Темні патерни. Як дизайн маніпулює користувачами та що із цим робити

💡 Усі статті, обговорення, новини про продукти — в одному місці. Приєднуйтесь до Product спільноти!

Привіт, я Валерія Лобко — Lawyer International в IT-компанії Uklon. Хочу розповісти про «темні патерни» (dark patterns) в рамках захисту персональних даних та їхнє використання у дизайні застосунків і сайтів. Розберемося, чому важливо уникати їхнього застосування та як це зробити.

З 2010 року існує термін Dark Patterns, значення якого визначив лондонський UX-дизайнер Гаррі Брігнілл. «Темні патерни» — це дизайнерські прийоми, які підштовхують користувачів до дій, вигідних компаніям. Але часто ці дії не дуже чесні й не зовсім прозорі щодо користувачів.

І хоча самому терміну лише 15 років, такі прийоми в дизайні використовуються вже десятиріччями. У контексті захисту персональних даних вони стають особливо небезпечними. Часом дизайнери використовують їх несвідомо. Але навіть нерозуміння наявності «темних патернів» не вбереже компанії від потенційних штрафів, які можуть сягати сотень мільйонів євро. Особливо це стосується тих продуктів, які збирають дані користувачів на території Європейського Союзу.

Наприклад, у 2023 році Ірландська комісія із захисту даних визнала компанію TikTok Technology Limited відповідальною за порушення принципу справедливості (fairness) GDPR (стаття 5(1)(а)) шляхом використання «темних патернів», які спонукали дітей обирати налаштування, що порушують приватність їхніх даних.

Зокрема, облікові записи за замовчуванням були публічними, а спливаючі вікна спрямовували користувачів до менш приватних опцій за допомогою попередньо проставлених чекбоксів та візуальних ефектів. Наприклад, у вікні реєстрації варіант «Пропустити» був візуально виділений порівняно з «Зробити приватним», а кнопка «Опублікувати зараз» була затемнена, що ускладнювало вибір більш приватних налаштувань. Це призвело до штрафу в розмірі €345 мільйонів і зобов’язання TikTok виправити процеси обробки даних протягом трьох місяців.

Для великих корпорацій подібні штрафи, можливо, не є критичними. Але малий і середній бізнес це може призвести до фінансової кризи та навіть закриття.

Нижче я розповім про те, які патерни існують, як вони регулюються законодавством та чому дизайнерам варто утримуватися від їхнього використання.

Офіційного визначення немає, але є регулювання

В ЄС діє Загальний регламент про захист даних (GDPR) — ключовий законодавчий акт у сфері захисту персональних даних. У ньому ви не знайдете чіткого поняття Dark Patterns. Але у цьому акті є положення, які зобов’язують компанії бути прозорими зі своїми користувачами, надавати можливості для реалізації прав користувачів стосовно їхніх даних, не вводити в оману і відмовитися від нечітких формулювань під час збору даних чи отримання згоди на обробку. А це і є «темні патерни», про які ми говоримо.

В ЄС діє не лише цей регламент для захисту даних користувачів — European Data Protection Board (EDPB) також видає детальні гайдлайни щодо застосування GDPR. Навіть якщо ви відкриваєте компанію в Україні, вам не вдасться таргетувати резидентів ЄС та розвивати продукт на європейському ринку, оминаючи ці рекомендації. Зокрема, раджу детально ознайомитися та слідувати гайдлайну про «темні патерни» (у гайдлайні вони називаються deceptive design patterns — Guidelines 03/2022 on deceptive design patterns in social media platform interfaces: how to recognise and avoid them), аби уникнути штрафів та заборони на обробку даних в тій чи іншій країні ЄС.

Наразі GDPR не є обов’язковим в Україні, але Верховна Рада вже ухвалила у першому читанні законопроєкт № 8153 «Про захист персональних даних», який матиме багато аналогічних вимог, як і GDPR. Тому українським компаніям варто вже готуватися до privacy compliance, зокрема стосовно «темних патернів».

Далі розповім детальніше про деякі з них — ті, що можуть вводити користувачів в оману щодо практик обробки даних та їхніх прав на приватність.

Перевантаження користувачів інформацією або Overloading

Цей патерн може проявлятися у кількох варіантах.

Перший — постійні запити (Continuous prompting). Цей патерн передбачає, що сервіс надсилає запити стосовно даних знову і знову, хоча користувач відмовився від передачі чи обробки даних. Наприклад, ви отримуєте запит на передачу свого номера телефону чи електронної пошти кожного разу при вході на сайт, хоча одного разу вже відмовилися.

Інша проблема цього прийому — лабіринт (Privacy Maze), коли користувачі хочуть отримати певну інформацію чи надіслати запит до контролера. Їм особливо важко знайти таку інформацію, оскільки доводиться проходити багато етапів, щоб отримати доступ до певної сторінки. Наприклад, ви хочете видалити свій акаунт, але не знаходите відповідної кнопки та навіть інструкції, як це можна зробити. І загалом «Політика приватності» захована на сайті так, що відшукати її просто неможливо.

Тому користувачі, як правило, не заглиблюються, а погоджуються на всі cookie-запити, вже надають той номер чи пошту, аби тільки скористатися сервісом. Але таким чином компанія автоматично може отримати доступ до всіх даних та навіть мікрофону, галереї, контактів тощо.

Третій різновид цього патерну — занадто багато варіантів (Too many options): Наприклад, користувач не може знайти Privacy Policy, оскільки на сайті є багато різних кнопок/сторінок: і privacy, і data protection, і security, і policies тощо. Велика кількість варіантів залишає користувачів без можливості зробити вибір або змушує їх не звертати уваги на деякі налаштування, особливо якщо інформація недоступна. Це може призвести до того, що вони зрештою відмовляться або пропустять те, що шукають щодо захисту даних. На скріні нижче яскравий приклад — зліва забагато опцій вибору, справа — постійні банери, які перепитують, чи точно ти не хочеш включити нотифікації.

Пропуск або Skipping

Інший прийом, до якого вдаються розробники та дизайнери — проєктування інтерфейсу або шляху користувача таким чином, щоб він забув або не думав про всі або деякі аспекти захисту даних. Наприклад, це розміщення елементів чи інформації, що відволікає користувача від основної, через що він проходить повз важливі повідомлення.

Наприклад, поруч із cookie-банером розміщують pop-up із рецептом печива, що відвертає користувачів від тексту cookie-банера.

Або ж ще один варіант — коли користувач хоче видалити акаунт, але йому пропонують список проблем та способи їх розв’язання. Це відволікає його від видалення.

На картинці приклади таких порушень. Зліва — додані елементи, які не стосуються приватності й відволікають людину від суті. Так, це креативно, але збиває з пантелику і спотворює питання. А праворуч приклад, коли вже все вибрано за тебе і ти можеш не звернути увагу і дати доступи, які не планував надавати.

Непостійність або ж Fickle

Цей патерн про нестабільний та непослідовний дизайн інтерфейсу, який ускладнює користувачам розуміння того, де знаходяться різні елементи керування і про що йде мова в процесі обробки.

Наприклад, непослідовний дизайн інтерфейсу можна побачити, коли користувач відкриває сайт на комп’ютері й коректно бачить всі cookie-банери, а от вже у мобільній версії інформація відображається не повністю. Або у мобільній версії політика приватності знаходиться в одному місці, але у десктопній версії, повторивши свої кроки, користувач не може знайти ці правила. Таким чином сервіси вводять людей в оману, бо ті не можуть зорієнтуватися та знайти потрібну інформацію для реалізації прав стосовно персональних даних.

Або ж відсутність ієрархії. До цього можемо віднести неструктурований текст у Політиках приватності. Наприклад, користувач відкриває документ, а він не поділений на розділи, не має змісту, а відтак нечитабельний.

Цю проблему також можна розвʼязати. Для цього юристам компанії разом із дизайнерами варто оптимізувати Політику приватності, розділивши документ на декілька рівнів. Загалом в гайдлайні EDPB є рекомендація — додати в документ зміст та розбити на розділи з заголовками.

У тіні або Left in the dark

Цей прийом часто пов’язаний з візуальними особливостями платформи: приховування інформації, аби залишати користувачів невпевненими в тому, як обробляються дані та які засоби контролю вони можуть мати над ними. Наприклад, надання суперечливої інформації — користувач натискає на кнопку «Вимкнути трекінг геолокації» і отримує повідомлення «Ми вимкнули трекінг вашої геолокації. Однак при використанні застосунку будемо бачити ваше місцеперебування».

Або ж надання неоднозначних формулювань: коли в застосунку для охорони здоров’я стався витік даних, кілька типів медичних даних стали доступні неавторизованим користувачам. При цьому сервіс повідомив користувачів лише про те, що «особливі категорії персональних даних» були випадково оприлюднені, не уточнивши конкретні наслідки витоку.

На картинці приклад, коли дуже багато банерів і інформації, яка збиває з пантелику. Зверху праворуч — незрозуміло, про які кейси використання йде мова. Далі тебе спочатку питають, яким чином ти хочеш отримувати повідомлення, а потім ніби й можна відмовитись, але копірайтинг настільки незрозумілий, що це той ще квест.

Звісно, все залежить від випадку до випадку. Проте якщо дизайнери не хочуть порушувати гайдлайни GDPR, кнопки про Політики приватності повинні бути одного кольору.

Крім кольорів має значення і розмір тексту. Кнопка «Погоджуюся» не може бути в рази більшою за варіант «Скасувати», аби не змушувати користувача робити небажаний вибір.

Вище гарний приклад того, як не треба робити, і за що точно можна отримати штраф:

Вплив на емоції людини. No thanks I don’t want to look my best. Людина це читає і думає: «Хм, та ні, я ж себе люблю і хочу мати гарний вигляд. Надам я їм свій імейл!». Тобто людина потім на емоціях передає свої персональні дані й не задумується, чи це дійсно їй треба, які ще аспекти стосовно її персональних даних варто було б врахувати перед тим, як надавати пошту і таке інше.

«GET STARTED» (кнопка, щоб надати свою пошту) великим шрифтом і виділена кольором. А кнопка для відмови (NO thanks) — маленьким шрифтом внизу, ще й сірим непомітним кольором. Тобто тут спеціально зміщують фокус уваги, щоб людина не задумалася про захист свої персональних даних, а скоріше надала ці дані.

Не забудьте проконсультуватися

У гайдлайні є чіткі рекомендації, як компаніям уникати використання «темних патернів» та забезпечувати права користувачів. Загалом вони укладені у 10 пунктів:

1. Гіперпосилання — використовуйте гіперпосилання в політиках, які швидко перенаправлятимуть користувачів до сторінок, де вони можуть змінити свій вибір/згоду/доступи.
2. Групування — треба розмістити разом кілька опцій, якщо вони мають одну мету. Наприклад, усі опції для обробки даних у рекламних цілях мають бути згруповані, щоб користувачі могли приймати рішення одразу про всі релевантні аспекти.
3. Контакти — контактна інформація про компанію має бути у розділах, у яких користувачі її очікують побачити.
4. Регулятор — чітко визначте регулятора та додайте посилання на його сайт або на спеціальну сторінку для скарг.
5. Privacy Policy — їх рекомендується починати зі змісту з посиланнями на різні розділи для полегшення навігації.
6. Внесення змін — навіть, якщо вносите зміни у Політики, зробіть попередні версії доступними із зазначенням дати їхньої публікації та сформулюйте витяг про внесені зміни.
7. Пояснення наслідків — користувачів варто сповіщати про наслідки активації або деактивації механізмів захисту даних.
8. Послідовність термінології — перевірте, аби формулювання у Політиці приватності відповідали термінології, яка використовується в інших частинах платформи/застосунку.
9. Визначення термінів — всі терміни варто розписати доступною мовою та навести їх в окремому глосарії.
10. Приклади — наводьте приклади, аби проілюструвати цілі та інші аспекти обробки даних для кращого розуміння користувача.

Дизайнерам та розробникам варто пам’ятати, що не потрібно завчати всі рекомендації. Але точно потрібно консультуватися з юристами, DPO або комплаєнс-менеджерами, які й оцінять ризики розробленого дизайну для захисту персональних даних.