• Reklama
  • Zakładki
  • Kastomizacja
  • Newsletter
BrandsIT
POWIADOMIENIA Pokaż więcej
Najnowsze
44545791 44134170 BZxBZ
Niemowlęta rozpoznają twarze nawet zasłonięte maseczkami
Nauka Świat
44545761 44545760 BZxBZ
Żywica drzewa pistacjowego była wykorzystywana do balsamowania zwłok w starożytnym Egipcie
Nauka Świat
44545623 31295449 BZxBZ
Badanie Plastics Review: poziom realnego recyklingu tworzyw w Polsce nie przekracza 10 proc.
Pieniądze Polska
44545259 44545255 BZxBZ
Ekspertka: szukanie nowych surowców, które mogłyby zastąpić plastik, to ogromne wyzwanie
Polska Work&Life
44545145 44545144 BZxBZ
Ssaki żyjące w grupach żyją dłużej niż gatunki samotne
Nauka Polska
  • Biznes
  • Pieniądze
  • Rynki
  • Polityka
  • Technologia
  • Eco
  • Work&Life
  • MAGAZYN
  • Opinie
Czytasz: Dark patterns w serwisach internetowych i aplikacjach mobilnych
Aa
BrandsITBrandsIT
  • Technologia
  • Biznes
  • Branża IT
  • Świat
  • Pieniądze
    • Inwestycje
    • Kryptowaluty
    • NFT
    • Praca
  • Polityka
    • Polska
    • Europa
    • Świat
  • Technologia
    • Startup
    • Cyberbezpieczeństwo
    • Rozwiązania
    • Gaming
    • Tech Biznes
  • Eco
    • Czysta energia
    • Pogoda i nauka
    • Pojazdy elektryczne
    • Polityka klimatyczna
  • Work&Life
    • W pracy
    • Miasto
    • Nauka
    • Rozrywka
    • Moda
  • Biznes
    • Branża IT
    • Branża deweloperska
    • Branża przemysłowa
    • Branża transportowa
    • Podatki i koszty
Follow US
  • Redakcja
  • Regulamin
  • Polityka prywatności
  • Polityka plików cookies
  • Oświadczenie o prywatności
© 2017-2022 BrandsIT. Brands Stream Sp. z o.o. All Rights Reserved.
BrandsIT > Maj2022 > Dark patterns w serwisach internetowych i aplikacjach mobilnych
Maj2022

Dark patterns w serwisach internetowych i aplikacjach mobilnych

Piotr Grzelczak 9 miesięcy temu 11 min czytania
Udostępnij
11 min czytania
Udostępnij

Dnia 14 marca 2022 r. Europejska Rada Ochrony Danych (EROD) opublikowała wytyczne w sprawie tzw. dark patterns w mediach społecznościowych (wytyczne nr 3/2022, v. 1.0, do konsultacji publicznych). Jest to ciekawy dokument, którego lektura z pewnością pomoże w projektowaniu serwisów internetowych i aplikacji mobilnych zgodnie z RODO. Co ważne, wbrew tytułowi wytycznych, ma on znaczenie nie tylko dla mediów społecznościowych, ale dla szerokiego spektrum różnego rodzaju serwisów i aplikacji, w tym zwłaszcza e-commerce. Przedstawione tam mechanizmy mają bowiem uniwersalny charakter.

Zanim powiem trochę więcej o samych wytycznych, kilka słów o tym, czym są wspomniane dark patterns. Otóż, dark patterns to rozwiązania implementowane w ramach platform internetowych, które skłaniają użytkowników do podejmowania niezamierzonych przez nich bądź też wprost niezgodnych z ich wolą decyzji dotyczących przetwarzania danych, które to decyzje mają potencjalnie szkodliwy charakter. Innymi słowy, chodzi o pewne mechanizmy, obejmujące zarówno same treści jak i sposoby ich prezentowania, które naruszają zasady wynikające z RODO, choć mają stwarzać pozory zgodności.

“Dark patterns to rozwiązania implementowane w ramach platform internetowych, które skłaniają użytkowników do podejmowania niezamierzonych przez nich bądź też wprost niezgodnych z ich wolą decyzji dotyczących przetwarzania danych, które to decyzje mają potencjalnie szkodliwy charakter.”

Wytyczne podchodzą do problemu dark patterns z perspektywy cyklu życia konta użytkownika serwisu, czyli omawiają przykłady występowania takich niepożądanych mechanizmów w ramach poszczególnych etapów interakcji użytkownika z serwisem. Chodzi tutaj o (i) otwieranie konta w serwisie, (ii) zarządzanie ochroną prywatności w ramach korzystania z serwisu, (iii) korzystanie z praw przyznanych RODO oraz (iv) likwidację konta. Przyjęcie takiej systematyki pozwala lepiej zobrazować pojawiające się problemy. Nie oznacza ono oczywiście jednak, że na każdym etapie występują inne dark patterns. Wręcz przeciwnie, ponieważ dark patterns to pewne uniwersalne mechanizmy, mogą one być stosowane w ramach różnych etapów interakcji użytkownika z serwisem.

W dużym skrócie i uproszczeniu dark patterns można podzielić na następujące kategorie (wszystkie poniższe terminy to moje wolne tłumaczenia angielskich zwrotów):

1.  Przeładowywanie (Overloading), czyli konfrontowanie użytkownika z natłokiem próśb, informacji, ponagleń, opcji czy możliwości tak, aby spowodować, że udostępni on więcej danych lub że zezwoli na przetwarzanie danych w szerszym zakresie aniżeli oryginalnie by sobie tego życzył. W tej kategorii mieszą się:
–  Ciągłe namawanie (Continuous prompting), czyli wielokrotne proszenie o dodatkowe dane, zgody, itp., często połączone ze wskazywaniem argumentów, dlaczego użytkownik powinien to zrobić. Przykładowo, serwis przy każdym logowaniu prosi o podanie numeru telefonu lub daty urodzenia użytkownika, których podanie w ramach procesu tworzenia konta było opcjonalne, a użytkownik się na to nie zdecydował.
– Labirynt prywatności (Privacy maze), czyli takie zaprojektowanie polityki prywatności lub interfejsu serwisu, które zakłada wiele warstw, zakładek, podstron, itp. (zwłaszcza, jeśli nie ma centralnego spisu treści, a całość tych elementów nie jest odpowiednio zlinkowana), przez co uzyskanie przez użytkowników informacji dotyczących przetwarzania ich danych lub korzystanie z ich praw w tym zakresie wygląda niczym przedzieranie się przez labirynt. Ten mechanizm może być szczególnie niekorzystny w przypadku, gdy korzystanie z danego serwisu może odbywać się z wykorzystaniem wielu urządzeń czy nawet kilku różnych aplikacji (np. odrębna aplikacja główna i aplikacja komunikatora dla danej platformy).
– Zbyt wiele opcji (Too many options), czyli sytuacja, kiedy interfejs serwisu jest zaprojektowany w sposób nieprzejrzysty. Przykładowo, kiedy zamiast jednego miejsca, w którym zebrane są ustawienia prywatności, mamy kilka odrębnych zakładek: „bezpieczeństwo”, „ochrona danych”, „treści”, „prywatność”, „udostępnianie”, „preferencje”. Jest wówczas prawdopodobieństwo, że użytkownicy będą się czuć przytłoczeni wyborem i albo w ogóle nie podejmą działań albo mogą przeoczyć pewne ważne opcje.

2.  Opuszczanie (Skipping), czyli zaprojektowanie interfejsu lub UX serwisu w taki sposób, aby użytkownik zapomniał lub w ogóle nie pomyślał o kwestiach związanych z ochroną danych osobowych. W tej kategorii mieszczą się:
– Oszukańcza wygoda (Deceptive snugness), czyli sytuacje, kiedy ustawienia mniej przyjazne prywatności są ustawieniami standardowymi (predefiniowanymi) w danym serwisie, co powoduje, że to użytkownik musi wykazać się inicjatywą, aby je zmienić.
– Popatrz tam (Look over there), czyli sytuacje, kiedy serwis jest zaprojektowany w taki sposób, że informacje czy ustawienia ważne z punktu widzenia prywatności konkurują w danym momencie o uwagę użytkownika z innymi elementami tego serwisu. Innymi słowy, kiedy próbuje się odwrócić uwagę użytkownika od prywatności, stosując narzędzia wizualne, humor, itp.

3.  Zamieszanie (Stirring), czyli wpływanie na użytkowników poprzez odwoływanie się do ich emocji lub poprzez stosowanie kruczków wizualnych. W tej kategorii mieszczą się:
– Sterowanie emocjonalne (Emotional steering), czyli takie dobieranie treści serwowanych użytkownikowi i sposobu ich prezentacji, które powoduje przekazanie użytkownikowi albo bardzo pozytywnego ładunku emocjonalnego (wywołującego dobre samopoczucie) albo też ładunku wysoce negatywnego (sprawiającego, że czuje się zaniepokojony lub zawstydzony), a przez to wywieranie wpływu na podejmowane decyzje co do przetwarzania danych. Przykładowo, może tutaj chodzić o wywoływanie poczucia, że udostępnianie pewnych danych jest normą społeczną, ergo – że brak ich udostępnienia to coś, czego należy się wstydzić. W tym kontekście mieści się też wywoływanie poczucia, że podjęcie działań przez użytkownika powinno nastąpić natychmiast, tu i teraz.
– Ukryte w widocznym miejscu (Hidden in plain sight), czyli takie przedstawianie pewnych opcji czy ustawień przyjaznych prywatności, aby użytkownik mógł łatwo je przeoczyć. Przykładowo, stosowanie mniejszych bądź mniej kontrastowych czcionek w porównaniu do pozostałych elementów danej witryny, zwłaszcza, jeśli w tej witrynie wyświetlane są jednocześnie elementy wizualne, mające skupić uwagę użytkownika.

social media, rodo

4.  Przeszkadzanie (Hindering), czyli przeszkadzanie użytkownikom lub blokowanie im możliwości uzyskania odpowiednich informacji lub zarządzania danymi poprzez utrudnianie lub uniemożliwianie takich czynności. W tej kategorii mieszczą się:
– Ślepy zaułek (Dead end), czyli brak możliwości uzyskania przez użytkownika informacji lub podjęcia przez niego działania, na którym mu zależy, spowodowany brakiem odpowiednich linków czy też faktem, że dostępne linki nie działają. Może tu też chodzić o przypadek, kiedy użytkownik nie może zlokalizować w serwisie opcji/narzędzi dotyczących prywatności, do których powinien mieć zapewniony dostęp.
– Dłużej niż to konieczne (Longer than necessary), czyli utrudnianie użytkownikom skorzystania z narzędzi kontroli prywatności, w szczególności poprzez zaprojektowanie interfejsów w taki sposób, że aby wybrać opcję lepiej chroniącą prywatność użytkownik musi włożyć więcej wysiłku niż w przypadku opcji mniej restrykcyjnej. Powyższe może wiązać się przykładowo z wprowadzeniem mechanizmu pop-up’ów, które wymuszają potwierdzenie podjętej przez użytkownika decyzji ograniczającej zakres przetwarzania danych przez serwis, w sytuacji, gdy takie pop-up’y nie występują w przypadku, gdy użytkownik zezwala na przetwarzanie jego danych w szerokim zakresie.
– Wprowadzające w błąd informacje (Misleading information), czyli sytuacje, kiedy serwis wprowadza użytkowników w błąd co do pewnych informacji lub funkcjonalności. Przykładowo, serwis prezentuje nam możliwość podejrzenia, dlaczego serwowana jest konkretna reklama (kryteria targetowania), wskazując link, gdzie można wycofać zgodę na personalizację reklam. Niemniej, link ten nie kieruje do właściwych ustawień, a na zupełnie inną witrynę, gdzie zawarte są ogólne informacje, czym jest zgoda na przetwarzanie danych i w jaki sposób można nią zarządzać.

5.  Niepewność (Fickle), czyli brak spójności i klarowności, jeśli chodzi o design interfejsu, co powoduje, że użytkownikowi trudno jest korzystać z narzędzi kontroli prywatności dostępnych w ramach danego serwisu, jak również zrozumieć cele przetwarzania danych. W tej kategorii mieszczą się:
– Brak hierarchii (Lacking hierarchy), czyli zaprojektowanie serwisu w sposób, który powoduje, że użytkownik nie może znaleźć potrzebnych informacji czy ustawień w miejscu, gdzie mógłby tego oczekiwać. Przykładem może być takie skonstruowanie polityki prywatności, że informacje o prawach użytkownika są rozrzucone po całym dokumencie, przez co trudno je zlokalizować. Może także chodzić o brak panelu nawigacyjnego dla obszernych dokumentów.
– Brak kontekstu (Decontextualising), czyli zamieszczanie informacji lub ustawień dotyczących prywatności w miejscu, gdzie użytkownik raczej nie będzie ich szukał, a więc w nieintuicyjny sposób.

6.  Pozostawienie w ciemności (Left in the dark), czyli zaprojektowanie interfejsu w taki sposób, aby ukryć informacje lub narzędzia kontroli prywatności lub też by wywołać niepewność u użytkowników co do tego, jak ich dane są przetwarzane i jakie prawa przysługują im w zakresie przetwarzania danych. W tej kategorii mieszczą się:
– Brak spójności językowej (Language discontinuity), czyli sytuacje, kiedy informacje czy ustawienia dotyczące prywatności nie są prezentowane w języku zrozumiałym dla użytkownika, mimo, że serwis jako taki jest w tym języku dostępny. Może tutaj ponadto chodzić o sytuacje, kiedy mimo wyboru danego języka w menu, wybór ten jest resetowany do języka domyślnego w sytuacji, gdy użytkownik próbuje wejść do tej części serwisu, w której zawarte są informacje lub ustawienia prywatności.
– Sprzeczność informacji (Conflicting information), czyli sytuacje, gdy w różnych miejscach serwisu (a czasami nawet na tej samej jego podstronie) zawarte są rozbieżne informacje dotyczące kwestii związanych z prywatnością i zarządzaniem nią.
– Wieloznaczność językowa (Ambiguous wording), czyli stosowanie ogólnych, wieloznacznych zwrotów, które powodują, że użytkownikowi trudno jest ustalić, jak w rzeczywistości będą przetwarzane jego dane oraz jak może sprawować nad tym procesem kontrolę.

Aby zrozumieć, jak dark patterns są stosowane w praktyce i w jaki sposób naruszają zasady wynikające z RODO, należy sięgnąć do treści wytycznych, w tym do przedstawionych tam use case’ów. Niemniej, w tym miejscu warto wspomnieć, iż najczęściej chodzić będzie o naruszenia zasady rzetelności (uczciwości) przetwarzania, zasady przejrzystości, w tym w zakresie obowiązków informacyjnych, reguł dotyczących uzyskiwania ważnych zgód na przetwarzanie, jak również zasad privacy-by-design i privacy-by-default.

Skomentuj Skomentuj

Dodaj komentarz Anuluj pisanie odpowiedzi

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

- Reklama -

© 2017-2023 BrandsIT. Brands Stream Sp. z o.o. All Rights Reserved.

  • Redakcja
  • Regulamin
  • Polityka prywatności
  • Polityka plików cookies
  • Oświadczenie o prywatności
Zarządzaj swoją prywatnością
We use technologies like cookies to store and/or access device information. We do this to improve browsing experience and to show personalized ads. Consenting to these technologies will allow us to process data such as browsing behavior or unique IDs on this site. Not consenting or withdrawing consent, may adversely affect certain features and functions.
Funkcjonalne Zawsze aktywne
Przechowywanie lub dostęp do danych technicznych jest ściśle konieczny do uzasadnionego celu umożliwienia korzystania z konkretnej usługi wyraźnie żądanej przez subskrybenta lub użytkownika, lub wyłącznie w celu przeprowadzenia transmisji komunikatu przez sieć łączności elektronicznej.
Preferencje
Przechowywanie lub dostęp techniczny jest niezbędny do uzasadnionego celu przechowywania preferencji, o które nie prosi subskrybent lub użytkownik.
Statystyka
Przechowywanie techniczne lub dostęp, który jest używany wyłącznie do celów statystycznych. Przechowywanie techniczne lub dostęp, który jest używany wyłącznie do anonimowych celów statystycznych. Bez wezwania do sądu, dobrowolnego podporządkowania się dostawcy usług internetowych lub dodatkowych zapisów od strony trzeciej, informacje przechowywane lub pobierane wyłącznie w tym celu zwykle nie mogą być wykorzystywane do identyfikacji użytkownika.
Marketing
Przechowywanie lub dostęp techniczny jest wymagany do tworzenia profili użytkowników w celu wysyłania reklam lub śledzenia użytkownika na stronie internetowej lub na kilku stronach internetowych w podobnych celach marketingowych.
Zarządzaj opcjami Zarządzaj serwisami Zarządzaj dostawcami Przeczytaj więcej o tych celach
Zarządzaj opcjami
{title} {title} {title}

Removed from reading list

Undo