DSA چه پوشش می‌دهد و به چه کسانی اعمال می‌شود

DSA یک مقررات است، نه یک دستورالعمل -- در تمام کشورهای عضو اتحادیه اروپا بدون نیاز به انتقال ملی اثر مستقیم دارد. برای پلتفرم‌های آنلاین بسیار بزرگ و موتورهای جستجو در اوت ۲۰۲۳ و برای همه بقیه در فوریه ۲۰۲۴ به طور کامل لازم‌الاجرا شد، به این معنی که ناشران اکنون دو سال تجربه عملیاتی با این رژیم دارند. این قانون مجموعه‌ای از تعهدات درجه‌بندی‌شده بر اساس اندازه و نوع پلتفرم ایجاد می‌کند: شرکت‌های خرد و کوچک عمدتاً معاف هستند، خدمات واسطه تعهدات پایه دارند، ارائه‌دهندگان میزبانی وظایف مدیریت محتوا دارند، پلتفرم‌های آنلاین با قوانین شفافیت بیشتری روبرو هستند، و پلتفرم‌های آنلاین بسیار بزرگ (بیش از چهل و پنج میلیون کاربر فعال ماهانه در اتحادیه اروپا) با سخت‌ترین تعهدات از جمله ارزیابی‌های خطر سیستماتیک و حسابرسی‌های خارجی روبرو هستند.

اکثر ناشران در کجا قرار می‌گیرند

اکثریت قریب به اتفاق ناشران در دسته پلتفرم آنلاین قرار می‌گیرند -- آن‌ها محتوای تولیدشده توسط کاربر (نظرات، پست‌های انجمن، مشارکت‌های خوانندگان) را میزبانی می‌کنند، تبلیغات ارائه می‌دهند و محتوا را از طریق فیدهای الگوریتمی یا ماژول‌های مقالات مرتبط توصیه می‌کنند. ردیف پلتفرم آنلاین جایی است که DSA از نظر عملیاتی مرتبط می‌شود: محدودیت‌های تبلیغات هدفمند برای کودکان، تعهدات شفافیت در تحویل تبلیغات و پارامترهای هدف‌گیری، توضیحات و انصراف از سیستم‌های توصیه، و رژیم اطلاع‌رسانی و اقدام برای محتوای غیرقانونی. ناشرانی که از آستانه پلتفرم‌های آنلاین بسیار بزرگ عبور می‌کنند، ارزیابی خطر سیستماتیک، تعهدات حسابرس خارجی رسمی، و الزام به دادن دسترسی محققان تأیید شده کمیسیون به داده‌های پلتفرم را اضافه می‌کنند.

آزمون جغرافیایی

DSA از نظر سرزمینی اعمال می‌شود. یک ناشر آمریکایی با بازدیدکنندگان اروپایی در زمانی که کاربران اتحادیه اروپا می‌توانند با سرویس تعامل داشته باشند -- که اساساً هر وب‌سایت عمومی است -- در محدوده قرار می‌گیرد. آزمون مربوط به محل استقرار ناشر نیست بلکه به این است که آیا سرویس به گیرندگان اتحادیه اروپا ارائه می‌شود. مشابه GDPR، این به طور پیش‌فرض بیشتر صنعت انتشار جهانی را پوشش می‌دهد.

محدودیت‌های تبلیغات هدفمند

لایه DSA که برای رضایت کوکی و عملیات تبلیغاتی بیشترین اهمیت را دارد ماده ۲۶ است که تبلیغات هدفمند را به دو روش خاص محدود می‌کند که ناشران باید راه‌حل‌هایی برای آن‌ها طراحی کنند.

ممنوعیت هدف‌گیری کودکان

DSA تبلیغات هدفمند به کودکان بر اساس پروفایل‌سازی با استفاده از داده‌های شخصی را ممنوع می‌کند. این ممنوعیت زمانی اعمال می‌شود که ناشر بداند یا به طور معقولی باید بداند که گیرنده کودک است -- که در عمل به این معناست که برای هر سیگنالی که ناشر بتواند بر آن اساس عمل کند فعال می‌شود (سن خوداعلام‌شده، سیگنال کنترل والدین، دسته محتوایی که به شدت مخاطب جوان را نشان می‌دهد، نشانه حساب از سیستم کاربری خود ناشر). CMP باید این محدودیت را کدگذاری کند: حتی اگر کاربر کودک کوکی‌های بازاریابی را بپذیرد، مسیر تبلیغات هدفمند باید به طور پیش‌فرض خاموش باشد. جایگزین تبلیغات زمینه‌ای است -- انتخاب تبلیغات بر اساس محتوای صفحه به جای پروفایل‌های کاربر -- که اکثر SSPهای بزرگ و سرورهای تبلیغاتی اکنون به عنوان یک حالت تحویل درجه اول ارائه می‌دهند.

ممنوعیت داده‌های حساس

DSA همچنین تبلیغات هدفمند بر اساس پروفایل‌سازی که از دسته‌های خاص داده‌های شخصی تعریف‌شده در ماده ۹ GDPR استفاده می‌کند را ممنوع می‌کند -- نژاد، مذهب، دیدگاه‌های سیاسی، عضویت در اتحادیه صنفی، سلامت، زندگی جنسی، گرایش جنسی، داده‌های بیومتریک، داده‌های ژنتیکی. این ممنوعیت مطلق است: رضایت آن را باز نمی‌کند. ناشرانی که دسته‌های محتوایی را اداره می‌کنند که هر یک از این حوزه‌ها را لمس می‌کند -- ناشران بهداشتی، رسانه‌های مذهبی، سایت‌های اخبار سیاسی، نشریات LGBTQ+ -- باید اطمینان حاصل کنند که پشته فناوری تبلیغاتی آن‌ها سیگنال‌های پروفایل مشتق‌شده از این داده‌ها را به تبلیغ‌کنندگان منتقل نمی‌کند، حتی زمانی که کاربر به تمام دسته‌های بازاریابی رضایت داده است.

پیامدهای عملیاتی برای CMP

CMP باید محدودیت‌های DSA را به عنوان دروازه‌های سخت کدگذاری کند، نه سوییچ‌های وضعیت رضایت. رسید رضایتی که می‌گوید "همه دسته‌ها پذیرفته شده" تبلیغات هدفمند به کودک یا بر اساس داده‌های ماده ۹ را مجاز نمی‌کند. پاک‌ترین روش پیاده‌سازی، وضعیت رضایت، سیگنال کودک و طبقه‌بندی محتوای حساس صفحه را از طریق یک تابع تصمیم‌گیری واحد که بین CMP و فروشندگان فناوری تبلیغاتی قرار دارد عبور می‌دهد، و این تابع هر بار که یکی از دروازه‌های DSA فعال می‌شود به طور پیش‌فرض تحویل زمینه‌ای را انتخاب می‌کند.

انصراف از سیستم توصیه

ماده ۳۸ DSA از پلتفرم‌های آنلاین که از سیستم‌های توصیه استفاده می‌کنند -- رتبه‌بندی الگوریتمی محتوا در فیدها، ماژول‌های مقالات مرتبط، صف‌های ویدیوی بعدی -- می‌خواهد پارامترهای اصلی این سیستم‌ها را توضیح دهند و حداقل یک گزینه‌ای که بر اساس پروفایل‌سازی نیست به کاربران ارائه دهند. ناشرانی که کشف محتوای شخصی‌سازی‌شده ارائه می‌دهند نمی‌توانند پروفایل‌سازی را تنها حالت موجود کنند.

حالت غیر پروفایل‌سازی چه شکلی دارد

حالت غیر پروفایل‌سازی معمولاً یک فید زمانی، یک فید رتبه‌بندی‌شده بر اساس محبوبیت، یا یک فید ویراستارانه است که بر اساس رفتار فردی کاربر شخصی‌سازی نمی‌شود. کاربر باید بتواند از طریق یک کنترل کاملاً مرئی به آن تغییر دهد -- نه مدفون در تنظیمات حساب -- و انتخاب باید برای جلسات آینده به یاد آورده شود. ناشران باید کنترل سیستم توصیه را به عنوان بخش اصلی تجربه کاربری رضایت در نظر بگیرند، که اغلب از طریق همان رابط CMP که تنظیمات کوکی را مدیریت می‌کند نمایش داده می‌شود.

شفافیت در مورد پارامترهای رتبه‌بندی

پلتفرم باید به زبان ساده پارامترهای اصلی سیستم توصیه خود را منتشر کند -- تازگی، محبوبیت، شباهت به رفتار گذشته، وزن ویراستاری، ارتباط تبلیغاتی. این انتشار معمولاً بخشی از سیاست حریم خصوصی یا یک صفحه شفافیت اختصاصی است و باید به اندازه کافی خاص باشد که یک نهاد نظارتی بتواند توصیف را در برابر رفتار واقعی پلتفرم تأیید کند. زبان مبهم مانند "ما از یادگیری ماشین برای توصیه محتوایی که ممکن است دوست داشته باشید استفاده می‌کنیم" با این استاندارد مطابقت ندارد.

چگونه DSA بر GDPR و ePrivacy اضافه می‌شود

DSA جایگزین GDPR یا ePrivacy نمی‌شود -- قوانین سطح پلتفرم را بر آن‌ها اضافه می‌کند. تعاملات عمدتاً جمعی هستند اما در دو مکان خاص آنچه را که رضایت به تنهایی می‌تواند مجاز کند محدود می‌کنند.

رضایت نمی‌تواند ممنوعیت‌های DSA را نادیده بگیرد

ممنوعیت هدف‌گیری کودکان و ممنوعیت داده‌های حساس ماده ۹ مطلق هستند. کاربر نمی‌تواند با رضایت خود در هیچ‌کدام از موارد تبلیغات هدفمند دریافت کند. این یک محدودیت طراحی معنادار برای CMPهایی است که تاریخاً رضایت را به عنوان کلید باز کردن جهانی تلقی می‌کردند -- تحت DSA، وضعیت رضایت لازم است اما کافی نیست، و معماری CMP باید آن را منعکس کند.

تعهدات شفافیت بر تعهدات GDPR قرار دارند

تعهدات شفافیت تبلیغاتی DSA -- شناسایی واضح تبلیغات، نام‌بردن تبلیغ‌کننده، توضیح پارامترهای اصلی هدف‌گیری مورد استفاده برای تحویل تبلیغ خاص -- مستقل از الزامات شفافیت GDPR هستند و باید در خود تبلیغ برآورده شوند. اکثر ناشران این را از طریق قالب‌های سرور تبلیغاتی مدیریت می‌کنند که به طور خودکار بلوک نشانگر تبلیغ DSA را در تبلیغات ارائه‌شده تزریق می‌کنند.

تغییرات عملی CMP و پشته تبلیغاتی

CMP و پشته تبلیغاتی آگاه از DSA تعداد کمی از عناصر تکرارشدنی دارد که تا سال ۲۰۲۶ در پلتفرم‌های تجاری بزرگ تثبیت شده است.

لوله‌کشی سیگنال کودک

CMP باید سیگنال کودک را از سیستم حساب کاربری ناشر، طبقه‌بندی محتوای صفحه، یا لایه کنترل والدین دریافت کند و سیگنال را به تصمیم رضایت منتشر کند. اکثر CMPها اکنون این را به عنوان ویژگی «کودک» در رسید رضایت ارائه می‌دهند که پشته تبلیغاتی در کنار وضعیت رضایت می‌خواند. سیگنال از طریق Google Consent Mode v2، رشته IAB TCF v2.3 و هر ادغام خاص فروشنده‌ای که آن را پشتیبانی می‌کند به پایین‌دست جاری می‌شود.

طبقه‌بندی محتوای حساس

ناشران باید برای هر صفحه‌ای طبقه‌بندی محتوا انجام دهند که آن را به دسته‌های داده‌های حساس DSA نقشه‌کشی کند. طبقه‌بندی می‌تواند برای سایت‌های ویراستاری با تاکسونومی‌های ساختاریافته دستی یا برای سایت‌های پرحجم با برچسب‌گذاری محتوا بر اساس NLP خودکار باشد. طبقه‌بندی تصمیم جایگزین زمینه‌ای پشته تبلیغاتی را تغذیه می‌کند: صفحه‌ای که با دسته حساس برچسب زده شده فقط به تبلیغات زمینه‌ای هدایت می‌شود، بدون توجه به وضعیت رضایت.

تغییر سیستم توصیه

انصراف از سیستم توصیه باید در همان مکانی باشد که نمای تنظیمات بنر رضایت -- اکثر CMPها اکنون یک ماژول عمومی «کنترل‌های پلتفرم» برای این منظور ارائه می‌دهند. کلید تنظیمات سطح جلسه کاربر را تغییر می‌دهد و، اگر کاربر احراز هویت شده باشد، تنظیمات سطح حساب آن‌ها را نیز تغییر می‌دهد. سرویس توصیه پایین‌دست تنظیمات را در هر فراخوانی رتبه‌بندی می‌خواند.

اشتباهات رایج DSA که منجر به یافته‌ها می‌شوند

تصمیمات اجرایی DSA در طول سال‌های ۲۰۲۴ و ۲۰۲۵ فهرست روشنی از الگوهایی تولید کرده که منجر به تحقیقات کمیسیون می‌شوند. CMP پرچم هدف‌گیری کودکان را برای هر کاربر بدون بررسی سیگنال‌های سنی خود ناشر به طور پیش‌فرض false تنظیم می‌کند. انصراف از سیستم توصیه سه کلیک عمیق در تنظیمات حساب پنهان است به جای اینکه نزدیک بنر رضایت نمایش داده شود. بلوک نشانگر تبلیغ DSA به تبلیغات نمایشی اضافه می‌شود اما برای تبلیغات ویدیویی از دست می‌رود. طبقه‌بندی محتوای حساس دسته‌های آشکار مانند سلامت و مذهب را پوشش می‌دهد اما سایت‌های اخبار سیاسی را که با این وجود تحت محافظت دیدگاه‌های سیاسی ماده ۹ واجد شرایط هستند از دست می‌دهد. ردیف پلتفرم‌های آنلاین بسیار بزرگ ارزیابی خطر سیستماتیک خود را منتشر می‌کند اما آن را به عنوان یک تمرین یک‌باره به جای سند زنده سالانه‌ای که DSA نیاز دارد تلقی می‌کند.

نتیجه‌گیری

DSA اولین مقررات عمده اتحادیه اروپا از زمان GDPR است که به طور اساسی آنچه ناشران می‌توانند با توجه مخاطبانی که قبلاً برای آن رضایت جمع‌آوری کرده‌اند انجام دهند را تغییر شکل می‌دهد. ممنوعیت‌های هدف‌گیری کودکان و ماده ۹ محدودیت‌های طراحی مطلق هستند، نه گزینه‌های رضایت. انصراف از سیستم توصیه یک کنترل کاربری درجه اول است که در کنار بنر کوکی قرار می‌گیرد. تعهدات شفافیت در تحویل تبلیغات نیاز به قالب‌های سرور تبلیغاتی دارد که به طور خودکار نشانگرهای درست را در هر تبلیغ ارائه‌شده تزریق می‌کنند. هیچ‌کدام از این‌ها اختیاری نیست و هیچ‌کدام را نمی‌توان با عجله وقتی نامه اجرایی می‌رسد اضافه کرد. ناشرانی که دروازه‌های DSA را در CMP و پشته تبلیغاتی خود در طول مرحله ورود ۲۰۲۳-۲۰۲۴ ساختند اکنون به درستی عمل می‌کنند؛ ناشرانی که DSA را به عنوان یک تمرین مستندسازی تلقی کردند سال ۲۰۲۶ را در صف اجرایی کمیسیون سپری می‌کنند. کار متوسط است، معماری تثبیت شده است، و پیامدهای نادیده گرفتن آن دیگر فرضی نیستند.