Mitä DSA kattaa ja keneen se soveltuu

DSA on asetus, ei direktiivi — sillä on välitön vaikutus kaikissa EU:n jäsenvaltioissa ilman kansallista täytäntöönpanoa. Se tuli täysin voimaan erittäin suurille verkkoalustoille ja hakukoneille elokuussa 2023 ja kaikille muille helmikuussa 2024, mikä tarkoittaa, että julkaisijoilla on nyt kahden vuoden operatiivinen kokemus järjestelmästä. Laki luo porrastetun joukon velvollisuuksia koon ja alustatyypin perusteella: mikro- ja pienyritykset ovat pääosin vapautettuja, välittäjäpalveluilla on perusvelvoitteet, hosting-palveluntarjoajilla on sisällön moderointivelvoitteita, verkkoalustoilla on lisää läpinäkyvyysvelvoitteita ja erittäin suurilla verkkoalustoilla (yli neljäkymmentäviisi miljoonaa kuukausittaista aktiivikäyttäjää EU:ssa) on tiukimmat velvoitteet, mukaan lukien systeemisten riskien arviointi ja ulkopuoliset tarkastukset.

Missä useimmat julkaisijat sijaitsevat

Suurin osa julkaisijoista kuuluu verkkoalusta-kategoriaan — he ylläpitävät käyttäjien tuottamaa sisältöä (kommentteja, foorumipostauksia, lukijoiden panoksia), tarjoavat mainontaa ja suosittelevat sisältöä algoritmisten syötteiden tai aiheeseen liittyvien artikkelien moduulien kautta. Verkkoalustakategoria on se, jossa DSA:sta tulee operatiivisesti merkityksellinen: kohdistetun mainonnan rajoitukset alaikäisille, läpinäkyvyysvelvoitteet mainosten jakelusta ja kohdistamisparametreista, suosittelujärjestelmien selitykset ja opt-out-mahdollisuudet sekä ilmoitus- ja toimintajärjestelmä laittomalle sisällölle. Erittäin suuren verkkoalustan kynnyksen ylittävät julkaisijat lisäävät systeemisten riskien arviointia, ulkopuolisen virallisen tarkastajan velvoitteita ja vaatimuksen antaa komission akkreditoiduille tutkijoille pääsy alustan tietoihin.

Maantieteellinen testi

DSA soveltuu ekstraterritoriaalisti. Yhdysvaltalainen julkaisija, jolla on eurooppalaisia kävijöitä, on soveltamisalassa sillä hetkellä, kun EU:n käyttäjät voivat olla vuorovaikutuksessa palvelun kanssa — mikä koskee käytännössä jokaista julkisesti saatavilla olevaa verkkosivustoa. Testi ei koske julkaisijan sijaintia vaan sitä, tarjotaanko palvelua EU:n vastaanottajille. Kuten GDPR, tämä kattaa oletuksena suurimman osan globaalista julkaisualasta.

Kohdistetun mainonnan rajoitukset

DSA-kerros, jolla on eniten merkitystä evästeiden suostumukselle ja mainosliiketoiminnalle, on artikla 26, joka rajoittaa kohdistettua mainontaa kahdella tavalla, joihin julkaisijoiden on vastattava teknisillä ratkaisuilla.

Alaikäisten kohdistamiskielto

DSA kieltää kohdistetun mainonnan alaikäisille profilointiin perustuen henkilötietoja käyttäen. Kielto soveltuu aina, kun julkaisija tietää tai sen pitäisi kohtuullisesti tietää, että vastaanottaja on alaikäinen — mikä käytännössä tarkoittaa, että se aktivoituu minkä tahansa signaalin kohdalla, johon julkaisija voi kohtuudella reagoida (itse ilmoitettu ikä, lapsilukon signaali, sisältöluokka, joka vahvasti viittaa nuoreen yleisöön, tiliä koskeva merkintä julkaisijan omasta käyttäjäjärjestelmästä). CMP:n on sisällytettävä tämä rajoitus: vaikka alaikäinen käyttäjä hyväksyisi markkinointievästeet, kohdistetun mainonnan polun on oletuksena oltava pois päältä. Vaihtoehto on kontekstuaalinen mainonta — mainosten valinta sivun sisällön perusteella käyttäjäprofiilien sijasta — jonka useimmat suuret SSP:t ja mainospalvelimet tarjoavat nyt ensiluokkaisena jakelumuotona.

Arkaluonteisten tietojen kielto

DSA kieltää myös kohdistetun mainonnan, joka perustuu profilointiin, jossa käytetään GDPR:n artiklan 9 mukaisia erityisiä henkilötietoluokkia — rotu, uskonto, poliittiset mielipiteet, ammattiliiton jäsenyys, terveys, sukupuolielämä, seksuaalinen suuntautuminen, biometriset tiedot, geneettiset tiedot. Kielto on ehdoton: suostumus ei poista sitä. Julkaisijoiden, jotka käsittelevät sisältöluokkia, jotka koskevat mitä tahansa näistä alueista — terveyssivustot, uskonnolliset mediat, poliittiset uutissivustot, LGBTQ+-julkaisut — on varmistettava, ettei heidän mainosteknologiapinoonsa lähetä mainostajille näistä tiedoista johdettuja profiilisignaaleja, vaikka käyttäjä olisi suostunut kaikkiin markkinointiluokkiin.

Operatiiviset vaikutukset CMP:lle

CMP:n on sisällytettävä DSA:n rajoitukset koviksi porteiksi, ei suostumustilakytkimiksi. Suostumuskuitti, jossa lukee "kaikki kategoriat hyväksytty", ei oikeuta kohdistettua mainontaa alaikäiselle tai artiklan 9 tietojen perusteella. Selkein toteutustapa ohjaa suostumustilan, alaikäissignaalin ja sivun arkaluonteisen sisällön luokituksen yksittäisen päätösfunktion kautta, joka sijaitsee CMP:n ja mainosteknologiatoimittajien välissä, ja funktio oletusarvoisesti valitsee kontekstuaalisen jakelun aina, kun jokin DSA:n porteista laukeaa.

Suosittelujärjestelmän opt-out

DSA:n artikla 38 velvoittaa verkkoalustat, jotka käyttävät suosittelujärjestelmiä — algoritminen sisällön luokittelu syötteissä, aiheeseen liittyvien artikkelien moduulit, videoiden seuraava-jonot — selittämään näiden järjestelmien tärkeimmät parametrit ja tarjoamaan käyttäjille ainakin yhden vaihtoehdon, joka ei perustu profilointiin. Personoitua sisällönhakua tarjoavat julkaisijat eivät voi tehdä profiloinnista ainoaa käytettävissä olevaa tilaa.

Miltä profiloimaton tila näyttää

Profiloimaton tila on tyypillisesti kronologinen syöte, suosioon perustuva syöte tai toimituksellisesti kuratoitu syöte, joka ei personoi sisältöä yksittäisen käyttäjän käyttäytymisen perusteella. Käyttäjän on voitava vaihtaa siihen selkeästi näkyvän kontrollin kautta — ei piilotettuna tilin asetuksiin — ja valinta on muistettava tulevien istuntojen ajaksi. Julkaisijoiden tulisi kohdella suosittelujärjestelmän kontrollia suostumuksen UX:n ensisijaisena osana, joka usein esitetään saman CMP-käyttöliittymän kautta, joka hallinnoi evästeasetuksia.

Läpinäkyvyys luokittelun parametreista

Alustan on julkaistava selkokielellä suosittelujärjestelmänsä tärkeimmät parametrit — tuoreus, suosio, samankaltaisuus aiempaan käyttäytymiseen, toimituksellinen paino, mainonnan relevanssi. Julkaisu on tyypillisesti osa tietosuojakäytäntöä tai erillinen läpinäkyvyyssivu, ja sen on oltava riittävän tarkkaa, jotta valvoja voi tarkistaa kuvauksen todellista alustatoimintaa vasten. Epämääräinen kieli kuten "käytämme koneoppimista suositellaksemme sinulle sopivaa sisältöä" ei täytä vaatimusta.

Miten DSA rakentuu GDPR:n ja ePrivacyn päälle

DSA ei korvaa GDPR:ää eikä ePrivacya — se lisää alustatason sääntöjä niiden päälle. Vuorovaikutukset ovat pääosin additiivisia, mutta kahdessa kohtaa ne rajoittavat sitä, mitä pelkkä suostumus voi oikeuttaa.

Suostumus ei voi ohittaa DSA:n kieltoja

Alaikäisten kohdistamiskielto ja artiklan 9 arkaluonteisten tietojen kielto ovat ehdottomia. Käyttäjä ei voi suostumuksellaan saada kohdistettua mainontaa kummassakaan tapauksessa. Tämä on merkittävä suunnittelurajoitus CMP:ille, jotka ovat historiallisesti käsitelleet suostumusta universaalina avaajana — DSA:n alla suostumustila on välttämätön mutta ei riittävä, ja CMP-arkkitehtuurin on heijastettava tätä.

Läpinäkyvyysvelvoitteet ovat GDPR:n velvoitteiden lisäksi

DSA:n mainonnan läpinäkyvyysvelvoitteet — mainosten selkeä tunnistaminen, mainostajan nimeäminen, kyseisen mainosjakelun tärkeimpien kohdistamisparametrien selittäminen — ovat riippumattomia GDPR:n läpinäkyvyysvaatimuksista ja ne on täytettävä itse mainosmateriaaleissa. Useimmat julkaisijat hoitavat tämän mainospalvelimen mallipohjilla, jotka automaattisesti lisäävät DSA-mainosmerkintälohkon tarjottuihin mainosmateriaaleihin.

Käytännön CMP- ja mainosteknologiamuutokset

DSA-tietoisessa CMP:ssä ja mainosteknologiapinossa on pieni joukko toistettavia elementtejä, jotka ovat vakiintuneet suurilla kaupallisilla alustoilla vuoteen 2026 mennessä.

Alaikäissignaalin putkisto

CMP:n on hyväksyttävä alaikäissignaali julkaisijan käyttäjätilijärjestelmästä, sivun sisältöluokituksesta tai vanhempainvalvontakerroksesta ja levitettävä signaali suostumuspäätökseen. Useimmat CMP:t tarjoavat nyt tämän "alaikäinen"-attribuuttina suostumuskuitissa, jonka mainosteknologiapino lukee suostumustilan ohella. Signaali kulkee alavirtaan Google Consent Mode v2:n, IAB TCF v2.3 -merkkijonon ja kaikkien toimittajakohtaisten integraatioiden kautta, jotka tukevat sitä.

Arkaluonteisen sisällön luokittelu

Julkaisijoiden tulisi suorittaa sisältöluokitteluanalyysi jokaiselle sivulle ja kartoittaa se DSA:n arkaluonteisten tietojen luokkiin. Luokittelu voi olla manuaalista toimituksellisille sivustoille, joilla on jäsennettyjä taksonomioita, tai automatisoitua suurivolyymisille sivustoille, joilla käytetään NLP-pohjaista sisältömerkintää. Luokittelu syöttää mainosteknologiapinon kontekstuaalisen varavaihtoehtopäätöksen: arkaluonteisella luokalla merkitty sivu ohjautuu vain kontekstuaalisiin mainoksiin suostumustilasta riippumatta.

Suosittelujärjestelmän kytkentä

Suosittelujärjestelmän opt-outin tulisi sijaita samassa paikassa kuin suostumusbannerin asetukset — useimmat CMP:t tarjoavat nyt yleistä "alustan hallintaelementit" -moduulia tätä tarkoitusta varten. Kytkentä muuttaa käyttäjän istuntotason asetusta ja, jos käyttäjä on kirjautunut, hänen tilitason asetustaan. Alavirtainen suosittelupalvelu lukee asetuksen jokaisessa luokittelukutsussa.

Yleiset DSA-virheet, jotka johtavat havaintoihin

DSA:n täytäntöönpanopäätökset vuosina 2024 ja 2025 ovat tuottaneet selkeän listan käytännöistä, jotka johtavat komission tutkimuksiin. CMP asettaa alaikäisten kohdistamislipun oletuksena epätodeksi kaikille käyttäjille tarkistamatta koskaan julkaisijan omia ikäsignaaleja. Suosittelujärjestelmän opt-out on piilotettu kolmen klikkauksen päähän tilin asetuksiin suostumusbannerin lähellä näyttämisen sijaan. DSA-mainosmerkintälohko on lisätty display-mainoksiin, mutta unohdettu videomainoksista. Arkaluonteisen sisällön luokittelu kattaa ilmeiset kategoriat, kuten terveyden ja uskonnon, mutta jättää huomioimatta poliittiset uutissivustot, jotka kuitenkin kuuluvat artiklan 9 poliittisten mielipiteiden suojan piiriin. Erittäin suuren verkkoalustan kategoria julkaisee systeemisten riskien arvioinnin, mutta käsittelee sitä kertaluonteisena harjoituksena eikä DSA:n vaatimana vuosittaisena elävänä asiakirjana.

Johtopäätös

DSA on ensimmäinen merkittävä EU-säädös sitten GDPR:n, joka muokkaa olennaisesti sitä, mitä julkaisijat voivat tehdä yleisön huomiolla, johon he ovat jo keränneet suostumuksen. Alaikäisten kohdistamis- ja artiklan 9 kiellot ovat ehdottomia suunnittelurajoituksia, eivät suostumusvaihtoehtoja. Suosittelujärjestelmän opt-out on ensiluokkainen käyttäjän kontrolli, joka sijaitsee evästebannerin vieressä. Mainosten jakelua koskevat läpinäkyvyysvelvoitteet edellyttävät mainospalvelimen malleja, jotka automaattisesti lisäävät oikeat merkinnät jokaiseen tarjottuun mainosmateriaaliin. Mikään tästä ei ole vapaaehtoista, eikä mitään voi jälkikäteen lisätä kiireessä, kun täytäntöönpanokirje saapuu. Julkaisijat, jotka rakensivat DSA-portit CMP:hensä ja mainosteknologiapinoonsa 2023–2024 voimaantulovaiheen aikana, toimivat nyt puhtaasti; julkaisijat, jotka käsittelivät DSA:ta dokumentointiharjoituksena, viettävät vuoden 2026 komission täytäntöönpanojonossa. Työ on kohtuullinen, arkkitehtuuri on vakiintunut, ja sen ohittamisen seuraukset eivät ole enää hypoteettisia.