Дапаможнік па інтэграцыі згоды на cookie для цеплавых карт і запісаў сесій Hotjar: план 2026 года для выдаўцоў
Hotjar займае ўнікальнае месца ў стэку інструментаў. Гэта не платформа вэб-аналітыкі, як Google Analytics, не платформа прадуктовай аналітыкі, як Amplitude або Mixpanel, і не тэг-менеджар. Гэта інструмент даследавання карыстальніцкага досведу, які існуе спецыяльна для запісу таго, што асобныя карыстальнікі робяць на старонцы — куды яны рухаюць мыш, на што націскаюць, дзе пракручваюць, дзе вагаюцца і, у выпадку запісу сесій, што менавіта яны набіралі і бачылі адлюстраваным на экране. Гэтая дэталізацыя — гэта прадукт. Гэта таксама прычына, чаму рэгулятары вылучылі ўзнаўленне сесій як адну з катэгорый паводзінскай апрацоўкі з найвышэйшай рызыкай, і чаму неасцярожнае разгортванне Hotjar — адзін з самых лёгкіх спосабаў для іншага адпаведнага вэб-сайта выпасці з адпаведнасці. CNIL, Garante і EDPB усе апублікавалі кіраўніцтва, спецыяльна накіраванае на паводзіны ўзнаўлення сесій, а мэтавая група EDPB па банерах cookie 2026 года разглядае гэта як прыярытэтную катэгорыю. Добрая навіна ў тым, што Hotjar — адзін з лепш спраектаваных інструментаў у катэгорыі для разгортвання, якое ставіць згоду на першае месца — пры ўмове, што выдавец сапраўды выкарыстоўвае элементы кіравання, якія існуюць.
Чаму Hotjar патрабуе яўнай згоды
Профіль збору Hotjar — гэта тое, што запускае абавязацельствы згоды ва ўсіх важных рамках. Пры ініцыялізацыі па змаўчанні скрыпт адсочвання Hotjar запісвае як мінімум тры першасныя cookie — _hjSessionUser_{siteId}, _hjSession_{siteId} і серыю cookie падаўлення і ўваходнай крыніцы — у браўзер на працягу мілісекунд пасля загрузкі старонкі. Затым скрыпт пачынае бесперапынна перадаваць запіс каардынат курсора, каардынат націску, пазіцыі пракруткі, памеру вьюпорта і, калі запіс сесій уключаны, поўны адлюстраваны DOM, параўнаны з базавай лініяй.
Паводле артыкула 5(3) Дырэктывы ePrivacy кожны з гэтых cookie з'яўляецца аперацыяй захоўвання і доступу, якая патрабуе папярэдняй, свабодна дадзенай, канкрэтнай, інфармаванай і адназначнай згоды ў ЕЭП, Вялікабрытаніі, Швейцарыі і любой юрысдыкцыі, якая імпартавала той жа стандарт. Паводле GDPR паводзінскі паток складае апрацоўку персанальных даных, бо камбінацыя следу курсора, IP-адраса, лічбавага адбітка прылады і ідэнтыфікатара сесіі дастатковая для вылучэння асобы. Паводле CCPA і CPRA той жа збор лічыцца продажам або абменам, калі выдавец не мае адпаведнага кантракту пастаўшчыка паслуг з Hotjar — які Hotjar прапануе праз свой CCPA-адпаведны DPA, але ён уступае ў сілу толькі калі інтэграцыя наладжана правільна. Паводле кіраўніцтва EDPB па ўзнаўленні сесій планка яшчэ вышэйшая: узнаўленне павінна быць прывязана да канкрэтнай законнай мэты даследавання UX, перыяд захоўвання павінен быць мінімальна неабходным, а суб'ект даных павінен быць праінфармаваны не толькі пра тое, што запісы існуюць, але і пра тое, што яго ўласная сесія можа быць узноўлена аналітыкам.
Што Hotjar збірае да згоды — і што павінна быць падаўлена
Самая распаўсюджаная памылка рэалізацыі — гэта тая, што пастаўляецца з уласным хуткім стартам Hotjar: устаўка скрыпта адсочвання непасрэдна ў <head> старонкі. Гэта працуе, але загружае Hotjar да таго, як банер cookie нават адлюстраваўся, што азначае, што cookie ўсталёўваюцца і паводзінскі запіс пачынаецца пры самым першым праглядзе старонкі — незалежна ад таго, што карыстальнік пазней вырашыць. Кожны рэгулятар ЕС, які прыняў рашэнне па гэтым шаблоне, прыняў адно і тое ж рашэнне: cookie, усталяваныя да згоды, незаконныя, і выдавец нясе адказнасць.
Адпаведная інтэграцыя павінна таму прадухіляць загрузку скрыпта Hotjar наогул, пакуль адпаведная катэгорыя згоды не будзе дадзена. Самы чысты спосаб зрабіць гэта — абгарнуць фрагмент Hotjar у <script> тэг, абумоўлены згодай, які CMP уводзіць толькі пасля таго, як карыстальнік выбраў катэгорыю аналітыкі або прадуктовага даследавання. Калі скрыпт загружаецца праз тэг-менеджар, эквівалент — усталяваць трыгер на падзею прадастаўлення згоды, а не на All Pages. Уласная дакументацыя Hotjar цяпер яўна рэкамендуе гэты шаблон, і платформа выкрывае API hj('consent', 'grant') для выпадкаў, калі скрыпт павінен прысутнічаць, але заставацца спячым, пакуль згода не запісана.
Cookie і сховішча, якое запісвае Hotjar
Код адсочвання Hotjar 6.x запісвае наступныя ідэнтыфікатары, усе з якіх неабавязковыя і патрабуюць згоды: _hjSessionUser_{siteId} з тэрмінам 365 дзён, які змяшчае ідэнтыфікатар карыстальніка, _hjSession_{siteId} з тэрмінам 30 хвілін, які змяшчае ідэнтыфікатар сесіі, _hjFirstSeen, _hjIncludedInSessionSample_{siteId}, _hjAbsoluteSessionInProgress і шэраг cookie атрыбуцыі кампаній, калі апытанні або віджэты зваротнай сувязі актыўныя. Самі запісы сесій захоўваюцца на серверах Hotjar і прывязаны да ідэнтыфікатара сесіі — таму адкліканне згоды павінна таксама сігналізаваць запыт на выдаленне праз API Hotjar або ўнутрыпрадуктовы паток выдалення карыстальніка.
Картаграфаванне Hotjar да рамак згоды
Hotjar натыўна не інтэгруецца з IAB TCF або IAB Global Privacy Platform. Гэта не рэкламна-тэхналагічны пастаўшчык і ніколі не задумваўся быць ім. Аднак ён інтэгруецца з Google Consent Mode v2 праз сігнал analytics_storage і выкрывае ўласны натыўны API згоды, з якім можа звязацца любая CMP. Шаблон, які перажывае праверку рэгулятара, разглядае кожную магчымасць Hotjar як асобныя вароты згоды.
- Цеплавыя карты і карты націскаў прывязваюцца да мэты аналітыкі або прадуктовага даследавання. У тэрмінах TCF гэта часцей за ўсё мэта 8 (вымярэнне прадукцыйнасці кантэнту) у спалучэнні з мэтай 1 (захоўванне і/або доступ да інфармацыі). Для Consent Mode гэта analytics_storage.
- Запіс сесій павінен знаходзіцца за больш строгім, асобным сігналам. Запіс захоплівае адлюстраваны DOM і любое незамаскіраванае поле, і яўнае апт-ін на ўзроўні пераваг — а не агульная згода на аналітыку — з'яўляецца абаронным становішчам паводле кіраўніцтва EDPB па ўзнаўленні сесій.
- Апытанні і віджэты зваротнай сувязі могуць працаваць пад тымі ж варотамі згоды, што і запіс сесій, калі яны збіраюць свабодны тэкставы ўвод, або пад варотамі аналітыкі, калі яны збіраюць толькі даныя рэйтынгу.
- Варонкі і адсочванне канверсій прывязваюцца да варот аналітыкі; калі любы ідэнтыфікатар карыстальніка распаўсюджваецца ў CRM або рэкламную платформу, маркетынгавыя вароты таксама прымяняюцца.
Шаблон інтэграцыі, які працуе
Эталоннае разгортванне мае чатыры часткі: CMP, які выкрывае падзею змены згоды ў рэальным часе, адкладзены загрузчык скрыпта, які ўводзіць фрагмент Hotjar толькі пасля спрацоўвання згоды на аналітыку, слой падаўлення запісу сесій, які па змаўчанні адключае запіс, пакуль не адкрыюцца асобныя вароты, і канфігурацыя маскіравання ўводу, якая жорстка падаўляе любое поле, якое рэгулятар лічыў бы адчувальным, нават калі згода дадзена. Чацвёрты пункт часта ўпускаецца: маскіраванне ўводу не з'яўляецца заменай згоды, але з'яўляецца заменай катастрофы, калі згода дадзена для законнага даследавання, а карыстальнік выпадкова ўстаўляе адчувальныя даныя ў свабоднае тэкставае поле.
Вэб-рэалізацыя
У вэбе самы чысты шаблон — падпісацца на падзею змены згоды CMP, затым умоўна ўвесці фрагмент Hotjar, калі мэта аналітыкі пераключаецца з false на true. Выкарыстоўвайце document.createElement('script') для ўводу коду адсочвання з усталяваным атрыбутам async і прымацуйце апрацоўшчык onload, які выклікае hj('identify', userId, properties) толькі калі існуе правераны серверам ідэнтыфікатар карыстальніка. Калі згода адклікана, выклічце hj('consent', 'revoke'), скончыце ўсе _hj cookie праз document.cookie і адпраўце запыт на выдаленне праз Hotjar Data API для папярэдніх запісаў сесій карыстальніка. Не ініцыялізуйце Hotjar лянота ў тым жа праходзе адмалёўкі, што і банер — скрыпт павінен чакаць яўнага прадастаўлення, а прадастаўленне павінна быць запісана з часавай меткай і радком згоды да таго, як скрыпт калі-небудзь спрацуе.
Маскіраванне ўводу і падаўленне адчувальных даных
Запісвальнік сесій Hotjar пастаўляецца з трыма рэжымамі маскіравання: рэжым падаўлення, які з'яўляецца стандартным для палёў пароля і любога элемента, пазначанага атрыбутам data-hj-suppress; рэжым белага спіса, дзе запісваюцца толькі яўна апт-ін уводы; і рэжым маскі, дзе націскі клавіш запісваюцца як зорачкі. Паводле правілаў спецыяльных катэгорый GDPR і азначэння адчувальнай персанальнай інфармацыі CCPA, любое поле, якое можа захапіць інфармацыю аб здароўі, фінансавыя дэталі, дзяржаўныя ідэнтыфікатары, біяметрычныя даныя, дакладную геалакацыю або змест прыватных камунікацый, павінна выкарыстоўваць рэжым падаўлення незалежна ад стану згоды карыстальніка. Усталяванне data-hj-suppress на ўзроўні формы, а не на ўзроўні поля, з'яўляецца самым бяспечным шаблонам — гэта падаўляе ўсю форму, нават калі распрацоўшчык пазней дадасць новае поле, якое забудзецца пазначыць асобна.
Аднастаронкавыя прыкладанні і змены маршруту
Для SPA (React, Vue, Angular, Svelte) фрагмент Hotjar па змаўчанні прывязваецца толькі да першапачатковай загрузкі старонкі. Каб адсочваць віртуальныя пераходы старонак, загрузка павінна выклікаць hj('stateChange', newPath) пры кожнай змене маршруту. Гэты выклік паважае любы стан згоды, які Hotjar трымае ў гэты час, таму логіку абумоўлівання CMP не трэба дубліраваць — але змена маршруту не павінна сама запускаць свежую загрузку скрыпта, калі згода была адклікана паміж праглядамі старонак.
Праверка інтэграцыі
Крок праверкі — гэта тое, што правяраюць рэгулятары і што выдаўцы найчасцей прапускаюць. Правільна інтэграванае разгортванне Hotjar павінна прайсці чатыры тэсты ў парадку. Па-першае, свежая сесія браўзера з паказаным банерам, але без зробленага выбару, павінна вырабляць нуль запытаў да static.hotjar.com, script.hotjar.com або vars.hotjar.com і нуль _hj cookie ў document.cookie. Па-другое, адмова ад аналітыкі павінна захоўваць гэты стан — без загрузкі скрыпта, без запісу, без cookie. Па-трэцяе, прыняцце аналітыкі павінна вырабляць загрузку скрыпта і чаканыя cookie _hjSessionUser і _hjSession з правільнымі атрыбутамі SameSite, а запіс цеплавой карты павінен з'явіцца на панэлі Hotjar на працягу пяці хвілін. Па-чацвёртае, адкліканне згоды пасля факту павінна неадкладна спыніць далейшы запіс, скончыць cookie і запусціць запыт на выдаленне — затрыманая ачыстка з'яўляецца знаходкай.
Аўдыторскі след мае значэнне асобна. Рэгулятары чакаюць, што выдавец зможа даказаць для любога дадзенага запісу ў акаўнце Hotjar, што карыстальнік, які яго згенераваў, даў сапраўдную згоду ў момант захопу. Стандартны шаблон — убудаваць версію згоды і часавую метку як карыстальніцкі атрыбут у запіс карыстальніка Hotjar праз hj('identify', userId, { consent_version: 'v3', consent_ts: ts }). Гэта робіць любы канкрэтны запіс адсочвальным назад да канкрэтнага запісу журнала згоды, што з'яўляецца стандартам, які ўсталяваў EDPB, і стандартам, які выдаўцы павінны прыняць незалежна ад таго, дзе яны працуюць. Правільна абумоўленае разгортванне ў спалучэнні з маскіраваннем уводу, якое падаўляе па змаўчанні, і шляхам выдалення, які актывуецца пры адкліканні, — гэта тое, што робіць Hotjar абаронай часткай даследчага стэку, а не пагрозай адпаведнасці.