Dark patterns w serwisach internetowych i aplikacjach mobilnych
Poniżej zamieszczamy treść felietonu z komentarzem naszego eksperta z praktyki IT i Nowe technologie radcy prawnego Piotra Grzelczaka dla Magazynu BrandsIT na temat dark patterns w serwisach internetowych i aplikacjach mobilnych.
Polecamy!
Dnia 14 marca 2022 r. Europejska Rada Ochrony Danych (EROD) opublikowała wytyczne w sprawie tzw. dark patterns w mediach społecznościowych (wytyczne nr 3/2022, v. 1.0, do konsultacji publicznych). Jest to ciekawy dokument, którego lektura z pewnością pomoże w projektowaniu serwisów internetowych i aplikacji mobilnych zgodnie z RODO. Co ważne, wbrew tytułowi wytycznych, ma on znaczenie nie tylko dla mediów społecznościowych, ale dla szerokiego spektrum różnego rodzaju serwisów i aplikacji, w tym zwłaszcza e-commerce. Przedstawione tam mechanizmy mają bowiem uniwersalny charakter.
Zanim powiem trochę więcej o samych wytycznych, kilka słów o tym, czym są wspomniane dark patterns. Otóż, dark patterns to rozwiązania implementowane w ramach platform internetowych, które skłaniają użytkowników do podejmowania niezamierzonych przez nich bądź też wprost niezgodnych z ich wolą decyzji dotyczących przetwarzania danych, które to decyzje mają potencjalnie szkodliwy charakter. Innymi słowy, chodzi o pewne mechanizmy, obejmujące zarówno same treści jak i sposoby ich prezentowania, które naruszają zasady wynikające z RODO, choć mają stwarzać pozory zgodności.
“Dark patterns to rozwiązania implementowane w ramach platform internetowych, które skłaniają użytkowników do podejmowania niezamierzonych przez nich bądź też wprost niezgodnych z ich wolą decyzji dotyczących przetwarzania danych, które to decyzje mają potencjalnie szkodliwy charakter.”
Wytyczne podchodzą do problemu dark patterns z perspektywy cyklu życia konta użytkownika serwisu, czyli omawiają przykłady występowania takich niepożądanych mechanizmów w ramach poszczególnych etapów interakcji użytkownika z serwisem. Chodzi tutaj o (i) otwieranie konta w serwisie, (ii) zarządzanie ochroną prywatności w ramach korzystania z serwisu, (iii) korzystanie z praw przyznanych RODO oraz (iv) likwidację konta. Przyjęcie takiej systematyki pozwala lepiej zobrazować pojawiające się problemy. Nie oznacza ono oczywiście jednak, że na każdym etapie występują inne dark patterns. Wręcz przeciwnie, ponieważ dark patterns to pewne uniwersalne mechanizmy, mogą one być stosowane w ramach różnych etapów interakcji użytkownika z serwisem.
W dużym skrócie i uproszczeniu dark patterns można podzielić na następujące kategorie (wszystkie poniższe terminy to moje wolne tłumaczenia angielskich zwrotów):
- Przeładowywanie(Overloading), czyli konfrontowanie użytkownika z natłokiem próśb, informacji, ponagleń, opcji czy możliwości tak, aby spowodować, że udostępni on więcej danych lub że zezwoli na przetwarzanie danych w szerszym zakresie aniżeli oryginalnie by sobie tego życzył. W tej kategorii mieszą się:
- Ciągłe namawanie(Continuous prompting), czyli wielokrotne proszenie o dodatkowe dane, zgody, itp., często połączone ze wskazywaniem argumentów, dlaczego użytkownik powinien to zrobić. Przykładowo, serwis przy każdym logowaniu prosi o podanie numeru telefonu lub daty urodzenia użytkownika, których podanie w ramach procesu tworzenia konta było opcjonalne, a użytkownik się na to nie zdecydował.
- Labirynt prywatności(Privacy maze), czyli takie zaprojektowanie polityki prywatności lub interfejsu serwisu, które zakłada wiele warstw, zakładek, podstron, itp. (zwłaszcza, jeśli nie ma centralnego spisu treści, a całość tych elementów nie jest odpowiednio zlinkowana), przez co uzyskanie przez użytkowników informacji dotyczących przetwarzania ich danych lub korzystanie z ich praw w tym zakresie wygląda niczym przedzieranie się przez labirynt. Ten mechanizm może być szczególnie niekorzystny w przypadku, gdy korzystanie z danego serwisu może odbywać się z wykorzystaniem wielu urządzeń czy nawet kilku różnych aplikacji (np. odrębna aplikacja główna i aplikacja komunikatora dla danej platformy).
- Zbyt wiele opcji(Too many options), czyli sytuacja, kiedy interfejs serwisu jest zaprojektowany w sposób nieprzejrzysty. Przykładowo, kiedy zamiast jednego miejsca, w którym zebrane są ustawienia prywatności, mamy kilka odrębnych zakładek: „bezpieczeństwo”, „ochrona danych”, „treści”, „prywatność”, „udostępnianie”, „preferencje”. Jest wówczas prawdopodobieństwo, że użytkownicy będą się czuć przytłoczeni wyborem i albo w ogóle nie podejmą działań albo mogą przeoczyć pewne ważne opcje.
- Opuszczanie(Skipping), czyli zaprojektowanie interfejsu lub UX serwisu w taki sposób, aby użytkownik zapomniał lub w ogóle nie pomyślał o kwestiach związanych z ochroną danych osobowych. W tej kategorii mieszczą się:
- Oszukańcza wygoda(Deceptive snugness), czyli sytuacje, kiedy ustawienia mniej przyjazne prywatności są ustawieniami standardowymi (predefiniowanymi) w danym serwisie, co powoduje, że to użytkownik musi wykazać się inicjatywą, aby je zmienić.
- Popatrz tam(Look over there), czyli sytuacje, kiedy serwis jest zaprojektowany w taki sposób, że informacje czy ustawienia ważne z punktu widzenia prywatności konkurują w danym momencie o uwagę użytkownika z innymi elementami tego serwisu. Innymi słowy, kiedy próbuje się odwrócić uwagę użytkownika od prywatności, stosując narzędzia wizualne, humor, itp.
- Zamieszanie(Stirring), czyli wpływanie na użytkowników poprzez odwoływanie się do ich emocji lub poprzez stosowanie kruczków wizualnych. W tej kategorii mieszczą się:
- Sterowanie emocjonalne(Emotional steering), czyli takie dobieranie treści serwowanych użytkownikowi i sposobu ich prezentacji, które powoduje przekazanie użytkownikowi albo bardzo pozytywnego ładunku emocjonalnego (wywołującego dobre samopoczucie) albo też ładunku wysoce negatywnego (sprawiającego, że czuje się zaniepokojony lub zawstydzony), a przez to wywieranie wpływu na podejmowane decyzje co do przetwarzania danych. Przykładowo, może tutaj chodzić o wywoływanie poczucia, że udostępnianie pewnych danych jest normą społeczną, ergo – że brak ich udostępnienia to coś, czego należy się wstydzić. W tym kontekście mieści się też wywoływanie poczucia, że podjęcie działań przez użytkownika powinno nastąpić natychmiast, tu i teraz.
- Ukryte w widocznym miejscu(Hidden in plain sight), czyli takie przedstawianie pewnych opcji czy ustawień przyjaznych prywatności, aby użytkownik mógł łatwo je przeoczyć. Przykładowo, stosowanie mniejszych bądź mniej kontrastowych czcionek w porównaniu do pozostałych elementów danej witryny, zwłaszcza, jeśli w tej witrynie wyświetlane są jednocześnie elementy wizualne, mające skupić uwagę użytkownika.
Radca prawny Piotr Grzelczak, Kancelaria Prawna GFP_Legal Wrocław.
Pełen tekst felietonu dostępny jest również online na stronie BrandsIT TUTAJ.