Mateusz Kupiec: Są sposoby na weryfikację wieku użytkowników internetu
Weryfikacja wieku to jeden z kluczowych problemów dla regulacji mających chronić dzieci przed szkodliwymi treściami w internecie – twierdzi Mateusz Kupiec, associate w kancelarii Traple Konarski Podrecki i Wspólnicy, asystent badawczy w Instytucie Nauk Prawnych PAN. I wskazuje, że w grę może wchodzić potwierdzanie pełnoletności za pośrednictwem otwartej bankowości, weryfikacja dokumentu tożsamości ze zdjęciem, ocena wieku na podstawie cech twarzy, weryfikacja przez operatorów sieci komórkowych, wykorzystanie kart płatniczych oraz portfele tożsamości cyfrowej.
Krzysztof Sobczak: Wciąż trwa dyskusja o ustawie, która ma chronić małoletnich przed dostępem do treści szkodliwych w internecie. Czy zgodzi się Pan z oceną, że jednym z największych problemów do rozwiązania jest sprawa weryfikacji wieku osób korzystających z takich przekazów?
Mateusz Kupiec: Jako uczestnik w prac grupy eksperckiej Ministerstwa Cyfryzacji, przygotowującej pierwotne założenia tej ustawy mogę potwierdzić, że to rzeczywiście jedno z kluczowych wyzwań w walce z tym zjawiskiem. Ministerstwo Cyfryzacji proponuje w projekcie ustawy ochronie małoletnich przed dostępem do treści pornograficznych w internecie, aby „weryfikacja wieku została zdefiniowana jako „mechanizm mający na celu jednoznaczne ustalenie pełnoletności usługobiorców, z wyłączeniem metod samodzielnej deklaracji wieku, metod polegających na szacowaniu wieku oraz metod biometrycznych”. Projektodawca jednoznacznie wyklucza więc zarówno oświadczenia użytkownika, jak i rozwiązania oparte na analizie wizerunku czy danych biometrycznych. Jednocześnie na przedsiębiorców nakłada bardzo rozbudowany katalog wymogów technicznych, organizacyjnych i prawnych dotyczących stosowanych mechanizmów.
Czytaj: Tak ministerstwo chce chronić małoletnich przed pornografią w internecie>>
Brak definicji może osłabić ochronę dzieci przed pornografią>>
W debacie nad tym projektem wszyscy stwierdzają, że sama deklaracja użytkownika to za mało, że trzeba wprowadzić jakiś inny mechanizm. Ale nie słychać, co to miałoby być. Jest na to jakiś pomysł, czy będziemy zaklinać rzeczywistość pokrzykując: zróbcie coś z tym?
Warto jednak podkreślić, że nie jest tak, iż projektodawca całkowicie unika wskazywania możliwych rozwiązań technologicznych. W uzasadnieniu projektu Ministerstwo Cyfryzacji odwołuje się m.in. do doświadczeń zagranicznych, w szczególności do wytycznych brytyjskiego regulatora Ofcom, który w ramach swoich kompetencji nadzorczych wskazuje niewyczerpującą listę metod weryfikacji wieku uznawanych obecnie za skuteczne, rzetelne i wiarygodne z perspektywy ochrony małoletnich. Wśród tych rozwiązań wymienia się m.in.: potwierdzanie pełnoletności za pośrednictwem otwartej bankowości (bez przekazywania daty urodzenia), weryfikację dokumentu tożsamości ze zdjęciem połączoną z potwierdzeniem wizerunku użytkownika, ocenę wieku na podstawie cech twarzy, weryfikację przez operatorów sieci komórkowych, wykorzystanie kart płatniczych oraz portfele tożsamości cyfrowej.
Czytaj też w LEX: Europejski portfel tożsamości cyfrowej >
Wiek to data urodzenia, a więc dane wrażliwe. Jest więc opór przeciwko ewentualnemu wykorzystaniu tego sposobu weryfikacji.
Uzasadnienie projektu ustawy wyraźnie wskazuje, że usługodawcy nie powinni ustalać dokładnego wieku użytkownika – wystarczające jest potwierdzenie, czy dana osoba spełnia określony próg wiekowy, w szczególności czy jest pełnoletnia. W praktyce oznacza to, że usługodawca potrzebuje jedynie informacji, czy użytkownik znajduje się powyżej lub poniżej danej granicy wieku, bez poznawania jego daty urodzenia. Takie rozwiązanie może funkcjonować np. w modelu tokenowym z udziałem zaufanego podmiotu trzeciego, w którym dostawca usługi weryfikującej wiek otrzymuje wyłącznie wynik weryfikacji (np. „18+” lub „poniżej 18 lat”), bez dostępu do innych danych osobowych.
Czytaj: Powstanie rejestr porno, dostawcy internetu zablokują strony. Jest projekt ustawy>>
A co z wykorzystaniem technik biometrycznych. Wspomniał Pan o szacowaniu wieku na podstawie cech twarzy.
To jest jedna z możliwości, ale nasz projektodawca za niewystarczające uznaje metody szacowania wieku oraz metody oparte wyłącznie na biometrii – jako rozwiązania zawodne, często wymagające przetwarzania danych biometrycznych lub dodatkowych informacji o aktywności użytkownika w sieci. Z tego względu metody biometryczne oraz metody szacowania wieku zostały wprost wyłączone z projektowanej ustawy. W tym miejscu warto doprecyzować pojęcia: weryfikacja wieku polega na potwierdzeniu atrybutu wieku na podstawie informacji pochodzącej z wiarygodnego, autorytatywnego źródła, np. dokumentu tożsamości lub danych z rejestru publicznego, natomiast szacowanie wieku polega na „przewidywaniu” wieku na podstawie cech lub zachowań danej osoby - np. analizy twarzy, głosu czy sposobu posługiwania się językiem w interakcjach online. Innymi słowy, szacowanie wieku nie ustala wieku w sposób kategoryczny, lecz generuje wynik oparty na prawdopodobieństwie (z nieuniknionym marginesem błędu). Z tą oceną należy się co do zasady zgodzić. Systemy szacowania wieku w praktyce opierają się najczęściej na algorytmicznym „zgadywaniu” wieku użytkownika, co wiąże się z istotnym ryzykiem pomyłek. Co więcej, badania wskazują na ich nierówną skuteczność wobec różnych grup demograficznych – w szczególności osób transpłciowych oraz osób o różnym pochodzeniu rasowym – co powoduje dodatkowo ryzyko dyskryminacji.
Czytaj też w LEX: Zjawisko sharentingu jako źródło refleksji nad zakresem władzy rodzicielskiej a koniecznością ochrony wizerunku dziecka >
Czy można zakładać, że propozycje dyskutowane obecnie na forum Unii Europejskiej mogą dostarczyć rozwiązań wychodzących naprzeciw autorom takich regulacji, jak ustawa przygotowywana w Polsce?
Na tym tle szczególne znaczenie przypisywane jest inicjatywie Unii Europejskiej związanej z European Union Digital Identity Wallet (EUDI Wallet). Nowe ramy prawne UE zakładają stworzenie interoperacyjnego portfela tożsamości cyfrowej dostępnego dla wszystkich obywateli i rezydentów UE najpóźniej do listopada 2026 r. Zainteresowani usługodawcy będą mogli wbudować obsługę portfela w swoje systemy i – po spełnieniu wspólnych specyfikacji technicznych – aktywnie żądać z niego określonych poświadczeń, w tym informacji dotyczących wieku. Jednym z kluczowych zastosowań EUDI Wallet jest weryfikacja wieku w oparciu o poświadczenia atrybutów, w tym atrybut pełnoletniości. Użytkownik uzyskuje od zaufanego organu publicznego poświadczenie wieku przechowywane w portfelu, a przy próbie dostępu do usługi objętej ograniczeniem wiekowym usługodawca kieruje do portfela standardowe żądanie weryfikacji. Portfel informuje użytkownika o tożsamości podmiotu weryfikującego oraz wymaganym progu wieku (np. 18+), a po świadomej zgodzie generuje kryptograficzny dowód potwierdzający spełnienie tego warunku. Usługodawca weryfikuje wynik i na tej podstawie przyznaje lub odmawia dostępu. Jednocześnie EUDI Wallet nie powinien być traktowany jako „święty Graal” weryfikacji wieku w internecie. Europejski Inspektor Ochrony Danych zwraca uwagę, że portfele tożsamości cyfrowej skupiają w jednym narzędziu wiele poświadczeń wykorzystywanych przy różnych usługach – od pełnej identyfikacji po potwierdzanie pojedynczych atrybutów, takich jak spełnienie kryterium wieku – co przy niewłaściwym zaprojektowaniu systemu może prowadzić do ujawniania szerszego zakresu danych niż jest to konieczne. Jeżeli kolejne przypadki weryfikacji wieku będą możliwe do powiązania pomiędzy różnymi serwisami lub usługami, powstaje realne ryzyko monitorowania aktywności użytkowników i budowania profili ich zachowań w internecie.
Czytaj też w LEX: Aspekty ochrony dzieci przed dostępem do treści szkodliwych w Internecie na przykładzie ustaw Chin, Stanów Zjednoczonych i Australii >
Jeśli takie rozwiązania będą wykorzystywane, to weryfikacją wieku użytkowników internetu zajmować się będą raczej automaty niż ludzie. Trzeba się z wynikającymi z tego zagrożeniami?
Rzeczywiście istotnym, a jednocześnie stosunkowo rzadko podnoszonym w publicznej dyskusji problemem jest ryzyko związane z automatyzacją procesu weryfikacji wieku. W praktyce w niektórych przypadkach samo ustalenie wieku w środowisku cyfrowym i na jego podstawie decyzja o odmowie lub przyznaniu dostępu do danej usługi może mieć charakter w pełni zautomatyzowanego podejmowania decyzji w rozumieniu RODO. Takie rozstrzygnięcia mogą wywoływać skutki prawne lub w podobny sposób istotnie wpływać na osoby, w szczególności w zakresie korzystania z wolności wypowiedzi czy dostępu do legalnych treści. Z tego względu kluczowe znaczenie ma zapewnienie skutecznych mechanizmów ochronnych, w tym środków odwoławczych oraz realnej możliwości ponownego ustalenia wieku przez człowieka w przypadku błędnej decyzji systemu. Warto przy tym pamiętać, że to, jakie mechanizmy weryfikacji wieku ustawodawca i organy nadzorcze uznają w praktyce za „skuteczne”, będzie miało znaczenie nie tylko dla dostępu do treści pornograficznych. Standard ten może w przyszłości oddziaływać również na inne obszary internetu, w tym na media społecznościowe, jeżeli – zgodnie z coraz częściej pojawiającymi się zapowiedziami – w Polsce zostaną wprowadzone ograniczenia wiekowe w dostępie do mediów społecznościowych.
Czytaj też w LEX: Atrybut w europejskim portfelu tożsamości cyfrowej jako element praktyki bankowej >
