คู่มือการรวมระบบความยินยอมคุกกี้ HubSpot: การติดตามที่สอดคล้องกับ GDPR สำหรับนักการตลาดในปี 2569
HubSpot เป็นหนึ่งในแพลตฟอร์มการตลาดที่ฝังลึกที่สุดในเว็บสมัยใหม่ สคริปต์ติดตามของมันทำงานบนเว็บไซต์ B2B หลายล้านแห่ง บันทึกการดูหน้า การส่งแบบฟอร์ม เซสชันแชท และพฤติกรรมระดับตัวระบุที่ไหลตรงเข้าสู่ CRM ของ HubSpot ปัญหาคือ ตามค่าเริ่มต้น สคริปต์นั้นจะเริ่มรวบรวมข้อมูลส่วนตัวทันทีที่หน้าโหลด — นานก่อนที่ผู้เยี่ยมชมใดๆ จะมีโอกาสตัดสินใจ สำหรับองค์กรใดก็ตามที่มีการรับส่งข้อมูลจาก EU, UK, บราซิล หรือแคลิฟอร์เนีย พฤติกรรมเริ่มต้นนั้นไม่เป็นไปตามกฎระเบียบอีกต่อไป และมันเป็นประเภทของปัญหาที่หน่วยงานกำกับดูแลยกประเด็นในการร้องเรียนจริง คู่มือนี้อธิบายสิ่งที่ HubSpot ติดตามจริงๆ ขอบเขตความยินยอมอยู่ที่ไหน และวิธีเชื่อมต่อ HubSpot กับแพลตฟอร์มการจัดการความยินยอมบุคคลที่สาม เพื่อให้การวิเคราะห์การตลาดยังคงทำงานได้โดยไม่เสี่ยงต่อค่าปรับ
ทำไมการติดตาม HubSpot จึงต้องการสัญญาณความยินยอมที่แท้จริง
HubSpot วางคุกกี้ผู้ดำเนินการหลายรายการบนอุปกรณ์ของผู้เยี่ยมชมทันทีที่สคริปต์ติดตาม (HubSpot JavaScript snippet โดยทั่วไปคือ hs-scripts.com/{hub_id}.js) ทำงาน ที่สำคัญที่สุดคือ __hstc, hubspotutk และ __hssc ซึ่งร่วมกันระบุตัวผู้เยี่ยมชมข้ามเซสชัน เชื่อมโยงการส่งแบบฟอร์มกลับไปยังประวัติการท่องเว็บแบบไม่ระบุตัวตน และป้อนโมเดลการให้คะแนนลีดใน CRM ภายใต้ GDPR และ ePrivacy Directive ทั้งสามเป็นคุกกี้ที่ไม่จำเป็นซึ่งต้องการความยินยอมล่วงหน้าที่ให้อย่างเสรี เฉพาะเจาะจง ได้รับการแจ้ง และชัดเจน การโหลด snippet ในส่วนหัวเอกสาร — ซึ่งเป็นรูปแบบการรวมระบบเริ่มต้นของ HubSpot — วางคุกกี้เหล่านั้นก่อนที่ผู้เยี่ยมชมจะถูกถามอะไรเลย
ผลที่ตามมาไม่ใช่เรื่องทฤษฎี หน่วยงานคุ้มครองข้อมูลในฝรั่งเศส อิตาลี และสเปนต่างดำเนินการบังคับใช้ในช่วงสองปีที่ผ่านมากับองค์กรที่ชุดเครื่องมือการตลาดวางคุกกี้ติดตามก่อนได้รับความยินยอม ค่าปรับมีตั้งแต่โทษห้าหลักสำหรับผู้เผยแพร่รายเล็กจนถึงโทษหลายล้านยูโรสำหรับองค์กรขนาดใหญ่ แบนเนอร์คุกกี้ดั้งเดิมของ HubSpot มีอยู่ แต่มันเบาโดยเจตนาและไม่ได้บล็อก snippet จากการทำงานด้วยตัวเอง นักตรวจสอบการปฏิบัติตามกฎระเบียบส่วนใหญ่มองว่ามันเป็นชั้นแจ้งเตือนมากกว่าชั้นควบคุม
สิ่งที่ HubSpot ติดตามจริงๆ
ก่อนตัดสินใจว่าจะกั้น HubSpot อย่างไร มันมีประโยชน์ที่จะแม่นยำเกี่ยวกับว่าหมวดหมู่ใดของการประมวลผลที่เกี่ยวข้อง พื้นผิวการติดตามของ HubSpot แบ่งออกเป็นสี่กลุ่มที่ทับซ้อนกัน แต่ละกลุ่มมีผลกระทบต่อความยินยอมของตัวเอง
การวิเคราะห์พฤติกรรม
เหตุการณ์การดูหน้า คลิก เลื่อน และระยะเวลาเซสชันถูกรวบรวมโดยอัตโนมัติเมื่อโหลดรหัสติดตาม เหตุการณ์เหล่านี้สร้างไทม์ไลน์ผู้เยี่ยมชมที่คุณเห็นในบันทึกผู้ติดต่อของ HubSpot และเป็นรากฐานของกฎการให้คะแนนลีดหรือกฎเวิร์กโฟลว์ทุกข้อ จากมุมมองของหน่วยงานกำกับดูแล นี่คือการติดตามวิเคราะห์ตรงไปตรงมาและต้องการความยินยอม opt-in ใน EU และ EEA ใน UK แนวทางของ ICO ปี 2023 ปฏิบัติต่อมันเช่นเดียวกัน
แบบฟอร์มและแชท
แบบฟอร์ม HubSpot และวิดเจ็ตแชท HubSpot (เดิมคือการรวม Drift) สามารถกำหนดค่าให้โหลดโดยอิสระจากสคริปต์ติดตามหลัก การส่งแบบฟอร์มในการวิเคราะห์ทางกฎหมายส่วนใหญ่ถือเป็นกิจกรรมการประมวลผลแยกต่างหากที่มีฐานทางกฎหมายของตัวเอง — โดยทั่วไปคือการปฏิบัติตามสัญญาหรือผลประโยชน์ที่ชอบธรรม อย่างไรก็ตาม แชทที่บันทึกบทสนทนาบนเซิร์ฟเวอร์บุคคลที่สามโดยทั่วไปต้องการความยินยอมสำหรับการบันทึกนั้นเอง
การเย็บอัตลักษณ์ข้ามโดเมน
หากคุณใช้พอร์ทัล HubSpot เดียวกันในหลายโดเมน snippet จะพยายามตั้งค่าและอ่านคุกกี้ในลักษณะที่เชื่อมโยงผู้เยี่ยมชมข้ามพร็อพเพอร์ตี้เหล่านั้น นี่ก้าวเข้าไปในสิ่งที่ EDPB เรียกว่า "การติดตาม" ในความหมายที่เคร่งครัด และเป็นหมวดหมู่ที่มีความเสี่ยงสูงสุด และยังเป็นหมวดที่น่าจะถูกยกประเด็นระหว่าง DPIA มากที่สุด
การรวมระบบการตลาด
HubSpot สามารถส่งเหตุการณ์ไปยัง Google Ads, Meta, LinkedIn และเครือข่ายโฆษณาอื่นๆ ผ่านการรวมระบบของมัน การถ่ายโอนต่อเนื่องแต่ละรายการนั้นมีข้อกำหนดความยินยอมของตัวเอง และใน EU ก็มีการประเมินการถ่ายโอนข้อมูลของตัวเอง
แบนเนอร์ HubSpot ดั้งเดิม vs. CMP บุคคลที่สาม
HubSpot มาพร้อมกับแบนเนอร์ความยินยอมคุกกี้ในตัวที่คุณสามารถเปิดใช้งานจาก การตั้งค่า > ความเป็นส่วนตัว & ความยินยอม มันจะแสดงการแจ้งเตือนที่กำหนดค่าได้ บันทึกระเบียนความยินยอมกับผู้ติดต่อ และเคารพการยกเว้นครั้งเดียวสำหรับการวิเคราะห์ สำหรับองค์กรขนาดเล็กมากที่ดำเนินงานในเขตอำนาจที่มีความเสี่ยงต่ำ อาจเพียงพอ สำหรับใครก็ตามที่จริงจังกับการปฏิบัติตามกฎระเบียบ — หรือใครก็ตามที่ใช้งานโฆษณาที่ตระหนักถึง consent mode — มันไม่เพียงพอ
เหตุผลในการย้ายไปใช้ CMP บุคคลที่สามมีความเป็นจริง:
- หมวดหมู่ที่ละเอียด แบนเนอร์ดั้งเดิมไม่แยกคุกกี้ที่จำเป็นอย่างเคร่งครัด ฟังก์ชัน วิเคราะห์ และการตลาดออกเป็นสวิตช์ที่แตกต่างกัน ซึ่งเป็นโครงสร้างที่หน่วยงานกำกับดูแลคาดหวัง
- รองรับ IAB TCF และ GPP หากคุณมีส่วนร่วมในโฆษณาแบบโปรแกรม คุณต้องการ CMP ที่ได้รับการรับรองจาก Google ที่ส่ง TC string ที่ถูกต้อง แบนเนอร์ HubSpot ดั้งเดิมไม่ทำสิ่งนี้
- Consent Mode v2. ตอนนี้ Google ต้องการสัญญาณความยินยอมที่ส่งในรูปแบบ v2 สำหรับการรับส่งข้อมูล EEA CMP เฉพาะทางเชื่อมต่อสิ่งนี้ตั้งแต่ต้นจนจบ รวมถึงการกำหนดค่าการปฏิเสธตามค่าเริ่มต้น
- หลายภาษาและการเข้าถึง CMP ส่วนใหญ่มาพร้อมกับแพ็กภาษา 30+ และค่าเริ่มต้นที่สอดคล้องกับ WCAG แบนเนอร์ในตัวของ HubSpot มีข้อจำกัดมากกว่า
- การบันทึกระดับการตรวจสอบ CMP เฉพาะทางบันทึกการตัดสินใจความยินยอมแต่ละครั้งพร้อมการประทับเวลา เวอร์ชันแบนเนอร์ และตัวเลือก — หลักฐานที่หน่วยงานกำกับดูแลขอในการสืบสวน
การรวมระบบทีละขั้นตอนกับ CMP บุคคลที่สาม
รูปแบบการรวมระบบที่ทำงานได้อย่างน่าเชื่อถือคือการเก็บ HubSpot snippet ไว้ในหน้า แต่ป้องกันไม่ให้ทำงานจนกว่าจะมีการบันทึกการตัดสินใจความยินยอม ด้านล่างเป็นแนวทางมาตรฐาน เขียนไว้อย่างทั่วไปเพื่อให้ใช้ได้กับ CMP สมัยใหม่ใดๆ รวมถึง FlexyConsent
1. ลบ snippet เริ่มต้นออกจากส่วนหัวเอกสาร
ในเทมเพลตเว็บไซต์ของคุณ ลบแท็ก <script> แบบ inline ที่โหลด hs-scripts.com/{hub_id}.js แทนที่ด้วยตัวยึดตำแหน่งที่ CMP ของคุณสามารถเปิดใช้งานในภายหลัง โดยทั่วไปโดยการตั้งค่าแอตทริบิวต์ type เป็น text/plain และเพิ่มแอตทริบิวต์ข้อมูลหมวดหมู่ เช่น data-category="marketing"
2. แมป HubSpot ไปยังหมวดหมู่ความยินยอมที่ถูกต้อง
CMP ส่วนใหญ่ใช้ IAB TCF หรือโมเดลสี่กลุ่ม: จำเป็น ฟังก์ชัน วิเคราะห์ การตลาด สคริปต์ติดตามของ HubSpot สัมผัสทั้งหมวดหมู่การวิเคราะห์และการตลาดเนื่องจากการรวมระบบ CRM การแมปแบบอนุรักษ์นิยมคือการกั้น snippet ทั้งหมดไว้หลังหมวดหมู่การตลาดซึ่งเป็นกลุ่มที่จำกัดที่สุด หาก CMP ของคุณอนุญาตการแมปแบบละเอียด คุณสามารถแยกได้: โหลดแบบฟอร์มภายใต้ฟังก์ชัน โหลดเหตุการณ์วิเคราะห์ภายใต้การวิเคราะห์ และโหลดการเย็บอัตลักษณ์ CRM ภายใต้การตลาด
3. กำหนดค่า callback การเปิดใช้งาน
CMP ของคุณเปิดเผยเหตุการณ์หรือ callback ที่ทำงานเมื่อผู้ใช้ให้ความยินยอมสำหรับหมวดหมู่ ใน callback นั้น เขียนแอตทริบิวต์ type ของแท็กสคริปต์ตัวยึดตำแหน่งกลับเป็น text/javascript และผนวกเข้ากับเอกสาร จากนั้นสคริปต์จะโหลดและทำงานตามปกติ สำหรับ SPA ให้ลงทะเบียน callback ในการเปลี่ยนเส้นทางทุกครั้งเพื่อให้หน้าที่ติดตั้งใหม่ได้รับการเปิดใช้งานด้วย
4. เชื่อมต่อ Consent Mode v2
หากคุณใช้ Google Ads หรือ GA4 ควบคู่กับ HubSpot CMP ของคุณต้องส่งสัญญาณความยินยอม v2 — ad_storage, analytics_storage, ad_user_data, ad_personalization — เข้าสู่ dataLayer ก่อนที่แท็ก Google ใดๆ จะทำงาน HubSpot เองไม่ใช้สัญญาณเหล่านี้ แต่ส่วนที่เหลือของ stack ของคุณใช้ และความไม่สอดคล้องกันระหว่าง HubSpot และ Google จะปรากฏในการรายงานของคุณเป็นช่องว่างรายได้ที่วัดได้
5. ซิงค์สถานะความยินยอมเข้าสู่ CRM ของ HubSpot
เมื่อผู้ติดต่อที่รู้จักอัปเดตความยินยอม (เช่น กลับมาที่แบนเนอร์และเพิกถอนความยินยอมการตลาด) คุณควรสะท้อนสิ่งนั้นในบันทึก HubSpot เพื่อให้ตรรกะเวิร์กโฟลว์หยุดส่งอีเมลการตลาด API ของ HubSpot เปิดเผย endpoint communication-preferences ที่รับการอัปเดตระดับการสมัครสมาชิก CMP ส่วนใหญ่สามารถกำหนดค่าให้เรียก endpoint นี้จาก hook ฝั่งเซิร์ฟเวอร์
ข้อผิดพลาดทั่วไปและวิธีหลีกเลี่ยง
ข้อผิดพลาดการรวมระบบสามประการนับเป็นผลการตรวจสอบส่วนใหญ่ที่เราเห็นใน stack ที่หนักด้วย HubSpot
โหลด snippet เร็วเกินไป
บางทีมวาง HubSpot tag ไว้ใน tag manager และสมมติว่า tag manager จัดการความยินยอม Google Tag Manager ให้เกียรติ consent mode แต่เฉพาะสำหรับแท็กที่ต้องการสถานะที่ได้รับอนุมัติอย่างชัดเจน หาก HubSpot tag ถูกกำหนดค่าโดยไม่มีข้อกำหนดนั้น GTM จะทำงานโดยไม่คำนึงถึง ตั้งค่าฟิลด์ ความยินยอมเพิ่มเติม บนแท็กเสมอเพื่อกำหนดให้ต้องมีความยินยอมทางการตลาดก่อนทำงาน
ลืมสคริปต์แบบฟอร์ม
แบบฟอร์ม HubSpot ให้บริการจากโดเมนแยกต่างหาก (forms.hsforms.com) และสามารถฝังด้วยสคริปต์ของตัวเอง หากคุณกั้น snippet ติดตามหลักแต่ปล่อยให้สคริปต์แบบฟอร์มโหลดในการแสดงผลครั้งแรก คุณไม่ได้แก้ปัญหาจริงๆ — ไลบรารีแบบฟอร์มตั้งคุกกี้ระบุตัวตนของตัวเอง กั้นทั้งสองและให้ CMP โหลดพร้อมกัน
ปฏิบัติต่อ opt-out ว่าเป็น opt-in
การตั้งค่าดั้งเดิมของ HubSpot รวมตัวเลือก Do Not Track และการ opt-out ด้วยคลิกเดียว บางทีมตีความสิ่งเหล่านี้ว่าเป็นกลไกที่เพียงพอในการปฏิบัติตาม GDPR พวกเขาไม่ใช่ — GDPR ต้องการ opt-in เชิงยืนยันสำหรับคุกกี้ที่ไม่จำเป็น และช่องทำเครื่องหมาย opt-out ที่ฝังอยู่ในหน้าความเป็นส่วนตัวไม่ตอบสนองมาตรฐานนั้น ทำให้ CMP เป็นแหล่งที่มีอำนาจของสถานะความยินยอม และกำหนดค่า HubSpot ให้ยึดตามนั้น
เอกสารที่พร้อมสำหรับการตรวจสอบ
หลังจากที่การรวมระบบทางเทคนิคเสร็จสิ้นแล้ว ขั้นตอนสุดท้ายคือการตรวจสอบให้แน่ใจว่าร่องรอยหลักฐานของคุณสามารถทนต่อคำขอของหน่วยงานกำกับดูแลได้ อย่างน้อยที่สุด ให้เก็บบันทึกของ: หมวดหมู่ที่ CMP ของคุณแมป HubSpot ไปยัง เวอร์ชันแบนเนอร์ความยินยอมที่ใช้งานอยู่ในวันที่ใดๆ ตัวอย่าง TC string ที่แสดงความยินยอมที่ถูกต้อง และบันทึก API ที่พิสูจน์ว่า HubSpot ไม่ได้ทำการโทรติดตามใดๆ ก่อนได้รับความยินยอม การดำเนินการบังคับใช้ส่วนใหญ่ไม่ได้ติดขัดที่เทคโนโลยีแต่ที่เอกสาร — องค์กรที่สามารถผลิตเส้นทางกระดาษที่ชัดเจนมักจะแก้ไขการสืบสวนได้เร็วกว่ามากเมื่อเทียบกับองค์กรที่ทำไม่ได้ แพลตฟอร์มการจัดการความยินยอมที่ส่งออกสิ่งประดิษฐ์เหล่านี้ตามต้องการ จะเปลี่ยนการตรวจสอบจากการวิ่งวุ่นหลายสัปดาห์เป็นการตอบสนองครึ่งวัน