Dark Patterns in Privacy Dialogs and Privacy Policies

Abstract

Digitization has made personal data of users a valuable currency for service providers to collect and use in ways that does not benefit the user, for instance, by selling it to data aggregators or digital advertisers. With regulatory privacy frameworks, such as GDPR in the European Union, these activities require the consent of the user to be legal. To achieve this, service providers use cryptic and deceptive privacy consent mechanisms and privacy policies to steer users into making choices that undermine their privacy. Design patterns that purposefully and illegitimately lead users into decisions that go against their actual preferences are referred to as dark patterns or deceptive design.

The goal of this study is to understand the motives behind the use of privacy dark patterns, describe existing privacy dark patterns, comprehend how they influence the decision-making processes of users, as well as to discuss methods for detecting, preventing, and regulating these patterns. These research questions are discussed in the form of a literature review.

The main findings are twelve dark patterns in privacy that employ various strategies to influence user decision-making processes regarding their privacy on digital services. The dual-process theory of human decision-making and the phenomenon of privacy fatigue explain why dark patterns are effective. Furthermore, the presence of dark patterns has been challenging to measure, but recent research using machine learning methods have had promising results in classifying dark patterns in cookie dialogs. Finally, while most current methods for prevention rely on the user to apply, the enforcement of GDPR compliance within digital society heavily depends on standardization and supervisory authorities.

Digitaliseringen har gjort användares personuppgifter värdefulla att samla in och använda på sätt som inte gynnar dem. Vanligtvis säljer tjänsteleverantören persondata till tredje parter såsom dataaggregeringsbolag eller digitala annonsörer. Integritetslagar, såsom GDPR i Europeiska unionen, kräver användarens samtycke för att lagligt samla in, lagra, behandla och dela användarens persondata. Tjänsteleverantörer använder sig därför av vilseledande integritetssamtyckesmekanismer och integritetspolicyer för att styra användare till val som kränker deras integritet. Designmönster som avsiktligt och illegitimt styr användare till beslut som strider mot deras egentliga preferenser kallas mörka mönster.

Syftet är att förstå motiven bakom integritetsmörka mönster, sammanfatta existerande mörka mönster inom integritet och förstå hur de influerar användarens beslutsfattandeprocess samt att diskutera metoder för upptäckt, förebyggande och reglering av mörka mönster inom integritet. Dessa forskningsfrågor diskuteras i form av en litteraturöversikt.

Resultaten definierar tolv mörka mönster inom integritet som använder olika strategier för att influera användarens besultsfattandeprocess på digital tjänster. Dubbelprocessteorin om mänskligt beslutsfattande och fenomenet integritetströtthet förklarar varför mörka mönster inom integritet är effektiva. Hittills har deras förekomst har varit svåra att mäta, men färsk forskning som använder maskininlärningsmetoder har haft lovande resultat i att klassificera mörka mönster i cookiedialoger. Slutligen är förebyggande av mörka mönster mestadels på användarens ansvar att tillämpa, men tillsynsmyndigheter och standardisering spelar också en viktig roll i upprätthållandet av GDPR och användares integritet på digitala tjänster.