ES skaitmeninių paslaugų aktas (DSA) ir slapukų sutikimas: leidėjų atitikties vadovas 2026 metams
Digital Services Act (DSA) yra pirmasis visapusiškas ES internetinių platformų reguliavimas nuo elektroninės prekybos direktyvos, ir po aštuoniolikos mėnesių etapinio taikymo dabar tai yra kasdienė operacinė bazė kiekvienam leidėjui, turinčiam reikšmingą Europos auditoriją. Kur GDPR ir ePrivacy reglamentuoja duomenų sluoksnį - ką galima rinkti, saugoti ir dalytis su kuo - DSA reglamentuoja platformos sluoksnį: algoritmus, kurie rangina turinį, reklamą, kuri tai finansuoja, moderavimo sistemas, kurios tai kontroliuoja, ir vartotojų valdiklius, kurie apsaugo nepilnamečius ir pažeidžiamas auditorijas nuo manipuliatyvaus dizaino. DSA nepakeičia GDPR. Ji veikia kartu su juo, ir abi sistemos sąveikauja tokiais būdais, kurie turi esminių pasekmių slapukų sutikimui, reklamos taikymui ir CMP architektūrai. Iki 2026 m. European Commission išsprendė daugumą ankstyvųjų dviprasmybių per vykdymo sprendimus ir aiškinamuosius pranešimus, ir leidėjų teisinės komandos turi nusistovėjusią sistemą, su kuria dirbti. Šis vadovas aprašo, ko iš tikrųjų reikalauja DSA, kaip tikslinės reklamos apribojimai pertvarko sutikimo srautus, ką rekomenduojančių sistemų atsisakymas reiškia turinio atradimui ir praktinius CMP bei reklamos steko pakeitimus, kuriuos 2026 m. atitinkantis ES leidėjas turi turėti.
Ką apima DSA ir kam ji taikoma
DSA yra reglamentas, o ne direktyva - ji tiesiogiai veikia visose ES valstybėse narėse, nereikalaujant nacionalinio perkėlimo. Ji visiškai įsigaliojo labai didelėms internetinėms platformoms ir paieškos sistemoms 2023 m. rugpjūtį, o visiems kitiems - 2024 m. vasarį, o tai reiškia, kad leidėjai jau turi dvejų metų operacinę patirtį su šia sistema. Aktas sukuria pakopinį pareigų rinkinį pagal dydį ir platformos tipą: mikro ir mažos įmonės didžiąja dalimi yra atleistos, tarpininkavimo paslaugos turi pagrindines pareigas, prieglobos paslaugų teikėjai turi turinio moderavimo pareigas, internetinės platformos susiduria su papildomais skaidrumo taisyklėmis, o labai didelės internetinės platformos (daugiau nei keturiasdešimt penki milijonai ES aktyvių mėnesio naudotojų) susiduria su griežčiausiomis pareigomis, įskaitant sisteminės rizikos vertinimus ir išorės auditus.
Kur yra dauguma leidėjų
Didžioji dauguma leidėjų patenka į internetinės platformos kategoriją - jie talpina vartotojų sukurtą turinį (komentarus, forumo įrašus, skaitytojų indėlius), teikia reklamą ir rekomenduoja turinį per algoritminius srautus arba susijusių straipsnių modulius. Internetinės platformos pakopa yra ta vieta, kur DSA tampa operatyviai aktuali: tikslinės reklamos apribojimai nepilnamečiams, skaidrumo pareigos dėl reklamos pateikimo ir taikymo parametrų, rekomenduojančių sistemų paaiškinimai ir atsisakymo galimybės bei pranešimo ir veiksmų sistema neteisėtam turiniui. Leidėjai, viršijantys labai didelių internetinių platformų slenkstį, prideda sisteminės rizikos vertinimą, išorės auditoriaus pareigas ir reikalavimą suteikti Komisijos patvirtintiems tyrėjams prieigą prie platformos duomenų.
Geografinis testas
DSA taikoma eksteritorialiai. JAV leidėjas su Europos lankytojais patenka į taikymo sritį tą akimirką, kai ES naudotojai gali sąveikauti su paslauga - o tai iš esmės yra kiekviena vieša svetainė. Testas nėra tai, kur leidėjas yra įsikūręs, bet ar paslauga siūloma ES gavėjams. Atspindėdama GDPR, tai pagal numatytuosius nustatymus apima didžiąją dalį pasaulinės leidybos pramonės.
Tikslinės reklamos apribojimai
DSA sluoksnis, kuris labiausiai rūpi slapukų sutikimui ir reklamos operacijoms, yra Article 26, kuris apriboja tikslinę reklamą dviem konkrečiais būdais, aplink kuriuos leidėjai turi kurti sistemas.
Draudimas taikyti nepilnamečiams
DSA draudžia tikslinę reklamą nepilnamečiams, pagrįstą profiliavimu naudojant asmens duomenis. Draudimas taikomas tada, kai leidėjas žino arba turėtų pagrįstai žinoti, kad gavėjas yra nepilnametis - o tai praktikoje reiškia, kad jis suveikia bet kuriam signalui, pagal kurį leidėjas gali pagrįstai veikti (paties deklaruotas amžius, tėvų kontrolės signalas, turinio kategorija, kuri stipriai rodo jauną auditoriją, paskyros žymė iš paties leidėjo naudotojų sistemos). CMP turi užkoduoti šį apribojimą: net jei nepilnametis naudotojas priima rinkodaros slapukus, tikslinės reklamos kelias turi būti nustatytas kaip išjungtas. Alternatyva yra kontekstinė reklama - reklamų atranka pagal puslapio turinį, o ne naudotojų profilius - kurią dabar dauguma pagrindinių SSP ir reklamos serverių teikia kaip pirmos klasės pristatymo režimą.
Jautrių duomenų draudimas
DSA taip pat draudžia tikslinę reklamą, pagrįstą profiliavimu, naudojančiu specialias asmens duomenų kategorijas, kaip apibrėžta GDPR Article 9 - rasė, religija, politinės pažiūros, profesinių sąjungų narystė, sveikata, lytinis gyvenimas, seksualinė orientacija, biometriniai duomenys, genetiniai duomenys. Draudimas yra absoliutus: sutikimas jo neatrakina. Leidėjai, tvarkantys turinio kategorijas, liečiančias bet kurią iš šių sričių - sveikatos leidėjai, religinė žiniasklaida, politinių naujienų svetainės, LGBTQ+ leidiniai - turi užtikrinti, kad jų reklamos technologijų stekas neperduotų reklamuotojams profilio signalų, gautų iš šių duomenų, net kai naudotojas sutiko su visomis rinkodaros kategorijomis.
Operacinės pasekmės CMP
CMP turi užkoduoti DSA apribojimus kaip griežtus vartus, o ne sutikimo būsenos perjungiklius. Sutikimo kvitas, kuriame rašoma 'visos kategorijos priimtos', neįgalioja tikslinės reklamos nepilnamečiui arba remiantis Article 9 duomenimis. Švariausia įgyvendinimo kryptis nukreipia sutikimo būseną, nepilnamečio signalą ir puslapio jautraus turinio klasifikaciją per vieną sprendimų funkciją, kuri yra tarp CMP ir reklamos technologijų pardavėjų, ir funkcija nustato kontekstinį pristatymą kaip numatytąjį, kai suveikia bet kurie DSA vartai.
Rekomenduojančių sistemų atsisakymas
DSA Article 38 reikalauja, kad internetinės platformos, naudojančios rekomenduojančias sistemas - algoritminis turinio rangavimas srautuose, susijusių straipsnių moduliai, vaizdo įrašų eilės - paaiškintų pagrindines tų sistemų parametrais ir pasiūlytų naudotojams bent vieną parinktį, kuri nėra pagrįsta profiliavimu. Leidėjai, teikiantys personalizuotą turinio atradimą, negali padaryti profiliacijos vieninteliu prieinamu režimu.
Kaip atrodo režimas be profiliacijos
Režimas be profiliacijos paprastai yra chronologinis srautas, populiarumo pagal rangą srautas arba redakcinės kuratorystės srautas, kuris nepersonalizuoja pagal individualaus naudotojo elgesį. Naudotojas turi galėti perjungti į jį per aiškiai matomą valdiklį - ne paslėptą paskyros nustatymuose - ir pasirinkimas turi būti prisimintas būsimiems seansams. Leidėjai turėtų traktuoti rekomenduojančių sistemų valdiklį kaip pirmos klasės sutikimo UX dalį, dažnai pateikiamą per tą patį CMP sąsają, kuri tvarko slapukų nuostatas.
Skaidrumas dėl rangavimo parametrų
Platforma turi paskelbti, paprasta kalba, pagrindines parametrais, kuriuos naudoja jos rekomenduojančios sistemos - naujumas, populiarumas, panašumas į ankstesnį elgesį, redakcinis svoris, reklamos aktualumas. Paskelbimas paprastai yra privatumo politikos skyrius arba specialus skaidrumo puslapis, ir jis turėtų būti pakankamai konkretus, kad reguliuotojas, jį skaitantis, galėtų patikrinti aprašymą pagal faktinį platformos elgesį. Neaiški kalba kaip 'mes naudojame mašininį mokymąsi, kad rekomenduotume turinį, kuris jums gali patikti', neatitinka standarto.
Kaip DSA sluoksniuojasi virš GDPR ir ePrivacy
DSA nepakeičia GDPR ar ePrivacy - ji prideda platformos lygio taisykles ant jų. Sąveikos dažniausiai yra adityvios, tačiau dviejose konkrečiose vietose jos apriboja tai, ką sutikimas vienas gali įgalioti.
Sutikimas negali nepaisyti DSA draudimų
Draudimas taikyti nepilnamečiams ir Article 9 jautrių duomenų draudimas yra absoliutūs. Naudotojas negali sutikti gauti tikslinę reklamą nei vienu atveju. Tai yra reikšminga dizaino apribojimas CMP, kurie istoriškai traktavo sutikimą kaip universalų raktą - pagal DSA sutikimo būsena yra būtina, bet nepakankama, ir CMP architektūra turi tai atspindėti.
Skaidrumo pareigos yra virš GDPR pareigų
DSA reklamos skaidrumo pareigos - aiškiai identifikuoti skelbimus, įvardyti reklamuotoją, paaiškinti pagrindines taikymo parametrais, naudotus konkrečiam reklamos pristatymui - yra nepriklausomos nuo GDPR skaidrumo reikalavimų ir turi būti įvykdytos pačiame reklamos kūrybiniame elemente. Dauguma leidėjų tai tvarko per reklamos serverio šablonus, kurie automatiškai įterpia DSA reklamos žymeklio bloką į pateikiamus kūrybinius elementus.
Praktiniai CMP ir reklamos steko pakeitimai
DSA sąmoningas CMP ir reklamos stekas turi nedidelį skaičių pakartojamų elementų, kurie 2026 m. stabilizavosi visose pagrindinėse komercinėse platformose.
Nepilnamečio signalo instaliacinis vamzdynas
CMP turi priimti nepilnamečio signalą iš leidėjo naudotojų paskyros sistemos, puslapio turinio klasifikacijos arba tėvų kontrolės sluoksnio ir perduoti signalą į sutikimo sprendimą. Dauguma CMP dabar tai eksponuoja kaip 'minor' atributą sutikimo kvite, kurį reklamos stekas skaito kartu su sutikimo būsena. Signalas teka žemyn per Google Consent Mode v2, IAB TCF v2.3 eilutę ir bet kokią pardavėjo specifinę integraciją, kuri jį palaiko.
Jautraus turinio klasifikacija
Leidėjai turėtų paleisti turinio klasifikacijos praėjimą kiekviename puslapyje, kuris jį suskirsto į DSA jautrių duomenų kategorijas. Klasifikacija gali būti rankinė redakcinėms svetainėms su struktūrizuotomis taksonominėmis arba automatizuota didelio masto svetainėms su NLP pagrįstu turinio žymėjimu. Klasifikacija maitina reklamos steko kontekstinį atsarginį sprendimą: puslapis, pažymėtas jautria kategorija, nukreipiamas tik į kontekstines reklamas, nepriklausomai nuo sutikimo būsenos.
Rekomenduojančių sistemų perjungiklis
Rekomenduojančių sistemų atsisakymas turėtų būti toje pačioje vietoje kaip ir sutikimo reklamjuostės nuostatų rodinys - dauguma CMP dabar eksponuoja bendrą 'platformos valdiklių' modulį šiam tikslui. Perjungiklis keičia naudotojo seanso lygio nuostatą ir, jei naudotojas autentifikuotas, jo paskyros lygio nuostatą. Žemutinio srauto rekomenduojančioji paslauga skaito nuostatą kiekvienam rangavimo skambučiui.
Dažnos DSA klaidos, sukeliančios išvadas
DSA vykdymo sprendimai 2024 ir 2025 m. pateikė aiškų modelių sąrašą, vedantį į Komisijos tyrimus. CMP nustato nepilnamečio taikymo vėliavą kaip false pagal numatytuosius nustatymus kiekvienam naudotojui, niekada nepatikrinant paties leidėjo amžiaus signalų. Rekomenduojančių sistemų atsisakymas yra paslėptas tris paspaudimus gilyn paskyros nustatymuose, o ne pateikiamas šalia sutikimo reklamjuostės. Reklamos kūrybinio žymeklio blokas pridedamas prie displėjaus reklamų, bet praleistas vaizdo kūrybiniams elementams. Jautraus turinio klasifikacija apima akivaizdžias kategorijas, tokias kaip sveikata ir religija, bet praleidžia politinių naujienų svetaines, kurios vis tiek atitinka Article 9 politinių pažiūrų apsaugą. Labai didelių internetinių platformų pakopa paskelbia savo sisteminės rizikos vertinimą, bet traktuoja jį kaip vienkartinę pratybą, o ne kaip DSA reikalaujamą metinį gyvą dokumentą.
Esmė
DSA yra pirmasis didysis ES reglamentas nuo GDPR, iš esmės pertvarkan tis tai, ką leidėjai gali daryti su auditorijos dėmesiu, kuriam jie jau surinko sutikimą. Nepilnamečių taikymo ir Article 9 draudimai yra absoliutūs dizaino apribojimai, o ne sutikimo parinktys. Rekomenduojančių sistemų atsisakymas yra pirmos klasės naudotojo valdiklis, esantis šalia slapukų reklamjuostės. Skaidrumo pareigos dėl reklamos pristatymo reikalauja reklamos serverio šablonų, kurie automatiškai įterpia tinkamus žymeklius į kiekvieną pateikiamą kūrybinį elementą. Niekas iš to nėra neprivaloma, ir niekas negali būti greitai įdiegta, kai atvyksta vykdymo laiškas. Leidėjai, integravę DSA vartus į savo CMP ir reklamos steką per 2023-2024 m. įgyvendinimo etapą, dabar veikia švariai; leidėjai, traktavę DSA kaip dokumentacijos pratybas, 2026 m. praleidžia Komisijos vykdymo eilėje. Darbas yra vidutinis, architektūra nusistovėjusi, o praleidimo pasekmės nebėra hipotetinės.