راهنمای یکپارچهسازی رضایت کوکی HubSpot: ردیابی مطابق با GDPR برای بازاریابان در ۲۰۲۶
HubSpot یکی از پلتفرمهای بازاریابی عمیقاً جاسازیشده در وب مدرن است. اسکریپت ردیابی آن بر روی میلیونها سایت B2B اجرا میشود و بازدیدها، تکمیل فرمها، جلسات چت و رفتار در سطح شناسه را مستقیماً به HubSpot CRM منتقل میکند. مشکل اینجاست که بهطور پیشفرض، آن اسکریپت از لحظهای که صفحه بارگذاری میشود شروع به جمعآوری دادههای شخصی میکند — خیلی قبل از اینکه بازدیدکنندهای فرصت انتخاب داشته باشد. برای هر سازمانی که با ترافیک EU، UK، برزیل یا کالیفرنیا سروکار دارد، این رفتار پیشفرض دیگر مطابق مقررات نیست و بهطور فزایندهای نوعی مسئله است که تنظیمکنندهها در شکایات واقعی به آن توجه میکنند. این راهنما توضیح میدهد HubSpot واقعاً چه چیزی را ردیابی میکند، مرز رضایت کجاست و چگونه HubSpot را به یک پلتفرم مدیریت رضایت شخص ثالث متصل کنیم تا تحلیل بازاریابی بدون دعوت به جریمه کار کند.
چرا ردیابی HubSpot به یک سیگنال رضایت واقعی نیاز دارد
HubSpot به محض اجرای اسکریپت ردیابی (hs-scripts.com/{hub_id}.js قطعه کد JavaScript HubSpot)، تعدادی کوکی طرف اول روی دستگاه بازدیدکننده میگذارد. مهمترین آنها __hstc، hubspotutk و __hssc هستند که با هم بازدیدکننده را در جلسات شناسایی میکنند، ارسال فرمها را به تاریخچه مرور ناشناس مرتبط میکنند و مدلهای امتیازدهی سرنخ در CRM را تغذیه میکنند. طبق GDPR و دستورالعمل ePrivacy، هر سه کوکی غیرضروری هستند که نیاز به رضایت قبلی آزادانه دادهشده، خاص، آگاهانه و بدون ابهام دارند. بارگذاری قطعه کد در هدر سند — که الگوی یکپارچهسازی پیشفرض HubSpot است — این کوکیها را قبل از اینکه از بازدیدکننده چیزی پرسیده شود میگذارد.
عواقب نظری نیستند. مراجع حفاظت از داده در فرانسه، ایتالیا و اسپانیا همگی در دو سال گذشته اقدامات اجرایی علیه سازمانهایی که پشتههای بازاریابیشان کوکیهای ردیابی را قبل از رضایت تنظیم میکردند، صادر کردهاند. جریمهها از پنج رقمی برای ناشران کوچک تا چند میلیون یورو برای شرکتهای بزرگ بوده است. بنر کوکی بومی HubSpot وجود دارد، اما عمداً سبک است و به تنهایی اجرای قطعه کد را مسدود نمیکند. بیشتر بازرسان انطباق آن را به عنوان لایه اطلاعرسانی نه لایه کنترل میبینند.
HubSpot واقعاً چه چیزی را ردیابی میکند
قبل از تصمیمگیری در مورد نحوه محدودسازی HubSpot، مفید است که در مورد دستهبندیهای پردازش در جریان دقیق باشیم. سطح ردیابی HubSpot به چهار حوزه با هم پوشانی تقسیم میشود که هر کدام پیامدهای رضایتی خاص خود را دارند.
تحلیل رفتاری
رویدادهای بازدید صفحه، کلیک، اسکرول و مدت جلسه به محض بارگذاری کد ردیابی بهطور خودکار جمعآوری میشوند. این رویدادها جدول زمانی بازدیدکنندهای را که در سوابق تماس HubSpot میبینید میسازند و پایه هر قانون امتیازدهی سرنخ یا گردش کار هستند. از دیدگاه تنظیمکننده، این ردیابی تحلیلی ساده است و نیاز به رضایت opt-in در EU و EEA دارد. در UK، راهنمای ۲۰۲۳ ICO آن را به همین شکل میبیند.
فرمها و چت
فرمهای HubSpot و ابزارک چت HubSpot (که قبلاً ادغام Drift بود) میتوانند مستقل از اسکریپت ردیابی اصلی پیکربندی شوند. ارسال فرمها در بیشتر تحلیلهای حقوقی به عنوان یک فعالیت پردازش جداگانه با مبنای قانونی خاص خود در نظر گرفته میشود — معمولاً اجرای قرارداد یا منافع مشروع. با این حال، چتی که نسخههای رونویسی را در یک سرور شخص ثالث ثبت میکند، بهطور کلی نیاز به رضایت برای خود ضبط دارد.
پیوند هویت چند دامنهای
اگر از همان پورتال HubSpot در چندین دامنه استفاده کنید، قطعه کد سعی میکند کوکیها را به شکلی تنظیم و بخواند که بازدیدکنندگان را در آن ویژگیها پیوند دهد. این وارد چیزی میشود که EDPB آن را «ردیابی» به معنای دقیق مینامد و بالاترین دسته ریسک است. همچنین احتمال بیشتری دارد که در طول DPIA علامتگذاری شود.
ادغامهای بازاریابی
HubSpot میتواند رویدادها را از طریق ادغامهایش به Google Ads، Meta، LinkedIn و سایر شبکههای تبلیغاتی ارسال کند. هر یک از این انتقالهای بعدی الزام رضایت خاص خود را دارد و در EU، ارزیابی انتقال داده خاص خود را.
بنر بومی HubSpot در مقابل CMP شخص ثالث
HubSpot با یک بنر رضایت کوکی داخلی عرضه میشود که میتوانید از تنظیمات > حریم خصوصی & رضایت فعال کنید. یک اطلاعیه قابل تنظیم نمایش میدهد، یک سابقه رضایت در برابر مخاطب ثبت میکند و یک opt-out برای تحلیل را رعایت میکند. برای سازمانهای بسیار کوچک که در حوزههای قضایی کمریسک فعالیت میکنند، میتواند کافی باشد. برای هر کسی که جدی به انطباق میپردازد — یا هر کسی که تبلیغات آگاه از حالت رضایت اجرا میکند — کافی نیست.
دلایل انتقال به یک CMP شخص ثالث عملی هستند:
- دستههای دقیقدانه. بنر بومی کوکیهای کاملاً ضروری، عملکردی، تحلیلی و بازاریابی را به گزینههای جداگانه تفکیک نمیکند که ساختار مورد انتظار تنظیمکنندههاست.
- پشتیبانی از IAB TCF و GPP. اگر در تبلیغات برنامهای شرکت میکنید، به CMP با گواهی Google نیاز دارید که یک رشته TC معتبر ارسال کند. بنر بومی HubSpot این کار را نمیکند.
- Consent Mode v2. Google اکنون سیگنالهای رضایت ارائهشده در قالب v2 را برای ترافیک EEA الزامی میداند. یک CMP اختصاصی این را از ابتدا تا انتها سیمکشی میکند، از جمله پیکربندی deny پیشفرض.
- چندزبانه و دسترسیپذیری. بیشتر CMPها با بیش از ۳۰ بسته زبانی و پیشفرضهای مطابق WCAG عرضه میشوند. بنر داخلی HubSpot محدودتر است.
- ثبت در سطح ممیزی. یک CMP اختصاصی هر تصمیم رضایت را با زمانبندی، نسخه بنر و انتخاب ثبت میکند — شواهدی که تنظیمکنندهها در تحقیقات از آن میخواهند.
یکپارچهسازی گامبهگام با CMP شخص ثالث
الگوی یکپارچهسازی که بهطور قابل اعتماد کار میکند این است که قطعه کد HubSpot را در صفحه نگه دارید اما از اجرای آن تا زمانی که تصمیم رضایت ثبت شود جلوگیری کنید. در زیر رویکرد متعارف آمده است، به شکل عمومی نوشته شده تا برای هر CMP مدرن از جمله FlexyConsent قابل اعمال باشد.
۱. قطعه کد پیشفرض را از هدر سند حذف کنید
در قالب سایت خود، تگ <script> داخلی که hs-scripts.com/{hub_id}.js را بارگذاری میکند حذف کنید. آن را با یک جایگزین که CMP شما میتواند بعداً فعال کند جایگزین کنید، معمولاً با تنظیم ویژگی type روی text/plain و افزودن ویژگی داده دسته مانند data-category="marketing".
۲. HubSpot را به دسته رضایت صحیح نگاشت کنید
بیشتر CMPها از IAB TCF یا یک مدل چهار سطلی استفاده میکنند: ضروری، عملکردی، تحلیلی، بازاریابی. اسکریپت ردیابی HubSpot به دلیل ادغام CRM هم دستههای تحلیلی و هم بازاریابی را لمس میکند. نگاشت محافظهکارانه این است که کل قطعه کد را پشت دسته بازاریابی قرار دهید که محدودکنندهترین سطل است. اگر CMP شما نگاشت دقیقدانه را مجاز میداند، میتوانید تقسیم کنید: فرمها را زیر عملکردی بارگذاری کنید، رویدادهای تحلیلی را زیر تحلیلی، و پیوند هویت CRM را زیر بازاریابی.
۳. callback فعالسازی را پیکربندی کنید
CMP شما یک رویداد یا callback را که وقتی کاربر به یک دسته رضایت میدهد فعال میشود، نمایش میدهد. در آن callback، ویژگی type تگ اسکریپت جایگزین را به text/javascript بازنویسی کنید و آن را به سند اضافه کنید. سپس اسکریپت بهطور عادی بارگذاری و اجرا میشود. برای SPA، callback را در هر تغییر مسیر ثبت کنید تا صفحات تازه نصبشده نیز فعالسازی را دریافت کنند.
۴. Consent Mode v2 را سیمکشی کنید
اگر از Google Ads یا GA4 همراه با HubSpot استفاده میکنید، CMP شما باید سیگنالهای رضایت v2 — ad_storage، analytics_storage، ad_user_data، ad_personalization — را قبل از شلیک هر تگ Google به dataLayer ارسال کند. HubSpot خودش این سیگنالها را مصرف نمیکند، اما بقیه پشته شما این کار را میکند و ناسازگاری بین HubSpot و Google در گزارشدهی شما به عنوان شکاف درآمدی قابل اندازهگیری ظاهر میشود.
۵. وضعیت رضایت را با HubSpot CRM همگام کنید
وقتی یک مخاطب شناختهشده رضایت خود را بهروزرسانی میکند (برای مثال، با بازدید مجدد از بنر و لغو رضایت بازاریابی)، باید این را در سابقه HubSpot منعکس کنید تا منطق گردش کار از ارسال ایمیلهای بازاریابی متوقف شود. HubSpot API یک endpoint communication-preferences را در معرض دید قرار میدهد که بهروزرسانیهای در سطح اشتراک را میپذیرد. بیشتر CMPها میتوانند برای فراخوانی این endpoint از یک hook سمت سرور پیکربندی شوند.
مشکلات رایج و نحوه اجتناب از آنها
سه اشتباه یکپارچهسازی بیشتر یافتههای ممیزی را که در پشتههای سنگین HubSpot میبینیم تشکیل میدهند.
بارگذاری زودهنگام قطعه کد
برخی تیمها تگ HubSpot را داخل یک مدیر تگ قرار میدهند و فرض میکنند که مدیر تگ رضایت را مدیریت میکند. Google Tag Manager حالت رضایت را رعایت میکند، اما فقط برای تگهایی که بهصراحت نیاز به یک حالت اعطاشده دارند. اگر تگ HubSpot بدون آن الزام پیکربندی شده باشد، GTM صرفنظر از هر چیزی آن را شلیک میکند. همیشه فیلد رضایت اضافی روی تگ را تنظیم کنید تا قبل از شلیک به رضایت بازاریابی نیاز داشته باشد.
فراموش کردن اسکریپتهای فرم
فرمهای HubSpot از یک دامنه جداگانه (forms.hsforms.com) ارائه میشوند و میتوانند با اسکریپت خود جاسازی شوند. اگر قطعه کد ردیابی اصلی را محدود کنید اما اسکریپت فرم را در رندر اولیه بارگذاری کنید، واقعاً مشکل را حل نکردهاید — کتابخانه فرم کوکیهای شناسایی خاص خود را تنظیم میکند. هر دو را محدود کنید و بگذارید CMP آنها را با هم بارگذاری کند.
تلقی opt-out به عنوان opt-in
تنظیمات بومی HubSpot شامل گزینه Do Not Track و یک opt-out با یک کلیک است. برخی تیمها اینها را به عنوان مکانیزم کافی برای انطباق با GDPR تفسیر میکنند. اینها چنین نیستند — GDPR نیاز به opt-in مثبت برای کوکیهای غیرضروری دارد و یک چکباکس opt-out که در یک صفحه حریم خصوصی دفن شده این استاندارد را برآورده نمیکند. CMP را به عنوان منبع معتبر وضعیت رضایت قرار دهید و HubSpot را برای تبعیت از آن پیکربندی کنید.
مستندسازی آماده برای ممیزی
پس از راهاندازی یکپارچهسازی فنی، آخرین قدم این است که اطمینان حاصل کنید مسیر شواهد شما میتواند یک درخواست تنظیمکننده را تحمل کند. حداقل سابقهای از موارد زیر نگه دارید: دستههایی که CMP شما HubSpot را به آنها نگاشت میکند، نسخه بنر رضایت در هر تاریخ مشخص، نمونه رشتههای TC که رضایت معتبر را نشان میدهند و لاگهای API که ثابت میکند HubSpot قبل از اعطای رضایت هیچ تماس ردیابیای برقرار نکرده. بیشتر اقدامات اجرایی نه بر فناوری بلکه بر مستندسازی متوقف میشوند — سازمانهایی که میتوانند یک مسیر کاغذی واضح ارائه دهند معمولاً تحقیقات را بسیار سریعتر از آنهایی که نمیتوانند حل میکنند. یک پلتفرم مدیریت رضایت که این آثار را بنا به درخواست صادر میکند، ممیزی را از یک دوی ماراتن چند هفتهای به یک پاسخ یک بعدازظهره تبدیل میکند.