Скрытая утечка ПДн: как операторы нарушают152-ФЗ, используя базовые настройки сервиса Вебвизор Яндекс.Метрики

Все статьи / Утечка ПДн через Яндекс.Вебвизор

Автор: Мария Смагина,
эксперт по обработке персональных данных в ITF
Дата: 02.07.26

При подготовке сайтов к соответствию Федеральному закону № 152-ФЗ «О персональных данных» бизнес чаще всего фокусируется на юридических аспектах: обновлении Политики конфиденциальности, добавлении галочек согласия и разработке пользовательских соглашений.

Однако экспресс-аудиты информационных систем персональных данных (ИСПДн) регулярно выявляют критические уязвимости, которые носят исключительно технический характер. Одна из самых частых и неочевидных проблем — это скрытая передача персональных данных (ПДн) в сторонние сервисы аналитики, в частности, через технологию Яндекс.Вебвизор.

Содержание

Подробности утечки: почему Вебвизор передает данные раньше согласия

Яндекс.Метрика и её инструмент Вебвизор — стандарт индустрии для анализа поведения пользователей. Маркетологи используют его для просмотра записей сессий: как клиенты заполняют формы, где спотыкаются и почему уходят без покупки.

В чем заключается техническая уязвимость?
По умолчанию Вебвизор перехватывает и отправляет на серверы Яндекса данные из полей ввода (input, textarea) в режиме реального времени, по мере нажатия пользователем клавиш.

Типичный сценарий взаимодействия пользователя с сайтом выглядит так:

  1. Пользователь начинает вводить ФИО, номер телефона или email в форму обратной связи.
  2. Вебвизор мгновенно фиксирует эти символы и отправляет их на серверы Яндекса.
  3. Пользователь нажимает кнопку «Отправить» и только в этот момент (или чуть ранее, поставив галочку) дает юридическое согласие на обработку ПДн.
Результат: Фактическая передача персональных данных третьему лицу (ПАО «Яндекс») происходит домомента получения акцепта от субъекта ПДн. Это является прямым нарушением ст. 9 и ст. 6 ФЗ-152 (обработка без законных оснований).

Важно: В пункте 4.1.2 Условий использования Яндекс.Метрики (https://yandex.ru/legal/metrica_termsofuse/ru/) прямо указано, что ответственность за корректную настройку Вебвизора и недопущение передачи ПДн лежит на владельце сайта. Яндекс снимает с себя риски, перекладывая их на бизнес.

Техническое решение: защита полей с помощью `ym-disable-keys`

Чтобы привести сбор аналитики в соответствие с законом, разработчикам необходимо исключить перехват чувствительных данных.

Для этого Яндекс предусмотрел специальный механизм блокировки записи ввода. Полям форм, в которых ожидается ввод ПДн, необходимо присвоить специальный CSS-класс или атрибут `ym-disable-keys`.

При наличии этой метки Вебвизор:

  • Перестает записывать нажатия клавиш в данном поле.
  • Маскирует вводимые данные на видео (отображает звездочки `***` вместо текста).
  • Исключает отправку «сырых» данных на сервера аналитики до момента получения согласия при отправке формы.

Проблема на стыке IT и права: почему юристы не видят нарушений

В нашей практике управления цифровыми активами и IT-комплаенса мы постоянно сталкиваемся с разрывом коммуникации между юридическими и техническими отделами:
  • Юристы проверяют наличие документов и визуальных элементов согласия, но не обладают экспертизой для чтения HTML-кода и анализа сетевых запросов браузера.
  • Frontend-разработчики внедряют счетчики Метрики по ТЗ от маркетинга, не задумываясь о юридических коллизиях сбора данных.

В итоге сайт может иметь идеальную Политику конфиденциальности, но при этом «сливать» базы данных клиентов в реальном времени, что при проверке Роскомнадзора или обращении конкурентов может привести к штрафам и предписаниям.

Автоматизация контроля: обновление сервиса Юстина

Чтобы закрыть потребность бизнеса в быстром техническом аудите, мы выпустили обновление нашего сервиса Юстина (https://labs.itfgo.com/justina/) — инструмента для автоматической проверки сайтов на соответствие 152-ФЗ.

В алгоритмах проверки появился детектор утечек через Вебвизор. Алгоритм анализирует DOM-дерево страницы и наличие подключенного скрипта Метрики. Если Вебвизор активен, а поля форм не имеют защитной маскировки `ym-disable-keys`, сервис формирует критическое предупреждение о риске утечки ПДн до получения согласия.

Как защитить цифровой актив бизнеса?

Соответствие 152-ФЗ — это не просто набор бумаг, а непрерывный процесс настройки инфраструктуры (IT-compliance).

  1. Проведите экспресс-аудит.
    Используйте инструмент Юстина (https://labs.itfgo.com/justina/) , чтобы за несколько минут выявить базовые технические несоответствия на вашем сайте.
  2. Передайте отчет разработчикам.
    Отчет из Юстины содержит конкретные указания для IT-отдела (например, список URL и форм, требующих добавления класса `ym-disable-keys`).
  3. Обратитесь к профильным специалистам.
    Наша компания специализируется на комплексном управлении цифровыми активами. Мы выступаем техническим транслятором для ваших юристов, приводя IT-инфраструктуру сайта в полное соответствие с действующим законодательством РФ.

Нужна помощь?
Можем начать с бесплатного экспресс-аудита — проверим ключевые точки вашего цифрового хозяйства и покажем, где есть риски.
Ждём вас. Наведём порядок вместе.
Обсудить

Часто задаваемые вопросы

Нарушает ли Яндекс.Вебвизор закон о персональных данных (152-ФЗ)?

Сам по себе инструмент не нарушает закон, но его стандартные настройки по умолчанию приводят к передаче ПДн третьему лицу до получения согласия пользователя. Ответственность за правильную настройку и маскировку полей ввода лежит на владельце сайта (согласно п. 4.1.2 условий использования Яндекс.Метрики).

Что такое ym-disable-keys и как это работает?

Это специальный CSS-класс или data-атрибут, который добавляется к HTML-полям ввода (например, `<input type="tel" class="ym-disable-keys">`). Он дает команду скрипту Вебвизора не перехватывать нажатия клавиш в этом поле и не отправлять вводимый текст на сервера Яндекса.

Как быстро проверить сайт на технические нарушения 152-ФЗ?

Для быстрого технического сканирования вы можете использовать автоматизированный сервис Юстина (https://labs.itfgo.com/justina/). Он проверяет наличие уязвимостей, связанных с аналитическими скриптами, и формирует понятный отчет для IT-специалистов и юристов.

ITF. Системный подход к цифровым активам вашего бизнеса

Cookie-файлы
Настройка cookie-файлов
Детальная информация о целях обработки данных и поставщиках, которые мы используем на наших сайтах
Аналитические Cookie-файлы Отключить все
Технические Cookie-файлы
Другие Cookie-файлы
Нажимая на кнопку, я принимаю условия соглашения. Подробнее о нашей политике в отношении Cookie.
Принять все Отказаться от всех Настроить
Cookies