Почему запись сеансов уникально рискованна

Большинство технологий отслеживания захватывают агрегированные или грубые сигналы. Запись сеансов захватывает почти дословную реконструкцию индивидуального поведения пользователя, включая введённые значения, движение курсора, прогресс прокрутки и состояние DOM на уровне страницы. Это повышает юридические ставки несколькими конкретными способами.

Законы штатов США о прослушивании

Несколько штатов США — в частности Калифорния, Флорида, Пенсильвания, Массачусетс и Иллинойс — имеют законы о прослушивании с согласием двух сторон, которые фирмы истцов агрессивно применяли к записи сеансов. Теория: если ваш сайт записывает сеанс взаимодействия посетителя без утвердительного согласия, и сторонний поставщик обрабатывает эту запись, поставщик перехватил коммуникацию между пользователем и издателем. Калифорнийский закон о вторжении в частную жизнь (CIPA) был самым продуктивным законом для истцов в 2024 и 2025 годах, с урегулированиями от низких шестизначных сумм до десятков миллионов для более крупных целей.

GDPR и ePrivacy

По европейскому праву запись сеансов почти всегда является деятельностью по обработке, которая требует согласия (opt-in). Записи регулярно содержат персональные данные: IP-адреса, набранный ввод, пути курсора, которые могут раскрывать проблемы со здоровьем или финансами, и метаданные, которые присоединяются к идентификатору учётной записи первой стороны. Британский ICO, итальянский Garante и французский CNIL — все выпустили рекомендации о том, что запись сеансов требует предварительного opt-in, а норвежский Datatilsynet оштрафовал крупного издателя в 2023 году конкретно за использование Hotjar без механизма согласия.

Утечка чувствительных данных

Инструменты записи сеансов по умолчанию захватывают всё, что пользователь печатает или с чем взаимодействует — включая пароли, номера кредитных карт, номера социального страхования, медицинские данные и любой скопированный чувствительный контент. Поставщики предлагают функции редактирования, но эти функции отключены по умолчанию или требуют явной конфигурации opt-in. Неправильно настроенная интеграция записи может незаметно отправить данные PHI или PCI стороннему обработчику, одновременно вызывая нарушения HIPAA, PCI DSS и особых категорий GDPR.

Архитектура согласия, которая вам действительно нужна

Защищаемое развёртывание записи сеансов в 2026 году имеет три наложенных контроля: предварительное согласие, конфигурацию записи с сохранением конфиденциальности и минимизацию данных на нисходящем уровне.

Уровень 1 — предварительное согласие перед любой записью

Для трафика ЕС, Великобритании и ЕЭЗ поставщик записи не должен инициализироваться до утвердительного согласия. Это означает, что скрипт инициализации должен загружаться в слоте, контролируемом CMP, привязанном к цели, такой как IAB TCF Цель 8 (Измерение эффективности контента) или Цель 10 (Разработка и улучшение продуктов), в зависимости от вашей разбивки целей. Для трафика США в штатах с согласием двух сторон применяется та же логика контроля — скрипт должен инициализироваться только когда пользователь утвердительно согласился, в идеале через тот же поток CMP, с явным раскрытием того, что страница записывает ваш сеанс для UX-анализа.

Уровень 2 — подавляйте, а не захватывайте по умолчанию

Каждый современный поставщик записи сеансов поддерживает подавление на уровне DOM. Подход, который вам нужен, — запрет по умолчанию, разрешение по аннотации — маскируйте каждый текстовый ввод и каждый элемент, если вы явно не пометили его как безопасный. Конкретные имена атрибутов различаются у поставщиков (data-hj-suppress для Hotjar, data-clarity-mask для Clarity, data-fs-privacy="mask" для FullStory), но паттерн идентичен. Поля форм, области учётных записей, платёжный UI и любое место, где могут появиться чувствительные данные, должны быть охвачены.

Уровень 3 — анонимизация IP и хранение

Каждый крупный поставщик записи поддерживает анонимизацию IP, настраиваемое окно хранения и опции географического резидентства данных. Установите хранение на кратчайший период, который поддерживает ваш UX-рабочий процесс, обычно от 30 до 90 дней, и включите анонимизацию IP, если поставщик её поддерживает. Для трафика ЕС выберите опцию резидентства данных в ЕС, где она предлагается.

Конфигурация для конкретных поставщиков

Разные платформы записи имеют разные позиции по умолчанию. Перечисленные ниже наиболее распространены в развёртываниях 2026 года, с настройками, которые существенно меняют картину соответствия.

Hotjar

Hotjar поставляется с отключённым по умолчанию подавлением текста в большинстве интеграций. Включите общесайтовую настройку Suppress text content, затем используйте атрибут data-hj-allow для занесения в белый список конкретных элементов, которые вы хотите захватывать. Включите анонимизацию IP в настройках сайта. Включите Consent Mode и подключите его к вашей CMP, чтобы запись начиналась только после явного согласия на аналитику. Hotjar нативно поддерживает интеграцию Google Consent Mode v2.

Microsoft Clarity

Clarity бесплатен, поэтому многие небольшие издатели берутся за него без надлежащего обзора соответствия. По умолчанию Clarity маскирует пароли и поля, похожие на кредитные карты, но мало что ещё. Настройте data-clarity-mask на всех полях персональных данных. Включите Mask All Text в настройках проекта, когда это возможно. Опция резидентства данных Clarity в ЕС находится в настройках проекта Clarity — включите её, если вы обслуживаете трафик ЕС. Используйте JavaScript API clarity('consent') для контроля записи воспроизведения через вашу CMP.

FullStory

FullStory имеет самую детальную конфигурацию конфиденциальности среди крупных поставщиков. Используйте Excluded Elements, Excluded Pages, Element Blocking и атрибут data-fs-privacy="mask" в сочетании. Настройка FullStory Private by Default должна быть включена для трафика ЕС. Подключите вызов API FS.consent() к состоянию согласия вашей CMP.

Mouseflow, LogRocket, Smartlook

Меньшие поставщики обычно предлагают аналогичные контроли под разными названиями. Постоянный паттерн: отключите захват по умолчанию, занесите в белый список то, что вам нужно, включите анонимизацию IP, настройте хранение и никогда не инициализируйте SDK до согласия. Не предполагайте, что какой-либо поставщик соответствует требованиям по умолчанию — они созданы для команд продукта, а не для команд конфиденциальности.

А как насчёт вопроса Google Consent Mode?

Google Consent Mode v2 косвенно сопоставляется с записью сеансов. Ближайшие сигналы — analytics_storage и, если запись используется для оптимизации рекламы, ad_user_data. Когда analytics_storage отклонён, запись воспроизведения должна быть подавлена или, как минимум, сведена к статистически выборочному, агрегированному режиму, если поставщик его предлагает. Большинство поставщиков записи сеансов ещё не построили полную интеграцию Consent Mode v2, поэтому правильно подключённая CMP всё ещё делает большую часть работы.

Распространённые сбои, привлекающие групповые иски

• Запись запускается до появления баннера — скрипт срабатывает при загрузке страницы, захватывает первые несколько секунд и останавливается только после разрешения CMP. Это самое распространённое нарушение, и истцы CIPA построили десятки дел вокруг него
• Захват текста по умолчанию включён — запись отправляет обратно значения полей форм, поисковые запросы и сообщения чата без редактирования
• Нет согласия для аутентифицированных пользователей — пользователь входит в систему, и запись продолжается незаметно, даже несмотря на то, что пользователь никогда не подтверждал согласие на аналитику
• Нет раскрытия в политике конфиденциальности — поставщик записи не назван, цель обработки не объяснена, и не задокументирован путь отказа
• GPC игнорируется — сигнал Global Privacy Control должен подавлять запись для жителей США из штатов с opt-out, но большинство интеграций по умолчанию его не учитывают
• Хранение превышает задокументированную цель — значение по умолчанию поставщика в 12 месяцев оставлено на месте, когда UX-команде нужно только 30 дней, расширяя экспозицию нарушения без выгоды

Соображения для чувствительных вертикалей

Некоторые отрасли сталкиваются с категориальным риском при записи сеансов, который нельзя полностью смягчить через конфигурацию.

Здравоохранение

По HIPAA запуск записи сеансов на любой странице, которая может отображать защищённую медицинскую информацию, требует Соглашения с деловым партнёром с поставщиком, явной авторизации от пользователя и строгой минимизации данных. Большинство издателей рассматривают эту категорию как полностью запретную для стандартной записи сеансов.

Финансы

Банки, страховщики и финтех-платформы сталкиваются как с экспозицией PCI DSS на платёжных страницах, так и с повышенным вниманием FTC к отслеживанию потребительских финансов. Запись сеансов должна быть исключена с любой аутентифицированной страницы движения денег.

Детский контент

COPPA требует проверяемого родительского согласия на любое отслеживание пользователей младше 13 лет. Запись сеансов на детском сайте без этого согласия является категориальным нарушением COPPA.

Контрольный список аудита на 2026 год

• SDK записи контролируется сигналом утвердительного согласия CMP; инициализация откладывается до записи согласия
• Маскирование текста включено глобально, только с занесёнными в белый список элементами
• Поля ввода форм, платёжные поля, аутентифицированные области учётных записей и виджеты чата полностью исключены
• Анонимизация IP включена на уровне поставщика
• Хранение установлено на минимальный период, поддерживающий потребность UX
• Опция резидентства данных ЕС включена для трафика ЕС, где поставщик её поддерживает
• Поставщик назван в политике конфиденциальности с указанием правового основания, цели и хранения
• Соглашение об обработке данных подписано и подшито, с оценкой передачи Schrems II, где применимо
• GPC и применимые отказы штатов США подавляют инициализацию записи
• Аутентифицированные сеансы наследуют тот же контроль согласия, что и анонимные сеансы
• Страницы чувствительных вертикалей (здоровье, финансы, детский контент) категориально исключены из захвата

Прагматичная позиция 2026 года

Запись сеансов даёт UX-командам необычайно ясное представление о том, как пользователи на самом деле воспринимают сайт, и это не инструмент, от которого кто-либо хочет отказаться. Ответ не в том, чтобы убрать его. Ответ в том, чтобы встроить согласие, маскирование и хранение в развёртывание с первого дня и задокументировать конфигурацию так, чтобы регулятор или адвокат истца не мог позже охарактеризовать использование как скрытый перехват. Издатели, которые относятся к записи сеансов как к обычному UX-инструменту без соответствующей инфраструктуры, продолжат подпитывать конвейер групповых исков до конца 2026 года. Издатели, которые инвестируют в инфраструктуру, сохранят преимущества инструмента с соответствующей защищаемой юридической позицией.