Запрет темных паттернов и не только. Что нужно знать о поправках к CCPA

Классический пример темного паттерна, когда пользователю проще согласиться, чем настраивать предпочтения. Ведь он не знает, какой еще выбор ему придется делать, если он нажмет «Configurate Preferences».
Классический пример темного паттерна, когда пользователю проще согласиться, чем настраивать предпочтения. Ведь он не знает, какой еще выбор ему придется делать, если он нажмет «Configurate Preferences».

Поправки к Калифорнийскому закону о конфиденциальности потребителей (CCPA) ввели прямые ограничения на использование темных паттернов, которые обманным путем мешают потребителям отказаться от продажи персональных данных. Изменения вступили в силу с 15 марта 2021 г. и уже работают. Разбираемся, что это значит для разработчиков.

Что такое темные паттерны?

Темные паттерны – это особенности интерфейса сайта или приложения, которые вынуждает пользователя сделать то, что он обычно не стал бы делать. Например, подписаться на рассылку или согласиться с обработкой персональных данных. Темные паттерны используются намеренно, чтобы «помочь» потребителю ошибиться и выбрать то, что выгодно компании.

Они существуют не только в онлайне. Это и мелкий шрифт в договоре, и запутанные условия (например, двойные отрицания), и скрытое навязывание дополнительных услуг.

Пользователи уже давно борются с темными паттернами. Например, в 2015 году LinkedIn заключил мировое соглашение после того, как группа пользователей подала на него коллективный иск. Социальная сеть выплатила компенсацию 13 млн. долларов.

Основная претензия – интерфейс LinkedIn был сделан так, что при регистрации пользователь давал социальной сети доступ к своей адресной книге электронной почты Google. После этого LinkedIn рассылал приглашения всем контактам якобы от имени пользователя. Если получатели не реагировали, то LinkedIn отправлял повторные приглашения. Такими ухищрениями LinkedIn расширял свою сеть пользователей.

Примеры «темного» интерфейса LinkedIn

Информация о том, как будет использоваться e-mail, намеренно указана серым цветом. Кнопка «Продолжить» выделена, чтобы её было проще нажать. <a href="https://api.dtf.ru/v2.8/redirect?to=https%3A%2F%2Fmedium.com%2F%40danrschlosser&postId=721781" rel="nofollow noreferrer noopener" target="_blank">Dan Schlosser</a>
Информация о том, как будет использоваться e-mail, намеренно указана серым цветом. Кнопка «Продолжить» выделена, чтобы её было проще нажать. Dan Schlosser
Окно предоставления доступа к адресной книге Google. В нем не указано, что после получения доступа LinkedIn начнет рассылать приглашения. <a href="https://api.dtf.ru/v2.8/redirect?to=https%3A%2F%2Fmedium.com%2F%40danrschlosser&postId=721781" rel="nofollow noreferrer noopener" target="_blank">Dan Schlosser</a>
Окно предоставления доступа к адресной книге Google. В нем не указано, что после получения доступа LinkedIn начнет рассылать приглашения. Dan Schlosser
Уведомление, которое появляется, если нажимаешь «Пропустить» в окне ввода имейла. Кнопка «пропустить» намеренно серая. <a href="https://api.dtf.ru/v2.8/redirect?to=https%3A%2F%2Fmedium.com%2F%40danrschlosser&postId=721781" rel="nofollow noreferrer noopener" target="_blank">Dan Schlosser</a>
Уведомление, которое появляется, если нажимаешь «Пропустить» в окне ввода имейла. Кнопка «пропустить» намеренно серая. Dan Schlosser
Еще один похожий пример, когда пользователю приходится принимать ряд решений, если он захочет настроить обработку данных, а не согласится со всем. about.fb.com
Еще один похожий пример, когда пользователю приходится принимать ряд решений, если он захочет настроить обработку данных, а не согласится со всем. about.fb.com

Какие темные паттерны теперь под запретом CCPA?

Поправки в Калифорнийский закон напрямую запретили темные паттерны, которые мешают потребителю отказаться от продажи его персональных данных. Под ограничение попали наиболее вопиющие ухищрения компаний.

Нельзя:

  1. Делать процедуру отказа от продажи данных сложнее и длиннее, чем процедуру дачи согласия на продажу данных (например, если ранее пользователь отказался от продажи, а затем решил дать согласие).
  2. Использовать запутанный язык. Например, двойное отрицание: «не могу не отказаться от продажи своих данных».
  3. Заставлять пользователя читать список причин, почему ему не стоит отказываться от продажи данных, прежде чем он сможет подтвердить свой отказ.
  4. Требовать от пользователя предоставить ненужную информацию о себе, чтобы подтвердить отказ.
  5. После того, как пользователь нажмет кнопку «Не продавать мои персональные данные», требовать, чтобы он сам нашел способ отказаться от продажи данных в тексте политики конфиденциальности (например, e-mail для отправки запроса).

Что еще нового в CCPA?

Поправки в CCPA не только ограничили ряд темных паттернов, но и добавили новые требования и положения.

Единая иконка для отказа от продажи персональных данных

CCPA предложил бизнесу использовать единую иконку для размещения на сайте или в приложении. Это не обязательное требование. Компании могут разместить иконку в дополнение к другим обязательным элементам: уведомлению о праве на отказ от продажи персональных данных и ссылке «Не продавать мои персональные данные». Иконка должна быть такого же размера, что и другие иконки на сайте.

Запрет темных паттернов и не только. Что нужно знать о поправках к CCPA

Дополнение Политики конфиденциальности о пользователях до 15 лет

Если компания собирает и продает данные детей до 15 лет (включительно), то она должна описать в своей Политике конфиденциальности следующее:

  • Как компания удостоверяется в том, что ребенок или его законный представитель разрешили продажу его персональных данных (описать процедуру верификации согласия);
  • Что ребенок или законный представитель имеет право отказаться от продажи данных;
  • Как ребенок или законный представитель могут отказаться от продажи данных (описать процедуру);
  • Как компания удостоверяется в том, что человек, отправивший запрос на получение или удаление персональных данных ребенка, является его законным представителем (только в случае продажи данных детей до 12 лет включительно).

Подтверждение полномочий представителя

Согласно CCPA, потребитель мог разрешить своему представителю направить запрос в компанию, чтобы получить его персональные данные или потребовать их удаления. Раньше представителю для подтверждения полномочий достаточно было показать доверенность.

Теперь правила ужесточились. Оператор персональных данных может потребовать, чтобы пользователь, назначивший представителя:

  • напрямую подтвердил свою личность оператору; либо
  • подтвердил, что дал разрешение своему представителю направить запрос по поводу персональных данных.

Уведомление «офлайн»-потребителей о праве на отказ от продажи данных

Компания, которая собирает данные в офлайн-формате, а затем продает их (например, супермаркет), должна предоставить потребителю офлайн-уведомление о том, что он имеет право отказаться от продажи данных. Например, дать ознакомиться с бумажным уведомлением или озвучить его устно, если данные передаются по телефону. Требования к офлайн-уведомлению такие же, как и к онлайн (простое, понятное, явное, четкое, доступное для потребителей с ограниченными возможностями).

Кого коснутся эти новшества?

Обновление CCPA затрагивают любую коммерческую компанию, которая ведет бизнес в Калифорнии, собирает персональные данные жителей Калифорнии и:

  • Ежегодная выручка больше 25 млн. долларов; или
  • Покупает, получает или продает персональные данные более, чем 50 000 жителей Калифорнии или с 50 000 устройств жителей Калифорнии; или
  • Получает более 50% ежегодной выручки от продажи персональных данных жителей Калифорнии.

Местоположение или страна регистрации не важны.

Таким образом, CCPA применяется к любой компании, в игры которой заходит больше 50 000 жителей Калифорнии. Но компания может попасть под действие и по другим критериям.

Чем грозит нарушение CCPA

Генеральный прокурор штата Калифорния может подать иск в суд. Если суд установит нарушение, то компания заплатит штраф $2500 за каждое нарушение или $7500 за каждое умышленное нарушение. Также он может выдать предписание об устранении нарушения.

При этом одним нарушением может считаться нарушение прав каждого потребителя, которого оно коснулось. Поэтому размер штрафа будет умножен на количество потребителей, которые были затронуты. В результате размер штрафа может существенно вырасти.

Генпрокурор штата сможет обратиться в суд, только если компания получила уведомление о нарушении и не устранила его в течение 30 дней. Поэтому в случае нарушения у компании будет время, чтобы привести все в порядок и не получить штраф. Но лучше всего задуматься об этом заранее.

Если у вас появились вопросы по CCPA, GDPR и другим законам, регулирующим обработку персональных данных, мы будем рады ответить!

Сергей Ковальков, cтарший юрист Versus.legal

Также совместно с редакцией DTF мы запустили специальный подсайт «Право и игры». В нем разработчики игр могут опубликовать любой юридический вопрос, а мы на него ответим в комментариях.

105105
15 комментариев

Комментарий недоступен

23
Ответить

Я boku no pico смортрю, давай позже

13
Ответить

Наверное, единственные хорошие калифорнийские регуляции. Я был в шоке, когда узнал о том, что часто необходимо звонить по телефону, чтобы отказаться от каких-либо услуг, которые подключаются онлайн.
На тему подобного дерьма советую этот сабреддит:
https://old.reddit.com/r/assholedesign

12
Ответить

иронично писать про реддит, когда он терроризирует веб юзеров попапом с приложухой

13
Ответить

Комментарий недоступен

3
Ответить

Интересная статья, спасибо

3
Ответить