Meta нарушает DSA: ЕС признал верификацию возраста в Instagram неэффективной

29 апреля 2026 года Еврокомиссия вынесла предварительное заключение о нарушении Метой Закона о цифровых услугах (DSA): компания не предотвращает доступ детей до 13 лет к Instagram и Facebook. Расследование ЕК установило, что системы верификации возраста Meta тривиально просто обойти: любой ребёнок может создать аккаунт, просто указав ложную дату рождения - реального механизма проверки не существует. Это первое крупное применение DSA в части защиты детей на крупной социальной платформе - и предлагаемый способ устранения проблемы имеет серьёзные последствия для приватности всех пользователей.

Что установила Еврокомиссия

Предварительные выводы ЕК констатируют, что Meta не провела должную оценку системных рисков, которые Instagram и Facebook создают для несовершеннолетних. Примерно 10-12% детей до 13 лет пользуются этими платформами, что опровергает собственные внутренние оценки компании. ЕК также установила, что Meta "игнорировала общедоступные научные данные" о том, что младшие дети особенно уязвимы к вредным эффектам алгоритмически формируемых социальных лент - включая механизмы зависимости, доступ к вредному контенту и риски контакта со взрослыми.

Помимо обхода возрастного барьера, ЕК признала инструмент для жалоб на аккаунты несовершеннолетних "сложным в использовании": для доступа к форме требуется до семи кликов. Это создаёт практический барьер для родителей, школ и других взрослых, которые могут захотеть сообщить о детских аккаунтах - при этом ЕК установила, что Meta не обеспечивает надлежащей реакции на такие жалобы, и заблокированные аккаунты несовершеннолетних зачастую остаются активными. Предварительный вывод ЕК: Meta не применила соразмерных и эффективных защитных мер, несмотря на прямые требования DSA.

Как дети обходят возрастную проверку

Суть технической проблемы проста: платформы Meta просят ввести дату рождения при создании аккаунта, но не проверяют её достоверность. Ребёнок, указавший дату рождения, соответствующую 16 или 18 годам, не встречает никакого дополнительного препятствия. Нет ни проверки документов, ни стороннего сервиса верификации, ни сопоставления с базами данных. Возрастной барьер на практике представляет собой текстовое поле, которое можно обойти, введя любые цифры.

Именно этот разрыв между декларируемой политикой и техническим исполнением является предметом регулирования DSA. Статья 28 DSA обязывает крупные онлайн-платформы внедрять соразмерные меры по проверке возраста. Предварительная позиция ЕК: самостоятельно заявленная дата рождения без верификации не соответствует этому стандарту для платформы, признавшей защиту детей системным риском.

Последствия: штраф до 6% мирового оборота

Meta вправе ответить на предварительные выводы до вынесения окончательного решения. В случае их подтверждения ЕК может наложить штраф до 6% совокупного мирового годового оборота компании. Исходя из выручки Meta за 2025 год, потенциальный штраф составит около $12 млрд. ЕК также вправе назначить периодические штрафы для обеспечения соответствия и - при повторных или серьёзных нарушениях - временно ограничить доступ к платформам.

Meta публично выразила несогласие с выводами ЕК и заявила, что готовит дополнительные меры. Компания ранее уже внедряла изменения - в частности, предупреждения о верификации возраста на некоторых рынках и инструменты родительского контроля. Однако предварительная оценка ЕК: эти меры не соответствуют требованиям DSA для всей территории ЕС.

Последствие для приватности: обязательная верификация для всех

Политический вектор, следующий из этих действий, очевиден: если самостоятельно указанная дата рождения недостаточна по требованиям DSA, Meta потребуется реальная система проверки возраста. Выбор ограничен: эффективная верификация требует либо проверки документа (паспорт, удостоверение личности, водительские права), либо биометрической оценки возраста, либо интеграции со сторонним сервисом верификации личности. Все три подхода предполагают сбор персональных данных - не только у тех, кому нет 13, но у каждого пользователя, которому нужно доказать, что ему есть 13.

Это та же структурная проблема, которую выявил британский режим верификации возраста для сайтов для взрослых, австралийское законодательство и американский Parents Decide Act (H.R. 8250): защищая детей, регуляторы строят инфраструктуру верификации, собирающую данные о личности всех. Цель - защита детей - легитимна, но механизм создаёт базу данных, связывающую реальные личности с аккаунтами в соцсетях по всей аудитории ЕС.

Что это значит для пользователей VPN

VPN скрывает IP-адрес и шифрует сетевой трафик, обеспечивая надёжную защиту от слежки на уровне провайдера и сетевого отслеживания - и по-прежнему остаётся незаменимым инструментом для скрытия геолокации, шифрования данных в публичных сетях и защиты активности от провайдера. Но верификация возраста работает на уровне аккаунта - выше сетевого уровня. Если Meta будет обязана внедрить верификацию личности по документам для пользователей из ЕС, VPN не сможет этому помешать. Как только вы предоставите документ или подключитесь к стороннему сервису верификации, эти данные существуют независимо от того, через какую сеть или IP-адрес вы это делаете.

Более широкая проблема для пользователей, заботящихся о приватности, - нормализация верификации личности как предварительного условия доступа к онлайн-платформам. Каждое применение нормы - DSA ЕС, верификация возраста в Великобритании, австралийское законодательство, H.R. 8250 в США - расширяет периметр, где необходимо раскрытие реальной личности. VPN остаются эффективными против слежки на сетевом уровне, но не решают проблему требований к личности на уровне аккаунта. По мере развития инфраструктуры верификации возраста граница между "доступом в интернет" и "верифицированным доступом" сужается.

Важно: Это лишь предварительные выводы. Meta вправе ответить, и ЕК должна вынести окончательное решение, прежде чем любой штраф или предписание вступят в силу. Тем не менее вектор правоприменения ЕС в сфере верификации возраста очевиден: самостоятельно указанная дата рождения больше не считается достаточной для соответствия требованиям DSA на крупных платформах.

Связанные материалы на vpnlab.io

Более ранние публикации о законодательстве в сфере верификации возраста и его последствиях для приватности:

Закон Parents Decide Act: Apple и Google обяжут собирать дату рождения каждого пользователя по H.R. 8250 - американский законопроект, переносящий верификацию возраста на уровень ОС, ниже сетевого стека.

Заключение

Заключение: Предварительное решение ЕС по DSA против Meta подтверждает то, к чему пришли регуляторы США, Великобритании и Австралии: самостоятельно заявленный возраст - это не верификация возраста. Техническое решение - проверка документов, биометрия или сторонние сервисы верификации - требует сбора реальных персональных данных у всех пользователей, а не только у несовершеннолетних. Для пользователей VPN и сторонников приватности это дело важно не столько как история о Meta, сколько как история об инфраструктуре: каждый регуляторный мандат на "реальную" верификацию возраста достраивает идентификационный уровень интернета, сужая пространство, где анонимный доступ остаётся возможным.

Sources:
• Commission preliminary findings: Meta in breach of DSA - European Commission
• EU says Meta's safeguards fail to stop under-13 users on FB, Instagram - Business Standard
• Meta told it's violating EU law by not doing enough to keep children off Facebook and Instagram - CNBC
• EU finds Meta violates digital rules over children on Instagram and Facebook - Euronews