Nowe akty dotyczące ochrony dzieci w sieci ujawniają nie tylko rosnące ambicje państw w dziedzinie cyfrowego bezpieczeństwa, ale także znaczne różnice w podejściu do kontroli wieku online w obrębie Europy. Gdzie kończy się ochrona, a zaczyna inwigilacja?
Europejskie kraje intensyfikują działania na rzecz zabezpieczenia dzieci przed szkodliwymi treściami online, wprowadzając rozmaite mechanizmy potwierdzania wieku. Wspólny cel – ograniczenie dostępu nieletnich do treści pornograficznych i innych nieodpowiednich materiałów – realizowany jest jednak poprzez różne środki technologiczne i prawne.
Komisja Europejska zaprezentowała prototyp unijnych ram weryfikacji wieku, który ma służyć jako baza dla tworzenia krajowych systemów. Propozycja ta uwzględnia szereg opcji – od tradycyjnego skanowania dokumentów tożsamości po rozbudowane systemy tożsamości cyfrowej.
Równolegle do prac Komisji, Wielka Brytania przyjęła własny akt – Online Safety Act – który nakłada na platformy publikujące treści pornograficzne obowiązek zastosowania rygorystycznych narzędzi weryfikacyjnych. Organem odpowiedzialnym za nadzór nad wykonaniem tych obowiązków jest Ofcom, który wskazał dopuszczalne metody weryfikacji. Na tym tle widać już znaczącą różnicę: unijny projekt przewiduje elastyczne podejście, podczas gdy brytyjska regulacja wprowadza konkretne obowiązki oparte na twardych technologiach.
Dokumenty tożsamości, eID i aplikacje krajowe
Jedną z najczęściej stosowanych metod w Europie pozostaje weryfikacja oparta na dokumentach tożsamości. Użytkownik przesyła skan dowodu osobistego lub paszportu, co pozwala na natychmiastową ocenę pełnoletniości. Choć procedura ta jest skuteczna, budzi również pytania o bezpieczeństwo danych i potencjalne ryzyko ich wycieku.
Alternatywą są systemy tożsamości cyfrowej, rozwijane w ramach krajowych aplikacji eID. Tożsamość użytkownika może być potwierdzana dzięki istniejących już mechanizmów używanych np. do logowania się do administracji publicznej. Przykłady? W Hiszpanii działa system Cl@ve, we Francji – protokoły oparte na danych rządowych, a w Grecji wdrożono aplikację „Kids Wallet”.
Grecki system zakłada aktywne zaangażowanie rodzica, który poprzez krajowy system autoryzacji TaxiNet wybiera profil dziecka w aplikacji. Tożsamość młodego użytkownika potwierdzana jest na podstawie danych z krajowego rejestru stanu cywilnego. Czy jednak takie rozwiązania nie prowadzą do technologicznej nierówności w dostępie do Internetu dla rodzin o niższym kapitale cyfrowym?
Biometria: kusząca, ale kontrowersyjna
Na drugim biegunie znajduje się metoda budząca kontrowersje – szacowanie wieku na podstawie analizy twarzy przy użyciu sztucznej inteligencji. Choć nie została ona ujęta w unijnym prototypie, brytyjski Ofcom dopuścił jej stosowanie jako jednej z form weryfikacji.
Firma Yoti – brytyjski lider na rynku technologii tożsamości – potwierdziła, iż już od 2022 r. współpracuje z Instagramem Meta w zakresie automatycznego sprawdzania wieku na podstawie selfie. Przeprowadzono już ponad 850 mln takich weryfikacji. Zdjęcie, jak zapewniono, jest usuwane natychmiast po przeprowadzeniu analizy.
Problem w tym, iż ocena wieku na podstawie cech twarzy może być nieprecyzyjna – różnice kulturowe, uwarunkowania genetyczne czy wygląd fizyczny mogą skutkować błędną klasyfikacją. Pojawiają się także pytania o zgodność tej metody z aktami o ochronie danych osobowych. Czy wykorzystywanie biometrii nie narusza podstawowych zasad proporcjonalności i minimalizacji danych, o których mowa w RODO?
Banki i telekomy w służbie ochrony
Kolejną metodą, zyskującą uznanie zarówno w UE, jak i w Wielkiej Brytanii, jest wykorzystanie bankowości elektronicznej. Ofcom wskazuje na dwie opcje: użytkownik może zalogować się do swojego banku, by potwierdzić pełnoletniość, lub dokonać weryfikacji przy użyciu karty kredytowej, co również potwierdza status osoby dorosłej.
Komisja Europejska poszła jeszcze dalej, sugerując wykorzystanie standardów KYC („Know Your Customer”), obowiązujących już dziś w sektorze finansowym. Skoro banki od lat przeprowadzają takie procedury, dlaczego nie wykorzystać ich do celów weryfikacji wieku?
Podobne podejście przyjęto w przypadku operatorów sieci komórkowych, którzy już dziś stosują identyfikację przy wydawaniu kart SIM. Ofcom uznał tę metodę za jedną z dopuszczalnych – operator może potwierdzić, czy osoba rejestrująca numer telefoniczny ma ukończone 18 lat.
Wariantem tej metody jest ocena wieku na podstawie adresu e-mail – jeżeli powiązany jest on z usługami finansowymi lub użyteczności publicznej, gdzie wymagany jest pełnoletni użytkownik, może to zostać uznane za domniemanie dorosłości. Ale czy domniemanie to wystarczy, by zapewnić skuteczną ochronę dzieci?
Czy Unia nadąży za tempem zmian?
Pomimo wdrażanych narzędzi, trudno oprzeć się wrażeniu, iż działania podejmowane w UE są przez cały czas fragmentaryczne i nieskoordynowane. Choć prototyp KE stanowi krok w stronę harmonizacji, państwa członkowskie wprowadzają różne, często sprzeczne ze sobą rozwiązania.
W odróżnieniu od Wielkiej Brytanii, która zdecydowanie postawiła na twarde mechanizmy – w tym akty prawne obligujące platformy do konkretnych działań – UE wciąż balansuje między elastycznością a skutecznością. Brakuje jasnych wytycznych dotyczących tego, które metody są zalecane, które tylko dopuszczalne, a które niezgodne z unijnym prawem ochrony danych.
Rodzi się pytanie, czy mechanizmy weryfikacji wieku powinny opierać się na tak głębokiej ingerencji w prywatność użytkownika. Czy dziecko musi być, by korzystać z Internetu, identyfikowane niemal na równi z klientem banku? Czy cyfrowa ochrona dzieci nie prowadzi nas niepostrzeżenie w stronę systemowego nadzoru?
W realiach, w których granica między ochroną a kontrolą coraz bardziej się zaciera, odpowiedzi na te pytania nie są ani proste, ani jednoznaczne. Pewne jest jedno: przyszłość cyfrowej dorosłości pisana jest dziś przez algorytmy, akty i kamery selfie. A margines błędu może kosztować więcej, niż tylko utracony dostęp do treści.
