Panduan Integrasi Kebenaran Kuki Hotjar Heatmap dan Rakaman Sesi: Buku Panduan 2026 untuk Penerbit

Hotjar menduduki tempat unik dalam tindanan alat. Ia bukan platform analitik web seperti Google Analytics, bukan platform analitik produk seperti Amplitude atau Mixpanel, dan bukan pengurus tag. Ia adalah alat penyelidikan pengalaman pengguna yang wujud khusus untuk merekodkan apa yang pengguna individu lakukan pada halaman — di mana mereka menggerakkan tetikus, apa yang mereka klik, di mana mereka menatal, di mana mereka berlengah, dan, dalam kes rakaman sesi, dengan tepat apa yang mereka taip dan lihat dipaparkan di skrin. Tahap perincian itulah yang menjadi produk. Itulah juga sebabnya pengawal selia telah memfokuskan ulang tayang sesi sebagai salah satu kategori pemprosesan tingkah laku berisiko tertinggi, dan mengapa penggunaan Hotjar yang cuai adalah salah satu cara paling mudah bagi laman web yang mematuhi peraturan lain untuk keluar dari pematuhan. CNIL, Garante, dan EDPB semuanya telah menerbitkan panduan yang menyasarkan tingkah laku ulang tayang sesi secara khusus, dan pasukan petugas banner kuki EDPB 2026 memperlakukannya sebagai kategori keutamaan. Berita baiknya ialah Hotjar adalah salah satu alat yang lebih baik direka dalam kategori ini untuk penggunaan kebenaran-dahulu — dengan syarat penerbit sebenarnya menggunakan kawalan yang ada.

Mengapa Hotjar memerlukan kebenaran eksplisit

Profil pengumpulan Hotjar adalah apa yang mencetuskan kewajipan kebenaran merentas setiap rangka kerja yang penting. Pada permulaan lalai, skrip penjejakan Hotjar menulis sekurang-kurangnya tiga kuki pihak pertama — _hjSessionUser_{siteId}, _hjSession_{siteId}, dan siri kuki penindasan dan sumber masuk — ke dalam penyemak imbas dalam milisaat selepas pemuatan halaman. Skrip kemudian mula menstrim rekod berterusan koordinat kursor, koordinat klik, kedudukan tatal, saiz port pandang, dan, apabila rakaman sesi diaktifkan, DOM yang dipaparkan sepenuhnya berbanding garis asas.

Di bawah Artikel 5(3) Arahan ePrivacy, setiap kuki tersebut adalah operasi penyimpanan-dan-akses yang memerlukan kebenaran terdahulu, bebas, khusus, termaklum, dan tidak samar-samar di EEA, UK, Switzerland, dan mana-mana bidang kuasa yang telah mengimport standard yang sama. Di bawah GDPR, aliran tingkah laku merupakan pemprosesan data peribadi kerana gabungan jejak kursor, alamat IP, cap jari peranti, dan pengecam sesi adalah mencukupi untuk mengasingkan seseorang individu. Di bawah CCPA dan CPRA, pengumpulan yang sama dikira sebagai jualan atau perkongsian melainkan penerbit mempunyai kontrak pembekal perkhidmatan yang relevan dengan Hotjar — yang ditawarkan Hotjar melalui DPA patuh-CCPA-nya, tetapi hanya berkuat kuasa apabila integrasi dikonfigurasi dengan betul. Di bawah panduan ulang tayang sesi EDPB, palang adalah lebih tinggi lagi: ulang tayang mesti dikaitkan dengan tujuan penyelidikan UX yang khusus dan sah, tempoh pengekalan mesti sesedikit mungkin, dan subjek data mesti dimaklumkan bukan sahaja bahawa rakaman wujud tetapi bahawa sesi mereka sendiri mungkin diulang tayang oleh penganalisis.

Apa yang Hotjar kumpul sebelum kebenaran — dan apa yang mesti ditindas

Kesilapan pelaksanaan yang paling biasa adalah yang dihantar dengan panduan mula pantas Hotjar sendiri: menampal skrip penjejakan terus ke dalam <head> halaman. Itu berfungsi, tetapi ia memuatkan Hotjar sebelum banner kuki pun dipaparkan, bermakna kuki ditetapkan dan rakaman tingkah laku bermula pada paparan halaman pertama — tanpa mengira apa yang pengguna putuskan kemudian. Setiap pengawal selia EU yang telah memutuskan corak ini telah memutuskan dengan cara yang sama: kuki yang ditetapkan sebelum kebenaran adalah menyalahi undang-undang, dan penerbit bertanggungjawab.

Oleh itu, integrasi yang patuh mesti menghalang skrip Hotjar daripada memuatkan sama sekali sehingga kategori kebenaran yang relevan telah diberikan. Cara paling bersih untuk melakukan ini adalah dengan membungkus coretan Hotjar di dalam tag <script> berpintu kebenaran yang CMP suntik hanya selepas pengguna memilih ke dalam kategori analitik atau penyelidikan produk. Jika skrip dimuatkan melalui pengurus tag, yang setara adalah menetapkan pencetus kepada acara kebenaran-diberikan dan bukannya ke Semua Halaman. Dokumentasi Hotjar sendiri kini mengesyorkan corak ini secara eksplisit, dan platform mendedahkan API hj('consent', 'grant') untuk kes di mana skrip mesti hadir tetapi harus kekal tidak aktif sehingga kebenaran direkodkan.

Kuki dan storan yang ditulis Hotjar

Kod Penjejakan Hotjar 6.x menulis pengecam berikut, semuanya tidak penting dan memerlukan kebenaran: _hjSessionUser_{siteId} dengan tamat tempoh 365 hari mengandungi pengecam pengguna, _hjSession_{siteId} dengan tamat tempoh 30 minit mengandungi pengecam sesi, _hjFirstSeen, _hjIncludedInSessionSample_{siteId}, _hjAbsoluteSessionInProgress, dan beberapa kuki pengaitannya kempen apabila tinjauan atau widget maklum balas aktif. Rakaman sesi sendiri disimpan di pelayan Hotjar dan dikunci kepada pengecam sesi — menarik balik kebenaran oleh itu juga mesti memberi isyarat permintaan pemadaman melalui API Hotjar atau aliran pemadaman pengguna dalam produk.

Memetakan Hotjar kepada rangka kerja kebenaran

Hotjar tidak berintegrasi secara asli dengan IAB TCF atau IAB Global Privacy Platform. Ia bukan vendor teknologi iklan dan tidak pernah dimaksudkan untuk menjadi satu. Walau bagaimanapun, ia berintegrasi dengan Google Consent Mode v2 melalui isyarat analytics_storage, dan ia mendedahkan API kebenaran aslinya sendiri yang boleh diikat oleh mana-mana CMP. Corak yang bertahan ulasan pengawal selia memperlakukan setiap keupayaan Hotjar sebagai pintu kebenaran berasingan.

Corak integrasi yang berfungsi

Penggunaan rujukan mempunyai empat bahagian: CMP yang mendedahkan acara perubahan kebenaran masa nyata, pemuat skrip tertunda yang hanya menyuntik coretan Hotjar selepas kebenaran analitik menyala, lapisan penindasan rakaman sesi yang menetapkan rakaman kepada tidak aktif secara lalai sehingga pintu berasingan dibuka, dan konfigurasi penyamaran input yang menindas keras mana-mana medan yang pengawal selia akan pertimbangkan sensitif walaupun apabila kebenaran telah diberikan. Titik keempat sering diabaikan: penyamaran input bukan pengganti kebenaran, tetapi ia adalah pengganti bencana apabila kebenaran diberikan untuk penyelidikan yang sah dan pengguna kebetulan menampal data sensitif ke dalam medan teks bebas.

Pelaksanaan web

Di web, corak paling bersih adalah melanggan acara perubahan kebenaran CMP, kemudian menyuntik coretan Hotjar secara bersyarat apabila tujuan analitik bertukar daripada palsu kepada benar. Gunakan document.createElement('script') untuk menyuntik kod penjejakan dengan atribut async ditetapkan, dan lampirkan pengendali onload yang memanggil hj('identify', userId, properties) hanya jika pengecam pengguna yang disahkan pelayan wujud. Apabila kebenaran ditarik balik, panggil hj('consent', 'revoke'), tamatkan semua kuki _hj melalui document.cookie, dan hantar permintaan pemadaman melalui API Data Hotjar untuk rakaman sesi terdahulu pengguna. Jangan mulakan Hotjar secara malas dalam lintasan paparan yang sama seperti banner — skrip mesti menunggu pemberian eksplisit, dan pemberian mesti direkodkan dengan cap masa dan rentetan kebenaran sebelum skrip dijalankan.

Penyamaran input dan penindasan data sensitif

Perakam sesi Hotjar dihantar dengan tiga mod penyamaran: Suppress mode, yang merupakan lalai untuk medan kata laluan dan mana-mana elemen yang ditandakan dengan atribut data-hj-suppress; Whitelist mode, di mana hanya input yang dipilih secara eksplisit direkodkan; dan Mask mode, di mana ketukan kekunci direkodkan sebagai asterisk. Di bawah peraturan kategori khas GDPR dan definisi maklumat peribadi sensitif CCPA, mana-mana medan yang boleh menangkap maklumat kesihatan, butiran kewangan, pengecam kerajaan, data biometrik, geolokasi tepat, atau kandungan komunikasi peribadi mesti menggunakan Suppress mode tanpa mengira keadaan kebenaran pengguna. Menetapkan data-hj-suppress di peringkat borang dan bukannya peringkat medan adalah corak paling selamat — ia menindas keseluruhan borang walaupun pembangun kemudian menambah medan baru yang mereka lupa untuk menandakan secara individu.

Aplikasi halaman tunggal dan perubahan laluan

Untuk SPA (React, Vue, Angular, Svelte) coretan Hotjar secara lalai terikat kepada pemuatan halaman awal sahaja. Untuk menjejaki peralihan halaman maya, bootstrap mesti memanggil hj('stateChange', newPath) pada setiap perubahan laluan. Panggilan ini menghormati keadaan kebenaran Hotjar pada masa itu, jadi logik penghalang CMP tidak perlu digandakan — tetapi perubahan laluan itu sendiri tidak boleh mencetuskan pemuatan skrip segar jika kebenaran telah ditarik balik antara paparan halaman.

Mengesahkan integrasi

Langkah pengesahan adalah apa yang pengawal selia periksa dan apa yang penerbit paling kerap langkau. Penggunaan Hotjar yang diintegrasikan dengan betul mesti lulus empat ujian secara berurutan. Pertama, sesi penyemak imbas segar dengan banner ditunjukkan tetapi tiada pilihan dibuat harus menghasilkan sifar permintaan ke static.hotjar.com, script.hotjar.com, atau vars.hotjar.com, dan sifar kuki _hj dalam document.cookie. Kedua, menolak analitik harus mengekalkan keadaan itu — tiada pemuatan skrip, tiada rakaman, tiada kuki. Ketiga, menerima analitik harus menghasilkan pemuatan skrip dan kuki _hjSessionUser dan _hjSession yang dijangka dengan atribut SameSite yang betul, dan rakaman peta haba harus muncul dalam papan pemuka Hotjar dalam masa lima minit. Keempat, menarik balik kebenaran selepas itu harus segera menghentikan rakaman selanjutnya, menamatkan kuki, dan mencetuskan permintaan pemadaman — pembersihan yang tertangguh adalah penemuan.

Jejak audit penting secara berasingan. Pengawal selia mengharapkan penerbit dapat membuktikan, untuk mana-mana rakaman tertentu dalam akaun Hotjar, bahawa pengguna yang menghasilkannya telah memberikan kebenaran yang sah pada masa tangkapan. Corak standard adalah membenamkan versi kebenaran dan cap masa sebagai atribut tersuai pada rekod pengguna Hotjar melalui hj('identify', userId, { consent_version: 'v3', consent_ts: ts }). Itu menjadikan mana-mana rakaman tertentu boleh dikesan kembali kepada entri log kebenaran tertentu, yang merupakan standard yang ditetapkan EDPB dan standard yang penerbit harus pakai tanpa mengira di mana mereka beroperasi. Penggunaan yang berpintu dengan betul, digabungkan dengan penyamaran input yang menindas secara lalai dan laluan pemadaman yang diaktifkan semasa penarikan balik, adalah apa yang menjadikan Hotjar bahagian yang boleh dipertahankan dalam timbunan penyelidikan dan bukannya liabiliti pematuhan.

← Blog Baca Semua →