Что собирает Intercom Messenger

Скрипт Intercom Messenger (загруженный с widget.intercom.io или js.intercomcdn.com) инициализирует глобальный объект Intercom и идентифицирует посетителей с cookie intercom-id-* и intercom-session-*. С этого момента он захватывает просмотры страниц, время на странице, глубину прокрутки и метаданные на уровне посетителя: user agent, ОС, браузер, местоположение, определённое по IP, реферер и любые пользовательские атрибуты, которые приложение передаёт через Intercom('boot', {...}) или Intercom('update', {...}). Функция присутствия в реальном времени Messenger также непрерывно сообщает об активности посетителя обратно на серверы Intercom, пока страница открыта, создавая один из более тяжёлых отпечатков потоковых данных среди инструментов обмена сообщениями с клиентами.

Как только пользователь идентифицирован — обычно вызовом Intercom('boot', { user_id: ..., email: ... }) после аутентификации — скрипт связывает идентичность посетителя с известным контактом Intercom. История разговоров, атрибуты и принадлежность к сегментации всё текут от этой идентификации, и Intercom использует связь для управления автоматизированными сообщениями кампаний, email жизненного цикла и внутриприложенческими турами по продукту.

Почему "это просто виджет чата" не освобождает вас от согласия

Распространённая защитная формулировка от продуктовых команд — что Intercom является инструментом обслуживания клиентов, а не маркетинговым трекером, и что деятельность по обслуживанию клиентов ближе к "необходимо для выполнения договора", чем к "маркетингу, требующему согласия". Формулировка имеет узкую правду, но в целом неправильна на практике.

Отслеживание до разговора не является выполнением договора

Как только клиент инициирует разговор в чате, обработку, связанную с этим конкретным разговором, можно разумно охарактеризовать как выполнение договора или преддоговорное выполнение по статье 6(1)(b) GDPR. Всё до этого момента — отслеживание просмотров страниц, сообщение о присутствии, идентификация посетителя, автоматизированное сообщение на основе сегментации — этим не является. Это обработка в целях аналитики и маркетинга, требующая собственного правового основания.

Messenger срабатывает до любого разговора

Поведение скрипта по умолчанию — инициализироваться при загрузке страницы и начать сбор данных немедленно, задолго до того, как посетитель нажал на пузырь чата. Какое бы правовое основание ни покрывало активную сессию чата, оно не покрывает данные, собранные в период до разговора.

Автоматизированные исходящие сообщения являются маркетингом

Автоматизированные сообщения кампаний Intercom, email жизненного цикла и поведенческие триггеры являются маркетинговыми коммуникациями. Они требуют собственного правового основания по GDPR и, в США, CAN-SPAM и TCPA, где это применяется.

Нативные элементы управления конфиденциальностью Intercom

Intercom раскрывает полезный набор нативных примитивов конфиденциальности. Как и с другими крупными маркетинговыми платформами, они предполагают, что решение о согласии существует выше; они не собирают его самостоятельно.

shutdown

Вызов Intercom('shutdown') завершает активную сессию, очищает локальные cookie и останавливает дальнейшее отслеживание. Сочетайте его с Intercom('boot'), когда пользователь принимает маркетинговую категорию в вашей CMP.

Опция hide_default_launcher

Установка hide_default_launcher: true полностью скрывает пузырь чата без выгрузки скрипта. Полезно для страниц, где чат не должен предлагаться, но не замена фактического предотвращения загрузки скрипта.

Элементы управления хранением данных

Настройки администратора Intercom включают настраиваемые окна хранения для данных посетителей, истории разговоров и журналов событий. Их ужесточение — это мера защиты в глубину поверх обусловливания на уровне CMP.

Опция хостинга данных ЕС

Intercom предлагает хостинг данных ЕС для аккаунтов, которые этого требуют, сохраняя данные разговоров и посетителей в инфраструктуре ЕС. Это решает значительную часть проблемы трансграничной передачи, но не устраняет требование согласия.

Пошаговая интеграция CMP

Надёжный шаблон — отложить инициализацию Messenger, пока посетитель не примет маркетинговую категорию, затем загрузить Messenger с соответствующим контекстом пользователя. После инициализации Messenger работает нормально; если пользователь отзывает согласие, Messenger чисто выключается.

1. Удалите фрагмент Messenger по умолчанию из head

Intercom предоставляет фрагмент установки, который инициализирует Messenger при загрузке страницы. Удалите вызов boot из head документа. Тег скрипта может остаться (с type="text/plain" и data-category="marketing", если ваша CMP использует этот шаблон), но вызов Intercom('boot') должен быть отложен.

2. Загрузите Messenger из обратного вызова согласия

Когда CMP срабатывает своё событие принятия маркетинга, перепишите тип скрипта обратно на text/javascript, дайте ему загрузиться, а затем вызовите Intercom('boot', { app_id: ... }). Если пользователь аутентифицирован, включите идентифицирующие параметры в вызов boot.

3. Обеспечьте ручной триггер чата для пользователей без согласия

Клиент, отклонивший маркетинговое отслеживание, всё ещё имеет право связаться с поддержкой. Предложите альтернативный путь чата — контактную форму, ссылку на email или явную кнопку "Начать чат", которая загружает Messenger только при нажатии. Последнее — самый чистый шаблон: явный клик пользователя составляет согласие для конкретной цели разговора в чате.

4. Обработайте отзыв

Когда пользователь отзывает маркетинговое согласие, вызовите Intercom('shutdown'). Это очищает локальные cookie и останавливает отслеживание. Сохраните обновлённое состояние согласия, чтобы последующие загрузки страниц его соблюдали.

5. Используйте хостинг данных ЕС для аккаунтов ЕС

Для аккаунтов, где резидентность данных ЕС имеет значение, настройте рабочее пространство Intercom для хостинга ЕС. Направляйте трафик ЕС соответственно; если вы управляете отдельными рабочими пространствами для клиентов ЕС и не-ЕС, интеграция должна выбирать правильный app ID во время загрузки.

Распространённые ловушки

Четыре ошибки интеграции неоднократно появляются в аудитах развёртываний Intercom.

Загрузка до согласия

Самый распространённый дефект. Установка по умолчанию загружает Messenger при загрузке страницы, что срабатывает идентификацию посетителя и отслеживание просмотров страниц до любого решения о согласии. Исправление простое — отложить вызов boot до обратного вызова согласия — но документация интеграции по умолчанию не отмечает это достаточно чётко.

Отношение к shutdown как к необязательному

Если пользователь отзывает согласие, а Messenger не выключается явно, скрипт продолжает работать со своими cookie сессии на месте. CMP записала отзыв, но базовое отслеживание продолжается. Всегда подключайте shutdown к отзыву согласия.

Объединение поддержки и маркетинга

Некоторые команды оправдывают загрузку Messenger до согласия, утверждая, что это "поддержка, а не маркетинг". Если тот же Messenger также запускает автоматизированные исходящие кампании или внутриприложенческие туры по продукту, границу провести нельзя. Консервативный подход — обусловить Messenger целиком под маркетингом и предоставить отдельный, не объединённый путь контакта с поддержкой для пользователей, отклоняющих маркетинг.

Игнорирование полезных нагрузок пользовательских атрибутов

Данные, переданные в вызовах Intercom('update') — пользовательские атрибуты, уровень подписки, возраст аккаунта, внутренние идентификаторы пользователей — это персональные данные, перенаправленные в Intercom. Проверьте эти полезные нагрузки на чрезмерное распространение; многие интеграции передают больше идентифицирующих данных, чем Messenger функционально требует.

Контрольный список аудита

Шесть конкретных вопросов для ответа для любого развёртывания Intercom, затрагивающего трафик ЕС, Великобритании или Калифорнии.

• Ждёт ли Messenger согласия? Откройте страницу в приватном окне со строгой защитой от отслеживания и подтвердите, что никакие запросы intercom.io или intercomcdn.com не срабатывают до принятия баннера.
• Есть ли не-Messenger путь поддержки? Для пользователей, отклоняющих маркетинг, могут ли они всё ещё связаться с поддержкой через форму, email или триггер чата по явному нажатию?
• Выключает ли отзыв Messenger? Подтвердите, что отзыв согласия вызывает Intercom('shutdown') и очищает локальные cookie.
• Минимизированы ли пользовательские атрибуты? Проверьте полезные нагрузки в вызовах Intercom('update') и удалите любые данные, функционально не нужные Messenger.
• Настроен ли хостинг данных ЕС там, где требуется? Подтвердите, что трафик ЕС направляется в рабочее пространство с хостингом ЕС, с документацией решения о маршрутизации.
• Обусловлены ли исходящие кампании согласием? Подтвердите, что автоматизированные сообщения кампаний соблюдают состояние маркетингового согласия контакта и останавливают отправку при отзыве.

Где Intercom вписывается в стек, ставящий согласие на первое место

Платформы живого чата и обмена сообщениями с клиентами занимают регуляторную серую зону, которую поставщики не стремились выделять. Поток данных выглядит как аналитика и маркетинговое отслеживание; формулировка подчёркивает обслуживание клиентов. Регуляторы ясно дали понять, что поток данных управляет анализом, а не формулировка. Правильная архитектура рассматривает Intercom Messenger, как любой другой идентифицирующий сторонний скрипт: обусловить его за согласием, предоставить альтернативный путь контакта с поддержкой для пользователей, отклоняющих, использовать нативный примитив shutdown платформы для соблюдения отзывов и настроить хостинг данных ЕС там, где резидентность имеет значение. Сделано правильно, команды поддержки сохраняют живой чат и автоматизацию жизненного цикла, которые делают Intercom ценным, в то время как базовая позиция соответствия перестаёт быть тихой угрозой, ждущей аудита, чтобы всплыть.