Kaj Mixpanel zbira

SDK Mixpanel (naložen iz cdn.mxpnl.com ali samo-gostovan) inicializira globalni objekt mixpanel in identificira uporabnike s piškotkom v lasti Mixpanel, ki vsebuje generirani distinktni ID. Od tega trenutka vsak klic na mixpanel.track() poroča dogodkovno vsebino — ime dogodka, lastnosti, distinktni ID in nabor samodejno zajetih lastnosti (uporabniški agent, OS, napotitelj, parametri UTM, ločljivost zaslona, časovni pas) — na končno točko za vnos Mixpanel. SDK podpira tudi način Autocapture, ki opazuje DOM in oddaja dogodke klikov, ogledov strani in oddaje obrazcev brez eksplicitne instrumentacije, kar dramatično razširi površino tega, kar se zbira.

Ko se uporabnik avtenticira in aplikacija pokliče mixpanel.identify(user_id), so vsi nadaljnji dogodki — in, odvisno od konfiguracije, vsi prejšnji anonimni dogodki — povezani z avtenticirano identiteto. Retroaktivna povezava je ena od najbolj uporabnih funkcij Mixpanel in ena od najbolj izpostavljajočih z vidika zasebnosti: anonimno vedenje brskanja, zbrano pred soglasjem, se retroaktivno poveže z identificiranim profilom v trenutku, ko se ta uporabnik prijavi.

Zakaj vas okvirjanje "produktne analitike" ne izvzame iz soglasja

Pogost argument produktnih in inženirskih ekip je, da so podatki Mixpanel za interne produktne odločitve, ne za marketing ali oglaševanje, in da bi to okvirjanje notranje uporabe moralo biti zadostna utemeljitev pod podlago legitimnega interesa GDPR. Argument je večinoma napačen iz treh razlogov, o katerih so bili regulatorji eksplicitni.

Obdelava je še vedno obdelava osebnih podatkov

Ne glede na to, zakaj se podatki zbirajo, so piškotki nebistveni pod ePrivacy Article 5(3) in dogodki nosijo trajne identifikatorje pod definicijo osebnih podatkov GDPR. Analiza zakonite podlage je enaka kot za katerikoli drug sledilni skript.

Legitimni interes zahteva test uravnoteženosti

CNIL, ICO in EDPB so vsi napisali smernice, ki jasno navajajo, da legitimni interes za vedenjsko analitiko zahteva dokumentirano oceno, ki kaže, da je obdelava potrebna, sorazmerna in ne preglasi razumnih pričakovanj uporabnika. Za tretjega ponudnika SaaS, ki prejema podatke o dogodkih na ravni uporabnika, ta test uravnoteženosti redko uspe brez eksplicitnega soglasja.

Čezmejni prenos je neodvisen

Tudi če bi lahko vzpostavili legitimni interes za samo zbiranje, mednarodni prenos na infrastrukturo Mixpanel v ZDA nosi svojo lastno zahtevo po zakoniti podlagi, ki jo soglasje ali pogodbeni varnostni ukrep običajno izpolnjujeta čisteje kot sam legitimni interes.

Izvorne kontrole zasebnosti Mixpanel

Mixpanel izpostavlja smiseln nabor zasebnostnih primitiv, ki so zasnovane za podporo uvedbam z ograjo soglasja. Kot pri večini platform predpostavljajo, da odločitev o soglasju obstaja višje; sami je ne zbirajo.

opt_out_tracking

Klic mixpanel.opt_out_tracking() ustavi SDK pred pošiljanjem dogodkov in ohrani preferenco zavrnitve med sejami. Povežite ga z mixpanel.opt_in_tracking(), ko uporabnik sprejme kategorijo analitike v vašem CMP. SDK spoštuje to nastavitev pri vseh nadaljnjih klicih brez potrebe po ponovni inicializaciji.

has_opted_out_tracking

Poizvedbena funkcija, ki vrne trenutno stanje zavrnitve, uporabna za sinhronizacijo stanja SDK z vašim stanjem CMP ob nalaganju strani ali spremembi poti.

Možnost rezidence v EU

Mixpanel ponuja tip projekta z rezidentnostjo podatkov v EU, ki hrani podatke o dogodkih znotraj infrastrukture s sedežem v Frankfurt. To naslavlja pomemben del skrbi glede čezmejnega prenosa in je prava konfiguracija za vsak projekt, kjer je rezidenca v EU trda zahteva. Ne odpravlja zahteve po soglasju.

set_config({ ip: false })

Onemogoči zajem naslova IP, kar zmanjša odtis osebnih podatkov vsakega dogodka. Uporabno kot obrambni ukrep v globino skupaj z ograjo soglasja.

Korak-za-korakom integracija CMP

Integracijski vzorec, ki zanesljivo deluje, je inicializacija Mixpanel v stanju zavrnitve privzeto, nato pa vključitev uporabnika, ko ta sprejme kategorijo analitike v CMP.

1. Inicializirajte Mixpanel s privzeto zavrnitvijo

Pokličite mixpanel.init(token, { opt_out_tracking_by_default: true }) čim prej v zagonu vaše aplikacije. To naloži SDK, vendar mu prepreči pošiljanje kakršnihkoli dogodkov, dokler se ne pokliče opt_in_tracking().

2. Povežite povratni klic soglasja

Ko CMP sproži svoj dogodek sprejetja kategorije analitike, pokličite mixpanel.opt_in_tracking(). Dogodki v čakalni vrsti, ki so bili zajeti med obdobjem zavrnitve, so običajno zavrženi; če jih morate obdržati, eksplicitno konfigurirajte vedenje čakalne vrste SDK in sprejmite majhno tveganje, da se dogodki iz obdobja pred soglasjem pošljejo po soglasju.

3. Obvladajte preklic

Če uporabnik pozneje prekliče soglasje, pokličite mixpanel.opt_out_tracking(). To ustavi nadaljnji vnos dogodkov. Za popolno izbrisanje zgodovinskih podatkov mora aplikacija dodatno poklicati API za izbris Mixpanel ali sprožiti zahtevo za izbris iz uporabniškega vmesnika projekta Mixpanel.

4. Izogibajte se retroaktivnemu združevanju identitet brez eksplicitnega soglasja

Onemogočite vedenje retroaktivnega združevanja klica identify, razen če je uporabnik soglašal, da se njegovo brskanje pred identifikacijo poveže z njegovim profilom. Možnosti SDK Mixpanel izpostavljajo zastavico za to; konzervativna privzeta vrednost je "brez retroaktivnega združevanja".

5. Uporabite projekt z rezidentnostjo v EU za promet iz EU

Za projekte, kjer je rezidentnost v EU pomembna, usmerite promet iz EU na projekt Mixpanel z rezidentnostjo v EU in promet iz ZDA/drugod na ločen projekt. SDK podpira nalaganje različnih žetonov pogojno glede na zaznano regijo uporabnika.

Pogoste pasti

Štiri integracijske napake predstavljajo večino ugotovitev revizij pri uvedbah Mixpanel.

Obravnavanje Mixpanel kot izvzetega, ker gre za notranjo uporabo

To je najpogostejša napaka. Podatki so osebni podatki, piškotek je nebistven in prenos tretji osebi je resničen ne glede na to, kako se podatki uporabljajo naprej. Postavite Mixpanel pod soglasje za analitiko kot katerikoli drug sledilnik.

Puščanje Autocapture vklopljenega privzeto

Autocapture dramatično razširi površino tega, kar se pošilja — vsak klik, vsaka interakcija z vnosnim poljem, vsak ogled strani. Površina tveganja se skalira z njim. Za večino uvedb SaaS eksplicitna instrumentacija proizvaja čistejše podatke in manjši revizijski odtis kot Autocapture; izklopite Autocapture, razen če imate poseben razlog, da ga ohranite.

Pozabljanje retroaktivnega združevanja identitet

Privzeto vedenje identify poveže anonimne dogodke z zdaj identificiranim uporabnikom. Če je uporabnik sprejel soglasje za analitiko šele v trenutku prijave, retroaktivna povezava njegovega anonimnega brskanja pred soglasjem ustvari dokumentacijski problem. Onemogočite retroaktivno združevanje ali ga eksplicitno omejite na dogodke po soglasju.

Trdo kodiranje predpostavke o rezidentnosti v EU

Presenetljivo število ekip usmerja ves promet na projekt Mixpanel z rezidentnostjo v ZDA pod predpostavko, da soglasje pokriva vprašanje rezidentnosti. Ne pokriva — soglasje in rezidentnost sta neodvisni vprašanji skladnosti. Usmerjajte po zaznani regiji, ne po globalnem privzetku.

Kontrolni seznam revizije

Šest konkretnih vprašanj za odgovor za vsako uvedbo Mixpanel, ki se dotika prometa iz EU, UK ali Kalifornije.

• Ali se Mixpanel začne v stanju zavrnitve? Potrdite, da se SDK inicializira z opt_out_tracking_by_default: true in da se noben dogodek ne sproži pred soglasjem.
• Ali se vključitev sproži ob pravem dogodku CMP? Potrdite, da povratni klic za sprejetje analitike pokliče opt_in_tracking(), ne bolj dovoljujočega dogodka.
• Ali je Autocapture potreben? Če je vklopljen, dokumentirajte zakaj. Če ne, ga onemogočite.
• Ali je retroaktivno združevanje onemogočeno? Potrdite, da klic identify ne povezuje anonimnega vedenja pred soglasjem z novo identificiranimi profili.
• Ali je promet iz EU na projektu z rezidentnostjo v EU? Potrdite, da usmerjevalna logika pošilja obiskovalce iz EU na žeton projekta v EU.
• Ali so zahteve za izbris avtomatizirane? Potrdite, da zahteve DSAR sprožijo API za izbris Mixpanel namesto ročne zahteve.

Kje se Mixpanel ujema v sklad s prednostjo soglasja

Platforme za produktno analitiko zasedajo regulativno kategorijo, ki ji produktne ekipe pogosto nasprotujejo — želijo si misliti o Mixpanel kot o notranji infrastrukturi, ne kot o sledilniku tretje osebe. Regulatorji te distinkcije ne delajo in izvršilni ukrepi zadnjih dveh let so jasno pokazali, da je ne bodo. Prava arhitektura obravnava Mixpanel točno tako kot katerokoli drugo analitično površino tretje osebe: postavite ga za ograjo soglasja, uporabite izvorne primitive vključitve platforme za uveljavljanje ograje, usmerite promet iz EU na infrastrukturo z rezidentnostjo v EU in onemogočite funkcije (Autocapture, retroaktivno združevanje identify), ki razširjajo revizijsko površino brez sorazmernih analitičnih koristi. Pravilno izvedeno produktne ekipe obdržijo podatke o lijaku in obdržanju, ki jih potrebujejo, in pravna ekipa obdrži dokumentacijo, ki jo potrebuje za obrambo uvedbe pod revizijo.