Що насправді регулює App Tracking Transparency

ATT — це шлюз дозволів, який Apple застосовує в iOS та iPadOS. Коли додаток хоче отримати доступ до Identifier for Advertisers (IDFA) пристрою або виконувати відстеження, що пов'язує користувача між додатками та веб-сайтами інших операторів, він повинен викликати requestTrackingAuthorization і показати системний запит, який просить користувача дозволити або відхилити відстеження. Відповідь користувача є бінарною, зберігається до зміни в Налаштуваннях і доступна додатку через API trackingAuthorizationStatus.

Визначення відстеження за Apple

Посібник розробника Apple визначає відстеження конкретно й вузько: зв'язування даних користувача або пристрою, зібраних у вашому додатку, з даними користувача або пристрою, зібраними в додатках, на веб-сайтах або в офлайн-властивостях інших компаній для таргетованої реклами чи вимірювання, або передача даних користувача або пристрою брокерам даних. Визначення свідомо виключає використання даних першої сторони всередині додатку, анонімну агреговану аналітику та обробку для запобігання шахрайству або дотримання законодавства — ці дії не потребують запиту ATT незалежно від того, надав його користувач чи ні.

Що ATT не робить

ATT не є системою управління згодою у значенні GDPR. Вона не збирає детальні вподобання щодо цілей, не фіксує підтвердження згоди з версіонуванням політики, не поширює сигнали до постачальників вебу всередині WKWebView і не задовольняє вимогу законної підстави для зберігання або читання файлів cookie на пристрої користувача. Видавець, який вважає запит ATT своєю повною позицією щодо відповідності для гібридного додатку, знаходиться на відстані одного листа регулятора від штрафу, оскільки завантаження файлів cookie у веб-перегляді — це окрема подія за ePrivacy, яка потребує власного шару згоди.

Як GDPR та ePrivacy застосовуються всередині WKWebView

Веб-перегляд усередині гібридного додатку не є магічно звільненим від правил, що застосовуються до настільного браузера. Щойно WKWebView читає або записує файл cookie, який не є суворо необхідним, — спрацьовує ePrivacy. Щойно WKWebView надсилає аналітичний або рекламний запит, що містить персональні дані, — спрацьовує GDPR. Контейнер Apple не змінює аналіз — змінюється поверхня реалізації, оскільки банер згоди має відображатися всередині веб-перегляду, а стан згоди має бути видимим для нативного коду, який також може читати ті самі дані.

Банер всередині веб-перегляду

Стандартний патерн — відображати банер CMP всередині WKWebView так само, як на веб-сайті. Банер встановлює файли cookie у сховище файлів cookie веб-перегляду, надсилає подію оновлення згоди до контексту JavaScript сторінки та оновлює машину стану Google Consent Mode v2, яку зчитують аналітичні та рекламні теги сторінки. Реалізація не відрізняється від звичайної веб-CMP — відмінність у тому, що сховище файлів cookie обмежене WKWebView і не видиме іншим додаткам або Safari, що корисно для ізоляції, але некорисно, якщо видавець також веде веб-сайт, де користувач вже давав згоду.

Спільне використання згоди між веб-переглядом і нативною оболонкою

Складніша проблема — міст між WKWebView і нативною оболонкою. Нативна оболонка може мати власний аналітичний SDK, який читає IDFA після того, як користувач надав ATT, тоді як у веб-перегляді є власний банер згоди, який користувач міг прийняти або не прийняти. Якщо користувач надає ATT, але відхиляє рекламну згоду у веб-перегляді, нативний SDK все одно може читати IDFA, але теги веб-перегляду не мають цього робити. Якщо користувач відхиляє ATT, але приймає рекламну згоду веб-перегляду, нативний SDK заблоковано, але теги веб-перегляду повинні продовжувати спрацьовувати — хоча IDFA-ідентифікатор нативного SDK очевидно не може пройти через міст. Найчистіший патерн — єдине джерело правди — CMP — відкрите через міст JavaScript, який нативна оболонка читає під час запуску додатку та при кожній зміні згоди, разом із паралельним запитом ATT, що делегує рекламне рішення до CMP, а не запитує знову.

Шар CPRA та штатів США

Для американських видавців картина має третій шар. CPRA, а також кластер законів штатів, які слідували за Вірджинією, Колорадо, Коннектикутом та Ютою, трактують IDFA так само, як веб-файли cookie — і те, і інше є персональною інформацією, продаж або передача якої тягне право на відмову. Заголовок Global Privacy Control, який надсилають веб-браузери, — це сигнал для споживачів, а Multi-State Privacy Agreement (MSPA) IAB з відповідним рядком конфіденційності США — це сигнал для видавців. Гібридний додаток, що поширюється в США, повинен розміщувати посилання «Не продавати та не передавати мою персональну інформацію» безпосередньо у додатку, спрямовувати відмову, що виникає, як до CMP веб-перегляду, так і до SDK вимірювання нативної оболонки, і дотримуватися будь-яких вхідних заголовків GPC, що надходять до веб-перегляду з глибокого посилання.

Діти та COPPA у гібридних додатках

Якщо додаток має рейтинг для дітей або є обґрунтовані підстави очікувати дітей серед користувачів, COPPA у США та положення GDPR-K в ЄС накладають додаткові обмеження поверх ATT і стандартної згоди. IDFA взагалі не можна запитувати для дитячих акаунтів, рекламна згода веб-перегляду за замовчуванням має бути відхилена, і будь-який сторонній SDK у нативній оболонці має бути підтверджений як такий, що відповідає COPPA, перед розповсюдженням. Перевірка App Store відхиляє додатки з дитячим рейтингом, що показують стандартний запит ATT, — це поширена помилка реалізації, коли команди створюють єдиний бінарний файл для всієї аудиторії.

Інженерний патерн, що проходить перевірку

Архітектура гібридного додатку, що витримує як перевірку App Store, так і аудит конфіденційності ЄС, має невелику кількість повторюваних елементів. Банер CMP всередині WKWebView є джерелом правди для рекламної згоди. Запит ATT показується лише після того, як CMP вирішить питання, лише якщо користувач прийняв рекламну згоду, і лише з користувацьким попереднім запитом, що пояснює, що дозволить відстеження. Міст JavaScript відкриває стан згоди CMP нативній оболонці при запуску додатку та генерує подію при кожній зміні згоди. SDK нативної оболонки залежать як від рекламної згоди CMP, так і від статусу авторизації ATT; будь-якого з них, що відхиляє запит, достатньо для блокування SDK.

Попередні запити та рекомендації Apple

Apple дозволяє — і на практиці очікує — попередній запит перед системним запитом ATT, який голосом видавця пояснює, чому додаток хоче відстеження і що користувач отримує натомість. Добре написаний попередній запит може суттєво підвищити рівень погодження. Що Apple не дозволяє — це попередній запит, що намагається обійти системний запит, що спотворює наслідки відмови або обумовлює функціональність додатку авторизацією відстеження. Рецензенти відхиляють додатки за всі три патерни, і дедалі частіше — за використання попереднього запиту для підштовхування до погодження маніпулятивними текстами.

Серверна сторона і SKAdNetwork як запасні варіанти

Коли ATT відхилено або рекламну згоду відхилено у веб-перегляді, видавець може все ж покластися на SKAdNetwork для атрибуції — мережу Apple, яка захищає конфіденційність і надає дані конверсії без розкриття індивідуальних ідентифікаторів користувача. SKAdNetwork не підпадає під ATT і працює незалежно від рішення про згоду користувача, що робить її правильним варіантом за замовчуванням для вимірювання, коли персоналізований шлях закрито. Постбеки від сервера до сервера від нативної оболонки до сервісу ідентифікації, що належить видавцю, також можуть заповнити прогалину у вимірюванні за умови, що дані справді є першою стороною і не об'єднані з даними інших операторів таким чином, що повертає їх до визначення відстеження Apple.

Поширені помилки, що викликають відхилення або аудити

Гібридні додатки, що видаляються або штрафуються, як правило, зазнають невдачі однаково. Банер CMP всередині WKWebView спрацьовує до того, як запит ATT вирішено, розміщуючи файли cookie на пристрої, поки дозвіл Apple ще очікується, — це знахідка, яка може призвести до відхилення в App Store. Запит ATT показується без попереднього запиту та при холодному запуску, що дає низький рівень погодження і заплутаний досвід користувача, який збільшує відтік. SDK аналітики нативної оболонки читає IDFA до того, як CMP видало свою першу подію згоди, розміщуючи персональні дані без чіткої правової підстави. Стан згоди веб-перегляду та стан авторизації нативної оболонки зберігаються в окремих сховищах без синхронізації, породжуючи користувача, який відхилив рекламу у веб-перегляді, але чий нативний рекламний SDK усе ще спрацьовує. Кожна з цих помилок — виправлення на один-два інженерних дні та прохід регресійного тестування, — але кожна є також точним патерном, з якого починає аудитор або рецензент.

Підсумок

ATT та згода на файли cookie — не надлишкові нашарування. ATT — це шлюз дозволів, обмежений конкретним API iOS, а згода на файли cookie — це законна підстава для обробки даних у будь-якому середовищі класу браузера, включно з WKWebView. Гібридному додатку потрібні обидва, пов'язані між собою так, щоб користувач бачив одне узгоджене рішення, а не два суперечливих запити, і щоб нативна оболонка та веб-перегляд дотримувалися однієї відповіді. Видавці, які роблять це правильно, випускають додатки, що проходять перевірку, надійно монетизуються та ніколи не з'являються у зведенні правозастосування регулятора. Видавці, які вважають ATT повною відповіддю або дозволяють згоді веб-перегляду і нативній оболонці розходитися, проводять 2026 рік, чергуючи зустрічі з перевірки App Store і листи-відповіді на аудити. Побудуйте міст один раз, вважайте CMP джерелом правди і дозвольте ATT бути iOS-специфічним замком поверх позиції конфіденційності, яка вже узгоджена на рівні вебу.