Што ахоплівае DSA і да каго ён прымяняецца

DSA — гэта рэгламент, а не дырэктыва — ён мае прамое дзеянне ва ўсіх дзяржавах-членах ЕС без неабходнасці нацыянальнай транспазіцыі. Ён цалкам уступіў у сілу для вельмі буйных анлайн-платформаў і пошукавых сістэм у жніўні 2023 года, а для ўсіх астатніх — у лютым 2024 года, што азначае, што ў выдаўцоў цяпер ёсць два гады аперацыйнага вопыту з гэтым рэжымам. Закон стварае шматузроўневы набор абавязкаў на аснове памеру і тыпу платформы: мікра- і малыя прадпрыемствы ў значнай ступені вызвалены, пасярэдніцкія паслугі маюць базавыя абавязкі, хостынг-правайдары сутыкаюцца з абавязкамі мадэрацыі кантэнту, анлайн-платформы сутыкаюцца з дадатковымі правіламі празрыстасці, а вельмі буйныя анлайн-платформы (больш за сорак пяць мільёнаў штомесячных актыўных карыстальнікаў ЕС) сутыкаюцца з самымі строгімі абавязкамі, уключаючы ацэнкі сістэмных рызык і знешнія аўдыты.

Дзе знаходзіцца большасць выдаўцоў

Пераважная большасць выдаўцоў трапляе ў катэгорыю анлайн-платформаў — яны размяшчаюць карыстальніцкі кантэнт (каментарыі, пасты на форумах, уклады чытачоў), яны паказваюць рэкламу, і яны рэкамендуюць кантэнт праз алгарытмічныя стужкі або модулі падобных артыкулаў. Узровень анлайн-платформы — гэта месца, дзе DSA становіцца аперацыйна рэлевантным: абмежаванні таргетаванай рэкламы для непаўналетніх, абавязкі па празрыстасці дастаўкі рэкламы і параметраў таргетынгу, тлумачэнні і адмовы ад рэкамендацыйных сістэм, і рэжым паведамлення-і-дзеяння для незаконнага кантэнту. Выдаўцы вышэй парога вельмі буйной анлайн-платформы дадаюць ацэнку сістэмных рызык, абавязкі знешняга аўдытара-рэгістратара і патрабаванне прадастаўляць правераным даследчыкам Камісіі доступ да даных платформы.

Геаграфічны тэст

DSA прымяняецца экстэрытарыяльна. Выдавец са ЗША з еўрапейскімі наведвальнікамі трапляе ў сферу дзеяння ў той момант, калі карыстальнікі ЕС могуць узаемадзейнічаць з сэрвісам — што па сутнасці з'яўляецца кожным публічна арыентаваным вэб-сайтам. Тэст не ў тым, дзе базуецца выдавец, а ў тым, ці прапануецца сэрвіс атрымальнікам з ЕС. Люстэркава адлюстроўваючы GDPR, гэта па змаўчанні захоплівае большую частку сусветнай выдавецкай індустрыі.

Абмежаванні на таргетаваную рэкламу

Узровень DSA, які больш за ўсё мае значэнне для згоды на cookie і рэкламных аперацый, — гэта артыкул 26, які абмяжоўвае таргетаваную рэкламу двума канкрэтнымі спосабамі, вакол якіх выдаўцы павінны праектаваць.

Забарона на таргетынг непаўналетніх

DSA забараняе таргетаваную рэкламу для непаўналетніх на аснове прафілявання з выкарыстаннем персанальных даных. Забарона прымяняецца кожны раз, калі выдавец ведае або павінен разумна ведаць, што атрымальнік з'яўляецца непаўналетнім — што на практыцы азначае, што яна спрацоўвае для любога сігналу, на які выдавец мог бы праўдападобна дзейнічаць (самазаяўлены ўзрост, сігнал бацькоўскага кантролю, катэгорыя кантэнту, якая моцна мае на ўвазе маладую аўдыторыю, флаг акаўнта з уласнай карыстальніцкай сістэмы выдаўца). CMP павінна кадаваць гэта абмежаванне: нават калі непаўналетні карыстальнік прымае маркетынгавыя cookie, шлях таргетаванай рэкламы павінен па змаўчанні быць адключаны. Запасны варыянт — кантэкстная рэклама — выбар рэкламы на аснове кантэнту старонкі, а не карыстальніцкіх профіляў — якую большасць буйных SSP і рэкламных сервераў цяпер прадастаўляюць як першакласны рэжым дастаўкі.

Забарона на адчувальныя даныя

DSA таксама забараняе таргетаваную рэкламу на аснове прафілявання, якое выкарыстоўвае асаблівыя катэгорыі персанальных даных, як вызначана ў артыкуле 9 GDPR — раса, рэлігія, палітычныя погляды, членства ў прафсаюзе, здароўе, палавое жыццё, сексуальная арыентацыя, біяметрычныя даныя, генетычныя даныя. Забарона абсалютная: згода не разблакоўвае яе. Выдаўцы, якія вядуць катэгорыі кантэнту, што закранаюць любую з гэтых абласцей — выдаўцы пра здароўе, рэлігійныя медыя, палітычныя навінавыя сайты, ЛГБТК+ публікацыі — павінны гарантаваць, што іх ad-tech стэк не перадае рэкламадаўцам сігналы профілю, атрыманыя з гэтых даных, нават калі карыстальнік даў згоду на ўсе катэгорыі маркетынгу.

Аперацыйныя наступствы для CMP

CMP павінна кадаваць абмежаванні DSA як жорсткія бар'еры, а не пераключэнні стану згоды. Квітанцыя згоды, якая кажа «ўсе катэгорыі прыняты», не аўтарызуе таргетаваную рэкламу для непаўналетняга або на аснове даных артыкула 9. Самая чыстая рэалізацыя накіроўвае стан згоды, сігнал непаўналетняга і класіфікацыю адчувальнага кантэнту старонкі праз адзіную функцыю прыняцця рашэнняў, якая знаходзіцца паміж CMP і ad-tech-пастаўшчыкамі, і функцыя па змаўчанні пераходзіць на кантэкстную дастаўку кожны раз, калі спрацоўвае любы з бар'ераў DSA.

Адмова ад рэкамендацыйных сістэм

Артыкул 38 DSA патрабуе, каб анлайн-платформы, якія выкарыстоўваюць рэкамендацыйныя сістэмы — алгарытмічнае ранжыраванне кантэнту ў стужках, модулі падобных артыкулаў, чэргі «наступнае відэа» — тлумачылі асноўныя параметры гэтых сістэм і прапаноўвалі карыстальнікам прынамсі адзін варыянт, не заснаваны на прафіляванні. Выдаўцы, якія вядуць персаналізаванае выяўленне кантэнту, не могуць зрабіць прафіляванне адзіным даступным рэжымам.

Як выглядае рэжым без прафілявання

Рэжым без прафілявання — гэта звычайна храналагічная стужка, стужка, ранжыраваная па папулярнасці, або рэдакцыйна адабраная стужка, якая не персаналізуе на аснове паводзін асобнага карыстальніка. Карыстальнік павінен мець магчымасць пераключыцца на яе праз выразна бачны элемент кіравання — не схаваны ў наладах акаўнта — і выбар павінен запамінацца для будучых сесій. Выдаўцы павінны разглядаць элемент кіравання рэкамендацыйнай сістэмай як першакласную частку UX згоды, часта выводзімую праз той жа інтэрфейс CMP, які апрацоўвае перавагі cookie.

Празрыстасць параметраў ранжыравання

Платформа павінна публікаваць простай мовай асноўныя параметры, якія выкарыстоўвае яе рэкамендацыйная сістэма — нядаўнасць, папулярнасць, падабенства да мінулых паводзін, рэдакцыйны вес, рэлевантнасць рэкламы. Публікацыя звычайна з'яўляецца раздзелам у палітыцы канфідэнцыяльнасці або спецыяльнай старонкай празрыстасці, і яна павінна быць дастаткова канкрэтнай, каб рэгулятар, які чытае яе, мог праверыць апісанне супраць фактычных паводзін платформы. Расплывісная мова накшталт «мы выкарыстоўваем машыннае навучанне, каб рэкамендаваць кантэнт, які вам можа спадабацца» не адпавядае стандарту.

Як DSA накладваецца паверх GDPR і ePrivacy

DSA не замяняе GDPR або ePrivacy — ён дадае правілы ўзроўню платформы паверх іх. Узаемадзеянні ў асноўным аддытыўныя, але ў двух канкрэтных месцах яны абмяжоўваюць тое, што можа аўтарызаваць адна толькі згода.

Згода не можа перавызначыць забароны DSA

Забарона на таргетынг непаўналетніх і забарона на адчувальныя даныя артыкула 9 абсалютныя. Карыстальнік не можа праз згоду атрымаць таргетаваную рэкламу ні ў адным выпадку. Гэта значнае праектнае абмежаванне для CMP, якія гістарычна разглядалі згоду як універсальную разблакоўку — па DSA стан згоды неабходны, але недастатковы, і архітэктура CMP павінна гэта адлюстроўваць.

Абавязкі па празрыстасці знаходзяцца паверх абавязкаў GDPR

Абавязкі DSA па празрыстасці рэкламы — выразная ідэнтыфікацыя рэкламы, называнне рэкламадаўца, тлумачэнне асноўных параметраў таргетынгу, выкарыстаных для канкрэтнай дастаўкі рэкламы — незалежныя ад патрабаванняў празрыстасці GDPR і павінны быць задаволены ў самым рэкламным крэатыве. Большасць выдаўцоў апрацоўваюць гэта праз шаблоны рэкламнага сервера, якія аўтаматычна ўкараняюць блок рэкламнага маркера DSA ў паказваемыя крэатывы.

Практычныя змены CMP і рэкламнага стэка

DSA-дасведчаныя CMP і рэкламны стэк маюць невялікую колькасць паўтаральных элементаў, якія стабілізаваліся па буйных камерцыйных платформах да 2026 года.

Праводка сігналу непаўналетняга

CMP павінна прымаць сігнал непаўналетняга з сістэмы карыстальніцкіх акаўнтаў выдаўца, класіфікацыі кантэнту старонкі або ўзроўню бацькоўскага кантролю і распаўсюджваць сігнал у рашэнне аб згодзе. Большасць CMP цяпер прадастаўляюць гэта як атрыбут «непаўналетні» ў квітанцыі згоды, які рэкламны стэк чытае побач са станам згоды. Сігнал праходзіць уніз праз Google Consent Mode v2, радок IAB TCF v2.3 і любую спецыфічную для пастаўшчыка інтэграцыю, якая яе падтрымлівае.

Класіфікацыя адчувальнага кантэнту

Выдаўцы павінны запускаць праход класіфікацыі кантэнту на кожнай старонцы, які супастаўляе яе з катэгорыямі адчувальных даных DSA. Класіфікацыя можа быць ручной для рэдакцыйных сайтаў са структураванымі таксаноміямі або аўтаматызаванай для высокааб'ёмных сайтаў з NLP-заснаваным тэгіраваннем кантэнту. Класіфікацыя сілкуе рашэнне аб кантэкстным запасным варыянце рэкламнага стэка: старонка, пазначаная адчувальнай катэгорыяй, накіроўваецца толькі на кантэкстную рэкламу, незалежна ад стану згоды.

Пераключальнік рэкамендацыйнай сістэмы

Адмова ад рэкамендацыйнай сістэмы павінна жыць у тым жа месцы, што і прадстаўленне пераваг баннера згоды — большасць CMP цяпер прадастаўляюць агульны модуль «элементы кіравання платформай» для гэтай мэты. Пераключальнік мяняе перавагу карыстальніка на ўзроўні сесіі і, калі карыстальнік аўтэнтыфікаваны, яго перавагу на ўзроўні акаўнта. Ніжэйстаячы рэкамендацыйны сэрвіс чытае перавагу на кожным выкліку ранжыравання.

Распаўсюджаныя памылкі DSA, якія запускаюць высновы

Рашэнні па правапрымяненні DSA на працягу 2024 і 2025 гадоў вырабілі выразны спіс патэрнаў, якія вядуць да запытаў Камісіі. CMP па змаўчанні ўсталёўвае флаг таргетынгу непаўналетніх у false для кожнага карыстальніка, ніколі не правяраючы ўласныя ўзроставыя сігналы выдаўца. Адмова ад рэкамендацыйнай сістэмы схаваная на тры клікі ўглыб у наладах акаўнта, а не выведзеная побач з баннерам згоды. Блок рэкламнага маркера крэатыву дадаецца да дысплейнай рэкламы, але прапускаецца для відэакрэатываў. Класіфікацыя адчувальнага кантэнту ахоплівае відавочныя катэгорыі, такія як здароўе і рэлігія, але прапускае палітычныя навінавыя сайты, якія тым не менш кваліфікуюцца па абароне палітычных поглядаў артыкула 9. Узровень вельмі буйной анлайн-платформы публікуе сваю ацэнку сістэмных рызык, але разглядае яе як разавае практыкаванне, а не як штогадовы жывы дакумент, які патрабуе DSA.

Вынік

DSA — гэта першае буйное рэгуляванне ЕС з часоў GDPR, якое істотна перафармоўвае тое, што выдаўцы могуць рабіць з увагай аўдыторыі, на якую яны ўжо сабралі згоду. Забароны на таргетынг непаўналетніх і артыкула 9 — гэта абсалютныя праектныя абмежаванні, а не опцыі згоды. Адмова ад рэкамендацыйнай сістэмы — гэта першакласны карыстальніцкі элемент кіравання, які знаходзіцца побач з cookie-баннерам. Абавязкі па празрыстасці дастаўкі рэкламы патрабуюць шаблонаў рэкламнага сервера, якія аўтаматычна ўкараняюць правільныя маркеры ў кожны паказваемы крэатыў. Нічога з гэтага не з'яўляецца неабавязковым, і нічога з гэтага нельга дааснасціць у спешцы, калі прыходзіць ліст аб правапрымяненні. Выдаўцы, якія ўбудавалі бар'еры DSA ў сваю CMP і рэкламны стэк падчас паэтапнага ўводу 2023-2024 гадоў, цяпер працуюць чыста; выдаўцы, якія разглядалі DSA як практыкаванне па дакументацыі, праводзяць 2026 год у чарзе правапрымянення Камісіі. Праца ўмераная, архітэктура ўсталяваная, і наступствы прапуску яе больш не гіпатэтычныя.