Что охватывает DSA и к кому он применяется

DSA — это регламент, а не директива — он имеет прямое действие во всех государствах-членах ЕС без необходимости национальной транспозиции. Он полностью вступил в силу для очень крупных онлайн-платформ и поисковых систем в августе 2023 года, а для всех остальных — в феврале 2024 года, что означает, что у издателей теперь есть два года операционного опыта с этим режимом. Закон создаёт многоуровневый набор обязательств на основе размера и типа платформы: микро- и малые предприятия в значительной степени освобождены, посреднические услуги имеют базовые обязательства, хостинг-провайдеры сталкиваются с обязанностями модерации контента, онлайн-платформы сталкиваются с дополнительными правилами прозрачности, а очень крупные онлайн-платформы (более сорока пяти миллионов ежемесячных активных пользователей ЕС) сталкиваются с самыми строгими обязательствами, включая оценки системных рисков и внешние аудиты.

Где находится большинство издателей

Подавляющее большинство издателей попадает в категорию онлайн-платформ — они размещают пользовательский контент (комментарии, посты на форумах, вклады читателей), они показывают рекламу, и они рекомендуют контент через алгоритмические ленты или модули похожих статей. Уровень онлайн-платформы — это место, где DSA становится операционно релевантным: ограничения таргетированной рекламы для несовершеннолетних, обязательства по прозрачности доставки рекламы и параметров таргетинга, объяснения и отказы от рекомендательных систем, и режим уведомления-и-действия для незаконного контента. Издатели выше порога очень крупной онлайн-платформы добавляют оценку системных рисков, обязательства внешнего аудитора-регистратора и требование предоставлять проверенным исследователям Комиссии доступ к данным платформы.

Географический тест

DSA применяется экстерриториально. Издатель из США с европейскими посетителями попадает в сферу действия в тот момент, когда пользователи ЕС могут взаимодействовать с сервисом — что по существу является каждым публично ориентированным веб-сайтом. Тест не в том, где базируется издатель, а в том, предлагается ли сервис получателям из ЕС. Зеркально отражая GDPR, это по умолчанию захватывает большую часть мировой издательской индустрии.

Ограничения на таргетированную рекламу

Уровень DSA, который больше всего имеет значение для согласия на cookie и рекламных операций, — это статья 26, которая ограничивает таргетированную рекламу двумя конкретными способами, вокруг которых издатели должны проектировать.

Запрет на таргетинг несовершеннолетних

DSA запрещает таргетированную рекламу для несовершеннолетних на основе профилирования с использованием персональных данных. Запрет применяется всякий раз, когда издатель знает или должен разумно знать, что получатель является несовершеннолетним — что на практике означает, что он срабатывает для любого сигнала, на который издатель мог бы правдоподобно действовать (самозаявленный возраст, сигнал родительского контроля, категория контента, которая сильно подразумевает молодую аудиторию, флаг аккаунта из собственной пользовательской системы издателя). CMP должна кодировать это ограничение: даже если несовершеннолетний пользователь принимает маркетинговые cookie, путь таргетированной рекламы должен по умолчанию быть отключён. Запасной вариант — контекстная реклама — выбор рекламы на основе контента страницы, а не пользовательских профилей — которую большинство крупных SSP и рекламных серверов теперь предоставляют как первоклассный режим доставки.

Запрет на чувствительные данные

DSA также запрещает таргетированную рекламу на основе профилирования, которое использует особые категории персональных данных, как определено в статье 9 GDPR — раса, религия, политические взгляды, членство в профсоюзе, здоровье, половая жизнь, сексуальная ориентация, биометрические данные, генетические данные. Запрет абсолютен: согласие не разблокирует его. Издатели, ведущие категории контента, которые касаются любой из этих областей — издатели о здоровье, религиозные медиа, политические новостные сайты, ЛГБТК+ публикации — должны гарантировать, что их ad-tech стек не передаёт рекламодателям сигналы профиля, полученные из этих данных, даже когда пользователь дал согласие на все категории маркетинга.

Операционные последствия для CMP

CMP должна кодировать ограничения DSA как жёсткие барьеры, а не переключения состояния согласия. Квитанция согласия, которая говорит «все категории приняты», не авторизует таргетированную рекламу для несовершеннолетнего или на основе данных статьи 9. Самая чистая реализация направляет состояние согласия, сигнал несовершеннолетнего и классификацию чувствительного контента страницы через единую функцию принятия решений, которая находится между CMP и ad-tech-поставщиками, и функция по умолчанию переходит на контекстную доставку всякий раз, когда срабатывает любой из барьеров DSA.

Отказ от рекомендательных систем

Статья 38 DSA требует, чтобы онлайн-платформы, использующие рекомендательные системы — алгоритмическое ранжирование контента в лентах, модули похожих статей, очереди «следующее видео» — объясняли основные параметры этих систем и предлагали пользователям по крайней мере один вариант, не основанный на профилировании. Издатели, ведущие персонализированное обнаружение контента, не могут сделать профилирование единственным доступным режимом.

Как выглядит режим без профилирования

Режим без профилирования — это обычно хронологическая лента, лента, ранжированная по популярности, или редакционно отобранная лента, которая не персонализирует на основе поведения отдельного пользователя. Пользователь должен иметь возможность переключиться на неё через чётко видимый элемент управления — не похороненный в настройках аккаунта — и выбор должен запоминаться для будущих сессий. Издатели должны рассматривать элемент управления рекомендательной системой как первоклассную часть UX согласия, часто выводимую через тот же интерфейс CMP, который обрабатывает предпочтения cookie.

Прозрачность параметров ранжирования

Платформа должна публиковать простым языком основные параметры, которые использует её рекомендательная система — недавность, популярность, сходство с прошлым поведением, редакционный вес, релевантность рекламы. Публикация обычно является разделом в политике конфиденциальности или специальной страницей прозрачности, и она должна быть достаточно конкретной, чтобы регулятор, читающий её, мог проверить описание против фактического поведения платформы. Расплывчатый язык вроде «мы используем машинное обучение, чтобы рекомендовать контент, который вам может понравиться» не отвечает стандарту.

Как DSA накладывается поверх GDPR и ePrivacy

DSA не заменяет GDPR или ePrivacy — он добавляет правила уровня платформы поверх них. Взаимодействия в основном аддитивны, но в двух конкретных местах они ограничивают то, что может авторизовать одно лишь согласие.

Согласие не может переопределить запреты DSA

Запрет на таргетинг несовершеннолетних и запрет на чувствительные данные статьи 9 абсолютны. Пользователь не может через согласие получить таргетированную рекламу ни в одном случае. Это значимое проектное ограничение для CMP, которые исторически рассматривали согласие как универсальную разблокировку — по DSA состояние согласия необходимо, но недостаточно, и архитектура CMP должна это отражать.

Обязательства по прозрачности находятся поверх обязательств GDPR

Обязательства DSA по прозрачности рекламы — чёткая идентификация рекламы, называние рекламодателя, объяснение основных параметров таргетинга, использованных для конкретной доставки рекламы — независимы от требований прозрачности GDPR и должны быть удовлетворены в самом рекламном креативе. Большинство издателей обрабатывают это через шаблоны рекламного сервера, которые автоматически внедряют блок рекламного маркера DSA в показываемые креативы.

Практические изменения CMP и рекламного стека

DSA-осведомлённые CMP и рекламный стек имеют небольшое количество повторяемых элементов, которые стабилизировались по крупным коммерческим платформам к 2026 году.

Прокладка сигнала несовершеннолетнего

CMP должна принимать сигнал несовершеннолетнего из системы пользовательских аккаунтов издателя, классификации контента страницы или уровня родительского контроля и распространять сигнал в решение о согласии. Большинство CMP теперь предоставляют это как атрибут «несовершеннолетний» в квитанции согласия, который рекламный стек читает наряду с состоянием согласия. Сигнал проходит вниз через Google Consent Mode v2, строку IAB TCF v2.3 и любую специфичную для поставщика интеграцию, которая её поддерживает.

Классификация чувствительного контента

Издатели должны запускать проход классификации контента на каждой странице, который сопоставляет её с категориями чувствительных данных DSA. Классификация может быть ручной для редакционных сайтов со структурированными таксономиями или автоматизированной для высокообъёмных сайтов с NLP-основанной тегированием контента. Классификация питает решение о контекстном запасном варианте рекламного стека: страница, помеченная чувствительной категорией, направляется только на контекстную рекламу, независимо от состояния согласия.

Переключатель рекомендательной системы

Отказ от рекомендательной системы должен жить в том же месте, что и представление предпочтений баннера согласия — большинство CMP теперь предоставляют общий модуль «элементы управления платформой» для этой цели. Переключатель меняет предпочтение пользователя на уровне сессии и, если пользователь аутентифицирован, его предпочтение на уровне аккаунта. Нижестоящий рекомендательный сервис читает предпочтение на каждом вызове ранжирования.

Распространённые ошибки DSA, которые запускают выводы

Решения по правоприменению DSA в течение 2024 и 2025 годов произвели чёткий список паттернов, которые ведут к запросам Комиссии. CMP по умолчанию устанавливает флаг таргетинга несовершеннолетних в false для каждого пользователя, никогда не проверяя собственные возрастные сигналы издателя. Отказ от рекомендательной системы похоронен на три клика вглубь в настройках аккаунта, а не выведен рядом с баннером согласия. Блок рекламного маркера креатива добавляется к дисплейной рекламе, но пропускается для видеокреативов. Классификация чувствительного контента охватывает очевидные категории, такие как здоровье и религия, но пропускает политические новостные сайты, которые тем не менее квалифицируются по защите политических взглядов статьи 9. Уровень очень крупной онлайн-платформы публикует свою оценку системных рисков, но рассматривает её как разовое упражнение, а не как ежегодный живой документ, который требует DSA.

Итог

DSA — это первое крупное регулирование ЕС со времён GDPR, которое существенно переформировывает то, что издатели могут делать с вниманием аудитории, на которое они уже собрали согласие. Запреты на таргетинг несовершеннолетних и статьи 9 — это абсолютные проектные ограничения, а не опции согласия. Отказ от рекомендательной системы — это первоклассный пользовательский элемент управления, который находится рядом с cookie-баннером. Обязательства по прозрачности доставки рекламы требуют шаблонов рекламного сервера, которые автоматически внедряют правильные маркеры в каждый показываемый креатив. Ничего из этого не является необязательным, и ничего из этого нельзя дооснастить в спешке, когда приходит письмо о правоприменении. Издатели, которые встроили барьеры DSA в свою CMP и рекламный стек во время поэтапного ввода 2023-2024 годов, теперь работают чисто; издатели, которые рассматривали DSA как упражнение по документации, проводят 2026 год в очереди правоприменения Комиссии. Работа умеренная, архитектура устоявшаяся, и последствия пропуска её больше не гипотетичны.