מה DSA מכסה ועל מי הוא חל

DSA הוא תקנה, לא הוראה -- יש לה השפעה ישירה על כל מדינות חבר האיחוד האירופי ללא צורך בהטמעה לאומית. הוא נכנס לתוקף מלא עבור פלטפורמות מקוונות גדולות מאוד ומנועי חיפוש באוגוסט 2023 ועבור כולם ביוצר בפברואר 2024, מה שאומר שלמפרסמים יש כיום שנתיים של ניסיון תפעולי עם המשטר. החוק יוצר מערך מדורג של חובות המבוסס על גודל וסוג פלטפורמה: מיקרו ועסקים קטנים פטורים ברובם, לשירותי תיווך יש חובות בסיסיות, לספקי אירוח יש חובות ניהול תוכן, לפלטפורמות מקוונות יש כללי שקיפות נוספים, ולפלטפורמות המקוונות הגדולות מאוד (מעל ארבעים וחמישה מיליון משתמשים פעילים חודשיים באיחוד האירופי) יש את החובות המחמירות ביותר, כולל הערכות סיכונים מערכתיות וביקורות חיצוניות.

היכן רוב המפרסמים נמצאים

הרוב המוחלט של המפרסמים נמצא בקטגוריית הפלטפורמה המקוונת -- הם מארחים תוכן שנוצר על ידי משתמשים (תגובות, פוסטים בפורום, תרומות קוראים), מגישים פרסום וממליצים על תוכן דרך פידים אלגוריתמיים או מודולים של מאמרים קשורים. שכבת הפלטפורמה המקוונת היא המקום שבו DSA הופך לרלוונטי מבחינה תפעולית: הגבלות פרסום ממוקד לקטינים, חובות שקיפות על אספקת פרסום ופרמטרי מיקוד, הסברים לביטול רישום ממערכות המלצה, ומשטר הודעה ופעולה לתוכן בלתי חוקי. מפרסמים מעל לסף הפלטפורמה המקוונת הגדולה מאוד מוסיפים הערכת סיכונים מערכתית, חובות מבקר חיצוני רשמי, ודרישה לתת לחוקרים שאומתו על ידי הנציבות גישה לנתוני הפלטפורמה.

מבחן הגיאוגרפיה

DSA חל בצורה חוץ-טריטוריאלית. מפרסם אמריקאי עם מבקרים אירופים נמצא בתחולה ברגע שמשתמשי האיחוד האירופי יכולים לקיים אינטראקציה עם השירות -- וזה בעצם כל אתר אינטרנט פרטי. המבחן אינו מאיפה המפרסם מבוסס אלא אם השירות מוצע לנמעני האיחוד האירופי. בדומה ל-GDPR, זה תופס את רוב תעשיית הפרסום הגלובלית כברירת מחדל.

הגבלות הפרסום הממוקד

שכבת DSA שחשובה ביותר להסכמת קובצי Cookie ולתפעול פרסומי היא סעיף 26, המגביל פרסום ממוקד בשתי דרכים ספציפיות שעל המפרסמים להנדס סביבן.

איסור מיקוד לקטינים

DSA אוסר פרסום ממוקד לקטינים המבוסס על פרופיל תוך שימוש בנתונים אישיים. האיסור חל בכל פעם שהמפרסם יודע, או צריך לדעת באופן סביר, שהנמען הוא קטין -- מה שבפועל אומר שהוא מופעל עבור כל אות שמפרסם יכול לפעול עליו באופן סביר (גיל מוצהר עצמי, אות של בקרת הורים, קטגוריית תוכן המרמזת בחוזקה על קהל צעיר, דגל חשבון ממערכת המשתמשים של המפרסם עצמו). ה-CMP חייב לקדד הגבלה זו: גם אם משתמש קטין מקבל קובצי Cookie שיווקיים, נתיב הפרסום הממוקד חייב להיות כברירת מחדל כבוי. האלטרנטיבה היא פרסום קונטקסטואלי -- בחירת מודעות המבוססת על תוכן הדף ולא על פרופילי משתמש -- ש-SSP ושרתי פרסום מרכזיים רוב חושפים כיום כמצב אספקה מדרגה ראשונה.

איסור על נתונים רגישים

DSA אוסר גם פרסום ממוקד המבוסס על פרופיל המשתמש בקטגוריות מיוחדות של נתונים אישיים כמוגדר בסעיף 9 ל-GDPR -- גזע, דת, דעות פוליטיות, חברות בארגון מקצועי, בריאות, חיי מין, נטייה מינית, נתונים ביומטריים, נתונים גנטיים. האיסור הוא מוחלט: הסכמה אינה מבטלת אותו. מפרסמים המנהלים קטגוריות תוכן הנוגעות באף אחת מהתחומים הללו -- מפרסמי בריאות, תקשורת דתית, אתרי חדשות פוליטיים, פרסומים LGBTQ+ -- חייבים להבטיח שמחסנית הטכנולוגיה הפרסומית שלהם אינה מעבירה למפרסמים אותות פרופיל הנגזרים מנתונים אלו, גם כאשר המשתמש הסכים לכל קטגוריות השיווק.

השלכות תפעוליות ל-CMP

ה-CMP חייב לקדד את מגבלות DSA כשערים קשים, לא כמתגי מצב הסכמה. קבלת הסכמה שאומרת הכל הקטגוריות התקבלו אינה מסמיכה פרסום ממוקד לקטין או על סמך נתוני סעיף 9. מסלולי היישום הנקיים ביותר מנתבים את מצב ההסכמה, אות הקטין, וסיווג התוכן הרגיש של הדף דרך פונקציית החלטה בודדת הממוקמת בין ה-CMP ובין ספקי טכנולוגיית הפרסום, והפונקציה ברירת המחדל שלה היא אספקה קונטקסטואלית בכל פעם שאחד משערי DSA מופעל.

ביטול הרישום ממערכת ההמלצות

סעיף 38 ל-DSA מחייב פלטפורמות מקוונות המשתמשות במערכות המלצה -- דירוג תוכן אלגוריתמי בפידים, מודולים של מאמרים קשורים, תורי הסרטון הבא -- להסביר את הפרמטרים העיקריים של אותן מערכות ולהציע למשתמשים לפחות אפשרות אחת שאינה מבוססת על פרופיל. מפרסמים המציעים גילוי תוכן מותאם אישית אינם יכולים להפוך את הפרופיל למצב הזמין היחיד.

כיצד נראה המצב ללא פרופיל

המצב ללא פרופיל הוא בדרך כלל פיד כרונולוגי, פיד מדורג לפי פופולריות, או פיד ערוך מבחינה עורכת שאינו מותאם אישית על סמך התנהגות המשתמש הפרטי. על המשתמש להיות מסוגל לעבור אליו דרך פקד גלוי בבירור -- לא קבור בהגדרות החשבון -- והבחירה חייבת להיזכר לסשנים עתידיים. על המפרסמים להתייחס לבקרת מערכת ההמלצות כחלק עיקרי מחוויית המשתמש של ההסכמה, הנחשפת לעתים קרובות דרך אותו ממשק CMP המטפל בהעדפות קובצי Cookie.

שקיפות לגבי פרמטרי הדירוג

הפלטפורמה חייבת לפרסם, בשפה פשוטה, את הפרמטרים העיקריים שמערכת ההמלצות שלה משתמשת בהם -- עדכניות, פופולריות, דמיון להתנהגות עבר, משקל עורכי, רלוונטיות פרסומית. הפרסום הוא בדרך כלל חלק במדיניות הפרטיות או דף שקיפות ייעודי, והוא צריך להיות ספציפי מספיק שרגולטור שקורא אותו יכול לאמת את התיאור מול התנהגות פלטפורמה בפועל. שפה מעורפלת כגון אנחנו משתמשים בלמידת מכונה כדי להמליץ תוכן שעשוי לעניין אתכם אינה עומדת בסטנדרט.

כיצד DSA מצטבר על GDPR ועל ePrivacy

DSA אינו מחליף את GDPR או את ePrivacy -- הוא מוסיף כללים ברמת פלטפורמה על גביהם. האינטראקציות הן ברובן תוספתיות, אך בשני מקומות ספציפיים הן מגבילות את מה שהסכמה לבדה יכולה לאשר.

הסכמה אינה יכולה לבטל איסורי DSA

איסור מיקוד הקטינים ואיסור הנתונים הרגישים לפי סעיף 9 הם מוחלטים. משתמש אינו יכול להסכים לקבלת פרסום ממוקד בשני המקרים. זוהי מגבלת עיצוב משמעותית עבור CMPs שהתייחסו היסטורית להסכמה כאל מפתח שחרור אוניברסלי -- תחת DSA, מצב ההסכמה הכרחי אך לא מספיק, וארכיטקטורת ה-CMP חייבת לשקף זאת.

חובות השקיפות יושבות על חובות GDPR

חובות שקיפות הפרסום של DSA -- זיהוי ברור של מודעות, שם המפרסם, הסבר הפרמטרים העיקריים של המיקוד ששימשו לאספקת המודעה הספציפית -- הן עצמאיות מדרישות השקיפות של GDPR וחייבות להיות מסופקות בתוך קריאייטיב הפרסומות עצמו. רוב המפרסמים מטפלים בכך דרך תבניות שרת פרסום המזריקות את בלוק סמן המודעה DSA לתוך קריאייטיבים מוגשים באופן אוטומטי.

שינויי CMP ופצסת פרסום מעשיים

ל-CMP ולמחסנית הפרסום המודעים ל-DSA יש מספר קטן של אלמנטים ניתנים לחזרה שהתייצבו בפלטפורמות המסחריות הגדולות עד 2026.

אינסטלציית אות הקטין

ה-CMP חייב לקבל אות קטין ממערכת חשבון המשתמש של המפרסם, מסיווג התוכן של הדף, או משכבת בקרת ההורים, ולהפיץ את האות לתוך החלטת ההסכמה. רוב ה-CMPs חושפים כיום זאת כתכונת קטין בקבלת ההסכמה שמחסנית הפרסום קוראת לצד מצב ההסכמה. האות זורם במורד הזרם דרך Google Consent Mode v2, מחרוזת IAB TCF v2.3, וכל שילוב ספציפי לספק התומך בו.

סיווג תוכן רגיש

על המפרסמים להפעיל מעבר סיווג תוכן על כל דף הממפה אותו לקטגוריות הנתונים הרגישים של DSA. הסיווג יכול להיות ידני עבור אתרים עורכיים עם טקסונומיות מובנות או אוטומטי עבור אתרי נפח גבוה עם תיוג תוכן מבוסס NLP. הסיווג מזין את החלטת ה-fallback הקונטקסטואלי של מחסנית הפרסום: דף המתויג בקטגוריה רגישה מנותב למודעות קונטקסטואליות בלבד, ללא קשר למצב ההסכמה.

החלפת מערכת ההמלצות

ביטול הרישום ממערכת ההמלצות צריך לגור באותו מקום כמו תצוגת ההעדפות של באנר ההסכמה -- רוב ה-CMPs חושפים כיום מודול בקרות פלטפורמה כללי למטרה זו. ה-toggle משנה את ההעדפה ברמת הסשן של המשתמש ו, אם המשתמש מאומת, את ההעדפה ברמת החשבון שלו. שירות ההמלצות שבמורד הזרם קורא את ההעדפה בכל שיחת דירוג.

טעויות DSA נפוצות המפעילות ממצאים

החלטות האכיפה של DSA לאורך 2024 ו-2025 הניבו רשימה ברורה של דפוסים המובילים לחקירות הנציבות. ה-CMP מגדיר כברירת מחדל את דגל מיקוד הקטינים לשקר עבור כל משתמש מבלי לבדוק אי פעם את אותות הגיל של המפרסם עצמו. ביטול הרישום ממערכת ההמלצות קבור שלוש קליקות עמוק בהגדרות החשבון במקום לחשוף אותו ליד באנר ההסכמה. בלוק סמן מודעת DSA מתווסף למודעות תצוגה אך מוחמץ עבור קריאייטיבים של וידאו. סיווג התוכן הרגיש מכסה קטגוריות ברורות כמו בריאות ודת אך מחמיץ אתרי חדשות פוליטיים שבכל זאת מתאימים תחת הגנת הדעות הפוליטיות של סעיף 9. שכבת הפלטפורמה המקוונת הגדולה מאוד מפרסמת את הערכת הסיכונים המערכתית שלה אך מתייחסת אליה כאל תרגיל חד-פעמי ולא כאל המסמך החי השנתי שDSA דורש.

שורה תחתונה

DSA הוא התקנה האירופית הגדולה הראשונה מאז GDPR שמעצבת מחדש באופן מהותי את מה שמפרסמים יכולים לעשות עם תשומת הלב של הקהל שכבר אספו עבורה הסכמה. איסורי מיקוד הקטינים וסעיף 9 הם אילוצי עיצוב מוחלטים, לא אפשרויות הסכמה. ביטול הרישום ממערכת ההמלצות הוא בקרת משתמש מדרגה ראשונה היושבת לצד באנר ה-Cookie. חובות השקיפות על אספקת פרסום דורשות תבניות שרת פרסום המזריקות אוטומטית את הסמנים הנכונים לכל קריאייטיב מוגש. שום דבר מזה אינו אופציונלי, ושום דבר לא ניתן להוסיף בחיפזון כאשר מגיע מכתב האכיפה. מפרסמים שבנו את שערי DSA ל-CMP ולמחסנית הפרסום שלהם בתקופת ה-2023-2024 פועלים כיום בצורה נקייה; מפרסמים שהתייחסו ל-DSA כאל תרגיל תיעוד מבלים את 2026 בתור האכיפה של הנציבות. העבודה מתונה, הארכיטקטורה מסודרת, וההשלכות של דילוגה עליה אינן עוד היפותטיות.