Скрытая утечка ПДн: как операторы нарушают152-ФЗ, используя базовые настройки сервиса Вебвизор Яндекс.Метрики
Все статьи / Утечка ПДн через Яндекс.Вебвизор
Автор: Мария Смагина,
эксперт по обработке персональных данных в ITF
Дата: 02.07.26
При подготовке сайтов к соответствию Федеральному закону № 152-ФЗ «О персональных данных» бизнес чаще всего фокусируется на юридических аспектах: обновлении Политики конфиденциальности, добавлении галочек согласия и разработке пользовательских соглашений.
Однако экспресс-аудиты информационных систем персональных данных (ИСПДн) регулярно выявляют критические уязвимости, которые носят исключительно технический характер. Одна из самых частых и неочевидных проблем — это скрытая передача персональных данных (ПДн) в сторонние сервисы аналитики, в частности, через технологию Яндекс.Вебвизор.
Содержание
Цифровой актив и квадратные метры: что общего?
Подробности утечки: почему Вебвизор передает данные раньше согласия
Яндекс.Метрика и её инструмент Вебвизор — стандарт индустрии для анализа поведения пользователей. Маркетологи используют его для просмотра записей сессий: как клиенты заполняют формы, где спотыкаются и почему уходят без покупки.
В чем заключается техническая уязвимость?
По умолчанию Вебвизор перехватывает и отправляет на серверы Яндекса данные из полей ввода (input, textarea) в режиме реального времени, по мере нажатия пользователем клавиш.
Типичный сценарий взаимодействия пользователя с сайтом выглядит так:
- Пользователь начинает вводить ФИО, номер телефона или email в форму обратной связи.
- Вебвизор мгновенно фиксирует эти символы и отправляет их на серверы Яндекса.
- Пользователь нажимает кнопку «Отправить» и только в этот момент (или чуть ранее, поставив галочку) дает юридическое согласие на обработку ПДн.
Важно: В пункте 4.1.2 Условий использования Яндекс.Метрики (https://yandex.ru/legal/metrica_termsofuse/ru/) прямо указано, что ответственность за корректную настройку Вебвизора и недопущение передачи ПДн лежит на владельце сайта. Яндекс снимает с себя риски, перекладывая их на бизнес.
Техническое решение: защита полей с помощью `ym-disable-keys`
Чтобы привести сбор аналитики в соответствие с законом, разработчикам необходимо исключить перехват чувствительных данных.
Для этого Яндекс предусмотрел специальный механизм блокировки записи ввода. Полям форм, в которых ожидается ввод ПДн, необходимо присвоить специальный CSS-класс или атрибут `ym-disable-keys`.
При наличии этой метки Вебвизор:
- Перестает записывать нажатия клавиш в данном поле.
- Маскирует вводимые данные на видео (отображает звездочки `***` вместо текста).
- Исключает отправку «сырых» данных на сервера аналитики до момента получения согласия при отправке формы.
Проблема на стыке IT и права: почему юристы не видят нарушений
- Юристы проверяют наличие документов и визуальных элементов согласия, но не обладают экспертизой для чтения HTML-кода и анализа сетевых запросов браузера.
- Frontend-разработчики внедряют счетчики Метрики по ТЗ от маркетинга, не задумываясь о юридических коллизиях сбора данных.
В итоге сайт может иметь идеальную Политику конфиденциальности, но при этом «сливать» базы данных клиентов в реальном времени, что при проверке Роскомнадзора или обращении конкурентов может привести к штрафам и предписаниям.
Автоматизация контроля: обновление сервиса Юстина
В алгоритмах проверки появился детектор утечек через Вебвизор. Алгоритм анализирует DOM-дерево страницы и наличие подключенного скрипта Метрики. Если Вебвизор активен, а поля форм не имеют защитной маскировки `ym-disable-keys`, сервис формирует критическое предупреждение о риске утечки ПДн до получения согласия.
Как защитить цифровой актив бизнеса?
- Проведите экспресс-аудит.
Используйте инструмент Юстина (https://labs.itfgo.com/justina/) , чтобы за несколько минут выявить базовые технические несоответствия на вашем сайте. - Передайте отчет разработчикам.
Отчет из Юстины содержит конкретные указания для IT-отдела (например, список URL и форм, требующих добавления класса `ym-disable-keys`). - Обратитесь к профильным специалистам.
Наша компания специализируется на комплексном управлении цифровыми активами. Мы выступаем техническим транслятором для ваших юристов, приводя IT-инфраструктуру сайта в полное соответствие с действующим законодательством РФ.
Часто задаваемые вопросы
Нарушает ли Яндекс.Вебвизор закон о персональных данных (152-ФЗ)?
Что такое ym-disable-keys и как это работает?
Как быстро проверить сайт на технические нарушения 152-ФЗ?
ITF. Системный подход к цифровым активам вашего бизнеса