Eftersom regeringar runt om i världen anstränger sig för att göra internet säkrare för barn, har en idé vunnit mark: Istället för att tvinga webbplatser att stänga ute barn, varför inte låta deras enhet göra det i stället?
I USA har Kalifornien antagit en lag som kräver att operativsystem samlar in åldersinformation och förser appar med en signal som indikerar huruvida en användare är minderårig eller vuxen. Lagstiftare i Colorado(nytt fönster) och Illinois(nytt fönster) överväger liknande lagstiftning.
I Storbritannien har Apple redan börjat kräva att vissa iPhone-användare verifierar sin ålder på operativsystems-nivå för att få åtkomst till vissa funktioner.
Detta är en stor förändring i hur identitet fungerar online. När identitetskontroller flyttas från webbplatser till operativsystem blir de en del av internets infrastruktur. Beslut som fattas på denna nivå kan påverka hur miljarder människor får åtkomst till information, kommunicerar och deltar online.
“De skapar onödiga och grundlagsstridiga hinder(nytt fönster) för vuxna och unga att få åtkomst till information och uttrycka sig online”, varnar Electronic Frontier Foundation, särskilt när familjemedlemmar i olika åldrar delar enheter inom ett hushåll.
Från kontroller på webbplatser till signaler på enhetsnivå
Åldersbegränsningar på internet har historiskt hanterats av enskilda appar och webbplatser. Om en app eller webbplats är värd för innehåll avsett för vuxna, kan den be användare att bekräfta sin ålder innan användaren tillåts ladda ner appen eller få åtkomst till webbplatsen. Det nya tillvägagångssättet flyttar det ansvaret till operativsystemet som körs på din enhet, till exempel Windows, Mac eller Linux.
Enligt Kaliforniens Digital Age Assurance Act(nytt fönster) måste operativsystem samla in en användares ålder under kontokonfigurationen och kategorisera användare i åldersgrupper: under 13, 13 till 15, 16 till 17, eller 18 och äldre. Istället för att be varje webbplats att kontrollera en användares ålder, avgör operativsystemet som din dator körs på användarens ålderskategori en gång och delar sedan den informationen med appar när det begärs — på obestämd tid.
Att flytta in åldersverifiering i operativsystem förenklar inte bara efterlevnaden. Det förändrar vem som kontrollerar identitet online.
I dag körs de flesta mobila enheter på operativsystem som styrs av Apple och Google. Om åldersverifiering blir ett krav på operativsystemsnivå blir dessa företag effektivt grindvakterna för ålderssignaler som används över miljontals appar.
Utvecklare skulle inte längre bestämma hur man verifierar användare. Istället skulle de bli tvungna att förlita sig på operativsystemets klassificering. I praktiken innebär det att lita på Apples eller Googles infrastruktur — och deras tolkning av regulatoriska krav — för att avgöra vem som kan få åtkomst till vad.
Detta har konsekvenser bortom integritet. Det förstärker makten hos befintliga ekosystem för appbutiker, där båda företagen redan kontrollerar distribution och policyefterlevnad. Att lägga till identitetsverifiering till den stacken befäster deras position ytterligare, låser in utvecklare i deras ekosystem och begränsar förmågan hos konkurrenter att bygga alternativa plattformar eller identitetssystem.
Det väcker också frågor om hur denna infrastruktur kan komma att användas bortom sitt ursprungliga syfte. När operativsystem kan verifiera och överföra attribut som ålder, skulle samma mekanism kunna utökas i andra länder för att genomdriva bredare kontroller.
Regeringar som i Kina och Ryssland har redan visat en vilja att kräva att företag begränsar åtkomst till appar och innehåll. System som byggs för åldersverifiering skulle kunna bli en grund för bredare former av kontroll.
Förespråkare hävdar att detta kan förenkla efterlevnaden och minska behovet för plattformar att själva samla in åldersdata. Kritiker säger att det riskerar att förvandla själva enheten till en permanent identitetskontrollpunkt. Enligt den nya lagen kommer varje operativsystem att krävas på att verifiera användarens ålder vid installation(nytt fönster), och det kan skicka den datan via API till apputvecklare utan användarens uttryckliga samtycke.
Integritetsriskerna med centraliserade ålderskontroller
System för åldersverifiering varierar kraftigt i hur de fungerar.
Att ladda upp identitetsdokument kan utsätta användare för risk för dataintrång, som man sett med plattformar som Discord, där angripare har fått åtkomst till tusentals statliga ID:n genom åldersverifieringssystem.
Biometriska system väcker oro kring noggrannhet och partiskhet. Ansiktsskanningar kan till exempel inte avgöra någons exakta ålder och kan leda till felaktiga resultat.
Att centralisera ålderssignaler på operativsystemnivå medför en annan risk. Om identitetsattribut blir inbäddade i mjukvaran som driver en enhet, kan den informationen forma hur användare interagerar med hela det digitala ekosystemet.
Till exempel i flerfamiljshushåll där många människor använder samma enhet, kan appar felaktigt begränsa åtkomst till innehåll baserat på den ålderssignal de tar emot från operativsystemet, även när användaren är myndig. På samma sätt, om en vuxen registrerar operativsystemet, kan barn som använder enheten enkelt kringgå ålderssignalen som skickats från OS:et. I vissa fall kan utvecklare stå inför juridiskt ansvar om de misslyckas med att korrekt genomdriva åldersbegränsningar.
Att designa system som respekterar integritet
Att skydda barn online är ett viktigt mål. Föräldrar, lärare och beslutsfattare har legitima farhågor om skadligt innehåll, press från sociala medier och exploaterande designpraxis. Men att designa skyddsåtgärder för internet handlar inte bara om policymål. Det handlar också om teknisk arkitektur.
Ett system avsett att skydda minderåriga bör inte kräva att alla lämnar ifrån sig känslig personlig information för att använda vardagliga onlinetjänster.
Istället kan omfattande integritetslagar hjälpa till att skydda barn(nytt fönster) samtidigt som man bevarar integritet, säkerhet och åtkomst till information för alla.
Allteftersom policyer för åldersverifiering fortsätter att utvecklas, kommer systemen som genomdriver dem att hjälpa till att avgöra hur internet ser ut för nästa generation. Det som betyder mest är vem som kontrollerar systemen som fattar de besluten.
