个人行为收集热议

## 1.GDPR的核心定义

>i **信息提示**
>
> 个人数据 = 任何与已识别或可识别的自然人相关的信息。
“可识别”是指可以通过直接标识符（姓名、身份证号、邮箱）或间接标识符（IP、设备指纹、行为模式 + 其他信息组合）合理概率识别出具体个人。

>d **危险提示**
>
> 只要你收集和处理的数据无法唯一、明确地识别到一个具体自然人（即不构成 GDPR 定义的“个人数据”），就基本脱离了 GDPR、ePrivacy Directive、中国《个人信息保护法》（PIPL）等隐私法规的严格管辖范围，也就不需要事先获得用户同意、弹同意 banner 等。

## 2.法律法规
### 2.1  GDPR（欧盟通用数据保护条例）
* **触发点**：未经有效同意（valid consent）或合法依据处理个人数据，尤其是非必要跟踪（如分析cookie、热图工具）。鼠标轨迹等行为数据常被视为个人数据，若用于 profiling（资料搜集） 或广告，则需明确同意。
* **同时涉及ePrivacy Directive（Cookie Law）**：非严格必要cookie/跟踪技术需事先opt-in同意。拒绝同意须与接受一样简单，否则视为强制同意。
* 后果：
  * 罚款分两档：较低档最高€10百万或全球年营业额2%；较高档（常见于无同意跟踪）最高€20百万或全球年营业额4%。
  * 额外措施：责令停止处理、删除数据、每日追加罚款。
####   近期案例：
* LinkedIn（2024）：€310百万，无合法依据处理数据用于行为广告。
* Clearview AI（2024）：€30.5百万，无同意刮取图像建数据库。
* Meta/LinkedIn等多起涉及cookie无同意或拒绝困难的案件，罚款数十至数百百万欧元。
* 总罚款趋势：2024-2025年大科技公司罚款频发，累计超€5.65亿欧元。
### 2.2 CCPA/CPRA（加州消费者隐私法）
* **触发点**：未提供收集时通知（notice at collection）、隐私政策中披露，或未提供“Do Not Sell or Share My Personal Information” opt-out链接（尤其是行为数据用于跨上下文广告，视为“销售/共享”）。
* **后果**：
  * 每违反一次最高$2,500（无意）或$7,500（故意），按受影响消费者累计（易达数百万）。
  * 30天整改期后强制执行；私权诉讼可能额外赔偿。
 * **案例**：
    * Sephora（2022）：$1.2百万，未披露销售数据、无opt-out链接。
    * DoorDash（2023）：$375,000，未通知即销售数据。
    * Jam City（近期）：$1.4百万，未提供opt-out并违规处理儿童数据。
### 2.3  中国《个人信息保护法》（PIPL）
* **触发点**：未告知（未明示目的、方式、范围）并取得单独同意，即收集/处理个人信息。行为数据若可识别个体，需遵守最小必要、告知同意原则。
* **后果**：
  * 警告、责令改正、没收违法所得。
  * 普通：最高¥100万；严重：最高¥5000万或上年度营业额5%，并可吊销业务、责令停业。
* 个人责任：直接负责人¥1-10万，并可能禁业。
* **案例**：
    * 知网（2023）：¥5000万，未经同意过度收集、未提供注销等。
    * 滴滴（2022）：¥80.26亿，过度收集截图、剪切板等信息。
### 2.4  其他地区
* **巴西LGPD**、**加拿大PIPEDA**等：类似要求同意和通知，罚款可达营业额2-4%。
* 如果网站全球访问，未提供同意机制可能多地触发（GDPR有域外效力）。

## 3. 用户友好：COOKIELESS
### 3.1 定义

>i **信息提示**
>
> **Cookieless**（无 cookie）指的是在网站分析、跟踪或广告等技术中，完全不使用 Cookie（浏览器中存储的小型文本文件）来收集用户数据、识别用户或维持会话状态的一种方式。

### 3.2 Cookieless 分析为什么常被视为“安全”

| 处理方式 | 结果 | 是否仍为个人数据 |
| --- | --- | --- |
| 不使用 Cookie / LocalStorage | 无持久标识符 | 降低风险 |
| 不收集/存储完整 IP | 后端可直接丢弃或只取国家/城市级 | 大幅降低 |
| 不收集精确设备指纹 | 不传 User-Agent 完整字符串或哈希 | 降低 |
| 事件独立上报 | 每次 pageview/click 都是孤立事件 | 无法跨事件关联 |
| 只聚合统计 | 服务器只存计数、平均值，不存原始轨迹 | 基本不构成 |

→ 综合以上，**单个事件或聚合数据几乎不可能唯一识别个人**，因此多数监管机构（如法国 CNIL、EDPB）认可这类基本 cookieless 分析可豁免同意（属于“严格必要”或不涉及个人数据的统计）。
### 3.3 实际监管态度（截至2025年）
* **CNIL（法国）**：明确表示，完全匿名化的聚合统计（无 IP、无标识符）无需同意。基本页面浏览、来源、时长等 cookieless 分析通常豁免。
* **EDPB**：强调“伪匿名化”（pseudonymisation）仍算个人数据，但真匿名化（irreversible anonymisation）则不属于。
* **实践案例**：Plausible、Fathom 等工具被广泛认定为无需 banner，至今未见因基本统计被罚款的案例。
### 3.4 第三方行为分析工具
* **Matomo**（隐私友好，自托管，支持WordPress等插件）：https://matomo.org/
* **Plausible Analytics**（cookieless，隐私优先，无需同意banner）：https://plausible.io/
* **Microsoft Clarity**（免费热力图和会话录像，易集成多数CMS）：https://clarity.microsoft.com/
* **Hotjar**（完整热力图和行为分析）：https://www.hotjar.com/
### 3.5 常见 Cookieless 分析工具示例

| 工具 | Cookieless 程度 | 主要功能 | 是否需同意 banner |
| --- | --- | --- | --- |
| Plausible Analytics | 完全无 Cookie | 页面浏览、来源、设备、时长等 | 不需要 |
| Fathom Analytics | 完全无 Cookie | 类似 Plausible | 不需要 |
| Simple Analytics | 完全无 Cookie | 隐私优先分析 | 不需要 |
| Matomo（自托管） | 可配置无 Cookie | 完整功能，包括热力图（需配置） | 基本分析不需要 |
| Microsoft Clarity | 可匿名模式 | 热力图 + 会话录像 | 推荐有同意 |

#### 优点
* **合规性高**：欧盟 CNIL、EDPB 等机构认可 cookieless 基本分析可豁免同意。
* **用户体验好**：无弹窗 banner，用户不被打扰。
* **数据准确**：不受浏览器限制影响
#### 缺点
* **无法精确追踪个体用户**：无法计算“唯一访客”（unique visitors）像有 Cookie 时那么准，只能用 IP + User-Agent 估算（可能高估或低估）。
* **功能受限**：无法做跨页面会话跟踪、购物车恢复、个性化广告等。
#### 总结

>s **成功提示**
>
> Cookieless 就是“**不靠 Cookie 也能收集和分析网站数据**”的技术方案，主要用于隐私友好型分析工具（如 Plausible），在当前法规和浏览器环境下越来越受欢迎。如果你想做网站分析又不想触发 GDPR/ePrivacy 的同意要求，优先选择 cookieless 工具是最简单合规的办法。

### 3.6 传统 Cookie 做法 vs Cookieless 做法详解

| 项目 | 传统 Cookie 做法 | Cookieless 做法 |
| --- | --- | --- |
| 是否使用 Cookie | 是（第一方或第三方） | 完全不使用 |
| 用户识别方式 | 持久化唯一 ID（精确） | 无持久标识，靠 IP+UA 哈希估算或不统计 |
| 唯一访客（UV）准确性 | 高（可跨天、周精确去重） | 较低（易高估或低估） |
| 会话跟踪能力 | 强（可完整还原用户路径） | 弱（通常只统计页面级事件） |
| 数据收集方式 | 客户端存储 + 自动携带 | 每次事件主动发送（sendBeacon/fetch） |
| 浏览器限制影响 | 大（Safari ITP、Chrome 第三方 Cookie 禁用） | 几乎无影响 |
| 是否需要同意 banner | 通常需要（非严格必要 Cookie） | 大多数情况下不需要（隐私友好） |
| 数据量与性能 | 较少请求（Cookie 自动携带） | 每次事件一个请求（可通过采样优化） |
#### 各自优缺点
**传统 Cookie 做法**
**优点**
* **数据精确度高**：唯一访客、转化归因、用户旅程分析非常准确。
* **功能丰富**：支持高级功能，如跨设备跟踪（需登录）、再营销广告、A/B 测试个性化、购物车恢复等。
* **生态成熟**：几乎所有主流分析/广告平台都支持，集成简单。

**缺点**
* **隐私合规压力大**：GDPR、ePrivacy、CCPA 等法规要求非必要 Cookie 必须事先明确同意，导致很多用户拒绝 → 数据丢失率可达 30-70%。
* **浏览器逐步封杀**：Safari 已严格限制第一方 Cookie 寿命，Chrome 2025 年起完全禁用第三方 Cookie。
* **用户体验影响**：必须弹出 Cookie banner，打扰用户。
* **安全风险**：Cookie 可能被劫持（需 HttpOnly + Secure 标志防护）。

**Cookieless 做法**
**优点**
* **隐私友好，合规成本低**：大多数情况下无需用户同意即可合法收集基本分析数据（CNIL、EDPB 认可）。
* **不受浏览器限制**：Safari、Chrome、Firefox 的 Cookie 封杀策略对其几乎无影响，数据稳定。
* **无 banner 打扰**：提升用户体验，减少跳出率。
* **未来趋势**：适应“无 Cookie 时代”，可持续性强。

**缺点**
* **数据精度降低**：唯一访客统计不准（同一个人换设备/IP 会被多次计数），无法完整还原用户路径。
* **功能受限**：难以支持个性化广告、再营销、跨设备跟踪、复杂转化归因等高级场景。
* **唯一访客估算偏差**：在 VPN、多人共用 IP 环境下误差更大。
* **请求量略高**：每次事件都要发请求（可用采样率控制）。

#### 总结：什么时候选哪种？

| 场景需求 | 推荐方案 | 原因 |
| --- | --- | --- |
| 电商、SaaS 等需要精准转化跟踪、归因 | 传统 Cookie（+同意管理） | 必须精确知道用户路径和唯一身份 |
| 内容型网站、博客、媒体（主要看流量趋势 | Cookieless | 隐私合规 + 数据稳定，足够满足需求 |
| 面向欧盟用户、重视隐私 | Cookieless 优先 | 避免高额罚款风险，无需 banner |
| 需要热力图、会话录像等高级行为分析 | 传统 Cookie（慎用） | Cookieless 很难实现详细轨迹记录 |
| 预算有限、不想维护 CMP（同意平台） | Cookieless | 开箱即合规 |

## 4 热力图
### 4.1 热力图分类

| 分类 | 所需数据 | 数据量 | 可视化方式 |
| --- | --- | --- | --- |
| 点击热力图 | 点击的 X 坐标（相对于页面左上角的水平像素位置）点击的 Y 坐标（垂直像素位置）可选：页面宽度/高度（用于归一化或响应式适配）可选：点击的元素标签（如 <a>, <button>）或类名（用于细分分析） | 通常采集所有或采样部分点击事件。 | 在每个 (x,y) 位置叠加一个半透明的“热斑”（圆形渐变），点击越多颜色越深。 |
| 移动热力图 | 鼠标移动的轨迹点序列：一系列 (x, y) 坐标时间戳（可选，用于计算停留时长权重） | 通常需要高频采样（如每 100-500ms 记录一次），数据量较大。移动热力图对隐私最敏感，常被监管机构重点关注。 | 沿轨迹绘制渐变热区，或统计每个区域的停留时间。 |
| 滚动热力图 | 页面滚动的深度（scrollTop 值，或页面高度的百分比，如 0%-100%）可选：停留在某个滚动位置的时间 | 相对较少，通常分段统计（如每 10% 高度一个区间）。 | 横向条形或垂直覆盖层，显示用户平均看到页面的多深（常用于“Above the Fold”分析）。 |
| 注意力热力图 | 点击位置 (x, y)鼠标停留时间较长的区域滚动深度页面可见时长（dwell time） | 结合点击 + 移动 + 滚动 + 浏览时长的一种综合热图。 | 权重更高的区域颜色更深，常用于评估页面布局有效性。 |
| 聚合热力图 | 区域ID（如将页面分成 10x10 网格，每个格子一个 ID）该区域的点击次数或停留时间 | 不传输原始坐标，而是前端或后端直接聚合。 | 数据量极小，完全可 cookieless 实现，几乎不涉及个人数据。 |

## 5 隐私网站示例
* **echCrunch（科技新闻）**：https://techcrunch.com/ – 专业新闻布局，高流量处理出色。
* **NASA（美国航天局）**：https://www.nasa.gov/ – 复杂内容管理、媒体丰富。
* **The Walt Disney Company**：https://thewaltdisneycompany.com/ – 品牌展示和多媒体。
* **Sony Music**：https://www.sonymusic.com/ – 艺术家目录和互动。
* **White House（白宫）**：https://www.whitehouse.gov/ – 政府级安全和可访问性。
* **Rafael Nadal（网球明星）**：https://rafaelnadal.com/ – 个人品牌网站。
>i **信息提示**
>
> 不需要banner同意，用cookieLess可做到获取页面时长/点击热力图/滚动热力图/聚合热力图等效果

>d **警告提示**
>
> 1.**最终合规确认**：与您的法务或合规团队一起，根据业务运营地的具体法律法规（如中国的《个人信息保护法》），对上述要点进行最终评审。
2. **更新隐私政策**：在网站的隐私政策中增加一段说明，清晰地介绍您使用的匿名化热力图技术。
3. **实施服务器安全措施**：如果数据需要上传，请确保服务器端的访问控制、加密和留存政策到位。

## 6 能够进行的分析

| 分析类别 | 具体能力 | 业务价值 |
| --- | --- | --- |
| 热力图分析 | 点击分布、关注区域、忽略区域 | 页面布局优化、内容策略 |
| 流量分析 | 页面PV/UV、访问路径、跳出率 | 流量质量评估、用户引导 |
| 设备分析 | 设备分布、浏览器兼容、屏幕适配 | 多端体验优化、技术选型 |
| 时间分析 | 时段分布、季节性趋势、实时监控 | 运营策略、资源调配 |
| 行为分析 | 导航路径、参与深度、转化漏斗 | 用户体验优化、转化提升 |
| 对比分析 | A/B测试、版本对比、内容效果 | 数据驱动决策、效果验证 |
| 异常检测 | 异常点击、机器人识别、数据质量 | 安全保障、数据可信度 |

## 7 第三方数据保留时长

| 清晰度数据类型 | 保留期限 |
| --- | --- |
| 点击数据（即 Clarity 门户网站上显示的数据，或网站上每个页面的汇总数据，例如 URL、用户 ID 和指针距离。） | 13个月 |
| 回放数据（即用于回放录音的数据）。 | 30天 |
| 已标记或收藏的会话 | 13个月 |
## 8 常见的性能分数计算公式
性能分数通常通过以下步骤计算：
### 1. 将每个指标值映射到 0-100 分
**LCP 分数计算**（分段线性插值）：
```
如果 LCP ≤ 2.5 秒: 分数 = 100
如果 2.5 秒 < LCP < 4.0 秒: 分数 = 100 × (4.0 - LCP) / (4.0 - 2.5)
如果 LCP ≥ 4.0 秒: 分数 = 0
```
**INP 分数计算：**

```
如果 INP ≤ 200 毫秒: 分数 = 100
如果 200 毫秒 < INP < 500 毫秒: 分数 = 100 × (500 - INP) / (500 - 200)
如果 INP ≥ 500 毫秒: 分数 = 0
```
**CLS 分数计算：**

```
如果 CLS ≤ 0.1: 分数 = 100
如果 0.1 < CLS < 0.25: 分数 = 100 × (0.25 - CLS) / (0.25 - 0.1)
如果 CLS ≥ 0.25: 分数 = 0
```
### 2. 加权平均计算总体性能分数
常见的权重分配（如 PageSpeed Insights 等工具）：
* **LCP 权重：25%**
* **INP 权重：25%**
* **CLS 权重：25%**
* **其他指标（FCP、FID、TTFB 等）权重：25%**
**公式：  **
  
```
性能分数 = (LCP分数 × 0.25) + (INP分数 × 0.25) + (CLS分数 × 0.25) + (其他指标分数 × 0.25)
```