Кого касается новый закон о рекомендательных системах № 149-ФЗ и что делать

Нарушение закона может привести к блокировке сайта. В статье руководитель отдела развития компании Sparrow Виктория Гавва рассказала, к кому обращен закон, как правильно подготовить площадки и какие нюансы могут встретиться в работе при новых условиях.

Кого это касается

1. Тех, кто выводит рекомендательные блоки с чужим контентом на своем сайте. Закон говорит о тех ресурсах, системах и программах, которые собирают данные о пользователе, и уже на основе этих данных показывают персонализированный контент. Например, пользователь часто читает о бизнесе на сайте Х, сайт эти данные собрал, обработал и понял, что ему могут быть интересны и другие статьи на сайте Y про бизнес: именно их и вывел в блоке «Это может быть интересно».
2. Тех, кто оплачивает размещение своих статей на других площадках. То есть если трафик был привлечен на ресурс через размещение на сторонних площадках. Однако это работает только в том случае, если площадка показывает блок с вашей новостью определенным посетителям на основе сбора данных.
3. Если рекомендательная система на основе персонализированных параметров выводит ваш контент на вашем же сайте. Так как здесь ведется сбор персональных данных и их последующее использование для персонализированного ранжирования, площадка тоже попадает под требование закона.
4. Если в рекомендательных блоках размещается контент с условием «показывать эту новость только пользователям с определенными параметрами», закон касается и заказчика, и площадки.

Кого закон точно не касается

Если размещены и куплены те рекомендательные блоки, которые все видят одинаково, а для показа не используются данные посетителей площадки. Например, блоки со свежими новостями или рекомендательный блок по теме статьи на странице.

Когда контент расположен в рекомендательных блоках без условий показа и содержимое одинаково видят все пользователи. Также это работает, если контент размещен на чужих площадках с тем же условием.

Как теперь работать правильно

•  Cookies

Каждый ресурс обязательно спрашивает пользователя, согласен ли он предоставлять сайту свои данные. Это уже отработанная практика, по которой сайт запрашивает согласие на обработку cookies. В этой точке происходит следующее: если посетитель отказался, то сайт не имеет права собирать и обрабатывать информацию о пользователе. Поэтому для такого сегмента нельзя выводить персонализированный рекомендательный блок.

• Виджет

О том, что на сайте ведется персонализированный показ контента, необходимо предупреждать. Для этого используется виджет, на котором лучше указать адрес электронной почты и наименование организации (или фамилию и инициалы для физического лица). Это нужно для того, чтобы посетитель сайта мог направить юридически важные сообщения на почту сайта. Здесь же нужна ссылка на документ с описанием алгоритма работы рекомендательной системы и кнопка с возможностью отказаться от применения алгоритма к пользователю.

• Положение

По аналогии с размещением «Пользовательского соглашения» теперь на ресурсах должен присутствовать еще один документ. В нем нужно описать, как и какие данные пользователя собираются, а также рассказать, для каких целей и каким образом они используются в дальнейшем. Здесь также необходимо перечислить виды собираемых сведений и каким путем они были получены. Закон разрешает этот документ совместить с «Пользовательским соглашением» в единый файл или страницу.

Пример можно увидеть в «Правовой информации» на сайте Sparrow.

По формулировке текста государство еще не предоставило информацию, поэтому совместно с юристами составили предварительный вариант. Вместе с этим ожидаются поправки в закон, которые внесут больше конкретики в формулировки текстов уведомлений.

Примеры

Отказная страница

У каждого сайта есть отказной трафик — те посетители, которые закрывают страницу. Таким пользователям можно выводить баннер с рекомендованными статьями, которые могут заинтересовать. Как показывает практика, часть такого трафика возвращается на сайт. В этом случае тоже используем персонализированный показ контента. Выглядит это так:

Рекомендательный блок

Еще один способ показывать персонализированный контент. Здесь размещены статьи, подобранные по интересам посетителя.

Бесконечная лента

Это лента со статьями, которые ранжируются по релевантному интересу пользователя. Также сюда входят новости, которые конкретный посетитель выберет с наибольшей вероятностью.

Такие блоки обязательно нуждаются в согласии пользователя на сбор персональных данных.

Как поступать теперь

Сейчас на всех страницах сайта, где ведется сбор персональных данных, публикуем уведомление для пользователя. В уведомлении даем ссылку на полную расшифровку того, как собираем эти данные, зачем и как их в дальнейшем используем.

В уведомлении размещаем следующий текст:

Если пользователь отказался от сбора персональных данных

В том случае, если пользователь отказался от сбора данных, нужно реализовать один из следующих вариантов:

1. отказать ему в доступе к сайту;
2. не собирать персональные данные;
3. не выводить персонализированный контент.

Что будет, если не соблюдать закон

О несоблюдении закона Роскомнадзор может узнать самостоятельно или в результате происков конкурентов. Поэтому здесь не советуем уповать на возможность остаться незамеченными в том случае, если ресурс небольшой.

1. После сигнала о том, что вы нарушаете закон, Роскомнадзор придет с проверкой. В рамках проверки будут запрошены доступы к информации о применении технологий (как раз то, о чем нужно написать в дополнительном соглашении для пользователя): как, какую информацию собираете и каким путем используете ее в дальнейшем. Здесь же сделают запрос на предоставление доступа к самой платформе.
2. При выявлении нарушений Роскомнадзор уведомит вас и выдаст официальное требование устранить их. На устранение будет выделено 10 дней с момента получения уведомления.
3. По окончании 10-дневного срока вас снова проверят. Если в этот момент заметят, что нарушения не устранены, выдвинут требование прекратить использование рекомендательной системы.
4. В случае неповиновения требованию доступ к ресурсу блокируется.

Итог

Новый закон вступает в силу с первого октября. Площадки, которые собирают персональные данные и используют их для вывода персонализированного контента, должны теперь соблюдать ряд правил:

1. Уведомлять пользователя о сборе данных.
2. Дать возможность пользователю отказаться от этого сбора или согласиться.
3. Показывать рекомендательный персонализированный контент можно только последним.
4. На сайте обязательно нужно сообщение о том, что вы выводите контент на основе данных. Его нужно размещать на всех страницах, где ведется сбор.
5. Необходимо составить и разместить в свободном доступе на сайте документ, где будет описана механика сбора и дальнейшее использование данных посетителя. Его нужно опубликовать или отдельным файлом, или добавить к тексту Пользовательского соглашения.

Закон новый, поэтому ожидается ряд поправок и уточнений.