Кіраўніцтва па інтэграцыі згоды на cookie для запісу сесій Microsoft Clarity на 2026 год
Microsoft Clarity запушчаны ў 2020 годзе як бясплатная, без квот альтэрнатыва Hotjar і Smartlook для запісу сесій, цеплавых карт і аналітыкі ўзаемадзеянняў. Пяць гадоў пазней ён стаіць на значнай долі сайтаў сярэдняга і малога бізнесу па ўсім свеце, часткова таму што ён сапраўды карысны, а часткова таму што ўсталёўка — гэта адзін радок JavaScript, які большасць аператараў устаўляюць без далейшых разважанняў. З пункту гледжання прыватнасці гэтая лёгкасць усталёўкі і ёсць праблема. Clarity запісвае рухі мышы, паводзіны прагорткі, клікі, націсканні клавіш, узаемадзеянні з формамі і поўныя здымкі DOM старонкі — самую шчыльную паводзінскую карысную нагрузку з усіх распаўсюджана разгорнутых інструментаў аналітыкі — і перасылае ўсё на серверы Microsoft у момант загрузкі скрыпта. Для любога разгортвання, якое закранае трафік ЕС, Вялікабрытаніі, ЕЭП, Бразіліі або Каліфорніі, усталёўка па змаўчанні неадпаведная, і рэгулятары, найбольш актыўныя ў выкананні па запісе сесій — CNIL, італьянскі Garante, брытанскі ICO — былі яўныя, што аналіз прымяняецца незалежна ад цэнавага ўзроўню інструмента або вендара. Гэта кіраўніцтва праходзіць праз тое, што запісвае Clarity, як працуе мяжа згоды і патэрн інтэграцыі, які перажывае аўдыт.
Што Clarity сапраўды запісвае
SDK Clarity (загружаемы з www.clarity.ms/tag/{project_id}) ініцыялізуе глабальны аб'ект clarity і ідэнтыфікуе наведвальнікаў з дапамогай належнага Microsoft cookie пад назвай _clck, разам з сесійным cookie _clsk. З гэтага моманту скрыпт захоплівае шчыльны паводзінскі паток:
- Увод мышы і дакрананняў — кожны рух, клік, тап, прагортка і жэст запісваюцца з часавай меткай і каардынатамі.
- Узаемадзеянні з формамі — падзеі focus, blur і ўводу ў кожным полі формы, плюс тэкст неадчувальных палёў, калі маскіраванне не наладжана.
- Здымкі DOM — перыядычныя поўныя здымкі DOM старонкі, каб прайграванне сесіі магло рэканструяваць дакладны візуальны стан у любы момант.
- Карыстальніцкія падзеі — любыя падзеі, якія прыкладанне яўна выпускае праз выклікі clarity("event", "name").
- Дадзеныя аб прадукцыйнасці і памылках — памылкі JavaScript, сеткавыя збоі і таймінгі core web vitals.
- Ідэнтыфікацыйныя дадзеныя — належны Clarity cookie плюс геалакацыя на аснове IP і зняцце адбіткаў па user-agent.
Камбінацыя — у прыватнасці, здымкі DOM і захоп палёў формы — робіць Clarity функцыянальна эквівалентным відэазапісу сесіі наведвальніка. Рэгулятарная класіфікацыя па GDPR простая: гэта апрацоўка персанальных дадзеных, cookie неасноўныя, дадзеныя перасякаюць межы да амерыканскай інфраструктуры Microsoft, а патрабуемая законная падстава — згода. Кіраўніцтва CNIL 2024 года па запісе сесій адназначнае па гэтым пытанні і яўна называе інструменты ў катэгорыі Clarity.
Рызыка адчувальных дадзеных
Інструменты запісу сесій маюць спецыфічную небяспеку прыватнасці, якой няма ў іншых інструментаў аналітыкі: яны могуць захопліваць адчувальныя персанальныя дадзеныя выпадкова. Карыстальнік, які ўводзіць нумар крэдытнай карты, стан здароўя, рэлігійную прыналежнасць або нацыянальны ідэнтыфікатар у любое поле формы, запісваецца Clarity, калі поле не яўна замаскіравана. Па GDPR гэта апрацоўка адчувальных персанальных дадзеных Артыкула 9, якая патрабуе яўнай opt-in згоды і рэдка пакрываецца агульным рашэннем аб маркетынгавай згодзе.
Clarity падтрымлівае канфігурацыю маскіравання кантэнту, якая хавае канкрэтныя палі ад запісу, але паводзіны па змаўчанні захопліваюць усё. Абараняемы пры аўдыце падыход — маскіраваць агрэсіўна — меркаваць, што кожнае поле формы адчувальнае, пакуль не даказана адваротнае — і дакументаваць рашэнні аб маскіраванні яўна.
Натыўныя сродкі кіравання прыватнасцю Clarity
Microsoft інвеставаў у сродкі кіравання прыватнасцю Clarity за апошнія два гады. Платформа цяпер прадастаўляе некалькі прымітываў, якія інтэграцыя CMP можа выкарыстоўваць.
Атрыбут mask
Даданне data-clarity-mask="true" да элемента DOM хавае яго змесціва ад запісу сесіі. Даданне data-clarity-unmask="true" да даччынага элемента перавызначае маску для гэтага паддрэва. Правільнае значэнне па змаўчанні для любога поля формы, якое можа змяшчаць персанальныя дадзеныя, — маскіраваць, затым яўна размаскіраваць там, дзе гэта бяспечна.
API згоды
Clarity прадастаўляе выклік clarity("consent"), які пры выкліку сігналізуе, што згода прадастаўлена і SDK павінен працягнуць. Без гэтага выкліку SDK можна наладзіць на прыпынак пасля пачатковай загрузкі. Гэта правільны прымітыў для інтэграцыі CMP на баку актывацыі.
Маскіраванне IP і апрацоўка ідэнтыфікатараў
Налады праекта Clarity прадастаўляюць опцыі для ўсячэння IP і маскіравання ідэнтыфікатараў. Іх уключэнне — гэта мера абароны ў глыбіню паверх гейтынгу CMP; яна не замяняе згоду.
Аўта-маскіраванне адчувальнага кантэнту
Нядаўнія рэлізы Clarity спрабуюць аўта-выяўляць адчувальныя палі (патэрны крэдытных карт, палі пароляў, палі з імем "ssn" або падобным) і маскіраваць іх па змаўчанні. Выяўленне эўрыстычнае і няпоўнае; не абапірайцеся на яго як на адзіную лінію абароны.
Пакрокавая інтэграцыя CMP
Надзейная архітэктура — цалкам адкласці SDK Clarity да прадастаўлення згоды, затым актываваць яго яўна праз API згоды.
1. Выдаліце тэг па змаўчанні з head дакумента
Сніпет усталёўкі Clarity — гэта адзін убудаваны скрыпт, які ініцыялізуе SDK пры загрузцы старонкі. Замяніце яго элементам скрыпта-запаўняльніка, чый type роўны text/plain, а data-category — analytics або marketing у залежнасці ад таго, як ваша CMP катэгарызуе інструменты запісу сесій.
2. Вырашыце пра супастаўленне катэгорый
Запіс сесій — спрэчная катэгорыя. CNIL трактаваў яе па-рознаму як аналітыку (калі дадзеныя выкарыстоўваюцца для ўнутраных даследаванняў UX) і як маркетынг (калі дадзеныя сілкуюць рашэнні аб персаналізацыі або знешні абмен). Кансерватыўнае супастаўленне — маркетынг; абараняемая пры аўдыце пазіцыя патрабуе, каб вы былі канкрэтныя ў тым, як запісы фактычна выкарыстоўваюцца.
3. Наладзьце агрэсіўнае маскіраванне да актывацыі
Дадайце data-clarity-mask="true" да кожнага элемента формы, кожнага поля ўводу, кожнага кантэйнера, які можа змяшчаць персанальныя дадзеныя. Палітыка па змаўчанні — маскіраваць-па-змаўчанні з яўнымі выключэннямі размаскіравання для элементаў, вядомых як бяспечныя (загалоўкі старонак, меткі навігацыі, блокі публічнага кантэнту).
4. Актывуйце Clarity з колбэка згоды
Калі CMP запускае адпаведную падзею прыняцця катэгорыі, перапішыце тэг скрыпта-запаўняльніка і выклічце clarity("consent"), каб прадаставіць SDK дазвол працягнуць. Пастаўленыя ў чаргу падзеі, якія буферызаваліся ў перыяд да згоды, затым скінуцца.
5. Апрацоўвайце адкліканне яўна
Калі карыстальнік адклікае згоду, SDK Clarity не мае чыстага выкліку "спыніць запіс", эквівалентнага API актывацыі. Практычны патэрн — выклікаць clarity("consent", false), калі падтрымліваецца ў вашай версіі SDK, і дадаткова ачысціць cookie Clarity на баку кліента. Для поўнага выдалення гістарычных запісаў выкарыстоўвайце працоўны працэс выдалення дадзеных у адмін-інтэрфейсе Clarity або API выдалення.
Распаўсюджаныя пасткі
Чатыры памылкі інтэграцыі складаюць большасць знаходак аўдыту па разгортваннях Clarity.
Усталёўка Clarity "проста каб паглядзець, што робяць наведвальнікі"
Самы распаўсюджаны патэрн: прадукт-менеджэр усталёўвае Clarity для даследавання праблемы UX, ніколі не ўключае гейтынг згоды, ніколі не наладжвае маскіраванне і забывае пра скрыпт. Паверхня запісу працягвае назапашвацца. Выпраўленне — альбо цалкам выдаліць Clarity, альбо прывесці яго пад тую ж архітэктуру згоды, што і ўсе астатнія трэкеры.
Давер аўта-маскіраванню
Эўрыстычнае выяўленне адчувальных палёў Clarity ловіць відавочныя выпадкі, але прапускае спецыфічныя для дамена — тэкставае поле "сімптомы" на сайце аховы здароўя, поле "нумар рахунку" на фінансавым сайце з ідыясінкразічным імем. Маскіруйце яўна; не абапірайцеся на выяўленне.
Трактоўка запісу сесій як аналітыкі
CNIL быў яўны, што катэгорыя запісу сесій бліжэй да маркетынгу, чым да першаснай аналітыкі з пункту гледжання згоды. Гейтынг Clarity пад толькі аналітычнай згодай абараняемы толькі калі запісы выкарыстоўваюцца выключна для ўнутраных даследаванняў UX і ніколі не перадаюцца за межы арганізацыі.
Забыванне пра карысныя нагрузкі карыстальніцкіх падзей
Код прыкладання, які выклікае clarity("event", "name", customProperties), можа ўцячы персанальныя дадзеныя ў паток Clarity праз карысную нагрузку customProperties. Праверце кожнае месца выкліку і пазбягайце перадачы ідэнтыфікатараў карыстальнікаў, адрасоў электроннай пошты або любых персанальных дадзеных у ўласцівасцях падзей.
Чэк-ліст аўдыту
Шэсць канкрэтных пытанняў, на якія трэба адказаць для любога разгортвання Clarity, якое закранае трафік ЕС, Вялікабрытаніі, Бразіліі або Каліфорніі.
- Ці чакае Clarity згоды? Адкрыйце старонку ў прыватным акне і пацвердзіце, што ніякія запыты clarity.ms не спрацоўваюць да прыняцця банера.
- Ці агрэсіўнае маскіраванне? Пацвердзіце, што да кожнага поля формы і кожнага кантэйнера з патэнцыйна персанальным кантэнтам прыменены data-clarity-mask.
- Ці задакументавана супастаўленне катэгорый? Пацвердзіце наяўнасць пісьмовага запісу пра тое, ці гейціцца Clarity пад аналітыкай або маркетынгам, з абгрунтаваннем.
- Ці падключаны API згоды? Пацвердзіце, што колбэк CMP выклікае clarity("consent") пры прадастаўленні і эквівалент пры адкліканні.
- Ці правераны карыстальніцкія падзеі? Пацвердзіце, што выклікі clarity("event", ...) не перадаюць ідэнтыфікуючыя або адчувальныя дадзеныя ў карысных нагрузках уласцівасцей.
- Ці аўтаматызавана выдаленне? Пацвердзіце, што запыты DSAR запускаюць працоўны працэс выдалення Clarity, а не ручны тыкет падтрымкі.
Дзе Clarity ўпісваецца ў стэк з прыярытэтам згоды
Запіс сесій — паверхня паводзінскага адсочвання найвышэйшай інфармацыйнай шчыльнасці ў распаўсюджаным разгортванні, і Clarity — інструмент, які дэмакратызаваў яе найбольш агрэсіўна. Бясплатны цэнавы ўзровень і ўсталёўка без трэння робяць яго шляхам найменшага супраціву для любой каманды, якая хоча бачнасці ў паводзіны UX. Тая ж усталёўка без трэння і робіць Clarity найбольш часта няправільна наладжаным інструментам аналітыкі ў аўдытах 2026 года. Правільная архітэктура трактуе Clarity як любы іншы ідэнтыфікуючы трэкер: гейціць яго за яўнай згодай, маскіраваць палі формы агрэсіўна па змаўчанні, дакументаваць супастаўленне катэгорый і падключаць API згоды, каб уласныя прымітывы SDK забяспечвалі тое, што запісала CMP. Зробленае правільна, каштоўнасць даследавання UX, дзеля якой інструмент быў куплены, захоўваецца, у той час як рэгулятарная падверанасць падае да долі таго, што нясе ўсталёўка па змаўчанні.