Mens myndigheter over hele verden strever med å gjøre nettet tryggere for barn, har én idé fått fotfeste: I stedet for å tvinge nettsteder til å stenge barn ute, hvorfor ikke la enheten deres gjøre det i stedet?
I USA har California vedtatt en lov som krever at operativsystemer samler inn aldersinformasjon og gir apper et signal som indikerer om en bruker er mindreårig eller voksen. Lovgivere i Colorado(nytt vindu) og Illinois(nytt vindu) vurderer lignende lovgivning.
I Storbritannia har Apple allerede begynt å kreve at noen iPhone-brukere bekrefter alderen sin på operativsystemnivå for å få tilgang til visse funksjoner.
Dette er et stort skifte i hvordan identitet fungerer på nettet. Når identitetssjekker flyttes fra nettsteder til operativsystemer, blir de en del av nettets infrastruktur. Beslutninger tatt på dette nivået kan påvirke hvordan milliarder av mennesker får tilgang til informasjon, kommuniserer og deltar på nettet.
«De skaper unødvendige og grunnlovsstridige barrierer(nytt vindu) for at voksne og unge mennesker skal få tilgang til informasjon og uttrykke seg på nettet,» advarer Electronic Frontier Foundation, spesielt når familiemedlemmer i ulike aldre deler enheter i en husholdning.
Fra nettstedssjekker til signaler på enhetsnivå
Aldersrestriksjoner på nettet har historisk sett blitt håndtert av individuelle apper og nettsteder. Hvis en app eller et nettsted er vert for innhold beregnet på voksne, kan den be brukere bekrefte alderen sin før brukeren får lov til å laste ned appen eller få tilgang til nettstedet. Den nye tilnærmingen flytter dette ansvaret til operativsystemet som kjører enheten din, for eksempel Windows, Mac eller Linux.
I henhold til Californias Digital Age Assurance Act(nytt vindu) må operativsystemer samle inn en brukers alder under kontooppsettet og kategorisere brukere i aldersgrupper: under 13, 13 til 15, 16 til 17, eller 18 og eldre. I stedet for å be hvert nettsted om å sjekke en brukers alder, bestemmer operativsystemet som datamaskinen din kjører på brukerens alderskategori én gang og deler deretter den informasjonen med apper på forespørsel – på ubestemt tid.
Å flytte aldersverifisering inn i operativsystemer forenkler ikke bare samsvar. Det endrer hvem som kontrollerer identitet på nettet.
I dag kjører de fleste mobilenheter på operativsystemer kontrollert av Apple og Google. Hvis aldersverifisering blir et krav på OS-nivå, blir disse selskapene i praksis portvoktere for alderssignaler brukt på tvers av millioner av apper.
Utviklere vil ikke lenger bestemme hvordan brukere skal verifiseres. I stedet vil de bli pålagt å stole på operativsystemets klassifisering. I praksis betyr det å stole på Apple eller Googles infrastruktur – og deres tolkning av regulatoriske krav – for å bestemme hvem som har tilgang til hva.
Dette har implikasjoner utover personvern. Det forsterker makten til eksisterende økosystemer for appbutikker, der begge selskaper allerede kontrollerer distribusjon og håndhevelse av retningslinjer. Å legge til identitetsverifisering i den stabelen befester posisjonen deres ytterligere, og låser utviklere til økosystemene deres, samtidig som det begrenser konkurrenters mulighet til å bygge alternative plattformer eller identitetssystemer.
Det reiser også spørsmål om hvordan denne infrastrukturen kan brukes utover det opprinnelige formålet. Når operativsystemer kan verifisere og overføre attributter som alder, kan den samme mekanismen utvides til andre land for å håndheve bredere kontroller.
Myndigheter som i Kina og Russland har allerede vist en vilje til å kreve at selskaper begrenser tilgang til apper og innhold. Systemer bygget for aldersverifisering kan bli et fundament for bredere former for kontroll.
Tilhengere hevder at dette kan forenkle samsvar og redusere behovet for at plattformer samler inn aldersdata selv. Kritikere sier det risikerer å gjøre selve enheten til et permanent identitetssjekkpunkt. I henhold til den nye loven vil hvert operativsystem bli pålagt å verifisere brukerens alder ved oppsett(nytt vindu), og det kan sende disse dataene via et API til apputviklere uten brukerens eksplisitte samtykke.
Personvernsrisikoene ved sentraliserte alderssjekker
Systemer for aldersverifisering varierer veldig i hvordan de fungerer.
Å laste opp identitetsdokumenter kan utsette brukere for risiko for datainnbrudd, som sett med plattformer som Discord, der angripere har fått tilgang til tusenvis av offentlige ID-er gjennom systemer for aldersverifisering.
Biometriske systemer reiser bekymringer om nøyaktighet og skjevhet. Ansiktsskanninger kan for eksempel ikke bestemme noens eksakte alder og kan føre til unøyaktige resultater.
Å sentralisere alderssignaler på operativsystemnivå introduserer en annen risiko. Hvis identitetsattributter blir innfelt i programvaren som kjører en enhet, kan den informasjonen forme hvordan brukere samhandler med hele det digitale økosystemet.
For eksempel, i flerfamiliehusholdninger der mange bruker samme enhet, kan apper feilaktig begrense tilgang til innhold basert på alderssignalet de mottar fra operativsystemet, selv når brukeren er gammel nok. Tilsvarende, hvis en voksen registrerer operativsystemet, kan barn som bruker enheten enkelt omgå alderssignalet som er sendt fra OS-et. I noen tilfeller kan utviklere stå overfor juridisk ansvar hvis de ikke klarer å håndheve aldersrestriksjoner riktig.
Å utforme systemer som respekterer personvern
Å beskytte barn på nettet er et viktig mål. Foreldre, lærere og beslutningstakere har legitime bekymringer om skadelig innhold, press fra sosiale medier og utnyttende designpraksiser. Men å utforme sikkerhetstiltak for nettet handler ikke bare om mål for retningslinjer. Det handler også om teknisk arkitektur.
Et system ment for å beskytte mindreårige bør ikke kreve at alle gir fra seg sensitiv personlig informasjon for å bruke dagligdagse tjenester på nettet.
I stedet kan omfattende personvernlover bidra til å beskytte barn(nytt vindu), samtidig som personvern, sikkerhet og tilgang til informasjon bevares for alle.
Etter hvert som retningslinjer for aldersverifisering fortsetter å utvikle seg, vil systemene som håndhever dem bidra til å bestemme hvordan nettet vil se ut for neste generasjon. Det som betyr mest, er hvem som kontrollerer systemene som tar disse beslutningene.
