PostHog tooteanalüütika küpsiste nõusoleku integratsiooni juhend: ise hostitud ja pilvepõhise kasutuselevõtu mänguarendus 2026. aastaks
PostHog on tooteanalüütika platvorm, mida inseneritiimid kasutavad, kui nad soovivad tooteanalüütikat, seansi salvestamist, funktsioonippe, eksperimenteerimist, küsitlusi ja veebianalüütikat ühes paketis, mitte viie erineva tarnija juures. See ühendamine on väärtuspakkumine. Just sel põhjusel toob PostHogi vaikimisi kasutuselevõtt kaasa rohkem koondunud nõusolekukohustusi kui peaaegu ükski teine tööriist, mille väljaandja installib. Sama posthog.init() kõne, mis jäädvustab toote sündmusi, võib alustada seanside salvestamist, hinnata funktsioonippe püsiva identifikaatori suhtes ja järjekorda seada küsitlusmuljed — ning kõik need tegevused rakendavad erinevat õiguslikku alust GDPR-i, ePrivacy ja CCPA raames. Hea uudis on see, et PostHog pakub analüütika ökosüsteemis üht detailsemat nõusoleku API-t; töö seisneb selle tegelikus kasutamises. See juhend selgitab, kuidas kasutusele võtta PostHog nii, et õiguslik seisukoht vastab tehnilisele tegelikkusele nii ise hostitud installide kui ka PostHog Cloudi puhul, USA ja EL-i piirkondades ning analüütika, korduse, lippude ja küsitluste kogu pinnal.
Miks PostHog nõuab nõusolekut — ja miks vastus pole iga mooduli jaoks sama
PostHogi veebis SDK ei ole passiivne lehesildi. Vaikimisi lähtestamisel seab SDK ühe või mitu esimese osapoole püsivuskirjet — vaikimisi kombineeritud küpsis pluss localStorage skeem, mis on keyed under ph_{projectKey}_posthog — genereerib stabiilse eristuva identifikaatori, jäädvustab esialgse lehevaate koos viitajaga, UTM-i parameetritega ja klikiidentifikaatoritega ning avab pikaajalise sündmuskanali konfigureeritud andmete sisestamise hostile. Kui seansi salvestamine on projekti tasemel lubatud, hakkab SDK lisaks voogima pidevat salvestust renderdatud DOM-ist, hiirekursori koordinaatidest ja sisestussündmustest. Kui funktsioonilipu on konfigureeritud, hindab SDK neid eristuva identifikaatori suhtes, jätab otsused seanssile meelde ja edastab iga hindamise kohta $feature_flag_called sündmuse.
Kõik need tegevused vastavad erinevatele nõusolekuväravatele. Eristuva identifikaatori säilitamine on salvestamis- ja juurdepääsutoiming ePrivacy direktiivi artikli 5(3) alusel ning nõuab eelnevat, vabalt antud, konkreetset, teavitatud ja ühemõttelist nõusolekut kogu EEA-s, UK-s ja mis tahes jurisdiktsioonis, mis on sama standardi kasutusele võtnud. Käitumuslike sündmuste jäädvustamine on isikuandmete töötlemine GDPR-i alusel, kuna identifikaatori, IP-aadressi ja käitumusliku jälje kombinatsioon on piisav üksikisiku tuvastamiseks. Seansi salvestamine kuulub eraldi, rangemasse kategooriasse EDPB seansi salvestamise juhiste alusel — korduse jäädvustused jäädvustavad renderdatud DOM-i ja kõik maskeerimata sisestusväljad ning nõuavad selget, detailset nõusolekut, mis erineb üldisest analüütika nõusolekust. Funktsioonippe hindamine on peensuslik: lipu kontroll, mis tagastab tõeväärtuse, ei nõua iseenesest nõusolekut, kuid kasutaja lippude määramise säilitamine stabiilsele identifikaatorile üle seanside nõuab seda, kuna just nii loob lippude põhine eksperimenteerimine jälgitavaid kasutajataseme andmeid.
Mida PostHog kirjutab enne nõusolekut — ja mida tuleb maha suruda
PostHogi brauseri SDK vaikimisi kirjutab lähtestamisel järgmist: ühe kombineeritud küpsise ja localStorage kirje ph_{projectKey}_posthog all, mis sisaldab eristuvat identifikaatorit, seansi identifikaatorit ja funktsioonilippu otsuseid, ning seansi salvestamise lubamisel ka lisamälus salvestuspuhvri, mis loputab andmete sisestamise lõpp-punkti iga mõne sekundi järel. SDK saadab ka kohese $pageview sündmuse ja automaatse jäädvustamise korral iga järgneva klikki, vormisuhtluse ja raevu-klikki lehel.
Soovitatav muster on lähtestada PostHog parameetritega opt_out_capturing_by_default: true ja disable_session_recording: true, seejärel pöörata mõlemad lipud, kui nõusolekuribarilt saabub positiivne signaal. See on integratsiooni seisukoht, mida PostHogi dokumentatsioon nüüd soovitab, ja see on seisukoht, mis läbib regulaatori kontrolli, kuna see pöörab vaikimisi ümber: midagi ei jäädvustata enne, kui nõusolek on salvestatud, ja SDK pakub puhast üleminekut, mitte olekupõhist tagasiistutamist.
Küpsised, localStorage kirjed ja identifikaatorid, mida PostHog salvestab
Brauseri SDK 1.x kirjutab projekti kohta ühe püsivuskirje, mis on keyed under ph_{projectKey}_posthog, vaikimisi 365-päevase aegumisega. persistence lähtestamisvalik kontrollib aluseks olevat mehhanismi: ainult cookie, ainult localStorage, localStorage+cookie (vaikimisi), sessionStorage või memory. Nõusolek-esimene kasutuselevõtu puhul on memory püsivus õige vaikeväärtus, kui nõusolekut pole veel antud — see tagab, et ükski identifikaator ei ela kauem kui lehe seanss — üleminek localStorage+cookie-le toimub pärast nõusoleku muutumist. SDK kirjutab ka opt-in või opt-out markeri __ph_opt_in_out_{projectKey} alla, et meeles pidada kasutaja valikut üle külastuste; see marker ise on rangelt vajalik küpsis, kuna see säilitab nõusoleku otsuse.
PostHogi moodulite kaardistamine nõusolekuraamistike järgi
PostHog ei rakenda natiivselt IAB TCF-i ega IAB ülemaailmset privaatsusplatvormi ega ole ehitatud reklaamitehnoloogia tarnijana. Siiski integreerib see Google Consent Mode v2 kaudu väljaandja poolsete sildamiste kaudu, paljastab natiivselt opt-in ja opt-out API ning austab Do Not Track päist respect_dnt lähtestamisvaliku kaudu. Tootmises toimiv muster käsitleb iga PostHogi moodulit eraldi väravana, mis on seotud konkreetse CMP signaali alusel.
- Toote analüütika sündmused seotakse analüütika eesmärgiga. TCF mõistes on see kõige sagedamini eesmärk 8 (sisu toimivuse mõõtmine) koos eesmärk 1-ga (teabe salvestamine ja/või juurdepääs). Consent Mode jaoks vastab see analytics_storage-le.
- Seansi salvestamine asub rangema värava taga. PostHogi seansi salvestamine jäädvustab renderdatud DOM-i ja kõik maskeerimata sisestusväljad, seega on eelistataim seisukoht EDPB juhiste all analüütikast erinev eelistuste- või uuringutaseme opt-in.
- Funktsioonilipu ja eksperimenteerimine saavad töötada ajutise, mälupõhise hindamisega seadusliku huvide alusel, kui eesmärk on ainult renderdatud lehe varieerumine. Püsiva lipude määramine stabiilsele identifikaatorile üle seanside nõuab sama nõusolekut kui analüütika, kuna just siis muutub lipp jälgitavaks kasutajataseme andmepunktiks.
- Küsitlused ja tagasiside seotakse sama väravaga kui seansi salvestamine, kui need koguvad vabateksti, või analüütika väravaga, kui need koguvad ainult hindeid või ühekordse valiku vastuseid.
Toimiv integratsiooni muster
Võrdluskasutuselevõtul on neli osa: CMP, mis paljastab reaalajas nõusoleku muutuse sündmuse, edasilükatud alglaadimine, mis lähtestab PostHogi jäädvustamise ja korduse keelamisega, nõusoleku kuulaja, mis pöörab opt_in_capturing ja salvestamise lüliti, kui asjakohased väravad avanevad, ning tagasivõtmise tee, mis kutsub opt_out_capturing, peatab korduse puhvri ja kustutab püsivad identifikaatorid SDK lähtestamise API kaudu.
Veebis rakendamine
Kõige puhtam muster on laadida PostHogi SDK igal lehel, kuid kutsuda posthog.init(apiKey, { api_host: 'https://eu.posthog.com', opt_out_capturing_by_default: true, disable_session_recording: true, persistence: 'memory', respect_dnt: true }) algse alglaadimusena. Tellige CMP nõusoleku muutuse sündmus. Kui analüütika kategooria muutub tõeseks, kutsuge posthog.set_config({ persistence: 'localStorage+cookie' }), millele järgneb posthog.opt_in_capturing(); see lubab uuesti sündmuste jäädvustamise ja püsivuse üleminek hakkab kirjutama eristuvat identifikaatorit. Kui seansi salvestamise kategooria muutub tõeseks, kutsuge posthog.startSessionRecording(). Kui mõni värav tühistatakse, kutsuge posthog.opt_out_capturing() analüütika värava jaoks või posthog.stopSessionRecording() korduse värava jaoks, aeguge asjakohased püsivuskirjed posthog.reset() kaudu ja edastage kustutamistaotlus PostHogi GDPR API kaudu, kui kasutaja on kasutanud oma kustutamisõigust.
Piirkonna valik: PostHog Cloud USA vs EL vs ise hostitud
PostHog käitab kahte pilvepoolset piirkonda — USA (us.posthog.com) ja EL (eu.posthog.com) — ning toetab ise hostitud installatsioone kliendi enda infrastruktuuril. EEA ja UK liikluse jaoks on EL pilv õige vaikeväärtus; see hoiab sisestamise, töötlemise ja salvestamise EEA piires ja vähendab Schrems II kokkupuudet, mida iga USA piirkonna analüütika kasutuselevõtt kannab. api_host lähtestamisvalik kinnitab piirkonna. Ise hostitud PostHog viib kogu virna väljaandja enda infrastruktuurile, mis on tugevaim andmete asukoha seisukoht, kuid ei eemalda nõusolekukohustusi — õiguslik alus järgib andmeid, mitte operaatorit. Valitud valik peab kajastuma privaatsusteatises ja vastutava töötleja töötlemise dokumendis.
Serveripoolne jäädvustamine
PostHog toetab serveripoolset sündmuste sisestamist Python, Node, Go, Ruby ja PHP SDK-de kaudu. Serveripoolsed sündmused ei ole nõusolekust vabastatud — õiguslik alus järgib andmeid — kuid serveripoolne sisestamine annab väljaandjale täieliku kontrolli selle üle, milliseid välju edastatakse ja millal. Levinud muster on jäädvustada minimaalsed olulised sündmused serveripoolselt seadusliku huvide alusel, seejärel rikastada neid sündmusi käitumusliku üksikasja poolest kliendi poolt alles pärast seda, kui kasutaja on andnud analüütika nõusoleku. Serveripoolsed ja kliendipoolsed sündmused liituvad samale eristuvale identifikaatorile, kui nõusolek on muutunud; enne nõusolekut edastatakse serveripoolsed sündmused anonüümse, ajutise identifikaatoriga, mis lähtestab iga seansi jooksul.
Integratsiooni ja auditijälje valideerimine
Valideerimise samm on see, mida regulaatorid kontrollivad ja mida väljaandjad kõige sagedamini vahele jätavad. Õigesti integreeritud PostHogi kasutuselevõtt peab läbima järjestikku neli testi. Esiteks peab puhas brauseri seanss, kus bänner on näidatud, kuid valikut pole tehtud, andma nulli päringuid konfigureeritud api_host-i, välja arvatud SDK faili laadimine, nulli ph_ küpsiseid document.cookie-s ja nulli ph_ kirjeid localStorage-s. Teiseks peab analüütika tagasilükkamine seda olekut hoidma — jäädvustamist pole, salvestamist pole, püsivat identifikaatorit pole. Kolmandaks peab analüütika vastuvõtmine andma kohese $opt_in sündmuse, oodatava ph_{projectKey}_posthog püsivuskirje õigete SameSite atribuutidega ja sündmuste liikluse konfigureeritud hosti juurde. Neljandaks peab nõusoleku tühistamine pärast seda koheselt peatama edasise jäädvustamise ja korduse, aeguma püsivad identifikaatorid ja käivitama kustutamistaotluse PostHogi GDPR API kaudu, kui kasutaja on kasutanud kustutamist.
Auditijälje ootus EDPB 2023. aasta küpsistebänneri juhiste ja 2026. aasta uuendatud töörühma prioriteetide alusel on see, et väljaandja suudab tõestada iga PostHogi projekti sündmuse kohta, et kasutaja, kes selle genereeris, oli jäädvustamise hetkel andnud kehtiva nõusoleku. Standardmuster on seada nõusoleku versioon ja ajatempel isiku omadustena eristuvale ID-le posthog.setPersonProperties({ consent_version: 'v3', consent_ts: ts }) kaudu, nii et iga üksikjuhtum on jälgitav tagasi konkreetse nõusoleku logi kirje juurde. Õigesti väravaga kasutuselevõtt, mis on paaritatud piirkonna valikuga, mis vastab publikule, püsivusega, mis on vaikimisi mälu, ja kustutamisteega, mis aktiveerub tühistamisel, muudab PostHogi regulatiivsest koondumisriskist tooteanalüütika virna kaitstavaks keskmeks.