消除欺骗性隐私做法：通过解决隐私黑暗模式建立信任

目录 4引言 4什么是暗黑模式？ 5 / 为什么暗黑模式如此普遍？6企业为什么要关心？ 6实践中的欺骗模式6 / 混乱的 Cookie 通知7 / 多次点击的 Cookie 横幅9 / 复杂的隐私设置9 / 物联网设备缺乏界面10 / 操纵性/令人困惑的语 言11 / 界面设计差12 / 强制注册12 / 无法更改设置13 / 默认设置 13应对欺骗模式 13 / 设计中的隐私 14 / 了解用户 14 / 协作：消除暗模式的关键14 / 用户体验 14 / 营销 15 / 简化用户隐私体验 16 / 中小企业的欺骗模式 17将此付诸实践17结论 摘要 隐私暗模式是指欺骗性策略，诱骗或操纵消费者分享比他们可能更喜欢更多的数据。尽管它们会侵蚀数字信任、增加风险和造成伤害，但许多企业仍采用暗模式。本白皮书探讨了暗模式为何既普遍又存在问题，并提供了现实世界的例子和策略，以取代它们，采用更好、更以消费者为中心的替代方案。 引言 许多消费者说他们想要隐私，但他们的行为往往并不反映这种愿望。1这种悖论可能部分归因于多种因素，包括对数字世界的缺乏意识或理解，以及在使用数字产品或服务之前不愿审阅冗长或复杂的隐私声明。2也可能是因为限制个人信息收集和使用或请求不被跟踪的难度。个人每天也都会遇到大量数据共享请求。因此，他们可能会经历同意疲劳，并在不考虑这些请求是否符合其隐私偏好的情况下接受这些请求。3 许多网站和应用程序默认跟踪用户以提供更好的用户体验，但退出或限制这种跟踪可能非常困难。 拥有复杂隐私设置和令人困惑的隐私界面的企业会使用暗黑模式。这些做法会严重影响其声誉和从消费者那里获得的信任。但隐私专业人员可以与用户体验（UX）设计师紧密合作，避免这些问题，为消费者创造一个真正的以隐私为中心的体验。 什么是暗黑模式？ 企业可能利用暗模式来“欺骗或操纵消费者购买产品或服务或放弃其隐私。”4暗模式是指让系统/产品用户难以理解和表达其隐私偏好的做法。在某些情况下，开发者会故意设计界面或做法来激励用户消费金钱或过度分享数据。 模式，从让没有亚马逊Prime会员资格的人难以购买商品，到在用户完成交易时欺骗消费者购买会员资格，并故意创建一个复杂的取消会员资格的过程。5 暗黑设计不仅关乎诱导用户消费；还可以欺骗用户分享个人信息。隐私暗黑设计，在本文中可互换地称为“欺骗模式”，是指诱导或促使人们采取与其隐私偏好不一致的行为的方法。 例如，美国联邦贸易委员会（FTC）最近对亚马逊采取了行动，声称其操纵消费者自动续订亚马逊Prime会员资格。FTC指控亚马逊故意从事各种黑暗 营销团队并非是欺骗性模式上升的唯一责任方。任何创建在线产品、服务或面向消费者的内容（例如，设计网站）、撰写电子邮件文案，或开发应用程序的部门都可能无意中采用欺骗性模式。在许多企业中，隐私专业人士可能与这些部门隔离，或处于下游，他们的不参与可能引发欺骗性模式的创建。 这些方法常常表现为糟糕的用户设计、难以找到或理解的隐私设置、令人困惑的措辞以及耗时冗长的退出流程。 作为一项针对隐私的案例，2022年，谷歌因涉嫌使用隐私暗模式而支付了8500万美元的和解金。诉讼指控谷歌在用户关闭位置追踪功能后，仍在其安卓手机的后台追踪用户位置。此外，该诉讼还称隐私设置难以找到。6 尽管全球隐私法律法规有助于保护数据主体的隐私，但它们也可能成为使用误导性隐私模式增加的一个因素。据估计，通用数据保护条例（GDPR）导致同意使用Cookie的通知增加了近40%。8虽然看似无害，但这些通知往往是欺骗性模式的主要来源，例 这些只是几个例子，欺骗性模式的使用正在增加。7企业必须防止这些行为变得正常或被接受。一个尊重用户并授权他们表达其隐私偏好的企业可以赢得消费者信任并在不尊重数据主体的竞争对手中取得竞争优势。 如没有清晰的“拒绝”按钮。尽管法律和法规已要求企业提供通知并获取收集个人数据的同意，但它们可能无意中促使企业更富有创造力地（或欺骗性地）收集数据。 为什么暗黑模式如此普遍？ 许多企业认为数据是现代世界最宝贵的战略资产。数据可以提供对消费者购买趋势的深刻见解，并揭示能够改进目标营销和广告的信息，从而推动销售额和收入。但是，获取更多数据的途径也可能同时增加对暗模式（dark patterns）的依赖，这种依赖基于错误的理论，即“越多越好”。 尽管全球隐私法律和法规有助于保护数据主体的隐私，但它们也可能导致欺骗性隐私模式使用率上升的原因之一。 需要注意的是，并非所有欺骗性模式都是故意的。例如，糟糕的用户体验设计，如使用难以阅读的颜色，可能导致出现黑暗模式。虽然在新用途收集数据之前以及在新产品或服务发布之前都应进行隐私影响评估，但仍有可能一些营销邮件或网站文案仍然利用黑暗模式。由于隐私团队不经常与文案撰稿人或网页设计师合作，这些模式可能无法被识别或未被测试。 依赖个人信息来定制广告的市场营销专业人士并非隐私专家；他们可能会接受全企业范围的隐私意识培训，这些培训主要涉及合规相关的问题，但他们的主要工作重点并非数字信任。因此，隐私专业人士必须在这些团队中发挥领导作用，以更好地平衡潜在的利益冲突，并赋予每个人都能够倡导隐私。 企业为什么要关心？ 即使使用欺骗性模式很常见，企业也应专注于与消费者建立和维护信任。最好情况下，当个人意识到自己被诱导提供个人信息时，他们会感到沮丧。最坏情况下，他们会选择另一个提供相同或类似服务的供应商。 近年来优先考虑多元化、公平和包容（DEI），在调查中95%的首席执行官表示DEI是他们公司在未来几年的优先事项。11然而，声称重视DEI却使用暗黑模式是矛盾的。 欺骗性模式可能对边缘化群体造成更大的伤害，特别是低收入和低教育水平的个人。12 新的隐私法律和法规专门针对暗模式的使用。在美国，加利福尼亚州是第一个禁止使用暗模式来获取同意的州。9而且尽管GDPR最初并未明确指出暗黑模式，但立法者已表明将提供进一步的法律指南以应对它们。10最终，未来法律和法规有可能禁止使用暗模式，但企业应鉴于已明确的监管信号（包括已采取的执法行动）采取主动措施。 较高的教育程度或技术技能不应是隐私的前提条件。 暗黑模式也可能不成比例地影响那些技术素养较低的人，以及在以英语为主要语言的国家中，那些英语不是母语的人。13 高等教育或技术技能不应是隐私的前提条件。企业必须努力确保所有个人，无论背景如何，都能平等地行使他们的隐私偏好。 阻止欺骗性模式也可以支持其他企业目标和价值观。许多企业 实践中的欺骗性模式 隐私暗模式可能以多种方式出现在用户旅程的不同时间点。以下是一些最常见的欺骗性模式以及应对方法。 令人困惑的 Cookie 通知 许多网站都有通知，要求访客允许收集 Cookie。这些 Cookie 通知应该易于理解并使用清晰的语言。 e隐私指令补充了GDPR，要求网站在使用者浏览器中存储cookies之前获取同意（“绝对必要”cookies除外）。14欺骗性模式尤其 在 cookie 注意中常见，部分原因是缺乏关于如何编写的监管指导。 图1展示了一个令人困惑的cookie通知的示例。 隐私政策 cookie notice in图1是误导性的，并可能导致用户对收集的信息得出不准确结论。没有明显的“拒绝”按钮。用户可能会认为他们的选择是接受 Cookie 跟踪或阅读隐私政策然后接受 Cookie跟踪。 Cookie横幅将拒绝按钮设为灰色，使其看起来无法点击。 多次点击 Cookie 横幅 有些 Cookie 横幅需要用户多次点击才能拒绝 Cookie，而接受 Cookie 只需一次点击。虽然几次点击可能看起来并不重要，但额外的时间和摩擦通常是为了引导用户走向更少隐私的路径而故意设计的。图2显示一个需要多次点击才能拒绝 Cookie 的 Cookie 提示条。 尽管可能通过点击“隐私政策”按钮来拒绝 Cookie，但许多用户可能不知道这是可能的，或者不想要导航设置来拒绝 Cookie追踪。 为了应对这种欺骗性模式，企业应确保 Cookie 横幅尽可能易于理解。除了“接受”按钮外，还应有拒绝 Cookie 的按钮。 网站访客可能会在图2令人沮丧，因为它至少需要四次点击来更改默认设置，不包括切换按钮。 如果拒绝追踪需要多次点击，而接受所有追踪只需一次点击，许多用户可能会接受所有Cookie，而不是花费时间在不同的页面上设置和确认他们的真实偏好。 此按钮上的措辞应明确说明用户无需接受cookie即可使用该网站。确保按钮看起来像一个可点击的按钮；某些 提供颗粒化的cookie偏好很有价值，但有一种更好的方式来呈现这些信息。初始cookie横幅上每个跟踪类别的复选框允许用户确认他们的选择 用更少的点击。图3显示一个允许网站访客表达其饼干追踪选项的饼干横幅，而无需点击多个选项卡或菜单。此外，默认情况下不选中多余追踪。 可通过用户的个人资料页面、设置页面以及网页底部隐私链接访问。建立包含访问隐私设置说明的常见问题解答页面，并对客服人员进行用户如何查找这些设置的培训，也同样值得考虑。 复杂的隐私设置 Cookie横幅只是暗黑模式出现的一个领域。它们也可能出现在复杂、难以导航的菜单中，这些菜单隐藏了隐私设置。必须要有可访问的隐私设置，因为隐私声明经常因其长度和密度而被忽略。平均每个美国人手机上有80个应用程序（app）。15要读完所有相关的隐私政策需要22.4个小时。16并且不包括浏览过的网站。鉴于这些挑战，用户可能更容易修改他们的隐私选择，而不是审查冗长的隐私政策。17因此，企业让隐私设置易于查找至关重要。 物联网设备缺乏接口 物联网（IoT）设备，例如健身追踪器和智能家电，有时会收集粒度化和敏感信息。但由于许多物联网设备没有像手机和电脑那样的屏幕，因此可能不容易访问隐私设置，或者可能没有处理隐私偏好的机制。事实上，一些物联网设备甚至没有隐私政策。（可能会有针对产品网站或相关应用的政策，但没有针对设备及其收集数据的特定政策。） 以下是一些可以隐藏隐私设置的方法： •只有偏好设置页面上的一个难以找到的标签允许用户修改他们的设置。•隐私设置在未提及隐私的页面上（例如，安全设置页面）。•隐私相关设置分布在几个偏好页面，而不是在用户可以修改它们的中央位置。 图4展示了部分常见的物联网设备类别、可能收集的数据以及基于收集数据对用户进行的推断。请注意，物联网设备收集的数据可能因设备而异。 解决此问题的最有效方法之一是提供几个访问隐私设置的途径。18例如，隐私设置页面可能 根据可通过物联网设备收集的数据所获得的信息——以及可从中得出的结论——在初始设置设备和后续过程中，让消费者能够轻松修改物联网隐私设置至关重要。 一些同意请求利用令人困惑的语言来操控用户，使用户不清楚他们同意的是什么。这种欺骗性行为可以通过确保用户访问网站时不必提供电子邮件地址来避免。这意味着将“拒绝”按钮做得和共享信息的按钮一样容易看到。 此外，企业应为特定设备、关联应用和网站制定隐私政策。仅针对物联网设备的应仅制定政策，并突出设备收集和使用的信息是不够的。 此外，不提供信息的选项不应该包含评判；例如，一个标有“拒绝”的按钮，允许用户在不感到压力的情况下选择不分享信息。 操控性/迷惑性语言 这种暗黑模式还可能导致将必需的功能性饼干与可选的追踪性饼干分组，让用户误以为这种追踪对于网站正常运行是必要的。 有些信息索取请求依赖于操纵性语言。例如，一个零售网站可能会要求顾客提供电子邮件地址用于促销邮件，而顾客可以选择输入他们的电子邮件地址，或者点击一个写着类似“我讨厌省钱”的链接（图5除了操控性语言之外，用户可能对是否能够不提供电子邮件地址访问网站感到困惑，因为退订选项不是一个明显的按钮。 为了避免导致欺骗性模式的令人困惑的语言，请确保负责创建此文本的部门与隐私和用户体验团队共享以供审查。 首单享受15%折扣！ 请在此处输入您的电子邮件地