Skip to main content

Tumšie modeļi sīkdatņu piekrišanā

Tumšais modelis (dark pattern) ir tāda lietotāja saskarnes izveide, kas manipulē lietotājus, liekot viņiem izdarīt izvēli, kuru viņi citādi neizdarītu. Sīkdatņu piekrišanas kontekstā tumšie modeļi virza lietotājus uz visu sīkdatņu pieņemšanu — nevis ar skaidru informāciju un patiesu izvēli, bet ar vizuālu manipulāciju, mulsinošu valodu un apzinātām grūtībām.

Tumšie modeļi sīkdatņu piekrišanā nav tikai slikts dizains — tie ir juridisks risks. Datu aizsardzības iestādes visā ES ir piemērojušas ievērojamus naudas sodus tieši par manipulatīvām piekrišanas saskarnēm, un regulatīvā uzraudzība pastiprinās.

Kāpēc tumšie modeļi padara piekrišanu par spēkā neesošu

Saskaņā ar GDPR piekrišanai jābūt:

  • Brīvi sniegtai (4. panta 11. punkts) — lietotājam jābūt patiesai izvēlei bez spiediena vai manipulācijas.
  • Konkrētai — piekrišana jāsniedz katram atsevišķam nolūkam.
  • Informētai — lietotājam jāsaprot, kam viņš piekrīt.
  • Nepārprotamai — sniegtai ar skaidru apstiprinošu darbību.

Tumšie modeļi jau savā būtībā apdraud principu par piekrišanu, kas ir "brīvi sniegta" un "informēta". Ja atteikuma iespēja ir paslēpta, vizuāli mazināta vai paslēpta aiz vairākiem klikšķiem, lietotāja piekrišana nav sniegta brīvi. Ja valoda ir mulsinoša vai maldinoša, lietotājs nav bijis informēts. Jebkurā no šiem gadījumiem piekrišana ir juridiski spēkā neesoša — un katra sīkdatne, kas iestatīta, pamatojoties uz šo piekrišanu, ir pārkāpums.

ES sīkdatņu solījums (Cookie Pledge)

2023. gada novembrī Eiropas Komisija uzsāka Sīkdatņu solījumu (Cookie Pledge) — brīvprātīgu uzņēmumu apņemšanos ieviest godīgu sīkdatņu praksi. Lai gan tas nav juridiski saistošs, Sīkdatņu solījums norāda uz Komisijas gaidām un iezīmē regulatīvo virzienu.

Sīkdatņu solījuma galvenie principi:

  • Sīkdatņu atteikumam jābūt tikpat vienkāršam kā pieņemšanai — klikšķu skaita, vizuālā izklāsta un kognitīvās piepūles ziņā.
  • Nekādu manipulatīvu dizaina elementu, kas virza lietotājus uz piekrišanu.
  • Skaidra, vienkārša valoda, ko lietotāji var uztvert vienā acu uzmetienā.
  • Nekādu sīkdatņu sienu, kas bloķē piekļuvi saturam.
  • Vienkārša piekrišanas atsaukšana jebkurā laikā.

Sīkdatņu solījumu parakstīja vairāki nozīmīgi zīmoli. Lai gan iniciatīva ir brīvprātīga, datu aizsardzības iestādes ir tieši atsaukušās uz solījuma principiem savos izpildes lēmumos.

EDPB vadlīnijas par tumšajiem modeļiem

Eiropas Datu aizsardzības kolēģija (EDPB) publicēja Vadlīnijas 03/2022 par tumšajiem modeļiem sociālo mediju platformu saskarnēs, kuras plaši attiecinātas arī uz sīkdatņu piekrišanas saskarnēm. Vadlīnijas nosaka sešas tumšo modeļu kategorijas:

  1. Pārslogošana — lietotāju apbēršana ar pārmērīgu informāciju vai pieprasījumiem, izraisot lēmumu pieņemšanas nogurumu.
  2. Izlaišana — saskarņu izveide, kas izlaiž vai iepriekš atlasa iespējas bez lietotāja aktīvas iesaistes.
  3. Emociju ietekmēšana — emocionālas valodas vai vizuālu norāžu izmantošana, lai virzītu lietotājus uz konkrētu izvēli.
  4. Kavēšana — tiesību īstenošanas apgrūtināšana (piemēram, atteikuma pogas atrašana, iestatījumu piekļuve, piekrišanas atsaukšana).
  5. Nekonsekvence — nekonsekvents dizains, kas mulsina lietotājus par to, kur viņi atrodas un ko nozīmē viņu izvēle.
  6. Atstāšana neziņā — informācijas slēpšana, neskaidras valodas izmantošana vai nepilnīga konteksta sniegšana.

Valstu datu aizsardzības iestādes ir izmantojušas šīs kategorijas kā ietvaru, izvērtējot sīkdatņu joslas izpildes procesu laikā.

Izplatīti tumšie modeļi ar piemēriem

Iepriekš atzīmētas izvēles rūtiņas

Sīkdatņu kategoriju izvēles rūtiņu attēlošana jau atzīmētas, liekot lietotājam aktīvi noņemt atzīmes, lai atteiktu piekrišanu. Eiropas Savienības Tiesa to skaidri atzina par spēkā neesošu Planet49 lietā (C-673/17, 2019. gada oktobris). Tiesa nolēma, ka iepriekš atzīmētas izvēles rūtiņas nav "aktīva norāde" uz piekrišanu.

Neraugoties uz šo nepārprotamo spriedumu, daudzas tīmekļa vietnes joprojām izmanto iepriekš atzīmētus izvēļu paneļus, jo īpaši "analītikas" vai "funkcionālo" sīkdatņu kategorijām. Katra no šīm īstenošanām rada spēkā neesošu piekrišanu.

Nav atteikuma pogas

Pirmajā slānī tiek rādīts tikai "Pieņemt visu" un "Pārvaldīt iestatījumus", bez iespējas atteikties. Lietotājam jānoklikšķina "Pārvaldīt iestatījumus", jāpārvietojas pa sekundāro paneli, jāatceļ visu kategoriju atlase un tad jānoklikšķina "Saglabāt" — parasti trīs līdz pieci klikšķi, lai atteiktos, salīdzinot ar vienu klikšķi, lai pieņemtu.

CNIL (Francijas datu aizsardzības iestāde) ir bijusi īpaši aktīva šī modeļa apkarošanā. Savās 2022. gada janvāra izpildes darbībās pret Google (150 miljoni EUR) un Facebook (60 miljoni EUR) CNIL kā pārkāpumu īpaši norādīja vienkārša atteikuma mehānisma trūkumu pirmajā slānī.

Vizuālā manipulācija

Pogas "Pieņemt" padarīšana vizuāli dominējošu, vienlaikus mazinot "Atteikt" iespēju. Izplatīti paņēmieni:

  • Liela, spilgti krāsota poga "Pieņemt visu" blakus mazai, pelēkai vai caurspīdīgai iespējai "Atteikt".
  • "Pieņemt" kā aizpildīta, augsta kontrasta poga, savukārt "Atteikt" ir teksta saite vai kontūras poga.
  • "Pieņemt" lietotāja vizuālās uztveres ceļā (centrā, pa labi vai galvenajā pozīcijā), savukārt "Atteikt" novietota mazāk pamanāmā vietā.
  • Zaļās krāsas izmantošana "Pieņemt" (norādot drošību/turpināt) un sarkanās vai pelēkās "Atteikt" (norādot briesmas/apstāties/atspējots).

Princips ir vienkāršs: ja saprātīgs lietotājs, balstoties tikai uz vizuālo dizainu, uztvertu pieņemšanas iespēju kā "noklusējuma" vai "ieteicamo" darbību, josla izmanto tumšo modeli.

Mulsinoša valoda un "leģitīmās intereses"

Dažas piekrišanas saskarnes atsevišķus izsekošanas nolūkus attēlo kā balstītus uz "leģitīmajām interesēm", nevis piekrišanu, ar šiem nolūkiem iepriekš iespējotiem un pieprasot atteikšanos (opt-out), nevis pieteikšanos (opt-in). Tas tehniski ir atļauts saskaņā ar GDPR patiesu leģitīmu interešu gadījumā, taču tas tiek plaši ļaunprātīgi izmantots.

Kad sīkdatņu josla uzskaita desmitiem reklāmas piegādātāju sadaļā "leģitīmās intereses" ar sīkiem pārslēdzējiem, praktiskais efekts ir tāds, ka lielākā daļa lietotāju nesaprot, ko viņi redz, un nerīkojas — kā rezultātā izsekošana notiek pēc noklusējuma. Vairākas datu aizsardzības iestādes, tostarp Beļģijas APD, ir apstrīdējušas šo praksi, apgalvojot, ka leģitīmās intereses nevar būt reklāmas izsekošanas juridiskais pamats.

Pārmērīgs klikšķu skaits, lai atteiktu

Piepūles asimetrija, iespējams, ir visizplatītākais tumšais modelis:

Darbība Nepieciešamie klikšķi
Pieņemt visas sīkdatnes 1 klikšķis
Atteikt visas sīkdatnes (tumšais modelis) 3–7 klikšķi (atvērt iestatījumus, atcelt katras kategorijas atlasi, saglabāt, iespējams, apstiprināt)
Atteikt visas sīkdatnes (atbilstoši) 1 klikšķis (poga "Atteikt visu" pirmajā slānī)

EDPB piekrišanas vadlīnijas ir skaidras: "Piekrišanas atsaukšanai jābūt tikpat vienkāršai kā tās sniegšanai." Attiecīgi piekrišanas atteikumam nevajadzētu prasīt lielāku piepūli nekā tās sniegšanai.

Sīkdatņu sienas

Sīkdatņu siena pilnībā bloķē piekļuvi tīmekļa vietnei, ja vien lietotājs nepieņem sīkdatnes. Lapas saturs ir paslēpts aiz pārklājuma, un vienīgais veids, kā turpināt, ir noklikšķināt "Pieņemt".

EDPB savās Vadlīnijās 05/2020 ir norādījusi, ka sīkdatņu sienas parasti nesniedz brīvi dotu piekrišanu, jo lietotājam netiek dota patiesa izvēle — tas ir "piekrītiet vai aizejiet". Dažas jurisdikcijas pieļauj niansētu versiju (piemēram, Nīderlandes DPA ir norādījusi, ka sīkdatņu sienas var būt pieņemamas, ja lietotājam ir patiesa līdzvērtīga alternatīva), taču drošāka pozīcija ir tās pilnībā izvairīties izmantot.

Pārslogošana ar informāciju

Dažas joslas attēlo lapām gara blīvu juridisku tekstu, desmitiem piegādātāju pārslēdzēju un sarežģītas kategoriju hierarhijas — nevis lai informētu, bet lai pārslogotu. Saskaroties ar teksta sienu un 150 atsevišķiem piegādātāju pārslēdzējiem, lielākā daļa lietotāju vienkārši noklikšķina "Pieņemt visu" noguruma dēļ. Tas ir EDPB identificētais "pārslogošanas" tumšais modelis: izsmeļošas informācijas izmantošana, lai novērstu jēgpilnu iesaisti.

Risinājums ir slāņots pieejas modelis: īsa, skaidra informācija pirmajā slānī, ar pieejamu, taču ne obligāti pārlūkojamu detalizētu informāciju.

Emocionāla manipulācija

Vainas apziņu radošas vai emocionāli piesātinātas valodas izmantošana, lai virzītu piekrišanas izvēli:

  • "Nē, paldies, man ir vienalga par personalizētu pieredzi"
  • "Es labprātāk redzu neatbilstošas reklāmas"
  • "Turpināt ar pasliktinātu pieredzi"
  • Skumju emocijzīmju vai neapmierinātu attēlu izmantošana, kad lietotājs virzās uz atteikumu

Šie "kaunināšanas" (confirmshaming) paņēmieni liek lietotājam justies, ka sīkdatņu atteikšana ir slikta vai antisociāla izvēle. Valodai jābūt neitrālai un informatīvai, nevis emocionālai.

Reāli izpildes piemēri

Datu aizsardzības iestādes ir pārgājušas no vadlīnijām uz izpildi. Šeit ir ievērojami gadījumi, kad tumšie modeļi sīkdatņu piekrišanā izraisīja būtiskus naudas sodus:

CNIL pret Google (150 miljoni EUR) — 2022. gada janvāris

CNIL konstatēja, ka google.fr nepiedāvāja mehānismu sīkdatņu atteikumam tikpat viegli kā to pieņemšanai. Sīkdatņu pieņemšana prasīja vienu klikšķi; atteikums prasīja pārvietoties pa vairākiem ekrāniem. Naudas sodam pievienoja rīkojumu trīs mēnešu laikā nodrošināt pogu "Atteikt visu" pirmajā slānī.

CNIL pret Facebook (60 miljoni EUR) — 2022. gada janvāris

Tā pati izpildes darbība. Facebook sīkdatņu joslai vietnē facebook.com trūka pirmā slāņa atteikuma iespējas. Lietotājiem bija jāpārvietojas pa iestatījumiem, lai atteiktos no sīkdatnēm. CNIL piemēroja naudas sodu un pieprasīja labošanu.

CNIL pret Microsoft (60 miljoni EUR) — 2022. gada decembris

CNIL konstatēja, ka bing.com izvietoja reklāmas sīkdatnes bez pienācīgas piekrišanas un ka sīkdatņu josla nenodrošināja tikpat vienkāršu veidu, kā atteikties no sīkdatnēm.

CNIL pret TikTok (5 miljoni EUR) — 2022. gada decembris

TikTok sīkdatņu josla prasīja vairākas darbības, lai atteiktos no sīkdatnēm. CNIL konstatēja, ka tas pārkāpj prasību par vienlīdz pieejamiem piekrišanas un atteikuma mehānismiem.

Itālijas Garante pret dažādiem uzņēmumiem — 2023. gads

Itālijas datu aizsardzības iestāde veica pārbaudes, kas vērstas uz sīkdatņu joslu tumšajiem modeļiem, izsniedzot brīdinājumus un naudas sodus vairākiem uzņēmumiem par manipulatīvu pieņemšanas/atteikuma pogu dizainu izmantošanu.

Kā izveidot ētiskas piekrišanas saskarnes

Ētiskas sīkdatņu piekrišanas saskarnes izveide nav tikai par naudas sodu izvairīšanos — tā ir par savu lietotāju cienīšanu un uzticības veidošanu. Šeit ir principi:

  1. Vienlīdzīga pamanāmība. Pieņemšanas un atteikuma iespējām jābūt vizuāli identiskām pēc izmēra, krāsas svara un novietojuma. Ja "Pieņemt" ir aizpildīta zila poga, arī "Atteikt" ir jābūt vienāda izmēra aizpildītai pogai.
  2. Vienlīdzīga piepūle. Sīkdatņu atteikumam jāprasa tāds pats klikšķu skaits kā to pieņemšanai. Viens klikšķis, lai pieņemtu, nozīmē vienu klikšķi, lai atteiktu.
  3. Skaidra valoda. Izmantojiet vienkāršu, neitrālu valodu. "Pieņemt visu" un "Atteikt visu" — nevis "Pieņemt" un "Uzzināt vairāk".
  4. Nekādu noklusējumu. Visām nebūtiskajām sīkdatņu kategorijām pēc noklusējuma jābūt izslēgtām. Nekādu iepriekš atzīmētu izvēles rūtiņu, nekādu iepriekš iespējotu leģitīmo interešu.
  5. Godīga informācija. Aprakstiet, ko dara sīkdatnes, faktiskā veidā. Nekādu eifēmismu, nekādu iebiedēšanas taktiku, nekādu emocionālas manipulācijas.
  6. Pieejami iestatījumi. Izvēļu panelim jābūt viegli pārlūkojamam, ar skaidrām kategorijām un kodolīgiem aprakstiem.
  7. Vienkārša atsaukšana. Pastāvīgai iestatījumu ikonai vai saitei jābūt pieejamai katrā lapā, lai lietotāji jebkurā laikā varētu mainīt savas izvēles.

Kontrolsaraksts: Vai mana josla ir bez tumšajiem modeļiem?

Izmantojiet šo kontrolsarakstu, lai izvērtētu savu pašreizējo sīkdatņu joslu:

  1. Vai joslas pirmajā slānī ir poga "Atteikt visu"?
  2. Vai atteikuma poga ir tāda paša izmēra kā pieņemšanas poga?
  3. Vai atteikuma pogai ir tāds pats vizuālais stils kā pieņemšanas pogai (abas aizpildītas, abas ar kontūru u.tml.)?
  4. Vai sīkdatņu atteikšana prasa tādu pašu klikšķu skaitu kā to pieņemšana?
  5. Vai visas nebūtiskās sīkdatņu kategorijas izvēļu panelī pēc noklusējuma ir izslēgtas?
  6. Vai valoda ir neitrāla un faktiska (bez vainas radīšanas, bez emocionālas manipulācijas)?
  7. Vai lietotājs var piekļūt vietnes saturam bez sīkdatņu pieņemšanas (nav sīkdatņu sienas)?
  8. Vai lietotājs jebkurā laikā var mainīt savas izvēles ar redzamas saites vai ikonas palīdzību?
  9. Vai nolūka apraksts ir konkrēts (nevis tikai "uzlabot jūsu pieredzi")?
  10. Vai neviena sīkdatne netiek iestatīta, pirms lietotājs izdara izvēli?

Ja uz kādu no šiem jautājumiem atbildējāt "nē", jūsu josla var saturēt tumšos modeļus, kas jūs pakļauj regulatīvajam riskam.

Passiro piekrišanas josla no pamata izstrādāta tā, lai būtu bez tumšajiem modeļiem, pēc noklusējuma atbilstot ikvienam šī kontrolsaraksta kritērijam. Uzziniet, kā Passiro var palīdzēt jums ieviest ētisku, atbilstīgu sīkdatņu piekrišanu.

Vai jūsu tīmekļa vietne atbilst sīkdatņu noteikumiem?

Skenējiet savu tīmekļa vietni bezmaksas un atrodiet visas sīkdatnes dažu minūšu laikā.

Skenēt savas sīkdatnes bezmaksas