17 лютого 2024 року Акт про цифрові послуги (Digital Services Act, або ж DSA), що є ключовим документом на рівні ЄС у сфері регулювання платформ та їх діяльності з модерації контенту, почне повноцінно застосовуватися. Це означає, що з цієї дати компанії, які підпадають під регулювання — а це всі Інтернет-посередники — муситимуть дотримуватися обов’язків у сфері належної обачності (due diligence). Ризик їх недотримання може призводити до значних штрафів, що накладатимуться Координаторами цифрових послуг у країнах походження таких компаній.
Втім, активуванню норм DSA до всіх категорій Інтернет-посередників передував значний підготовчий етап, що тривав від моменту публікації тексту Акту у жовтні 2022 року. Вже на ньому гравці, залучені до впровадження DSA, здійснили низку дій, що закладають фундамент для подальшого регулювання. У цьому матеріалі ми розкажемо про основні кроки, які вже здійснила Єврокомісія та держави-члени, а також їх можливий вплив на подальше регулювання платформ.
Дуже великі онлайн-платформи та пошукові системи: хто потрапив в опалу?
Одним з найочікуваніших етапів впровадження DSA мало стати визначення дуже великих онлайн-платформ та пошукових систем, так званих VLOP+SE. До них, як до платформ, що несуть системні ризики для користувачів та онлайн-середовища загалом, текст Акту висуває найбільший перелік зобов’язань, дотримання яких контролюватиме не національний регулятор, а Європейська комісія. Кваліфікація таких платформ можлива у разі, якщо їх послугами щомісячно на території ЄС користується понад 45 мільйонів користувачів (приблизно 10% населення ЄС). На них поширюються такі додаткові зобов’язання:
- проведення періодичної оцінки ризиків та запровадження заходів, спрямованих на їх усунення або зменшення їх впливу;
- впровадження механізмів кризового реагування за рішенням Єврокомісії;
- проходження незалежних аудитів щодо впровадження DSA, з обов’язковою публікацією неконфіденційної частини та втіленням рекомендацій у життя;
- впровадження функції внутрішнього комплаєнсу;
- створення репозиторію реклами, який має бути зручним для пошуку та дослідження за багатьма критеріями;
- надання доступу до даних платформи для регуляторів та належно перевірених дослідників для дослідження системних ризиків та заходів їх мінімізації;
- посилені вимоги щодо прозорості та звітування у сфері модерації контенту.
Дані про кількість користувачів платформи мали безпосередньо опублікувати до 17 лютого 2023 року, для чого Єврокомісія випустила необов’язкові рекомендації. У квітні 2023 року було номіновано перші 19 платформ, після чого у грудні 2023 року до них додалося ще три платформи, пов’язані з поширенням порнографії. На сьогодні під регулювання як VLOP+SE потрапляють:
- маркетплейси: AliExpress, Amazon, AppStore, Google Play, Google Shopping, Zalando;
- соцмережі: LinkedIn, Facebook, Instagram, Pinterest, Snapchat, Tiktok, X;
- відеоплатформи: Youtube, Pornhub, Stripchat, XVideos;
- пошукові системи: Bing, Google;
- Google Maps, Booking.com та Wikipedia.
Низка платформ не погодилася з таким визначенням і намагались оскаржити його ще до публікації Єврокомісією неконфіденційних даних, які стали підґрунтям для квітневого рішення. Так, Zalando оскаржує рішення Єврокомісії у Суді Справедливості ЄС. Amazon вдалося в рамках проміжного розгляду аналогічної скарги зупинити щодо себе дію норм щодо публікації репозиторію реклами, оскільки така публікація могла б спричинити погіршення становища компанії на ринку через розкриття особливостей ведення рекламного бізнесу на платформі конкурентам.
З іншого боку барикад, Єврокомісія самостійно ініціювала розслідування проти X (колишнього Twitter). Фокусом цього розслідування є можливі порушення щодо оцінки та усунення ризиків щодо поширення протиправного контенту (зокрема, проблемність Стандартів спільноти), функціонування «notice-and-action» механізму, доступу належно перевірених дослідників до даних платформи, а також оманливого дизайну платформи (зокрема синіх галочок). Таким чином Єврокомісія відреагувала на недостатність зусиль щодо протидії поширенню протиправного контенту на X після відновлення активних бойових дій між Ізраїлем та «Хамас» у жовтні 2023 року.
Єврокомісія окремо створила сторінку, за допомогою якої можна зручно спостерігати за всіма діями, які вона здійснює щодо регулювання VLOP+SE. З неї можна дізнатися, що станом на сьогодні Єврокомісія відправила кілька десятків запитів щодо отримання інформації платформам з різноманітних питань — від протидії дезінформації та захисту прав неповнолітніх до доступу дослідників до даних платформ. Оскільки провадження було відкрите лише щодо дітища Ілона Маска, можна презюмувати, що відповіді решти платформ переважно задовольнили чиновників з Брюсселю.
Прозорість, прозорість, і ще раз прозорість
Одним з фокусів регулювання платформ на рівні ЄС є забезпечення якомога більшої прозорості їх функціонування. Така прозорість має двох ключових адресатів — регуляторів, які повинні отримувати доступ до інформації для належного здійснення своїх повноважень та можливого ініціювання змін до регулювання, та користувачів, що мають розуміти політики платформ та шляхи модерації, курування та оскарження протиправності контенту.
Для Єврокомісії найважливішою подією в цей період стало надсилання дуже великими онлайн-платформами та пошуковими системами своїх перших звітів щодо прозорості, а також звітів з оцінки системних ризиків. Друга категорія звітів поки не оприлюднена, але вже була надіслана компаніями до Єврокомісії наприкінці серпня. Перші звіти щодо прозорості були оприлюднені платформами наприкінці жовтня – на початку листопада. Завдяки ним можна знайти інформацію про кількість звернень держав до платформ із запитами на видалення чи обмеження контенту та надання персональних даних користувачів, показники щодо видалення контенту та облікових записів за порушення певних категорій правил спільноти. Дослідники, втім, вважають, що методологія створення цих звітів потребує доопрацювання зі сторони Єврокомісії, адже платформи по-різному зрозуміли обсяг своїх обов’язків за DSA, а тому якість звітів суттєво відрізняється, зокрема щодо їх деталізації. усі звіти з прозорості VLOP+SE можна знайти за посиланням.
Водночас, Єврокомісія сприяє і прозорості для користувачів. Зокрема, під її егідою було створено Базу умов користування цифровими послугами, що об’єднує в собі понад 700 політик більш ніж 400 сервісів, що з 17 лютого 2024 року підпадатимуть під дію DSA. Її створення не передбачене актом, але концентрує в одному місці більшість «terms and conditions» та політик компаній, за сервісами яких користувачі щоденно проводять значну кількість свого часу. Також Єврокомісія запустила Базу даних DSA-прозорості, створення якої передбачене статтею 24 Акту. Вона надає доступ до даних щодо видалення контенту в агрегованому стані, дозволяючи зрозуміти, з якої причини впроваджуються обмеження щодо контенту на тій чи іншій платформі.
Які такі акти? Делеговані акти та інша правотворчість Єврокомісії
DSA має багатошаровий механізм впровадження, що поєднує компетенції національних регуляторів та Єврокомісії, а також Європейської ради цифрових послуг у різних сферах регулювання щодо різних суб’єктів. У його рамках, Єврокомісія до 15 листопада 2027 року має право видавати делеговані акти у визначених сферах щодо методології визначення кількості користувачів платформ, здійснення аудитів, умов надання платформами даних дослідникам та сплати наглядового внеску. Такі акти, що є своєрідним додатком-деталізацією вимог DSA, набувають чинності у разі, якщо Рада ЄС чи Європарламент не висловлять своїх заперечень, а також мають проходити стадію публічних обговорень.
До початку повноцінного застосування DSA Єврокомісія затвердила один делегований акт, а також провела публічне обговорення ще двох. Єдиний прийнятий акт стосується проведення незалежних аудитів найбільшими онлайн-платформами та пошуковими системами. Він деталізує умови угоди про проведення аудиту, встановлює основні вимоги щодо його методології та передбачає порядок взаємодії аудитора та відповідної платформи. Два інших делегованих акти вже пройшли стадію обговорень, а тому можна очікувати їх прийняття найближчим часом. Вони стосуються запровадження уніфікованих форм звітів про прозорість, на відсутність яких вже нарікали після публікації перших звітів платформами, що належать до VLOP+SE, та створення інформаційної системи для взаємодії між Єврокомісією, національними координаторами цифрових послуг та Європейською радою цифрових послуг.
8 лютого Єврокомісія почала процес збору коментарів щодо проєкту Керівних принципів щодо цілісності виборчого процесу. Цей документ має дати розуміння того, як дуже великим онлайн-платформам та пошуковим системам діяти для подолання системних ризиків, що виникають під час проведення виборів.
Крім цього, у жовтні Єврокомісія прийняла тимчасові (до початку повноцінного функціонування DSA) Рекомендації щодо координації відповідей на інциденти, що виникають з поширення протиправного контенту. У цьому документі Єврокомісія наголосила на потребі отримувати допомогу у впровадженні норм Акту від національних органів ще до 17 лютого 2024 року та закликала держави співпрацювати навіть попри відсутність номінованих координаторів цифрових послуг через Неформальну мережу потенційних координаторів. Неформальна мережа мала б регулярно збиратися для обміну інформацією щодо нагляду за VLOP+SE та ідентифікації проблем, пов’язаних з поширенням протиправного контенту на таких платформах. Є інформація про щонайменше три такі зустрічі. Держав-членів ЄС також закликали до допомоги Єврокомісії у проведенні опитувань та перевірок VLOP+SE на своїй території.
Поверхом нижче: кого держави номінували координаторами цифрових послуг
Очікування від держав на цьому етапі впровадження DSA були незначними. Оскільки Акт є регламентом, тобто документом прямої дії в системі права ЄС, який не потребує прийняття національного законодавства, то єдиний обов’язок, що виникав для них до 17 лютого, стосувався призначення якогось із державних органів координатором цифрових послуг. Нагадаємо, що такі Координатори мають бути незалежними регуляторами, що відповідатимуть за нагляд за дотриманням дуже конкретних та складних зобов’язань, що містяться в DSA. Для цього вони наділені повноваженнями щодо розслідувань, проведення перевірок та накладання штрафів за порушення вимог DSA. Водночас, хоча такий координатор в державі має існувати один, частина повноважень з нагляду за дотриманням Акту може покладатися і на інші державні органи. Ключовим є те, що саме координатор буде відповідальним за ефективну взаємодію таких органів між собою.
Процес їх призначення просувався досить повільно: на це нарікала і Єврокомісія у згаданих вище жовтневих рекомендаціях. Втім, щодо значної частини держав-членів ситуація вже стала зрозумілішою бодай на рівні поданих пропозицій щодо того, який орган слід номінувати. Природнім був вибір конвергентних регуляторів, які мають під своїм мандатом питання, пов’язані з медіа та електронними комунікаціями (а часто — ще й захисту прав споживачів у ширшому сенсі). Так вчинили Австрія, Фінляндія, Угорщина, Іспанія та Італія. Подібним шляхом планує піти і Словенія. У країнах, де таких конвергентних регуляторів не існує, найбільш поширеним є вибір регулятора у сфері електронних комунікацій. До них належать Німеччина, Чехія та Швеція. Аналогічним шляхом планують рухатися далі Румунія, Литва, Болгарія, Бельгія, Польща, Португалія та Мальта. Медійного регулятора координатором призначила Ірландія і планує призначити Франція. У двох країнах, Данії та Люксембурзі, координаторами мають стати органи, що діють у сфері захисту економічної конкуренції. Схоже на те, що до них долучаться також і Нідерланди. Щодо ще шести держав-членів ЄС — Кіпру, Словаччини, Естонії, Хорватії, Греції та Латвії — є лише узагальнена та непідтверджена інформація щодо призначення координаторів.
Водночас, серед країн, що вже призначили координаторів, які не є конвергентними регуляторами, всі функції з нагляду за дотриманням посередниками DSA переважно не покладалися на один державний орган. Функції, пов’язані із захистом персональних даних, перебиратимуть на себе незалежні органи із захисту персональних даних. У Швеції частину наглядових функцій отримають медійний регулятор та орган із захисту прав споживачів. Орган із захисту прав споживачів долучатимуть до регулювання і в Фінляндії, а в Німеччині — орган, що займається захистом дітей від шкідливого контенту. За прикладами взаємодії між такими органами варто спостерігати, адже одним із можливих варіантів дизайну моделі впровадження DSA для України залишається розподіл різноманітних функцій між такими органами як НКЕК, Національна рада України з питань телебачення і радіомовлення та Антимонопольний комітет.
На що очікувати далі?
Після 17 лютого будь-які Інтернет-посередники та платформи, які працюють на території ЄС, матимуть виконувати широкий спектр зобов’язань, про які ми вже згадували вище. Очікується, що більшість платформ, які ще не зареєстровані на території однієї з держав-членів, номінують свого юридичного представника в одній з них. Цього буде достатньо для того, аби відповідати вимогам Акту щодо наявності контактної особи на території Союзу для звернення щодо будь-яких регуляторних питань. Також варто спостерігати за провадженнями щодо порушень DSA: саме вони дозволять зрозуміти динаміку та прояснити дизайн втілення норм Акту в життя.
Втім, багатьох із нас в Україні передусім цікавить доля Telegram: він кваліфікуватиметься як платформа, але поки що не висловлював готовності відповідати умовам DSA. Акт за певних умов дозволяє застосовувати досить широкі санкції аж до обмеження діяльності сервісу в ЄС, але чи готовий буде так далеко зайти бодай один з національних регуляторів — питання, що лишається відкритим.
Максим Дворовий, юрист Лабораторії цифрової безпеки