Mitä Mixpanel kerää

Mixpanel SDK (ladattu osoitteesta cdn.mxpnl.com tai itse isännöitynä) alustaa globaalin mixpanel-objektin ja tunnistaa käyttäjät Mixpanelin omistamalla evästeellä, joka sisältää luodun yksilöllisen tunnuksen. Siitä hetkestä lähtien jokainen kutsu mixpanel.track()-funktioon raportoi tapahtumakuorman – tapahtuman nimen, ominaisuudet, yksilöllisen tunnuksen ja joukon automaattisesti kaapattuja ominaisuuksia (käyttäjäagentti, käyttöjärjestelmä, viittaaja, UTM-parametrit, näytön resoluutio, aikavyöhyke) – Mixpanelin keräyspäätepisteeseen. SDK tukee myös Autocapture-tilaa, joka tarkkailee DOM:ia ja lähettää klikkaus-, sivunäkymä- ja lomakkeen lähetystapahtumia ilman eksplisiittistä instrumentointia, laajentaen dramaattisesti kerättävän tiedon pintaa.

Kun käyttäjä kirjautuu ja sovellus kutsuu mixpanel.identify(user_id)-funktiota, kaikki myöhemmät tapahtumat – ja konfiguraatiosta riippuen kaikki aiemmat anonyymit tapahtumat – yhdistetään todennettuun identiteettiin. Takautuva yhdistäminen on yksi Mixpanelin hyödyllisimmistä ominaisuuksista ja yksi sen paljastavimmista tietosuojanäkökulmasta: ennen suostumusta kerätty anonyymi selauskäyttäytyminen liitetään takautuvasti tunnistettuun profiiliin heti kun käyttäjä kirjautuu sisään.

Miksi "tuoteanalytiikka"-kehystäminen ei vapauta suostumuksesta

Yleinen argumentti tuote- ja teknisiltä tiimeiltä on, että Mixpanel-tieto on sisäisiä tuotepäätöksiä varten, ei markkinointia tai mainontaa varten, ja että tämän sisäiseen käyttöön perustuva kehystäminen pitäisi olla riittävä peruste GDPR:n oikeutetun edun perusteella. Argumentti on pääosin virheellinen kolmesta syystä, joista sääntelyviranomaiset ovat olleet selkeitä.

Käsittely on silti henkilötietojen käsittelyä

Riippumatta siitä, miksi tietoa kerätään, evästeet eivät ole välttämättömiä ePrivacy Article 5(3) -artiklan mukaan ja tapahtumat sisältävät pysyviä tunnistimia GDPR:n henkilötiedon määritelmän mukaan. Laillisen perustan analyysi on sama kuin minkä tahansa muun seurantaskriptin kohdalla.

Oikeutettu etu vaatii tasapainotestauksen

CNIL, ICO ja EDPB ovat kaikki kirjoittaneet ohjeistuksia, joissa tehdään selväksi, että oikeutettu etu käyttäytymisanalytiikkaa varten vaatii dokumentoidun arvioinnin, joka osoittaa käsittelyn olevan välttämätöntä, oikeasuhteista eikä se syrjäytä käyttäjän kohtuullisia odotuksia. Kolmannen osapuolen SaaS-palveluntarjoajalle, joka vastaanottaa käyttäjätason tapahtumatietoja, tasapainotesti onnistuu harvoin ilman nimenomaista suostumusta.

Rajat ylittävä siirto on riippumaton

Vaikka voisit perustaa oikeutetun edun itse keräämiselle, kansainvälinen siirto Mixpanelin Yhdysvaltain infrastruktuuriin sisältää oman laillisen perusteen vaatimuksen, jonka suostumus tai sopimusperusteinen suojaus yleensä täyttää puhtaammin kuin pelkkä oikeutettu etu.

Natiivit Mixpanel-tietosuojakontrollit

Mixpanel tarjoaa merkittävän joukon tietosuojaprimitiivejä, jotka on suunniteltu tukemaan suostumuksella rajattuja toteutuksia. Kuten useimpien alustojen kohdalla, ne olettavat suostumuspäätöksen olevan ylempänä; ne eivät kerää sitä itse.

opt_out_tracking

mixpanel.opt_out_tracking()-kutsu estää SDK:ta lähettämästä tapahtumia ja säilyttää opt-out-asetuksen istuntojen välillä. Yhdistä se mixpanel.opt_in_tracking()-funktioon, kun käyttäjä hyväksyy analytiikkakategorian CMP:ssäsi. SDK kunnioittaa tätä asetusta kaikissa myöhemmissä kutsuissa vaatimatta uudelleenalustusta.

has_opted_out_tracking

Kyselyfunktio, joka palauttaa nykyisen opt-out-tilan, hyödyllinen SDK-tilan synkronoimiseen CMP-tilasi kanssa sivun latauksessa tai reitin vaihdossa.

EU-residenssivaihtoehto

Mixpanel tarjoaa EU-dataresidenssin projektin tyypin, joka pitää tapahtumatiedot Frankfurt-pohjaisen infrastruktuurin sisällä. Tämä käsittelee merkittävän osan rajat ylittävän siirron huolesta ja on oikea konfiguraatio mille tahansa projektille, jossa EU-residenssi on ehdoton vaatimus. Se ei poista suostumuksen vaatimusta.

set_config({ ip: false })

Poistaa käytöstä IP-osoitteen kaappauksen, vähentäen kunkin tapahtuman henkilötietojalanjälkeä. Hyödyllinen syvyydessä puolustamisen toimenpiteenä suostumuksen rajauksen rinnalla.

Vaiheittainen CMP-integraatio

Integraatiomalli, joka toimii luotettavasti, on alustaa Mixpanel opt-out-tilaan oletuksena ja sitten opt käyttäjä sisään, kun he hyväksyvät analytiikkakategorian CMP:ssä.

1. Alusta Mixpanel opt-out-oletuksella

Kutsu mixpanel.init(token, { opt_out_tracking_by_default: true }) mahdollisimman aikaisin sovelluksen käynnistyksessä. Tämä lataa SDK:n mutta estää sitä lähettämästä tapahtumia ennen kuin opt_in_tracking() kutsutaan.

2. Kytke suostumuksen takaisinkutsu

Kun CMP laukaisee analytiikkakategoria-hyväksytty-tapahtuman, kutsu mixpanel.opt_in_tracking(). Jonoon asetetut tapahtumat, jotka kaapattiin opt-out-jakson aikana, yleensä hylätään; jos sinun täytyy säilyttää ne, konfiguroi SDK:n jonotusmenettelyt nimenomaisesti ja hyväksy pieni riski, että tapahtumat suostumusta edeltävältä jaksolta lähetetään suostumuksen jälkeen.

3. Käsittele peruutus

Jos käyttäjä myöhemmin peruuttaa suostumuksen, kutsu mixpanel.opt_out_tracking(). Tämä pysäyttää tapahtumien keräämisen. Täydelliseen historiallisten tietojen poistamiseen sovelluksen on lisäksi kutsuttava Mixpanelin poisto-API:a tai käynnistettävä poistopyyntö Mixpanel-projektin käyttöliittymästä.

4. Vältä takautuvaa identiteetin yhdistämistä ilman nimenomaista suostumusta

Poista käytöstä identify-kutsun takautuva yhdistämismenettelytapa, ellei käyttäjä ole suostunut siihen, että hänen tunnistusta edeltävä selailu sidotaan hänen profiiliinsa. Mixpanelin SDK-vaihtoehdot paljastavat tätä varten lipun; konservatiivinen oletus on "ei takautuvaa yhdistämistä".

5. Käytä EU-residenssiprojektia EU-liikenteelle

Projekteissa, joissa EU-residenssi on tärkeää, ohjaa EU-liikenne EU-residenssin Mixpanel-projektiin ja US/muun liikenteen erilliseen projektiin. SDK tukee eri tunnusten lataamista käyttäjän havaitun alueen perusteella.

Yleiset sudenkuopat

Neljä integraatiovirhettä vastaa useimmista Mixpanel-toteutusten auditoinnin löydöksistä.

Mixpanelin käsitteleminen poikkeuksena, koska se on sisäistä käyttöä

Tämä on yksittäisin yleisin virhe. Tieto on henkilötietoa, eväste ei ole välttämätön, ja kolmannen osapuolen siirto on todellinen riippumatta siitä, miten tietoa käytetään jatkossa. Rajaa Mixpanel analytiikkasuostumuksen alle kuten mikä tahansa muu seuranta.

Autocapturen jättäminen päälle oletuksena

Autocapture laajentaa dramaattisesti lähetetyn tiedon pintaa – jokainen klikkaus, jokainen syöttökentän interaktio, jokainen sivunäkymä. Riskipinta kasvaa sen mukana. Useimmille SaaS-toteutuksille eksplisiittinen instrumentointi tuottaa puhtaampaa dataa ja pienemmän auditointijalanjäljen kuin Autocapture; sammuta Autocapture, ellei sinulla ole erityistä syytä pitää sitä päällä.

Takautuvan identiteetin yhdistämisen unohtaminen

Oletus-identify-toiminta yhdistää anonyymit tapahtumat nyt tunnistettuun käyttäjään. Jos käyttäjä hyväksyi analytiikkasuostumuksen vasta hetkellä, jolloin he kirjautuivat sisään, heidän suostumusta edeltävän anonyymin selauksen takautuva yhdistäminen luo dokumentointiongelman. Poista takautuva yhdistäminen käytöstä tai rajoita se nimenomaisesti suostumuksen jälkeisiin tapahtumiin.

EU-residenssioletuksen kovakoodaaminen

Yllättävän moni tiimi ohjaa kaiken liikenteen US-residenssin Mixpanel-projektiin olettaen, että suostumus kattaa residenssikysymyksen. Ei kata – suostumus ja residenssi ovat riippumattomia noudattamiskysymyksiä. Ohjaa havaitun alueen, ei globaalin oletuksen mukaan.

Auditointitarkistuslista

Kuusi konkreettista kysymystä vastattavaksi mille tahansa EU-, UK- tai Kalifornia-liikennettä koskettavalle Mixpanel-toteutukselle.

• Käynnistyykö Mixpanel opt-out-tilassa? Varmista, että SDK alustuu opt_out_tracking_by_default: true -asetuksella eikä tapahtumia laukaista ennen suostumusta.
• Laukeaako opt-in oikeasta CMP-tapahtumasta? Varmista, että analytiikka-hyväksytty-takaisinkutsu kutsuu opt_in_tracking()-funktiota, ei sallivampaa tapahtumaa.
• Onko Autocapture välttämätön? Jos se on päällä, dokumentoi miksi. Jos ei, poista se käytöstä.
• Onko takautuva yhdistäminen poistettu käytöstä? Varmista, että identify-kutsu ei yhdistä suostumusta edeltävää anonyymiä käyttäytymistä juuri tunnistettuihin profiileihin.
• Onko EU-liikenne EU-residenssiprojektissa? Varmista, että ohjauslogiikka lähettää EU-vierailijat EU-projektitunnukseen.
• Ovatko poistopyynnöt automatisoituja? Varmista, että DSAR-pyynnöt laukaisevat Mixpanelin poisto-API:n manuaalisen tiketin sijaan.

Mihin Mixpanel sopii suostumuskeskeisessä pinossa

Tuoteanalytiikka-alustat käsittävät sääntelykategorian, jota tuotetiimit usein vastustavat – he haluavat ajatella Mixpaneliä sisäisenä infrastruktuurina, eivät kolmannen osapuolen seurantana. Sääntelyviranomaiset eivät tee tuota erottelua, ja viimeisten kahden vuoden täytäntöönpanotoimet ovat tehneet selväksi, että he eivät sitä tee. Oikea arkkitehtuuri kohtelee Mixpaneliä täsmälleen kuten mitä tahansa muuta kolmannen osapuolen analytiikkapintaa: rajaa se suostumuksen taakse, käytä alustan natiivejä opt-in-primitiivejä portin valvomiseen, ohjaa EU-liikenne EU-residenssi-infrastruktuuriin ja poista käytöstä ominaisuudet (Autocapture, takautuva identify-yhdistäminen), jotka laajentavat auditointipintaa ilman suhteellista analyyttistä hyötyä. Oikein toteutettuna tuotetiimit säilyttävät suppilo- ja säilymistiedot, joita he tarvitsevat, ja oikeudellinen tiimi säilyttää dokumentaation, jota se tarvitsee puolustaakseen toteutusta auditoinnissa.