欧州連合（EU）と英国は、一般データ保護規則 (GDPR) で、Web サービスのユーザーはデータを収集する前に最初に同意する必要があると規定している。
データ保護に関する通知は、ウェブサイトにアクセスする際に表示される。
今回の調査では、このアクションが適切に目的を果たし、個人データの使用について正確な情報を提供しているかどうかが疑問視している。インターネットユーザーがデータ収集の目的を理解しているかどうか、またどのように理解しているかを知るために、マックスプランク セキュリティとプライバシー研究所の研究チームは、ユトレヒト大学、ミシガン大学、ワシントン大学と協力して半構造化インタビューを実施した。
ほとんどの参加者は、データ保護に関する通知が「煩わしい」と感じ、通知を回避しようとしたと述べた。インタビューの中で参加者は、データ保護通知を詳細に読むことも求められたこともあった。
調査終了時点でオンラインデータがどのように処理されるかについて十分な知識を持っていると感じた人は誰一人いという驚くべき結果だった。
研究の結果からは、目的の説明が明確ではないことが分かる。参加者は、自分のデータがどのくらいの期間保存されるのか、またデータの削除をどのように要求できるのかについての情報を知りたいと表明した。データの共有を明示的に拒否した場合でも、組織がデータを収集する方法は見つかるだろうという考えを参加者のほとんどが共有していた。この懸念は、特定のサービスに対するデータへのアクセスが許可された場合にのみ利用可能であるとデータ保護通知に記載されている場合にこの懸念がある。
プライバシー要求を拒否するとどのようなサービスが受けられないのか詳しく知りたいという人もいたが、そもそも同様の表示が脅威であると感じたと報告した人もいる。参加者の中には、データを共有するように「操作された」と感じる人さえいた。

データ保護通知の文言が不明確なことことが多い
本調査では、企業がデータ収集の目的を説明するために使用する文言についても調べた。
使用されている用語の一部はユーザーにとって理解できないものだった。
例えば、参加者は「広告（一般的な広告の提供）」の目的と「パーソナライズされた広告（ターゲットを絞った広告）」の目的の間に違いがあるとは考えていないし、多くの人が広告目的でデータを共有することに不快感を感じていた。
しかし、本調査は、特定された問題に対するいくつかの解決策も示唆している。ユーザーには、一種の「承認ニュートリスコア」が提供される可能性がある。
つまり、ふさわしいユーザーインターフェイスデザイン、アイコン、色を使用したプライバシー通知で、企業は情報発見プロセスをよりアクセスしやすく、時間を短縮できるようなる。
個人データがどのように扱われ、処理されるかを明確にするために、企業は人間の研究や医療など、インフォームド・コンセントが一般的である他の分野から学ぶことができる。
「私たちの調査では、現在の形式の同意書がインフォームド・コンセントを得る効果的な手段では決してないことが判明した。今後の取り組みでは、よりシームレスかつ真の情報に基づいて同意を得る方法を理解し、適切なソリューションを見つけるために、関係者 (ユーザー、企業など) のニーズと動機をさらに調査したい。古典的な「通知と同意」モデルから離れつつある」と、この調査のリーダーであるチー（Lin Kyi）氏は言う。

[DW編集局]