Euroopan unioni hyväksyi hiljattain yleisen tietosuoja-asetuksen (GDPR), jonka on tarkoitus suojata unionin kansalaisten henkilötietoja verkossa. Se oli yksi EU:n historian merkittävimmistä asetuksista ja selkeä kannanotto muun muassa Facebookin aiempiin rikkomuksiin.
Uudesta kattavasta lainsäädännöstä huolimatta suuret tekniikkayhtiöt näyttävät löytäneen keinon kiertää tiukkoja säännöksiä. Ne hyödyntävät kaksinaamaisia menetelmiä huijatakseen käyttäjiä jakamaan henkilötietojaan.
Norjan kuluttajaviraston (Forbrukerrådet) julkaiseman Deceived By Design -raportin mukaan Facebook, Google ja Microsoft ovat käyttäneet dark pattern -tekniikkaa ja käyttöliittymäsuunnittelua manipuloidakseen käyttäjiään hyväksymään yksityisyysasetuksia, joita he eivät varsinaisesti olisi halunneet hyväksyä.
Vehkeilyn mestarit
44-sivuinen raportti näyttää käytännön esimerkkejä tapauksista, joissa Facebook, Google ja (vähemmässä määrin) Microsoft ovat käyttäneet dark pattern -tekniikkaa edukseen. Esimerkkeihin kuuluvat muun muassa "oletuksena julkiset asetukset, harhaanjohtavat sanamuodot, virheellisen hallinnan tunteen luominen, ota-tai-jätä-vaihtoehdot ja käyttöliittymäsuunnittelu, joka tekee yksityisempien asetusten valinnasta vaivalloista".
Raportin mukaan palvelut uhkaavat "täyden toiminnallisuuden menettämisellä tai käyttäjätilin poistamisella", jos käyttäjät eivät suostu heidän julkisiin tietosuojakäytäntöihinsä.
Jos esimerkiksi Google-käyttäjä haluaisi ottaa kohdennetun mainonnan pois käytöstä, käyttäjän eteen ladotaan syitä, miksi toiminto kannattaisi pitää päällä. Käyttäjä pakotetaan sitten harkitsemaan päätöstä uudelleen. Kohdennetun mainonnan negatiivisia puolia ei sen sijaan mainita missään.
Vielä parempi esimerkki on alla olevalla videolla näkyvä Amazon-käyttötilin poistaminen. Yksinkertaiseksi olettamasi toimenpide on tehty niin vaikeaksi, että suurin osa jättäisi leikin kesken. Käyttäjän poistamiseksi sinun täytyy ensin klikata sivun alalaidan "Let Us Help You" -valikon alta löytyvää "Help"-linkkiä. Tämän jälkeen täytyy valita vaihtoehto "Need More Help?" ja "Contact Us". Seuraavalta sivulta käyttäjän täytyy etsiä vaihtoehto "Prime or Something else", valita ongelmaksi "Login and security" ja tarkentaa alavalikosta vaihtoehto "Close my account".
Oikeastaan tämäkään ei vielä riitä, sillä et itse asiassa edes pysty poistamaan käyttäjääsi itse. Sen sijaan sinut ohjataan Amazonin asiakaspalveluun, jossa sinun täytyy pyytää yrityksen edustajaa poistamaan käyttäjäsi. Kyseistä dark pattern -tekniikkaa kutsutaan nimellä roach motel. Palveluun on helppo liittyä, mutta siitä poistuminen on todella hankalaa.
Toinen esimerkki Amazonin tarkoituksenmukaisesta käyttöliittymäsuunnittelusta nähdään tilausta tehdessä. Jos olet päässyt tilauksessa vahvistussivulle asti, et voi käytännössä klikata mitään linkkiä, joka veisi sinua taaksepäin. Ostoprosessin jatkaminen on siis jälleen helpompaa kuin mielensä muuttaminen. Erityisen räikeä tilanne on Saksan Amazonissa, jossa edes Amazon-logon klikkaaminen ei vie sinua takaisin verkkokaupan etusivulle.
Naamakirja tunnistaa kasvosi
Toinen hyvä esimerkki on Facebookin käyttämä semantiikka ja käyttöliittymäsuunnittelu, joka ajaa ihmiset hyväksymään sivuston käyttämän kasvojentunnistustoiminnon.
Facebookin käyttämä hyväksymisviesti on kirjoitettu muotoon "jos pidät kasvojentunnistusominaisuuden kytkettynä pois päältä, emme voi käyttää tätä teknologiaa mikäli joku tuntematon käyttää kuvaasi esiintyäkseen sinuna". Tämä muotoilu saa käyttäjät ajattelemaan, että ominaisuuden kytkeminen pois päältä saa heidät alttiiksi identiteettivarkauksille.
Mukana on jälleen myös käyttöliittymäsuunnittelua. Kasvojentunnistuksen hyväksymiseen riittää sinisen laatikon klikkaaminen, mutta kieltäytyminen on mahdollista vain kaivautumalla erikseen asetuksiin.
Poliittinen kysymys
Mainittujen keinojen käyttö on lain harmaalla alueella, mutta monet kuluttajat ympäri Eurooppaa ovat vaatineet kansallisia yksityisyyden suojaa sääteleviä viranomaisia paneutumaan dark pattern -tekniikan käyttöön.
Bleeping Computerin mukaan itävaltalainen yksityissuojaan keskittynyt asianajaja on jo jättänyt valituksen Facebookia ja Google vastaan välittömästi yleisen tietosuoja-asetuksen astuttua voimaan. Valitus jätettiin siis jo kauan ennen Norjan kuluttajaviraston raportin julkaisua.
Miten yhtiöt puolustavat toimintaansa?
Pyytäessämme kommenttia Facebookilta, he eivät halunneet kommentoida suoraan mitään raportissa esitettyjä väitteitä. Sen sijaan yhtiön edustaja vastasi, että Facebookin "lähestymistapa on lainmukainen, seuraa yksityisyyden suojan sekä [käyttöliittymä]suunnittelun asiantuntijoiden suosituksia ja on suunniteltu siten, että käyttäjät ymmärtäisivät paremmin teknologian toimintaa ja omia valintojaan".
Myös Google päätti noudattaa samaa kaavaa vastauksessaan. Yritys ei kiistänyt suoraan mitään esitetyistä syytöksistä, mutta totesi, että se "kehittää jatkuvasti näitä valintoja käyttötestien tulosten perusteella".
Jos yritysten toimet päätyvät tutkittavaksi ja ne todettaisiin syylliseksi, olisi seurauksena tuntuvat sanktiot. EU on linjannut, että yksityisyyden suojan rikkomisesta voidaan määrätä sakkoa jopa 20 miljoonaa euroa tai 4 % yrityksen vuosittaisesta liikevaihdosta riippuen siitä, kumpi summista on suurempi.
Sakot voisivat nousta melko tähtitieteellisiin summiin sillä 4 % Googlen viime vuoden liikevaihdosta on huimat 4,39 miljardia euroa ja Facebookinkin kohdalla summa nousee 1,63 miljardiin.
Meillä ei ole vielä yhtäkään ennakkotapausta yleisen tietosuoja-asetuksen rikkomisesta, mutta internetjätit ovat varmasti peloissaan tietäessään, miten suuria sanktioita EU on valmis määräämään. Tuomio vaikuttaisi varmasti merkittävästi myös käyttäjien luottamukseen palvelua kohtaan.
