A közelmúltban több hírportálon is megjelent, hogy az Apple az általa gyártott eszközön megváltoztatta az adatvédelmi beállításokat, és ez komoly bevételkiesést jelenthet például a Facebook számára. Ebben a blogbejegyzésben annak igyekszünk utánanézni, hogy mi is ez a funkció, illetve miért olyan fontos a hirdetőknek és a személyes adataikat védő magánszemélyeknek.
Az Apple által üzemeltett iOS mobil operációs rendszerének (és más végpontokhoz tartozó operációs rendszereinek, például az iPadOS-nak) iOS 14.5 jelű iterációja nagy port kavaró, a közelmúltban bevezetett funkcionalitása az ATT, azaz az App Tracking Transparency keretrendszer. Az ATT implementálásával az Apple dedikált szoftveráruházából (App Store) beszerzett applikációknak egy opt-in promptot (kifejezett hozzájárulást kérő üzenetet) kell megjeleníteni a felhasználó számára, amennyiben az alkalmazás célzott reklámozást (targeting) lehetővé tévő nyomon követéshez (tracking) szükséges felhasználó oldali adatokat gyűjt vagy oszt meg harmadik felekkel. Amennyiben ez a hozzájárulási kérés nem jelenik meg vagy a felhasználó úgy dönt, hogy nem szeretné, hogy az alkalmazás használatával róla gyűjtött adat célzott reklámozási célokra hasznosuljon, az alkalmazás nem férhet hozzá a végpontok (eszközök) egyedi, a hirdetők számára létrehozott azonosítójához (Identifier for Advertisers – IDFA). Az IDFA elérhetetlenségével az ATT-nek eleget tevő módszerekkel gyűjtött adatok nem hozhatóak összefüggésbe a konkrét felhasználóval, tehát a célzott reklámozás ettől fogva nem lehetséges, de legalábbis nagyon megnehezül számítástechnikai szempontból.
Az ATT mint adatvédelmi funkció
A helyzet tehát az, hogy az ATT keretrendszert meghonosító iOS-en futó applikációk nem közlik az IDFA-t az interneten keresztül, amennyiben a végfelhasználó ebbe konkrétan nem egyezett bele. Ez nem jelenti azonban azt, hogy semmilyen, az érintett alkalmazás használatával létrejövő adat nem kerül közlésre. Egy, az App Store-ból letöltött alkalmazások statikus (kód analízis) és dinamikus (runtime analízis) vizsgálatával végzett kutatás szerint az ATT keretrendszerének bevezetése után is az alkalmazások 87,52 %-a mindenfajta felhasználói interakció hiányában (tehát az üzenet megválaszolása hiányában is) adatot közölt egyes nyomonkövetési (tracking) könyvtárakkal. Ezek jellemzően az Apple-höz tartozó SKAdNetwork és az Alphabethez tartozó Firebase Analytics voltak.
Az adatközlés önmagában nem jelenti a célzott reklámozáshoz megfelelő, individualizált adatok létrejöttét. Ehhez pont az IDFA lenne a legmegfelelőbb eszköz, azonban ez beleegyezés hiányában elérhetetlen.
A közlésre került adatok tehát eleve nem egyediesítettek, azonban ez nem zárja ki teljesen az individualizálásuk lehetőségét. Az ún. „ujjlenyomatvételezés” (fingerprinting) és „kohorszkövetés” (cohort tracking) funkciók ugyanis ilyenkor is lehetővé teszik, hogy az egyébként közölt adatokhoz később konkrét felhasználói azonosítók is társulhassanak.
A módszer egyfajta visszafejtés, amelynek során a tracking könytár egy vagy több alkalmazás használata során generálódott adatból (például lokalizációs adatok, IP-cím, a végponti modell, az operációs rendszer fajtája) létre képes hozni egy egyedi azonosítót. Ilyen célokat szolgál például az Alibabához is köthető Umeng vállalat által generált AAID, amely mint betűszó is valószínűleg valamilyen egyedi azonosítót takar. Ez az azonosító felállítható 20 adatpont használatából, amelyből 19 valódi adatokat tartalmaz (A 20. az IDFA, amelyet az ATT keretrendszere elrejt).
Az említett módszerek a közölt adatok közötti összefüggések vizsgálatával képesek újabb felhasználói azonosítók létrehozására, azaz a kinyert adatok individualizálására. Ez az individualizálás azonban – mindamellett, hogy az ATT szabályaival ellentétes – nem feltétlenül produkál olyan magatartási profilokat, amelyekkel lehetővé válna célzottan reklámozni. Ez szolgálhat annak okaként is, hogy az Apple az ATT implementálása óta miért nem törte le teljesen az ilyen módszerek alkalmazását, amellett hogy könnyen elképzelhető, az ATT valódi célja nem is egy új horizontális adatvédelmi politika vagy új adatvédelmi paradigma bevezetése.
Az ATT mint az Apple kapuőri pozíciójának egyik letéteményese
A platformok és tágabban a digitális szolgáltatások ökoszisztémájában az ATT ügye kiemelt figyelmet érdemel. A célzott reklámozás a platformok és sok más digitális szolgáltató által alkalmazott üzleti modell legfontosabb eleme. Amennyiben ezt érinti egy új korlátozó szabály, az a digitális szolgáltatásokat üzemeltető vállalkozások árbevételén és profitján azonnal látszódni fog. Amennyiben egy korlátozó szabály egyenlőtlenül érinti a versenytársakat (főleg, ha a versenytársak rá vannak utalva egy másik – vélhetően nagy piaci jelenléttel rendelkező – versenytárs, például az Apple infrastrukturális szolgáltatásaira, például az App Store használatára), az a közöttük húzódó szakadék kiszélesedésével, az olló nyílásával járhat.
Tény, hogy az Apple saját szabályai nem érintik olyan hátrányosan az Apple-t mint a versenytársait. Az Apple mint végpont és számos infrastrukturális szolgáltatás (köztük például az App Store) nyújtójaként nagy mennyiségű firstparty adattal rendelkezik, amelyeket saját szolgáltatásai közben folyamatosan szerez. A SKAdNetwork mint az egyik legnépszerűbb tracking könyvtár is az Apple érdekeltségét képezi, tehát amennyiben a jövőben az egyedi használati adatok kevéssé válnak elérhetővé, az egyébként is nagy adatvagyonnal rendelkező Apple eszközei még értékesebbé válnak. Arról nem is beszélve, hogy ahogy említettük, a fent leírt individualizálás: azaz az ujjlenyomatvétel vagy a kohorszkövetés nem is feltétlenül alkalmas arra, hogy a célzott reklámozás alapjául szolgáló adatot szolgáltasson.
Mindezek fényében leszögezhető, hogy a nyomon követés és a célzott reklámozás az iOS 14.5+ operációs rendszereken az ATT-vel mostantól jobban függ a felhasználó akaratától. Megjegyzendő azonban az is, hogy az Apple adatvédelmi indokolással bevezetett intézkedése komoly fejfájást okoz az Apple közelebbi versenytársainak. Mindezen okokból ugyan most egyes, az interneten utazó felhasználói adatok nagyobb biztonságban vannak, de – az ATT és várhatóan a Private Relay architektúra alkalmazásával egyaránt – az Apple kapuőri szerepe tovább erősödik.