Τι Συλλέγει το Mixpanel

Το SDK του Mixpanel (φορτώνεται από το cdn.mxpnl.com ή φιλοξενείται τοπικά) αρχικοποιεί ένα καθολικό αντικείμενο mixpanel και αναγνωρίζει χρήστες με ένα cookie ιδιοκτησίας Mixpanel που περιέχει ένα παραγόμενο distinct ID. Από εκείνη τη στιγμή, κάθε κλήση στο mixpanel.track() αναφέρει ένα payload συμβάντος — όνομα συμβάντος, ιδιότητες, το distinct ID και ένα σύνολο αυτόματα καταγεγραμμένων ιδιοτήτων (user agent, λειτουργικό σύστημα, referrer, παράμετροι UTM, ανάλυση οθόνης, ζώνη ώρας) — στο σημείο λήψης του Mixpanel. Το SDK υποστηρίζει επίσης μια λειτουργία Autocapture που παρακολουθεί το DOM και εκπέμπει συμβάντα κλικ, προβολής σελίδας και υποβολής φόρμας χωρίς ρητή οργάνωση, επεκτείνοντας δραματικά την επιφάνεια του τι συλλέγεται.

Μόλις ένας χρήστης πιστοποιηθεί και η εφαρμογή καλέσει το mixpanel.identify(user_id), όλα τα επόμενα συμβάντα — και, ανάλογα με τη διαμόρφωση, όλα τα προηγούμενα ανώνυμα συμβάντα — συσχετίζονται με την πιστοποιημένη ταυτότητα. Η αναδρομική συσχέτιση είναι μία από τις πιο χρήσιμες λειτουργίες του Mixpanel και μία από τις πιο εκτεθειμένες από την οπτική του απορρήτου: η ανώνυμη συμπεριφορά περιήγησης που συλλέχθηκε πριν τη συγκατάθεση συνδέεται αναδρομικά με ένα αναγνωρισμένο προφίλ τη στιγμή που ο χρήστης συνδέεται.

Γιατί το Πλαίσιο «Αναλυτικά Προϊόντος» Δεν Σας Βγάζει από τη Συγκατάθεση

Ένα συνηθισμένο επιχείρημα από ομάδες προϊόντος και μηχανικής είναι ότι τα δεδομένα Mixpanel είναι για εσωτερικές αποφάσεις προϊόντος, όχι για μάρκετινγκ ή διαφήμιση, και ότι αυτό το πλαίσιο εσωτερικής χρήσης θα έπρεπε να είναι επαρκής αιτιολόγηση υπό τη βάση έννομου συμφέροντος του GDPR. Το επιχείρημα είναι ως επί το πλείστον λανθασμένο για τρεις λόγους για τους οποίους οι ρυθμιστικές αρχές έχουν γίνει ρητές.

Η επεξεργασία παραμένει επεξεργασία προσωπικών δεδομένων

Ανεξάρτητα από το γιατί συλλέγονται τα δεδομένα, τα cookies είναι μη απαραίτητα υπό το Article 5(3) του ePrivacy και τα συμβάντα φέρουν μόνιμους αναγνωριστές υπό τον ορισμό προσωπικών δεδομένων του GDPR. Η ανάλυση νόμιμης βάσης είναι η ίδια όπως για οποιοδήποτε άλλο script παρακολούθησης.

Το έννομο συμφέρον απαιτεί δοκιμή στάθμισης

Το CNIL, το ICO και το EDPB έχουν γράψει όλα οδηγίες που αποσαφηνίζουν ότι το έννομο συμφέρον για συμπεριφορικά αναλυτικά απαιτεί μια τεκμηριωμένη αξιολόγηση που δείχνει ότι η επεξεργασία είναι αναγκαία, ανάλογη και δεν υπερισχύει των εύλογων προσδοκιών του χρήστη. Για έναν τρίτο πάροχο SaaS που λαμβάνει δεδομένα συμβάντων σε επίπεδο χρήστη, αυτή η δοκιμή στάθμισης σπάνια πετυχαίνει χωρίς ρητή συγκατάθεση.

Η διασυνοριακή μεταφορά είναι ανεξάρτητη

Ακόμη και αν μπορούσατε να εγκαθιδρύσετε έννομο συμφέρον για την ίδια τη συλλογή, η διεθνής μεταφορά στην υποδομή των ΗΠΑ του Mixpanel φέρει τη δική της απαίτηση νόμιμης βάσης που η συγκατάθεση ή ένα συμβατικό μέτρο προστασίας συνήθως ικανοποιεί πιο καθαρά από το έννομο συμφέρον μόνο.

Εγγενή Χειριστήρια Απορρήτου του Mixpanel

Το Mixpanel εκθέτει ένα σημαντικό σύνολο primitives απορρήτου που έχουν σχεδιαστεί για να υποστηρίζουν αναπτύξεις που ελέγχονται από συγκατάθεση. Όπως με τις περισσότερες πλατφόρμες, υποθέτουν ότι η απόφαση συγκατάθεσης υπάρχει ανάντη· δεν τη συλλέγουν οι ίδιες.

opt_out_tracking

Η κλήση mixpanel.opt_out_tracking() σταματά το SDK από το να στέλνει συμβάντα και διατηρεί την προτίμηση εξαίρεσης σε όλες τις συνεδρίες. Συνδυάστε το με το mixpanel.opt_in_tracking() όταν ο χρήστης αποδέχεται την κατηγορία αναλυτικών στο CMP σας. Το SDK σέβεται αυτή τη ρύθμιση σε όλες τις επόμενες κλήσεις χωρίς να απαιτείται επαναρχικοποίηση.

has_opted_out_tracking

Μια συνάρτηση ερωτήματος που επιστρέφει την τρέχουσα κατάσταση εξαίρεσης, χρήσιμη για τον συγχρονισμό της κατάστασης SDK με την κατάσταση CMP σας κατά τη φόρτωση σελίδας ή την αλλαγή διαδρομής.

Η επιλογή κατοικίας EU

Το Mixpanel προσφέρει έναν τύπο έργου κατοικίας δεδομένων EU που διατηρεί τα δεδομένα συμβάντων εντός υποδομής με βάση το Frankfurt. Αυτό αντιμετωπίζει ένα σημαντικό μέρος της ανησυχίας για διασυνοριακή μεταφορά και είναι η σωστή διαμόρφωση για οποιοδήποτε έργο όπου η κατοικία EU είναι σκληρή απαίτηση. Δεν εξαλείφει την απαίτηση συγκατάθεσης.

set_config({ ip: false })

Απενεργοποιεί τη σύλληψη διεύθυνσης IP, μειώνοντας το αποτύπωμα προσωπικών δεδομένων κάθε συμβάντος. Χρήσιμο ως μέτρο άμυνας σε βάθος παράλληλα με τον έλεγχο συγκατάθεσης.

Βήμα προς Βήμα Ενσωμάτωση CMP

Το μοτίβο ενσωμάτωσης που λειτουργεί αξιόπιστα είναι να αρχικοποιήσετε το Mixpanel σε κατάσταση εξαίρεσης από προεπιλογή, και στη συνέχεια να ενεργοποιήσετε τον χρήστη όταν αποδέχεται την κατηγορία αναλυτικών στο CMP.

1. Αρχικοποιήστε το Mixpanel με την προεπιλογή εξαίρεσης

Καλέστε το mixpanel.init(token, { opt_out_tracking_by_default: true }) το συντομότερο δυνατό στην εκκίνηση της εφαρμογής σας. Αυτό φορτώνει το SDK αλλά το εμποδίζει από το να στέλνει οποιαδήποτε συμβάντα μέχρι να κληθεί το opt_in_tracking().

2. Συνδέστε την επανάκληση συγκατάθεσης

Όταν το CMP ενεργοποιεί το συμβάν αποδοχής κατηγορίας αναλυτικών, καλέστε το mixpanel.opt_in_tracking(). Τα συμβάντα σε ουρά που καταγράφηκαν κατά την περίοδο εξαίρεσης συνήθως απορρίπτονται· αν χρειάζεται να τα διατηρήσετε, ρυθμίστε τη συμπεριφορά ουράς του SDK ρητά και αποδεχτείτε τον μικρό κίνδυνο ότι συμβάντα από την περίοδο προ-συγκατάθεσης θα σταλούν μετά τη συγκατάθεση.

3. Χειριστείτε την ανάκληση

Αν ο χρήστης αργότερα ανακαλέσει τη συγκατάθεση, καλέστε το mixpanel.opt_out_tracking(). Αυτό σταματά την περαιτέρω λήψη συμβάντων. Για πλήρη διαγραφή ιστορικών δεδομένων, η εφαρμογή πρέπει επιπλέον να καλέσει το API διαγραφής του Mixpanel ή να ενεργοποιήσει ένα αίτημα διαγραφής από το UI έργου Mixpanel.

4. Αποφύγετε την αναδρομική συγχώνευση ταυτότητας χωρίς ρητή συγκατάθεση

Απενεργοποιήστε τη συμπεριφορά αναδρομικής συγχώνευσης της κλήσης identify εκτός αν ο χρήστης έχει συγκατατεθεί να έχει την περιήγηση προ-αναγνώρισης συνδεδεμένη με το προφίλ του. Οι επιλογές SDK του Mixpanel εκθέτουν μια σημαία για αυτό· η συντηρητική προεπιλογή είναι «καμία αναδρομική συγχώνευση».

5. Χρησιμοποιήστε το έργο κατοικίας EU για κυκλοφορία EU

Για έργα όπου η κατοικία EU έχει σημασία, δρομολογήστε την κυκλοφορία EU σε ένα έργο Mixpanel κατοικίας EU και την κυκλοφορία ΗΠΑ/άλλων σε ξεχωριστό έργο. Το SDK υποστηρίζει τη φόρτωση διαφορετικών tokens υπό τον όρο της ανιχνευμένης περιοχής του χρήστη.

Συνηθισμένες Παγίδες

Τέσσερα λάθη ενσωμάτωσης αποτελούν τα περισσότερα ευρήματα ελέγχου σε αναπτύξεις Mixpanel.

Αντιμετώπιση του Mixpanel ως εξαιρούμενο επειδή είναι εσωτερικής χρήσης

Αυτό είναι το πιο συνηθισμένο λάθος. Τα δεδομένα είναι προσωπικά δεδομένα, το cookie είναι μη απαραίτητο και η μεταφορά τρίτου μέρους είναι πραγματική ανεξάρτητα από το πώς χρησιμοποιούνται τα δεδομένα παρακάτω. Ελέγξτε το Mixpanel υπό τη συγκατάθεση αναλυτικών όπως οποιονδήποτε άλλον ιχνηλάτη.

Αφήνοντας το Autocapture ενεργοποιημένο από προεπιλογή

Το Autocapture επεκτείνει δραματικά την επιφάνεια του τι αποστέλλεται — κάθε κλικ, κάθε αλληλεπίδραση πεδίου εισόδου, κάθε προβολή σελίδας. Η επιφάνεια κινδύνου κλιμακώνεται μαζί της. Για τις περισσότερες αναπτύξεις SaaS, η ρητή οργάνωση παράγει καθαρότερα δεδομένα και μικρότερο αποτύπωμα ελέγχου από το Autocapture· απενεργοποιήστε το Autocapture εκτός αν έχετε συγκεκριμένο λόγο να το κρατήσετε.

Ξεχνώντας την αναδρομική συγχώνευση ταυτότητας

Η προεπιλεγμένη συμπεριφορά identify συσχετίζει ανώνυμα συμβάντα με τον τώρα-αναγνωρισμένο χρήστη. Αν ο χρήστης αποδέχτηκε τη συγκατάθεση αναλυτικών μόνο τη στιγμή που συνδέθηκε, η αναδρομική συσχέτιση της προ-συγκατάθεσης ανώνυμης περιήγησής τους δημιουργεί πρόβλημα τεκμηρίωσης. Απενεργοποιήστε την αναδρομική συγχώνευση ή περιορίστε την ρητά σε συμβάντα μετά τη συγκατάθεση.

Κωδικοποιώντας σκληρά την υπόθεση κατοικίας EU

Ένας εκπληκτικός αριθμός ομάδων δρομολογεί όλη την κυκλοφορία σε ένα έργο Mixpanel κατοικίας ΗΠΑ υπό την υπόθεση ότι η συγκατάθεση καλύπτει το ζήτημα κατοικίας. Δεν το κάνει — η συγκατάθεση και η κατοικία είναι ανεξάρτητα ζητήματα συμμόρφωσης. Δρομολογήστε με βάση την ανιχνευμένη περιοχή, όχι με καθολική προεπιλογή.

Λίστα Ελέγχου Audit

Έξι συγκεκριμένες ερωτήσεις που πρέπει να απαντηθούν για οποιαδήποτε ανάπτυξη Mixpanel που αγγίζει κυκλοφορία από EU, UK ή Καλιφόρνια.

• Ξεκινά το Mixpanel σε εξαίρεση; Επιβεβαιώστε ότι το SDK αρχικοποιείται με opt_out_tracking_by_default: true και κανένα συμβάν δεν ενεργοποιείται πριν τη συγκατάθεση.
• Ενεργοποιείται το opt-in στο σωστό συμβάν CMP; Επιβεβαιώστε ότι η επανάκληση αποδοχής αναλυτικών καλεί το opt_in_tracking(), όχι ένα πιο επιτρεπτικό συμβάν.
• Είναι απαραίτητο το Autocapture; Αν είναι ενεργοποιημένο, τεκμηριώστε γιατί. Αν όχι, απενεργοποιήστε το.
• Είναι απενεργοποιημένη η αναδρομική συγχώνευση; Επιβεβαιώστε ότι η κλήση identify δεν συσχετίζει προ-συγκατάθεσης ανώνυμη συμπεριφορά με νεοαναγνωρισμένα προφίλ.
• Είναι η κυκλοφορία EU σε έργο κατοικίας EU; Επιβεβαιώστε ότι η λογική δρομολόγησης στέλνει επισκέπτες EU σε token έργου EU.
• Είναι αυτοματοποιημένα τα αιτήματα διαγραφής; Επιβεβαιώστε ότι τα αιτήματα DSAR ενεργοποιούν το API διαγραφής του Mixpanel παρά ένα χειροκίνητο ticket.

Πού Ταιριάζει το Mixpanel σε μια Στοίβα Με Προτεραιότητα τη Συγκατάθεση

Οι πλατφόρμες αναλυτικών προϊόντος καταλαμβάνουν μια ρυθμιστική κατηγορία που οι ομάδες προϊόντος συχνά αντιστέκονται — θέλουν να σκέφτονται το Mixpanel ως εσωτερική υποδομή, όχι ως ιχνηλάτη τρίτου μέρους. Οι ρυθμιστικές αρχές δεν κάνουν αυτή τη διάκριση, και οι επιβολές των τελευταίων δύο ετών έχουν αποσαφηνίσει ότι δεν θα το κάνουν. Η σωστή αρχιτεκτονική αντιμετωπίζει το Mixpanel ακριβώς όπως οποιαδήποτε άλλη επιφάνεια αναλυτικών τρίτου μέρους: ελέγξτε το πίσω από τη συγκατάθεση, χρησιμοποιήστε τα εγγενή primitives opt-in της πλατφόρμας για να επιβάλετε τον έλεγχο, δρομολογήστε την κυκλοφορία EU σε υποδομή κατοικίας EU και απενεργοποιήστε τις λειτουργίες (Autocapture, αναδρομική συγχώνευση identify) που επεκτείνουν την επιφάνεια ελέγχου χωρίς ανάλογο αναλυτικό όφελος. Γίνεται σωστά, οι ομάδες προϊόντος κρατούν τα δεδομένα χοάνης και διατήρησης που χρειάζονται, και η νομική ομάδα κρατά την τεκμηρίωση που χρειάζεται για να υπερασπιστεί την ανάπτυξη υπό έλεγχο.