Apa yang Dikumpul oleh Mixpanel

SDK Mixpanel (dimuatkan dari cdn.mxpnl.com atau dihoskan sendiri) memulakan objek mixpanel global dan mengenal pasti pengguna dengan kuki milik Mixpanel yang mengandungi ID berbeza yang dijana. Dari saat itu, setiap panggilan ke mixpanel.track() melaporkan muatan acara — nama acara, sifat, ID berbeza, dan satu set sifat yang ditangkap automatik (ejen pengguna, OS, perujuk, parameter UTM, resolusi skrin, zon masa) — ke titik akhir pengambilan Mixpanel. SDK juga menyokong mod Autocapture yang memerhati DOM dan mengeluarkan acara klik, paparan halaman, dan penyerahan borang tanpa instrumentasi eksplisit, secara dramatik memperluaskan permukaan apa yang dikumpul.

Sebaik sahaja pengguna disahkan dan aplikasi memanggil mixpanel.identify(user_id), semua acara seterusnya — dan, bergantung pada konfigurasi, semua acara tanpa nama sebelumnya — dikaitkan dengan identiti yang disahkan. Perkaitan retroaktif adalah salah satu ciri Mixpanel yang paling berguna dan salah satu yang paling mendedahkan dari perspektif privasi: tingkah laku penyemakan imbas tanpa nama yang dikumpul sebelum persetujuan dikaitkan secara retroaktif kepada profil yang dikenal pasti sebaik sahaja pengguna tersebut log masuk.

Mengapa Pembingkaian "Analitik Produk" Tidak Mengecualikan Anda daripada Persetujuan

Hujah biasa daripada pasukan produk dan kejuruteraan ialah data Mixpanel adalah untuk keputusan produk dalaman, bukan untuk pemasaran atau pengiklanan, dan pembingkaian penggunaan dalaman ini sepatutnya menjadi justifikasi yang mencukupi di bawah asas kepentingan sah GDPR. Hujah ini sebahagian besarnya tidak betul kerana tiga sebab yang telah dinyatakan dengan jelas oleh pengawal selia.

Pemprosesan masih merupakan pemprosesan data peribadi

Tanpa mengira mengapa data dikumpul, kuki adalah tidak penting di bawah ePrivacy Article 5(3) dan acara membawa pengecam berterusan di bawah definisi data peribadi GDPR. Analisis asas sah adalah sama seperti mana-mana skrip penjejakan lain.

Kepentingan sah memerlukan ujian pengimbangan

CNIL, ICO, dan EDPB semuanya telah menulis panduan yang menjelaskan bahawa kepentingan sah untuk analitik tingkah laku memerlukan penilaian yang didokumenkan yang menunjukkan pemprosesan adalah perlu, berkadar, dan tidak mengatasi jangkaan munasabah pengguna. Bagi vendor SaaS pihak ketiga yang menerima data acara peringkat pengguna, ujian pengimbangan itu jarang berjaya tanpa persetujuan eksplisit.

Pemindahan rentas sempadan adalah bebas

Walaupun anda boleh mewujudkan kepentingan sah untuk pengumpulan itu sendiri, pemindahan antarabangsa ke infrastruktur AS Mixpanel membawa keperluan asas sahnya sendiri yang persetujuan atau perlindungan kontrak biasanya memenuhi dengan lebih bersih daripada kepentingan sah sahaja.

Kawalan Privasi Asli Mixpanel

Mixpanel mendedahkan satu set primitif privasi yang bermakna yang direka untuk menyokong penggunaan berpagar persetujuan. Seperti kebanyakan platform, mereka menganggap keputusan persetujuan wujud di hulu; mereka tidak mengumpulnya sendiri.

opt_out_tracking

Panggilan mixpanel.opt_out_tracking() menghentikan SDK daripada menghantar acara dan mengekalkan keutamaan pilih keluar merentasi sesi. Pasangkannya dengan mixpanel.opt_in_tracking() apabila pengguna menerima kategori analitik dalam CMP anda. SDK menghormati tetapan ini merentasi semua panggilan seterusnya tanpa memerlukan pemulaan semula.

has_opted_out_tracking

Fungsi pertanyaan yang mengembalikan keadaan pilih keluar semasa, berguna untuk menyegerakkan keadaan SDK dengan keadaan CMP anda semasa pemuatan halaman atau perubahan laluan.

Pilihan residensi EU

Mixpanel menawarkan jenis projek residensi data EU yang menyimpan data acara dalam infrastruktur berasaskan Frankfurt. Ini menangani bahagian bermakna kebimbangan pemindahan rentas sempadan dan merupakan konfigurasi yang betul untuk mana-mana projek di mana residensi EU adalah keperluan keras. Ia tidak menghapuskan keperluan persetujuan.

set_config({ ip: false })

Melumpuhkan tangkapan alamat IP, mengurangkan jejak data peribadi setiap acara. Berguna sebagai langkah pertahanan mendalam bersama pengapungan persetujuan.

Integrasi CMP Langkah demi Langkah

Corak integrasi yang berfungsi dengan pasti adalah memulakan Mixpanel dalam keadaan pilih keluar secara lalai, kemudian memilih masuk pengguna apabila mereka menerima kategori analitik dalam CMP.

1. Mulakan Mixpanel dengan lalai pilih keluar

Panggil mixpanel.init(token, { opt_out_tracking_by_default: true }) seawal mungkin dalam permulaan aplikasi anda. Ini memuatkan SDK tetapi menghalangnya daripada menghantar sebarang acara sehingga opt_in_tracking() dipanggil.

2. Sambungkan panggilan balik persetujuan

Apabila CMP mencetuskan acara kategori-analitik-diterima, panggil mixpanel.opt_in_tracking(). Acara beratur yang ditangkap semasa tempoh pilih keluar biasanya dibuang; jika anda perlu mengekalkannya, konfigurasikan tingkah laku beratur SDK secara eksplisit dan terima risiko kecil bahawa acara dari tempoh sebelum persetujuan dihantar selepas persetujuan.

3. Tangani pembatalan

Jika pengguna kemudian membatalkan persetujuan, panggil mixpanel.opt_out_tracking(). Ini menghentikan pengambilan acara selanjutnya. Untuk pemadaman penuh data sejarah, aplikasi mesti juga memanggil API pemadaman Mixpanel atau mencetuskan permintaan pemadaman dari UI projek Mixpanel.

4. Elakkan penggabungan identiti retroaktif tanpa persetujuan eksplisit

Lumpuhkan tingkah laku penggabungan retroaktif panggilan identify melainkan pengguna telah bersetuju untuk penyemakan imbas sebelum pengenalan mereka dikaitkan dengan profil mereka. Pilihan SDK Mixpanel mendedahkan bendera untuk ini; lalai konservatif adalah "tiada penggabungan retroaktif".

5. Gunakan projek residensi EU untuk trafik EU

Untuk projek di mana residensi EU penting, halakan trafik EU ke projek Mixpanel residensi EU dan trafik AS/lain ke projek berasingan. SDK menyokong pemuatan token berbeza bersyarat pada kawasan pengguna yang dikesan.

Perangkap Biasa

Empat kesilapan integrasi menyumbang kepada kebanyakan penemuan audit pada penggunaan Mixpanel.

Menganggap Mixpanel dikecualikan kerana ia penggunaan dalaman

Ini adalah kesilapan paling biasa. Data adalah data peribadi, kuki adalah tidak penting, dan pemindahan pihak ketiga adalah nyata tanpa mengira bagaimana data digunakan di hilir. Pagar Mixpanel di bawah persetujuan analitik seperti mana-mana penjejak lain.

Membiarkan Autocapture hidup secara lalai

Autocapture secara dramatik memperluaskan permukaan apa yang dihantar — setiap klik, setiap interaksi medan input, setiap paparan halaman. Permukaan risiko berskala dengannya. Untuk kebanyakan penggunaan SaaS, instrumentasi eksplisit menghasilkan data yang lebih bersih dan jejak audit yang lebih kecil daripada Autocapture; matikan Autocapture melainkan anda mempunyai sebab khusus untuk mengekalkannya.

Melupakan penggabungan identiti retroaktif

Tingkah laku identify lalai mengaitkan acara tanpa nama dengan pengguna yang kini dikenal pasti. Jika pengguna menerima persetujuan analitik hanya pada saat mereka log masuk, perkaitan retroaktif penyemakan imbas tanpa nama sebelum persetujuan mereka mewujudkan masalah dokumentasi. Lumpuhkan penggabungan retroaktif atau hadkan secara eksplisit kepada acara selepas persetujuan.

Mengekodkan andaian residensi EU secara keras

Bilangan pasukan yang mengejutkan menghalakan semua trafik ke projek Mixpanel residensi AS dengan andaian bahawa persetujuan meliputi soalan residensi. Ia tidak — persetujuan dan residensi adalah soalan pematuhan yang bebas. Halakan mengikut kawasan yang dikesan, bukan mengikut lalai global.

Senarai Semak Audit

Enam soalan konkrit untuk dijawab bagi mana-mana penggunaan Mixpanel yang menyentuh trafik EU, UK, atau California.

• Adakah Mixpanel bermula dalam pilih keluar? Sahkan SDK dimulakan dengan opt_out_tracking_by_default: true dan tiada acara dicetuskan sebelum persetujuan.
• Adakah pilih masuk dicetuskan pada acara CMP yang betul? Sahkan panggilan balik analitik-diterima memanggil opt_in_tracking(), bukan acara yang lebih permisif.
• Adakah Autocapture perlu? Jika ia dihidupkan, dokumentasikan mengapa. Jika tidak, lumpuhkannya.
• Adakah penggabungan retroaktif dilumpuhkan? Sahkan panggilan identify tidak mengaitkan tingkah laku tanpa nama sebelum persetujuan dengan profil yang baru dikenal pasti.
• Adakah trafik EU pada projek residensi EU? Sahkan logik penghalaan menghantar pelawat EU ke token projek EU.
• Adakah permintaan pemadaman diautomatikkan? Sahkan permintaan DSAR mencetuskan API pemadaman Mixpanel dan bukannya tiket manual.

Di Mana Mixpanel Sesuai dalam Tindanan Persetujuan-Pertama

Platform analitik produk menduduki kategori kawal selia yang sering ditentang oleh pasukan produk — mereka mahu menganggap Mixpanel sebagai infrastruktur dalaman, bukan sebagai penjejak pihak ketiga. Pengawal selia tidak membuat perbezaan itu, dan tindakan penguatkuasaan dua tahun kebelakangan ini telah menjelaskan bahawa mereka tidak akan melakukannya. Seni bina yang betul memperlakukan Mixpanel sama seperti mana-mana permukaan analitik pihak ketiga yang lain: pagarnya di belakang persetujuan, gunakan primitif pilih masuk asli platform untuk menguatkuasakan pagar, halakan trafik EU ke infrastruktur residensi EU, dan lumpuhkan ciri-ciri (Autocapture, penggabungan identify retroaktif) yang memperluaskan permukaan audit tanpa manfaat analitikal yang berkadar. Dilakukan dengan betul, pasukan produk mengekalkan data corong dan pengekalan yang mereka perlukan, dan pasukan undang-undang mengekalkan dokumentasi yang diperlukan untuk mempertahankan penggunaan di bawah audit.