1. Введение

Таргетированная реклама — показ рекламных сообщений, отобранных на основе индивидуальных характеристик пользователя: демографических данных, истории поведения в сети, местоположения и интересов, — превратилась в доминирующую форму цифровых маркетинговых коммуникаций. По оценкам Statista, в 2023 году совокупный объём мирового рынка цифровой рекламы составил около 601 млрд долларов, причём значительная его часть приходится на персонализированные форматы [1, с. 12].

Актуальность исследования определяется тем, что регуляторные подходы к таргетированной рекламе в ведущих юрисдикциях существенно расходятся: Европейский союз избрал путь жёсткого превентивного регулирования с высокими санкциями; США традиционно отдают предпочтение отраслевому саморегулированию; Россия, обладая формально развитым законодательством, сталкивается с серьёзными проблемами правоприменения.

Цель статьи — выявить ключевые сходства и различия в правовом регулировании таргетированной рекламы в ЕС, США и России, а также наметить направления совершенствования российского законодательства. Методологическую основу составляют сравнительно-правовой метод и формально-юридический анализ нормативных актов.

2. Правовое регулирование в Европейском союзе

2.1. Общий регламент о защите данных (GDPR)

Европейский союз сформировал наиболее проработанную систему регулирования персональных данных, фундаментом которой служит GDPR, вступивший в силу 25 мая 2018 года [2, с. 1]. Регламент не содержит специальных норм о таргетированной рекламе, однако его положения распространяются на неё в полной мере, поскольку таргетирование неизбежно предполагает обработку персональных данных. Согласие пользователя должно быть свободным, конкретным, информированным и недвусмысленным [2, с. 42]; использование «тёмных паттернов», затрудняющих отказ от слежки, прямо запрещено.

Ключевой новацией GDPR применительно к таргетированной рекламе является право на возражение против профилирования (ст. 21) и право не подвергаться решениям, основанным исключительно на автоматизированной обработке (ст. 22). Санкционный режим отличается беспрецедентной жёсткостью: штраф может достигать 20 млн евро или 4 % мирового годового оборота [2, с. 83]. В 2023 году Meta[*] была оштрафована ирландским регулятором на 1,2 млрд евро за незаконную передачу данных пользователей в США [3].

2.2. Директива об электронной конфиденциальности и цифровые акты ЕС

Параллельно с GDPR действует Директива об электронной конфиденциальности (ePrivacy Directive, 2002/58/EC), требующая информированного согласия пользователя до установки cookies [4, с. 19]. Цифровой акт о рынках (DMA, 2022) запретил крупнейшим платформам-«привратникам» использовать данные сторонних сервисов для таргетинга без явного согласия. Цифровой акт об услугах (DSA, 2022) запретил таргетинг на основе особых категорий данных (политических взглядов, религии, сексуальной ориентации) и любой таргетинг, направленный на несовершеннолетних [5].

3. Правовое регулирование в США

3.1. Секторальная модель

США не располагают единым федеральным законом о защите персональных данных. Американская модель строится на секторальном регулировании — отдельные законы охватывают здравоохранение (HIPAA), финансы (GLBA), данные детей (COPPA). Общие нормы о защите потребителей в цифровой среде применяются Федеральной торговой комиссией (FTC) на основании § 5 Закона о FTC [6, с. 44], однако их применение к таргетированной рекламе остаётся фрагментарным.

3.2. Закон Калифорнии о конфиденциальности потребителей (CCPA/CPRA)

CCPA, вступивший в силу в январе 2020 года и расширенный CPRA (2023), стал наиболее значимым шагом американского законодательства в направлении европейской модели [8, с. 3]. Закон предоставляет жителям Калифорнии право знать, какие данные собираются; требовать их удаления; отказаться от их продажи и передачи третьим лицам в рекламных целях. Применительно к таргетированной рекламе CCPA/CPRA вводит понятие «обмена» данными (sharing), распространяя режим opt-out на кросс-контекстную поведенческую рекламу даже без формальной «продажи» данных [8, с. 17].

Вслед за Калифорнией аналогичное законодательство приняли более десяти штатов. Отсутствие единого федерального закона создаёт фрагментированную регуляторную среду, существенно затрудняющую соблюдение требований для платформ, ведущих деятельность в масштабах всей страны [9, с. 88].

4. Правовое регулирование в Российской Федерации

4.1. Федеральный закон «О рекламе»

Основу российского рекламного законодательства составляет ФЗ от 13.03.2006 № 38-ФЗ «О рекламе» [10]. Принятый до распространения цифровых платформ, он практически не содержит норм, адресованных специфике персонализированной интернет-рекламы. Существенной новацией стали поправки 2022 года, введшие обязательную маркировку интернет-рекламы и систему учёта через операторов рекламных данных (ОРД): каждому объявлению присваивается уникальный токен, сведения о кампаниях передаются в Единый реестр интернет-рекламы (ЕРИР) [11]. Однако эта система направлена на прозрачность рынка и налоговый контроль, а не на защиту персональных данных пользователей.

4.2. Федеральный закон «О персональных данных»

Обработка персональных данных при таргетировании регулируется ФЗ от 27.07.2006 № 152-ФЗ [12]. Закон формально содержит принципы, характерные для европейских стандартов: необходимость законного основания, минимизация данных, право субъекта на доступ и удаление. Вместе с тем практика его применения к таргетированной рекламе обнаруживает системные проблемы: понятия «профилирование» и «поведенческий таргетинг» в законе отсутствуют [13, с. 54], а формальное согласие, встроенное в многостраничные пользовательские соглашения, признаётся надлежащим.

Поправки 2021–2022 годов ввели ряд новаций, в том числе требование локализации персональных данных российских граждан на серверах в России (ст. 18.1) [12]. Это требование непосредственно затронуло иностранные рекламные платформы и стало основанием для штрафов в отношении Meta*, Google и Twitter.

5. Сравнительный анализ регуляторных подходов

Для систематизации выявленных различий составлена сравнительная таблица 1 по ключевым параметрам регулирования.

Таблица 1

Сравнительный анализ правового регулирования таргетированной рекламы

Составлено автором на основе анализа нормативных актов

Таблица наглядно демонстрирует, что при наличии ряда формальных сходств регуляторные системы существенно расходятся по модели согласия, размеру санкций и степени детализации норм применительно к таргетированной рекламе. Российская система уступает европейской по большинству параметров, хотя в части обязательной маркировки интернет-рекламы отечественное регулирование оказалось жёстче американского.

6. Проблемы правоприменения и перспективы совершенствования российского законодательства

Анализ действующего законодательства выявляет четыре системные проблемы.

Первая — понятийная неопределённость. Ни ФЗ «О рекламе», ни ФЗ «О персональных данных» не содержат определений «таргетированной рекламы», «профилирования» и «поведенческого таргетинга». В отсутствие легальных дефиниций правоприменитель лишён критериев для квалификации нарушений [13, с. 61]: именно детальный понятийный аппарат GDPR (ст. 4) стал одним из главных факторов действенности европейского регулирования.

Вторая — диспропорция санкций. Максимальный штраф по ФЗ-152 составляет 6 млн рублей — сумма, несопоставимая с масштабом нарушений крупных платформ. Для сравнения: штраф Meta* в 2023 году составил 1,2 млрд евро [3]. Столь низкий санкционный порог формирует экономически рациональную стратегию игнорирования требований закона.

Третья — институциональная слабость надзора. Роскомнадзор совмещает регуляторные функции в сферах СМИ, интернета и персональных данных, что создаёт конфликт приоритетов. Эффективность GDPR во многом объясняется именно независимостью национальных органов по защите данных [14, с. 78].

Четвёртая — отсутствие права на отказ от профилирования. Российский закон не предоставляет пользователям явного права возражать против автоматизированного таргетирования, тогда как именно это право является ключевым защитным инструментом GDPR (ст. 21–22).

К приоритетным направлениям совершенствования законодательства следует отнести: введение легальных дефиниций таргетированной рекламы и поведенческого профилирования; закрепление права пользователей на отказ от таргетирования; существенное повышение санкций до уровня, обеспечивающего реальный превентивный эффект; расширение ограничений на таргетинг несовершеннолетних; создание специализированного независимого органа по защите персональных данных [15, с. 33].

7. Заключение

Проведённый сравнительно-правовой анализ позволяет констатировать, что в мировой практике сложились две принципиально различные модели регулирования таргетированной рекламы. Европейская модель строится на принципе privacy by default: конфиденциальность является стандартным состоянием, от которого отступают лишь при наличии явного согласия или иного строгого законного основания. Американская модель исходит из принципа opt-out: обработка данных в рекламных целях допустима по умолчанию, а потребитель вправе от неё отказаться. Российское законодательство формально тяготеет к первой модели, однако практика правоприменения сближает его со второй.

Ключевой вывод состоит в том, что устаревшая понятийная база, низкий санкционный порог и отсутствие специализированного надзорного органа системно снижают эффективность российского регулирования. Вместе с тем система маркировки интернет-рекламы и ЕРИР, введённые в 2022 году, свидетельствуют о готовности законодателя к инновациям в данной сфере. Последовательная имплементация предложенных мер позволит приблизить отечественное законодательство к международным стандартам защиты прав пользователей цифровых платформ.

Литература:

1. Statista Research Department. Digital Advertising — Worldwide. Market Forecast Report. — Hamburg: Statista GmbH, 2024. — 54 p.
2. Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data (General Data Protection Regulation). — Brussels: Official Journal of the European Union, 2016. — L 119. — P. 1–88.
3. Irish Data Protection Commission. Decision in the matter of Meta* Platforms Ireland Limited. DPC Inquiry Reference: IN-18–5-5. — Dublin: DPC, 2023. — 168 p.
4. Directive 2002/58/EC of the European Parliament and of the Council of 12 July 2002 concerning the processing of personal data and the protection of privacy in the electronic communications sector (ePrivacy Directive). — Brussels: Official Journal of the European Union, 2002. — L 201. — P. 37–47.
5. Regulation (EU) 2022/2065 of the European Parliament and of the Council of 19 October 2022 on a Single Market For Digital Services (Digital Services Act). — Brussels: Official Journal of the European Union, 2022. — L 277. — P. 1–102.
6. Solove D. J., Hartzog W. The FTC and the New Common Law of Privacy // Columbia Law Review. — 2014. — Vol. 114, No. 3. — P. 583–676.
7. McDonald A. M., Cranor L. F. The Cost of Reading Privacy Policies // Journal of Law and Policy for the Information Society. — 2008. — Vol. 4, No. 3. — P. 543–568.
8. California Consumer Privacy Act of 2018, as amended by the California Privacy Rights Act of 2020. California Civil Code, §§ 1798.100–1798.199.100. — Sacramento: California State Legislature, 2023.
9. Citron D. K., Solove D. J. Privacy Harms // Boston University Law Review. — 2022. — Vol. 102, No. 3. — P. 793–868.
10. Федеральный закон от 13.03.2006 № 38-ФЗ «О рекламе» (ред. от 25.12.2023) // Собрание законодательства Российской Федерации. — 2006. — № 12. — Ст. 1232.
11. Федеральный закон от 02.07.2021 № 347-ФЗ «О внесении изменений в Федеральный закон «О рекламе»» // Собрание законодательства Российской Федерации. — 2021. — № 27. — Ст. 5176.
12. Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (ред. от 06.02.2023) // Собрание законодательства Российской Федерации. — 2006. — № 31 (ч. I). — Ст. 3451.
13. Савельев А. И. Закон о персональных данных в эпоху «больших данных»: необходима ли реформа? // Закон. — 2021. — № 9. — С. 48–72.
14. Voigt P., von dem Bussche A. The EU General Data Protection Regulation (GDPR): A Practical Guide. 2nd ed. — Cham: Springer, 2022. — 383 p.
15. Терещенко Л. К. Правовой режим персональных данных: проблемы и перспективы // Журнал российского права. — 2022. — № 8. — С. 25–40.

[*] Деятельность компании на территории России запрещена.