Hướng Dẫn Tích Hợp Đồng Ý Cookie Amplitude Product Analytics: Cẩm Nang Triển Khai 2026
Amplitude chiếm một vị trí bất thường trong ngăn xếp dữ liệu hiện đại. Nó không hoàn toàn là một trình quản lý thẻ, không hoàn toàn là một nền tảng dữ liệu khách hàng, và không hoàn toàn là một công cụ phân tích marketing — nó là một sản phẩm phân tích hành vi được thiết kế để ghi lại mọi tương tác mà người dùng có với một sản phẩm kỹ thuật số, kết nối những sự kiện đó thành các phiên và hành trình người dùng, và đưa kết quả trở lại vào thử nghiệm, cá nhân hóa và phân bổ doanh thu. Sự phong phú đó chính là điều khiến sản phẩm có giá trị. Đó cũng là điều khiến đồng ý trở thành quyết định tích hợp quan trọng nhất mà một nhóm sẽ thực hiện khi triển khai. Làm đúng và Amplitude sẽ cung cấp cho bạn thông tin chi tiết về sản phẩm có thể bảo vệ được trong nhiều năm. Làm sai và chính SDK đó trở thành một trong những mục hiện rõ nhất trong danh sách thực thi của cơ quan quản lý, vì các SDK phân tích hành vi kích hoạt trước khi có đồng ý chính xác là mô hình mà nhóm nhiệm vụ banner cookie của EDPB, CNIL và ICO đã dành ba năm qua để nhắm vào.
Tại sao Amplitude yêu cầu đồng ý
SDK Trình Duyệt Amplitude mặc định và các SDK di động Amplitude làm nhiều hơn là chỉ ghi lại lượt xem trang. Khi khởi tạo chúng đặt mã nhận dạng thiết bị trong bộ nhớ bên thứ nhất, tạo mã nhận dạng phiên, ghi lại referrer, phân tích UTM và mã nhận dạng click từ URL, và bắt đầu xếp hàng các sự kiện được ghi lại tự động: lượt xem trang, lần click vào các phần tử, tương tác với biểu mẫu, tải xuống tệp và — trong các bản phát hành mới nhất — phát lại phiên. Chúng cũng sẽ làm phong phú những sự kiện đó với vị trí địa lý được suy ra từ IP, dữ liệu thiết bị được suy ra từ user-agent, và nếu được cấu hình, làm phong phú từ bên thứ ba từ các đối tác dữ liệu.
Mỗi trong số những bước đó thu hút một cơ sở pháp lý riêng biệt về đồng ý. Lưu trữ mã nhận dạng thiết bị là một hoạt động lưu trữ và truy cập theo Điều 5(3) của Chỉ thị ePrivacy, đòi hỏi sự đồng ý trước, tự do đưa ra, cụ thể, được thông báo và rõ ràng trong Khu Vực Kinh Tế Châu Âu, Vương Quốc Anh và bất kỳ thẩm quyền nào đã áp dụng cùng tiêu chuẩn. Ghi lại các sự kiện hành vi được liên kết với mã nhận dạng đó là xử lý dữ liệu cá nhân theo GDPR. Làm phong phú với dữ liệu bên thứ ba tạo ra mối quan hệ kiểm soát viên thứ hai. CCPA và CPRA phân loại việc xử lý tương tự là bán hoặc chia sẻ trừ khi nhà xuất bản có hợp đồng nhà cung cấp dịch vụ được xác định phạm vi đúng với Amplitude — điều này có sẵn, nhưng chỉ khi tích hợp được cấu hình để tắt các tính năng quảng cáo.
Amplitude thu thập gì trước khi có đồng ý — và những gì bạn phải ngăn chặn
Lỗi triển khai phổ biến nhất là coi Amplitude là một công cụ phân tích nhẹ có thể chạy cùng với banner cookie. Không thể. Trong một lần gọi amplitude.init() mặc định SDK sẽ, trong lần vẽ đầu tiên của trang, ghi ít nhất một cookie hoặc mục lưu trữ cục bộ, gửi một lần gọi xác định, và bắt đầu đệm các sự kiện. Không ai trong số đó được phép trước khi người dùng chấp nhận tích cực danh mục đồng ý có liên quan.
Do đó một tích hợp tuân thủ phải trì hoãn amplitude.init() cho đến khi CMP đã báo hiệu rằng danh mục đồng ý phân tích đã được cấp. SDK không nên được tải từ thẻ <script> được bảo vệ bằng đồng ý phụ thuộc vào tín hiệu mục đích 8 (phân tích) hoặc mục đích 1 (lưu trữ và truy cập) của CMP, tùy thuộc vào khung mà CMP hiển thị. Nếu SDK phải được tải sớm hơn — ví dụ vì nó được đóng gói vào mã ứng dụng và không thể được tải xuống lười biếng — lần gọi khởi tạo nên truyền defaultTracking: false và optOut: true để không có sự kiện nào được phát ra cho đến khi đồng ý được ghi lại, và sau đó một sự kiện opt-in bị trì hoãn nên lật lại những cờ đó.
Các cookie và bộ nhớ mà Amplitude ghi
Browser SDK 2.x theo mặc định ghi một cookie bên thứ nhất duy nhất có tên AMP_{apiKey} với thời hạn một năm, chứa mã nhận dạng thiết bị và metadata phiên. Các phiên bản cũ hơn cũng ghi amplitude_id_{apiKey}. Các SDK di động duy trì cùng mã nhận dạng bên trong bộ nhớ sandbox của ứng dụng. Phát lại phiên thêm một cookie thứ hai, AMP_MKTG_{apiKey}, và các đối tác làm phong phú của Amplitude có thể đặt các cookie bên thứ ba bổ sung nếu các mô-đun nhắm mục tiêu thử nghiệm hoặc đối tượng được bật. Tất cả những điều này là không cần thiết và yêu cầu đồng ý.
Ánh xạ Amplitude vào các khung đồng ý
Amplitude không thực hiện Google Consent Mode v2, IAB TCF hay IAB Global Privacy Platform một cách tự nhiên. Đó không phải là khiếm khuyết — Amplitude là một nền tảng phân tích bên thứ nhất, không phải là nhà cung cấp công nghệ quảng cáo — nhưng điều đó có nghĩa là trách nhiệm tích hợp nằm ở nhà xuất bản. Mô hình hoạt động trong thực tế là coi mỗi mô-đun Amplitude như một cổng đồng ý riêng biệt và liên kết nó với một tín hiệu cụ thể mà CMP đã hiển thị.
- Các sự kiện phân tích cốt lõi liên kết với mục đích phân tích. Theo thuật ngữ TCF đây thường là mục đích 8 (đo hiệu suất nội dung) kết hợp với mục đích 1 (lưu trữ và/hoặc truy cập thông tin). Đối với Google Consent Mode điều này ánh xạ tới analytics_storage.
- Phát lại phiên nên nằm phía sau tín hiệu chặt chẽ hơn. Phát lại ghi lại DOM được hiển thị, bao gồm các giá trị biểu mẫu trừ khi được che giấu rõ ràng, vì vậy một opt-in preferences hoặc functional riêng biệt là phù hợp, và phát lại nên tắt mặc định ngay cả khi phân tích được cấp.
- Đối tượng, nhóm và làm phong phú từ bên thứ ba liên kết với mục đích marketing. Theo thuật ngữ TCF đây là mục đích 7 (đo hiệu suất quảng cáo) hoặc mục đích 9 (áp dụng nghiên cứu thị trường). Đối với Google Consent Mode điều này ánh xạ tới ad_storage và ad_user_data.
- Thử nghiệm — Amplitude Experiment có thể chạy với phân bổ ẩn danh, tạm thời theo cơ sở lợi ích hợp pháp, nhưng phân bổ liên tục gắn với mã nhận dạng người dùng yêu cầu cùng đồng ý như phân tích cốt lõi.
Mô hình tích hợp hoạt động
Triển khai tham chiếu tồn tại qua quá trình xem xét của cơ quan quản lý có bốn phần chuyển động: một CMP hiển thị sự kiện theo thời gian thực khi người dùng thay đổi đồng ý, một bộ tải SDK bị trì hoãn chỉ tìm nạp Amplitude sau khi sự kiện đó kích hoạt cho danh mục có liên quan, một biện pháp bảo vệ cấp phiên tôn trọng từ chối mà không mất mã nhận dạng thiết bị ẩn danh trước đó của người dùng khi luật pháp cho phép, và một cầu nối phía máy chủ cho các sự kiện thực sự cần thu thập bất kể đồng ý — chẳng hạn như đo từ xa bảo mật hoặc phát hiện gian lận — được định tuyến qua một điểm cuối riêng biệt với cơ sở pháp lý riêng của nó.
Triển khai Web
Trên web, mô hình sạch nhất là hiển thị trạng thái đồng ý của CMP thông qua đối tượng window.__cmp_consent hoặc callback __tcfapi tiêu chuẩn, sau đó có một script bootstrap nhỏ đăng ký các thay đổi đồng ý. Khi đồng ý phân tích chuyển từ false sang true, bootstrap tìm nạp SDK Amplitude từ CDN được quản lý bởi CMP, gọi amplitude.init(apiKey, undefined, { defaultTracking: true }), và phát lại bất kỳ sự kiện nào được xếp hàng trong bộ nhớ trong khi đồng ý đang chờ xử lý. Khi đồng ý chuyển trở lại thành false, bootstrap gọi amplitude.setOptOut(true), xóa cookie AMP_ thông qua hết hạn document.cookie, và loại bỏ bất kỳ trạng thái trong bộ nhớ nào. Quan trọng là bootstrap không bao giờ được khởi tạo lười biếng Amplitude trong cùng luồng yêu cầu với kết xuất banner — SDK phải đợi một cấp phép rõ ràng.
Triển khai Di Động
Trên iOS tương đương là giữ framework Amplitude được nhập nhưng trì hoãn Amplitude.instance().initialize(apiKey: apiKey) cho đến khi luồng đồng ý trong ứng dụng đã trả về tín hiệu phân tích tích cực. Lời nhắc ATT là một mối quan tâm riêng biệt: ATT điều chỉnh IDFA, trong khi mã nhận dạng của Amplitude là UUID riêng của SDK được lưu trữ trong sandbox ứng dụng. Cả hai đều yêu cầu đồng ý trong EEA, nhưng các cơ sở pháp lý và lời nhắc là khác nhau. Trên Android logic tương tự áp dụng với Amplitude.getInstance().initializeApolloClient() hoặc tương đương tùy thuộc vào phiên bản SDK.
Chế độ phía máy chủ
Amplitude hỗ trợ nhập liệu phía máy chủ thông qua HTTP V2 API. Các sự kiện phía máy chủ không được miễn trừ khỏi đồng ý — cơ sở pháp lý theo dữ liệu, không phải phương tiện truyền tải — nhưng nhập liệu phía máy chủ cho nhà xuất bản toàn quyền kiểm soát các trường nào được gửi, giúp việc tôn trọng đồng ý một phần dễ dàng hơn. Một mô hình phổ biến là ghi lại một bộ sự kiện tối thiểu chỉ cần thiết ở phía máy chủ theo lợi ích hợp pháp, và chỉ làm phong phú những sự kiện đó với chi tiết hành vi sau khi người dùng đã cấp đồng ý phân tích trên máy khách.
Xác nhận tích hợp
Bước xác nhận là bước mà các nhà xuất bản thường bỏ qua nhất và các cơ quan quản lý thường kiểm tra nhất. Một triển khai Amplitude được tích hợp đúng cách nên vượt qua bốn kiểm tra. Thứ nhất, trình duyệt với banner đồng ý được hiển thị nhưng không có lựa chọn nào được thực hiện nên tạo ra không có yêu cầu nào đến api.amplitude.com hoặc api.eu.amplitude.com và không có cookie AMP_ nào trong document.cookie. Thứ hai, từ chối danh mục phân tích nên giữ trạng thái đó — không có sự kiện, không có cookie, không có mục lưu trữ cục bộ với tiền tố AMP_. Thứ ba, chấp nhận phân tích nên tạo ra một identify duy nhất theo sau là lưu lượng sự kiện, và cookie AMP_ nên xuất hiện với thuộc tính SameSite nhất quán với chính sách CMP của nhà xuất bản. Thứ tư, rút lại đồng ý sau đó nên ngay lập tức dừng các sự kiện tiếp theo và xóa các mã nhận dạng được lưu trữ — việc dọn dẹp bị trì hoãn là một phát hiện.
Dấu vết kiểm toán quan trọng riêng biệt. Theo hướng dẫn banner cookie năm 2023 của EDPB và các ưu tiên nhóm nhiệm vụ được gia hạn năm 2026, các cơ quan quản lý mong đợi nhà xuất bản có thể chứng minh, đối với bất kỳ sự kiện nào trong dự án Amplitude, rằng người dùng đã tạo ra nó đã đưa ra sự đồng ý hợp lệ tại thời điểm ghi. Điều đó yêu cầu nhật ký đồng ý của CMP có thể truy vấn theo mã nhận dạng thiết bị hoặc mã nhận dạng phiên, và tải trọng sự kiện Amplitude mang một trường phiên bản đồng ý liên kết trở lại nhật ký đó. Lưu trữ chuỗi đồng ý như một thuộc tính người dùng tùy chỉnh trên mỗi sự kiện là cách đơn giản nhất để làm cho liên kết đó có thể kiểm toán được.
Chọn khu vực và nơi lưu trú dữ liệu phù hợp
Amplitude vận hành hai khu vực sản xuất: Hoa Kỳ (api.amplitude.com) và EU (api.eu.amplitude.com). Đối với lưu lượng EEA và Vương Quốc Anh, khu vực EU là mặc định đúng — nó giữ dữ liệu trong EEA và giảm bề mặt rủi ro chuyển nhượng mà quyết định Schrems II và Khung Bảo Mật Dữ Liệu EU-Hoa Kỳ đã đặt làm trung tâm trong bất kỳ đánh giá phân tích nào. Chuyển đổi khu vực không có hiệu lực hồi tố: dữ liệu hiện có ở lại nơi nó được nhập lần đầu. Đối với các nhà xuất bản lên kế hoạch triển khai CMP, vì vậy đáng để xác nhận khu vực trước khi mở rộng quy mô, và đáng để ghi lại lựa chọn trong thông báo quyền riêng tư để chuỗi cơ sở pháp lý rõ ràng từ thu thập đến lưu trữ. Một khu vực được chọn đúng, kết hợp với SDK được kiểm soát đúng cách và nhật ký đồng ý có thể truy vấn, là điều biến triển khai Amplitude từ rủi ro quy định thành một phần có thể bảo vệ của ngăn xếp phân tích.