Mens regeringer over hele verden anstrenger sig for at gøre internettet mere sikkert for børn, har én idé vundet frem: I stedet for at tvinge websteder til at holde børn ude, hvorfor så ikke lade deres enhed gøre det i stedet?
I USA har Californien vedtaget en lov, der kræver, at operativsystemer indsamler aldersoplysninger og forsyner apps med et signal, der indikerer, om en bruger er mindreårig eller voksen. Lovgivere i Colorado(nyt vindue) og Illinois(nyt vindue) overvejer lignende lovgivning.
I Storbritannien er Apple allerede begyndt at kræve, at nogle iPhone-brugere bekræfter deres alder på operativsystem-niveau for at få adgang til visse funktioner.
Dette er et stort skift i, hvordan identitet fungerer online. Når identitetstjek flytter fra websteder til operativsystemer, bliver de en del af internettets infrastruktur. Beslutninger truffet på dette lag kan påvirke, hvordan milliarder af mennesker får adgang til information, kommunikerer og deltager online.
“De skaber unødvendige og forfatningsstridige barrierer(nyt vindue) for voksne og unge for at få adgang til information og udtrykke sig online,” advarer Electronic Frontier Foundation, især når familiemedlemmer i forskellige aldre deler enheder i en husstand.
Fra webstedstjek til signaler på enhedsniveau
Aldersbegrænsninger på internettet er historisk set blevet håndteret af individuelle apps og websteder. Hvis en app eller et websted er vært for indhold beregnet til voksne, kan den bede brugere om at bekræfte deres alder, før brugeren får lov til at downloade appen eller få adgang til webstedet. Den nye tilgang flytter dette ansvar til det operativsystem, der kører Deres enhed, såsom Windows, Mac eller Linux.
Under Californiens lov om digital alderssikring (Digital Age Assurance Act)(nyt vindue) skal operativsystemer indsamle en brugers alder under kontokonfiguration og kategorisere brugere i aldersgrupper: under 13, 13 til 15, 16 til 17 eller 18 og ældre. I stedet for at bede hvert websted om at tjekke en brugers alder, bestemmer operativsystemet, som Deres computer kører på, brugerens alderskategori én gang og deler derefter disse oplysninger med apps, når der anmodes om det – på ubestemt tid.
At flytte aldersbekræftelse ind i operativsystemer forenkler ikke kun overholdelse. Det ændrer, hvem der kontrollerer identitet online.
I dag kører de fleste mobilenheder på operativsystemer, der kontrolleres af Apple og Google. Hvis aldersbekræftelse bliver et krav på OS-niveau, bliver disse virksomheder reelt portvogtere for alderssignaler, der bruges på tværs af millioner af apps.
Udviklere ville ikke længere bestemme, hvordan brugere skal bekræftes. I stedet ville de være forpligtet til at stole på operativsystemets klassificering. I praksis betyder det at stole på Apples eller Googles infrastruktur – og deres fortolkning af lovgivningsmæssige krav – for at bestemme, hvem der kan få adgang til hvad.
Dette har konsekvenser ud over privatliv. Det forstærker magten i eksisterende app store-økosystemer, hvor begge virksomheder allerede kontrollerer distribution og håndhævelse af politikker. At tilføje identitetsbekræftelse til den stak befæster deres position yderligere, låser udviklere fast i deres økosystemer og begrænser konkurrenters evne til at bygge alternative platforme eller identitetssystemer.
Det rejser også spørgsmål om, hvordan denne infrastruktur kan blive brugt ud over dens oprindelige formål. Når operativsystemer kan bekræfte og overføre attributter som alder, kan den samme mekanisme udvides i andre lande for at håndhæve bredere kontroller.
Regeringer som Kina og Rusland har allerede vist villighed til at kræve, at virksomheder begrænser muligheden for at få adgang til apps og indhold. Systemer bygget til aldersbekræftelse kan blive et fundament for bredere former for kontrol.
Tilhængere hævder, at dette kunne forenkle overholdelse og reducere behovet for, at platforme selv indsamler aldersdata. Kritikere siger, at det risikerer at gøre selve enheden til et permanent identitetskontrolpunkt. Under den nye lov vil ethvert operativsystem være forpligtet til at bekræfte brugerens alder ved konfiguration(nyt vindue), og det kan sende disse data via API til app-udviklere uden brugerens udtrykkelige samtykke.
Privatlivsrisiciene ved centraliserede alderstjek
Systemer til aldersbekræftelse varierer meget i, hvordan de fungerer.
Upload af identitetsdokumenter kan udsætte brugere for risikoen for databrud, som det ses med platforme som Discord, hvor angribere har fået adgang til tusindvis af offentlige id’er gennem systemer til aldersbekræftelse.
Biometriske systemer rejser bekymringer om nøjagtighed og bias. Ansigts-scanninger kan for eksempel ikke bestemme nogens nøjagtige alder og kan føre til unøjagtige resultater.
Centralisering af alderssignaler på operativsystem-niveau introducerer en anden risiko. Hvis identitetsattributter bliver integreret i den software, der kører en enhed, kan denne information forme, hvordan brugere interagerer med hele det digitale økosystem.
For eksempel i husstande med flere familier, hvor mange mennesker bruger den samme enhed, kan apps fejlagtigt begrænse muligheden for at få adgang til indhold baseret på det alderssignal, de modtager fra operativsystemet, selv når brugeren er myndig. Tilsvarende, hvis en voksen registrerer operativsystemet, kan børn, der bruger enheden, nemt omgå alderssignalet afsendt fra OS’et. I nogle tilfælde kan udviklere stå over for juridisk ansvar, hvis de undlader at håndhæve aldersbegrænsninger korrekt.
Design af systemer, der respekterer privatliv
Beskyttelse af børn online er et vigtigt mål. Forældre, undervisere og politikere har legitime bekymringer om skadeligt indhold, pres fra sociale medier og udnyttende designpraksis. Men at designe sikkerhedsforanstaltninger til internettet handler ikke kun om politikker. Det handler også om teknisk arkitektur.
Et system, der har til formål at beskytte mindreårige, bør ikke kræve, at alle overgiver følsomme personoplysninger for at bruge hverdagens online-tjenester.
I stedet kan omfattende privatlivslove hjælpe med at beskytte børn(nyt vindue), samtidig med at privatliv, sikkerhed og muligheden for at få adgang til information bevares for alle.
Efterhånden som politikker for aldersbekræftelse fortsætter med at udvikle sig, vil de systemer, der håndhæver dem, være med til at bestemme, hvordan internettet ser ud for den næste generation. Det, der betyder mest, er, hvem der kontrollerer de systemer, der træffer disse beslutninger.
