Weryfikacja wieku. Czy państwo dowie się o zwyczajach Polaków?

Od czasu wprowadzenia zakazu mediów społecznościowych dla dzieci w Australii, wiele krajów na świecie zdecydowało się na rozpoczęcie prac nad podobnymi regulacjami. W tym gronie znalazła się również Polska.

Jak informowaliśmy na naszych łamach, pod koniec lutego założenia projektu ustawy w tej sprawie przedstawili posłowie Koalicji Obywatelskiej. Do pilnowania dostępu miałaby służyć weryfikacja wieku zaproponowana w ramach unijnej regulacji eIDAS 2.0.

Weryfikacja wieku nie tylko przez EPTC

W czwartek 14 maja br. w Sejmie odbyło się posiedzenie połączonych komisji Cyfryzacji, Innowacyjności i Nowoczesnych Technologii oraz do spraw Dzieci i Młodzieży, poświęcone mechanizmom weryfikacji wieku w internecie.

Wiceminister cyfryzacji Dariusz Standerski w swoim wystąpieniu przypomniał, że wprowadzenie odpowiednich środków dla zapewnienia bezpieczeństwa i ochrony małoletnich nakazuje Akt o usługach cyfrowych (DSA), zaś rozwiązania techniczne mają zostać wprowadzone od grudnia za pośrednictwem rozporządzenia eIDAS 2.0.

„Mamy na stole dwie kategorie rozwiązań. Pierwsze rozwiązanie to Europejski Portfel Tożamości Cyfrowej (wprowadzony – red.) na podstawie rozporządzenia, które wejdzie w życie pod koniec tego roku i umożliwi wprowadzenie rozwiązań technicznych służących weryfikacji wieku. Drugie rozwiązanie to zestaw standardów zaprezentowany przez Komisję Europejską w poprzednim miesiącu jako tzw. aplikacja do weryfikacji. Te rozwiązania były również omawiane w gronie państw zainteresowanych tematem, liderzy państw potwierdzili, że są one potrzebne w Unii Europejskiej” – powiedział Standerski.

Wiceszef resortu cyfryzacji zaznaczył również dwie istotne kwestie związane z mechanizmami. Zaprezentowane przez KE rozwiązanie do weryfikacji nie jest aplikacją do ściągnięcia ze sklepu, tylko zestawem jednolitych standardów, które państwa członkowskie mogą wykorzystać do dostosowania swoich możliwości.

Dodatkowo, wszystkie formy weryfikacji wieku są dobrowolne, przez co wykorzystanie Europejskiego Portfela Tożsamości Cyfrowej (EPTC) nie będzie jedynym takim rozwiązaniem. Stąd też, według słów Standerskiego, rozwiązanie zaproponowane przez KE jest traktowane jako „wspierające”, zaś pozostałe formy weryfikacji wieku są rozwiązaniami krajowymi.

eIDAS zapewni prywatność „by design”

Szczegóły rozwiązań przedstawił dyrektor Rafał Sionkowski z Centralnego Ośrodka Informatyki. Wyjaśnił, że „naturalnym kierunkiem” była implementacja mechanizmu poświadczenia wieku w powstającej dużej aktualizacji do mObywatela, która ma być zgodna z eIDAS 2.0 i udostępniona pod koniec roku wszystkim zgodnie z planem. Uspokajał też pod kątem ochrony danych – rozporządzenie ma bowiem zapewniać prywatność by design.

„Samo eIDAS dość mocno zadbało o prywatność i ochronę danych użytkowników. Oprócz tego, że to my decydujemy, które dane przekazujemy, w jakim momencie do strony ufającej, to mamy pełną informację w swoim telefonie, gdzie te dane zostały przekazane. Będą też odpowiednie mechanizmy pozwalające zgłaszać na przykład nadużycia. Jeżeli będziemy widzieli, że jakiś podmiot żąda od nas nadmiarowych danych, będą też funkcje, które pozwolą w łatwy sposób nasze wątpliwości zgłosić do odpowiedniego organu” – podkreślił Sionkowski.

Według słów przedstawiciela COI, całość opiera się na czterech filarach:

• selektywnym ujawnianiu danych – to użytkownik decyduje, jakie dane chce ujawnić;
• minimalizacji danych – dzięki rejestrowi stron ufających liczba danych potrzebnych do załatwienia danej sprawy w podmiocie i mu przekazywana była minimalna;
• braku możliwości zlinkowania przekazanych danych przy anonimowości;
• świadomej zgodzie użytkownika w momencie przekazania danych.

COI będzie wiedziało, kto skorzystał z poświadczenia?

W części dyskusyjnej były minister cyfryzacji oraz poseł PiS Janusz Cieszyński zapytał, czy w COI na podstawie logów z aplikacji będzie możliwe ustalenie, kto i kiedy zdecydował się na skorzystanie z poświadczenia wieku.

Temat rozwinęła posłanka KO Kinga Gajewska, dopytując, czy możliwe jest zagwarantowanie, że dane przekazywane za pośrednictwem EPTC nie będą odnotowywane przez ministerstwo bądź służby, a także, że potwierdzenie wieku będzie mogło być wymagane jedynie przy rejestracji nowego konta.

Wiceminister Standerski wyjaśnił, że imię, nazwisko czy jakiekolwiek inne dane poza wiekiem nie są przekazywane.

„Jak dzisiaj mObywatelem potwierdzamy tożsamość, to pojawia się cała lista: imię, nazwisko, PESEL, data urodzenia, adres zamieszkania - i klikamy wyślij. A tutaj my zaznaczamy jakie informacje chcemy wysłać. W tym przypadku jest to informacja wiek powyżej 18 lat, ale to równie dobrze może być inna informacja, wiek powyżej 16 lat albo wiek poniżej 70 lat” – podkreślił wiceszef resortu cyfryzacji.

Dyrektor Sionkowski zaznaczył z kolei, że podczas wydawania poświadczenia wieku COI wie, kto je otrzymuje i na tym wiedza instytucji się kończy. Natomiast to, jak on jest wykorzystywany w różnych miejscach, nie jest już instytucji znane, ponieważ to relacja między telefonem oraz stroną odbierającą dane.

Co z osobami bez Androida czy mObywatela?

Z kolei poseł PiS Dariusz Stefaniuk oraz Katarzyna Szymielewicz, dyrektor Fundacji Panoptykon ds. strategii i rzecznictwa, zwrócili uwagę na możliwość weryfikacji wieku dla osób, które nie korzystają ze smartfonów w ogóle lub posiadają inne oprogramowanie niż Android lub iOS, albo nie korzystają z mObywatela.

Standerski przypomniał, że już stosowane lub omawiane rozwiązania nigdy nie są jednokierunkowe; oprócz EPTC, mowa również o aplikacji tylko do weryfikacji wieku, a także inne formy pozostające do decyzji ustawodawców, które jednak nie zapewnią prywatności na takim samym poziomie.

„Tak długo jak nie ma obowiązku posiadania jednej konkretnej aplikacji, a w żadnym demokratycznym państwie na świecie nie ma takiego obowiązku, tak długo nie może zostać wprowadzona tylko jedna forma weryfikacji wieku. I to jest przykład Australii, która jest w dużo gorszej sytuacji niż Polska pod względem technicznym, bo nie posiada Europejskiego Portfela Tożsamości Cyfrowej, ani aplikacji mObywatel, więc tam tych form równoważnych jest dużo” – zaznaczył wiceminister.

Weryfikacja wieku także na innych stronach?

Istotną sprawę podniosła również Dominika Bucholc z Kids Alert. Część platform, które nie są uznane za strony pornograficzne i nie są mediami społecznościowymi, teoretycznie nie podlegałaby pod nowe przepisy weryfikacji wieku.

Pojawia się zatem pytanie, czy Polska mogłaby nałożyć obowiązek poświadczenia na niektóre platformy tego rodzaju, jak np. Omegle, w związku z którą Kids Alert przekazał do Dyżurnetu 800 zgłoszeń o zdarzeniach pedofilskich.

Według słów Standerskiego, ustawodawca może określić jaka forma aplikacji i strony internetowej wymaga weryfikacji wieku. Bezsensowne byłoby natomiast publikowanie wykazu aplikacji stron zobowiązanych do weryfikacji wieku przez ministra cyfryzacji.

„Czegoś takiego (wykazu – red.) nie zrobimy, ale ustawodawca może określić, co wpisuje się w formę aplikacji lub strony, która wymaga weryfikacji wieku i może zdecydować, czy to ma być wielostronny interfejs służący do wymiany zdjęć, filmów, innych treści pomiędzy użytkownikami, czy to strona, która umożliwia udostępnianie wideo w czasie rzeczywistym dla nieokreślonej grupy użytkowników. To jest wszystko w granicach decyzji ustawodawcy i dzieląc się osobistą obserwacją uważam, że wokół tego będzie najtrudniejsza dyskusja, żeby określić ten zakres weryfikacji wieku” – odpowiedział wiceszef resortu cyfryzacji.