Що охоплює DSA і на кого він поширюється

DSA є регламентом, а не директивою — він має пряму дію в усіх державах-членах ЄС без потреби в національному перенесенні. Він повністю набрав чинності для дуже великих онлайн-платформ і пошукових систем у серпні 2023 року, а для всіх інших — у лютому 2024 року, тобто видавці вже мають дворічний операційний досвід роботи з цим режимом. Закон створює ступінчастий набір зобов'язань залежно від розміру та типу платформи: мікро- та малі підприємства в основному звільнені, посередницькі служби мають базові зобов'язання, провайдери хостингу стикаються з обов'язками модерації контенту, онлайн-платформи — з додатковими правилами прозорості, а дуже великі онлайн-платформи (понад сорок п'ять мільйонів місячних активних користувачів ЄС) — з найсуворішими зобов'язаннями, включно з оцінками системних ризиків та зовнішніми аудитами.

Де знаходиться більшість видавців

Переважна більшість видавців потрапляє до категорії онлайн-платформ — вони розміщують контент, створений користувачами (коментарі, публікації на форумах, матеріали читачів), розміщують рекламу та рекомендують контент через алгоритмічні стрічки або модулі пов'язаних статей. Рівень онлайн-платформи — це місце, де DSA стає операційно актуальним: обмеження таргетованої реклами для неповнолітніх, зобов'язання щодо прозорості параметрів показу та таргетингу оголошень, пояснення та відмови від рекомендаційних систем, а також режим повідомлення та дій стосовно незаконного контенту. Видавці, що перевищують поріг дуже великої онлайн-платформи, додають оцінку системного ризику, зобов'язання зовнішнього аудитора записів і вимогу надати перевіреним Комісією дослідникам доступ до даних платформи.

Географічний тест

DSA застосовується екстериторіально. Американський видавець із європейськими відвідувачами перебуває в сфері дії закону, як тільки користувачі ЄС можуть взаємодіяти з сервісом — що стосується практично кожного загальнодоступного веб-сайту. Тест — не де знаходиться видавець, а чи пропонується сервіс одержувачам із ЄС. Відображаючи GDPR, це охоплює більшість світової видавничої галузі за замовчуванням.

Обмеження таргетованої реклами

Рівень DSA, що найбільше впливає на згоду на файли cookie та рекламні операції, — це Article 26, який обмежує таргетовану рекламу двома конкретними способами, навколо яких видавці повинні будувати своє проектування.

Заборона таргетингу неповнолітніх

DSA забороняє таргетовану рекламу для неповнолітніх на основі профілювання за допомогою персональних даних. Заборона застосовується щоразу, коли видавець знає або повинен розумно знати, що одержувач є неповнолітнім — що на практиці означає її застосування до будь-якого сигналу, за яким видавець міг би обґрунтовано діяти (самозаявлений вік, сигнал батьківського контролю, категорія контенту, що переконливо вказує на молоду аудиторію, позначка акаунту у власній системі користувачів видавця). CMP повинен закодувати це обмеження: навіть якщо неповнолітній користувач приймає маркетингові файли cookie, шлях таргетованої реклами за замовчуванням повинен бути вимкнений. Альтернативою є контекстна реклама — вибір оголошень на основі контенту сторінки, а не профілів користувачів — що більшість великих SSP та рекламних серверів тепер пропонують як спосіб показу першого класу.

Заборона чутливих даних

DSA також забороняє таргетовану рекламу на основі профілювання, що використовує особливі категорії персональних даних, визначені в Article 9 GDPR — расу, релігію, політичні погляди, членство в профспілці, стан здоров'я, статеве життя, сексуальну орієнтацію, біометричні дані, генетичні дані. Заборона є абсолютною: згода її не знімає. Видавці, що здійснюють категорії контенту, пов'язані з будь-якою з цих сфер — видавці медичного контенту, релігійні ЗМІ, сайти політичних новин, LGBTQ+-видання — повинні гарантувати, що їхній рекламно-технологічний стек не передає рекламодавцям сигнали профілів, отримані з цих даних, навіть коли користувач погодився на всі категорії маркетингу.

Операційні наслідки для CMP

CMP повинен кодувати обмеження DSA як жорсткі шлагбауми, а не як перемикачі стану згоди. Квитанція про згоду, де сказано, що всі категорії прийнято, не дозволяє таргетовану рекламу для неповнолітнього або на основі даних Article 9. Найчистіші шляхи реалізації направляють стан згоди, сигнал неповнолітнього та класифікацію чутливого контенту сторінки через єдину функцію прийняття рішень, що знаходиться між CMP і постачальниками рекламних технологій, і функція за замовчуванням переходить до контекстного показу кожного разу, коли спрацьовує будь-який шлагбаум DSA.

Відмова від рекомендаційної системи

Article 38 DSA вимагає від онлайн-платформ, що використовують рекомендаційні системи — алгоритмічне ранжування контенту в стрічках, модулі пов'язаних статей, черги відео «наступне» — пояснити основні параметри цих систем і запропонувати користувачам щонайменше один варіант, що не базується на профілюванні. Видавці, що здійснюють персоналізоване виявлення контенту, не можуть зробити профілювання єдиним доступним режимом.

Як виглядає режим без профілювання

Режим без профілювання — це зазвичай хронологічна стрічка, стрічка, ранжована за популярністю, або редакційно підібрана стрічка, яка не персоналізує на основі поведінки окремого користувача. Користувач повинен мати можливість перейти до неї через чітко видимий елемент керування — не захований у налаштуваннях акаунту — і вибір повинен запам'ятовуватись для майбутніх сесій. Видавці повинні розглядати елемент керування рекомендаційною системою як першокласну частину UX згоди, часто відображену через той самий інтерфейс CMP, що керує налаштуваннями файлів cookie.

Прозорість параметрів ранжування

Платформа повинна публікувати зрозумілою мовою основні параметри, які використовує її рекомендаційна система — актуальність, популярність, схожість із минулою поведінкою, редакційну вагу, релевантність реклами. Публікація зазвичай є розділом у політиці конфіденційності або спеціальною сторінкою прозорості, і вона має бути достатньо конкретною, щоб регулятор, який читає її, міг перевірити опис відносно фактичної поведінки платформи. Розпливчасті формулювання на кшталт «ми використовуємо машинне навчання для рекомендування контенту, який вам може сподобатись» не відповідають стандарту.

Як DSA нашаровується на GDPR та ePrivacy

DSA не замінює GDPR або ePrivacy — він додає правила на рівні платформи поверх них. Взаємодії здебільшого є адитивними, але в двох конкретних місцях вони обмежують те, що лише згода може дозволяти.

Згода не може скасувати заборони DSA

Заборона таргетингу неповнолітніх та заборона чутливих даних Article 9 є абсолютними. Користувач не може дати згоду на отримання таргетованої реклами в жодному з цих випадків. Це важливе обмеження дизайну для CMP, які традиційно розглядали згоду як універсальний ключ — відповідно до DSA, стан згоди є необхідним, але недостатнім, і архітектура CMP має це відображати.

Зобов'язання щодо прозорості знаходяться поверх зобов'язань GDPR

Зобов'язання DSA щодо прозорості реклами — чітка ідентифікація оголошень, найменування рекламодавця, пояснення основних параметрів таргетингу, використаних для конкретного показу оголошень — є незалежними від вимог GDPR до прозорості і мають виконуватися безпосередньо в рекламному кріейтиві. Більшість видавців вирішують це за допомогою шаблонів рекламного сервера, що автоматично вставляють блок маркерів оголошень DSA у показані кріейтиви.

Практичні зміни CMP та рекламного стеку

CMP та рекламний стек, що враховують DSA, мають невелику кількість відтворюваних елементів, що закріпилися на великих комерційних платформах до 2026 року.

Трубопровід сигналу неповнолітнього

CMP повинен приймати сигнал неповнолітнього від системи облікових записів користувачів видавця, класифікації контенту сторінки або рівня батьківського контролю та поширювати сигнал на рішення про згоду. Більшість CMP тепер відображають це як атрибут minor у квитанції про згоду, яку рекламний стек зчитує разом зі станом згоди. Сигнал поширюється вниз через Google Consent Mode v2, рядок IAB TCF v2.3 та будь-яку специфічну для постачальника інтеграцію, яка його підтримує.

Класифікація чутливого контенту

Видавці мають проводити прохід класифікації контенту на кожній сторінці, яка зіставляє її з категоріями чутливих даних DSA. Класифікація може бути ручною для редакційних сайтів зі структурованими таксономіями або автоматизованою для сайтів із великим обсягом контенту з маркуванням на основі NLP. Класифікація живить рішення про контекстний запасний варіант рекламного стеку: сторінка, позначена чутливою категорією, переходить виключно до контекстних оголошень незалежно від стану згоди.

Перемикач рекомендаційної системи

Відмова від рекомендаційної системи повинна знаходитися там само, де й вигляд налаштувань банера згоди — більшість CMP тепер відображають загальний модуль «елементів керування платформою» для цієї мети. Перемикач змінює налаштування сесійного рівня користувача і, якщо користувач автентифікований, налаштування рівня акаунту. Низхідна служба рекомендацій зчитує налаштування при кожному виклику ранжування.

Поширені помилки DSA, що призводять до висновків

Рішення про виконання DSA у 2024 та 2025 роках виробили чіткий перелік схем, що призводять до розслідувань Комісії. CMP за замовчуванням встановлює прапорець таргетингу неповнолітніх як хибний для кожного користувача, жодного разу не перевіряючи власних вікових сигналів видавця. Відмова від рекомендаційної системи захована на три кліки вглиб у налаштуваннях акаунту, а не відображається поблизу банера згоди. Блок маркерів рекламних оголошень додається до медійних оголошень, але пропускається для відеокріейтивів. Класифікація чутливого контенту охоплює очевидні категорії, як-от здоров'я та релігія, але пропускає сайти політичних новин, які тим не менш підпадають під захист Article 9 щодо політичних поглядів. Рівень дуже великої онлайн-платформи публікує свою оцінку системного ризику, але розглядає її як разовий захід, а не як щорічний живий документ, якого вимагає DSA.

Підсумок

DSA — перший великий регуляторний акт ЄС після GDPR, що суттєво змінює те, що видавці можуть робити з увагою аудиторії, на яку вже отримано згоду. Заборона таргетингу неповнолітніх та заборона Article 9 є абсолютними обмеженнями дизайну, а не варіантами згоди. Відмова від рекомендаційної системи — це першокласний елемент керування користувача, що знаходиться поруч із банером файлів cookie. Зобов'язання щодо прозорості показу реклами вимагають шаблонів рекламного сервера, що автоматично вставляють правильні маркери в кожен показаний кріейтив. Жодна з цих вимог не є необов'язковою, і жодна не може бути виправлена нашвидкуруч, коли надходить листа про виконання. Видавці, які вбудували шлагбауми DSA у свій CMP та рекламний стек протягом фазового введення 2023–2024 років, зараз працюють без порушень; видавці, які розглядали DSA як вправу з документування, витрачають 2026 рік у черзі Комісії на виконання. Робота є помірною, архітектура є усталеною, а наслідки її пропуску вже не є гіпотетичними.