SEO-безопасность: опасности посторониих скриптов, виджетов и рекламы
В предшествующей статье я обрисовал главные «подводные камешки» при оформлении и публикации базовых документов в сфере защиты и обработки ИИ.
В третьей и заключительной части разберем, что такое «рекомендательные технологии», как их верно оформить на веб-сайте и как верно ознакомить с ними юзера, также разглядим опасности интеграции разных сервисов (в т.ч. забугорных) на веб-сайт, включая аналитику, reCAPTCHA, Гугл Fonts, Iframe и пр.
Рекомендательные технологии
С 1 октября 2023 года вступил в силу ФЗ № 4081, который обязал хозяев интернет-ресурсов, применяющих рекомендательные технологии, оповещать юзеров о том, какие системы используются, в которых целях употребляются и о правилах их функционирования.
Ординарными словами, рекомендательные технологии – это особые запрограммированные методы, которые анализируют деяния юзера на веб-сайте и их свойства (частоту, скорость и пр.). В итоге формируется набор данных, который потом обрабатывается программным кодом и на его базе юзеру предлагается желательный контент/реклама.
Очевидно, обрабатывать такие данные без ведома юзера недозволено, потому законодатель предписал обладателям рекомендательных технологий выполнить последующие деяния:
1. Информировать всех юзеров веб-сайта методом демонстрации специального извещения на веб-сайте. Практика указывает, что довольно расположить плашку с текстом «На информационном ресурсе используются рекомендательные технологии», также обеспечить переход по ней к документу, который обрисовывает механизмы работы рекомендательных технологий.

2. Расположить на веб-сайте документ, устанавливающий правила внедрения рекомендательных технологий. Доступ юзеров к сиим правилам не должен быть ограничен либо обоснован регистрацией либо идентификацией юзера, также взиманием платы за доступ к данной инфы. Правила должны быть расположены на российском языке. Документ должен включать в себя:
- a. описание действий и способов сбора, классификации, анализа сведений, относящихся к предпочтениям юзеров сети;
- b. виды сведений, относящихся к предпочтениям юзеров сети «Веб».
На снимке экрана выше видно, что под футером находится ссылка с текстом «Используются рекомендательные технологии». Нажатие по ней ведет юзера на особый документ – Правила внедрения (см. снимок экрана ниже).

Таковая форма юридического дизайна является корректной и минимизирует опасности.
3. Расположить на веб-сайте адресок электрической почты для направления в адресок обладателя веб-сайта юридически важных сообщений, свои фамилию и инициалы (для физического лица) либо наименование (для юридического лица).
Принципиально отметить, что если юзер сам задает характеристики поиска, опосля чего же ему выдается информация, то на такие веб-сайты требования не распространяются.
К примеру, наполнение фильтров при выбирании продукта в интернет-магазине либо выбора жанров при подборе кинофильма в онлайн-кинотеатре не подпадает под действие введенной нормы.
Но если на базе открытия странички с холодильниками либо нередкого просмотра ужастиков веб-сайт без извещения юзера дает ему продукт либо услугу, то применение таковых рекомендательных технологий обязано происходить в серьезном согласовании с вышеназванными требованиями.
CDN и остальные забугорные сервисы
С июля 2025 года в действие вступила новенькая редакция п. 5 ст. 18 Федерального закона № 152 «О индивидуальных данных». Ключевое изменение – запрет на первичный сбор и обработку индивидуальных данных (ПД) людей РФ (Российская Федерация — государство в Восточной Европе и Северной Азии, наша Родина) на забугорных платформах до их начального размещения в Рф. Это значит, что данные русских юзеров должны поначалу попасть на серверы, находящиеся на местности РФ (Российская Федерация — государство в Восточной Европе и Северной Азии, наша Родина), и лишь опосля этого их можно передавать за предел для предстоящей обработки.
Обычное наличие Политики по обработке ПД больше не является достаточным. Роскомнадзор инспектирует, где конкретно хранятся базы данных и как вы обрабатываете индивидуальные данные.
Для законного использования таковых сервисов нужно уведомить Роскомнадзор о трансграничной передаче данных и получить отдельное согласие юзера на такую передачу.
В зоне риска находятся Гугл Analytics, Гугл Tag Manager, забугорные формы (Гугл Forms, Typeform), виджеты WhatsApp/Telegram (передают номера и метаданные на забугорные серверы), Mailchimp, HubSpot и любые остальные сервисы, где данные поначалу уходят за предел.
Для минимизации рисков вы сможете разглядеть переход на русские аналоги CRM, helpdesk и CDN-сервисов.
reCAPTCHA
Внедрение Гугл reCAPTCHA – это ровная передача данных (включая IP-адрес и поведенческие свойства юзера) на сервера Гугл за рубежом.
Роскомнадзор еще в 2023 году указывал, что внедрение CAPTCHA от Гугл может нарушать законодательство. С 1 июля 2025 года, с введением запрета на первичный сбор данных за рубежом, это становится еще наиболее рискованным.
В качестве советы можно предложить разглядеть переход на русские аналоги, к примеру, на систему «ИРИС» либо Yandex SmartCaptcha. Внедрение reCAPTCHA на веб-сайтах со сбором ПД (формы, регистрация) без особых критерий (извещение РКН и согласие юзера) считается прямым нарушением.
Гугл Fonts и чем они небезопасны
Внедрение Гугл Fonts также тянет за собой передачу IP-адреса юзера на сервера Гугл. В Рф IP-адрес может признаваться индивидуальными данными, потому что дозволяет идентифицировать юзера. Как следует, загрузка шрифтов с серверов Гугл без согласия юзера и без извещения о трансграничной передаче данных является нарушением. Неопасный метод – хостить шрифты локально на собственном сервере в РФ (Российская Федерация — государство в Восточной Европе и Северной Азии, наша Родина).
iFrame
Если на вашем веб-сайте через iFrame загружается контент с забугорного сервера, который собирает данные о юзере (IP, cookies и пр.), ответственность за это лежит на вас как на операторе веб-сайта.
Опасности:
-
iFrame может передавать ПД за предел.
-
Юзер не дает очевидного согласия на обработку данных через интегрированный iFrame.
Суды и Роскомнадзор фиксируют нарушения, связанные с распространением ПД через встраиваемые элементы, если не получено соответственное согласие, и отсутствует извещение о трансграничной передаче ПД. Как следует, будет полезным проверить все iFrame на веб-сайте. Если они собирают данные – постарайтесь обеспечить получение согласия юзера и локализацию данных.
Сбор заявок через соцсети и мессенджеры
Да, это тоже сбор ПД. Вы, как оператор, должны обеспечить те же условия, что и на веб-сайте: наличие политики обработки ПД, получение согласия юзера на обработку его данных. Сбор данных из соцсетей в коммерческих целях без согласия быть может признан нелегальным и сделать опасности вербования к ответственности по ст. 13.11 КоАП РФ (Российская Федерация — государство в Восточной Европе и Северной Азии, наша Родина). Если вы собираете заявки либо личные данные через сообщения в соцсетях (ВКонтакте, Telegram) либо через интегрированные виджеты, вы должны:
-
Указать это в собственной Политике обработки ПД.
-
Получить согласие юзера на обработку его данных, в т.ч. используя функционал сервиса либо виджета.
-
Форма согласия обязана быть рядом с каждой точкой сбора ПД.
-
Согласие обязано быть оформлено раздельно от пользовательского соглашения/оферты (наиболее тщательно я обрисовал эти требования в собственной первой статье).
Примите во внимание опасности, что виджеты наподобие «Написать в WhatsApp» либо Telegram передают номера, имена и метаданные на серверы за пределами РФ (Российская Федерация — государство в Восточной Европе и Северной Азии, наша Родина), что нарушает требования локализации.
Пиксели аналитики
Пиксели (VK Pixel, Meta* Pixel и др.) собирают данные о действиях юзера, которые могут быть привязаны к личности. Как следует, по закону вы должны:
-
Раскрыть сбор через пиксели в Политике обработки ПД.
-
Получить согласие юзера на внедрение пикселей.
Если пиксель передает данные иностранному сервису – нужно подать извещение о трансграничной передаче ПД в Роскомнадзор.
Анализ метрик
Аналитические системы собирают IP-адреса, данные о устройстве, поведении юзера – все это является индивидуальными данными юзера. Потому, если используете иностранную аналитику, к примеру, Гугл Analytics, вы должны уведомить Роскомнадзор о трансграничной передаче. Но для минимизации рисков лучше перейти на российские аналоги.
Также не забудьте расположить в Политике обработки ПД раздел про аналитические сервисы: какие данные собираются и кем, также собрать согласия юзеров на сбор их аналитических данных.
Реклама
Вы располагаете рекламу на вашем веб-сайте? Под рекламой понимается фактически неважно какая информация, направленная на вербование внимания к товару/услуге. Это могут быть баннеры, ссылки, тексты с призывом приобрести, и даже упоминания брендов в статьях.
Если да, то проверьте регистрацию рекламы согласно Приказу Роскомнадзора от 25.03.2025 N 68. Сейчас любая единица интернет-рекламы обязана сопровождаться особым идентификатором – набором знаков, который добавляется к ссылке на веб-сайте. Этот идентификатор нужно получить в личном кабинете и расположить для всей рекламы, распространяемой на вашем веб-сайте. Нарушение этих требований может повлечь за собой получение предписаний и штрафов от Роскомнадзора.
Выводы
Интеграция посторониих сервисов, рекомендательных систем и аналитики – это постоянно баланс меж удобством для маркетинга/SEO и соблюдением закона. Приведенные в статье правила и чек-листы посодействуют для вас провести базисный аудит веб-сайта и закрыть более критические уязвимости, за которые Роскомнадзор и ФАС штрафуют почаще всего.
Но принципиально держать в голове: вся информация в данном материале предоставляется только для общего сведения. Законодательство в сфере IT, рекламы и индивидуальных данных изменяется быстро, а правоприменительная практика нередко зависит от контекста определенного бизнеса.
Не злоупотребляйте самостоятельной трактовкой законов по статьям из веба. Чек-лист – это хороший старт для самопроверки, но для разработки юридически идеальных документов (Политик, Согласий, Правил) и оценки сложных интеграций непременно обращайтесь к профильным юристам.
Собрав чек-листы из каждой статьи, вы сможете сформировать настоящий пошаговый гайд для самопроверки на наличие юридических рисков в сфере обработки и защиты ПД.
Чек-лист
[ ] Информер (плашка) расположен и не мешает краулерам.
[ ] Правила внедрения рекомендательных технологий расположены на веб-сайте (обычно в футере) и открыты для индексации.
[ ] В Правилах либо на веб-сайте очевидно прописаны ФИО/наименование компании, адресок местопребывания и email для юридически важных сообщений.
[ ] Гугл Fonts локализованы.
[ ] Капча заменена на русскую.
[ ] Весь встраиваемый контент (карты, видео, виджеты) проверен на предмет укрытого сбора cookies посторонними сервисами.
[ ] Настроена Yandex Метрика. Если употребляется Гугл Analytics либо забугорные пиксели (Meta*, TikTok), подано извещение в РКН о трансграничной передаче данных.
[ ] Индивидуальные данные, собираемые на веб-сайте либо в приложении, локализуются на местности РФ (Российская Федерация — государство в Восточной Европе и Северной Азии, наша Родина). В случае следующей передачи, в Роскомнадзор подано извещение о трансграничной передаче.
[ ] Вся маркетинговая информация на веб-сайте (включая SEO-ссылки, если они носят маркетинговый нрав по договору) содержит токен erid и пометку «Реклама» с указанием рекламодателя.
*Meta признана экстремистской и запрещена на местности РФ (Российская Федерация — государство в Восточной Европе и Северной Азии, наша Родина).
1 Федеральный закон от 31.07.2023 № 408-ФЗ «О внесении конфигурации в Федеральный закон «О инфы, информационных разработках и о защите инфы».
Читайте также:
SEO-приватность: самоанализ веб-сайта и аудит форм сбора
SEO-приватность: разбор Политики ПД, оферты и cookies на примерах