Już w lutym wejdą w życie nowe obowiązki wynikające z Aktu o Usługach Cyfrowych, a wśród nich regulacje dotyczące stosowania zwodniczych interfejsów (ang. dark patterns). Zainteresowanie zwodniczymi interfejsami przez unijnego ustawodawcę świadczy o rosnącej roli praw jednostki w internecie.
Czym jest Akt o Usługach Cyfrowych?
Akt o Usługach Cyfrowych (AUC) to nowe rozporządzenie unijne, którego celem jest przede wszystkim stworzenie bezpieczniejszego środowiska internetowego dla użytkowników i firm cyfrowych. AUC stanowi część pakietu aktów prawnych regulujących gospodarkę usług cyfrowych w UE, w którego skład wchodzi także Akt o Rynkach Cyfrowych. Więcej na ten temat pisaliśmy tutaj.
AUC nakłada szereg obowiązków na dostawców usług pośrednich, do których zaliczamy:
- usługi „zwykłego przekazu” (mere conduit), czyli transmisję informacji przekazanych przez odbiorcę usługi w sieci telekomunikacyjnej lub zapewnienie dostępu do sieci telekomunikacyjnej;
- usługi cachingu, czyli transmisję informacji przekazanych przez odbiorcę usługi w sieci telekomunikacyjnej, która obejmuje automatyczne, pośrednie i krótkotrwałe przechowywanie tej informacji, dokonywane wyłącznie w celu usprawnienia późniejszej transmisji informacji na żądanie innych odbiorców;
- usługi hostingu, czyli przechowywanie informacji przekazanych przez odbiorcę usługi, na jego żądanie; do usług hostingu zaliczamy zaś między innymi usługi świadczone w ramach platform internetowych, które umożliwiają odbiorcy usługi przechowywanie i publiczne rozpowszechnianie informacji na żądanie (za platformę internetową można uznać np. portale Facebook czy YouTube).
Czym są dark patterns?
| Za zwodnicze interfejsy (ang. dark patterns) uznaje się metody lub wzorce projektowe w środowisku cyfrowym, których celem jest wpłynięcie na użytkownika w taki sposób, aby poruszał się w ramach interfejsu konkretną ścieżką lub podjął określonego rodzaju decyzje, które niekoniecznie są zgodne z jego interesem. Innymi słowy, zwodnicze interfejsy ograniczają możliwość podejmowania przez użytkownika świadomych i niezależnych wyborów, zaciemniając lub ukrywając pełen obraz przysługujących mu możliwości. |
Jako przykłady takich praktyk wskazać można:
- wymuszanie wyrażenia zgody – np. poprzez brak uwzględnienia lub ukrycie opcji odmowy zgody albo automatyczne zaznaczenie checkboxa z wyrażeniem zgody);
- wzbudzanie negatywnych emocji (eng. nagging) – czyli zachęcanie użytkowników do danego wyboru poprzez sformułowanie opcji odmowy w sposób, który stawia użytkownika w złym świetle, jeśli z niej skorzysta;
- wymuszanie dodatkowych opłat (eng. drip pricing) – tj. “przemycanie” do koszyka użytkownika nowych pozycji, które w chwili rozpoczęcia zamówienia nie były znane użytkownikowi;
- utrudnianie rezygnacji z zamówienia – czyli projektowanie ścieżki użytkownika w taki sposób, aby ukryć przed użytkownikiem możliwość zrezygnowania z usługi (praktyka taka była swego czasu stosowana przez Amazon na platformie Prime);
- ukryta reklama – czyli np. umieszczanie na portalach społecznościowych reklam w taki sposób, aby wtapiały się w interfejs portalu.
Po co nam zwodnicze interfejsy i co sprawia, że działają?
Zwodnicze interfejsy bazują najczęściej na błędach poznawczych i wykorzystują pewne podatności ludzkiego mózgu. Przykładowo, można stworzyć u kupującego mylne wrażenie pilności lub ograniczonej dostępności oferty i skłonić go do kompulsywnego zakupu, poprzez umieszczenie na stronie sklepu internetowego zegara odliczającego czas do końca oferty. Idąc dalej, jeśli zasypiemy użytkownika różnymi informacjami, jednocześnie zwracając jego uwagę na konkretny konkretne miejsce lub pole, to z dużym prawdopodobieństwem użytkownik skieruje swoją uwagę i kliknie właśnie w to pole (podatność ta jest często wykorzystywana w przypadku projektowania banerów cookies).
Stosowanie zwodniczych interfejsów potrafi zaś przynieść namacalne i wymierne korzyści podmiotom, które je stosują. Pozwalają one bowiem skłonić konsumenta do udostępnienia większej ilości informacji na swój temat, czy wydania przez niego większej sumy pieniędzy. To z kolei przekłada się (bezpośrednio lub pośrednio) na zwiększenie zysków właściciela platformy, sklepu czy serwisu online.
Dark patterns pod lupą Komisji Europejskiej
Korzyści ekonomiczne idące za stosowaniem dark patterns niestety powodują, że ich obecność stała się powszechna w sklepach internetowych lub innego rodzaju platformach online. Jak wynika z akcji kontrolnej przeprowadzonej w 2022 r. przez Komisję Europejską, praktyki manipulacyjne wykorzystujące podatność konsumentów lub wprost ich oszukujące, są stosowane na prawie 40 % stron internetowych umożliwiających zakupy przez internet. Kontrola prowadzona była we współpracy z organami ochrony konsumentów różnych państw członkowskich i obejmowała 399 sklepów internetowych z różnych branż. Zainteresowanie zwodniczymi interfejsami przez Komisję Europejską i organy odpowiedzialne za egzekwowanie unijnych przepisów dotyczących ochrony konsumentów świadczy o rosnącej roli praw konsumenta w internecie.
Dotychczasowe ramy prawne wokół dark patterns
Przed wejściem w życie DSA nie było przepisów, które wprost zakazywałyby stosowanie zwodniczych interfejsów. Nie oznacza to jednak, że nie były one w ogóle sankcjonowane – ograniczenia w ich stosowaniu można było wywodzić z przepisów ustaw konsumenckich i przepisów o ochronie danych osobowych.
| Dotychczasowe, przykładowe przepisy sankcjonujące stosowanie dark patterns | ||
| przepis | treść przepisu | zastosowanie przepisu do dark patterns |
| art. 4 ust. 1 ustawy o przeciwdziałaniu nieuczciwym praktykom rynkowym (UPNPR) | praktyka rynkowa jest nieuczciwa, jeżeli jest sprzeczna z dobrymi obyczajami i w istotny sposób zniekształca lub może zniekształcić zachowanie rynkowe przeciętnego konsumenta | stosowanie dark patterns może godzić w dobre obyczaje i istotnie zniekształcać zachowanie konsumenta i tym samym być uznane za nieuczciwą praktykę rynkową |
| art. 24 ustawy o ochronie konkurencji i konsumentów | zakazane jest stosowanie praktyk, które godzą w zbiorowe interesy konsumentów; przez praktykę naruszającą zbiorowe interesy konsumentów rozumie się m.in. nieuczciwe praktyki rynkowe | stosowanie dark patterns, jako nieuczciwa praktyka rynkowa, może być również uznane za praktykę godzącą w zbiorowe interesy konsumentów |
| art. 5 ust. 1 lit. a RODO | dane osobowe muszą być przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą | stosowanie dark patterns, jeśli wiąże się z przetwarzaniem danych osobowych, może naruszać zasadę przejrzystości przetwarzania danych |
| art. 4 RODO | zgoda podmiotu danych, dotycząca przetwarzania jego danych osobowych, musi być m.in. dobrowolna i świadoma | stosowanie dark patterns, jeśli wiąże się z przetwarzaniem danych osobowych, może naruszać wymogi dotyczące wyrażenia zgody na przetwarzanie danych (w odniesieniu do jej dobrowolności i świadomości) |
| art. 25 RODO | administrator ma obowiązek uwzględniać ochronę danych w fazie projektowania rozwiązań, których zastosowanie pociąga za sobą przetwarzanie danych | stosowanie dark patterns, jeśli wiąże się z przetwarzaniem danych osobowych, może naruszać obowiązek uwzględniania ochrony danych w fazie projektowania (privacy by design) |
O tym, że stosowanie manipulacyjnych praktyk w ścieżce użytkownika może stanowić naruszenie RODO, boleśnie przekonał się niedawno właściciel platformy TikTok. We wrześniu Irlandzka Komisja Ochrony Danych nałożyła bowiem na chińską korporację ByteDance administracyjną karę pieniężna w wysokości 345 mln euro. Według ustaleń Komisji, domyślne ustawienia prywatności na profilach nieletnich użytkowników były zaprojektowane w taki sposób, aby treści zamieszczane przez tych użytkowników były dostępne publicznie. Jednocześnie, informacja o publicznym charakterze kont nie była w sposób transparentny przekazywana użytkownikom, a zmiana ustawień prywatności była utrudniona (serwis stosował dark patterns, aby nakłonić użytkowników do wyboru opcji naruszających ich prywatność). Takie praktyki organ uznał za naruszenie m.in. zasady przejrzystości (art. 5 ust. 1 lit. a RODO), minimalizacji (art. ust. 1 lit. c 5 RODO), a także obowiązku uwzględniania ochrony danych w fazie projektowania (art. 25 RODO).
Dark patterns w oczach EROD
Zwodnicze interfejsy były również przedmiotem zainteresowania Europejskiej Rady Ochrony Danych (EROD) – w 2022 roku EROD opublikowała wytyczne w sprawie tzw. dark patterns w interfejsach platform społecznościowych. Mimo, że wytyczne dotyczą wyłącznie stosowania zwodniczych interfejsów w mediach społecznościowych, to mogą one stanowić cenną wskazówkę interpretacyjną w odniesieniu do podobnych praktyk również na innego rodzaju platformach lub serwisach.
EROD w wytycznych wyróżnia następujące rodzaje zwodniczych interfejsów:
- przeciążające (overloading): takie, w których użytkownik zasypywany jest dużą liczbą próśb, informacji lub opcji, aby skłonić go do udostępnienia większej ilości danych lub nieumyślnie zezwolić na przetwarzanie danych osobowych wbrew swojej woli.
- pomijające (skipping): takie, w których interfejs lub ścieżka użytkownika projektowana w taki sposób, aby użytkownik zapomniał lub nie myślał o aspektach związanych z ochroną danych.
- wpływające na emocje (stirring): takie, które wpływają na wybór użytkownika poprzez odwołanie się do jego emocji, w tym poprzez użycie wizualnych bodźców.
- utrudniające (obstructing): takie, które utrudniają lub blokują użytkownikowi uzyskanie informacji o jego danych lub zarządzanie tymi danymi.
- zmienne/niespójne (fickle): takie, w których projekt interfejsu niespójny i niejasny, utrudniający użytkownikowi poruszanie się po różnych narzędziach kontroli ochrony danych i zrozumienie celu przetwarzania.
- pozostawiające w niewiedzy (left in the dark): zaprojektowane w taki sposób, aby ukryć informacje lub narzędzia kontroli ochrony danych lub pozostawić użytkownika niepewnego co do sposobu przetwarzania jego danych oraz rodzaju kontroli, jaki mogą nad nimi sprawować.
Dark patterns a przepisy AUC
AUC w art. 25 wprost zakazuje stosowanie zwodniczych interfejsów. Warto jednak zwrócić uwagę, że na gruncie AUC zakaz ten dotyczy wyłącznie dostawców platform internetowych, pomijając pozostałe rodzaje dostawców usług pośrednich.
| 1. Dostawcy platform internetowych nie mogą projektować, organizować ani obsługiwać swoich interfejsów internetowych w sposób, który wprowadza w błąd odbiorców usługi lub nimi manipuluje lub w inny istotny sposób zakłóca lub ogranicza zdolność odbiorców ich usługi do podejmowania wolnych i świadomych decyzji. 2. Zakaz przewidziany w ust. 1 nie ma zastosowania do praktyk objętych dyrektywą 2005/29/WE lub rozporządzeniem (UE) 2016/679. 3. Komisja może wydać wytyczne dotyczące stosowania ust. 1 do konkretnych praktyk, w szczególności: a) większego eksponowania niektórych wyborów, gdy odbiorca usługi jest proszony o podjęcie decyzji; b) wielokrotnego żądania od odbiorcy usługi dokonania wyboru, gdy wyboru takiego już dokonał, w szczególności przez pokazywanie wyskakujących okienek, które zakłócają środowisko użytkownika; c) sprawiania, że procedura zrezygnowania z usługi jest trudniejsza niż procedura jej subskrypcji. |
Co więcej, zakaz nie ma zastosowania do praktyk objętych dyrektywą 2005/29/WE (dyrektywa dotycząca nieuczciwych praktyk handlowych, w Polsce implementowana w drodze UPNPR) lub rozporządzeniem 2016/679 (RODO). Oznacza to, że dana praktyka może być sankcjonowana przez art. 25 dopiero wówczas, jeśli nie zostanie zakwalifikowana jako naruszenie UPNPR lub RODO.
Praktyka
Wyraźne rozdzielenie reżimu prawnego AUC od UPNPR i RODO powoduje, że w rzeczywistości zakres zastosowania art. 25 AUC może być bardzo wąski. W praktyce bowiem dark patterny stosowane są najczęściej właśnie po to, aby wprowadzić w błąd albo konsumenta, albo podmiot danych osobowych. AUC mógłby zaś znaleźć zastosowanie np. do praktyk stosowanych na takich platformach internetowych, które obsługują transakcje pomiędzy podmiotami profesjonalnymi (B2B).
W momencie publikacji artykułu (listopad 2023) nadal oficjalnie nie rozstrzygnięto, na który polski urząd zostanie nałożony obowiązek nadzoru nad stosowaniem przepisów AUC – brak bowiem ustawy, która adresowałaby tę i inne techniczne kwestie związane ze stosowaniem AUC.
Niezależnie od powyższego, wprowadzenie AUC przez unijnego ustawodawcę, jak również zainteresowanie tematem dark patternów przez Komisję Europejską, świadczą o rosnącej roli praw jednostki w internecie. AUC wszedł w życie w listopadzie 2022 roku, jednak przedsiębiorcy mają czas na dostosowanie swoich praktyk do nowej regulacji do 17 lutego 2024 roku. Dlatego już teraz warto zapoznać się z nadchodzącymi zmianami i dostosować swoje działania do nowej, prawnej rzeczywistości.