В нескольких словах
Французские порносайты вводят систему проверки возраста с использованием «двойной анонимности» для защиты данных пользователей. Хотя технология сложна, остается вопрос о ее эффективности и независимости аудита.
Ваши документы, пожалуйста.
С пятницы, 11 апреля, порнографические сайты, базирующиеся во Франции и за пределами Европейского Союза (ЕС) – что на данный момент исключает некоторых гигантов отрасли – должны проверять возраст своих пользователей во Франции, чтобы удостовериться, что им исполнилось 18 лет. Но возможно ли это на самом деле, учитывая, что немногие пользователи соглашаются предоставить свои личные данные онлайн-гигантам индустрии X?
Орган регулирования аудиовизуальных и цифровых коммуникаций (Arcom) был уполномочен создать структуру, защищающую личные данные каждого. Конкретно, пользователь, заходящий на сайт для взрослых, должен выбрать способ проверки возраста из списка:
- контроль фотографии удостоверения личности,
- оценка возраста по селфи,
- подтверждение через другое приложение, уже знающее возраст.
Все они предоставляются сторонними поставщиками, которые создают своего рода билет «Этому пользователю больше 18 лет». Только это подтверждение затем показывается пользователем порнографическому сайту.
Чтобы избежать отслеживания пользователей, технический референтный документ, принятый Arcom, обязывает этих поставщиков «быть юридически и технически независимыми» от сайтов для взрослых и не хранить личные данные, предоставленные пользователем для получения его «доказательства» возраста. Это можно назвать «простой анонимностью». Однако поставщик теоретически может знать, какой сайт запрашивает это доказательство возраста и, следовательно, знать, как часто пользователь посещает порнографические сайты.
Именно для предотвращения этого отслеживания вступает в игру «двойная анонимность». Соответствующие сайты обязаны использовать этот метод как минимум для одного из предлагаемых способов проверки возраста.
Цель «состоит в том, чтобы гарантировать, что не только сайт для взрослых не знает, с кем он «говорит», но и что верификатор возраста также не знает, для какого сайта и какой возраст он подтверждает», — объясняет franceinfo Оливье Блази, профессор Политехнической школы и исследователь в области криптографии.
Последний участвовал в 2022 году в разработке «демонстратора» двойной анонимности для проверки возраста, как резюмирует сайт Национальной комиссии по информатике и свободам.
«Двойная» анонимность, но не полная. Чтобы гарантировать двойную анонимность, верификатор сочетает две методы шифрования: цифровые подписи и доказательства с нулевым разглашением (zero-knowledge proof).
Что это значит? Можно представить себе сайт для взрослых как здание, закрытое на ключ, а поставщика услуг — как слесаря. Если последний предоставит несколько одинаковых ключей группе людей, сайт не сможет узнать, какому человеку соответствует какой ключ. Кроме того, если замок не предназначен только для сайтов для взрослых, слесарь не сможет узнать, по какой причине человек запрашивает ключ.
Однако не у всех должны быть один и тот же ключ или один и тот же замок, что было бы слишком легко взломать.
Однако будьте осторожны: то, что пользователь выбирает проверку возраста с «двойной анонимностью», не означает, что он внезапно становится невидим в интернете. Сайт для взрослых всегда может собирать данные о профиле и действиях пользователя, благодаря его браузеру и файлам cookie, которые могут быть размещены или (частично) отклонены при заходе на веб-страницу.
«Если только не скрыть свой IP-адрес», — напоминает Оливье Блази.
Это что касается теории. На практике также необходимо будет проверить, что поставщики правильно применяют метод, чтобы избежать утечки данных и незаконного отслеживания.
Модель, предложенная Оливье Блази, как раз предусматривала существование «доверенного органа», который служил бы для маркировки поставщиков, предлагающих надежную двойную анонимность, до их развертывания. Но Arcom не выбрал это решение (также запрошенное сайтами для взрослых и поставщиками), отдав предпочтение независимым аудитам, которые должны проводиться через шесть месяцев, а затем раз в год.
«Это может привести к появлению игроков, которые не проводят серьезных проверок», — сожалеет Оливье Блази.
Условия аудита (что именно контролировать? Кем? Кто несет расходы?) до сих пор не уточнены.
