Online age-verification tools for child safety are surveilling adults

Reşit olmayanları korumak için tasarlanan yeni ABD yasaları, milyonlarca yetişkin Amerikalıyı çevrimiçi içeriğe erişmek için zorunlu yaş doğrulama kapılarına çekiyor, bu da kullanıcıların tepkisine ve gizlilik savunucularının özgür ve açık bir internetin tehlikede olduğu yönündeki eleştirilerine yol açıyor. Kabaca ABD eyaletlerinin yarısı Yetişkinlere yönelik içerik siteleri, çevrimiçi oyun hizmetleri ve sosyal medya uygulamaları da dahil olmak üzere platformların reşit olmayan kullanıcıları engellemesini gerektiren ve şirketleri bu dijital kapılara yaklaşan herkesi taramaya zorlayan yasalar çıkarmış veya geliştiriyor.

En büyük dijital kimlik doğrulama ve kimlik doğrulama platformlarından biri olan Jumio’nun küresel gizlilik başkanı Joe Kaufman, “Geniş bir yelpaze var” dedi. Eyalet yasalarının yama yapısının teknik talepler ve uyumluluk beklentilerine göre farklılık gösterdiğini açıkladı. “Düzenlemeler aynı anda birçok farklı yöne doğru ilerliyor” dedi.

Sosyal medya şirketi Discord, Şubat ayında zorunlu yaş doğrulamasını dünya çapında kullanıma sunmayı planladığını duyurdu; şirket, bunun kullanıcının cihazında yüz analizi yapılmasını ve gönderilen verilerin derhal silinmesini sağlayacak şekilde tasarlanmış doğrulama yöntemlerine dayanacağını söyledi. Teklif, belirli özelliklere erişim için özçekimler veya resmi kimlikler göndermek zorunda kalma konusunda endişe duyan kullanıcılardan kısa sürede tepki aldı ve bu da Discord’un lansmanı geciktirmek bu yılın ikinci yarısına kadar.

Discord’un baş teknoloji sorumlusu ve kurucu ortağı Stanislav Vishnevskiy, 24 Şubat’taki bir blog yazısında “Açık konuşayım: Bu sunumun tartışmalı olacağını biliyorduk. Kimliğe ve doğrulamaya dokunan bir şeyi tanıttığınızda, insanlar güçlü duygulara sahip olacak” diye yazdı.

Yetişkinlere yönelik içerik, kumar veya finansal hizmetler sunan web siteleri genellikle resmi bir kimliğin taranmasını ve canlı bir görüntüyle eşleştirilmesini gerektiren tam kimlik doğrulamasını kullanır. Ancak genellikle web siteleri adına uzmanlaşmış kimlik doğrulama satıcıları tarafından yürütülen bu kontrol noktalarını destekleyen doğrulama sistemlerinin çoğu, bir kişinin içeriğe erişebilecek yaşta olup olmadığını saniyeler içinde belirlemek için selfie’leri veya videoları analiz eden yüz tanıma ve yaş tahmin modelleri gibi yapay zekaya güveniyor. Sosyal medya ve düşük riskli hizmetler, ayrıntılı kimlik kayıtlarını kalıcı olarak saklamadan yaşı doğrulamak için tasarlanmış daha hafif tahmin araçlarını kullanabilir.

Satıcılar, güvenliğin kullanıcıların ne kadar sürtünmeyi tolere edeceğiyle dengelenmesinin zor olduğunu söylüyor. Kimlik doğrulama platformu Socure’un baş büyüme sorumlusu Rivka Gerwitz Little, “Reşit olmayanları kesinlikle güvende ve dışarıda tutmanızı ve yetişkinlerin mümkün olduğunca az sürtüşmeyle içeri girmesine izin verebilmenizi sağlamakla ilgileniyoruz” dedi. Aşırı veri toplamanın kullanıcıların direndiği sürtüşmeler yarattığını ekledi.
Yine de birçok kullanıcı zorunlu kimlik kontrollerini invaziv olarak algılıyor. Berger Singerman’ın fikri mülkiyet ve internet hukuku alanında uzman ortağı Heidi Howard Tandy, “Bu bilgiyi sağlamaya zorlanacak başka bir yola sahip olmak insanları rahatsız ediyor” dedi. Bazı kullanıcılar, ön ödemeli kartlar veya alternatif kimlik bilgileri dahil olmak üzere geçici çözümler deneyebilir veya yetkisiz dağıtım kanallarına yönelebilir. “Bu bir korsanlık durumuna neden olacak” diye ekledi.

Yetişkinlere yönelik veriler nereye gider?

Çoğu uygulamada, web sitelerinin kendisi değil, doğrulama sağlayıcıları kimlik bilgilerini işler ve saklar, platforma yalnızca başarılı-başarısız sinyali gönderir.

Gerwitz Little, Socure’un doğrulama verilerini satmadığını ve platformların devlet belgeleri yerine hızlı yüz analizi veya diğer sinyalleri kullandığı hafif yaş tahmini senaryolarında şirketin çok az bilgi saklayabileceğini veya hiç bilgi depolayamayacağını söyledi. Ancak kimlik taraması gerektiren oyun ve dolandırıcılığın önlenmesi gibi daha kapsamlı kimlik doğrulama bağlamlarında, belirli yetişkin doğrulama kayıtları uyumluluğu belgelemek için saklanabilir. Socure’un, geçerli gizlilik ve temizleme kurallarına uyarak bazı yetişkinlere yönelik doğrulama verilerini üç yıla kadar tutabileceğini söyledi.

Sivil özgürlüklerin savunucuları, büyük hacimli kimlik verilerinin az sayıda doğrulama sağlayıcısı arasında yoğunlaşmasının bilgisayar korsanları ve hükümet talepleri için cazip hedefler oluşturabileceği konusunda uyarıyor. Bu yılın başlarında Discord’da bir veri ihlali açıkladı yaklaşık 70.000 kullanıcıya ait kimlik görüntülerinin ele geçirilen bir üçüncü taraf hizmeti aracılığıyla ifşa edilmesi, hassas kimlik bilgilerinin depolanmasıyla ilişkili güvenlik risklerini vurguluyor.

Buna ek olarak, yaş doğrulama sistemlerinin genişletilmesinin yalnızca kullanılabilirlik açısından bir zorluk değil, aynı zamanda kimliğin çevrimiçi davranışa nasıl bağlanacağı konusunda yapısal bir değişimi de temsil ettiği konusunda uyarıyorlar. Electronic Frontier Foundation’da yasama analisti olan Molly Buckley’e göre yaş doğrulama, kullanıcıların “en hassas ve değişmez verilerini” (isimler, yüzler, doğum günleri, ev adresleri) çevrimiçi etkinliklerine bağlama riski taşıyor. “Yaş doğrulaması özgür ve açık internetin temelini vuruyor” dedi.

Satıcılar kişisel bilgileri koruma sözü verdiklerinde bile kullanıcılar sonuçta nadiren okudukları veya tam olarak anladıkları sözleşme şartlarına güvenirler. Tandy, “Kullanım koşulları politikalarında, eğer bilgi kolluk kuvvetleri tarafından talep edilirse, onu teslim edeceklerini söyleyen bir dil var. Her zaman bu bilgilerin tümüne sahip olan tek varlığın sonsuza kadar kendilerinin olacağını teyit edemezler. Herkesin, temel bilgilerinin kendi kontrolü altında bir şey olmadığını anlaması gerekiyor” dedi.

Giderek daha fazla platform, yaş kontrollerini üçüncü taraf sağlayıcılar aracılığıyla yönlendirdikçe, kimlik verilerinin bu şekilde yoğunlaşması, onlara güvenen şirketler için de yeni yasal riskler yaratıyor. Tandy, “Bir şirket bu bilgilerin bir kısmının kendi sunucularından geçmesini sağlayacak” dedi. “Ve bu tür bir sorumluluğu üçüncü bir tarafa yükleyemezsiniz.”

Şirketlerin riski sözleşmeler ve sigorta yoluyla dağıtabileceğini ancak kimlik sistemlerinin altyapılarıyla nasıl etkileşimde bulunduğundan sorumlu olduklarını söyledi. “Yapabileceğiniz şey, gerçekten iyi bir sigortaya sahip olmak ve sözleşme yaptığınız kuruluşlardan gerçekten iyi bir sigorta talep etmektir” dedi.

Tandy ayrıca elde tutma vaatlerinin göründüğünden daha karmaşık olabileceği konusunda da uyardı. “Eğer üç yıl boyunca ellerinde tutacaklarını söylüyorlarsa, bu, ellerinde tutacakları minimum süre” dedi. “‘Üç yıl sonra bir gün her şeyi sileriz’ diyen bir şirkete güvenemem. Bu olmayacak” diye ekledi.

Hukuki mücadeleler bitmedi

Federal ve eyalet düzenleyicileri, yaş doğrulama yasalarının öncelikle reşit olmayanlara yönelik belgelenmiş zararlara bir yanıt olduğunu savunuyor ve kuralların katı gizlilik ve güvenlik önlemleri altında işlemesi gerektiğinde ısrar ediyor.

Bir FTC sözcüsü CNBC’ye şirketlerin toplanan bilgilerin nasıl kullanıldığını sınırlamaları gerektiğini söyledi. Yaş doğrulama teknolojileri ebeveynlerin çocuklarını çevrimiçi ortamda korumasına yardımcı olabilirken kurum, firmaların hâlâ veri minimizasyonu, saklama ve güvenliği düzenleyen mevcut tüketici koruma kurallarına bağlı olduğunu söyledi. Ajans, firmaların kişisel bilgileri yalnızca makul ölçüde gerekli olduğu sürece saklamasını ve bu bilgilerin gizliliğini ve bütünlüğünü korumasını gerektiren mevcut kurallara dikkat çekti.

Yaş doğrulama yasalarını aktif olarak uygulayan eyaletlerden biri olan Virginia başsavcılığı sözcüsü Rae Pickett’e göre yetkililer, güçlü doğrulama ve veri işleme standartlarını genç kullanıcıları korumanın ve yaşa uygun çevrimiçi deneyimler sağlamanın ayrılmaz parçaları olarak görüyor. aleyhine açılan davalara dikkat çekti Meta ve TikTok, yetersiz koruma önlemlerinin genç kullanıcıları zararlı içerik ve deneyimlere maruz bırakabileceğinin kanıtı olarak gösteriliyor. Virginia yasalarına göre, doğrulama verilerini toplayan şirketler, bu verileri yaş belirlemenin ötesinde kullanamaz ve eyaletin Tüketici Verilerini Koruma Yasası uyarınca bilgilerin hassasiyetine uygun güvenlik uygulamalarını sürdürmek zorundadır.

Ancak Virginia’nın çabaları yasal bir gerilemeyle karşılaştı. Federal mahkeme, kanunun uygulanmasını en azından geçici olarak engelledi Geçen hafta, büyük sosyal medya şirketlerini temsil eden bir ticaret grubunun getirdiği Birinci Değişiklik mücadelesinin yanında yer aldık. Virginia Başsavcısı Jay Jones, mahkeme kararının ardından CNBC’ye yaptığı açıklamada, AG ofisinin “Virginia’daki çocukların bu bağımlılık yapıcı yayınlara sınırsız erişimin kanıtlanmış zararlarından korunmasını sağlamak için elimizdeki her aracı kullanacağını. Aileleri güvende tutmak için yasayı tam olarak uygulayabilmeyi sabırsızlıkla bekliyoruz.” dedi.

Buckley, yasa koyucuların daha güvenli bir internet oluşturmak ve bu önerilerin hafifletmeye çalıştığı zararların çoğunu ele almak için seçmenlerinin Birinci Değişiklik haklarını ve mahremiyetini feda etmelerine gerek olmadığını söylüyor. Aslında EFF analistine göre birçok yasa koyucu, mevcut yaş doğrulama tekliflerinde veri minimizasyonu gibi bu yaklaşımları kabul etti. Ancak yasa koyucular yeni gözetleme, sansür ve dışlama sistemleri oluşturmak yerine çevrimiçi güvenliği anlamlı bir şekilde iyileştirmek istiyorlarsa güçlü ve kapsamlı bir yasa çıkarmaları gerektiğini söyledi. federal gizlilik yasası herkesi koruyan ve güçlendiren İnternet kullanıcılarının verilerimizin nasıl toplandığını kontrol etmesini sağlar.

‘Çevrimiçi yaşamın kalıcı bir özelliği’

Bazı ülkelerde yaş doğrulama yasaları, Birleşik Krallık, Avustralya ve yakında Brezilya’da da dahil olmak üzere platformların yüz yaşı tahmini veya kimlik kontrolleri gibi yöntemleri kullanmasını gerektirebilir.

ABD merkezli büyük platformlar, Discord örneğinin de belirttiği gibi tartışmalara yol açsa da, yaş doğrulamanın nasıl uygulanması gerektiğine dair pozisyonlar belirliyor ve sitelerini çocuklar için güvenli tutmaya yönelik zayıf çabalar iddiasıyla yıllarca süren davaların ardından geliyor.

Discord, gecikmiş küresel kullanıma sunulmasını açıklarken, ulusal yasaların belirli doğrulama yöntemleri gerektirdiği ülkeler dışında, kullanıcıların %90’ından fazlasının, kullanıcı eylemi gerektirmeyen mevcut dahili güvenlik sistemleri dışında herhangi bir yöntemle yaşlarını asla doğrulamaya ihtiyaç duymayacağını söyledi. Her ne kadar CTO’su son blog yazısında şunu belirtmiş olsa da, “Birçoğunuzun doğru cevabın bunu hiç yapmamak olduğuna inandığını biliyoruz.”

Discord, bu yılki ek süreyi kredi kartları, satıcılar hakkında daha fazla şeffaflık ve yaş doğrulamanın nasıl çalışacağına ilişkin teknik ayrıntılar da dahil olmak üzere daha fazla doğrulama seçeneği eklemek için kullandığını ve sistem yürürlüğe girdiğinde mevcut şeffaflık raporlarında yaşı doğrulaması istenen kullanıcıların yüzdesine ilişkin ayrıntıları yayınlayacağını söyledi.

PatlatmakSnapchat’i işleten şirket, platformların doğrudan kimlik bilgisi toplama ihtiyacını azaltan alternatif yaklaşımları desteklediğini söyledi. Bir Snap sözcüsü CNBC’ye şöyle konuştu: “Birincil giriş noktasında (cihaz, işletim sistemi veya uygulama mağazası düzeyinde) yaş doğrulamasını zorunlu kılmak gibi daha iyi, gizlilik bilincine daha fazla önem veren çözümlerin olduğuna inanıyoruz.”

Meta ve Google, yorum taleplerine yanıt vermedi.

Tandy’ye göre, daha fazla eyalet yaş doğrulama talimatlarını benimsedikçe ve şirketler buna uymak için yarıştıkça, bu sistemlerin arkasındaki altyapı muhtemelen çevrimiçi yaşamın kalıcı bir demirbaşı haline gelecektir. Birlikte ele alındığında sektör liderleri, yaş doğrulama yasalarının hızla yayılmasının, platformları, yaşı bir kez doğrulayan ve bu kimlik bilgisini hizmetler genelinde yeniden kullanan sistemlere doğru itebileceğini söylüyor.

Kaufmann, “Trendin ilerleme şekli kesinlikle kullanıcının yaşının bir tür kalıcı olarak doğrulanmasına doğru gidiyor” dedi. Başka bir deyişle, kullanıcıyla birlikte platformlar arasında seyahat eden dijital bir yaş kanıtı.

Tandy, zamanla sistemin birinin yaşını doğruladıktan sonra tekrar sormaya gerek kalmayabileceğini söyledi. Modeli aşağıdaki gibi ekosistemlerle karşılaştırdı: Disney Kullanıcının yaşı, yıllar sonra bile her oturum açtığında yeniden kontrol edilmek yerine, hizmet genelinde bir kez belirlenip daha sonra tanındığı hesaplar.

Yetişkinler için bu, kimlik doğrulamanın artık ara sıra yaşanan bir anlaşmazlık değil, günlük erişimin yerleşik bir katmanı olduğu bir internet anlamına geliyor.