Что собирает Mixpanel

SDK Mixpanel (загружаемый с cdn.mxpnl.com или размещённый самостоятельно) инициализирует глобальный объект mixpanel и идентифицирует пользователей с помощью принадлежащего Mixpanel cookie, содержащего сгенерированный уникальный ID. С этого момента каждый вызов mixpanel.track() сообщает полезную нагрузку события — имя события, свойства, уникальный ID и набор автоматически захваченных свойств (user agent, ОС, реферер, параметры UTM, разрешение экрана, часовой пояс) — на конечную точку приёма Mixpanel. SDK также поддерживает режим Autocapture, который наблюдает за DOM и испускает события клика, просмотра страницы и отправки формы без явного инструментирования, резко расширяя поверхность собираемого.

Как только пользователь аутентифицируется и приложение вызывает mixpanel.identify(user_id), все последующие события — и, в зависимости от конфигурации, все предыдущие анонимные события — связываются с аутентифицированной личностью. Ретроактивная связь — одна из самых полезных функций Mixpanel и одна из самых разоблачающих с точки зрения конфиденциальности: анонимное поведение при просмотре, собранное до согласия, ретроактивно связывается с идентифицированным профилем в тот момент, когда пользователь входит в систему.

Почему формулировка «продуктовая аналитика» не освобождает вас от согласия

Распространённый аргумент продуктовых и инженерных команд состоит в том, что данные Mixpanel предназначены для внутренних продуктовых решений, а не для маркетинга или рекламы, и что эта формулировка внутреннего использования должна быть достаточным обоснованием по основе законного интереса GDPR. Этот аргумент в значительной степени неверен по трём причинам, о которых регуляторы высказались явно.

Обработка по-прежнему является обработкой персональных данных

Независимо от того, зачем собираются данные, cookie являются неэссенциальными по статье 5(3) Директивы ePrivacy, и события несут постоянные идентификаторы по определению персональных данных GDPR. Анализ правовой основы тот же, что и для любого другого отслеживающего скрипта.

Законный интерес требует теста на баланс

CNIL, ICO и EDPB — все написали руководства, ясно дающие понять, что законный интерес для поведенческой аналитики требует задокументированной оценки, показывающей, что обработка необходима, пропорциональна и не перевешивает разумные ожидания пользователя. Для стороннего SaaS-поставщика, получающего данные о событиях на уровне пользователя, этот тест на баланс редко проходит без явного согласия.

Трансграничная передача независима

Даже если бы вы могли установить законный интерес для самого сбора, международная передача в инфраструктуру Mixpanel в США несёт собственное требование правовой основы, которое согласие или договорная гарантия обычно удовлетворяют чище, чем один только законный интерес.

Нативные элементы управления конфиденциальностью Mixpanel

Mixpanel предоставляет значимый набор примитивов конфиденциальности, разработанных для поддержки развёртываний с шлюзованием по согласию. Как и большинство платформ, они предполагают, что решение о согласии существует выше по потоку; они не собирают его сами.

opt_out_tracking

Вызов mixpanel.opt_out_tracking() останавливает отправку событий SDK и сохраняет предпочтение отказа между сессиями. Сочетайте его с mixpanel.opt_in_tracking(), когда пользователь принимает категорию аналитики в вашем CMP. SDK уважает эту настройку во всех последующих вызовах без необходимости повторной инициализации.

has_opted_out_tracking

Функция запроса, возвращающая текущее состояние отказа, полезная для синхронизации состояния SDK с состоянием вашего CMP при загрузке страницы или смене маршрута.

Опция резидентности ЕС

Mixpanel предлагает тип проекта с резидентностью данных в ЕС, который хранит данные о событиях в инфраструктуре на базе Франкфурта. Это решает значимую часть проблемы трансграничной передачи и является правильной конфигурацией для любого проекта, где резидентность ЕС является жёстким требованием. Это не устраняет требование согласия.

set_config({ ip: false })

Отключает захват IP-адреса, уменьшая след персональных данных каждого события. Полезно как мера глубокой защиты наряду со шлюзованием по согласию.

Пошаговая интеграция CMP

Шаблон интеграции, который работает надёжно, заключается в инициализации Mixpanel в состоянии отказа по умолчанию, а затем подключении пользователя, когда он принимает категорию аналитики в CMP.

1. Инициализируйте Mixpanel с настройкой отказа по умолчанию

Вызовите mixpanel.init(token, { opt_out_tracking_by_default: true }) как можно раньше в загрузке вашего приложения. Это загружает SDK, но не позволяет ему отправлять какие-либо события до вызова opt_in_tracking().

2. Подключите обратный вызов согласия

Когда CMP запускает своё событие принятия категории аналитики, вызовите mixpanel.opt_in_tracking(). События в очереди, захваченные в период отказа, обычно отбрасываются; если вам нужно их сохранить, явно настройте поведение очередей SDK и примите небольшой риск того, что события из периода до согласия будут отправлены после согласия.

3. Обрабатывайте отзыв

Если пользователь позже отзывает согласие, вызовите mixpanel.opt_out_tracking(). Это останавливает дальнейший приём событий. Для полного удаления исторических данных приложение должно дополнительно вызвать API удаления Mixpanel или инициировать запрос на удаление из UI проекта Mixpanel.

4. Избегайте ретроактивного слияния личности без явного согласия

Отключите поведение ретроактивного слияния вызова identify, если пользователь не согласился на привязку своего просмотра до идентификации к своему профилю. Опции SDK Mixpanel предоставляют флаг для этого; консервативное значение по умолчанию — «без ретроактивного слияния».

5. Используйте проект с резидентностью ЕС для трафика ЕС

Для проектов, где резидентность ЕС имеет значение, направляйте трафик ЕС в проект Mixpanel с резидентностью ЕС, а трафик США/другой — в отдельный проект. SDK поддерживает загрузку разных токенов в зависимости от обнаруженного региона пользователя.

Распространённые ошибки

Четыре ошибки интеграции составляют большинство аудиторских находок по развёртываниям Mixpanel.

Рассмотрение Mixpanel как освобождённого, потому что он для внутреннего использования

Это самая распространённая ошибка. Данные являются персональными данными, cookie является неэссенциальным, а сторонняя передача реальна независимо от того, как данные используются ниже по потоку. Шлюзуйте Mixpanel под согласием на аналитику, как любой другой трекер.

Оставление Autocapture включённым по умолчанию

Autocapture резко расширяет поверхность отправляемого — каждый клик, каждое взаимодействие с полем ввода, каждый просмотр страницы. Поверхность риска масштабируется вместе с ним. Для большинства SaaS-развёртываний явное инструментирование даёт более чистые данные и меньший аудиторский след, чем Autocapture; отключите Autocapture, если у вас нет конкретной причины его сохранить.

Забывание ретроактивного слияния личности

Поведение identify по умолчанию связывает анонимные события с теперь идентифицированным пользователем. Если пользователь принял согласие на аналитику только в момент входа в систему, ретроактивная связь его анонимного просмотра до согласия создаёт проблему документации. Отключите ретроактивное слияние или явно ограничьте его событиями после согласия.

Жёсткое кодирование предположения о резидентности ЕС

Удивительное число команд направляет весь трафик в проект Mixpanel с резидентностью США, исходя из предположения, что согласие покрывает вопрос резидентности. Это не так — согласие и резидентность — независимые вопросы соответствия. Маршрутизируйте по обнаруженному региону, а не по глобальному значению по умолчанию.

Контрольный список аудита

Шесть конкретных вопросов, на которые нужно ответить для любого развёртывания Mixpanel, затрагивающего трафик ЕС, Великобритании или Калифорнии.

• Начинается ли Mixpanel в состоянии отказа? Подтвердите, что SDK инициализируется с opt_out_tracking_by_default: true и никакие события не запускаются до согласия.
• Запускается ли opt-in по правильному событию CMP? Подтвердите, что обратный вызов принятия аналитики вызывает opt_in_tracking(), а не более разрешительное событие.
• Необходим ли Autocapture? Если он включён, задокументируйте почему. Если нет, отключите его.
• Отключено ли ретроактивное слияние? Подтвердите, что вызов identify не связывает анонимное поведение до согласия с вновь идентифицированными профилями.
• Находится ли трафик ЕС в проекте с резидентностью ЕС? Подтвердите, что логика маршрутизации отправляет посетителей ЕС в токен проекта ЕС.
• Автоматизированы ли запросы на удаление? Подтвердите, что запросы DSAR запускают API удаления Mixpanel, а не ручной тикет.

Где Mixpanel вписывается в стек, ориентированный на согласие

Платформы продуктовой аналитики занимают регуляторную категорию, которой продуктовые команды часто сопротивляются — они хотят думать о Mixpanel как о внутренней инфраструктуре, а не как о стороннем трекере. Регуляторы не проводят такого различия, и правоприменительные действия последних двух лет ясно дали понять, что не будут. Правильная архитектура относится к Mixpanel точно так же, как к любой другой сторонней аналитической поверхности: шлюзуйте его за согласием, используйте нативные примитивы opt-in платформы для применения шлюза, направляйте трафик ЕС в инфраструктуру с резидентностью ЕС и отключайте функции (Autocapture, ретроактивное слияние identify), которые расширяют аудиторскую поверхность без пропорциональной аналитической выгоды. Сделанная правильно, продуктовые команды сохраняют данные воронки и удержания, которые им нужны, а юридическая команда сохраняет документацию, которая ей нужна для защиты развёртывания при аудите.