Apa yang Dikumpulkan Mixpanel

SDK Mixpanel (dimuat dari cdn.mxpnl.com atau self-hosted) menginisialisasi objek global mixpanel dan mengidentifikasi pengguna dengan cookie milik Mixpanel yang berisi distinct ID yang dihasilkan. Sejak saat itu, setiap panggilan ke mixpanel.track() melaporkan payload event — nama event, properti, distinct ID, dan set properti yang ditangkap otomatis (user agent, OS, referrer, parameter UTM, resolusi layar, timezone) — ke endpoint ingestion Mixpanel. SDK juga mendukung mode Autocapture yang mengawasi DOM dan mengeluarkan event klik, pageview, dan pengiriman formulir tanpa instrumentasi eksplisit, secara dramatis memperluas permukaan dari apa yang dikumpulkan.

Setelah pengguna melakukan autentikasi dan aplikasi memanggil mixpanel.identify(user_id), semua event berikutnya — dan, tergantung pada konfigurasi, semua event anonim sebelumnya — dikaitkan dengan identitas yang diautentikasi. Asosiasi retroaktif adalah salah satu fitur Mixpanel yang paling berguna dan salah satu yang paling mengekspos dari perspektif privasi: perilaku browsing anonim yang dikumpulkan pra-persetujuan secara retroaktif ditautkan ke profil yang diidentifikasi pada saat pengguna tersebut login.

Mengapa Framing "Analitik Produk" Tidak Membuat Anda Terhindar dari Persetujuan

Argumen umum dari tim produk dan engineering adalah bahwa data Mixpanel untuk keputusan produk internal, bukan untuk pemasaran atau periklanan, dan bahwa framing penggunaan internal ini seharusnya menjadi justifikasi yang cukup di bawah dasar kepentingan sah GDPR. Argumen tersebut sebagian besar salah karena tiga alasan yang telah eksplisit dijelaskan oleh regulator.

Pemrosesan tetap merupakan pemrosesan data pribadi

Terlepas dari mengapa data dikumpulkan, cookie tersebut tidak esensial di bawah ePrivacy Article 5(3) dan event tersebut membawa pengenal persisten di bawah definisi data pribadi GDPR. Analisis dasar hukum sama seperti untuk skrip pelacakan lainnya.

Kepentingan sah memerlukan uji keseimbangan

CNIL, ICO, dan EDPB semuanya telah menulis panduan yang menjelaskan bahwa kepentingan sah untuk analitik perilaku memerlukan penilaian terdokumentasi yang menunjukkan pemrosesan diperlukan, proporsional, dan tidak mengesampingkan ekspektasi wajar pengguna. Untuk vendor SaaS pihak ketiga yang menerima data event tingkat pengguna, uji keseimbangan tersebut jarang berhasil tanpa persetujuan eksplisit.

Transfer lintas batas bersifat independen

Bahkan jika Anda dapat menetapkan kepentingan sah untuk pengumpulan itu sendiri, transfer internasional ke infrastruktur AS Mixpanel membawa persyaratan dasar hukumnya sendiri yang persetujuan atau perlindungan kontraktual biasanya memenuhi lebih bersih daripada kepentingan sah saja.

Kontrol Privasi Native Mixpanel

Mixpanel mengekspos set primitif privasi yang bermakna yang dirancang untuk mendukung deployment yang dibatasi persetujuan. Seperti kebanyakan platform, mereka mengasumsikan keputusan persetujuan ada di upstream; mereka tidak mengumpulkannya sendiri.

opt_out_tracking

Panggilan mixpanel.opt_out_tracking() menghentikan SDK dari mengirim event dan mempertahankan preferensi opt-out di seluruh sesi. Pasangkan dengan mixpanel.opt_in_tracking() ketika pengguna menerima kategori analitik di CMP Anda. SDK menghormati pengaturan ini di seluruh semua panggilan berikutnya tanpa memerlukan inisialisasi ulang.

has_opted_out_tracking

Fungsi query yang mengembalikan status opt-out saat ini, berguna untuk menyinkronkan status SDK dengan status CMP Anda pada pemuatan halaman atau perubahan rute.

Opsi residensi EU

Mixpanel menawarkan tipe proyek residensi data EU yang menjaga data event dalam infrastruktur berbasis Frankfurt. Ini mengatasi porsi yang berarti dari kekhawatiran transfer lintas batas dan merupakan konfigurasi yang tepat untuk proyek apa pun di mana residensi EU adalah persyaratan keras. Ini tidak menghilangkan persyaratan persetujuan.

set_config({ ip: false })

Menonaktifkan penangkapan alamat IP, mengurangi jejak data pribadi dari setiap event. Berguna sebagai ukuran defense-in-depth di samping gating persetujuan.

Integrasi CMP Langkah-demi-Langkah

Pola integrasi yang bekerja dengan andal adalah menginisialisasi Mixpanel dalam status opt-out secara default, kemudian opt-in pengguna ketika mereka menerima kategori analitik di CMP.

1. Inisialisasi Mixpanel dengan default opt-out

Panggil mixpanel.init(token, { opt_out_tracking_by_default: true }) sesegera mungkin dalam bootstrap aplikasi Anda. Ini memuat SDK tetapi mencegahnya mengirim event apa pun sampai opt_in_tracking() dipanggil.

2. Hubungkan callback persetujuan

Ketika CMP memicu event analytics-category-accepted-nya, panggil mixpanel.opt_in_tracking(). Event yang diantri yang ditangkap selama periode opt-out biasanya dibuang; jika Anda perlu mempertahankannya, konfigurasikan perilaku antrian SDK secara eksplisit dan terima risiko kecil bahwa event dari periode pra-persetujuan dikirim pasca-persetujuan.

3. Tangani pencabutan

Jika pengguna kemudian mencabut persetujuan, panggil mixpanel.opt_out_tracking(). Ini menghentikan ingestion event lebih lanjut. Untuk penghapusan penuh data historis, aplikasi harus tambahan memanggil API penghapusan Mixpanel atau memicu permintaan penghapusan dari UI proyek Mixpanel.

4. Hindari penggabungan identitas retroaktif tanpa persetujuan eksplisit

Nonaktifkan perilaku penggabungan retroaktif panggilan identify kecuali pengguna telah menyetujui browsing pra-identifikasi mereka diikat ke profil mereka. Opsi SDK Mixpanel mengekspos flag untuk ini; default konservatif adalah "tidak ada penggabungan retroaktif".

5. Gunakan proyek residensi EU untuk traffic EU

Untuk proyek di mana residensi EU penting, arahkan traffic EU ke proyek Mixpanel residensi EU dan traffic AS/lainnya ke proyek terpisah. SDK mendukung pemuatan token berbeda bersyarat pada wilayah terdeteksi pengguna.

Kesalahan Umum

Empat kesalahan integrasi menyumbang sebagian besar temuan audit pada deployment Mixpanel.

Memperlakukan Mixpanel sebagai dikecualikan karena penggunaan internal

Ini adalah kesalahan paling umum. Data tersebut adalah data pribadi, cookie tersebut tidak esensial, dan transfer pihak ketiga nyata terlepas dari bagaimana data digunakan di downstream. Batasi Mixpanel di bawah persetujuan analitik seperti pelacak lainnya.

Membiarkan Autocapture aktif secara default

Autocapture secara dramatis memperluas permukaan dari apa yang dikirim — setiap klik, setiap interaksi field input, setiap pageview. Permukaan risiko skala dengannya. Untuk sebagian besar deployment SaaS, instrumentasi eksplisit menghasilkan data yang lebih bersih dan jejak audit yang lebih kecil daripada Autocapture; matikan Autocapture kecuali Anda memiliki alasan khusus untuk mempertahankannya.

Melupakan penggabungan identitas retroaktif

Perilaku identify default mengaitkan event anonim dengan pengguna yang sekarang diidentifikasi. Jika pengguna menerima persetujuan analitik hanya pada saat mereka login, asosiasi retroaktif browsing anonim pra-persetujuan mereka menciptakan masalah dokumentasi. Nonaktifkan penggabungan retroaktif atau secara eksplisit batasi ke event pasca-persetujuan.

Hardcoding asumsi residensi EU

Sejumlah mengejutkan tim mengarahkan semua traffic ke proyek Mixpanel residensi AS dengan asumsi bahwa persetujuan mencakup pertanyaan residensi. Tidak — persetujuan dan residensi adalah pertanyaan kepatuhan yang independen. Arahkan berdasarkan wilayah terdeteksi, bukan berdasarkan default global.

Checklist Audit

Enam pertanyaan konkret untuk dijawab untuk deployment Mixpanel apa pun yang menyentuh traffic EU, UK, atau California.

• Apakah Mixpanel dimulai dalam opt-out? Konfirmasi SDK menginisialisasi dengan opt_out_tracking_by_default: true dan tidak ada event yang aktif sebelum persetujuan.
• Apakah opt-in aktif pada event CMP yang tepat? Konfirmasi callback analytics-accepted memanggil opt_in_tracking(), bukan event yang lebih permisif.
• Apakah Autocapture diperlukan? Jika aktif, dokumentasikan mengapa. Jika tidak, nonaktifkan.
• Apakah penggabungan retroaktif dinonaktifkan? Konfirmasi panggilan identify tidak mengaitkan perilaku anonim pra-persetujuan dengan profil yang baru diidentifikasi.
• Apakah traffic EU pada proyek residensi EU? Konfirmasi logika routing mengirim pengunjung EU ke token proyek EU.
• Apakah permintaan penghapusan otomatis? Konfirmasi permintaan DSAR memicu API penghapusan Mixpanel daripada tiket manual.

Di Mana Mixpanel Cocok dalam Stack Consent-First

Platform analitik produk menempati kategori regulasi yang sering ditolak tim produk — mereka ingin menganggap Mixpanel sebagai infrastruktur internal, bukan sebagai pelacak pihak ketiga. Regulator tidak membuat perbedaan itu, dan tindakan penegakan dari dua tahun terakhir telah menjelaskan bahwa mereka tidak akan melakukannya. Arsitektur yang tepat memperlakukan Mixpanel persis seperti permukaan analitik pihak ketiga lainnya: batasi di belakang persetujuan, gunakan primitif opt-in native platform untuk menegakkan gerbang, arahkan traffic EU ke infrastruktur residensi EU, dan nonaktifkan fitur (Autocapture, penggabungan identify retroaktif) yang memperluas permukaan audit tanpa manfaat analitis yang proporsional. Dilakukan dengan benar, tim produk menyimpan data funnel dan retensi yang mereka butuhkan, dan tim hukum menyimpan dokumentasi yang dibutuhkan untuk membela deployment di bawah audit.