Што збірае Mixpanel

SDK Mixpanel (загружаемы з cdn.mxpnl.com ці размешчаны самастойна) ініцыялізуе глабальны аб'ект mixpanel і ідэнтыфікуе карыстальнікаў з дапамогай cookie, які належыць Mixpanel і змяшчае згенераваны ўнікальны ID. З гэтага моманту кожны выклік mixpanel.track() паведамляе карысную нагрузку падзеі — імя падзеі, уласцівасці, унікальны ID і набор аўтаматычна захопленых уласцівасцей (user agent, АС, рэферэр, параметры UTM, разрозненне экрана, часавы пояс) — на канчатковую кропку прыёму Mixpanel. SDK таксама падтрымлівае рэжым Autocapture, які назірае за DOM і выпускае падзеі кліку, прагляду старонкі і адпраўкі формы без відавочнага інструментавання, рэзка пашыраючы паверхню сабранага.

Як толькі карыстальнік аўтэнтыфікуецца і прыкладанне выклікае mixpanel.identify(user_id), усе наступныя падзеі — і, у залежнасці ад канфігурацыі, усе папярэднія ананімныя падзеі — звязваюцца з аўтэнтыфікаванай асобай. Рэтраактыўная сувязь — адна з самых карысных функцый Mixpanel і адна з самых выкрывальных з пункту гледжання прыватнасці: ананімныя паводзіны пры праглядзе, сабраныя да згоды, рэтраактыўна звязваюцца з ідэнтыфікаваным профілем у той момант, калі карыстальнік уваходзіць у сістэму.

Чаму фармулёўка «прадуктавая аналітыка» не вызваляе вас ад згоды

Распаўсюджаны аргумент прадуктавых і інжынерных каманд заключаецца ў тым, што даныя Mixpanel прызначаны для ўнутраных прадуктавых рашэнняў, а не для маркетынгу ці рэкламы, і што гэта фармулёўка ўнутранага выкарыстання павінна быць дастатковым абгрунтаваннем па аснове законнага інтарэсу GDPR. Гэты аргумент у значнай ступені няправільны па трох прычынах, аб якіх рэгулятары выказаліся відавочна.

Апрацоўка па-ранейшаму з'яўляецца апрацоўкай персанальных даных

Незалежна ад таго, навошта збіраюцца даныя, cookie з'яўляюцца неэсенцыяльнымі па артыкуле 5(3) Дырэктывы ePrivacy, і падзеі нясуць пастаянныя ідэнтыфікатары па вызначэнні персанальных даных GDPR. Аналіз прававой асновы той жа, што і для любога іншага адсочвальнага скрыпта.

Законны інтарэс патрабуе тэсту на баланс

CNIL, ICO і EDPB — усе напісалі кіраўніцтвы, якія ясна даюць зразумець, што законны інтарэс для паводзінскай аналітыкі патрабуе задакументаванай ацэнкі, якая паказвае, што апрацоўка неабходна, прапарцыйна і не перавешвае разумныя чаканні карыстальніка. Для староняга SaaS-пастаўшчыка, які атрымлівае даныя аб падзеях на ўзроўні карыстальніка, гэты тэст на баланс рэдка праходзіць без відавочнай згоды.

Трансгранічная перадача незалежная

Нават калі б вы маглі ўстанавіць законны інтарэс для самога збору, міжнародная перадача ў інфраструктуру Mixpanel у ЗША нясе ўласнае патрабаванне прававой асновы, якое згода ці дагаворная гарантыя звычайна задавальняюць чысцей, чым адзін толькі законны інтарэс.

Натыўныя элементы кіравання прыватнасцю Mixpanel

Mixpanel прадастаўляе значны набор прымітываў прыватнасці, распрацаваных для падтрымкі разгортванняў са шлюзаваннем па згодзе. Як і большасць платформаў, яны мяркуюць, што рашэнне аб згодзе існуе вышэй па патоку; яны не збіраюць яго самі.

opt_out_tracking

Выклік mixpanel.opt_out_tracking() спыняе адпраўку падзей SDK і захоўвае перавагу адмовы паміж сесіямі. Спалучайце яго з mixpanel.opt_in_tracking(), калі карыстальнік прымае катэгорыю аналітыкі ў вашым CMP. SDK паважае гэтую наладу ва ўсіх наступных выкліках без неабходнасці паўторнай ініцыялізацыі.

has_opted_out_tracking

Функцыя запыту, якая вяртае цяперашні стан адмовы, карысная для сінхранізацыі стану SDK са станам вашага CMP пры загрузцы старонкі ці змене маршруту.

Опцыя рэзідэнтнасці ЕС

Mixpanel прапаноўвае тып праекта з рэзідэнтнасцю даных у ЕС, які захоўвае даныя аб падзеях у інфраструктуры на базе Франкфурта. Гэта вырашае значную частку праблемы трансгранічнай перадачы і з'яўляецца правільнай канфігурацыяй для любога праекта, дзе рэзідэнтнасць ЕС з'яўляецца жорсткім патрабаваннем. Гэта не ліквідуе патрабаванне згоды.

set_config({ ip: false })

Адключае захоп IP-адраса, памяншаючы след персанальных даных кожнай падзеі. Карысна як мера глыбокай абароны разам са шлюзаваннем па згодзе.

Пакрокавая інтэграцыя CMP

Шаблон інтэграцыі, які працуе надзейна, заключаецца ў ініцыялізацыі Mixpanel у стане адмовы па змаўчанні, а затым падключэнні карыстальніка, калі ён прымае катэгорыю аналітыкі ў CMP.

1. Ініцыялізуйце Mixpanel з наладай адмовы па змаўчанні

Выклічце mixpanel.init(token, { opt_out_tracking_by_default: true }) як мага раней у загрузцы вашага прыкладання. Гэта загружае SDK, але не дазваляе яму адпраўляць якія-небудзь падзеі да выкліку opt_in_tracking().

2. Падключыце зваротны выклік згоды

Калі CMP запускае сваю падзею прыняцця катэгорыі аналітыкі, выклічце mixpanel.opt_in_tracking(). Падзеі ў чарзе, захопленыя ў перыяд адмовы, звычайна адкідваюцца; калі вам трэба іх захаваць, відавочна наладзьце паводзіны чэргаў SDK і прыміце невялікую рызыку таго, што падзеі з перыяду да згоды будуць адпраўлены пасля згоды.

3. Апрацоўвайце адкліканне

Калі карыстальнік пазней адклікае згоду, выклічце mixpanel.opt_out_tracking(). Гэта спыняе далейшы прыём падзей. Для поўнага выдалення гістарычных даных прыкладанне павінна дадаткова выклікаць API выдалення Mixpanel ці ініцыяваць запыт на выдаленне з UI праекта Mixpanel.

4. Пазбягайце рэтраактыўнага зліцця асобы без відавочнай згоды

Адключыце паводзіны рэтраактыўнага зліцця выкліку identify, калі карыстальнік не пагадзіўся на прывязку свайго прагляду да ідэнтыфікацыі да свайго профілю. Опцыі SDK Mixpanel прадастаўляюць сцяг для гэтага; кансерватыўнае значэнне па змаўчанні — «без рэтраактыўнага зліцця».

5. Выкарыстоўвайце праект з рэзідэнтнасцю ЕС для трафіку ЕС

Для праектаў, дзе рэзідэнтнасць ЕС мае значэнне, накіроўвайце трафік ЕС у праект Mixpanel з рэзідэнтнасцю ЕС, а трафік ЗША/іншы — у асобны праект. SDK падтрымлівае загрузку розных токенаў у залежнасці ад выяўленага рэгіёна карыстальніка.

Распаўсюджаныя памылкі

Чатыры памылкі інтэграцыі складаюць большасць аўдытарскіх знаходак па разгортваннях Mixpanel.

Разгляд Mixpanel як вызваленага, бо ён для ўнутранага выкарыстання

Гэта самая распаўсюджаная памылка. Даныя з'яўляюцца персанальнымі данымі, cookie з'яўляецца неэсенцыяльным, а староняя перадача рэальная незалежна ад таго, як даныя выкарыстоўваюцца ніжэй па патоку. Шлюзуйце Mixpanel пад згодай на аналітыку, як любы іншы трэкер.

Пакіданне Autocapture ўключаным па змаўчанні

Autocapture рэзка пашырае паверхню адпраўляемага — кожны клік, кожнае ўзаемадзеянне з полем уводу, кожны прагляд старонкі. Паверхня рызыкі маштабуецца разам з ім. Для большасці SaaS-разгортванняў відавочнае інструментаванне дае больш чыстыя даныя і меншы аўдытарскі след, чым Autocapture; адключыце Autocapture, калі ў вас няма канкрэтнай прычыны яго захаваць.

Забыванне рэтраактыўнага зліцця асобы

Паводзіны identify па змаўчанні звязваюць ананімныя падзеі з цяпер ідэнтыфікаваным карыстальнікам. Калі карыстальнік прыняў згоду на аналітыку толькі ў момант уваходу ў сістэму, рэтраактыўная сувязь яго ананімнага прагляду да згоды стварае праблему дакументацыі. Адключыце рэтраактыўнае зліццё ці відавочна абмежавайце яго падзеямі пасля згоды.

Жорсткае кадзіраванне здагадкі аб рэзідэнтнасці ЕС

Дзіўная колькасць каманд накіроўвае ўвесь трафік у праект Mixpanel з рэзідэнтнасцю ЗША, зыходзячы з здагадкі, што згода пакрывае пытанне рэзідэнтнасці. Гэта не так — згода і рэзідэнтнасць — незалежныя пытанні адпаведнасці. Маршрутызуйце па выяўленым рэгіёне, а не па глабальным значэнні па змаўчанні.

Кантрольны спіс аўдыту

Шэсць канкрэтных пытанняў, на якія трэба адказаць для любога разгортвання Mixpanel, якое закранае трафік ЕС, Вялікабрытаніі ці Каліфорніі.

• Пачынаецца Mixpanel у стане адмовы? Пацвердзіце, што SDK ініцыялізуецца з opt_out_tracking_by_default: true і ніякія падзеі не запускаюцца да згоды.
• Запускаецца opt-in па правільнай падзеі CMP? Пацвердзіце, што зваротны выклік прыняцця аналітыкі выклікае opt_in_tracking(), а не больш дазволеную падзею.
• Ці неабходны Autocapture? Калі ён уключаны, задакументуйце чаму. Калі не, адключыце яго.
• Ці адключана рэтраактыўнае зліццё? Пацвердзіце, што выклік identify не звязвае ананімныя паводзіны да згоды з нанава ідэнтыфікаванымі профілямі.
• Ці знаходзіцца трафік ЕС у праекце з рэзідэнтнасцю ЕС? Пацвердзіце, што логіка маршрутызацыі адпраўляе наведвальнікаў ЕС у токен праекта ЕС.
• Ці аўтаматызаваны запыты на выдаленне? Пацвердзіце, што запыты DSAR запускаюць API выдалення Mixpanel, а не ручны тыкет.

Дзе Mixpanel упісваецца ў стэк, арыентаваны на згоду

Платформы прадуктавай аналітыкі займаюць рэгулятарную катэгорыю, якой прадуктавыя каманды часта супраціўляюцца — яны хочуць думаць аб Mixpanel як аб унутранай інфраструктуры, а не як аб староннім трэкеры. Рэгулятары не праводзяць такога адрознення, і праваахоўныя дзеянні апошніх двух гадоў ясна далі зразумець, што не будуць. Правільная архітэктура ставіцца да Mixpanel дакладна так жа, як да любой іншай староняй аналітычнай паверхні: шлюзуйце яго за згодай, выкарыстоўвайце натыўныя прымітывы opt-in платформы для прымянення шлюза, накіроўвайце трафік ЕС у інфраструктуру з рэзідэнтнасцю ЕС і адключайце функцыі (Autocapture, рэтраактыўнае зліццё identify), якія пашыраюць аўдытарскую паверхню без прапарцыйнай аналітычнай выгады. Зробленая правільна, прадуктавыя каманды захоўваюць даныя варонкі і ўтрымання, якія ім патрэбны, а юрыдычная каманда захоўвае дакументацыю, якая ёй патрэбна для абароны разгортвання пры аўдыце.