Центр по изучению информационных технологий Принстонского университета проанализировал, какие данные о действиях пользователя собирают и передают наиболее популярные в мире системы web-аналитики. Для этого был создан специальный скрипт, который симулировал действия пользователя через подстановку уникальной метки в HTML и отслеживал попытки отправить данную метку на сервер аналитики. Были проанализированы сервисы FullStory, Yandex.Метрика, Hotjar, User Replay, Session Cam и Smartlook.
Черные кружки — данные не передаются, половина кружка — данные передаются частично:
Многие проанализированные сервисы не только передают на сторонние серверы содержимое web-форм до их отправки на основной сайт, но и транслируют поля с номерами кредитных карт, паспортными данными, адресами и другой персональной информацией. Худший результат показала Yandex.Метрика — она не передает только пароли пользователей. Пресс-служба «Яндекса» не смогла предоставить оперативный коммениарий.
«Вебвизор» в Яндекс.Метрике записывает действия посетителей сайта и позволяет просматривать их в режиме «живого видео». «Яндекс» купил эту технологию в 2010 году, через год добавил в нее запись происходящего на https-страницах. За 7 лет сервис исключительно редко попадал в двусмысленные ситуации, когда его следы находили на чувствительных веб-страницах и всегда оказывалось, что никаких проблем ни у кого, в действительности, нет.
В 2014 году Иван Бегтин, директор НПО «Информационная Культура», в российском Роскомнадзоре уточнил отношение к записи пользовательских сессий «Вебвизором». Ведомство рассмотрело вопрос и установило, что никакой угрозы персональным данным служба не несёт (Роскомнадзор — уполномоченное в РФ ведомство по охране персональных данных и надзору за их оборотом). К 2017 году мобильные приложения «Яндекса» и «Метрика» переросли онлайн, вышли за его пределы и научились следить за посетителями офлайн заведений.
