nin onay durumunu uygulama başlangıcında native kabuğa açar ve her onay değişikliğinde bir olay yayınlar. Native kabuğun SDK'ları hem CMP reklam onayına hem de ATT yetkilendirme durumuna bağlıdır; birinin isteği reddetmesi SDK'yı engellemek için yeterlidir.

Ön İstemler ve Apple'ın Yönergesi

Apple, ATT sistem isteminden önce uygulamanın neden takip istediğini ve kullanıcının karşılığında ne kazanacağını yayıncı sesiyle açıklayan bir ön isteme izin verir ve pratikte bunu bekler. İyi yazılmış bir ön istem, kabul oranlarını kayda değer biçimde artırabilir. Apple'ın izin vermediği şey, sistem istemini atlamaya çalışan, reddin sonuçlarını yanlış temsil eden veya uygulama işlevselliğini takip yetkisine koşullayan bir ön istemdir. İnceleyiciler her üç desen için de uygulamaları reddeder ve giderek daha fazla manipülatif metin kullanarak kabule yönlendiren ön istem kullanımı için de reddeder.

Sunucu Tarafı ve SKAdNetwork Yedek Olarak

ATT reddedildiğinde veya web görünümünde reklam onayı reddedildiğinde yayıncı, ilişkilendirme için hâlâ SKAdNetwork'e başvurabilir — Apple'ın bireysel kullanıcı tanımlayıcılarını açığa çıkarmadan dönüşüm verisi sunan gizlilik koruyan ağı. SKAdNetwork, ATT'ye tabi değildir ve kullanıcının onay kararından bağımsız olarak çalışır; bu da kişiselleştirilmiş yolun kapalı olduğu durumlarda ölçüm için doğru varsayılanı olmasını sağlar. Native kabuktan yayıncıya ait bir kimlik hizmetine yapılan sunucudan sunucuya geri bildirimler de ölçüm boşluğunu doldurabilir; bu verinin gerçekten birinci taraf olması ve diğer operatörlerin verileriyle Apple'ın takip tanımına geri çekecek bir şekilde birleştirilmemiş olması koşuluyla.

Reddedilmelere veya Denetimlere Yol Açan Yaygın Hatalar

Kaldırılan veya ceza alan hibrit uygulamalar genellikle aynı birkaç şekilde başarısız olur. WKWebView içindeki CMP banner'ı, ATT istemi henüz çözüme kavuşmadan önce tetiklenir; Apple'ın izni hâlâ beklemedeyken cihaza çerez yerleştirir — bu durum App Store reddine yol açabilir. ATT istemi, ön istem olmadan ve soğuk başlangıçta gösterilir; bu düşük kabul oranlarına ve kullanıcı kaybını artıran kafa karıştırıcı bir deneyime yol açar. Native kabuğun analitik SDK'si, CMP ilk onay olayını tetiklemeden önce IDFA'yı okur; bu kişisel verileri net bir hukuki dayanak olmaksızın yayına sokar. Web görünümünün onay durumu ve native kabuğun yetkilendirme durumu, senkronizasyon olmaksızın ayrı depolarda tutulur; bu da web görünümünde reklamı reddeden ama native reklam SDK'si hâlâ çalışan bir kullanıcı ortaya çıkarır. Bunların her biri bir ila iki mühendislik günlük düzeltme ve regresyon testi geçişidir — ama her biri aynı zamanda bir denetçinin veya inceleyicinin başladığı tam deseni temsil eder.

Sonuç

ATT ile çerez onayı gereksiz yere örtüşen katmanlar değildir. ATT, belirli bir iOS API'siyle sınırlı bir izin kapısıdır; çerez onayı ise WKWebView dahil herhangi bir tarayıcı sınıfı ortamında veri işlemek için hukuki dayanaktır. Hibrit bir uygulama, kullanıcının iki çelişkili istem yerine tek bir tutarlı karar görmesi ve native kabuğun ile web görünümünün aynı yanıtı dikkate alması için ikisini birden bağlayarak ihtiyaç duyar. Bunu doğru yapan yayıncılar, incelemeyi geçen, güvenilir biçimde para kazanan ve hiçbir zaman bir düzenleyicinin uygulama özetinde yer almayan uygulamalar yayınlar. ATT'yi tüm cevap olarak gören veya web görünümü onayı ile native kabuğun birbirinden uzaklaşmasına izin veren yayıncılar 2026'yı App Store inceleme toplantıları ile denetim yanıt mektupları arasında geçirir. Köprüyü bir kez kurun, CMP'yi gerçek kaynağı olarak kabul edin ve ATT'nin, web katmanında zaten tutarlı olan bir gizlilik tutumu üstündeki iOS'a özgü kilit olmasına izin verin.