暗黑模式的法制（上）：歐盟

暗黑模式（Dark Patterns）對使用者日益顯著的負面影響，逐漸引起各國政府關注，歐盟作為全球數位治理的先驅之一，已在多項法令中對暗黑模式有所關注。本文上篇將說明歐盟如何透過法令，限制暗黑模式的氾濫。

       暗黑模式指的是在使用者介面中，利用人類心理和行為偏好，在設計上、使用上產生誤導或誘騙使用者非自願地做出不利於己的選擇，藉以提高點擊率、收益或是獲取更多使用者資訊，但使用者的自主決定與權益，卻往往因此遭到犧牲。常見的暗黑模式包括蟑螂屋（Roach motel）、誘導轉向（Bait and switch）、叨擾（Nagging）及預設選項（Preselection）等。而歐盟也在諸多法令對暗黑模式進行規範，主要從三個面向著手：線上安全、隱私保障以及消費者保護。本文以下將從這三個面向出發，說明歐盟是如何透過法令規定，形塑公平的網路環境。

線上安全：數位服務法、資料法與人工智慧法

       「數位服務法（Digital Services Act, DSA）」第25條規定，線上介面的設計、組織或運行，不得以欺騙、操縱或以其他實質扭曲的方式，損害服務對象做出自由且知情的決定。而同法第31條更規定，若線上平臺提供線上締結契約的功能（例如線上購物平臺），則更需要確保線上介面的設計能夠使商家揭露商品資訊、規約及聯絡資訊等，以符合歐盟相關法令的要求。

不僅如此，在「資料法（Data Act）」以及「人工智慧法（Artificial Intelligence Act, AI Act）」，也都不約而同地提到暗黑模式。資料法前言第34點提到，黑暗模式是一種設計技巧，強迫或欺騙消費者做出對其有負面影響的決定。因此，依據源資料最小化原則，企業不得在設計數位介面時，藉由暗黑模式操縱消費者以獲取個資；而AI法第5條則提及，禁止任何AI系統藉由影響個人意志或故意操縱、欺騙等技術，達成損害他人知情決定的目的。

       不過也要注意的是，DSA有提及上述規定只是「不公平商業行為指令」及「一般資料保護規則」的補遺規定，在二者未能規範到的部分，才加以介入；同時，「不公平商業行為指令」及「一般資料保護規則」的規範更為具體、特定。因此在個案適用上，相對於DSA，「不公平商業行為指令」及「一般資料保護規則」的適用更具有優先性。

隱私保障：一般資料保護規則及電子隱私指令

       「一般資料保護規則（GDPR）」主要在規範個人資料與隱私的處理，在涉及個人資料收集和處理同意的情形時，必須遵守一定的規範與要求。「一般資料保護規則」要求個人資料的處理必須合法、公正且透明，並應於處理過程採取保護措施，而資料權人必須出於自由、具體且知情地同意。此外，在GDPR的基礎下，歐盟更發布了「社交媒體平臺的暗黑模式指引」，具體提及多種暗黑模式的例示，如：資訊過載、忽略重要資訊或誤導等。換言之，GDPR禁止企業透過暗黑模式，迫使使用者毫無意願或全未察覺的情形下，做出對自身個資有負面影響的決定。

       另外，「電子隱私指令（ePrivacy Directive）」更對暗黑模式提出細緻的要求，像是在使用cookies或類似技術時，必須取得使用者的同意，並且使用者撤回同意的過程不得過度繁瑣或難以達成。

消費者保護：不公平商業行為指令與消費者權利指令

       「不公平商業行為指令（Unfair Commercial Practices Directive，UCPD）」實質內容中涵蓋許多常見的暗黑模式態樣，從第5條禁止不公平商業行為，第6條和第7條禁止誤導性行為，第8條和第9條則禁止侵略性行為等等。具體來說，UCPD要求商業行為不得有誤導、具攻擊性、騷擾、脅迫、不當影響、或其他不公平的行為。而附件中也明確提及數種不公平商業行為的例示，像是誘餌廣告（不展示或展示有誤的商品、拒絕合理時間送達、售價與廣告不符、偽裝急迫性等）、不實訊息（商品品質不實、促銷條件不實等）。

       「消費者權利指令（Consumer Rights Directive，CRD）」規定，若商家要求消費者負擔任何形式的額外款項，必須再次取得消費者的明確同意，如果是透過預設選項，使消費者同意對額外款項付費，則消費者可以要求商家退費。

小結

       歐盟藉由多部法令對暗黑模式進行規範，不論有無裁罰效果，均展現其保護使用者權益與數位環境公平的決心。而其實在現今的數位環境下，線上安全、隱私與消費者保護已經不再是割裂的議題，隨著技術層面與應用層面的蓬勃發展，相關議題也逐漸交錯分合。當然在立法技術上，可以針對特定具體事項優先規範，而抽象性規範則作為補充。但在數位環境不斷更迭發展的時代下，仍舊要有一致且體系性的價值觀作為基礎，才能在瞬息萬變的網路世界裡，找到具有共識價值的中心思想。

       下篇將在歐盟法令的基礎下，比較臺灣現有法令，分析暗黑模式在我國的規範模式及日後發展，探尋我國網路治理的下一步。

資料來源：

Regulation - 2022/2065 - EN - DSA - EUR-Lex (europa.eu)

Directive - 2005/29 - EN - EUR-Lex (europa.eu)

Regulation - 2016/679 - EN - gdpr - EUR-Lex (europa.eu)

Guidelines 3/2022 on Dark patterns in social media platform interfaces: How to recognise and avoid them | European Data Protection Board (europa.eu)

Directive - 2013/36 - EN - Capital Requirements Directive - EUR-Lex (europa.eu)

編輯：林煒鎔、黃皓羽