Cơ quan quản lý Anh giải thích ý nghĩa thực sự của 'xác minh độ tuổi hiệu quả cao' trong Đạo luật An toàn Trực tuyến
Tóm tắt
Đạo luật An toàn Trực tuyến (OSA) của Vương quốc Anh đã được thông qua hơn một năm trước, nhưng việc triển khai các biện pháp như kiểm tra xác minh độ tuổi vẫn đang được xác định. Văn phòng Ủy viên Thông tin (ICO) và Ofcom đã đưa ra tuyên bố chung về việc các công ty nên làm gì để đáp ứng nghĩa vụ này. Tuyên bố nhấn mạnh yêu cầu 'xác minh độ tuổi hiệu quả cao' (HEAA) đối với các dịch vụ cho phép nội dung khiêu dâm hoặc nội dung độc hại ưu tiên chính. Các phương pháp được đề xuất bao gồm kiểm tra thẻ tín dụng, xác minh ngân hàng mở, đối chiếu ảnh ID, ước tính tuổi qua khuôn mặt, kiểm tra độ tuổi qua nhà mạng và dịch vụ nhận dạng kỹ thuật số, trong khi tự khai báo hoặc thẻ ghi nợ không được coi là hiệu quả cao. Các cơ quan quản lý áp dụng cách tiếp cận linh hoạt, trung lập về công nghệ và không bắt buộc bất kỳ giải pháp cụ thể nào, miễn là chúng hiệu quả, cân xứng với rủi ro và tuân thủ luật bảo vệ dữ liệu. Điều này khác với cách tiếp cận của EU, nơi đang phát triển một phương pháp chung để xác minh độ tuổi. Vấn đề bảo mật dữ liệu cũng được đề cập, với các giải pháp như 'bằng chứng không kiến thức' (ZKPs) có thể giúp bảo vệ quyền riêng tư.
Đạo luật An toàn Trực tuyến (OSA) gây tranh cãi của Vương quốc Anh đã được thông qua hơn một năm trước và về mặt hình thức, nó 'đặt ra một loạt nghĩa vụ mới cho các công ty truyền thông xã hội và dịch vụ tìm kiếm, khiến họ có trách nhiệm hơn đối với sự an toàn của người dùng trên nền tảng của mình.' Tuy nhiên, những tác động của dự luật vẫn đang được tìm hiểu, cũng như cách triển khai các biện pháp, bao gồm cả các kiểm tra xác minh độ tuổi này.
Để thực hiện điều này, hai cơ quan quản lý của Vương quốc Anh hiện đã đưa ra tuyên bố chung về việc các công ty nên làm gì để đáp ứng các nghĩa vụ này. Văn phòng Ủy viên Thông tin (ICO) và Ofcom—cơ quan trước xử lý các quyền thông tin ở Vương quốc Anh và cơ quan sau quản lý quy định và cạnh tranh trong tất cả các ngành công nghiệp truyền thông chính ở Vương quốc Anh—đưa ra một số hướng dẫn chung cho các công ty.
Tuyên bố chính được lặp lại xuyên suốt là 'hiệu quả cao': khi có liên quan, các dịch vụ trực tuyến nên sử dụng 'xác minh độ tuổi hiệu quả cao' (HEAA). Chính xác thì thuật ngữ mơ hồ và không rõ ràng này có nghĩa là gì? Câu trả lời cũng mơ hồ một cách phù hợp: các giải pháp xác minh độ tuổi phải chính xác về mặt kỹ thuật, mạnh mẽ, đáng tin cậy và công bằng, đồng thời 'cân nhắc' khả năng tiếp cận và khả năng tương tác.
Chính xác cách các tiêu chí này nên được đánh giá không được nêu rõ, nhưng sự mơ hồ này sẽ giúp 'cho dịch vụ của bạn một số linh hoạt để chọn phương pháp xác minh độ tuổi phù hợp với bối cảnh cụ thể của bạn, bao gồm quy mô, cơ sở người dùng và nguồn lực sẵn có.' Tuy nhiên, các cơ quan quản lý có đưa ra một số ví dụ.
HEAA bao gồm (nhưng không giới hạn ở): 'Kiểm tra thẻ tín dụng, xác minh ngân hàng mở, đối chiếu ảnh ID, ước tính tuổi qua khuôn mặt, kiểm tra độ tuổi qua nhà mạng di động (MNO), dịch vụ nhận dạng kỹ thuật số, ước tính tuổi qua email.' Nó không bao gồm 'Tự khai báo, thẻ ghi nợ, [hoặc] các hạn chế hợp đồng chung về việc sử dụng dịch vụ của trẻ em.'
Nếu, với tư cách là nhà cung cấp dịch vụ trực tuyến, bạn không có kiểm tra HEAA, thì 'bạn sẽ cần tính đến điều này trong đánh giá rủi cho trẻ em của mình và triển khai các biện pháp bảo vệ cần thiết để đảm bảo rằng dịch vụ của bạn phù hợp với tất cả trẻ em.'
Yêu cầu 'hiệu quả cao' này dường như chủ yếu dành cho các dịch vụ cho phép nội dung khiêu dâm: 'Theo OSA, nếu bạn là dịch vụ người dùng đến người dùng có khả năng được trẻ em truy cập và cho phép nội dung độc hại được gọi là nội dung ưu tiên chính, hoặc nếu bạn là dịch vụ xuất bản hoặc hiển thị nội dung khiêu dâm của chính mình, bạn phải sử dụng xác minh độ tuổi hiệu quả cao (HEAA) để ngăn trẻ em tiếp xúc với nội dung như vậy.'
Quan trọng là, ICO và Ofcom nói rằng họ chia sẻ cách tiếp cận 'linh hoạt, trung lập về công nghệ' đối với xác minh độ tuổi. Nói cách khác, các cơ quan quản lý sẽ không bắt buộc bất kỳ giải pháp công nghệ cụ thể nào miễn là nó 'hiệu quả cao' và 'cần thiết, cân xứng với rủi ro của bạn và tuân thủ luật pháp về bảo vệ dữ liệu.' Điều này, đáng chú ý, khác với cách tiếp cận của EU.
EU đã phát triển một bản thiết kế xác minh độ tuổi đặt nền móng cho một phương pháp chung để các quốc gia thành viên EU sử dụng để xác minh độ tuổi. Điều này sẽ giúp việc quản lý dễ dàng hơn, nhưng nó tạo thêm áp lực lên cơ quan chính trị để có được công nghệ chính xác.
Một trong những lo ngại lớn với xác minh độ tuổi nói chung là làm thế nào để đảm bảo quyền riêng tư dữ liệu. Có rất nhiều giải pháp độc đáo và, hãy nói là, thú vị để lựa chọn, nhưng những giải pháp tốt nhất đều sử dụng 'bằng chứng không kiến thức' (ZKPs). Về cơ bản, chúng cho phép một công ty có được bằng chứng chắc chắn về danh tính hoặc độ tuổi mà không bao giờ chuyển thông tin đó cho chính công ty, giữ nó hoàn toàn riêng tư.
Tuyên bố chung không đề cập đến các bằng chứng như vậy, nhưng không có gì ngăn cản chúng được coi là 'hiệu quả cao.' Và chắc chắn có rất nhiều đề cập đến quyền riêng tư dữ liệu. Ví dụ, ICO đề xuất trong các hướng dẫn riêng biệt rằng 'bạn phải nhúng bảo vệ dữ liệu vào thiết kế sản phẩm, dịch vụ và ứng dụng của mình.'
Tuy nhiên, có sự khác biệt giữa việc bảo vệ dữ liệu khỏi bị rò rỉ hoặc bán một khi nó đã được thu thập và ngăn chặn nó bị thu thập và lưu trữ ngay từ đầu. Nói cách khác, việc bắt buộc tập trung vào quyền riêng tư và bảo vệ dữ liệu không nhất thiết có nghĩa là ZKP và quyền riêng tư dữ liệu hoàn toàn. Đó là lý do tại sao tôi sẽ tiếp tục nói về nó, để nhắc nhở bất kỳ ai đang lắng nghe rằng có những cách để giữ tất cả việc xác minh độ tuổi linh tinh này hoạt động (nếu chúng ta phải) mà không từ bỏ một chút quyền riêng tư nào. Chúng ta chỉ cần thúc đẩy những phương pháp đó hơn những phương pháp khác.
Và, tất nhiên, chúng ta không cần phải nghĩ rằng việc xác minh như vậy là không thể tránh khỏi: rốt cuộc, có rất nhiều người thông minh cảnh báo chúng ta chống lại nó.