你刚加了个热力图,法务部的邮件就来了

上周五下午四点,我朋友老张正给新首页收尾,热力图显示用户在“立即试用”按钮上悬停了3秒——他刚截图发群里夸效果好,手机震了:法务发来截图,是监管平台对某竞品开出的200万罚单,理由是“未经同意收集用户输入行为”。他盯着自己页面底部那个没改过默认设置的Hotjar代码,手有点凉。

这不是危言耸听。你装的每个统计脚本、每行追踪代码,现在都得经得起《个人信息保护法》第十三条和《常见类型移动互联网应用程序必要个人信息范围规定》的拷问。

为什么你的「用户行为追踪」可能已经踩了红线?

用户行为追踪,就是记下访客在你网站上点了哪、滚到哪、停在哪、输过什么。听起来像基本功,但问题不在“记”,而在“怎么记”。

很多SEO和运营同事习惯性埋一串代码:百度统计、GA4、Clarity……觉得只是看个数据。可这些工具默认会抓IP、设备型号、甚至表单里用户刚打的字——只要你没手动关,它就照单全收。

举个真事:一个做教育SaaS的团队,用Clarity录用户操作流程。他们没动后台设置,结果家长在“课程咨询”表单里填的手机号、孩子年级、所在城市,全被录进了云端回放视频。网站没弹窗告知,隐私政策里只有一句“我们可能收集必要信息”。去年底,有用户投诉后,他们被要求72小时内删除全部历史录制,并重新设计前端表单过滤逻辑。

你的风险就藏在这三处:

  • 你收集的,真是必须的吗? 比如只想知道哪个按钮点击率高,为什么非得存IP?
  • 工具默认开的开关,你真的关了吗? “记录鼠标轨迹”“捕获表单输入”“上传完整URL”——不点进去关掉,就是开着的。
  • 数据存在哪?谁看得见? 工具服务器在境外?备案号查不到?那连合规入口都没摸到。

3个方法:检查你的网站是不是在「偷偷」追踪用户

不用等律师上门,今天下午抽半小时,自己就能查清楚。

方法1:翻源码,揪出所有第三方脚本

打开你的网站,右键→“查看网页源代码”(或按 Ctrl+U)。在源码里 Ctrl+F 搜这几个词:analyticstrackinghotjarclaritybaiduumami。把搜出来的所有 <script> 标签里的域名抄下来,比如 https://static.hotjar.com/...https://www.googletagmanager.com/gtag/js?id=G-...。然后逐个去官网查:这个服务商有没有GDPR/中国版合规配置文档?如果没有中文说明、没有“数据不出境”选项,先标红,优先处理。

方法2:验证弹窗是不是“纸老虎”

很多人以为加了Cookie弹窗就万事大吉。试试这个:用Chrome无痕窗口打开你的网站→点“拒绝所有追踪”→按 F12 打开开发者工具→切到“网络”(Network)标签页→刷新页面→在筛选框里输入 gtaghotjarclarity。如果拒绝后还有这些域名的请求在发,说明弹窗只是装饰。真正合规的做法是:用户点“拒绝”,对应脚本压根不加载,或者加载了也绝不发任何数据包。

方法3:直奔工具后台,关掉三个默认开关

登录你正在用的热力图或行为分析工具(Hotjar / Clarity / Crazy Egg),找到设置里的 PrivacyData Collection 板块。重点找这三项:

  • Record form input data → 必须关
  • Include full URL in recordings → 关(留路径参数就行,别带?utm_source=xxx&phone=138xxxx这种)
  • Anonymize IP addresses → 开(国内工具一般叫“IP脱敏”)
    别信“默认安全”——90%的人根本没点开过这个页面。

你的第三方工具在「共享」用户数据,你知道吗?

你以为数据只存在你自己的看板里?现实是:很多免费或低价工具,条款里白纸黑字写着“我们可能将去标识化数据用于改进产品、训练模型或与合作伙伴共享”。

真实案例:一个做母婴电商的客户,用了某款国产用户行为录制工具。半年后对方更新隐私政策,新增一条:“服务商有权将采集的用户交互数据用于大模型训练”。而他们网站的“育儿问答”页面,用户输入的问题里大量包含孩子月龄、症状描述、用药记录……这些内容被录进回放视频后,成了别人AI的语料。更麻烦的是,他们没在表单层做过滤,用户填的收货地址、电话,混在滚动日志里一起传了出去。

应对动作很实在:

  • 别跳读隐私政策:直接搜“共享”“合作”“模型”“训练”四个词。看到“可能用于”“包括但不限于”这类模糊表述,立刻警觉。
  • 发一封直球邮件:抄送法务,问客服:“贵司是否将用户行为数据(含页面停留、点击、滚动、表单输入)用于AI模型训练?是否与第三方共享原始或去标识化数据?” 要书面回复,别信口头承诺。
  • 敏感业务换自建方案:如果你做金融、医疗、教育类网站,别省那点托管费。用开源Matomo部署在自有云服务器上,数据完全可控——腾讯云轻量应用服务器跑Matomo,一个月几十块钱,比罚款便宜多了。

用户点击行为也能算「敏感信息」?新规下这个坑最大

别再觉得“用户点了哪”只是普通数据。最新执法口径很明确:当行为数据能关联到特定自然人(比如用户已登录,你又把点击流和账号ID绑在一起),那整套浏览轨迹就属于“个人敏感信息”。

比如:一个注册用户反复搜索“甲状腺结节复查医院”,在“医生预约”页停留超2分钟,又点了三次“在线咨询”按钮——这些动作组合起来,足以推断其健康状况。一旦泄露或滥用,处罚尺度直接对标身份证、银行卡信息。

实操上必须分两步走:

  • 登录态必须隔离:未登录用户,所有行为数据用随机ID标记;已登录用户,行为日志里的用户ID必须实时替换为不可逆哈希值(比如用SHA-256处理),且哈希密钥不存数据库。
  • 设硬性截止线:在工具后台把“数据保留期”调成26个月(法律上限),并开启自动清理。别写“长期保存”——系统做不到,就是违规。
  • 留条退路:在网站底部“隐私政策”页面末尾,加一行小字:“您可随时通过邮箱 privacy@yourdomain.com 申请删除本人在本网站产生的全部行为数据”,并确保有人48小时内响应。

结尾:今天下班前,花30分钟做这3件事

别等整改通知。现在就打开电脑,按顺序干:

  1. 打开你的网站,按 Ctrl+U 看源码,把所有含 hotjar clarity analytics baidu<script> 标签域名列成清单。删掉那些你半年没登录、没看过数据、说不清用途的脚本。
  2. 挨个登录 Hotjar / Clarity / 百度统计后台,在隐私设置里关掉“记录表单输入”,打开“IP匿名化”,关闭“跨域数据共享”。每个开关点一下,截图存档。
  3. 在 Google Tag Manager 里启用“同意模式”(Consent Mode):创建两个触发器——“用户接受追踪”和“用户拒绝追踪”,把所有GA4/Clarity/热力图标签绑定到“接受”触发器上。拒绝状态下,这些标签彻底不触发。不会配?百度搜“GTM 同意模式 中文配置”,B站有15分钟实操视频。

做完这三步,你网站的行为追踪就算踩进合规半只脚。明天晨会,你可以直接跟老板说:“咱们的用户数据现在经得起监管抽查了。” 他要是问花了多久——就说“一杯咖啡的时间”。