Dark Patterns och Cookie-Banners

Inledning

Följande genomgång beskriver och diskuterar Dark Patterns inom UX-design som webbsidor och företag använder sig av, med fokus på så kallade consent banners för cookies. Syftet är att genom ett antal exempel belysa Dark Patterns vilka juridiska och kommersiella intressen de spänningar utvecklare och webboptimerare har förhålla sig till, liksom några av de konsekvenser detta har för användare.

Dark Patterns är manipulativa, av många ansedda oetiska och juridisk problematiska psykologiska tekniker som UX-designers ibland använder sig av, ofta för kommersiella syften. Ett av dessa kommmersiella incitament är att få tillgång till användares data, och under de senaste decennierna har det har det tillkommit en rad olika dataskyddslagar och flera är under förhandling och diskussion. Ett exempel är dataskyddsförordningen från 2018, som föreskriver hårdare krav på hantering av personuppgifter på nätet. EU-kommissionens förslag till ny förordning om integritet och elektronisk kommunikation (framlagd 2017) – som skulle kunna beskrivas som ett tillägg till dataskyddsförordningen som kan ersätta ePrivacy-direktivet från 2002 – kräver att användare ger sitt fulla godkännande åt ”tracking”-teknologier. Det nya direktivet är gjord för att återspegla en verklighet där användare trackas på ett flertal både på webbplatser eller i appar och en ett flertal antal spårningstekniker – inte bara cookies utan också fingerprinting eller beacons (Europainformation 2021).

Företag och UI-designers som arbetar med appar och företag har valt en rad olika strategier för att möta dessa lagar och krav om datahantering. En av dessa kommer här att stå i fokus: att använda UI där dark patterns – eller UI-designval som i närheten av Dark-pattern – i syfte att få användarens godkännande att använda tracking-teknologier.

GDPR innehåller principer som föreskriver hur data får insamlas på webben (artikel 5): exempelvis lawfullness, fairness och transperancy. Lagenligt datainsamlande kräver enligt samtycke (consent). Eprivacy Directive stipulerar att användarens godkännande krävs för att samla in information genom tracking- teknologier, vilket innefattar cookies. Enligt GDPR måste samtycke vara “freely given, specific, informed and unambiguous” (Information Comissioner’s Office 2022).

Del 1 ger en allmän beskrivning av hur och i vilken omfattning Dark Patterns används på webbsidor, och introducerar ett antal specifika Dark Pattern-strategier som är särskilt relevanta för förståelsen av hur cookiebanners kan utformas för att få användare att godkänna cookieinställningar. Utgångspunkten är de Dark Patterns som identifierads av inflytelserika artikel The Dark (Patterns) Side of UX Design (2018).

Del 2 kommer, utgående från Grey et al (2021) als artikel Dark patterns and the legal requirements of consent banners: An interaction criticism perspective, beskriva och diskutera tre vanliga sätt som webbsidor som användare utformar consent-banners och sidfunktionalitet. Artikeln diskuterar dessa ur ett flertal perspektiv: juridiska, användarupplevelse och samhälleliga konsekvenser. Fokus kommer här ligga på om de olika lösningarna exemplifierar olika Dark pattern-strategier och huruvida de bryter mot eller är problematiska i ljuset av EU:s olika dataförordningar.

1. Om Dark Patterns på webben: Definition och förekomst

Definition av Dark Patterns och subtyper relevanta för UX

Termen Dark Patterns skapades och av Harry Bignull i en artikel från 2010, som definierade dem som “a user face carefully crafted to trick users into doing things they might not otherwise do” (Bignull 2010) . Bignull, som främst utgick ifrån E-handeln, identifierade tio olika manipulativa psykologiska tekniker som webbsidor använder för att få användare att bete sig på ett sätt går emot sina egna intressen. Ett känt exempel är sneaking, att få användaren att godkänna något som vederbörande inte avsett eller vill, t ex en extra vara som utan att användaren är medveten om det läggs till i varukorgen under något av de olika stegen. Senare forskare och UI- designer identifierat flera nya Dark Patterns även bortom E-handel, liksom ett stort antal subtyper.

Utgångspunkten för den kritiska diskussionen av Dark Pattern skulle alltså kunna beskrivas som att det finns en konflikt mellan user-value och stakeholder-value. När det gäller Dark Patterns som är särskilt relevanta för att analysera consent banners de följande:

Interface interference. Detta är en stor kategori, som involverar alla aspekter av gränssnittet som får användaren att välja en handling före en annan – förutsatt att denna handling går emot användarens intresse. Detta kan röra sig på grafisk och retorisk manipulation som, till exempel att använda färger och visuell hierarki för att få användaren användaren att kryssa i ”rätt” alternativ (som när cookies-banners en gröna och centralt placerad knapp för att godkännande av samtliga cookies). Men interface interference kan också också handla om att gömma information och använda förvalda alternativ; subtyper inom interface interference är gömd information och preselection (Grey et al 2018, s. 7).

Obstruction är också en vanligt förekommande Dark Pattern, som handlar om att göra vissa interaktioner onödigt komplicerade i syfte att undvika att användaren utför vissa handlingar (Grey et al 2018, s. 5).

Sneaking handlar som sagt om göra relevant information mindre synlig för användaren, för att få hen att gå med på val som hen inte gått med på. (Grey et al 2018, s. 6).

Förekomsten av Dark Patterns på webbsidors cookies-inställning och påverkan på användarbeteende

En rad studier har visat att användandet av Dark Patterns vid godkännande av cookies är vanligt och utbrett på många hos flera av de mest besökta webbsidorna och av världens största företag. En studie utförde en analys av 300 webbsidor i England och Skandinavien, och fann att samtliga har någon form av oetisk praxis, varav de vanligaste var obstruction och interface interference (Soe al 2020 s. 13). En antal studier har också visat att uformningen av banners har en betydande påverkan på om användaren godkänner cookies. Utz et al (2019) studerande bland annat interface interference och pre-selected choises på cookies hade signifikant påverkan på användarens benägenhet att godkända ge ifrån sig information genom cookies. Machuletz och Böhme (2019) undersökte hur 150 studenter reagerade på förekomsten av förkryssade “Select all”-alternativ påverkade på Cookie-banners. Det visade sig att detta gränsnittsval stark påverkade studiedeltagarnas benägenhet att godkänna samtliga cookies, och att de – efter att ha fått full information och tid för reflektion – ibland ångrade detta val.

2. Typer av consent banners ur design-, användar- och dataintegretetsperspektiv

Utifrån Grey et al 2021 kommer vi här beskriva och analyserar tre relativt vanliga typer av godkännande av datainsamling som webbsidor använder sig av: Consent wall, Tracking walls och Reduced services, utifrån ett design-, användar-, gränssnitts- och socialt påverkan-perspektiv.

Reduced service

Reduced service innebär att begränsa användarens tillgång beroende på vilka inställningar angående dataninsamling de väljer. I vissa fall kan webbsidan helt blockera tillgång till innehåll baserad på användarens val, även om detta inte är särskilt vanligt. Praktiken har ofta sin grund i att uppdragsgivare har ekonomiskaatt ge användare tillgång till olika delar av sidorna baserat på vilka inställningar de väljer (Gray et al 2021, s. 8-9).

Om användaren till följd av sitt svarsalternativ får tillgång till begränsad eller sämre fungerande webbsida, innebär detta att hen som ett resultat av ovilja att dela datan blir bestraffad; en praktik som brukar kallas reward and punishment (Gray et al 2021, s. 8-9). Också detta går emot idealet om freely given consent, som anger att valet inte bör leda till negativa konsekvenser (Recital 42 av GDPR). General Advocate argumenterar också för att användarna också måste göras medvetna om konsekvenserna av eller inte acceptera datadelning, om en sådan konsekvens föreligger (ibid).

När det gäller socialt inflytande menar Grey et al att webbsidor med begränsad funktionalitet som svar på användarnas inställningar ofta beror på ekonomiska realiteter; datan ger helt enkelt webbsidan ägare en försörjningsmöjlighet. Det kan vara svårt att få användare att betala för innehåll, och många användare förväntar sig tillgång till gratis innehåll. Många webbsidor saknar alternativ som är finansiellt och juridisk hållbar givande de rådande ekonomiska incitamenten och användarnas förväntningar (Gray et al 2021, s. 8-9).

Hur ska webbsidor hantera denna situation? Grey et al menar att alternativ vore att webbisidor explicit och tydligt kunde informera att vissa cookies-inställningar leder till begränsad service, och inte använder manipulativ design vid valet, men att det samtidigt finns ekonomiska incitament som talar emot för att detta blir en utbredd och framgångsrik praxis (Gray et al 2021, s. 8-9).

Consent Walls
En consent wall kräver att användaren tackar ja eller nej till cookies för att överhuvudtaget ha möjligt att nå sidans innehåll. Ur ett designperspektiv innebär detta att valet av informationsinsamlande tydligt markeras, både visuellt och interaktivt. Detta har fördelen att vara tydlig för användaren och hänvisa till en typisk form som användare i regel känner igen, något som Grey et al inte diskuterar. Men problemet en consent wall är enligt författarna att detta tycks bryter mot principen om freely given consent (Article 7(1) GDPR). För att ge freely given consent krävs alltså att designen inte gör någon åtskillnad mellan efterfrågan om godkännande och efterfrågan om innehåll (Gray et al 2021, s. 6-7).

Ur ett användarperspektiv är en consent wall enligt författarna inte helt tillfredsställande: Användaren har redan genom att besöka sidan visat att hen vill ha tillgång till webbsidans innehåll, och en vägg är ett hinder för detta mål. En consent wall skulle enligt dem kunna betraktas som en UX-praktik som leder till forced action, det vill säga kräver att användaren genomför handlingar för att få tillgång till funktionalitet. Den skulle också också betraktas som en obstruction för användaren önskan att nå innehållet (Gray et al 2021, s. 6-7). Det är, ur mitt perspektiv, tveksamt om en enkel operation som ger tillgång till en webbsidas samtliga innehåll bör räknas till kategorin obstruktion – förutsatt att bannern inte är manipulativt utformad.

Ur ett gränsnittsperspektiv är många content walls utformade på ett användaren är förutbestämd att godkänna olika typer av datainsamling såvida hen inte aktivt nekar. Även detta bör ses som en typ av obstruction, som ställer visuella och interaktiva hinder för användarens intention. En sådan utformning skulle enligt Grey et al sägas kunna strida mot kravet på att godkännandet ska vara läsbar och sakna tvetydighet (2021, s. 6-7) . Det bästa alternativet är enligt författarna att ha ett alternativ som tillåter användarna att inte välja och fortsätta använda webbsidan.

När det gäller socialt inflytande spekulerar Grey et al om att användningen av consent walls i stor skala – i alla fall consent wall utformade på viset ovan – skulle kunna leda till consent fatigue, det vill säga att användarna oreflexivt godkänner cookies; om det blir en utbredd praktik skulle det kunna leda till nagging (2021, s. 6-7).

Tracking walls
En tracking wall blockerar liksom content walls webbsidans innehåll till dess att användaren godkänt den, men erbjuder inte alternativet att avvisa datainsamlingen. Denna praktik kräver ett fullt godkännande av webbsidans tracking, utan möjlighet för användarna att styra vad som samlas in eller hur de trackas. Det kan i än mindre grad sägas uppfylla kravet på freely given consent, och ur ett användarperspektiv bör efterfrågan på godkännandet även i detta fall betraktas som en obstruction, eftersom det ställer upp ett hinder framför innehållet, som också som i högsta grad är tvångsmässig. Detta går emot alla rekommendationer, såsom CNLL Draft recommendation, vilka anger att det bör vara enkelt att neka som godkänna cookies; i detta fall är det omöjligt (Grey et al 2021, s. 7-8).

När det gäller sociala de konsekvenserna av denna praktik lyfter Grey et al fram att den leder till att många ställs inför valet att helt undvika viktiga webbsidor om de inte vill bli trackade (2021, s. 7-8). Anledningen till att denna design används är till stor del att webbsidan eller företag behöver annonsintäkter, och praktiken kan i stor skala bidra till en situation där endast resursstarka ges möjlighet att ha betalwebbsidor utan reklam där de kan välja bort delandet av data.

Litteratur

Gray, C.M. et al. (2021) “Dark patterns and the legal requirements of consent banners: An interaction criticism perspective,” Proceedings of the 2021 CHI Conference on Human Factors in Computing Systems. Available at: https://doi.org/10.1145/3411764.3445779

Gray, C.M. et al. (2018) “The dark (patterns) side of UX Design,” Proceedings of the 2018 CHI Conference on Human Factors in Computing Systems . Available at: https://doi.org/10.1145/3173574.3174108.

Soe, T.H., Nordberg, O.E., Guribye, F., & Slavkovik, M. (2020). Circumvention by design – dark patterns in cookie consent for online news outlets. Proceedings of the 11th Nordic Conference on Human- Computer Interaction: Shaping Experiences, Shaping Society.

Machuletz, D. and Böhme, R. (2020) Multiple purposes, multiple problems: A user study of consent dialogs after GDPR, arXiv.org. Available at: https://arxiv.org/abs/1908.10048 (Accessed: January 13, 2023).

Utz, C. et al. (2019) “(un)informed consent,” Proceedings of the 2019 ACM SIGSAC Conference on Computer and Communications Security [Preprint]. Available at: https://doi.org/10.1145/3319535.3354212.

Europainformation 202. Månadens fråga: Vad borde varje webbanvändare veta om den framtida förordningen om digital integritet? Europainformation Available at: https://eurooppatiedotus.fi/sv/2021/06/23/ manadens-fraga-vad-borde-varje-webbanvandare-veta-om-den-framtida-forordningen-om-digital- integritet/ (Hämtat 2022-01-12).

Information Comissioner’s Office (2022), What is valid consent? Available at: https://ico.org.uk/for- organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/consent/ what-is-valid-consent/(Hämtat 2022-01-12).

Brignull, H. (2010). ‘What are dark patterns?’, Dark Patterns Available at: https://darkpatterns.org /(Hämtat 2022-01-1).