Đồng Ý Cookie cho Ứng Dụng Di Động: Hướng Dẫn Tuân Thủ GDPR và CCPA
Khi nói về đồng ý cookie, các trang web nhận được tất cả sự chú ý. Nhưng ứng dụng di động xử lý dữ liệu cá nhân nhiều không kém — thậm chí thường nhiều hơn — so với các trang web. Và các quy tắc áp dụng như nhau. GDPR không phân biệt giữa cookie của trang web và SDK ứng dụng thu thập ID thiết bị, dữ liệu vị trí hoặc mã nhận dạng quảng cáo.
Sự Khác Biệt Giữa Đồng Ý Di Động và Web
Các trang web sử dụng cookie. Ứng dụng sử dụng SDK, mã nhận dạng thiết bị (IDFA/GAID), bộ nhớ cục bộ và các lệnh gọi API. Công nghệ khác nhau, nhưng yêu cầu pháp lý là giống nhau: bạn cần sự đồng ý có hiểu biết, tự nguyện trước khi thu thập dữ liệu cá nhân cho các mục đích không cần thiết.
- Trang web: Biểu ngữ cookie, Consent Mode, chuỗi TCF
- Ứng dụng: Hộp thoại đồng ý trong ứng dụng, lời nhắc ATT (iOS), cổng khởi tạo SDK
- Cả hai: Phải lấy sự đồng ý trước khi theo dõi, phải cho phép rút lại, phải lưu hồ sơ
Apple ATT so với Đồng Ý GDPR
App Tracking Transparency (ATT) của Apple không giống với sự đồng ý GDPR. ATT là yêu cầu nền tảng của Apple — nó kiểm soát quyền truy cập IDFA. GDPR là yêu cầu pháp lý — nó kiểm soát tất cả việc xử lý dữ liệu cá nhân. Bạn cần cả hai. Việc chọn tham gia ATT không đáp ứng GDPR, và sự đồng ý GDPR không bỏ qua ATT.
Những Gì Cần Đồng Ý trong Ứng Dụng Di Động
- SDK quảng cáo — AdMob, Meta Audience Network, AppLovin
- SDK phân tích — Firebase Analytics, Mixpanel, Amplitude
- SDK phân bổ — Adjust, AppsFlyer, Branch
- Mã nhận dạng thiết bị — IDFA (iOS), GAID (Android)
- Dữ liệu vị trí — GPS, định vị địa lý dựa trên IP
- Token thông báo đẩy — khi được liên kết với hồ sơ người dùng
Các Biện Pháp Thực Hiện Tốt Nhất
- Hiển thị đồng ý trước khi khởi tạo SDK — không tải các SDK theo dõi cho đến khi người dùng đồng ý
- Cung cấp lựa chọn chi tiết — phân tích và quảng cáo phải là các nút chuyển đổi riêng biệt
- Hỗ trợ rút lại đồng ý — người dùng phải có thể thay đổi quyết định từ cài đặt ứng dụng
- Lưu hồ sơ đồng ý — giữ nhật ký phía máy chủ với dấu thời gian và phạm vi đồng ý
- Xử lý ATT và GDPR riêng biệt — chỉ riêng việc chọn tham gia ATT là không đủ cho GDPR
CCPA cho Ứng Dụng Di Động
CCPA/CPRA của California áp dụng cho các ứng dụng thu thập dữ liệu từ cư dân California. Không giống như GDPR, CCPA sử dụng mô hình từ chối — người dùng có thể yêu cầu dữ liệu của họ không được bán hoặc chia sẻ. Ứng dụng của bạn cần cơ chế "Không Bán hoặc Chia Sẻ Thông Tin Cá Nhân Của Tôi".
FlexyConsent cho Di Động
JavaScript nhẹ của FlexyConsent hoạt động trong các ứng dụng lai (Cordova, Ionic, React Native WebView) và web di động. Đối với ứng dụng gốc, API đồng ý của chúng tôi cung cấp cùng các tín hiệu TCF 2.3 và Consent Mode V2 giúp vận hành giải pháp web.