Panduan Integrasi Persetujuan Kuki Klaviyo: E-mel dan SMS Mematuhi GDPR untuk E-dagang pada 2026
Klaviyo ialah platform pemasaran e-mel dan SMS yang dominan untuk e-dagang terus kepada pengguna. Ia dipasang pada sebahagian besar kedai Shopify, BigCommerce, dan Magento di seluruh dunia, dan lapisan penjejakan tapak webnya — skrip yang memantau tingkah laku penyemakan imbas, mengatribusikan paparan halaman kepada profil yang diketahui, dan mencetuskan aliran troli yang ditinggalkan dan penyemakan imbas yang ditinggalkan — adalah apa yang menjadikan platform ini bernilai secara komersial. Ia juga merupakan salah satu bahagian timbunan e-dagang yang paling kerap dikonfigurasikan dengan salah dari perspektif privasi. Skrip penjejakan Klaviyo Onsite, perpustakaan Klaviyo Forms, dan aliran pilihan masuk SMS semuanya mengumpul data peribadi pada saat ia dimuatkan, sebelum mana-mana sepanduk persetujuan ditunjukkan. Bagi mana-mana kedai yang menyentuh trafik EU, UK, Brazil, atau California, tingkah laku lalai itu tidak lagi mematuhi peraturan, dan pengawal selia yang paling aktif dalam penguatkuasaan e-dagang — CNIL di Perancis, AEPD di Sepanyol, Garante Itali, dan Agensi Perlindungan Privasi California — telah menyatakan dengan jelas bahawa mereka melayan skrip pemasaran secara sama tanpa mengira sama ada penjual itu besar atau kecil. Panduan ini menerangkan apa yang Klaviyo kumpulkan, cara mengintegrasikannya dengan CMP pihak ketiga, dan di mana primitif privasi platform sendiri sesuai.
Apa yang Dikumpul oleh Klaviyo Onsite Tracking
Coretan Klaviyo Onsite (dimuatkan dari static.klaviyo.com/onsite/js/klaviyo.js) memulakan antrian global _learnq dan mengenal pasti pelawat dengan kuki milik Klaviyo yang dipanggil __kla_id. Setelah dipasang, ia secara automatik melaporkan peristiwa paparan halaman, menangkap interaksi borang, mencetuskan peristiwa Active On Site yang memacu aliran Penyemakan Imbas yang Ditinggalkan Klaviyo, dan menghubungkan tingkah laku penyemakan imbas tanpa nama kepada profil pelanggan yang diketahui pada saat pelawat log masuk atau menghantar borang dengan alamat e-mel. Peristiwa seterusnya — Viewed Product, Added to Cart, Started Checkout, Placed Order — dicetuskan melalui infrastruktur identiti yang sama dan mewarisi atribusi berasaskan kuki yang sama.
Untuk analisis GDPR, kuki itu tidak penting, data yang meninggalkan halaman adalah data peribadi kerana ia dikaitkan dengan pengecam berterusan, dan Klaviyo ditubuhkan di Amerika Syarikat, yang menjadikan pemindahan tertakluk kepada Rangka Kerja Privasi Data EU-AS. Ketiga-tiga syarat tersebut mendorong penjejakan Klaviyo Onsite dengan kukuh ke dalam wilayah memerlukan persetujuan terlebih dahulu di EU, UK, EEA, dan Brazil di bawah LGPD. Di California, pemprosesan yang sama tertakluk kepada hak pilihan keluar CPRA daripada perkongsian untuk pengiklanan tingkah laku merentas konteks, yang dicetuskan oleh perkongsian Klaviyo dengan destinasi media berbayar hiliran.
Tiga Permukaan Penjejakan yang Perlu Anda Kawal
Pemasangan Klaviyo bukan satu permukaan penjejakan, ia adalah tiga, dan ia perlu dilayan secara berasingan dalam integrasi CMP.
Skrip penjejakan Onsite
Ini adalah penjejak tingkah laku utama — skrip yang menetapkan __kla_id dan memacu strim peristiwa aktif di tapak web. Ini adalah permukaan yang kebanyakan pasukan ingat untuk mengawal dan yang paling ketara kepada pengawal selia dalam audit. Sekatnya secara lalai dan muatkannya hanya apabila pelawat menerima kategori pemasaran.
Klaviyo Forms dan popup pendaftaran
Klaviyo Forms adalah perpustakaan berasingan yang mengerakkan popup pendaftaran e-mel dan SMS, borang terbenam, dan pembukaan kandungan berpagar. Ia dihoskan pada domain yang sama tetapi dimuatkan sebagai skrip berasingan. Borang boleh mencetuskan peristiwa tayangan dan penyerahan secara bebas daripada penjejak Onsite utama, jadi mengawal hanya Onsite sambil membiarkan Forms dimuatkan adalah corak pematuhan separa yang biasa yang masih membocorkan data pengenalan.
Pengumpulan pilihan masuk SMS
Pendaftaran SMS mempunyai keperluan persetujuan sendiri di bawah TCPA di AS dan peraturan khusus sektor di EU, dan borang SMS Klaviyo mengumpul nombor telefon bersama persetujuan yang disahkan oleh kotak semak. Persetujuan yang dikumpul di sini adalah untuk pemesejan SMS itu sendiri, berasingan daripada persetujuan kuki. Timbunan yang dikonfigurasikan dengan betul merekodkan kedua-duanya: persetujuan kuki dalam CMP, persetujuan SMS dalam profil pelanggan Klaviyo.
Kawalan Privasi Natif Klaviyo
Klaviyo mendedahkan beberapa primitif privasi natif. Seperti kebanyakan platform pemasaran, mereka mengandaikan bahawa keputusan persetujuan wujud dan sedang dihantar masuk. Mereka tidak mengumpul persetujuan sendiri.
Sifat persetujuan pada panggilan identify
Apabila anda memanggil klaviyo.identify() atau klaviyo.track(), anda boleh melampirkan muatan persetujuan yang merekodkan asas undang-undang untuk komunikasi pemasaran. Ini adalah primitif yang betul untuk menghantar keputusan CMP ke dalam profil pelanggan Klaviyo.
Medan persetujuan peringkat profil
Profil pelanggan mempunyai medan khusus untuk persetujuan e-mel, persetujuan SMS, dan sumber persetujuan. Kemas kini kepada medan ini disebarkan ke enjin pembahagian Klaviyo supaya aliran menghormati keadaan yang direkodkan.
Panel tetapan Privasi dan Persetujuan
UI pentadbir Klaviyo mempunyai bahagian Privasi dan Persetujuan yang mengawal beberapa tingkah laku lalai — contohnya, sama ada peristiwa Active On Site dicetuskan untuk pelawat tanpa persetujuan yang direkodkan. Lalainya adalah permisif; mengetatkan tetapan ini adalah lapisan berguna di atas kawalan peringkat CMP.
Integrasi CMP Langkah demi Langkah
Seni bina yang boleh dipercayai adalah untuk mengawal ketiga-tiga permukaan penjejakan Klaviyo di belakang CMP dan menggunakan sifat persetujuan pada panggilan identify dan track Klaviyo untuk memastikan rekod pelanggan platform disegerakkan dengan keadaan persetujuan yang direkodkan.
1. Buang coretan Onsite lalai dari kepala
Klaviyo menyediakan coretan satu baris yang biasanya ditampal oleh pemasang ke dalam kepala dokumen. Buangnya. Gantikannya dengan elemen skrip pemegang tempat yang atribut typenya adalah text/plain dan atribut data-categorynya mengenal pasti ia sebagai pemasaran. CMP anda akan menulis semula jenis kembali kepada text/javascript apabila pelawat menerima kategori pemasaran.
2. Tangguhkan pemuatan Klaviyo Forms
Perpustakaan Forms dimuatkan secara bebas daripada Onsite. Terapkan corak pemegang tempat yang sama kepada elemen skripnya supaya ia tidak dimulakan sebelum persetujuan. Selepas persetujuan diberikan, kedua-dua Onsite dan Forms boleh dimulakan bersama; peristiwa yang beratur dibuang secara automatik.
3. Asingkan persetujuan SMS daripada persetujuan kuki
Pengumpulan pilihan masuk SMS berjalan melalui Klaviyo Forms tetapi persetujuan yang dikumpul — kotak semak eksplisit untuk pemasaran SMS — adalah artifak undang-undang yang berasingan daripada persetujuan kuki. Sepanduk CMP merekodkan keputusan kuki; kotak semak borang merekodkan keputusan SMS. Jangan gabungkan mereka — persetujuan yang digabungkan adalah tidak sah di bawah GDPR dan TCPA.
4. Sebarkan persetujuan ke dalam profil Klaviyo
Apabila pelanggan yang diketahui menerima atau membatalkan persetujuan di tapak web anda, CMP harus memanggil API Klaviyo untuk mengemas kini medan persetujuan profil. API Profil Klaviyo menyokong panggilan kemas kini separa yang menulis persetujuan e-mel, persetujuan SMS, dan cap masa persetujuan tanpa menimpa baki profil. Kebanyakan CMP moden mempunyai penyambung Klaviyo yang mengendalikan ini dari hujung ke hujung.
5. Sambungkan Consent Mode v2 jika anda menjalankan tag Google serentak
Kebanyakan kedai yang menggunakan Klaviyo juga menjalankan Google Ads dan GA4. CMP anda mesti menerbitkan isyarat persetujuan v2 — ad_storage, analytics_storage, ad_user_data, ad_personalization — ke dalam dataLayer sebelum mana-mana tag Google dicetuskan. Klaviyo tidak menggunakan isyarat ini secara natif, tetapi Google melakukannya, dan ketidakkonsistenan antara Klaviyo dan Google akan muncul sebagai jurang hasil yang boleh diukur dalam pelaporan atribusi.
Perangkap Biasa
Empat kesilapan integrasi muncul berulang kali dalam audit pemasangan Klaviyo.
Melayan Forms sebagai sekadar popup
Sesetengah pasukan mengawal Onsite di bawah pemasaran tetapi membiarkan Forms dimuatkan pada render awal, dengan alasan bahawa popup hanyalah elemen UI. Perpustakaan Forms mencetuskan peristiwa tayangan kepada Klaviyo untuk setiap popup yang dipaparkan, yang merupakan data tingkah laku pengenal yang diteruskan kepada vendor teknologi iklan AS — corak yang tepat yang CMP sepatutnya mencegah.
Menggabungkan persetujuan kuki dan SMS
Satu kotak semak yang berkata saya bersetuju dengan kuki dan untuk menerima SMS pemasaran adalah tidak sah untuk kedua-duanya. Persetujuan kuki mestilah khusus kepada kuki; persetujuan SMS mestilah khusus kepada SMS. Gunakan kawalan berasingan.
Membiarkan penyambung media berbayar pihak ketiga mencetuskan pada profil yang dibatalkan
Klaviyo boleh menolak audiens kepada Google Ads, Meta, TikTok, dan rangkaian iklan lain melalui integrasinya. Jika pelanggan membatalkan persetujuan, penolakan audiens perlu menjatuhkan mereka — bukan sekadar berhenti menambah mereka. Konfigurasikan tetapan segerak audiens Klaviyo untuk menghormati perubahan keadaan persetujuan dalam masa nyata, bukan hanya pada segerakan awal.
Melupakan soalan data sejarah
Apabila pelawat menerima persetujuan buat kali pertama, timbunan anda tidak sepatutnya secara retroaktif mengaitkan tingkah laku tanpa nama pra-persetujuan mereka dengan profil baru mereka. CMP dan Klaviyo harus bersetuju bahawa data penyemakan imbas pra-persetujuan bukan data peribadi yang dikaitkan dengan profil yang kini dikenal pasti. Sesetengah aliran Klaviyo mengandaikan perkaitan ini secara lalai — semak pencetus aliran yang berkaitan.
Senarai Semak Audit
Enam soalan konkrit untuk dijawab bagi mana-mana pemasangan Klaviyo yang menyentuh trafik EU, UK, Brazil, atau California.
- Adakah Onsite menunggu persetujuan? Buka kedai dalam tetingkap peribadi dengan perlindungan penjejakan ketat dan sahkan tiada permintaan static.klaviyo.com dicetuskan sebelum penerimaan sepanduk.
- Adakah Forms menunggu persetujuan? Sahkan bahawa peristiwa tayangan popup tidak dicetuskan sebelum kategori pemasaran diterima.
- Adakah persetujuan kuki dan persetujuan SMS berasingan? Sahkan sepanduk kuki tidak juga mengumpul persetujuan SMS, dan borang pilihan masuk SMS merekodkan kotak semak eksplisit mereka sendiri.
- Adakah profil Klaviyo mencerminkan keadaan CMP? Sahkan CMP menulis keputusan persetujuan kepada medan persetujuan profil melalui API Klaviyo.
- Adakah segerak audiens menghormati pembatalan? Sahkan bahawa membatalkan persetujuan menyingkirkan pelanggan daripada audiens media berbayar hiliran, bukan hanya daripada segerakan masa depan.
- Adakah penyemakan imbas pra-persetujuan kekal tanpa nama? Sahkan pencetus aliran tidak secara retroaktif mengaitkan tingkah laku pra-persetujuan dengan profil yang baru dikenal pasti.
Di Mana Klaviyo Sesuai dalam Timbunan Keutamaan Persetujuan
Klaviyo berada di persimpangan atribusi e-dagang dan komunikasi pemasaran langsung, yang bermakna ia menyentuh kedua-dua rejim persetujuan kuki (GDPR/ePrivacy, CCPA/CPRA) dan rejim komunikasi pemasaran (CAN-SPAM, TCPA, Artikel 6/7 GDPR untuk pemesejan). Seni bina yang betul melayan ini sebagai dua permukaan persetujuan yang berbeza — kedua-duanya dihalakan melalui CMP tunggal yang memiliki sumber kebenaran, dengan medan persetujuan natif Klaviyo disegerakkan melalui API. Kedai yang melakukan ini dengan betul mengekalkan tingkah laku troli yang ditinggalkan, penyemakan imbas yang ditinggalkan, dan pembahagian yang menjadikan Klaviyo bernilai secara komersial sambil mengurangkan pendedahan audit kepada sebahagian kecil daripada apa yang dibawa oleh pemasangan lalai. Kerja kejuruteraan adalah mudah; disiplinnya adalah dalam tidak membiarkan pasukan pemasaran melayan Forms sebagai dikecualikan daripada peraturan yang sama seperti penjejak Onsite.