Hvað DSA nær yfir og við hvern hún gildir

DSA er reglugerð, ekki tilskipun — hún hefur bein áhrif í öllum ESB-aðildarríkjum án þess að þurfa þjóðlægar umbreytingar. Hún tók að fullu gildi fyrir mjög stórar netvettvanga og leitarvélar í ágúst 2023 og fyrir alla aðra í febrúar 2024, sem þýðir að útgefendur hafa nú haft tveggja ára rekstrarlega reynslu af kerfinu. Löggjöfin skapar lagskipta skyldusett miðað við stærð og vettvangstegund: smá- og litlar fyrirtæki eru að mestu undanskilin, milliliðaþjónustur hafa grunngildar skyldur, gestgjafafyrirtæki bera mótunarskyldur fyrir efni, netvettvangur stendur frammi fyrir viðbótarreglum um gagnsæi og mjög stórar netvettvangur (yfir fjörutíu og fimm milljóna virkar ESB-notendur á mánuði) standa frammi fyrir þrengstu skyldunum þ.m.t. kerfisbundnar áhættumatsskýrslur og ytri endurskoðanir.

Hvar flestir útgefendur eru

Yfirgnæfandi meirihluti útgefenda fellur undir netvettvangsflokkinn — þeir hýsa notendaframleiddan efni (athugasemdir, spjallborðsfærslur, lesendaframlag), þeir þjóna auglýsingum og þeir mæla með efni í gegnum reikniritafæður eða tengdagreinareiningar. Netvettvanglagið er þar sem DSA verður rekstarlega viðeigandi: takmarkanir á markvissri auglýsingu til barna, gagnsæisskyldur um afhendingu auglýsinga og miðunarbreytur, skýringar á meðmælakerfi og opt-out, og tilkynningar- og aðgerðakerfi fyrir ólöglegt efni. Útgefendur yfir þröskuldinum mjög stórra netvettvanga bæta við kerfisbundna áhættumat, skyldu ytri endurskoðanda og kröfu um að veita samþykktum rannsakendum Framkvæmdastjórnarinnar aðgang að vettvangsgögnum.

Landfræðiprófið

DSA gildir utan landamæra. Bandarísk útgefandi með evrópska gesti er innan gildissviðs um leið og ESB-notendur geta átt samskipti við þjónustuna — sem á við um nánast hverja opinbera vefsíðu. Prófið er ekki hvar útgefandinn hefur aðsetur heldur hvort þjónustan sé boðin ESB-viðtakendum. Í samræmi við GDPR nær þetta til flestra af heimsútgáfuiðnaðinum sjálfkrafa.

Takmarkanir á markvissri auglýsingu

DSA-lagið sem skiptir mestu máli fyrir samþykki vafrakaka og auglýsingastarfsemi er Article 26, sem takmarkar markvissa auglýsingu á tvo tiltekna vegu sem útgefendur verða að hanna umhverfis.

Bann við miðun á börn

DSA bannar markvissa auglýsingu á börn sem byggist á prófíltöku með persónulegum gögnum. Bannið gildir þegar útgefandinn veit, eða ætti með sanngirni að vita, að viðtakandinn er barn — sem í reynd þýðir að það kemur til sögunnar vegna hvers merkis sem útgefandinn gæti með líkum hætti brugðist við (sjálfskrásett aldur, merki um foreldrastjórn, efnisflokkur sem gefur eindregið til kynna ungt áhorf, reikningsmerki úr útgefandasíns eigin notendakerfi). CMP verður að kóða þessa takmörkun: jafnvel þótt minni notandi samþykki kynningarminni, verður markvissa auglýsingarferillinn sjálfkrafa slökktur. Fallback er samhengislegar auglýsingar — val á auglýsingum byggt á efni síðunnar frekar en notendaprófílar — sem flestir helstu SSP og auglýsingaþjónar gefa nú til kynna sem fyrstaflokkslegar afhendingarmátar.

Bann við viðkvæmum gögnum

DSA bannar einnig markvissa auglýsingu sem byggist á prófíltöku sem notar sérstakar flokkar persónulegra gagna eins og skilgreint er í GDPR Article 9 — kynþáttur, trúarbrögð, pólitískar skoðanir, stéttarfélagsaðild, heilsa, kynlíf, kynhneigð, lífmælingarlegur gögn, erfðagögn. Bannið er algert: samþykki opnar það ekki. Útgefendur sem reka efnisflokka sem snerta eitthvað af þessum sviðum — heilsufarsútgefendur, trúarmiðlar, pólitískar fréttasíður, LGBTQ+-útgáfur — verða að tryggja að auglýsingartæknistafla þeirra sendi ekki prófílmerki sem dregin eru af þessum gögnum til auglýsenda, jafnvel þegar notandinn hefur samþykkt alla flokka kynningarmiðlunar.

Rekstrarlegar afleiðingar fyrir CMP

CMP verður að kóða DSA-takmarkanirnar sem harðar hlið, ekki samþykkisstaða-víxlar. Samþykkiskvittun sem segir 'allir flokkar samþykktir' heimilar ekki markvissa auglýsingu til barns eða byggt á Article 9-gögnum. Hreinasta útfærsluferillinn beinskeytir samþykkisstöðu, barnamerki og næmefnisflokkun síðunnar í gegnum eina ákvarðanavirknina sem situr á milli CMP og auglýsingartæknisala, og virknin er sjálfkrafa samhengisleg afhending þegar eitthvað af DSA-hliðunum kveikir.

Opt-out frá meðmælakerfi

Article 38 í DSA krefst þess að netvettvangur sem notar meðmælakerfi — reikniritaröðun efnis á færslum, tengdagreinareiningar, myndbands-'næstu' biðraðir — útskýri helstu breytur þessara kerfa og bjóði notendum að minnsta kosti einn valkost sem er ekki byggður á prófíltöku. Útgefendur sem reka persónulegar efnisuppgötvanir geta ekki gert prófíltöku að eina tiltæka háttunum.

Hvernig lítur út prófíltökulausi hátturinn

Prófíltökulausi hátturinn er venjulega tímaröðuð færsla, vinsældarraðaðar færslur eða ritstjórnarlegar færslur sem sérsniður ekki miðað við hegðun einstaklings notanda. Notandinn verður að geta skipt yfir í þær með skýrt sýnilegum stjórnun — ekki grafinn í reikningsstillingar — og valið verður að muna fyrir komandi lotur. Útgefendur ættu að meðhöndla meðmælakerfistjórnina sem fyrstaflokkslegan hluta samþykki UX, sem oft er birtur í gegnum sama CMP-viðmótið sem sér um vafrakakaval.

Gagnsæi um raðbreytur

Vettvangurinn verður að birta, á einföldu máli, helstu breytur sem meðmælakerfið notar — nýjung, vinsældir, líkt og fyrri hegðun, ritstjórnarþyngd, auglýsingaviðeigni. Birting er venjulega kafli í friðlægsreglur eða sérstök gagnsæissíða, og það ætti að vera nógu sérstætt til að eftirlitsaðili sem les það geti staðfest lýsinguna gagnvart raunverulegri hegðun vettvangsins. Óskýrt mál eins og 'við notum vélnám til að mæla með efni sem þér gæti líkað' standast ekki kröfurnar.

Hvernig DSA er lögð ofan á GDPR og ePrivacy

DSA kemur ekki í stað GDPR eða ePrivacy — hún bætir vettvangslegar reglur ofan á þær. Samskiptin eru að mestu viðbótarlegar en á tveimur tilteknum stöðum takmarkar hún hvað samþykki eitt og sér getur heimilað.

Samþykki getur ekki hnekkt DSA-bönnum

Bann við miðun á börn og Article 9 bann við næmum gögnum eru alger. Notandi getur ekki samþykkt að fá markvissa auglýsingu í öðru hvoru tilvikanna. Þetta er þýðingarmikil hönnunartakmörkun fyrir CMP sem sögulega meðhöndluðu samþykki sem algert opnunartæki — undir DSA er samþykkisstaðan nauðsynleg en ekki nægileg, og CMP-uppbyggingin verður að endurspegla það.

Gagnsæisskyldur liggja ofan á GDPR-skyldum

Auglýsingagagnsæisskyldur DSA — að auðkenna auglýsingar skýrt, nefna auglýsandann, útskýra helstu miðunarbreyturnar sem notaðar eru við tiltekna auglýsingaafhendingu — eru óháðar gagnsæiskröfum GDPR og verður að uppfylla í sjálfum auglýsingasköpuninni. Flestir útgefendur meðhöndla þetta í gegnum auglýsingaþjónssniðmát sem sprautast sjálfkrafa DSA auglýsingamarkablokkinni inn í þjónað sköpun.

Hagnýtar CMP- og auglýsingastaflabreytingar

DSA-meðvitaðir CMP og auglýsingastaflinn hefur lítinn fjölda endurtækanlegra þátta sem hafa stöðugst yfir helstu viðskiptavettvangana árið 2026.

Barnamerkilagnir

CMP verður að taka við barnamerki frá notendareikninga notandaskerfi útgefanda, efnisflokkun síðunnar eða foreldrastjórnarlagi og dreifa merkinu í samþykknisákvarðanina. Flestar CMP gefa nú þetta til kynna sem 'minor' eiginleika á samþykkniskvittuninni sem auglýsingastaflinn les ásamt samþykknistöðunni. Merkið flæðir niður í gegnum Google Consent Mode v2, IAB TCF v2.3-strenginn og allar seljanda-sérstakar samþættingar sem styðja það.

Næmefnisflokkun

Útgefendur ættu að keyra efnisflokkun yfir hverja síðu sem kortleggur hana á næmu gagnaflokka DSA. Flokkun getur verið handvirk fyrir ritstjórnarleg síður með skipulagðar flokkunarkerfi eða sjálfvirk fyrir síður með mikið magn með NLP-grundaðri efnismerkingu. Flokkun fæðir samhengislega fallback-ákvörðun auglýsingastafla: síða merkt með næmum flokki er beinskeytir á samhengislegar auglýsingar eingöngu, óháð samþykknistöðu.

Meðmælakerfi rofi

Opt-out frá meðmælakerfi ætti að vera á sama stað og val á samþykkisborðapreferensur — flestar CMP gefa nú til kynna almænar 'vettvangstjórnunar' einingu í þessum tilgangi. Rofinn breytir setserfærsluval notandans og, ef notandinn er auðkenndur, reikningsvalið. Niðurstreymis meðmælaþjónustan les valið á hverri röðunarköll.

Algengar DSA-mistök sem valda niðurstöðum

DSA-framkvæmdarákvarðanirnar þvert yfir 2024 og 2025 hafa framleitt skýran lista yfir mynstur sem leiðir til Framkvæmdastjórnarupplýsinga. CMP-stillir barnamildunarflaggið sjálfkrafa á false fyrir hvern notanda án þess að athuga aldurmerki útgefanda. Opt-out frá meðmælakerfi er grafinn þrjár smellur í reikningsstillingar frekar en birtur nálægt samþykknisborðanum. Auglýsingasköpunarmerki auglýsingablokkinni er bætt við sýningarauglýsingar en saknar af myndbandssköpunum. Næmefnisflokkun nær yfir augljægar flokkar eins og heilsu og trúarbrögð en missir af pólitískum fréttasíðum sem samt uppfylla kröfur undir pólitískar skoðanavernd Article 9. Mjög stórt netvettvanglag birtir kerfisbundnar áhættumatsskýrslu sína en meðhöndlar það sem einstaka æfingu frekar en árlega lifandi skjalið sem DSA krefst.

Niðurstaðan

DSA er fyrsta helsta ESB-reglugerðin frá GDPR til að endurskapa í raun hvað útgefendur geta gert með þá áhorfendaséð sem þeir hafa þegar safnað samþykki fyrir. Bann við miðun á börn og Article 9 eru algeryltar hönnunartakmarkanir, ekki samþykkismöguleikar. Opt-out frá meðmælakerfi er fyrstaflokkslegar notendastjórn sem situr við hlið vafrakakaborðans. Gagnsæisskyldur um auglýsingaafhendingu krefjast auglýsingaþjónssniðmátar sem sprautast sjálfkrafa réttu merkingunum inn í hverja þjónaðar sköpunar. Ekkert af þessu er valfrjálst, og ekkert af því er hægt að setja inn í flýti þegar framkvæmdarmiðinn kemur. Útgefendur sem byggðu DSA-hliðarnar inn í CMP og auglýsingastaflann sinn á 2023-2024 gegnumgangsþrepi starfa nú hreint; útgefendur sem meðhöndluðu DSA sem skjölunæfingu eyða 2026 í framkvæmdarsbiðröð Framkvæmdastjórnarinnar. Verkið er hóflegt, uppbyggingin er komin, og afleiðingar þess að sleppa því eru ekki lengur kenningarleg.