Cookie、Device ID谈广告和设备的跟踪技术

不久前苹果公司的WWDC大会发布了一项基于WKWebView更新。至此，从iOS14起，所有iOS上的非Safari的浏览器也将和Safari浏览器一样受限于ITP的Cookie规则。换言之，在iPhone和iPad设备上那些以JavaScript设置的第一方Cookie将会在7天后过期。这就意味着像Google Analytics那样用JavaScript写入浏览器第一方Cookie的应用将会收到难以避免的限制。这对后Cookie时代的广告跟踪和设备跟踪乃至网站分析造成了严重影响。至少在GA中，你将见到更多的iOS回访访客会成为新访客。

极诣从2017年开始介绍ITP并曾经预言ITP是网站分析的大灾难（在本文最后有链接）。本篇极诣将会对广告和设备的跟踪技术进行梳理，希望读者有一个更全面的理解。

Web端的跟踪技术Cookie

不管是浏览器还是WebView，Cookie依然是目前常用的跟踪手段。

举个例子，笔者在Linkedin关注了HBR，但是读了几篇以后网站就会告知本月免费阅读数已经超了。（由于网站依赖Cookie计数，我们只要复制网址后在隐私浏览器中打开便可继续阅读。）这个功能并不会受到ITP影响。首先它是第一方Cookie，其次它并非使用JavaScript来设置/更新Cookie。但是GA会受影响，因为GA的代码无法通过HTTP的Set-Cookie进行第一方Cookie更新。你可能因此需要一个Hosted的GA服务。GA使用第一方Cookie本身就是为了对第三方Cookie限制的规避，而这也将到头了。

小结一下，我们知道Web端也分为桌面端和移动端。在桌面端，不同浏览器对Cookie的容忍度不同。大致是第一方Cookie比第三方Cookie能生存更久些。Safari浏览器对由JavaScript生成的第一方Cookie生存期限制减少为7天。这是最近的重要变化。极诣在下图概括了多维度的Cookie生存状况：

显然我们发现第三方Cookie的生存环境已经非常严苛了。这严重影响到了互联网广告业。据Rubicon Project称，当苹果对其Safari浏览器施加跟踪限制(ITP)时，自更新以来的两年中，针对Safari用户的广告价格下降了60％。

在未来的两年中第三方Cookie还会被进一步收紧，感兴趣的小伙伴可以去阅读一下Angelina Eng在AdExchanger的文章《With The End Of Browser Cookie Support, What Will Happen To Measurement And Attribution?》。围绕着谷歌Chrome隐私沙盒（Google Chrome Privacy Sandbox）主要讲了三点：

1. 后展现/后点击的归因仍将被支持。
2. 只有聚合数据将被支持。
3. 浏览器将会控制定期报告。

App端的跟踪技术Device ID

看了上图我们应该知道，移动端也有Cookie的使用，而且广泛存在于各个App中。每次在App中打开HTML页面都会有Cookie的交互。但我们这里说的是原生App中的Device ID。

Device ID在安卓和iOS有过也有着许多不同的定义。用下面一图来解释最为直接：

在安卓端，一般用IMEI和UDID。获取IMEI需要通话权限，这就是为什么许多App会索取该权限。由于安卓应用市场在国内较为混乱，时常会发生不合规的现象。

在iOS端一般用IDFA。从 iOS 10 开始，如果用户限制了广告追踪（【设置】→ 【隐私】→【广告】→【限制广告追踪】），那么IDFA便为0。因此iOS中通常会使用UUID（我们要注意的是UUID不跨网络，而且是基于个别App的）对设备进行赋值，存到KeyChain中。借用一张国内App跟踪服务供应商的流程图：

不管是哪个设备，我们收集了这些Device ID后便可以对该设备进行分析，我们也可以把Device ID存入CDP/DMP中，直连或上传后进行广告精准投放。

在现阶段Device ID在App端的应用显然要比Web端要可靠得多，尤其是国内环境下。但是长远来看，GDPR、CCPA也好，去年正式实施的《信息安全技术个人信息安全规范》也好，历史的车轮都朝着更严苛的隐私保护的方向行驶。而Device ID也被列为个人信息的一部分。广告技术服务商还是要获取用户的许可才能合法地进行跟踪。从Android和iOS的Device ID的演变我们也不难看出从操作系统的层面获取用户Device ID也越来越困难，或许在不远的将来，Device ID也会离我们渐行渐远。

比如最近小米新推出的MIUI12就通过敏感信息获取记录，严格限制敏感信息获取，空值返回和虚拟ID让安卓生态中的各种跟踪手段受到了重创。至于iOS用户在庆幸自己被“保护隐私”的时候被默默杀熟，收智商税也只是五十步笑百步。

最终互联网广告会是一个依靠用户登录状态说话的游戏。这也是为什么像Facebook这样的大型互联网公司有恃无恐从容面对各种广告抵制的原因，因为离开了它们你就“瞎了”，而隐私限制越严苛，你对大科技公司的依赖就越强。

When life gives a lemon, make lemonade.正是因为最好的时代已经结束，技术供应商、广告服务商、广告主更应该基于尊重用户的隐私，一同谋求下一代跟踪手段。

本文行文仓促难免疏漏，请指正。

附录：极诣关于ITP和Cookie限制的相关文章

• 《苹果是怎么把整个数字广告业搞残的？》- 2017年10月
• 《苹果ITP，第三方cookie，gtag.js到底是怎么回事？》- 2018年1月
• 《ITP 2.0和Google Parallel Tracking—这次Cookie真死了》- 2018年9月
• 《Safari ITP2.1 – GA哭了，Cookie和网站分析的大灾难》-2019年3月
• 《Chrome加强第三方Cookie限制，谷歌终于出手了》- 2020年1月
• 《ITP2.2，浏览器指纹，Google I/O，Chrome隐私控制》- 2019年5月
• 《ETP、ITP、NO-TP，是时候把第三方Cookie讲清楚了》- 2019年9月
• 《缓刑两年，后Cookie时代的AdTech将何去何从？》- 2020年3月
• 《惨！Chrome回滚SameSite应对疫情，你还不领情？》- 2020年4月
• 《Safari完全禁止第三方Cookie后，内容相关广告定位是Ad-tech的解药吗？》- 2020年4月