Panduan Integrasi Kebenaran Kuki Amplitude Product Analytics: Buku Panduan Pelaksanaan 2026
Amplitude menduduki kedudukan yang luar biasa dalam tindanan data moden. Ia bukan pengurus teg, bukan platform data pelanggan, dan bukan alat analitik pemasaran — ia adalah produk analitik tingkah laku yang direka untuk merakam setiap interaksi pengguna dengan produk digital, menyulam peristiwa tersebut menjadi sesi dan perjalanan pengguna, dan menghantar semula hasilnya ke dalam eksperimentasi, pemperibadian, dan atribusi hasil. Kekayaan itulah yang menjadikan produk ini berharga. Ia juga yang menjadikan kebenaran sebagai keputusan integrasi paling penting yang akan dibuat pasukan apabila menggunakannya. Lakukan dengan betul dan Amplitude akan memberi anda pandangan produk yang boleh dipertahankan selama bertahun-tahun. Lakukan dengan salah dan SDK yang sama menjadi salah satu item paling ketara dalam senarai penguatkuasaan pengawal selia, kerana SDK analitik tingkah laku yang dihidupkan sebelum kebenaran adalah tepat corak yang telah disasarkan oleh pasukan petugas sepanduk kuki EDPB, CNIL, dan ICO dalam tiga tahun terakhir.
Mengapa Amplitude memerlukan kebenaran
SDK Pelayar Amplitude lalai dan SDK mudah alih Amplitude melakukan jauh lebih banyak daripada sekadar merekod paparan halaman. Semasa permulaan ia akan menetapkan pengecam peranti dalam storan pihak pertama, menjana pengecam sesi, merakam perujuk, mengurai UTM dan pengecam klik dari URL, dan mula mengantre peristiwa yang dirakam secara automatik: paparan halaman, klik elemen, interaksi borang, muat turun fail, dan — dalam keluaran terkini — main semula sesi. Ia juga akan memperkaya peristiwa tersebut dengan geolokasi yang diperoleh dari IP, data peranti yang diperoleh dari ejen pengguna, dan, jika dikonfigurasi, pengayaan pihak ketiga dari rakan data.
Setiap langkah tersebut melibatkan asas undang-undang kebenaran yang berasingan. Menyimpan pengecam peranti adalah operasi storan-dan-akses di bawah Artikel 5(3) Arahan ePrivacy, yang memerlukan kebenaran yang diberikan sebelumnya, bebas, khusus, bermaklumat, dan tidak samar-samar dalam Kawasan Ekonomi Eropah, United Kingdom, dan mana-mana bidang kuasa yang telah mengimport standard yang sama. Merakam peristiwa tingkah laku yang terikat dengan pengecam tersebut adalah pemprosesan data peribadi di bawah GDPR. Memperkaya dengan data pihak ketiga memperkenalkan hubungan pengawal kedua. CCPA dan CPRA mengklasifikasikan pemprosesan yang sama sebagai jualan atau perkongsian melainkan penerbit mempunyai kontrak pembekal perkhidmatan yang berskop betul dengan Amplitude — yang tersedia, tetapi hanya jika integrasi dikonfigurasi untuk melumpuhkan ciri pengiklanan.
Apa yang dikumpul Amplitude sebelum kebenaran — dan apa yang mesti ditekan
Kesilapan pelaksanaan yang paling umum adalah memperlakukan Amplitude sebagai alat analitik ringan yang boleh berjalan bersama sepanduk kuki. Ia tidak boleh. Pada panggilan amplitude.init() lalai, SDK akan, dalam cat pertama halaman, menulis sekurang-kurangnya satu entri kuki atau storan tempatan, menghantar panggilan identify, dan mula menimbal peristiwa. Tiada satu pun daripada itu dibenarkan sebelum pengguna menerima kategori kebenaran yang berkaitan secara afirmatif.
Integrasi yang mematuhi peraturan oleh itu mesti menangguhkan amplitude.init() sehingga CMP memberi isyarat bahawa kategori kebenaran analitik telah diberikan. SDK tidak seharusnya dimuatkan sama sekali dari teg <script> yang bergerbang kebenaran yang bergantung pada isyarat tujuan 8 (analitik) atau tujuan 1 (storan dan akses) CMP, bergantung pada rangka kerja mana yang didedahkan oleh CMP. Jika SDK mesti dimuatkan lebih awal — contohnya kerana ia digabungkan ke dalam kod aplikasi dan tidak boleh diambil secara malas — panggilan permulaan harus menghantar defaultTracking: false dan optOut: true supaya tiada peristiwa dipancarkan sehingga kebenaran direkodkan, dan kemudian peristiwa opt-in yang ditangguhkan harus membalik bendera tersebut.
Kuki dan storan yang ditulis Amplitude
SDK Pelayar 2.x menulis satu kuki pihak pertama bernama AMP_{apiKey} secara lalai, dengan tamat tempoh satu tahun, yang mengandungi pengecam peranti dan metadata sesi. Versi lama juga menulis amplitude_id_{apiKey}. SDK mudah alih mengekalkan pengecam yang sama di dalam storan kotak pasir aplikasi. Main semula sesi menambah kuki kedua, AMP_MKTG_{apiKey}, dan rakan pengayaan Amplitude boleh menetapkan kuki pihak ketiga tambahan jika modul penyasaran eksperimen atau khalayak didayakan. Semua ini bukan penting dan memerlukan kebenaran.
Memetakan Amplitude ke rangka kerja kebenaran
Amplitude tidak melaksanakan Google Consent Mode v2, IAB TCF, atau IAB Global Privacy Platform secara asli. Itu bukan cacat — Amplitude adalah platform analitik pihak pertama, bukan vendor teknologi iklan — tetapi ini bermakna tanggungjawab integrasi terletak pada penerbit. Corak yang berfungsi dalam amalan adalah dengan memperlakukan setiap modul Amplitude sebagai gerbang kebenaran yang berasingan dan mengikatnya kepada isyarat khusus yang sudah didedahkan oleh CMP.
- Peristiwa analitik teras terikat kepada tujuan analitik. Dalam istilah TCF ini paling kerap adalah tujuan 8 (mengukur prestasi kandungan) digabungkan dengan tujuan 1 (menyimpan dan/atau mengakses maklumat). Untuk Google Consent Mode ini memetakan kepada analytics_storage.
- Main semula sesi harus berada di belakang isyarat yang lebih ketat. Main semula merakam DOM yang dirender, termasuk nilai borang melainkan ditopeng secara eksplisit, jadi opt-in preferences atau functional yang berasingan adalah sesuai, dan main semula harus lalai kepada mati walaupun apabila analitik diberikan.
- Khalayak, kohort, dan pengayaan pihak ketiga terikat kepada tujuan pemasaran. Dalam istilah TCF ini adalah tujuan 7 (mengukur prestasi iklan) atau tujuan 9 (menerapkan penyelidikan pasaran). Untuk Google Consent Mode ini memetakan kepada ad_storage dan ad_user_data.
- Eksperimentasi — Amplitude Experiment boleh berjalan dengan peruntukan tanpa nama dan sementara di bawah asas kepentingan sah, tetapi peruntukan berterusan yang terikat kepada pengecam pengguna memerlukan kebenaran yang sama seperti analitik teras.
Corak integrasi yang berfungsi
Pelaksanaan rujukan yang bertahan dari semakan pengawal selia mempunyai empat bahagian bergerak: CMP yang mendedahkan peristiwa masa nyata apabila pengguna menukar kebenaran, pemuat SDK yang ditangguhkan yang hanya mengambil Amplitude selepas peristiwa tersebut dihidupkan untuk kategori yang berkaitan, pengawal peringkat sesi yang menghormati opt-out tanpa kehilangan pengecam peranti tanpa nama terdahulu pengguna di mana undang-undang membenarkan, dan jambatan sisi pelayan untuk peristiwa yang benar-benar memerlukan pengumpulan tanpa mengira kebenaran — seperti telemetri keselamatan atau pengesanan penipuan — dihalakan melalui titik akhir berasingan dengan asas undang-undangnya sendiri.
Pelaksanaan web
Di web, corak paling bersih adalah mendedahkan keadaan kebenaran CMP melalui objek window.__cmp_consent atau panggilan balik __tcfapi standard, kemudian mempunyai skrip bootstrap kecil yang melanggan perubahan kebenaran. Apabila kebenaran analitik berubah dari false ke true, bootstrap mengambil SDK Amplitude dari CDN yang diurus CMP, memanggil amplitude.init(apiKey, undefined, { defaultTracking: true }), dan memainkan semula mana-mana peristiwa yang diantre dalam memori semasa kebenaran ditangguhkan. Apabila kebenaran berubah semula kepada false, bootstrap memanggil amplitude.setOptOut(true), mengosongkan kuki AMP_ melalui tamat tempoh document.cookie, dan mengalih keluar sebarang keadaan dalam memori. Secara kritis, bootstrap tidak boleh memulakan Amplitude secara malas dalam aliran permintaan yang sama seperti render sepanduk — SDK mesti menunggu pemberian yang eksplisit.
Pelaksanaan mudah alih
Pada iOS padanannya adalah menyimpan rangka kerja Amplitude yang diimport tetapi menangguhkan Amplitude.instance().initialize(apiKey: apiKey) sehingga aliran kebenaran dalam aplikasi telah mengembalikan isyarat analitik yang positif. Gesaan ATT adalah kebimbangan yang berasingan: ATT mengawal IDFA, sementara pengecam Amplitude adalah UUID SDK sendiri yang disimpan dalam kotak pasir aplikasi. Kedua-duanya memerlukan kebenaran di EEA, tetapi asas undang-undang dan gesaan adalah berbeza. Di Android logik yang sama berlaku dengan Amplitude.getInstance().initializeApolloClient() atau yang setara bergantung pada versi SDK.
Mod sisi pelayan
Amplitude menyokong pengingesan sisi pelayan melalui HTTP V2 API. Peristiwa sisi pelayan tidak dikecualikan daripada kebenaran — asas undang-undang mengikut data, bukan pengangkutan — tetapi pengingesan sisi pelayan memberikan penerbit kawalan penuh ke atas medan yang dihantar, yang memudahkan untuk menghormati kebenaran separa. Corak umum adalah untuk merakam set peristiwa minimum sahaja di sisi pelayan di bawah kepentingan sah, dan hanya memperkaya peristiwa tersebut dengan perincian tingkah laku selepas pengguna memberikan kebenaran analitik pada klien.
Mengesahkan integrasi
Langkah pengesahan adalah yang paling kerap dilangkau oleh penerbit dan paling kerap diperiksa oleh pengawal selia. Penggunaan Amplitude yang diintegrasikan dengan betul harus melepasi empat pemeriksaan. Pertama, pelayar dengan sepanduk kebenaran ditunjukkan tetapi tiada pilihan dibuat harus menghasilkan sifar permintaan kepada api.amplitude.com atau api.eu.amplitude.com dan sifar kuki AMP_ dalam document.cookie. Kedua, menolak kategori analitik harus mengekalkan keadaan tersebut — tiada peristiwa, tiada kuki, tiada entri storan tempatan dengan awalan AMP_. Ketiga, menerima analitik harus menghasilkan satu identify diikuti oleh trafik peristiwa, dan kuki AMP_ harus muncul dengan atribut SameSite yang konsisten dengan polisi CMP penerbit. Keempat, menarik balik kebenaran selepas itu harus segera menghentikan peristiwa selanjutnya dan mengosongkan pengecam yang disimpan — pembersihan yang tertangguh adalah penemuan.
Jejak audit penting secara berasingan. Di bawah garis panduan sepanduk kuki EDPB 2023 dan keutamaan pasukan petugas 2026 yang diperbaharui, pengawal selia mengharapkan penerbit dapat membuktikan, untuk mana-mana peristiwa yang diberikan dalam projek Amplitude, bahawa pengguna yang menjana peristiwa tersebut telah memberikan kebenaran yang sah pada saat penangkapan. Ini memerlukan log kebenaran CMP boleh ditanya mengikut pengecam peranti atau pengecam sesi, dan muatan peristiwa Amplitude membawa medan versi kebenaran yang mengaitkan kembali ke log tersebut. Menyimpan rentetan kebenaran sebagai sifat pengguna tersuai pada setiap peristiwa adalah cara paling mudah untuk menjadikan pautan tersebut boleh diaudit.
Memilih rantau dan kediaman data yang betul
Amplitude mengendalikan dua rantau pengeluaran: AS (api.amplitude.com) dan EU (api.eu.amplitude.com). Untuk trafik EEA dan UK, rantau EU adalah lalai yang betul — ia menyimpan data di dalam EEA dan mengurangkan permukaan risiko pemindahan yang telah dibuat oleh keputusan Schrems II dan Rangka Kerja Privasi Data EU-AS menjadi pusat kepada sebarang semakan analitik. Menukar rantau tidak retroaktif: data sedia ada kekal di mana ia pertama kali diinges. Untuk penerbit yang merancang peluncuran CMP adalah oleh itu berbaloi untuk mengesahkan rantau sebelum menskalakan, dan berbaloi mendokumentasikan pilihan dalam notis privasi supaya rantai asas yang sah adalah bersih dari pengumpulan hingga ke penyimpanan. Rantau yang dipilih dengan betul, dipasangkan dengan SDK yang bergerbang dengan betul dan log kebenaran yang boleh ditanya, adalah apa yang mengubah penggunaan Amplitude dari risiko kawal selia menjadi bahagian tindanan analitik yang boleh dipertahankan.