DSA的覆盖范围及适用对象

DSA是一项法规，而非指令——它无需各成员国进行国内转化即可在所有EU成员国直接生效。该法规于2023年8月对超大型在线平台和搜索引擎全面生效，并于2024年2月对其他所有主体生效，这意味着发布者已积累了两年的实际运营经验。该法案根据规模和平台类型设置了分级义务：微型和小型企业基本豁免，中介服务有基本义务，托管服务提供商承担内容审核义务，在线平台面临额外的透明度规则，而月活跃EU用户超过四千五百万的超大型在线平台则面临最严格的义务，包括系统性风险评估和外部审计。

大多数发布者的定位

绝大多数发布者属于在线平台类别——他们托管用户生成内容（评论、论坛帖子、读者投稿），投放广告，并通过算法信息流或相关文章模块推荐内容。在线平台层级正是DSA在运营层面发挥实质作用的领域：针对未成年人的定向广告限制、广告投放和定向参数的透明度义务、推荐系统说明和退出选项，以及针对违法内容的通知与处理机制。超过超大型在线平台门槛的发布者还需额外承担系统性风险评估、外部审计员记录义务，以及向欧洲委员会审定研究人员开放平台数据的要求。

地域适用测试

DSA具有域外适用性。一旦EU用户可以与服务进行交互，拥有欧洲访问者的美国发布者便在其适用范围之内——这实际上涵盖了每个面向公众的网站。判断标准不在于发布者的注册地，而在于该服务是否向EU用户提供。与GDPR一样，这一标准默认捕获了全球大多数出版行业。

定向广告限制

对Cookie同意和广告运营影响最大的DSA层面是Article 26，它以两种发布者必须设计规避的具体方式限制定向广告。

未成年人定向禁令

DSA禁止基于个人数据画像向未成年人投放定向广告。只要发布者知道或应合理知道接收者是未成年人，该禁令即适用——实际上，这意味着发布者可能据以行动的任何信号都会触发该禁令（自报年龄、家长控制信号、强烈暗示年轻受众的内容类别、发布者自身用户系统中的账户标记）。CMP必须对这一限制进行编码：即使未成年用户接受了营销Cookie，定向广告路径也必须默认关闭。替代方案是上下文广告——基于页面内容而非用户画像进行广告选择——大多数主要SSP和广告服务器现在已将其作为一种一等投放模式提供。

敏感数据禁令

DSA还禁止基于使用GDPR Article 9定义的特殊类别个人数据所进行的画像来投放定向广告——种族、宗教、政治观点、工会成员资格、健康状况、性生活、性取向、生物特征数据、基因数据。该禁令是绝对的：同意无法解除它。经营涉及上述任何领域内容的发布者——健康类出版商、宗教媒体、政治新闻网站、LGBTQ+出版物——必须确保其广告技术栈不会将源自这些数据的画像信号传递给广告主，即使用户已同意所有类别的营销活动。

对CMP的运营影响

CMP必须将DSA限制编码为硬性关卡，而非同意状态切换。写有「所有类别已接受」的同意凭证，并不授权向未成年人或基于Article 9数据投放定向广告。最简洁的实现方式是将同意状态、未成年人信号和页面敏感内容分级，通过位于CMP和广告技术供应商之间的单一决策函数进行路由，每当任一DSA关卡触发时，该函数默认采用上下文投放。

推荐系统退出选项

DSA Article 38要求使用推荐系统——信息流中的算法内容排序、相关文章模块、视频自动播放队列——的在线平台，解释这些系统的主要参数，并为用户提供至少一种不基于画像的选项。运营个性化内容发现的发布者不得将画像作为唯一可用模式。

非画像模式的形态

非画像模式通常是按时间顺序排列的信息流、按热度排名的信息流，或者不基于个别用户行为进行个性化的编辑精选信息流。用户必须能够通过清晰可见的控件切换至该模式——不得深埋在账户设置中——且该选择必须在后续会话中被记住。发布者应将推荐系统控件视为同意用户体验的一等组成部分，通常通过处理Cookie偏好设置的同一CMP界面来呈现。

排名参数透明度

平台必须以通俗语言公开其推荐系统使用的主要参数——时效性、热度、与过往行为的相似度、编辑权重、广告相关性。这一公开通常体现为隐私政策中的一个章节或专门的透明度页面，其内容应足够具体，使监管机构能够对照实际平台行为核实描述的准确性。诸如「我们使用机器学习为您推荐可能感兴趣的内容」之类的模糊表述无法达到该标准。

DSA如何与GDPR和ePrivacy叠加适用

DSA并不取代GDPR或ePrivacy，而是在其之上叠加平台层面的规则。两者的交互大多是叠加性的，但在两个具体方面，它们限制了单凭同意所能授权的范围。

同意无法推翻DSA禁令

未成年人定向禁令和Article 9敏感数据禁令是绝对的。在任何一种情况下，用户都无法通过同意来获得定向广告。对于历史上将同意视为万能解锁钥匙的CMP而言，这是一个重要的设计约束——在DSA下，同意状态是必要但非充分条件，CMP架构必须反映这一点。

透明度义务叠加于GDPR之上

DSA的广告透明度义务——清晰标识广告、注明广告主名称、解释用于特定广告投放的主要定向参数——独立于GDPR的透明度要求，必须在广告素材本身中得到满足。大多数发布者通过广告服务器模板来处理这一问题，这些模板会自动将DSA广告标记区块注入已投放的素材中。

实用CMP和广告技术栈调整

具备DSA意识的CMP和广告技术栈拥有少量可重复的要素，这些要素在2026年已在各大主流商业平台上趋于稳定。

未成年人信号管道

CMP必须接受来自发布者用户账户系统、页面内容分级或家长控制层的未成年人信号，并将该信号传递至同意决策中。大多数CMP现在将其作为同意凭证上的「未成年人」属性公开，广告技术栈与同意状态一并读取该属性。该信号通过Google Consent Mode v2、IAB TCF v2.3字符串以及任何支持该信号的供应商专属集成向下游流转。

敏感内容分级

发布者应对每个页面进行内容分级，将其映射到DSA敏感数据类别。对于拥有结构化分类法的编辑网站，分级可以手动完成；对于使用基于NLP的内容标记的高流量网站，则可以自动化处理。分级结果输入广告技术栈的上下文回退决策：标记了敏感类别的页面无论同意状态如何，均只投放上下文广告。

推荐系统切换开关

推荐系统退出控件应与同意横幅的偏好视图位于同一位置——大多数CMP现在为此公开了一个通用的「平台控件」模块。该切换开关更改用户的会话级偏好，如果用户已登录，则同时更改其账户级偏好。下游推荐服务在每次排序调用时读取该偏好。

触发调查的常见DSA错误

2024年和2025年的DSA执法决定产生了一份清晰的模式清单，这些模式会引发欧洲委员会的调查。CMP对每位用户的未成年人定向标记默认设为关闭，但从未检查发布者自身的年龄信号。推荐系统退出控件深埋在账户设置的三次点击之后，而非显示在同意横幅附近。广告素材的DSA广告标记区块添加到了展示广告中，但视频素材被遗漏。敏感内容分级涵盖了健康和宗教等明显类别，但遗漏了尽管如此仍符合Article 9政治观点保护条件的政治新闻网站。超大型在线平台层级发布了其系统性风险评估，但将其视为一次性工作，而非DSA要求的年度更新文件。

核心结论

DSA是自GDPR以来首部从实质上重塑发布者可以如何运用已获得同意的受众注意力的重大EU法规。未成年人定向禁令和Article 9禁令是绝对的设计约束，而非同意选项。推荐系统退出选项是一等用户控件，与Cookie横幅并列。广告投放的透明度义务要求广告服务器模板自动将正确标记注入每个已投放的素材。这些都不是可选项，也都无法在收到执法信函后匆忙补救。在2023至2024年分阶段实施期间将DSA关卡纳入CMP和广告技术栈的发布者，现在运营顺畅；将DSA视为文档工作的发布者，则正在2026年排队等待欧洲委员会的执法处理。这项工作的难度适中，架构已然成熟，跳过它的后果不再是假设。