Dois dos projetos de lei mais consequentes para a internet no mundo democrático avançaram no mesmo dia. A 29 de junho, a Câmara dos Representantes dos EUA aprovou o Kids Internet and Digital Safety Act, um pacote construído em torno de uma versão revista do Kids Online Safety Act, por 267 contra 117. Em Bruxelas, os negociadores reuniram-se para o que foi anunciado como o trílogo final sobre o Chat Control 2.0, o regulamento europeu de proteção de crianças há muito em curso. Ambos os projetos estiveram sob fogo durante meses e ambos recuaram de forma visível: a controversa cláusula do "dever de cuidado" do KOSA, que os críticos avisavam que transformaria as plataformas em polícia do discurso, foi retirada, e os negociadores da UE abandonaram a análise obrigatória do lado do cliente nas mensagens privadas, que teria partido a encriptação para todos.
O que sobreviveu em ambos é o mecanismo mais silencioso e menos contestado: a verificação obrigatória de idade. Para confirmar que um utilizador tem idade suficiente, uma plataforma tem de verificar a idade, e geralmente a identidade, de quem chega, incluindo adultos. Como afirmou a EFF este mês, isto transforma a navegação anónima em navegação identificada e fabrica exatamente aquilo que um regime de privacidade deveria impedir: grandes pools centralizados de dados de identidade sensíveis em servidores, à espera de serem violados, intimados ou vendidos.
Porque é que importa
A Grã-Bretanha é o ensaio geral. Ao abrigo do Online Safety Act, a Ofcom abriu mais de 90 investigações e começou a emitir multas, e os utilizadores entregam agora documentos de identificação emitidos pelo governo ou submetem-se a leituras faciais para aceder a conteúdo comum. Um único fornecedor supostamente assegura as verificações de idade para cerca de 60% dos sites que as exigem, uma concentração de documentos de identidade que faria qualquer engenheiro de segurança estremecer. O objetivo declarado é proteger as crianças; o artefacto construído é uma camada de vigilância de identidade para toda a população.
A tecnologia para evitar esse resultado já existe. Usando uma prova de conhecimento zero, um utilizador pode demonstrar que tem mais de 18 anos a um site sem que este saiba mais nada: nem o nome, nem a data de nascimento, nem um documento que a plataforma tenha de guardar. A própria aplicação de verificação de idade da UE foi explicitamente concebida para esse fim. O problema é que as leis que obrigam à verificação raramente obrigam a essa arquitetura.
Perguntas frequentes
-
O que é que o KOSA e o Chat Control 2.0 abandonaram esta semana e o que mantiveram?
Ambos os projetos recuaram nas suas disposições mais criticadas: a cláusula do "dever de cuidado" do KOSA e a análise obrigatória do lado do cliente das mensagens privadas da UE. Ambos mantiveram a verificação obrigatória de idade, que é o mecanismo que obriga as plataformas a confirmar a idade, e muitas vezes a…
-
Porque é que a verificação de idade é descrita como um problema de privacidade?
Confirmar que um utilizador tem idade suficiente exige verificar a idade, e geralmente a identidade, de quem chega, incluindo adultos. Isto transforma a navegação anónima em navegação identificada e cria grandes pools centralizados de dados de identidade sensíveis que podem ser violados, intimados ou vendidos.
-
Como é que o Online Safety Act britânico serve de ensaio geral?
A Ofcom abriu mais de 90 investigações e começou a emitir multas ao abrigo da lei, e os utilizadores entregam agora documentos de identificação do governo ou submetem-se a leituras faciais para aceder a conteúdo comum. Um único fornecedor supostamente assegura as verificações de idade para cerca de 60% dos sites que…
-
É possível verificar a idade sem recolher identidade?
Sim. Uma prova de conhecimento zero permite a um utilizador demonstrar que tem mais de 18 anos a um site sem que este saiba mais nada, incluindo nome, data de nascimento ou qualquer documento armazenado. A própria aplicação de verificação de idade da UE foi explicitamente concebida assim, mas a maioria das leis de…
-
Qual é a ligação entre a verificação de idade e os agentes de IA?
Os agentes de IA vão precisar de provar o que estão autorizados a fazer sem revelar a pessoa ou organização por trás deles, um requisito de "Conheça o Seu Agente". A arquitetura preservadora de privacidade que está a ser debatida para as verificações de idade humanas é a mesma que vai definir o padrão para a…
CoinDesk