Weryfikacja wieku dzieci w social mediach? Nie ma skutecznego bezpiecznego sposobu

W kontekście globalnej debaty na temat weryfikacji wieku w Sieci dobra wiadomość jest taka, że UE generalnie udało się odejść od najbardziej bzdurnych i szkodliwych pomysłów, takich jak wysyłanie skanu dowodu czy weryfikacji na podstawie wideo. Rozwiązania takie nie dość, że są komicznie nieskuteczne – dzieci obchodzą je za pomocą tak zaawansowanych technik, jak sztuczne wąsy, czy makijaż – to jeszcze groteskowo niebezpieczne, prowadząc do ogromnych wycieków wrażliwych danych.

Zła wiadomość jest natomiast taka, że na dyskusje o weryfikacji wieku w internecie w ogóle dalej marnujemy czas i energię. Zamiast tego, powinniśmy dyskutować o odpowiedzialności wielkich platform za ich celowo toksyczne algorytmy i za szkody wyrządzane przez nie zarówno dzieciom, jak i osobom dorosłym.

Bardzo trudny problem

Z technicznego punktu widzenia weryfikacja wieku w internecie jest problemem bardzo trudnym: musi pozwolić skutecznie i wiarygodnie ustalić, czy konkretna osoba odwiedzająca daną stronę lub korzystająca z danej usługi jest starsza, niż wymagany minimalny wiek, ale zachowując jej prywatność, a więc nie udostępniając danemu operatorowi żadnych innych informacji. W tym, jaki dokładnie jest wiek tej osoby.

Rok temu, gdy ta dyskusja dopiero się rozkręcała, próbowałem naszkicować, jak można by myśleć o systemie weryfikacji wieku, który byłby skuteczny, a jednocześnie nie byłby kompletną katastrofą z punktu widzenia prywatności. Mimo mojego doświadczenia w obszarze prywatności i bezpieczeństwa informacji, szybko zostałem zderzony z wadami mojego hipotetycznego rozwiązania.

Podobnego zderzenia z rzeczywistością doświadczyła Komisja Europejska, która wypuściła niedawno aplikację mającą być podstawą systemu weryfikacji wieku online w Unii Europejskiej.

I to mimo tego, że proponowany przez Komisję Europejską system jest prawdopodobnie lepszy z punktu widzenia prywatności osób z niego korzystających, niż mój szkic. Z jednej strony nie powinno to oczywiście dziwić, biorąc pod uwagę dostępne zasoby; ale z drugiej – zasługuje na uznanie, bo większość propozycji systemów weryfikacji wieku pojawiających się ze strony instytucji rządowych na świecie jest po prostu horrendalnie zła.

Propozycja Komisji Europejskiej sprowadza się do aplikacji mobilnej, w której nasz wiek weryfikujemy raz w oparciu o kilka różnych metod. Ta zweryfikowana informacja o naszym wieku zostaje trwale zapisana w naszym urządzeniu mobilnym. Od tego momentu, gdy musimy zweryfikować nasz wiek na jakiejś stronie, skanujemy wyświetlony przez tę stronę kod QR w tej aplikacji, a aplikacja – w oparciu o zapisaną, zweryfikowaną informację o naszym wieku – udziela tej stronie odpowiedzi „tak” lub „nie”.

Nie wchodząc w szczegóły techniczne, jest to możliwe dzięki skomplikowanej matematyce i tak zwanym dowodom o wiedzy zerowej. Na tej podstawie możliwe jest stworzenie rozwiązania, które z jednej strony działa w pełni na naszym urządzeniu, a z drugiej pozwala stronom czy usługom objętym wymogiem weryfikacji wieku zaufać w uzyskaną od niego odpowiedź bez konieczności weryfikacji tej odpowiedzi przez jakąś centralną usługę.

Kto weryfikuje weryfikujących?

Kod źródłowy rozwiązania Komisji Europejskiej jest otwarty. To doskonała wiadomość: pozwala to niezależnym ekspertkom i ekspertom zweryfikować, czy ta aplikacja robi to, co jej twórcy twierdzą, że robi.

O ile dobrze rozumiem, plan polskiego rządu na weryfikację wieku polega na tym, by dokładnie tę funkcjonalność zaimplementować w mObywatelu. Tyle że kod mObywatela w pełni otwarty nie jest i najwyraźniej nie będzie. Mimo tego, że otwarty miał być i że Ministerstwo Cyfryzacji obiecywało, że otwarty będzie.

Mało tego, Ministerstwo Cyfryzacji nie zamierza podzielić się ekspertyzami, na bazie których podjęło decyzję o niepublikowaniu pełnego kodu mObywatela. A wypuszczenie wyłącznie części kodu źródłowego może być widziane jako pewna manipulacja – przecież jakiś kod został wypuszczony, więc gdzie problem?

To nie budzi zaufania do rozwiązania, gdy zaufanie jest absolutnie niezbędne. Kod źródłowy aplikacji mobilnej, która z mocy prawa będzie decydować, czy mamy dostęp do takich, czy innych stron internetowych, czy nie mamy tego dostępu, musi być w pełni publiczny i w pełni weryfikowalny.

I żeby było jasne, „takie czy inne strony” w tym wypadku to najwyraźniej między innymi wszystkie media społecznościowe. Cytując wiceministra cyfryzacji za linkowanym wcześniej artykułem Telepolis:

Kto może być zweryfikowany?

Zatrzymajmy się też na chwilę nad tym, że mowa o weryfikacji wieku za pomocą aplikacji mobilnej. Innymi słowy, tylko osoby korzystające ze smartfona wspieranego przez tę aplikację będą miały możliwość weryfikacji swojego wieku. Czy to oznacza, że dostęp do mediów społecznościowych i innych stron objętych obowiązkiem weryfikacji wieku będą miały wyłącznie osoby korzystające ze wspieranego smartfona?

Co ze smartfonami, które korzystają z niezależnie rozwijanych, dodatkowo zabezpieczonych i chroniących prywatność wersji Androida, jak GrapheneOS czy CalyxOS?

Wiele aplikacji bankowych nie oferuje na nich pełnej funkcjonalności z powodu (błędnego) utożsamiania bezpieczeństwa z pewnymi wbudowanymi funkcjami Androida dostępnymi wyłącznie na pobłogosławionych przez Google wersjach tego systemu. Czy weryfikacja wieku będzie na tych systemach dostępna?

Przez długie lata byłem bardzo zadowolonym użytkownikiem smartfonu Jolla, który nie miał ani Androida, ani iOSa. Nie istnieje wersja mObywatela na używany na Jolli, europejski (co przecież ważne w kontekście debaty o suwerenności technologicznej) system SailfishOS. Nie ma też wersji na wiele innych mobilnych systemów operacyjnych (a jest ich sporo – jak Ubuntu Touch czy PostmarketOS), które nie są kontrolowane przez duopol Google i Apple i korzystają z innego formatu aplikacji mobilnych.

Czy Ministerstwo Cyfryzacji zamierza przygotować wersje mObywatela na wszystkie te systemy? Czy też traktować będzie osoby z nich korzystające jako „użytkowników gorszego sortu”, którzy nie będą mieli dostępu do weryfikacji wieku, a co za tym idzie – w ogóle do mediów społecznościowych? Tym samym wzmacniając duopol dwóch amerykańskich gigantów technologicznych w momencie, w którym ten duopol raczej należałoby zwalczać…

Jak będzie wyglądała weryfikacja wieku dla osób niekorzystających ze smartfona wcale? Czy korzystanie ze smartfona będzie wymogiem koniecznym do tego, by móc korzystać z weryfikacji wieku – a co za tym idzie w ogóle z mediów społecznościowych? Porzucenie smartfonów na rzecz prostszych telefonów nie musi być oznaką wykluczenia cyfrowego, może być świadomą decyzją technologiczną – sam to rozważałem.

Weryfikacja wieku dotyczy nie tylko dzieci

Trzeba też podkreślić coś, co powinno być na tym etapie oczywiste: weryfikacja wieku dotyczy absolutnie każdej osoby korzystającej z internetu, od dziecka po seniora. Musi dotyczyć każdej osoby, bo dopóki wiek nie zostanie zweryfikowany, nie wiadomo, czy mamy do czynienia z dzieckiem, czy z seniorem.

Raz wprowadzony, taki system będzie obowiązkowy dla każdej osoby chcącej skorzystać z dowolnej strony czy usługi objętej tym wymogiem, niezależnie od jej wieku.

A zbiór ten będzie się przecież zmieniał, raczej na pewno tylko się powiększając. Strony pornograficzne i media społecznościowe teraz, internetowe sklepy z alkoholem chwilę później, kto wie co dalej? Może jak w Wielkiej Brytanii – strony internetowe z autentycznie ratującymi życie nastolatków i nastolatek informacjami dla osób LGBTQIA+.

Symptomatyczne, że w kontekście weryfikacji wieku pojawia się tylko temat „ochrony dzieci”. To oczywiście stara zagrywka, od razu emocjonalnie ustawiająca debatę, wprowadzająca ostry podział na „tych dobrych obrońców dzieci” i „tych złych, co dzieci nie chcą chronić”, na dzień dobry utrudniająca spokojną, merytoryczną rozmowę. I na tyle wyświechtana, że ma nawet własną stronę na Wikipedii.

Ale ciekawa jest jeszcze jedna rzecz: przecież z powodu szkodliwych algorytmów cierpią nie tylko dzieci. Na przykład seniorzy wystawieni są przez Metę na żer przez targetowane reklamy prowadzące do zwyczajnych szwindli. Tylko na promowaniu takich przekrętów właśnie do seniorów firma zarabia miliony. Jakoś jednak nikt nie domaga się zadbania o bezpieczeństwo seniorów poprzez zablokowanie możliwości korzystania z mediów społecznościowych osobom po 70. roku życia.

Bez emocjonalnego ładunku „argumentu z dzieci” taki pomysł brzmiałby przecież absurdalnie.

Kto weryfikuje obietnice?

Z czasem zmieniać się też będzie sam system i jego implementacja w formie aplikacji. Składane dziś obietnice dotyczące tego, jak działa, jakie dane są przetwarzane i w jaki sposób, są tylko obietnicami – które mogą zostać zignorowane lub zmanipulowane tak samo, jak zignorowana i zmanipulowana okazała się obietnica udostępnienia pełnego kodu źródłowego mObywatela (który ma przecież implementować weryfikację wieku).

Skoro ta weryfikacja będzie obowiązkowa, łatwo z systemu weryfikacji wieku zrobić stary dobry Rejestr Stron i Usług Niedozwolonych. Wystarczy, by do aplikacji dodać – poprzez obowiązkową aktualizację – listę stron i usług, dla których weryfikacja przestanie działać, mimo że jest wymagana. Z punktu widzenia osoby korzystającej mogłoby to wyglądać jak zwyczajny błąd.

Naciągana teoria spiskowa? Być może. Ale przecież Ministerstwo Cyfryzacji już raz nas wystawiło do wiatru w kontekście tej aplikacji, czemu miałoby tego nie zrobić ponownie? Nie mówiąc już o tym, że nie wiemy, kto będzie ministrem cyfryzacji za dwa lata lub lat pięć. Raz wdrożony system blokowania dostępu do stron internetowych na bazie takich czy innych kryteriów (w tym wypadku wieku) zostanie wcześniej czy później rozszerzony – a niewykluczone, że i nadużyty.

Niebezpieczne związki

Załóżmy jednak, że Ministerstwo Cyfryzacji zaimplementuje ten system poprawnie, spełni wszystkie swoje obietnice, i opublikuje nawet pełny kod mObywatela (pomarzyć dobra rzecz!), by nas przekonać, że systemowi można zaufać. I załóżmy, że ten system działa tak, jak to Komisja Europejska przedstawia: raz weryfikujemy swój wiek wobec aplikacji, efekt tej weryfikacji jest w niej bezpiecznie zapisany na naszym urządzeniu i na jego bazie za pomocą dowodów o wiedzy zerowej aplikacja weryfikuje nasz wiek na stronach, które takiej weryfikacji wymagają, udostępniając danej stronie wyłącznie odpowiedź „tak” lub „nie” w kontekście konkretnego wymogu dotyczącego naszego wieku.

Jeśli chcemy wejść na stronę na laptopie, musimy zweryfikować nasz wiek za pomocą aplikacji na smartfonie. W porządku, skanujemy kod, aplikacja weryfikuje nasz wiek…

…i w tym momencie operator danej strony (na przykład powiedzmy firma Meta) może powiązać nasze dwa zupełnie różne urządzenia, i związane z nimi profile reklamowe stworzone na bazie naszych danych, nawet jeśli żadne zebrane wcześniej dane nie powiązały tych dwóch profili. I to nawet jeśli laptop korzysta z WiFi, a smartfon z połączenia mobilnego, a więc zewnętrzne adresy IP są różne. Dlaczego?

Bo kod QR pobraliśmy na laptopie, gdy próbowaliśmy na stronę wejść, a zapytanie zawierające weryfikację naszego wieku – powiązaną przecież z tym właśnie kodem QR – wysłane zostało z aplikacji na naszym smartfonie. Dwa zapytania z dwóch urządzeń jednoznacznie powiązane dzięki systemowi weryfikacji wieku.

Albo inny scenariusz. Kod QR to obrazek. Nic nie stoi na przeszkodzie, by osoba weryfikowana skopiowała taki obrazek (lub zrobiła jego zdjęcie urządzeniem) i wysłała do jakiejś „życzliwej” osoby dorosłej, która go zeskanuje swoją aplikacją, weryfikując wiek nie dla siebie. To cyfrowy odpowiednik poproszenia przez nastolatka starszej osoby o kupienie butelki wódki. I choć można się zastanowić nad jakimiś dodatkowymi zabezpieczeniami, to bardzo trudno będzie je zaprojektować tak, by weryfikowanie wieku dla kogoś innego kompletnie uniemożliwić.

Przecież w sytuacji, w której kod wyświetlony na laptopie skanujemy urządzeniem mobilnym, nie ma żadnej gwarancji, że osoba korzystająca z laptopa i właściciel urządzenia mobilnego to ta sama osoba…

Nie ma weryfikacji wieku bez filtrowania Internetu

By weryfikacja wieku była skuteczna, nie może być jej łatwo obejść. Jeśli dość łatwo jest stworzyć usługę jej obchodzenia (na przykład dedykowaną do wklejania swoich i weryfikowania cudzych kodów QR), to takie usługi muszą być jakoś zwalczane. Zwalczanie losowych stron internetowych hostowanych poza UE i utrzymywanych przez podmioty spoza UE, nie jest łatwe.

Kary finansowe działają w kontekście dużych podmiotów zarabiających legalnie. Raczej się nie imają małych firm-krzaków tworzących z jednej sztampy tysiące stron z tą samą nielegalną usługą.

I tak dochodzimy do zasadniczego wniosku: skutecznej weryfikacji wieku nie uda się wprowadzić bez wprowadzenia filtrowania internetu na poziomie kraju lub Unii Europejskiej. I nie chodzi tu tylko o blokowanie jakichś wymyślnych usług celowo pomagających weryfikację wieku obchodzić – ale również po prostu usług, które są objęte weryfikacją wieku, ale są utrzymywane przez podmioty spoza UE.

Co z tego, że PornHub wdroży weryfikację wieku przez mObywatela, jak mniejszych stron pornograficznych spoza UE są nieprzebrane rzesze?

Nie ma filtrowania internetu bez kontroli aplikacji

Dodajmy, że zarówno PornHub, jak i Facebook, mają adresy w sieci Tor. Podobnie jak mnóstwo innych stron i usług. A nawet te, które takiego adresu nie mają, są i tak zwykle dostępne przez sieć Tor.

Sieć Tor została stworzona między innymi po to, by obchodzić filtrowanie internetu i anonimizować nasz ruch w sieci. I jest w tym naprawdę dobra. Stała się narzędziem absolutnie kluczowym dla dziennikarek i aktywistów, zwłaszcza w miejscach, gdzie Internet jest blokowany i nadzorowany.

Jeśli weryfikacja wieku miałaby być skuteczna, polskie państwo (i Unia Europejska) musiałyby znaleźć sposób, by uniemożliwić korzystanie z Tora w ogóle. Przecież nie wszystkie osoby na całym świecie korzystające z (na przykład) Facebooka będą objęte weryfikacją wieku. Mało tego, zdecydowana większość z nich mieszka poza UE i nawet nie będzie miała możliwości skorzystania z mObywatela czy innych aplikacji opartych o system Komisji Europejskiej.

Facebook będzie zatem decydował, czy nas weryfikuje, czy nie, m.in. na podstawie tego, skąd się z nim łączymy. A Tor pozwala nam łączyć się skądkolwiek, potencjalnie obchodząc weryfikację wieku.

Podobnie zresztą ze znacznie mniej wysublimowanymi narzędziami: VPN-ami. Unia Europejska musiałaby dołączyć do elitarnego klubu, w skład którego wchodzą na przykład Rosji czy Chiny, i zmusić operatorów sklepów z aplikacjami do usunięcia z nich VPN-ów, lub udostępnić je wyłącznie użytkownikom i użytkowniczkom, których wiek został zweryfikowany.

Ten problem z weryfikacją wieku ostatnio odkrył też rząd Zjednoczonego Królestwa.

Nie ma kontroli aplikacji bez zamkniętych systemów operacyjnych

Tyle że istnieją przecież niezależne katalogi z aplikacjami, jak F-Droid (polecam gorąco). Dopóki można je instalować na naszych smartfonach, można z nich instalować aplikacje niedostępne w tych oficjalnych sklepach.

A więc i F-Droida trzeba zakazać. Tyle że jak to zrobić na systemach operacyjnych, które nie są kontrolowane przez wielkie firmy technologiczne? Czy to jest odpowiedź na wcześniejsze pytanie o mObywatela na niezależnych systemach operacyjnych – wystarczy po prostu zakazać również ich?

I co z laptopami? Czy Ministerstwo Cyfryzacji zamierza próbować wymusić na wszystkich systemach operacyjnych – w tym niezależnych, jak różne dystrybucje Linuksa – by nie było możliwe instalowanie na nich VPN-ów i Tora, lub by system w jakiś sposób weryfikował wiek osoby z niego korzystającej?

To zwyczajnie się nie uda w kontekście otwartych systemów operacyjnych, nad którymi ich użytkowniczki i użytkownicy mają znacznie większą kontrolę. Czy zatem jedynymi dopuszczalnymi systemami operacyjnymi w UE stanie się Windows i macOS? Co z kolejnymi instytucjami, które na Linuksa migrują?

Zgrana płyta

Problemów z pomysłami filtrowania internetu oczywiście jest znacznie więcej, ale to debata, która przetoczyła się przez Polskę wielokrotnie na przestrzeni kilku ostatnich dekad, więc nie będę tych wszystkich problemów powtarzał. Dość powiedzieć, że pamiętam niezliczone godziny spotkań i konsultacji społecznych w kontekście Rejestru Stron i Usług Niedozwolonych. Wydawało mi się nawet, że jakieś bardziej długoterminowe wnioski udało się z nich polskiej administracji wyciągnąć.

To było trzynaście lat temu. Zamiast dziś wałkować to wszystko od nowa, tym razem pod pretekstem weryfikacji wieku – która nie będzie skuteczna bez filtrowania internetu – może lepiej zastanowić się, jaki dokładnie problem próbujemy rozwiązać, i dobrać odpowiednie rozwiązanie.

Jeśli wziąć za dobrą monetę twierdzenia o tym, że weryfikacja wieku jest niezbędna ze względu na faktycznie szkodliwy wpływ mediów społecznościowych na dzieci i młodzież, to właściwe pytanie zdała Joanna Cisowska w OKO.press:

Zamiast blokować dostęp dzieci do toksycznych platform, powinniśmy się skupić na tym, by te platformy nie były toksyczne. To, że są toksyczne, nie jest przecież przypadkowe.

Jest świadomą, celową decyzją ich operatorów. Taka decyzja nie jest konieczna dla świadczenia podobnych usług. Facebook kiedyś nie był aż tak toksyczny i szkodliwy. Niezależne społecznościówki takie, jak Fediverse, są nieporównywalnie mniej toksyczne, bo ich twórcy i operatorzy świadomie podejmują inne decyzje technologiczne.

Usługi Mety toksyczne są, dlatego, że dzięki temu Mark Zuckerberg więcej zarabia. A my znów debatujemy o filtrowaniu internetu, zamiast o rozwiązaniu problemu u jego źródła.