CYBERMAGAZYN
#CyberMagazyn: Ochrona dzieci w internecie a prywatność. Wciąż wiele do zrobienia
Kiedy mówimy o ochronie dzieci w internecie, najczęściej mamy na myśli szkodliwe treści. Coraz mniej uwagi natomiast poświęcamy prywatności nieletnich i ochronie ich danych, spychając je na margines. Tymczasem, kwestie te wymagają głośnej debaty.
Rozporządzenie o Ochronie Danych Osobowych (RODO) nazywane jest często regulacją, której celem było oddanie prywatności w ręce użytkowników i sprawienie, że wszystkie osoby korzystające z usług cyfrowych zyskają instrumenty do walki o swoje prawa, w tym, o to, aby informacje o nas nie były wykorzystywane na potrzeby reklamy profilowanej, dzięki systemowi zgód.
RODO miało dostosować przepisy ochrony danych osobowych do realiów szybkiego rozwoju gospodarki cyfrowej, a w szczególności - modeli biznesowych opartych o przetwarzanie danych na potrzeby reklamy cyfrowej. Regulacje te uwzględniają, że z usług takich jak media społecznościowe czy platformy do gier lub konsumpcji treści rozrywkowych korzystają - oprócz osób pełnoletnich - również dzieci.
Regulamin Facebooka, Instagrama, a także większości innych platform społecznościowych informuje, że zgodnie z zasadami tych firm, konta w ich usługach mogą rejestrować już osoby w wieku 13 lat - a zatem w ich przypadku mamy do czynienia z samodzielną decyzją o tym, że zaczynamy przekazywać dane osobowe spółkom obsługującym platformy online oraz szeregowi ich partnerów.
Zgoda, ale jaka?
Tymczasem, w myśl samego RODO zgodne z unijnymi przepisami jest przetwarzanie danych osobowych ludzi, którzy ukończyli 16 rok życia i wyrazili zgodę na tego rodzaju czynność. Wszyscy młodsi użytkownicy muszą uzyskać zgodę rodzica lub opiekuna - jednak, jak wygląda w praktyce pozyskiwanie takich zgód, wszyscy wiemy. W praktyce weryfikacja wieku nie istnieje. To problem, do którego jeszcze w tym tekście wrócimy, bo to właśnie on obecnie otwiera całkowicie nowy horyzont ryzyka dla prywatności.
W kwestii wymogu wieku 16 lat jako podstawowego dla możliwości podejmowania samodzielnej decyzji odnośnie przetwarzania danych jest jeszcze jeden haczyk: każde państwo członkowskie UE może samodzielnie obniżyć ten próg, jednak do maksymalnie 13 lat. W Polsce nie skorzystano z takiej możliwości, chociaż początkowo był taki plan, zatem przepisy RODO stosujemy bezpośrednio.
Ważność zgody
Problem z przepisami RODO polega na tym, że w jego treści nie ma wymienionego konkretnego sposobu, w jaki powinno się sprawdzać, czy zgoda wyrażona na przetwarzanie danych dziecka jest ważna prawnie.
Kwestię tę powinien za każdym razem ocenić dostawca usług cyfrowych - czyli np. koncern Meta, który dostarcza nam Instagram, a dziecko może się na nim zarejestrować nawet mając 10 lat, pod warunkiem, że skłamie zaznaczając kwadracik przy pytaniu o to, czy ma ukończone lat 13. Niech pierwszy rzuci kamieniem, kto nigdy sam nie oszukiwał usług cyfrowych i nie wchodził na strony dostępne tylko dla osób pełnoletnich (niekoniecznie takie, jak nasuwają w tym momencie pierwsze skojarzenia).
Skoro nikt nie weryfikuje ważności zgody, a administrator danych przeważnie ma tę kwestię daleko poza pierwszą dziesiątką na bardzo długiej liście priorytetów, mamy do czynienia z sytuacją, kiedy mechanizm weryfikacji wieku w praktyce nie działa - znakomicie za to spisuje się mechanizm kuszenia nowych użytkowników do korzystania z usług, które pobierają całe mnóstwo danych na nasz temat.
Dzieci najczęściej są osobami nieświadomymi zagrożeń wynikających np. z profilowania na potrzeby marketingu ukierunkowanego, jak i innych rodzajów ryzyka dla prywatności, takich, jak np. te, o których pisaliśmy na łamach naszego serwisu w kontekście przetwarzania zdjęć czy próbek głosu.
Jak to jest gdzie indziej?
W Stanach Zjednoczonych, które są antywzorem w kwestiach ochrony prywatności i danych użytkowników usług cyfrowych, prywatność dzieci akurat została potraktowana poważnie i to już wiele lat temu.
Children's Online Privacy Protection Act - COPPA - to kompleksowa regulacja obowiązująca na poziomie federalnym, która weszła w życie dosłownie na sekundę przed eksplozją popularności internetu i konsumenckich usług online, 21 kwietnia 2000 r.
Głównym celem regulacji jest ochrona danych osobowych i prywatności dzieci korzystających z usług cyfrowych, szczególnie zaś tych, które nie skończyły 13 roku życia. Każda usługa internetowa i strona, które gromadzą i przetwarzają dane osobowe dzieci w wieku poniżej 13 lat, musi informować o tym, co dzieje się z tymi danymi i jak są przetwarzane.
To właśnie z COPPA wynika ograniczenie wiekowe przy korzystaniu z mediów społecznościowych i innych usług do minimalnego wieku 13 roku życia - dla wielu firm wdrożenie rozwiązań pozwalających na zgodną z amerykańskim prawem weryfikację wieku osób poniżej tego progu byłoby bardzo kosztowne i wymagałoby znacznie bardziej proaktywnego nastawienia, niż to ma miejsce obecnie.
Przed czym chroni COPPA?
Na przykład przed praktykami takimi, jakie stosowała firma inMobi, w roku 2016 ukarana grzywną w wysokości 950 tys. dolarów za śledzenie danych geolokalizacyjnych, w tym dzieci poniżej 13 roku życia, bez ich wiedzy i zgody. Firma gromadziła dane pomimo wyboru restrykcyjnych ustawień prywatności na smartfonach.
W 2019 r. karę za naruszanie przepisów tej ustawy dostał TikTok - ByteDance musiało zapłacić 5,7 mln dolarów w czasie, kiedy aplikacja nazywała się jeszcze Musical.ly. Po orzeczeniu wprowadzono specjalny „tryb dla dzieci" .
W tym samym roku ukarany został należący do Google'a serwis YouTube, który musiał zapłacić 170 mln dolarów - za śledzenie historii przeglądanych przez dzieci filmów po to, aby na tej podstawie kierować do nich reklamę targetowaną.
W tym miesiącu pisaliśmy na naszych łamach o grzywnie dla Amazona i Microsoftu - w związku z naruszaniem prywatności dzieci.
Można zatem uznać, że przepisy działają - mimo tego, że są dość stare, Federalna Komisja Handlu, czyli organ odpowiedzialny za czuwanie nad przestrzeganiem tych regulacji, ma jeszcze na swoich barkach bardzo dużo innych obowiązków.
Kontrowersje wokół weryfikacji wieku
Rok 2022 i 2023 to czas, kiedy w USA ponownie wybuchła wielka debata na temat tego, jak skutecznie weryfikować wiek użytkowników. Nie chodzi wyłącznie o zagrożenia dla prywatności, ale przede wszystkim - o dostęp do treści, których nieletni nie powinni oglądać.
Wprowadzenie skutecznych z punktu widzenia technicznego mechanizmów weryfikacji wieku wiąże się jednak z perspektywą obniżenia ochrony prywatności dzieci, co nie wydaje się szczególnie do pomyślenia w czasie, kiedy model reklamy opartej na danych osobowych jest relatywnie niewinną rzeczą w internecie.
Debata toczy się również w Wielkiej Brytanii, a propozycje prawne, które „są na stole" również w USA, obejmują m.in. wprowadzenie wymogu weryfikacji oficjalnego dokumentu potwierdzającego wiek, lub skorzystanie z usług pośrednika mającego weryfikować wiek w imieniu dostawcy usługi.
Niektóre rozwiązania - w szczególności te eksperymentalne - chcą wykorzystywać do weryfikacji wieku technologię rozpoznawania twarzy, co budzi szczególne kontrowersje. Miałaby ona odbywać się na podstawie zdjęcia z kamery telefonu - algorytm następnie musiałby rozpoznać, czy użytkownik jest poniżej wymaganego progu wiekowego. Z technologii takich korzystają już teraz Facebook i Instagram .
Francja proponuje, aby weryfikacji dokonywać na podstawie analizy historii aktywności w internecie (z inicjatywą taką wyszedł francuski organ ochrony danych - CNIL).
Wszystkie te propozycje jednak mają swoje wady i wszystkie prowadzą do zmniejszenia prywatności użytkowników. Mogą działać nieprawidłowo, mogą klasyfikować jako nie spełniające wymogów te osoby, które cechują np. drobne lub łagodne rysy twarzy, słowem - mogą dyskryminować. Wszystko zależy od algorytmu i tego, na jakich danych będzie on wytrenowany.
Skanowanie historii aktywności w sieci budzi przy tym szczególny niepokój - bo obejmuje nie tylko gromadzenie danych o historii wyszukiwania, czy komentarzy lub stron, na które wchodzimy, ale także poddanie tych danych analizie.
Francja ma jednak jeszcze jeden pomysł, który pojawił się w debacie nad dostępem do pornografii online - to token, który miałby weryfikować wiek z udziałem zewnętrznego pośrednika takiego jak bank, w którym mamy konto, lub np. dostawcy usług łączności. Kiedy pośrednik zaakceptowałby prośbę o dostęp do treści dla dorosłych wysyłaną przez token, ten by się odblokowywał. W ramach projektu określono, że pośrednik wiedziałby jedynie, że prowadzona jest weryfikacja - ale nie miałby szansy podejrzeć, czy np. chcemy obejrzeć pornografię, czy wejść do sklepu online z używkami.
Jak jest w Polsce?
W naszym kraju projekt ustawy zakładającej wprowadzenie mechanizmu pozwalającego na blokowanie dostępu do treści nie przeznaczonych dla dzieci zaproponowało Ministerstwo Cyfryzacji. Pisaliśmy o tym m.in. tutaj .
Obowiązek dostarczania narzędzia do tego spoczywałby na operatorach łączności i usługodawcach umożliwiających korzystanie z internetu, ale jego użycie zależy od rodziców. Narzędzie miałoby być bezpłatne, a korzystanie z niego - dobrowolne.
Wysłaliśmy do MC pytania o kwestie związane z ochroną prywatności dzieci przed innymi zagrożeniami - tymi dotyczącymi prywatności i ryzyka wypływającego z coraz bardziej opartego na danych modelu gospodarki cyfrowej.
Do czasu publikacji tego tekstu nie dostaliśmy odpowiedzi.
Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na:[email protected].
