Руководство по интеграции согласия на cookie для Klaviyo: GDPR-совместимые email и SMS для электронной коммерции в 2026 году
Klaviyo — доминирующая платформа email и SMS-маркетинга для электронной коммерции напрямую к потребителю. Она установлена на значительной доле всех магазинов Shopify, BigCommerce и Magento по всему миру, и её слой онсайт-отслеживания — скрипт, который наблюдает за поведением просмотра, атрибутирует просмотры страниц известным профилям и запускает потоки брошенной корзины и брошенного просмотра — это то, что делает платформу коммерчески ценной. Он также является одной из наиболее часто неправильно настроенных частей стека электронной коммерции с точки зрения конфиденциальности. Скрипт онсайт-отслеживания Klaviyo, библиотека форм Klaviyo и потоки SMS-подписки — все собирают персональные данные в момент загрузки, до того как показан какой-либо баннер согласия. Для любого магазина, затрагивающего трафик ЕС, Великобритании, Бразилии или Калифорнии, это поведение по умолчанию больше не является соответствующим, и регуляторы, наиболее активные в правоприменении электронной коммерции — CNIL во Франции, AEPD в Испании, итальянский Garante и Калифорнийское агентство по защите конфиденциальности — ясно дали понять, что относятся к маркетинговым скриптам одинаково независимо от того, крупный поставщик или малый. Это руководство разбирает, что собирает Klaviyo, как интегрировать его со сторонней CMP и где вписываются собственные примитивы конфиденциальности платформы.
Что собирает онсайт-отслеживание Klaviyo
Сниппет Klaviyo Onsite (загружаемый из static.klaviyo.com/onsite/js/klaviyo.js) инициализирует глобальную очередь _learnq и идентифицирует посетителей с помощью принадлежащего Klaviyo cookie под названием __kla_id. После установки он автоматически сообщает о событиях просмотра страниц, фиксирует взаимодействия с формами, запускает событие Active On Site, которое управляет потоком Browse Abandonment в Klaviyo, и привязывает анонимное поведение просмотра к известному профилю подписчика в момент, когда посетитель входит в систему или отправляет форму с адресом электронной почты. Последующие события — Viewed Product, Added to Cart, Started Checkout, Placed Order — срабатывают через ту же инфраструктуру идентичности и наследуют ту же атрибуцию на основе cookie.
Для анализа GDPR cookie не является необходимым, данные, покидающие страницу, являются персональными данными, потому что привязаны к постоянному идентификатору, а Klaviyo учреждён в Соединённых Штатах, что делает передачу подпадающей под Рамки конфиденциальности данных ЕС-США. Все три условия твёрдо помещают онсайт-отслеживание Klaviyo в территорию «требует предварительного согласия» в ЕС, Великобритании, ЕЭЗ и Бразилии по LGPD. В Калифорнии та же обработка подпадает под право CPRA на отказ от передачи для межконтекстной поведенческой рекламы, которое запускает передача Klaviyo нижестоящим платным медиа-получателям.
Три поверхности отслеживания, которые нужно ограничить
Установка Klaviyo — это не одна поверхность отслеживания, а три, и их нужно обрабатывать отдельно в интеграции CMP.
Скрипт онсайт-отслеживания
Это основной поведенческий трекер — скрипт, который устанавливает __kla_id и управляет потоком событий active-on-site. Это поверхность, которую большинство команд помнят ограничить, и наиболее видимая регулятору при аудите. Блокируйте её по умолчанию и загружайте только когда посетитель принимает маркетинговую категорию.
Формы Klaviyo и всплывающие окна подписки
Klaviyo Forms — отдельная библиотека, которая обеспечивает всплывающие окна подписки на email и SMS, встроенные формы и разблокировку закрытого контента. Она размещена на том же домене, но загружается как отдельный скрипт. Формы могут запускать события показа и отправки независимо от основного трекера Onsite, поэтому ограничение только Onsite при оставленных загружаемыми Forms — распространённый шаблон частичного соответствия, который всё ещё пропускает идентифицирующие данные.
Сбор SMS-подписки
SMS-подписки имеют собственное требование согласия по TCPA в США и по отраслевым правилам в ЕС, а формы SMS Klaviyo собирают номера телефонов вместе с подтверждённым флажком согласием. Собираемое здесь согласие относится к самой SMS-рассылке, отдельно от согласия на cookie. Правильно настроенный стек записывает оба: согласие на cookie в CMP, согласие на SMS в профиле подписчика Klaviyo.
Нативные средства контроля конфиденциальности Klaviyo
Klaviyo предоставляет несколько нативных примитивов конфиденциальности. Как и большинство маркетинговых платформ, они предполагают, что решение о согласии существует и передаётся. Они не собирают согласие сами.
Свойство consent при вызовах identify
Когда вы вызываете klaviyo.identify() или klaviyo.track(), вы можете прикрепить полезную нагрузку согласия, которая записывает правовое основание для маркетинговых коммуникаций. Это правильный примитив для передачи решения CMP в профиль подписчика Klaviyo.
Поля согласия на уровне профиля
Профиль подписчика имеет выделенные поля для согласия на email, согласия на SMS и источника согласия. Обновления этих полей распространяются в движок сегментации Klaviyo, чтобы потоки уважали записанное состояние.
Панель настроек Privacy & Consent
Административный интерфейс Klaviyo имеет раздел Privacy & Consent, который контролирует некоторые поведения по умолчанию — например, срабатывает ли событие Active On Site для посетителей без записанного согласия. По умолчанию разрешительный; ужесточение этих настроек — полезный слой подстраховки поверх ограничения на уровне CMP.
Пошаговая интеграция CMP
Надёжная архитектура — ограничить все три поверхности отслеживания Klaviyo за CMP и использовать свойства согласия при вызовах identify и track Klaviyo, чтобы поддерживать записи подписчиков платформы синхронизированными с записанным состоянием согласия.
1. Удалите стандартный сниппет Onsite из head
Klaviyo предоставляет однострочный сниппет, который установщики обычно вставляют в head документа. Удалите его. Замените его элементом-заполнителем скрипта, чей атрибут type — text/plain и чей атрибут data-category идентифицирует его как маркетинг. Ваша CMP перепишет тип обратно на text/javascript, когда посетитель примет маркетинговую категорию.
2. Отложите загрузку форм Klaviyo
Библиотека Forms загружается независимо от Onsite. Примените тот же шаблон заполнителя к её элементу скрипта, чтобы она не инициализировалась до согласия. После предоставления согласия Onsite и Forms могут инициализироваться вместе; события из очереди сбрасываются автоматически.
3. Отделите согласие на SMS от согласия на cookie
Сбор SMS-подписки проходит через Klaviyo Forms, но собираемое согласие (явный флажок для SMS-маркетинга) является отдельным юридическим артефактом от согласия на cookie. Баннер CMP записывает решение по cookie; флажок формы записывает решение по SMS. Не объединяйте их — объединённое согласие недействительно по GDPR и по TCPA.
4. Распространяйте согласие в профиль Klaviyo
Когда известный подписчик принимает или отзывает согласие на вашем сайте, CMP должна вызвать API Klaviyo для обновления полей согласия профиля. API профилей Klaviyo поддерживает вызов частичного обновления, который записывает согласие на email, согласие на SMS и временную метку согласия, не перезаписывая остальную часть профиля. Большинство современных CMP имеют коннектор Klaviyo, который обрабатывает это от начала до конца.
5. Подключите Consent Mode v2, если вы запускаете теги Google рядом
Большинство магазинов, использующих Klaviyo, также запускают Google Ads и GA4. Ваша CMP должна публиковать сигналы согласия v2 — ad_storage, analytics_storage, ad_user_data, ad_personalization — в dataLayer до срабатывания любого тега Google. Klaviyo не потребляет эти сигналы нативно, но Google потребляет, и несогласованность между Klaviyo и Google проявится как измеримый разрыв в доходе в отчётности атрибуции.
Распространённые ошибки
Четыре ошибки интеграции неоднократно появляются в аудитах развёртываний Klaviyo.
Рассматривание Forms как «просто всплывающего окна»
Некоторые команды ограничивают Onsite под маркетингом, но оставляют Forms загружающимся при первоначальном рендеринге, рассуждая, что «всплывающее окно — это просто элемент UI». Библиотека Forms запускает события показа в Klaviyo для каждого отображаемого всплывающего окна, что является идентифицирующими поведенческими данными, пересылаемыми поставщику рекламных технологий США, — именно тот шаблон, который CMP должна предотвращать.
Объединение согласия на cookie и SMS
Единственный флажок, который говорит «Я согласен с cookie и получать маркетинговые SMS», недействителен для обоих. Согласие на cookie должно быть специфичным для cookie; согласие на SMS должно быть специфичным для SMS. Используйте отдельные элементы управления.
Допущение срабатывания сторонних коннекторов платных медиа на отозванных профилях
Klaviyo может отправлять аудитории в Google Ads, Meta, TikTok и другие рекламные сети через свои интеграции. Если подписчик отзывает согласие, отправка аудитории должна исключить его — не просто перестать добавлять. Настройте параметры синхронизации аудитории Klaviyo на учёт изменений состояния согласия в реальном времени, а не только при первоначальной синхронизации.
Забывание вопроса исторических данных
Когда посетитель впервые принимает согласие, ваш стек не должен задним числом связывать его доконсентное анонимное поведение с его новым профилем. CMP и Klaviyo должны согласиться, что доконсентные данные просмотра не являются персональными данными, привязанными к теперь идентифицированному профилю. Некоторые потоки Klaviyo предполагают эту связь по умолчанию — проверьте соответствующие триггеры потоков.
Аудиторский чек-лист
Шесть конкретных вопросов, на которые нужно ответить для любого развёртывания Klaviyo, затрагивающего трафик ЕС, Великобритании, Бразилии или Калифорнии.
- Ждёт ли Onsite согласия? Откройте витрину в приватном окне со строгой защитой от отслеживания и подтвердите, что никакие запросы static.klaviyo.com не срабатывают до принятия баннера.
- Ждут ли Forms согласия? Подтвердите, что события показа всплывающих окон не срабатывают до принятия маркетинговой категории.
- Разделены ли согласие на cookie и согласие на SMS? Подтвердите, что баннер cookie не собирает также согласие на SMS, и что формы SMS-подписки записывают собственный явный флажок.
- Отражает ли профиль Klaviyo состояние CMP? Подтвердите, что CMP записывает решения о согласии в поля согласия профиля через API Klaviyo.
- Учитывают ли синхронизации аудитории отзывы? Подтвердите, что отзыв согласия удаляет подписчика из нижестоящих аудиторий платных медиа, а не только из будущих синхронизаций.
- Остаётся ли доконсентный просмотр анонимным? Подтвердите, что триггеры потоков не связывают задним числом доконсентное поведение с вновь идентифицированными профилями.
Где Klaviyo вписывается в стек, ориентированный на согласие
Klaviyo находится на пересечении атрибуции электронной коммерции и прямых маркетинговых коммуникаций, что означает, что он затрагивает как режим согласия на cookie (GDPR/ePrivacy, CCPA/CPRA), так и режим маркетинговых коммуникаций (CAN-SPAM, TCPA, статьи 6/7 GDPR для рассылок). Правильная архитектура рассматривает их как две отдельные поверхности согласия — обе маршрутизируются через единую CMP, владеющую источником истины, при этом нативные поля согласия Klaviyo поддерживаются синхронизированными через API. Магазины, которые делают это правильно, сохраняют поведение брошенной корзины, брошенного просмотра и сегментации, которое делает Klaviyo коммерчески ценным, снижая аудиторскую уязвимость до доли того, что несёт установка по умолчанию. Инженерная работа проста; дисциплина в том, чтобы не позволять маркетинговой команде рассматривать Forms как освобождённые от тех же правил, что и трекер Onsite.