реклама
разместить

Запрет темных паттернов и не только. Что нужно знать о поправках к CCPA

Классический пример темного паттерна, когда пользователю проще согласиться, чем настраивать предпочтения. Ведь он не знает, какой еще выбор ему придется делать, если он нажмет «Configurate Preferences».
Классический пример темного паттерна, когда пользователю проще согласиться, чем настраивать предпочтения. Ведь он не знает, какой еще выбор ему придется делать, если он нажмет «Configurate Preferences».

Поправки к Калифорнийскому закону о конфиденциальности потребителей (CCPA) ввели прямые ограничения на использование темных паттернов, которые обманным путем мешают потребителям отказаться от продажи персональных данных. Изменения вступили в силу с 15 марта 2021 г. и уже работают. Разбираемся, что это значит для разработчиков.

Что такое темные паттерны?

Темные паттерны – это особенности интерфейса сайта или приложения, которые вынуждает пользователя сделать то, что он обычно не стал бы делать. Например, подписаться на рассылку или согласиться с обработкой персональных данных. Темные паттерны используются намеренно, чтобы «помочь» потребителю ошибиться и выбрать то, что выгодно компании.

Они существуют не только в онлайне. Это и мелкий шрифт в договоре, и запутанные условия (например, двойные отрицания), и скрытое навязывание дополнительных услуг.

Пользователи уже давно борются с темными паттернами. Например, в 2015 году LinkedIn заключил мировое соглашение после того, как группа пользователей подала на него коллективный иск. Социальная сеть выплатила компенсацию 13 млн. долларов.

Основная претензия – интерфейс LinkedIn был сделан так, что при регистрации пользователь давал социальной сети доступ к своей адресной книге электронной почты Google. После этого LinkedIn рассылал приглашения всем контактам якобы от имени пользователя. Если получатели не реагировали, то LinkedIn отправлял повторные приглашения. Такими ухищрениями LinkedIn расширял свою сеть пользователей.

Примеры «темного» интерфейса LinkedIn

Информация о том, как будет использоваться e-mail, намеренно указана серым цветом. Кнопка «Продолжить» выделена, чтобы её было проще нажать. <a href="https://api.dtf.ru/v2.8/redirect?to=https%3A%2F%2Fmedium.com%2F%40danrschlosser&postId=721781" rel="nofollow noreferrer noopener" target="_blank">Dan Schlosser</a>
Информация о том, как будет использоваться e-mail, намеренно указана серым цветом. Кнопка «Продолжить» выделена, чтобы её было проще нажать. Dan Schlosser
Окно предоставления доступа к адресной книге Google. В нем не указано, что после получения доступа LinkedIn начнет рассылать приглашения. <a href="https://api.dtf.ru/v2.8/redirect?to=https%3A%2F%2Fmedium.com%2F%40danrschlosser&postId=721781" rel="nofollow noreferrer noopener" target="_blank">Dan Schlosser</a>
Окно предоставления доступа к адресной книге Google. В нем не указано, что после получения доступа LinkedIn начнет рассылать приглашения. Dan Schlosser
Уведомление, которое появляется, если нажимаешь «Пропустить» в окне ввода имейла. Кнопка «пропустить» намеренно серая. <a href="https://api.dtf.ru/v2.8/redirect?to=https%3A%2F%2Fmedium.com%2F%40danrschlosser&postId=721781" rel="nofollow noreferrer noopener" target="_blank">Dan Schlosser</a>
Уведомление, которое появляется, если нажимаешь «Пропустить» в окне ввода имейла. Кнопка «пропустить» намеренно серая. Dan Schlosser
Еще один похожий пример, когда пользователю приходится принимать ряд решений, если он захочет настроить обработку данных, а не согласится со всем. about.fb.com
Еще один похожий пример, когда пользователю приходится принимать ряд решений, если он захочет настроить обработку данных, а не согласится со всем. about.fb.com

Какие темные паттерны теперь под запретом CCPA?

Поправки в Калифорнийский закон напрямую запретили темные паттерны, которые мешают потребителю отказаться от продажи его персональных данных. Под ограничение попали наиболее вопиющие ухищрения компаний.

Нельзя:

  1. Делать процедуру отказа от продажи данных сложнее и длиннее, чем процедуру дачи согласия на продажу данных (например, если ранее пользователь отказался от продажи, а затем решил дать согласие).
  2. Использовать запутанный язык. Например, двойное отрицание: «не могу не отказаться от продажи своих данных».
  3. Заставлять пользователя читать список причин, почему ему не стоит отказываться от продажи данных, прежде чем он сможет подтвердить свой отказ.
  4. Требовать от пользователя предоставить ненужную информацию о себе, чтобы подтвердить отказ.
  5. После того, как пользователь нажмет кнопку «Не продавать мои персональные данные», требовать, чтобы он сам нашел способ отказаться от продажи данных в тексте политики конфиденциальности (например, e-mail для отправки запроса).

Что еще нового в CCPA?

Поправки в CCPA не только ограничили ряд темных паттернов, но и добавили новые требования и положения.

Единая иконка для отказа от продажи персональных данных

CCPA предложил бизнесу использовать единую иконку для размещения на сайте или в приложении. Это не обязательное требование. Компании могут разместить иконку в дополнение к другим обязательным элементам: уведомлению о праве на отказ от продажи персональных данных и ссылке «Не продавать мои персональные данные». Иконка должна быть такого же размера, что и другие иконки на сайте.

Запрет темных паттернов и не только. Что нужно знать о поправках к CCPA

Дополнение Политики конфиденциальности о пользователях до 15 лет

Если компания собирает и продает данные детей до 15 лет (включительно), то она должна описать в своей Политике конфиденциальности следующее:

  • Как компания удостоверяется в том, что ребенок или его законный представитель разрешили продажу его персональных данных (описать процедуру верификации согласия);
  • Что ребенок или законный представитель имеет право отказаться от продажи данных;
  • Как ребенок или законный представитель могут отказаться от продажи данных (описать процедуру);
  • Как компания удостоверяется в том, что человек, отправивший запрос на получение или удаление персональных данных ребенка, является его законным представителем (только в случае продажи данных детей до 12 лет включительно).

Подтверждение полномочий представителя

Согласно CCPA, потребитель мог разрешить своему представителю направить запрос в компанию, чтобы получить его персональные данные или потребовать их удаления. Раньше представителю для подтверждения полномочий достаточно было показать доверенность.

Теперь правила ужесточились. Оператор персональных данных может потребовать, чтобы пользователь, назначивший представителя:

  • напрямую подтвердил свою личность оператору; либо
  • подтвердил, что дал разрешение своему представителю направить запрос по поводу персональных данных.

Уведомление «офлайн»-потребителей о праве на отказ от продажи данных

Компания, которая собирает данные в офлайн-формате, а затем продает их (например, супермаркет), должна предоставить потребителю офлайн-уведомление о том, что он имеет право отказаться от продажи данных. Например, дать ознакомиться с бумажным уведомлением или озвучить его устно, если данные передаются по телефону. Требования к офлайн-уведомлению такие же, как и к онлайн (простое, понятное, явное, четкое, доступное для потребителей с ограниченными возможностями).

Кого коснутся эти новшества?

Обновление CCPA затрагивают любую коммерческую компанию, которая ведет бизнес в Калифорнии, собирает персональные данные жителей Калифорнии и:

  • Ежегодная выручка больше 25 млн. долларов; или
  • Покупает, получает или продает персональные данные более, чем 50 000 жителей Калифорнии или с 50 000 устройств жителей Калифорнии; или
  • Получает более 50% ежегодной выручки от продажи персональных данных жителей Калифорнии.

Местоположение или страна регистрации не важны.

Таким образом, CCPA применяется к любой компании, в игры которой заходит больше 50 000 жителей Калифорнии. Но компания может попасть под действие и по другим критериям.

Чем грозит нарушение CCPA

Генеральный прокурор штата Калифорния может подать иск в суд. Если суд установит нарушение, то компания заплатит штраф $2500 за каждое нарушение или $7500 за каждое умышленное нарушение. Также он может выдать предписание об устранении нарушения.

При этом одним нарушением может считаться нарушение прав каждого потребителя, которого оно коснулось. Поэтому размер штрафа будет умножен на количество потребителей, которые были затронуты. В результате размер штрафа может существенно вырасти.

Генпрокурор штата сможет обратиться в суд, только если компания получила уведомление о нарушении и не устранила его в течение 30 дней. Поэтому в случае нарушения у компании будет время, чтобы привести все в порядок и не получить штраф. Но лучше всего задуматься об этом заранее.

Если у вас появились вопросы по CCPA, GDPR и другим законам, регулирующим обработку персональных данных, мы будем рады ответить!

Сергей Ковальков, cтарший юрист Versus.legal

Также совместно с редакцией DTF мы запустили специальный подсайт «Право и игры». В нем разработчики игр могут опубликовать любой юридический вопрос, а мы на него ответим в комментариях.

105105
реклама
разместить
11 комментариев

Комментарий недоступен

23

Я boku no pico смортрю, давай позже

13

Наверное, единственные хорошие калифорнийские регуляции. Я был в шоке, когда узнал о том, что часто необходимо звонить по телефону, чтобы отказаться от каких-либо услуг, которые подключаются онлайн.
На тему подобного дерьма советую этот сабреддит:
https://old.reddit.com/r/assholedesign

12

иронично писать про реддит, когда он терроризирует веб юзеров попапом с приложухой

13

Комментарий недоступен

3

Интересная статья, спасибо

3
Раскрывать всегда
Разыгрываю 30 дешевых игр для работяг [STEAM]

Условия: желание пройти игру из данного списка, комментарий с названием игры с картинки и лайк. Может быть, эти игры уже у всех есть или бесполезны, но розыгрыш — для тех, кто ещё вдруг не играл.

Разыгрываю 30 дешевых игр для работяг [STEAM]
494494
2222
33
33
22
22
11
11
11
11
не участвую, желаю победы нищим
реклама
разместить
Пользователи сообщили о недоступности переводов в Ininal на фоне новостей о задержании владельца в Турции

Остаётся лишь ждать прояснения ситуации.

Пользователи сообщили о недоступности переводов в Ininal на фоне новостей о задержании владельца в Турции
3030
2828
2424
88
33
22
11
Xbox - ВСЁ
Если юбисофт выживет, то вы знаете кто виноват
Если юбисофт выживет, то вы знаете кто виноват
195195
8383
1717
1010
88
77
44
33
22
22
11
11
11
11
11
Только какие-то глупые дети могут желать Юбисофт закрытия.
260260
7474
1212
66
11
11
Челлендж «Хожу по 10 000 шагов минимум» провален. Финальная отметка 139 дней

Позавчера свалился с температурой. Один день ещё как-то смог набродить 10 000 шагов по квартире, а вчера сил хватало только дойти до туалета и обратно до кровати. Очень обидно.

В итоге прошел аж 965 шагов!!!
9797
3434
1717
1010
44
22
22
из-за болезни не считается, уважительная причина. продолжай брат, не унывай
К айтишнику из Татарстана пришла бабушка во время собеседования с сингапурским клиентом - нейросеть начала переводить слова бабушки.
4040
1212
1010
33
11
Азиат по любому сам бы не отказался заточить то, что бабушка принесла
Бобби Котик подал в суд на Kotaku и Gizmodo — он обвинил их в клевете

Выпустил когти.

Бобби Котик подал в суд на Kotaku и Gizmodo — он обвинил их в клевете
1616
1313
33
11
11
11
11
Взял пример с разрабов Day Before😎
Находка дня: проект «Where Filmed» — база кинолокаций со всего света

Приятное место для любого киномана, чтобы позалипать в свободное время.

Находка дня: проект «Where Filmed» — база кинолокаций со всего света
9696
66
реклама
разместить
Дарю всем игры в стиме и не только
Дарю всем игры в стиме и не только
7878
33
11
11
Утра
Утра
8181
1515
77
11
Синдром утенка (скуфа)
Respawn и Bit Reactor представят пошаговую тактическую игру по «Звёздным войнам» 19 апреля

Анонс состоится на Star Wars Celebration в Японии.

Respawn и Bit Reactor представят пошаговую тактическую игру по «Звёздным войнам» 19 апреля
6262
1919
33
22
Удивительно, что по такой франшизе, как звёздные войны уже давно не выходило чего-то принципиально качественного, хотя деньги для этого найти вряд ли проблема.
[]