目录
一、前言:暗黑模式简述
二、暗黑模式域外监管简史
(一)商业行为中规制暗黑模式是消费者权益保护法律的应有之义
(二)暗黑模式的法律规制向隐私数据保护领域拓展
三、暗黑模式的中国实践
(一)法规:暗黑模式的法律规定“无处不在”
(二)案例:暗黑模式的实践争议场景
(三)暗黑模式向个人信息保护领域拓展
四、暗黑模式的认定
(一)暗黑模式的适用范围
(二)暗黑模式的类型
(三)暗黑模式的识别
五、总结
一、前言:暗黑模式简述
暗黑模式(Dark Pattern)至今未形成统一的法律定义,在不同的场景中还可能被称为“深色图案”、“暗黑模式”、“暗模式”以及“欺骗性设计模式”。通俗来说,暗黑模式是指通过欺骗、诱导等产品交互界面设计,用户被推向做出有利于运营者但影响、妨碍用户自主选择和决定的交互界面模式。
1994年10月27日,《连线》杂志在其网络版上首次尝试了针对其读者的欺骗性设计,该杂志在一个网站上挂一个横幅出现在页面顶部,上面写着:“你曾经在这里点击过你的鼠标吗?你会的”,并以此诱导用户抱着好奇心点击横幅广告。
时隔近15年后,用户体验设计师哈里·布里格诺尔(Harry Brignull)于2010年所创设了“暗黑模式”这一术语,为此,他还创办了darkpatterns.org并将暗黑模式实施了分类。有意思的是,可能是考虑到暗黑模式的术语仍然不够直接,哈里·布里格诺尔已将darkpatterns.org域名调整为deceptive.design域名,以此更直接了当地称该模式为“欺骗性设计模式”。
在互联网“眼球流量”经济之下,网站或应用程序这类互联网产品作为接触用户的前端,纷纷撒网寻找流量入口,并在成功获取用户(下载、安装、注册、浏览等)之后,会想尽一切办法让用户为其产品提供更多的粘性注意力资源。2021年,人民网研究院等联合发布的《95后年轻人注意力洞察报告》就说明:“社交和娱乐都是(95后)注意力投入度最高的领域,工作日平均每天社交投入2.31小时、娱乐2.37小时。周末平均每天投入社交210小时、娱乐2.52小时。”这些稀缺注意力资源的“被吸引”,能够在互联网产品后续开展的增值、广告、电子商务等变现模式中创造更多商业价值的可能性。
正是出于商业利益以及互联网多边平台模式特点,互联网产品既要不断迭代并优化产品界面以防止用户审美疲劳,也会在用户退出机制中设置适当的障碍,更会在商业变现中提供更触手可及的付费方式。而这一切的实施,都极大地依赖于互联网产品的交互界面设计,不论是UI、UE还是UX设计,抑或是图文用户交互还是语音用户交互,均是如此。
也正是出于这些“不单纯”的目的,互联网产品的交互界面设计会不自觉地采用一些“欺骗性手段”来实现获客和粘住用户。在PC互联时代,暗黑模式通常表现为软件捆绑式安装和无法关闭的牛皮癣式广告,到了移动互联网时代,暗黑模式又表现为捆绑式订购、注册项的默认勾选、开屏广告的误导性点击等等状况。确定无疑且无须讨论的是,这些“欺骗性手段”都在不同程度上引发了用户的吐槽甚至愤怒,对用户的特定权益和利益造成了负面影响。在中国语境下,暗黑模式也可被形象地称为“灯下黑”模式。
发展到如今,暗黑模式的种类和数量也实现了爆炸式增长,deceptive.design列出了12种分类类型,但每一类型的具体表现数量却是一个未知数。在2019年,一篇《大规模的暗黑模式:从11K购物网站的爬行中发现》的研究报告使用了自动化技术以识别暗黑模式,通过分析来自约11000个购物网站的约53000个产品页面,研究人员发现了近1818个暗黑模式实例,共代表15种类型和7个变种类别。
暗黑模式非常类似于我们现在熟知的“PUA”(Pick-up Artist)模式,其以艺术及沟通能力为外表包装,用各类潜移默化的技巧方式影响受害人的情感心智,让受害人作出看似完全自主的决定和选择,但实际上所有的受害人行为均是其情感心智被欺骗、诱导的结果。PUA已被普通人和监管所识别和反对,但暗黑模式远没有达到被完全识别和被反对的状态。
在欧美国家,暗黑模式引发监管的关注和执法处罚,被立法所直接吸收,以及越来越多的被公众所识别,其热度也仅仅发生在近几年之间。而在中国,虽然不能称之为立法“真空”,但针对暗黑模式的专项研究和执法确实属于荒芜之地,也没有普遍引发互联网原住民们的警觉,专业人员也往往从消费者权益的知情权和选择权等透明化角度, 以及合同领域中的格式条款显著提示角度出发实施论述。
然而,拒绝承认“互联网场景具有特殊性”且认为仅适用传统合同或侵权理论就足以规制的思维,将对暗黑模式的识别造成实质性法律障碍。常见的例如个人信息保护中的“告知-同意”规则,当使用传统合同理论辩析合同是否成立时,往往仅因为用户能够完整看到全部合同条款以及明确感知利害性条款,在此条件下用户点下同意按钮,就认为合同就已经有效成立。但当代入个人信息保护水准的“告知-同意”规则时,仅以用户“看到+点击同意”就认定“合法”是远远不够的,平台还需要为用户提供同样便捷的退出服务(甚至是需要确保能够在线一键退出)及各项配套措施(比如告知明确的保护机制、查阅复制权路径等),才能视为“告知-同意”规则的完整落地,才满足充分的知情和选择权,才能构成个人信息保护规则的有效告知(或缔结)。而在“缔结合同”后,故意在退出路径中设置各类阻碍路径设计及“退出焦虑”提示,显然就可能成为暗黑模式识别的漏网之鱼。
最终我国是否要对暗黑模式实施强监管,仍有赖于评估中国互联网发展的历史阶段为前提,“效率优先、兼顾公平”仍然需要在比例原则上被认知,一刀切不对暗黑模式进行监管以及一刀切实施最严格的监管,均可能是不切实际的。若中国互联网仍然需要在丛林法则中迅速发展,则宜以在“效率优先”指导下,适当容忍特定暗黑模式的存在,若中国互联网的发展亟需完全倾斜于保护用户的最优权益,则宜以“实质公平”为核心导向,但这样会对企业苛以“过重的”合规和商业负担,毕竟目前互联网产品的暗黑模式已成为产品研发的常态。
我们对暗黑模式的反思,最先的反思其实是意识到他们的存在。
二、暗黑模式域外监管简史
(一)商业行为中规制暗黑模式是消费者权益保护法律的应有之义
如前言所述,暗黑模式是互联网产品形态上在交互界面和用语等,通过欺骗、诱导、强迫等方式使用户做出不符合其本义的选择或操作。企业采取暗黑模式可能是为了营收、流量或更多的用户数据。初期更多涉及的其实是营收和流量侧,而保障消费者权益和市场公平竞争的相关法律把诚实守信、公平竞争均纳入了基本原则,所以消费者权益保护和竞争法领域自然可以通过相关条款来规制暗黑模式。
如挪威消费者委员会(Norwegian Consumer Council,简称NCC)在2021年1月14日针对亚马逊的dark pattern向消费者保护主管机构提起了投诉,声称在亚马逊会员的取消订阅实践中采用了黑模式诱导用户继续使用其服务,将构成违反实施《不正当商业行为指令(UnfairCommercialPracticesDirective)》的《市场控制法案(MarketControlAct)》。
根据挪威消费者委员会起诉状所述,《市场控制法》第8条规定当在具体场景中,经过评估认定省略或模糊消费者在当前场景做出与金钱有关的决策时所需要的实质性信息的,则认定为误导。那么怎么认定“实质性”信息取决于当前为什么服务,比如在订立商业合同、获得相应商品或服务时,价格就是实质性信息。本案所诉争行为是退订亚马逊会员,那么如何取消会员的操作流程与方法是实质性信息。而目前亚马逊会员取消的流程是很长的,由六个单独的页面组成。每个页面上消费者在不断地被劝说(Nudge)保持会员权益。这就是暗黑模式的一种, 在本案中,如下图1所示,亚马逊强化如果取消会员将丧失什么会员权益的文字以及具备警告性质的黄色以及感叹号,这种UI设计可能会造成消费者对自己提起取消会员权益流程的质疑。然后,消费者在后续页面会被不断强化这种对自己的质疑,比如在满屏取消后会丧失的权益列表下最醒目的选项是“use your benefits today”,比如整个过程中用户看到了4次标志,以及被警告丧失权益6次。

图 1 亚马逊退订会员时强化损失以及警告性界面
同时,《市场控制法》第9条规定了如果在具体的场景中,经过评估,认定通过骚扰、强迫,包括使用身体上的强制,或者不正当的影响,造成实质上影响消费者选择和行为的自由,则构成了激进(aggressive)的商业行为。评估时的考量因素之一就是当消费者希望行使合同规定的权利,包括终止合同或转向另一产品或另一商家的权利时,商家施加的繁琐或不相称的非合同障碍。上述指出的退订流程,应当构成繁琐或不相称的障碍。
欧盟消费者组织在2022年发布了报告《暗黑模式与欧盟消费者法律体系——更好执行和改革建议》[1],全面阐述了暗黑模式在欧盟消费者法律体系各项法律的可适用性。欧盟消费者法律体系除了上述案例中所提到的《不正当商业行为指令(UnfairCommercialPracticesDirective)》外,还包括《消费者权利指令(ConsumerRightsDirective)》以及《不正当合同条款指令(Unfair Contract Terms Directive)。会涉及如下条款:
关于企业提供信息义务,保证透明性。在某些暗黑模式下会隐藏实质性信息,或者会分散用户的注意力,比如商家可以在宣传免费送货的同时,在一个单独的地方写上关于撤销合同时的运输费用的信息,并给消费者留下任何可能的退货也是免费的印象。
关于禁止使用预勾选的条款。暗黑模式会使用预勾选的方式利用用户的现状心理,甚至某些暗黑模式可能让商家可以规避禁止预勾选的条款。将进入下一页的按钮(例如,在一个预订网站上)放在被勾选的方框旁边,或者采用非常相似的形状和颜色,或者使其看起来像需要勾选方框才能继续。
据此,欧盟消费者组织针对暗黑模式在欧洲消费者保护法律体系中提出了更多的建议,可以体现对数字商业社会下有很深刻的理解,具体包括如下:
增加新的概念“数字不对等”,以更新决定交易的规则以及举证责任,这将有专门的报告一并提出;
应当设立一个通用标准“从设计着手的公平(Fairness by Design)”,来自于GDPR中Privacy by Design的灵感,应该在消费者保护法律中加入从设计入手的公平原则。其实该原则已经植根于消费者保护法律中的诚实守信原则中,意味着在交互界面设计和交流应当以公平的方式设计,也是专业注意力要求的重要补充。
应当在不正当商业指令的附录中增加应当被禁止的暗黑模式,比如确认羞耻(confirm-shaming),使用带有情绪引导的用语(如羞耻)去促使用户感到内疚,从而采取违背用户意愿的行为。
应当增加终止合同应当与达成合同一样容易的要求。
应当增加反规避条款,比如避免滥用合同、技术和行为措施等,包括暗黑模式,去绕过欧盟消费者保护相关法律设定的责任。
(二)暗黑模式的法律规制向隐私数据保护领域拓展
从企业在数字时代所追求的目标来说,主要是营收与流量以及视为新时代石油的数据。当暗黑模式被用于提升营收收入和增加用户量迁移到了攫取更多数据时,即点燃了暗黑模式被隐私及数据保护法监管的火苗。主要推进暗黑模式的意识推广和法律监管的挪威消费者委员会在2018年GDPR正式实施后发布了一份《关于大型科技公司是怎么利用暗黑模式影响用户实现其数据保护权利》[2]。根据GDPR的要求,科技公司需要满足从设计着手的数据保护以及默认数据保护,并且合法的使用用户数据。在该报告里展示了大型科技公司如Facebook、谷歌、微软等在产品交互上怎么误导用户选择侵入式的选择,代替隐私友好型的选项。
如下图所示,谷歌广告隐私设置采取了隐藏默认设置。在谷歌的GDPR隐私政策弹窗中,用户必须下滑才能看到“用户可以选择退出观看基于用户兴趣的广告”,用户的选项是“同意”和“修改设置”,只有用户在选择了修改设置,才能看到第二屏(即下图右侧),才能发现广告隐私设置开关,而且该开关是默认开启的,所以称之为隐藏默认设置。该交互模式,挪威消费者委员会认为是暗黑模式。欧盟数据保护主管机关在之后也做了回应,2019年法国数据保护主管机关CNIL因该交互以及隐私政策和相关文件未提供清楚的信息,违反了提供信息义务以及透明性原则,不构成有效同意,处罚谷歌5000万欧元,是当时处罚金额最高的案例。

图 2 谷歌隐藏默认设置的交互界面
暗黑模式真正在隐私法律监管领域引起大范围讨论,其实是2021年至今。笔者将分别介绍美国和欧盟的立法和执法侧的进展。
1.美国FTC侧的执法举措
FTC对ABC mouse的调查案可以称之为FTC正式启动对暗黑模式的强执法趋势。虽然此前FTC对于类似消费者保护和不正当竞争行为,针对存在欺骗性的设计有相关的指南等,但是不能构成独立的执法方向。
ABCmouse案的诉争行为集中在两类:(1)隐藏了会员连续续费的必要信息,尤其是免费试用后自动和无限期续费;(2)退订过程非常冗长以及欺骗性,数据显示大量用户提起退订会员的流程,但是多数仍然维持订阅状态。
ABC mouse的案情其实没有那么特殊,但是具有历史意义。因为该案启航了FTC对暗黑模式的执法,尤其是引入到隐私领域。当时FTC 专员(commissioner)之一的Rohit Chopra在ABCmouse 案中发表声明[3]直接使用了“暗黑模式”,将矛头直指暗黑模式,指出ABC mouse的行为就是Harry Brignull所定义的蟑螂汽车旅馆(roach motel),即容易进入但是不太可能逃脱,使用免费试用或者优惠价诱惑用户订阅会员,但是通过繁琐退订流程等强制用户持续续费。同时委员长在声明中也提到了笔者前面提到的挪威消费者委员会报告,指出大型科技公司通过暗黑模式诱导用户分享更多用户数据。并在声明最后发出了向非法黑模式开战的“宣言”。
此后,FTC举办了线上论坛“Bring Dark Pattern To Light”,集中讨论了什么是暗黑模式,为什么暗黑模式会被运用;暗黑模式怎么影响消费者;暗黑模式怎么影响有色人种;暗黑模式怎么影响儿童和青少年;我们未来针对暗黑模式的治理策略,同时向公众征集对暗黑模式的意见。
FTC在2021年9月就发布了强制性决议,将8个类型案件界定为了FTC未来10年的执法重点,其中就包括了暗黑模式在内的欺骗性行为等是否构成违反FTC ACT第5条。该决议给企业明确的信号,将针对暗黑模式进行强执法,如果注册过程没有提供清晰的前期信息,没有获得消费者的知情同意,没有使取消注册变得容易,企业将面临法律诉讼。
2.美国各州的立法侧举措
在FTC对暗黑模式吹响号角后,美国各州的隐私立法也不断出现了相应的呼应。
California Consumer Privacy Act(以下简称CCPA)修正案中规定提交退出权应当让消费者易于实现并要求最少步骤,并明确提出不能设计为故意或者实质上达到推翻或影响用户退出权的选择权利。同时提供了5个例子进一步阐述:
企业设计的提交退出权的操作步骤数量不能超过消费者此前如果退出又重新同意的操作步骤。
企业在提供消费者退出权时不能使用令人困惑的语言,比如双重否定(Don't Not Sell My Personal Information)。
除法律另行规定,企业不得要求消费者在确认其退出请求之前点击或听取他们不应该提交退出请求的理由。
企业不得要求消费者在提交退出权过程中提供对实现权利没有必要的个人信息。
点击 "不出售我的个人信息 "链接后,企业不得要求消费者搜索或滚动浏览隐私政策或类似文件或网页的文本,以找到提交退出请求的机制。
CCPA虽然并没有在法规内容中直接使用“暗黑模式”的名词,但是引入了此类设计对退出权的影响,可以认为首次纳入到美国隐私保护法领域的成文法。
其后的California Privacy Rights Act(以下简称CPRA)更是直接纳入了“暗黑模式”的名词,并且规定了暗黑模式对当前隐私合规要求的影响。暗黑模式被定义为设计或操纵具有颠覆或损害用户自主权、决策权或选择权的实质性效果的用户交互界面。同时CPRA规定中除了CCPA中在出售或分享个人信息的退出权时不得使用任何暗黑模式以外,更进一步规定使用暗黑模式的同意不构成有效同意,因为同意应当是自由给予的、具体的、知情的和不含糊的意愿表达,并通过声明或明确的肯定行为来表达。CPRA关于暗黑模式的定义呈现了两大特点,首先采取了对个人自主权角度的定义方法,类似于本文后面笔者阐述的欧盟立法思路,其次强调的是所达到的实质效果,而非意图,此前很多非法律定义都将设计者的意图为中心。关于暗黑模式的定义在业界有大量的讨论,该定义方式在实践时是否可以清晰认定并执行,仍有待于CPRA实施后的进一步分析。
3.欧盟隐私及数据保护法侧的举措
2022年3月欧盟数据保护委员会(EDPB)发布了《关于社交媒体平台界面的黑模式的准则3/2022:如何识别和避免它们》(以下简称《关于社交媒体平台界面的黑模式的准则》)。该指南是在GPPR范围内首次正式提出了暗黑模式,并在社交媒体行业领域范围内提供了暗黑模式以及最佳实践的具体实例,从实践角度指导数据控制者识别和避免暗黑模式。
为了便于与CPRA的立法做对比,笔者同样采用暗黑模式的定义和对隐私数据保护合规要求的影响两个角度来看该指南的内容。在指南中,暗黑模式被定义为在设计用户界面或交互体验,导致用户在个人信息保护方面做出不符合其期待的、违背其意愿的和潜在有害的决定。暗黑模式的核心在于影响用户的行为,并可能阻碍其有效地保护其个人信息并做出有意识的选择的自主权,比如用户无法给出知情和自由的同意。可见,从定义的维度来说仍然以人的自主权为核心。
而暗黑模式可能影响的合规范围,远超过CPRA的同意范畴,其认为判断是否构成暗黑模式,应当从GDPR的合规义务出发,包括从公平性原则是评估是否属于黑模式的起点,同时也要考虑到其他的原则,如透明性原则、数据最小化原则和可归责原则,与此相关的同意的构成要件、提供信息义务等用户权利。当然,最可适用的条款就是GDPR第25条Data Protection by Design and Default。
其中最需要注意的条款包括如下[4]:
公平性原则
公平性原则是评估是否属于黑模式的起点。公平性是一个总的原则,它要求个人数据的处理方式不得对数据主体造成损害、歧视、意外或误导。而黑模式中如“蒙在鼓中”就是典型的试图欺骗、误导用户,使用户无法获得清晰的数据处理情况以至于无法实现其权利。公平性原则进一步来说可以是黑模式评估是否符合合规要求时的兜底性原则。
可归责性
可归责性原则的核心在于数据控制者有责任,且能证明遵守GDPR的规定。而产品界面和用户交互方式可以作为一种证明方式,证明用户在社交媒体平台上的行动中,已经阅读并考虑了数据保护信息,自由地给予了同意,轻松地行使了自己的权利,等等。比如用户必须通过勾选或者点击某项数据保护选项,则该产品交互界面可以解释用户是如何阅读数据保护相关的信息以及如何做出一个知情的同意。定性和定量的用户研究方法,如A/B测试、眼动跟踪或用户访谈,其结果和分析也可用于支持证明合规性。
透明性原则
透明性原则也是黑模式评估的核心要点。透明性原则要求相对于用户而言,以透明的方式处理数据,包括符合同意的条件、提供信息的义务等。如果能实质性地符合透明性原则,实则也不会出现“变化多端”、“蒙在鼓里”黑模式下的无法获得准确信息,也不会出现“过载”黑模式,因为透明性要求以清晰、简洁的语言,以连贯、透明和易于访问的方式提供数据处理活动的信息。
Data Protection by Design and by Default:
Data Protection by Design and by Default是评估黑模式的最相关条款。EDPB关于《GDPR第25条DataProtectionbyDesignandbyDefault的准则》确定了默认情况下的数据保护和设计中的数据保护等原则的要素,这些要素在黑模式方面变得更加相关,包括:
A.自主性:数据主体应当享有处理其用户数据的最高程度的自主性,如数据处理的范围和条件。
B.互动性:数据主体必须能与数据控制者交流以及实现自己的权利。
C.隐私期待:数据处理应当充分考虑到数据主体的合理隐私期待。
D.消费者的选择:数据控制者不能以不正当的方式将用户锁定在其服务中。比如危害用户实现数据可携带权将导致用户被不当地锁定在一个数据控制者的服务中。
E.权力平衡:应当避免数据控制者与数据主体的权力不对等的处境,如果识别到这些,应当采取对应的措施去调节。
F.非欺骗性:数据处理信息和选择应当以客观和中立的方式提供,避免任何欺骗性或误导性语言或设计。
G.可信任:数据控制者应当对数据处理活动提供充分的信息,且按照其声明的执行,不能误导数据主体。
当数据控制者履行了Data Protection by Design and by Default,其实从一开始就避免了暗黑模式,上述要素对于识别暗黑模式起到重要作用。比如一开始就遵守非欺骗性,则不会构成“隐藏”和“刺激”等暗黑模式。
需要对儿童予以更多的保护
考虑到儿童作为数据主体的“脆弱性”,在社交媒体平台注册阶段的情绪引导可能对儿童产生更大的影响(即由于对处理活动缺乏了解而提供更多的个人数据)。考虑到儿童的脆弱性,黑模式可能会影响儿童分享更多的信息,比如采用 “必须”的表达方式会让他们觉得 “必须”这样做以“在同龄人中显得受欢迎”。
另外,同时指出暗黑模式不一定只导致违反数据保护法规。例如,暗黑模式也可能违反消费者保护条例。可由数据保护机构执行的侵权行为与可由国家消费者保护机构执行的侵权行为之间的界限可能重叠。
可见,在GDPR的范围内,EDPB以该指南的方式回应了现实中大量被滥用的暗黑模式,强化阐释了暗黑模式在GDPR各项规定下的可适用性,可以说并不需要任何新设条款,在此基础上提出了实践指导。
4.欧盟其他相关的数据立法侧的举措
2022年2月发布的《数据法案》(the Data Act)虽然没有在条款正文中引入“暗黑模式”名词,在第六条“应用户要求接受数据的第三方的责任”中规定了第三方不得采用包括与用户交互的界面等任何方式压迫、欺骗或操纵用户以削弱或损害用户的自主、决策或选择能力。并在鉴于部分指出“第三方应当保障用户拒绝或停止继续访问数据的操作与同意一样方便,而且第三方不能依赖任何所谓的暗黑模式,压迫、欺骗或操纵用户以削弱或损害用户的自主、决策或选择能力。暗黑模式是指为了强推或欺骗消费者达成对其具有负面效果的设计方法,可以是诱导用户进行不符合其意愿的行为,尤其是针对弱势群体,可以是通过不断的骚扰来实现使用户分享数据或接受不合理的歧视。符合欧盟法律的通行合法的商业行为本身不应被视为构成暗黑模式”。因此,《数据法案》在接受数据的第三方责任中引入了对“暗黑模式”的实质限制,定义落脚点仍以用户自主权为核心,但是鉴于其中加入的符合欧盟相关法律的行为不应认定为暗黑模式,也引入了监管范围的定义逻辑。
作为欧盟数字战略核心立法的两部重要法律《数字市场法》和《数字服务法》,也对暗黑模式有激烈的讨论。《数字市场法》旨在确保大型在线平台充当数字市场的看门人时以公平的方式运行。在正式批准稿中删除了2月折衷版里直接使用“暗黑模式”的用词,但是仍然通过实质行为的限制来确保“反规避”的效果。《数字市场法》明确限制了暗黑模式的实质影响,纳入到守门人的义务中。其规定守门人不得降低核心平台的条件或质量,或使企业用户或最终用户行使第5、6、7条规定的权利变得不相称的困难,具体包括以非中立的方式提供给最终用户选择方式,通过用户交互界面的结构、设计、功能、方式等削弱最终用户和企业用户的自主、决策或选择权。并在鉴于部分解释了增加该实质限制的原因,“因为守门人的巨大经济掌控力,更重要的是保证这些义务可以被有效地执行,而并不被规避。为了保证实现这点,所有义务都应当被落实于所有的实践,无论其是合同、商业抑或是技术形式。守门人不应从事会破坏本条例规定的禁止和义务的有效性的行为。这种行为包括守门人使用的设计,以非中立的方式展示最终用户的选择,或利用用户界面或其一部分的结构、功能或操作方式颠覆或损害用户的自主性、决策或选择。”
《数字服务法》旨在为用户设立一个更安全更开放的数字市场,为在线平台制定了有关非法和有害内容的问责标准。根据2022年5月16日版本,将暗黑模式定义为有意图或者实质上达到了扭曲或损害服务接受者做出自主和知情的选择或决策能力的交互设计。可见,从定义的核心仍以用户的自主权为落脚点,但认定范围更广,既包括主观意图又包括了实质效果。同时,在此基础上列举了几类具体的暗黑模式,包括:
利用设计诱导服务接受者选择有利于中介服务提供者而可能有损于服务接受者的行动;
以非中立的方式呈现选项,比如通过视觉、听觉或其他组成部分突出某些选项;
服务接受者已经做出选择后,频繁打扰;
取消服务的程序比注册服务明显更复杂等,使其不合理的难以停止购买或退出某一平台
允许签订distance contract ,诱导服务接受者使其达成交易;
默认设置难以改变,欺骗消费者,不合理地偏离决策。
《数字服务法》明确规定在线平台服务商不得设计、组织、操控他们的交互界面以实现欺骗、操纵或其他实质上削弱或伤害服务接受者做出自主和知情的决策。但是该条款不应影响其他法律规定的优先适用。
总结来说,暗黑模式的核心要义是被消费者权益保护以及市场竞争相关法律所涵盖,随着数字化转型带来的法律的变革,如欧盟在数字市场上所设立的相关法律更是做出了积极的响应。聚焦隐私和数据保护领域,从定义和对现有法律原则和要求的影响仍然在探讨中,其中共通的是基于其对用户的自主决策权而主要考虑到的对同意有效性、用户权利实现的影响。
注释:
1、The European Consumer Organisation:《“DARKPATTERNS”ANDTHEEUCONSUMERLAWACQUISRecommendationsforbetterenforcementandreform》,https://www.beuc.eu/publications/beuc-x-2022-013_dark_patters_paper.pdf。
2、Norwegian Consumer Council:《DECEIVEDBYDESIGN:Howtechcompaniesusedarkpatternstodiscourageusfromexercisingourrightstoprivacy》,https://fil.forbrukerradet.no/wp-content/uploads/2018/06/2018-06-27-deceived-by-design-final.pdf。
3、Statement of Commissioner Rohit Chopra:https://www.ftc.gov/system/files/documents/public_statements/1579927/172_3086_abcmouse_-_rchopra_statement.pdf
4、EDPB:《Guideline3/2022onDarkpatternsinsocialmediaplatforminterfaces:Howtorecogniseandavoidthem》
一、前言:暗黑模式简述
二、暗黑模式域外监管简史
(一)商业行为中规制暗黑模式是消费者权益保护法律的应有之义
(二)暗黑模式的法律规制向隐私数据保护领域拓展
三、暗黑模式的中国实践
(一)法规:暗黑模式的法律规定“无处不在”
(二)案例:暗黑模式的实践争议场景
(三)暗黑模式向个人信息保护领域拓展
四、暗黑模式的认定
(一)暗黑模式的适用范围
(二)暗黑模式的类型
(三)暗黑模式的识别
五、总结
一、前言:暗黑模式简述
暗黑模式(Dark Pattern)至今未形成统一的法律定义,在不同的场景中还可能被称为“深色图案”、“暗黑模式”、“暗模式”以及“欺骗性设计模式”。通俗来说,暗黑模式是指通过欺骗、诱导等产品交互界面设计,用户被推向做出有利于运营者但影响、妨碍用户自主选择和决定的交互界面模式。
1994年10月27日,《连线》杂志在其网络版上首次尝试了针对其读者的欺骗性设计,该杂志在一个网站上挂一个横幅出现在页面顶部,上面写着:“你曾经在这里点击过你的鼠标吗?你会的”,并以此诱导用户抱着好奇心点击横幅广告。
时隔近15年后,用户体验设计师哈里·布里格诺尔(Harry Brignull)于2010年所创设了“暗黑模式”这一术语,为此,他还创办了darkpatterns.org并将暗黑模式实施了分类。有意思的是,可能是考虑到暗黑模式的术语仍然不够直接,哈里·布里格诺尔已将darkpatterns.org域名调整为deceptive.design域名,以此更直接了当地称该模式为“欺骗性设计模式”。
在互联网“眼球流量”经济之下,网站或应用程序这类互联网产品作为接触用户的前端,纷纷撒网寻找流量入口,并在成功获取用户(下载、安装、注册、浏览等)之后,会想尽一切办法让用户为其产品提供更多的粘性注意力资源。2021年,人民网研究院等联合发布的《95后年轻人注意力洞察报告》就说明:“社交和娱乐都是(95后)注意力投入度最高的领域,工作日平均每天社交投入2.31小时、娱乐2.37小时。周末平均每天投入社交210小时、娱乐2.52小时。”这些稀缺注意力资源的“被吸引”,能够在互联网产品后续开展的增值、广告、电子商务等变现模式中创造更多商业价值的可能性。
正是出于商业利益以及互联网多边平台模式特点,互联网产品既要不断迭代并优化产品界面以防止用户审美疲劳,也会在用户退出机制中设置适当的障碍,更会在商业变现中提供更触手可及的付费方式。而这一切的实施,都极大地依赖于互联网产品的交互界面设计,不论是UI、UE还是UX设计,抑或是图文用户交互还是语音用户交互,均是如此。
也正是出于这些“不单纯”的目的,互联网产品的交互界面设计会不自觉地采用一些“欺骗性手段”来实现获客和粘住用户。在PC互联时代,暗黑模式通常表现为软件捆绑式安装和无法关闭的牛皮癣式广告,到了移动互联网时代,暗黑模式又表现为捆绑式订购、注册项的默认勾选、开屏广告的误导性点击等等状况。确定无疑且无须讨论的是,这些“欺骗性手段”都在不同程度上引发了用户的吐槽甚至愤怒,对用户的特定权益和利益造成了负面影响。在中国语境下,暗黑模式也可被形象地称为“灯下黑”模式。
发展到如今,暗黑模式的种类和数量也实现了爆炸式增长,deceptive.design列出了12种分类类型,但每一类型的具体表现数量却是一个未知数。在2019年,一篇《大规模的暗黑模式:从11K购物网站的爬行中发现》的研究报告使用了自动化技术以识别暗黑模式,通过分析来自约11000个购物网站的约53000个产品页面,研究人员发现了近1818个暗黑模式实例,共代表15种类型和7个变种类别。
暗黑模式非常类似于我们现在熟知的“PUA”(Pick-up Artist)模式,其以艺术及沟通能力为外表包装,用各类潜移默化的技巧方式影响受害人的情感心智,让受害人作出看似完全自主的决定和选择,但实际上所有的受害人行为均是其情感心智被欺骗、诱导的结果。PUA已被普通人和监管所识别和反对,但暗黑模式远没有达到被完全识别和被反对的状态。
在欧美国家,暗黑模式引发监管的关注和执法处罚,被立法所直接吸收,以及越来越多的被公众所识别,其热度也仅仅发生在近几年之间。而在中国,虽然不能称之为立法“真空”,但针对暗黑模式的专项研究和执法确实属于荒芜之地,也没有普遍引发互联网原住民们的警觉,专业人员也往往从消费者权益的知情权和选择权等透明化角度, 以及合同领域中的格式条款显著提示角度出发实施论述。
然而,拒绝承认“互联网场景具有特殊性”且认为仅适用传统合同或侵权理论就足以规制的思维,将对暗黑模式的识别造成实质性法律障碍。常见的例如个人信息保护中的“告知-同意”规则,当使用传统合同理论辩析合同是否成立时,往往仅因为用户能够完整看到全部合同条款以及明确感知利害性条款,在此条件下用户点下同意按钮,就认为合同就已经有效成立。但当代入个人信息保护水准的“告知-同意”规则时,仅以用户“看到+点击同意”就认定“合法”是远远不够的,平台还需要为用户提供同样便捷的退出服务(甚至是需要确保能够在线一键退出)及各项配套措施(比如告知明确的保护机制、查阅复制权路径等),才能视为“告知-同意”规则的完整落地,才满足充分的知情和选择权,才能构成个人信息保护规则的有效告知(或缔结)。而在“缔结合同”后,故意在退出路径中设置各类阻碍路径设计及“退出焦虑”提示,显然就可能成为暗黑模式识别的漏网之鱼。
最终我国是否要对暗黑模式实施强监管,仍有赖于评估中国互联网发展的历史阶段为前提,“效率优先、兼顾公平”仍然需要在比例原则上被认知,一刀切不对暗黑模式进行监管以及一刀切实施最严格的监管,均可能是不切实际的。若中国互联网仍然需要在丛林法则中迅速发展,则宜以在“效率优先”指导下,适当容忍特定暗黑模式的存在,若中国互联网的发展亟需完全倾斜于保护用户的最优权益,则宜以“实质公平”为核心导向,但这样会对企业苛以“过重的”合规和商业负担,毕竟目前互联网产品的暗黑模式已成为产品研发的常态。
我们对暗黑模式的反思,最先的反思其实是意识到他们的存在。
二、暗黑模式域外监管简史
(一)商业行为中规制暗黑模式是消费者权益保护法律的应有之义
如前言所述,暗黑模式是互联网产品形态上在交互界面和用语等,通过欺骗、诱导、强迫等方式使用户做出不符合其本义的选择或操作。企业采取暗黑模式可能是为了营收、流量或更多的用户数据。初期更多涉及的其实是营收和流量侧,而保障消费者权益和市场公平竞争的相关法律把诚实守信、公平竞争均纳入了基本原则,所以消费者权益保护和竞争法领域自然可以通过相关条款来规制暗黑模式。
如挪威消费者委员会(Norwegian Consumer Council,简称NCC)在2021年1月14日针对亚马逊的dark pattern向消费者保护主管机构提起了投诉,声称在亚马逊会员的取消订阅实践中采用了黑模式诱导用户继续使用其服务,将构成违反实施《不正当商业行为指令(UnfairCommercialPracticesDirective)》的《市场控制法案(MarketControlAct)》。
根据挪威消费者委员会起诉状所述,《市场控制法》第8条规定当在具体场景中,经过评估认定省略或模糊消费者在当前场景做出与金钱有关的决策时所需要的实质性信息的,则认定为误导。那么怎么认定“实质性”信息取决于当前为什么服务,比如在订立商业合同、获得相应商品或服务时,价格就是实质性信息。本案所诉争行为是退订亚马逊会员,那么如何取消会员的操作流程与方法是实质性信息。而目前亚马逊会员取消的流程是很长的,由六个单独的页面组成。每个页面上消费者在不断地被劝说(Nudge)保持会员权益。这就是暗黑模式的一种, 在本案中,如下图1所示,亚马逊强化如果取消会员将丧失什么会员权益的文字以及具备警告性质的黄色以及感叹号,这种UI设计可能会造成消费者对自己提起取消会员权益流程的质疑。然后,消费者在后续页面会被不断强化这种对自己的质疑,比如在满屏取消后会丧失的权益列表下最醒目的选项是“use your benefits today”,比如整个过程中用户看到了4次标志,以及被警告丧失权益6次。

图 1 亚马逊退订会员时强化损失以及警告性界面
同时,《市场控制法》第9条规定了如果在具体的场景中,经过评估,认定通过骚扰、强迫,包括使用身体上的强制,或者不正当的影响,造成实质上影响消费者选择和行为的自由,则构成了激进(aggressive)的商业行为。评估时的考量因素之一就是当消费者希望行使合同规定的权利,包括终止合同或转向另一产品或另一商家的权利时,商家施加的繁琐或不相称的非合同障碍。上述指出的退订流程,应当构成繁琐或不相称的障碍。
欧盟消费者组织在2022年发布了报告《暗黑模式与欧盟消费者法律体系——更好执行和改革建议》[1],全面阐述了暗黑模式在欧盟消费者法律体系各项法律的可适用性。欧盟消费者法律体系除了上述案例中所提到的《不正当商业行为指令(UnfairCommercialPracticesDirective)》外,还包括《消费者权利指令(ConsumerRightsDirective)》以及《不正当合同条款指令(Unfair Contract Terms Directive)。会涉及如下条款:
关于企业提供信息义务,保证透明性。在某些暗黑模式下会隐藏实质性信息,或者会分散用户的注意力,比如商家可以在宣传免费送货的同时,在一个单独的地方写上关于撤销合同时的运输费用的信息,并给消费者留下任何可能的退货也是免费的印象。
关于禁止使用预勾选的条款。暗黑模式会使用预勾选的方式利用用户的现状心理,甚至某些暗黑模式可能让商家可以规避禁止预勾选的条款。将进入下一页的按钮(例如,在一个预订网站上)放在被勾选的方框旁边,或者采用非常相似的形状和颜色,或者使其看起来像需要勾选方框才能继续。
据此,欧盟消费者组织针对暗黑模式在欧洲消费者保护法律体系中提出了更多的建议,可以体现对数字商业社会下有很深刻的理解,具体包括如下:
增加新的概念“数字不对等”,以更新决定交易的规则以及举证责任,这将有专门的报告一并提出;
应当设立一个通用标准“从设计着手的公平(Fairness by Design)”,来自于GDPR中Privacy by Design的灵感,应该在消费者保护法律中加入从设计入手的公平原则。其实该原则已经植根于消费者保护法律中的诚实守信原则中,意味着在交互界面设计和交流应当以公平的方式设计,也是专业注意力要求的重要补充。
应当在不正当商业指令的附录中增加应当被禁止的暗黑模式,比如确认羞耻(confirm-shaming),使用带有情绪引导的用语(如羞耻)去促使用户感到内疚,从而采取违背用户意愿的行为。
应当增加终止合同应当与达成合同一样容易的要求。
应当增加反规避条款,比如避免滥用合同、技术和行为措施等,包括暗黑模式,去绕过欧盟消费者保护相关法律设定的责任。
(二)暗黑模式的法律规制向隐私数据保护领域拓展
从企业在数字时代所追求的目标来说,主要是营收与流量以及视为新时代石油的数据。当暗黑模式被用于提升营收收入和增加用户量迁移到了攫取更多数据时,即点燃了暗黑模式被隐私及数据保护法监管的火苗。主要推进暗黑模式的意识推广和法律监管的挪威消费者委员会在2018年GDPR正式实施后发布了一份《关于大型科技公司是怎么利用暗黑模式影响用户实现其数据保护权利》[2]。根据GDPR的要求,科技公司需要满足从设计着手的数据保护以及默认数据保护,并且合法的使用用户数据。在该报告里展示了大型科技公司如Facebook、谷歌、微软等在产品交互上怎么误导用户选择侵入式的选择,代替隐私友好型的选项。
如下图所示,谷歌广告隐私设置采取了隐藏默认设置。在谷歌的GDPR隐私政策弹窗中,用户必须下滑才能看到“用户可以选择退出观看基于用户兴趣的广告”,用户的选项是“同意”和“修改设置”,只有用户在选择了修改设置,才能看到第二屏(即下图右侧),才能发现广告隐私设置开关,而且该开关是默认开启的,所以称之为隐藏默认设置。该交互模式,挪威消费者委员会认为是暗黑模式。欧盟数据保护主管机关在之后也做了回应,2019年法国数据保护主管机关CNIL因该交互以及隐私政策和相关文件未提供清楚的信息,违反了提供信息义务以及透明性原则,不构成有效同意,处罚谷歌5000万欧元,是当时处罚金额最高的案例。

图 2 谷歌隐藏默认设置的交互界面
暗黑模式真正在隐私法律监管领域引起大范围讨论,其实是2021年至今。笔者将分别介绍美国和欧盟的立法和执法侧的进展。
1.美国FTC侧的执法举措
FTC对ABC mouse的调查案可以称之为FTC正式启动对暗黑模式的强执法趋势。虽然此前FTC对于类似消费者保护和不正当竞争行为,针对存在欺骗性的设计有相关的指南等,但是不能构成独立的执法方向。
ABCmouse案的诉争行为集中在两类:(1)隐藏了会员连续续费的必要信息,尤其是免费试用后自动和无限期续费;(2)退订过程非常冗长以及欺骗性,数据显示大量用户提起退订会员的流程,但是多数仍然维持订阅状态。
ABC mouse的案情其实没有那么特殊,但是具有历史意义。因为该案启航了FTC对暗黑模式的执法,尤其是引入到隐私领域。当时FTC 专员(commissioner)之一的Rohit Chopra在ABCmouse 案中发表声明[3]直接使用了“暗黑模式”,将矛头直指暗黑模式,指出ABC mouse的行为就是Harry Brignull所定义的蟑螂汽车旅馆(roach motel),即容易进入但是不太可能逃脱,使用免费试用或者优惠价诱惑用户订阅会员,但是通过繁琐退订流程等强制用户持续续费。同时委员长在声明中也提到了笔者前面提到的挪威消费者委员会报告,指出大型科技公司通过暗黑模式诱导用户分享更多用户数据。并在声明最后发出了向非法黑模式开战的“宣言”。
此后,FTC举办了线上论坛“Bring Dark Pattern To Light”,集中讨论了什么是暗黑模式,为什么暗黑模式会被运用;暗黑模式怎么影响消费者;暗黑模式怎么影响有色人种;暗黑模式怎么影响儿童和青少年;我们未来针对暗黑模式的治理策略,同时向公众征集对暗黑模式的意见。
FTC在2021年9月就发布了强制性决议,将8个类型案件界定为了FTC未来10年的执法重点,其中就包括了暗黑模式在内的欺骗性行为等是否构成违反FTC ACT第5条。该决议给企业明确的信号,将针对暗黑模式进行强执法,如果注册过程没有提供清晰的前期信息,没有获得消费者的知情同意,没有使取消注册变得容易,企业将面临法律诉讼。
2.美国各州的立法侧举措
在FTC对暗黑模式吹响号角后,美国各州的隐私立法也不断出现了相应的呼应。
California Consumer Privacy Act(以下简称CCPA)修正案中规定提交退出权应当让消费者易于实现并要求最少步骤,并明确提出不能设计为故意或者实质上达到推翻或影响用户退出权的选择权利。同时提供了5个例子进一步阐述:
企业设计的提交退出权的操作步骤数量不能超过消费者此前如果退出又重新同意的操作步骤。
企业在提供消费者退出权时不能使用令人困惑的语言,比如双重否定(Don't Not Sell My Personal Information)。
除法律另行规定,企业不得要求消费者在确认其退出请求之前点击或听取他们不应该提交退出请求的理由。
企业不得要求消费者在提交退出权过程中提供对实现权利没有必要的个人信息。
点击 "不出售我的个人信息 "链接后,企业不得要求消费者搜索或滚动浏览隐私政策或类似文件或网页的文本,以找到提交退出请求的机制。
CCPA虽然并没有在法规内容中直接使用“暗黑模式”的名词,但是引入了此类设计对退出权的影响,可以认为首次纳入到美国隐私保护法领域的成文法。
其后的California Privacy Rights Act(以下简称CPRA)更是直接纳入了“暗黑模式”的名词,并且规定了暗黑模式对当前隐私合规要求的影响。暗黑模式被定义为设计或操纵具有颠覆或损害用户自主权、决策权或选择权的实质性效果的用户交互界面。同时CPRA规定中除了CCPA中在出售或分享个人信息的退出权时不得使用任何暗黑模式以外,更进一步规定使用暗黑模式的同意不构成有效同意,因为同意应当是自由给予的、具体的、知情的和不含糊的意愿表达,并通过声明或明确的肯定行为来表达。CPRA关于暗黑模式的定义呈现了两大特点,首先采取了对个人自主权角度的定义方法,类似于本文后面笔者阐述的欧盟立法思路,其次强调的是所达到的实质效果,而非意图,此前很多非法律定义都将设计者的意图为中心。关于暗黑模式的定义在业界有大量的讨论,该定义方式在实践时是否可以清晰认定并执行,仍有待于CPRA实施后的进一步分析。
3.欧盟隐私及数据保护法侧的举措
2022年3月欧盟数据保护委员会(EDPB)发布了《关于社交媒体平台界面的黑模式的准则3/2022:如何识别和避免它们》(以下简称《关于社交媒体平台界面的黑模式的准则》)。该指南是在GPPR范围内首次正式提出了暗黑模式,并在社交媒体行业领域范围内提供了暗黑模式以及最佳实践的具体实例,从实践角度指导数据控制者识别和避免暗黑模式。
为了便于与CPRA的立法做对比,笔者同样采用暗黑模式的定义和对隐私数据保护合规要求的影响两个角度来看该指南的内容。在指南中,暗黑模式被定义为在设计用户界面或交互体验,导致用户在个人信息保护方面做出不符合其期待的、违背其意愿的和潜在有害的决定。暗黑模式的核心在于影响用户的行为,并可能阻碍其有效地保护其个人信息并做出有意识的选择的自主权,比如用户无法给出知情和自由的同意。可见,从定义的维度来说仍然以人的自主权为核心。
而暗黑模式可能影响的合规范围,远超过CPRA的同意范畴,其认为判断是否构成暗黑模式,应当从GDPR的合规义务出发,包括从公平性原则是评估是否属于黑模式的起点,同时也要考虑到其他的原则,如透明性原则、数据最小化原则和可归责原则,与此相关的同意的构成要件、提供信息义务等用户权利。当然,最可适用的条款就是GDPR第25条Data Protection by Design and Default。
其中最需要注意的条款包括如下[4]:
公平性原则
公平性原则是评估是否属于黑模式的起点。公平性是一个总的原则,它要求个人数据的处理方式不得对数据主体造成损害、歧视、意外或误导。而黑模式中如“蒙在鼓中”就是典型的试图欺骗、误导用户,使用户无法获得清晰的数据处理情况以至于无法实现其权利。公平性原则进一步来说可以是黑模式评估是否符合合规要求时的兜底性原则。
可归责性
可归责性原则的核心在于数据控制者有责任,且能证明遵守GDPR的规定。而产品界面和用户交互方式可以作为一种证明方式,证明用户在社交媒体平台上的行动中,已经阅读并考虑了数据保护信息,自由地给予了同意,轻松地行使了自己的权利,等等。比如用户必须通过勾选或者点击某项数据保护选项,则该产品交互界面可以解释用户是如何阅读数据保护相关的信息以及如何做出一个知情的同意。定性和定量的用户研究方法,如A/B测试、眼动跟踪或用户访谈,其结果和分析也可用于支持证明合规性。
透明性原则
透明性原则也是黑模式评估的核心要点。透明性原则要求相对于用户而言,以透明的方式处理数据,包括符合同意的条件、提供信息的义务等。如果能实质性地符合透明性原则,实则也不会出现“变化多端”、“蒙在鼓里”黑模式下的无法获得准确信息,也不会出现“过载”黑模式,因为透明性要求以清晰、简洁的语言,以连贯、透明和易于访问的方式提供数据处理活动的信息。
Data Protection by Design and by Default:
Data Protection by Design and by Default是评估黑模式的最相关条款。EDPB关于《GDPR第25条DataProtectionbyDesignandbyDefault的准则》确定了默认情况下的数据保护和设计中的数据保护等原则的要素,这些要素在黑模式方面变得更加相关,包括:
A.自主性:数据主体应当享有处理其用户数据的最高程度的自主性,如数据处理的范围和条件。
B.互动性:数据主体必须能与数据控制者交流以及实现自己的权利。
C.隐私期待:数据处理应当充分考虑到数据主体的合理隐私期待。
D.消费者的选择:数据控制者不能以不正当的方式将用户锁定在其服务中。比如危害用户实现数据可携带权将导致用户被不当地锁定在一个数据控制者的服务中。
E.权力平衡:应当避免数据控制者与数据主体的权力不对等的处境,如果识别到这些,应当采取对应的措施去调节。
F.非欺骗性:数据处理信息和选择应当以客观和中立的方式提供,避免任何欺骗性或误导性语言或设计。
G.可信任:数据控制者应当对数据处理活动提供充分的信息,且按照其声明的执行,不能误导数据主体。
当数据控制者履行了Data Protection by Design and by Default,其实从一开始就避免了暗黑模式,上述要素对于识别暗黑模式起到重要作用。比如一开始就遵守非欺骗性,则不会构成“隐藏”和“刺激”等暗黑模式。
需要对儿童予以更多的保护
考虑到儿童作为数据主体的“脆弱性”,在社交媒体平台注册阶段的情绪引导可能对儿童产生更大的影响(即由于对处理活动缺乏了解而提供更多的个人数据)。考虑到儿童的脆弱性,黑模式可能会影响儿童分享更多的信息,比如采用 “必须”的表达方式会让他们觉得 “必须”这样做以“在同龄人中显得受欢迎”。
另外,同时指出暗黑模式不一定只导致违反数据保护法规。例如,暗黑模式也可能违反消费者保护条例。可由数据保护机构执行的侵权行为与可由国家消费者保护机构执行的侵权行为之间的界限可能重叠。
可见,在GDPR的范围内,EDPB以该指南的方式回应了现实中大量被滥用的暗黑模式,强化阐释了暗黑模式在GDPR各项规定下的可适用性,可以说并不需要任何新设条款,在此基础上提出了实践指导。
4.欧盟其他相关的数据立法侧的举措
2022年2月发布的《数据法案》(the Data Act)虽然没有在条款正文中引入“暗黑模式”名词,在第六条“应用户要求接受数据的第三方的责任”中规定了第三方不得采用包括与用户交互的界面等任何方式压迫、欺骗或操纵用户以削弱或损害用户的自主、决策或选择能力。并在鉴于部分指出“第三方应当保障用户拒绝或停止继续访问数据的操作与同意一样方便,而且第三方不能依赖任何所谓的暗黑模式,压迫、欺骗或操纵用户以削弱或损害用户的自主、决策或选择能力。暗黑模式是指为了强推或欺骗消费者达成对其具有负面效果的设计方法,可以是诱导用户进行不符合其意愿的行为,尤其是针对弱势群体,可以是通过不断的骚扰来实现使用户分享数据或接受不合理的歧视。符合欧盟法律的通行合法的商业行为本身不应被视为构成暗黑模式”。因此,《数据法案》在接受数据的第三方责任中引入了对“暗黑模式”的实质限制,定义落脚点仍以用户自主权为核心,但是鉴于其中加入的符合欧盟相关法律的行为不应认定为暗黑模式,也引入了监管范围的定义逻辑。
作为欧盟数字战略核心立法的两部重要法律《数字市场法》和《数字服务法》,也对暗黑模式有激烈的讨论。《数字市场法》旨在确保大型在线平台充当数字市场的看门人时以公平的方式运行。在正式批准稿中删除了2月折衷版里直接使用“暗黑模式”的用词,但是仍然通过实质行为的限制来确保“反规避”的效果。《数字市场法》明确限制了暗黑模式的实质影响,纳入到守门人的义务中。其规定守门人不得降低核心平台的条件或质量,或使企业用户或最终用户行使第5、6、7条规定的权利变得不相称的困难,具体包括以非中立的方式提供给最终用户选择方式,通过用户交互界面的结构、设计、功能、方式等削弱最终用户和企业用户的自主、决策或选择权。并在鉴于部分解释了增加该实质限制的原因,“因为守门人的巨大经济掌控力,更重要的是保证这些义务可以被有效地执行,而并不被规避。为了保证实现这点,所有义务都应当被落实于所有的实践,无论其是合同、商业抑或是技术形式。守门人不应从事会破坏本条例规定的禁止和义务的有效性的行为。这种行为包括守门人使用的设计,以非中立的方式展示最终用户的选择,或利用用户界面或其一部分的结构、功能或操作方式颠覆或损害用户的自主性、决策或选择。”
《数字服务法》旨在为用户设立一个更安全更开放的数字市场,为在线平台制定了有关非法和有害内容的问责标准。根据2022年5月16日版本,将暗黑模式定义为有意图或者实质上达到了扭曲或损害服务接受者做出自主和知情的选择或决策能力的交互设计。可见,从定义的核心仍以用户的自主权为落脚点,但认定范围更广,既包括主观意图又包括了实质效果。同时,在此基础上列举了几类具体的暗黑模式,包括:
利用设计诱导服务接受者选择有利于中介服务提供者而可能有损于服务接受者的行动;
以非中立的方式呈现选项,比如通过视觉、听觉或其他组成部分突出某些选项;
服务接受者已经做出选择后,频繁打扰;
取消服务的程序比注册服务明显更复杂等,使其不合理的难以停止购买或退出某一平台
允许签订distance contract ,诱导服务接受者使其达成交易;
默认设置难以改变,欺骗消费者,不合理地偏离决策。
《数字服务法》明确规定在线平台服务商不得设计、组织、操控他们的交互界面以实现欺骗、操纵或其他实质上削弱或伤害服务接受者做出自主和知情的决策。但是该条款不应影响其他法律规定的优先适用。
总结来说,暗黑模式的核心要义是被消费者权益保护以及市场竞争相关法律所涵盖,随着数字化转型带来的法律的变革,如欧盟在数字市场上所设立的相关法律更是做出了积极的响应。聚焦隐私和数据保护领域,从定义和对现有法律原则和要求的影响仍然在探讨中,其中共通的是基于其对用户的自主决策权而主要考虑到的对同意有效性、用户权利实现的影响。
注释:
1、The European Consumer Organisation:《“DARKPATTERNS”ANDTHEEUCONSUMERLAWACQUISRecommendationsforbetterenforcementandreform》,https://www.beuc.eu/publications/beuc-x-2022-013_dark_patters_paper.pdf。
2、Norwegian Consumer Council:《DECEIVEDBYDESIGN:Howtechcompaniesusedarkpatternstodiscourageusfromexercisingourrightstoprivacy》,https://fil.forbrukerradet.no/wp-content/uploads/2018/06/2018-06-27-deceived-by-design-final.pdf。
3、Statement of Commissioner Rohit Chopra:https://www.ftc.gov/system/files/documents/public_statements/1579927/172_3086_abcmouse_-_rchopra_statement.pdf
4、EDPB:《Guideline3/2022onDarkpatternsinsocialmediaplatforminterfaces:Howtorecogniseandavoidthem》
