Сервис онлайн-чата Discord объявил о начале тестирования проверки возраста для некоторых пользователей, присоединившись к растущему списку платформ, пытающихся определить, кто на самом деле находится за экраном.

Этот шаг предпринят на фоне стремления правительств по всему миру к усилению защиты молодежи в интернете. Великобритания и Франция ввели проверку возраста для посетителей страниц с контентом для взрослых. Австралия теперь обязывает платформы социальных сетей проверять, старше ли пользователи их аккаунтов 16 лет.

Многих сразу же настораживает проверка возраста или удостоверения личности в интернете. Станет ли процесс входа в систему более трудоемким? Означает ли подтверждение возраста потерю анонимности и необходимость передачи конфиденциальных документов частным технологическим компаниям ?

Повлияет ли обязательная проверка возраста на нашу способность просматривать веб-страницы, общаться и участвовать в онлайн-мероприятиях, превратив нас в «прозрачных граждан», за которыми следят корпорации или правительство?

Эти опасения не беспочвенны. На самом деле, исследования указывают на еще большие риски . Передача данных, связанных с личностью, повышает вероятность утечек или кражи личных данных. Системы проверки возраста могут быть использованы для слежки или привести к дискриминации, особенно в отношении маргинализированных групп.

Однако наше исследование показывает, что обеспечить действительно анонимную и безопасную проверку возраста в интернете вполне возможно.

Не все программы страхования по возрасту работают одинаково

Подтверждение возраста — это общий термин для всех методов, которые помогают определить возраст человека в интернете. Сюда входит проверка возраста — подтверждение возраста пользователя, часто с помощью официального удостоверения личности.

Практические методы обеспечения безопасности возраста значительно различаются в зависимости от юрисдикции и платформы. Правительство Австралии требует от компаний принятия « разумных мер » для предотвращения создания детьми аккаунтов в социальных сетях, но методы обеспечения безопасности возраста могут варьироваться.

Правительство Франции предоставляет дополнительные рекомендации, но по-прежнему оставляет внедрение системы подтверждения возраста на усмотрение третьих сторон. Европейский союз активно готовит типовой пример внедрения решения для проверки возраста , хотя пока не ввел никаких возрастных ограничений.

Для упрощения процесса платформы все чаще используют оценку возраста по лицу . Пользователям предлагается отсканировать свое лицо, чтобы алгоритм мог определить их возраст.

На первый взгляд, это может показаться менее инвазивным, чем предъявление удостоверения личности государственного образца. На практике же это часто требует передачи крайне конфиденциальных биометрических данных частным компаниям. В отличие от пароля, ваше лицо нельзя изменить, если данные будут украдены. Такая оценка возраста также подвержена ошибкам.

Существует множество альтернативных технологий подтверждения возраста . К ним относятся анализ поведения пользователей, верификация на основе оплаты, сканирование документов (например, удостоверений личности, выданных государственными органами), видеоверификация с использованием этих документов и электронные подтверждения — такие как электронные паспорта, знакомые по пограничному контролю в аэропортах.

Нет необходимости делиться конфиденциальными данными

Один из высокозащищенных подходов позволяет пользователям с высокой степенью достоверности доказать один-единственный факт — например, что им больше 18 лет, — не только без раскрытия своего имени, адреса или даже даты рождения. Он основан на криптографических цифровых подтверждениях.

Например, в немецкой системе электронного удостоверения личности (eID) обмен данными происходит напрямую между микропроцессором в пластиковой «электронной идентификационной карте» пользователя и платформой. Микропроцессор подтверждает свою принадлежность к выданному государством электронному удостоверению личности с помощью криптографического ключа, который используется совместно с 9999 другими электронными удостоверениями личности. Это означает, что платформа узнает только то, что зарегистрировался один из 10 000 потенциальных пользователей.

Когда сервис отправляет текущую дату и минимальный требуемый возраст в электронный идентификатор (eID), микропроцессор использует дату рождения, вычисляет текущий возраст и просто отвечает, соответствует ли пользователь установленному возрасту.

Цифровая идентификация ЕС и кошельки Google используют несколько иной подход. Он не полагается на специальные микропроцессоры, встроенные в физические карты, а на аппаратные компоненты, распространенные в мобильных телефонах.

Это делает данный подход более широко применимым. Эти решения используют высокотехнологичную криптографию, которая сообщает платформе, что человек обладает цифровым документом, подтверждающим его возраст (старше 18 лет), но без раскрытия каких-либо дополнительных деталей.

Как видите, системы проверки возраста могут быть спроектированы таким образом, чтобы в их основе лежала невозможность отслеживания. Это означает, что ни правительство, ни платформа не могут отслеживать действия пользователя, несмотря на возможность точной проверки его возраста.

Настоящая проблема заключается не в проверке возраста, а в том, кто её проводит

Если какое-либо правительство всерьез намерено обеспечить пенсионное обеспечение, то техническая сторона вопроса будет иметь большее значение, чем сама политика.

Проверка возраста с учетом требований конфиденциальности — сложный и дорогостоящий процесс. Правительствам потребуется инвестировать в технические детали, чтобы обеспечить надежность проверки возраста и одновременно соответствовать ожиданиям в отношении конфиденциальности.

А программный код должен быть в открытом доступе, чтобы обеспечить возможность экспертной оценки. Прозрачность — это самая надежная защита от ложных обещаний правительства или скрытых атак киберпреступников, пытающихся украсть данные.

Участие государства также должно убедительно противостоять надвигающейся угрозе « расширения функционала », когда объем данных, собираемых с помощью инфраструктуры проверки возраста, может быть быстро изменен политическими решениями. Технической защиты от подобных злоупотреблений не существует, и правительствам необходимо заслужить доверие своих граждан в будущем законодательстве.

Действительно, ставки высоки: одна утечка данных может легко подорвать доверие общественности. Если граждане не доверяют инструменту проверки возраста, они могут просто обойти возрастные ограничения, как это произошло во Франции .

Более широкая картина

Интернет вступает в новую фазу. Долгие годы платформы избегали определения возраста своих пользователей. Теперь это, по-видимому, перестало быть политически и социально устойчивым решением.

Реальный выбор стоит не между безопасностью и конфиденциальностью. Он стоит между двумя совершенно разными техническими путями. Один путь стандартизирует биометрические проверки (лицо, отпечаток пальца и тому подобное), увеличивая объем конфиденциальных данных, передаваемых частным компаниям.

Альтернативный вариант использует передовые криптографические решения, которые подтверждают возраст, обеспечивая при этом анонимность.

Проверка возраста не обязательно должна положить конец анонимному участию в интернете. При правильном подходе это может быть технология, которая обеспечит его защиту.