SEO-безопасность: риски сторонних скриптов, виджетов и рекламы
В предыдущей статье я описал ключевые «подводные камни» при оформлении и публикации фундаментальных документов в сфере защиты и обработки ИИ.
В третьей и заключительной части разберем, что такое «рекомендательные технологии», как их правильно оформить на сайте и как правильно ознакомить с ними пользователя, а также рассмотрим риски интеграции различных сервисов (в т.ч. зарубежных) на сайт, включая аналитику, reCAPTCHA, Google Fonts, Iframe и пр.
Рекомендательные технологии
С 1 октября 2023 года вступил в силу ФЗ № 4081, который обязал владельцев интернет-ресурсов, применяющих рекомендательные технологии, оповещать пользователей о том, какие системы применяются, в каких целях используются и о правилах их функционирования.
Простыми словами, рекомендательные технологии – это специальные запрограммированные алгоритмы, которые анализируют действия пользователя на сайте и их характеристики (частоту, скорость и пр.). В результате формируется набор данных, который затем обрабатывается программным кодом и на его основе пользователю предлагается предпочтительный контент/реклама.
Разумеется, обрабатывать такие данные без ведома пользователя нельзя, поэтому законодатель предписал владельцам рекомендательных технологий выполнить следующие действия:
1. Информировать всех пользователей сайта путем демонстрации специального уведомления на сайте. Практика показывает, что достаточно разместить плашку с текстом «На информационном ресурсе применяются рекомендательные технологии», а также обеспечить переход по ней к документу, который описывает принципы работы рекомендательных технологий.
2. Разместить на сайте документ, устанавливающий правила применения рекомендательных технологий. Доступ пользователей к этим правилам не должен быть ограничен или обусловлен регистрацией или идентификацией пользователя, а также взиманием платы за доступ к этой информации. Правила должны быть размещены на русском языке. Документ обязан включать в себя:
- a. описание процессов и методов сбора, систематизации, анализа сведений, относящихся к предпочтениям пользователей сети;
- b. виды сведений, относящихся к предпочтениям пользователей сети «Интернет».
На скриншоте выше видно, что под футером находится ссылка с текстом «Применяются рекомендательные технологии». Нажатие по ней ведет пользователя на специальный документ – Правила применения (см. скриншот ниже).
Такая форма юридического оформления является корректной и минимизирует риски.
3. Разместить на сайте адрес электронной почты для направления в адрес владельца сайта юридически значимых сообщений, свои фамилию и инициалы (для физического лица) или наименование (для юридического лица).
Важно отметить, что если пользователь сам задает параметры поиска, после чего ему выдается информация, то на такие сайты требования не распространяются.
Например, заполнение фильтров при выборе товара в интернет-магазине или выбора жанров при подборе фильма в онлайн-кинотеатре не подпадает под действие введенной нормы.
Но если на основе открытия страницы с холодильниками или частого просмотра ужастиков сайт без уведомления пользователя предлагает ему товар или услугу, то применение таких рекомендательных технологий должно происходить в строгом соответствии с вышеназванными требованиями.
CDN и другие зарубежные сервисы
С июля 2025 года в действие вступила новая редакция п. 5 ст. 18 Федерального закона № 152 «О персональных данных». Ключевое изменение – запрет на первичный сбор и обработку персональных данных (ПД) граждан РФ на зарубежных платформах до их первоначального размещения в России. Это означает, что данные российских пользователей должны сначала попасть на серверы, находящиеся на территории РФ, и только после этого их можно передавать за рубеж для дальнейшей обработки.
Простое наличие Политики по обработке ПД больше не является достаточным. Роскомнадзор проверяет, где именно хранятся базы данных и как вы обрабатываете персональные данные.
Для легального использования таких сервисов необходимо уведомить Роскомнадзор о трансграничной передаче данных и получить отдельное согласие пользователя на такую передачу.
В зоне риска находятся Google Analytics, Google Tag Manager, зарубежные формы (Google Forms, Typeform), виджеты WhatsApp/Telegram (передают номера и метаданные на зарубежные серверы), Mailchimp, HubSpot и любые другие сервисы, где данные сначала уходят за рубеж.
Для минимизации рисков вы можете рассмотреть переход на российские аналоги CRM, helpdesk и CDN-сервисов.
reCAPTCHA
Использование Google reCAPTCHA – это прямая передача данных (включая IP-адрес и поведенческие характеристики пользователя) на сервера Google за рубежом.
Роскомнадзор еще в 2023 году указывал, что использование CAPTCHA от Google может нарушать законодательство. С 1 июля 2025 года, с введением запрета на первичный сбор данных за рубежом, это становится еще более рискованным.
В качестве рекомендации можно предложить рассмотреть переход на российские аналоги, например, на систему «ИРИС» или Яндекс SmartCaptcha. Использование reCAPTCHA на сайтах со сбором ПД (формы, регистрация) без специальных условий (уведомление РКН и согласие пользователя) считается прямым нарушением.
Google Fonts и чем они опасны
Использование Google Fonts также влечет за собой передачу IP-адреса пользователя на сервера Google. В России IP-адрес может признаваться персональными данными, так как позволяет идентифицировать пользователя. Следовательно, загрузка шрифтов с серверов Google без согласия пользователя и без уведомления о трансграничной передаче данных является нарушением. Безопасный способ – хостить шрифты локально на своем сервере в РФ.
iFrame
Если на вашем сайте через iFrame загружается контент с зарубежного сервера, который собирает данные о пользователе (IP, cookies и пр.), ответственность за это лежит на вас как на операторе сайта.
Риски:
-
iFrame может передавать ПД за рубеж.
-
Пользователь не дает явного согласия на обработку данных через встроенный iFrame.
Суды и Роскомнадзор фиксируют нарушения, связанные с распространением ПД через встраиваемые элементы, если не получено соответствующее согласие, и отсутствует уведомление о трансграничной передаче ПД. Следовательно, будет полезным проверить все iFrame на сайте. Если они собирают данные – постарайтесь обеспечить получение согласия пользователя и локализацию данных.
Сбор заявок через соцсети и мессенджеры
Да, это тоже сбор ПД. Вы, как оператор, обязаны обеспечить те же условия, что и на сайте: наличие политики обработки ПД, получение согласия пользователя на обработку его данных. Сбор данных из соцсетей в коммерческих целях без согласия может быть признан незаконным и создать риски привлечения к ответственности по ст. 13.11 КоАП РФ. Если вы собираете заявки или личные данные через сообщения в соцсетях (ВКонтакте, Telegram) или через встроенные виджеты, вы обязаны:
-
Указать это в своей Политике обработки ПД.
-
Получить согласие пользователя на обработку его данных, в т.ч. используя функционал сервиса или виджета.
-
Форма согласия должна быть рядом с каждой точкой сбора ПД.
-
Согласие должно быть оформлено отдельно от пользовательского соглашения/оферты (более подробно я описал эти требования в своей первой статье).
Примите во внимание риски, что виджеты наподобие «Написать в WhatsApp» или Telegram передают номера, имена и метаданные на серверы за пределами РФ, что нарушает требования локализации.
Пиксели аналитики
Пиксели (VK Pixel, Meta* Pixel и др.) собирают данные о действиях пользователя, которые могут быть привязаны к личности. Следовательно, по закону вы обязаны:
-
Раскрыть сбор через пиксели в Политике обработки ПД.
-
Получить согласие пользователя на использование пикселей.
Если пиксель передает данные зарубежному сервису – необходимо подать уведомление о трансграничной передаче ПД в Роскомнадзор.
Анализ метрик
Аналитические системы собирают IP-адреса, данные об устройстве, поведении пользователя – все это является персональными данными пользователя. Поэтому, если используете зарубежную аналитику, например, Google Analytics, вы обязаны уведомить Роскомнадзор о трансграничной передаче. Но для минимизации рисков лучше перейти на отечественные аналоги.
Также не забудьте разместить в Политике обработки ПД раздел про аналитические сервисы: какие данные собираются и кем, а также собрать согласия пользователей на сбор их аналитических данных.
Реклама
Вы размещаете рекламу на вашем сайте? Под рекламой понимается практически любая информация, направленная на привлечение внимания к товару/услуге. Это могут быть баннеры, ссылки, тексты с призывом купить, и даже упоминания брендов в статьях.
Если да, то проверьте регистрацию рекламы согласно Приказу Роскомнадзора от 25.03.2025 N 68. Теперь каждая единица интернет-рекламы должна сопровождаться специальным идентификатором – набором символов, который добавляется к ссылке на сайте. Этот идентификатор необходимо получить в личном кабинете и разместить для всей рекламы, распространяемой на вашем сайте. Нарушение этих требований может повлечь за собой получение предписаний и штрафов от Роскомнадзора.
Выводы
Интеграция сторонних сервисов, рекомендательных систем и аналитики – это всегда баланс между удобством для маркетинга/SEO и соблюдением закона. Приведенные в статье правила и чек-листы помогут вам провести базовый аудит сайта и закрыть наиболее критичные уязвимости, за которые Роскомнадзор и ФАС штрафуют чаще всего.
Однако важно помнить: вся информация в данном материале предоставляется исключительно для общего сведения. Законодательство в сфере IT, рекламы и персональных данных меняется стремительно, а правоприменительная практика часто зависит от контекста конкретного бизнеса.
Не злоупотребляйте самостоятельной трактовкой законов по статьям из интернета. Чек-лист – это отличный старт для самопроверки, но для разработки юридически безупречных документов (Политик, Согласий, Правил) и оценки сложных интеграций обязательно обращайтесь к профильным юристам.
Собрав чек-листы из каждой статьи, вы можете сформировать полноценный пошаговый гайд для самопроверки на наличие юридических рисков в сфере обработки и защиты ПД.
Чек-лист
[ ] Информер (плашка) размещен и не мешает краулерам.
[ ] Правила применения рекомендательных технологий размещены на сайте (обычно в футере) и открыты для индексации.
[ ] В Правилах или на сайте явно прописаны ФИО/наименование компании, адрес местонахождения и email для юридически значимых сообщений.
[ ] Google Fonts локализованы.
[ ] Капча заменена на отечественную.
[ ] Весь встраиваемый контент (карты, видео, виджеты) проверен на предмет скрытого сбора cookies сторонними сервисами.
[ ] Настроена Яндекс Метрика. Если используется Google Analytics или зарубежные пиксели (Meta*, TikTok), подано уведомление в РКН о трансграничной передаче данных.
[ ] Персональные данные, собираемые на сайте или в приложении, локализуются на территории РФ. В случае последующей передачи, в Роскомнадзор подано уведомление о трансграничной передаче.
[ ] Вся рекламная информация на сайте (включая SEO-ссылки, если они носят рекламный характер по договору) содержит токен erid и пометку «Реклама» с указанием рекламодателя.
*Meta признана экстремистской и запрещена на территории РФ.
1 Федеральный закон от 31.07.2023 № 408-ФЗ «О внесении изменения в Федеральный закон «Об информации, информационных технологиях и о защите информации».