在不使用 IDFA 的 iOS 应用中使用 Google Analytics(分析)和 AdMob 是否需要征得同意？

好问题。

不存在"；个人可识别信息"；在GDPR中。术语是"；"个人数据"；，它并不局限于正在识别的数据，官方称之为

与已识别或可识别的自然人有关的任何信息

例如，颜色red本身只是数据，根本不是个人的，GDPR不在乎你用它做什么；"最喜欢的颜色"；，然后它就变成了GDPR意义上的个人数据。

部分原因是单个字段可能不具有标识性，但当与其他(可能也是非标识性)字段组合使用时，它们可能会变得具有标识性。例如，London中的John Smith可能不足以识别特定的个体，但Greenland中的John Smith可能不会太难追踪。这当然变得更容易涉及更多的领域，无论多么无害&匿名的，他们可能单独出现。这是浏览器指纹识别的全部基础，在糟糕的广告技术中很常见

ePD和GDPR不包含有关cookie的规则，您可以使用其他技术(如您注意到的本地存储)解决这些规则；如果他们达到了同样的目的，他们就有资格成为通常需要同样程度同意的人。

在Schrems II的判决和隐私盾完全预期的崩溃之后，你实际上不能使用谷歌或脸书在欧盟的任何服务。他们两人都发表了关于使用SCC代替隐私保护的声明，然而，他们歪曲了欧洲法院的发现(SCC通常是有效的，但不能在没有提供足够保护的司法管辖区使用，包括美国)，这些政策将不复存在。这句谚语还没有在球场上引起球迷的注意，但它很快就会发生。例如，英国可能会在2021年1月失去GDPR的充分性地位，原因是其繁重的监控法和缺乏GDPR的执行，再加上英国脱欧带来的复杂性。

通过使用像Matomo这样的自托管分析系统，你可以避免谷歌分析的更广泛问题，在那里你可以绝对确定你的数据去向。

没有行为跟踪的情境广告服务确实存在，而且它们的效果通常不会比广告技术中更糟糕的部分差多少，尽管广告网络会试图告诉你什么！

请记住，在GDPR中，同意是最后手段的基础；如果你可以使用另一种基础，比如合同，那么你应该优先使用它。这意味着，例如，你不需要同意就可以处理在你的系统上创建帐户的人的数据，只要该帐户的管理就是这些数据的全部用途。如果你想使用相同的数据进行营销，确实需要同意(这是ePD，而不是GDPR)。还要记住，你不能因为基本权利而签订合同，尽管在实践中，同意可能会延长很长一段时间。这也意味着你不能通过在隐私政策中隐藏一些东西来逃避义务。隐私政策对用户没有任何约束力——他们不能"；同意"；对它就像一份合同；它可以通知他们您如何处理他们的数据。对政策的一个很好的检查是查看工作的所有用途；可以"；，因为它往往隐藏着大量的罪恶。如果您不能明确命名将与之共享用户数据的所有第三方，则不应该使用这些服务。

现在，虽然我在这里说了很多，但我实际上对苹果如何使用IDFA中的数据来对特定情况提供更多帮助还不够了解，然而，背景都是一样的，所以我希望其中一些有帮助。

这里的关键立法是欧盟的电子隐私指令及其国家法律。最重要的条款是2009年修订的第5(3)条。上面写着：

">成员国应确保，只有在相关用户或用户同意的情况下，才允许在用户或用户的终端设备中存储信息，或访问已存储的信息，根据指令95/46/EC，特别是关于加工目的的规定。这不应阻止仅为通过电子通信网络进行通信传输而进行的任何技术存储或访问，或为用户或用户明确要求的信息社会服务提供商提供服务而进行的严格必要的存储或访问。">；

你会注意到它没有提到cookie，因为它的适用范围要广得多。它适用于两种情况：

1. 当您(或您使用的第三方)在最终用户的终端(如手机)上存储"信息"(如cookie)时；或

2. 当您(或您使用的第三方)访问已存储在终端中的信息时。

请注意，即使您的活动不涉及个人数据处理，本文也适用。如果您也处理个人数据，那么GDPR也适用。

所以你的第一个问题的答案是：根据谷歌Firebase的电子隐私指令，你需要同意。它收集的信息也是个人数据，因此您也需要遵守GDPR义务(隐私声明、数据主体权利、向第三国的传输等)

你的第二个问题的答案是：你可能需要同意，因为你正在"存储"AdMob SDK(作为信息)到你的最终用户的终端，它从这些终端读取信息(获得对已经存储的信息的访问权限…)

你的第三个问题的答案是：你已经有一段时间没有阅读这些政策了，但它们可能要求你遵守适用的立法。这包括电子隐私和GDPR等法律。

最后一点是，你可能找不到太多完全符合电子隐私的iOS/Android应用程序，因为尽管上述同意要求自2011年以来一直适用，但欧洲当局尚未强制执行！