آیدی تبلیغاتی گوشی شما هنوز فروخته می‌شود؛ این‌ها دلال‌های داده‌ای هستند که این کار را می‌کنند

در آوریل ۲۰۲۱، اپل App Tracking Transparency را اجباری کرد: اپلیکیشن‌ها باید قبل از دسترسی به IDFA (شناسه تبلیغاتی) اجازه بگیرند. نرخ پذیرش در سطح جهان حدود ۲۵٪ تثبیت شد. گوگل هم ابتکار Privacy Sandbox مشابهی برای اندروید اعلام کرد تا GAID (شناسه تبلیغاتی گوگل) را به روش مشابهی حذف کند. فعالان حریم خصوصی این لحظه را نقطه عطفی برای ردیابی موبایل نامیدند. سه سال بعد، اکوسیستم شناسه تبلیغاتی به‌جای فروپاشی، سازگار شده است — و بازار دلال‌های داده برای شناسه‌های موبایل بزرگ‌تر از قبل از این تغییرات است، نه کوچک‌تر.

شناسه‌های تبلیغاتی موبایل چگونه کار می‌کنند و چرا مهم هستند

IDFA و GAID رشته‌های منحصربه‌فردی هستند که به هر دستگاه موبایل اختصاص داده می‌شوند و جدا از شناسه‌های سخت‌افزاری عمل می‌کنند. این شناسه‌ها طوری طراحی شده‌اند که کاربران بتوانند آن‌ها را بازنشانی کنند — اما در عمل، بیشتر کاربران هرگز این کار را نمی‌کنند. این شناسه‌ها به تبلیغ‌دهندگان اجازه می‌دهند رفتار کاربر را در چندین اپلیکیشن ردیابی کنند (جایی که توسعه‌دهنده همان SDK را تعبیه کرده است)، نصب اپلیکیشن‌ها را به تبلیغات خاص نسبت دهند و پروفایل‌های رفتاری بین‌اپلیکیشنی بسازند.

برخلاف کوکی که مختص مرورگر و دستگاه است، شناسه تبلیغاتی موبایل حتی پس از نصب مجدد اپلیکیشن هم باقی می‌ماند (تا زمانی که دستی بازنشانی شود) و هر اپلیکیشنی که کاربر نصب کند و SDKهای استاندارد ردیابی تبلیغاتی را پیاده‌سازی کرده باشد، به آن دسترسی دارد. در iOS، قبل از ATT، بیش از ۸۰٪ اپلیکیشن‌ها به‌طور معمول به IDFA دسترسی داشتند. بعد از ATT، این رقم کاهش یافت — اما اپلیکیشن‌هایی که همچنان رضایت می‌گیرند، شبکه متراکمی از کاربران بسیار فعال را تشکیل می‌دهند که به ازای هر شناسه برای تبلیغ‌دهندگان ارزش بیشتری دارند، نه کمتر.

بازار دلال‌های داده‌ای که ATT ایجاد کرد — نه نابود کرد

Sensor Tower، یک شرکت هوش موبایل، در سه‌ماهه چهارم ۲۰۲۴ گزارشی منتشر کرد که نشان می‌داد بازار معاملات شناسه تبلیغاتی موبایل در سال ۲۰۲۴ به ۸.۲ میلیارد دلار رسیده است، در حالی که در سال ۲۰۲۰ — قبل از ATT — ۶.۱ میلیارد دلار بود. این رشد برخلاف انتظار است تا زمانی که مکانیزم آن را درک کنید: ATT عرضه IDFAهای رضایت‌داده در iOS را کاهش داد که باعث افزایش قیمت واحد آن‌ها شد. شناسه‌های باقی‌مانده از کاربرانی هستند که فعالانه رضایت داده‌اند، بنابراین سرنخ‌های باکیفیت‌تری هستند که به ازای هر شناسه ارزش بیشتری دارند.

دلال‌هایی که در این بازار فعالیت می‌کنند شامل نام‌هایی هستند که بیشتر مصرف‌کنندگان هرگز نشنیده‌اند. Acxiom، زیرمجموعه IPG، برای حدود ۷۰۰ میلیون دستگاه موبایل در جهان پروفایل نگه می‌دارد و IDFAها و GAIDها را با داده‌های خرید آفلاین، تاریخچه مکان و اطلاعات جمعیت‌شناختی خریداری‌شده از خرده‌فروشان تطبیق می‌دهد. Oracle Data Cloud (که قبلاً Datalogix نام داشت و در ۲۰۱۴ خریداری شد) پایگاه داده‌ای با مقیاس مشابه دارد. پلتفرم شناسایی هویت LiveRamp بر اساس گزارش ۱۰-K سال ۲۰۲۴ خود، بیش از ۱۶۰ میلیارد تطبیق هویت بین‌دستگاهی در ماه پردازش می‌کند.

دلال‌های داده از شناسه شما چه می‌دانند؟

یک شناسه تبلیغاتی به تنهایی هیچ اطلاعات شخصی ندارد — یک رشته تصادفی مانند «A1B2C3D4-E5F6-7890-ABCD-EF1234567890» است. ارزش آن به چیزهایی است که از طریق جمع‌آوری داده‌های طولی و تطبیق به آن متصل می‌شود. یک پروفایل معمولی دلال داده که به یک IDFA مرتبط است شامل موارد زیر است: الگوهای استفاده از اپلیکیشن (کدام اپلیکیشن‌ها، چه مدت، در چه ساعاتی)، تاریخچه موقعیت مکانی با دقت طول و عرض جغرافیایی از ادغام SDK مکان، نوع دستگاه و جزئیات سیستم‌عامل، جمعیت‌شناسی استنباطی (سن، جنسیت، طبقه درآمدی) از مدل‌سازی رفتاری، سیگنال‌های قصد خرید از رفتارهای اپلیکیشن‌های خرید، و در برخی موارد، استنباط‌های مرتبط با سلامت از اپلیکیشن‌های تناسب اندام و پزشکی.

مطالعه‌ای از مدرسه سیاست‌های عمومی سانفورد دانشگاه دوک در فوریه ۲۰۲۴ پیشنهادات داده‌ای ۱۲ دلال عمده را آزمایش کرد. محققان دریافتند که با ۰.۱۳ دلار برای هر رکورد، می‌توانند فایل‌های داده‌ای حاوی IDFA یا GAID، تاریخچه موقعیت مکانی با دقت ۱۰ متر برای ۱۲ ماه گذشته و ویژگی‌های استنباطی شامل «احتمالاً باردار»، «خانوار مبتلا به HIV» و «جستجوی درمان سوءمصرف مواد» را خریداری کنند — همه از بازدیدهای مکان و الگوهای استفاده از اپلیکیشن به دست آمده‌اند. این داده‌ها بدون هیچ مکانیزم رضایتی فراتر از بندهای دفن‌شده اشتراک‌گذاری داده در شرایط استفاده اپلیکیشن‌ها فروخته می‌شود.

SDKهایی که این کار را ممکن می‌کنند — هنوز در میلیون‌ها اپلیکیشن

جمع‌آوری داده عمدتاً از طریق SDKهای تبلیغاتی و تحلیلی انجام می‌شود که توسعه‌دهندگان اپلیکیشن برای کسب درآمد از اپلیکیشن‌های خود تعبیه می‌کنند. بزرگ‌ترین شبکه‌های SDK از نظر پایگاه نصب عبارتند از Adjust (مالک AppLovin)، AppsFlyer، Branch و ironSource. این SDKها در صدها هزار اپلیکیشن وجود دارند. وقتی اپلیکیشنی حاوی این SDKها را باز می‌کنید، IDFA شما به سرور ارائه‌دهنده SDK فرستاده می‌شود و در آنجا با گراف هویت بین‌اپلیکیشنی آن‌ها تطبیق داده می‌شود.

محققان AppCensus (یک شرکت حسابرسی حریم خصوصی موبایل) در سال ۲۰۲۴، ۲۵۰۰۰ اپلیکیشن iOS را تحلیل کردند و دریافتند که ۶۳٪ از آن‌ها حداقل یک SDK شخص ثالث داشتند که IDFA را از دستگاه ارسال می‌کرد، حتی برای اپلیکیشن‌هایی که به ظاهر از ATT پشتیبانی می‌کنند. مکانیزم: ارائه‌دهندگان SDK متوجه شدند که بسیاری از توسعه‌دهندگان اعلان ATT را به اشتباه پیاده‌سازی می‌کنند — یا اصلاً پیاده‌سازی نمی‌کنند — و IDFA بدون توجه به وضعیت رضایت کاربر ارسال می‌شود. اجرای انطباق ATT توسط اپل در کد SDK شخص ثالث از طریق بررسی App Store انجام می‌شود، اما فرآیند بررسی همه تخلفات را نمی‌گیرد، به‌ویژه در SDKهایی که از بارگذاری پویای کد استفاده می‌کنند.

Privacy Sandbox گوگل برای اندروید: دوباره به تأخیر افتاد

گوگل در سال ۲۰۲۲ اعلام کرد که اندروید GAID را تا سال ۲۰۲۴ حذف می‌کند و آن را با رویکرد Privacy Sandbox با استفاده از Topics API (هدف‌گیری بر اساس علایق بدون اشتراک‌گذاری شناسه بین‌اپلیکیشنی) و Attribution Reporting API (اندازه‌گیری تبدیل بدون شناسایی کاربر) جایگزین می‌کند. حذف GAID بارها به تأخیر افتاده است. از اواسط ۲۰۲۵، GAID همچنان به‌طور کامل روی همه دستگاه‌های اندرویدی در دسترس است. جدول زمانی اعلام‌شده گوگل اکنون ۲۰۲۶ برای «گسترش گسترده‌تر» جایگزین‌های Privacy Sandbox است و هیچ تاریخ قطعی برای حذف GAID وجود ندارد.

تأخیر تا حدی فنی است (جایگزین‌های Privacy Sandbox در آزمایش‌های A/B نسبت به هدف‌گیری مبتنی بر GAID برای تبلیغ‌دهندگان عملکرد ضعیف‌تری دارند، طبق اسناد داخلی گوگل که در پرونده ضد انحصار وزارت دادگستری لو رفت) و تا حدی تجاری (گوگل با مخالفت شدید شرکای اکوسیستم تبلیغاتی خود مواجه است که به GAID برای کسب‌وکارشان وابسته هستند). نتیجه عملی: پایگاه ۳ میلیارد دستگاه اندرویدی همچنان در سال ۲۰۲۵ و احتمالاً ۲۰۲۶ به‌طور پیش‌فرض به‌طور کامل ردیابی می‌شود.

گزینه‌های واقعی شما برای کاهش مواجهه

اقدامات حریم خصوصی در دسترس بیشتر کاربران معنی‌دار هستند اما ناقص. در iOS، فعال کردن «محدودیت ردیابی تبلیغات» در تنظیمات > حریم خصوصی > ردیابی (و رد کردن همه درخواست‌های ردیابی هر اپلیکیشن) از اشتراک‌گذاری IDFA با اپلیکیشن‌هایی که ATT را به درستی پیاده‌سازی می‌کنند، جلوگیری می‌کند. اما از استفاده فروشندگان SDK از انگشت‌نگاری دستگاه جلوگیری نمی‌کند — تکنیکی که از ویژگی‌های پایدار دستگاه (رزولوشن صفحه، نسخه iOS، لیست فونت سیستم، مدل GPU، ظرفیت باتری) برای تولید یک شناسه احتمالی استفاده می‌کند که مانند IDFA ردیابی می‌کند اما مشمول محدودیت‌های ATT نیست. انگشت‌نگاری از نظر فنی توسط دستورالعمل‌های توسعه‌دهنده اپل ممنوع است اما همچنان به‌طور فعال استفاده می‌شود.

در اندروید، می‌توانید GAID خود را از طریق تنظیمات > گوگل > تبلیغات > حذف شناسه تبلیغاتی (اندروید ۱۲+) بازنشانی کنید. در نسخه‌های قدیمی‌تر اندروید، فقط می‌توانید آن را بازنشانی کنید، نه حذف. استفاده از VPN از اشتراک‌گذاری IDFA یا GAID جلوگیری نمی‌کند — شناسه در لایه اپلیکیشن ارسال می‌شود، نه لایه شبکه. ابزارهای حریم خصوصی مبتنی بر مرورگر (مسدودکننده‌های تبلیغات، مسدودکننده‌های ردیاب) هیچ تأثیری بر ردیابی اپلیکیشن‌های موبایل ندارند.

چشم‌انداز نظارتی در سال ۲۰۲۵

اجرای GDPR بر روی شناسه‌های تبلیغاتی موبایل فعال بوده است. CNIL فرانسه گوگل را ۱۵۰ میلیون یورو و فیسبوک را ۶۰ میلیون یورو در سال ۲۰۲۲ جریمه کرد زیرا رد کردن کوکی‌ها را سخت‌تر از پذیرش آن‌ها کرده بودند. DPC ایرلند (که پرونده‌های GDPR گوگل و متا در اتحادیه اروپا را رسیدگی می‌کند) در ژانویه ۲۰۲۳ متا را ۳۹۰ میلیون یورو به دلیل استفاده از داده‌های شخصی برای تبلیغات رفتاری بدون رضایت معتبر جریمه کرد. با این حال، اجرای اختصاصی شناسه تبلیغاتی موبایل محدود بوده است — نهادهای نظارتی اتحادیه اروپا عمدتاً بر رضایت کوکی تمرکز کرده‌اند، در حالی که ردیابی SDK موبایل عمدتاً خارج از کانون توجه نظارتی فعلی فعالیت می‌کند.

در ایالات متحده، هیچ قانون فدرال حریم خصوصی معادل GDPR وجود ندارد. قانون حقوق حریم خصوصی کالیفرنیا (CPRA) از نظر فنی شناسه‌های تبلیغاتی موبایل را به عنوان اطلاعات شخصی پوشش می‌دهد و به ساکنان کالیفرنیا حق انصراف از «فروش» آن‌ها را می‌دهد. چندین دلال داده اکنون مکانیزم‌های انصراف مختص کالیفرنیا را ارائه می‌دهند، اما فرآیند پراکنده است — باید از هر دلال به طور جداگانه انصراف دهید و هیچ مکانیزم فنی برای اجرای انطباق دلال با درخواست‌های انصراف وجود ندارد.

مراحل عملی

• iOS: هم‌اکنون مجوزهای ردیابی همه اپلیکیشن‌ها را بررسی کنید. به تنظیمات > حریم خصوصی و امنیت > ردیابی بروید. هر اپلیکیشنی که ردیابی فعال دارد، IDFA شما را دریافت کرده است. برای اپلیکیشن‌هایی که ردیابی عملکرد اصلی نیست (بازی‌ها، ابزارها، خبرخوان‌ها) آن را غیرفعال کنید.
• اندروید: شناسه تبلیغاتی خود را حذف کنید. تنظیمات > گوگل > تبلیغات > حذف شناسه تبلیغاتی. این کار GAID را با صفرهای کامل جایگزین می‌کند و ردیابی مبتنی بر GAID را مسدود می‌کند. در اندروید ۱۲+ در دسترس است.
• دسترسی به موقعیت مکانی را به شدت محدود کنید. داده مکان باارزش‌ترین جزء پروفایل‌های تبلیغاتی موبایل است. همه اپلیکیشن‌های غیر از ناوبری را برای دسترسی به مکان روی «فقط در حین استفاده» یا «هرگز» تنظیم کنید. این کار تاریخچه موقعیتی که دلال‌های داده می‌توانند بخرند را محدود می‌کند.
• درخواست انصراف را به دلال‌های بزرگ ارسال کنید. Acxiom، Oracle Data Cloud و LiveRamp همگی پورتال‌های انصراف مصرف‌کننده دارند. فرآیند دستی و خسته‌کننده است، اما برای حذف قدیمی‌ترین داده‌ها مؤثر است. اگر مدیریت خودکار انصراف از دلال‌ها را می‌خواهید، از سرویس‌های DeleteMe یا Privacy Bee استفاده کنید.
• به اپلیکیشن‌های «متمرکز بر حریم خصوصی» که از SDKهای تبلیغاتی استفاده می‌کنند، شک کنید: قبل از نصب یک اپلیکیشن، برچسب حریم خصوصی آن در App Store/Play Store را برای ورودی‌های «داده‌های مرتبط با شما» بررسی کنید. اپلیکیشن‌هایی که ادعا می‌کنند ابزار حریم خصوصی هستند اما همچنان داده شناسه تبلیغاتی را در برچسب حریم خصوصی خود نشان می‌دهند، با خود تناقض دارند.