EU chce vědět, kolik vám je let
Evropská komise představila svou novou vizi ochrany dětí v on-line prostředí. Její součástí je i prokazování identity a věku, které by mohlo být povinné. Dočkáme se jednotné evropské online identity?
Počátkem května představila Evropská komise svou „Novou strategii pro zajištění větší bezpečnosti a lepšího obsahu pro děti a mládež na internetu“. Jde o pokračování aktivit, které si dosud asi nejvíce spojujeme s projektem Safer Internet – ale které jsou dále vystupňované, na základě zjištění, že dosavadní opatření nejsou dostatečně účinná. Stále však jde jen o vizi, či „strategii“, ve smyslu nastolení určitých myšlenek, představ a požadavků, které staví především na dobrovolné spolupráci všech hráčů.
Nejedná se tedy (ještě) o žádné závazné nařízení, které by někoho k něčemu nutilo či zavazovalo. Ale to může také brzy přijít. Vlastně je to v samotné strategii naznačeno: že Komise určité věci očekává a pokud „se nedostaví“, hodlá si je vymoci, skrze konkrétní nařízení.
Čtyři pilíře a bezpečné prostředí
Nově představená strategie se opírá o čtyři pilíře:
- stimulaci nabídky kvalitního obsahu pro děti
- posílení osvěty a vzdělávání na školách
- boj proti pohlavnímu zneužívání a vykořisťování dětí
- vytvoření bezpečného on-line prostředí pro děti
Problém je s posledním bodem, který je v oficiální tiskové zprávě o nové strategii prezentován poněkud jinak, než v samotné strategii jako takové. Rozdíl je v tom, že tisková zpráva nezmiňuje důležitý prvek pro tvorbu „bezpečného prostředí“, kterým by mělo být zavedení nových mechanismů autentizace (tj. prokazování vlastní identity on-line prostředí), které by současně poskytovaly spolehlivý údaj o věku konkrétního uživatele. A na to by následně byly navázány mechanismy ochrany dětí v on-line prostředí:
Komise:
- má v úmyslu navrhnout v roce 2012 celoevropský rámec elektronické autentifikace, který umožní použití osobních charakteristik (zejména věku) k zajištění souladu s ustanoveními o věku uvedenými v návrhu nařízení o ochraně údajů
- bude podporovat výzkum a vývoj v oblasti rozvoje technických prostředků elektronické identifikace a autentifikace příslušných služeb v celé EU a jejich zavádění.
Navíc by tato opatření nemusela být jen dobrovolná, ale mohla by být nařízena i jako povinná – pokud Komise nebude spokojena s jejich přínosy v dobrovolné podobě. Protože hned záhy se ve strategii mluví o tom, že
Komise:
zváží regulační opatření v případě, že samoregulace podniků nepřinese výsledky.
Zmiňována jsou ale i další opatření pro zajištění bezpečného on-line prostředí, ve kterých Komise chce výrazněji „přitvrdit“. Jde například o nástroje rodičovské kontroly, které by nově měly být ještě účinnější a hlavně dostupné „všude a na všechno“: měly by fungovat na všech zařízeních a platformách, využitelných pro přístup on-line, včetně mobilů, tabletů apod., a měly by „účinkovat“ na všechny druhy obsahu. Dokonce i na „obsah vytvářený uživatelem“.
Dále je zmiňována potřeba značného posílení mechanismů a nástrojů pro klasifikaci obsahu, a to jak co do druhu obsahu, tak i co do jeho vhodnosti pro různé věkové kategorie. Výsledkem by měl být „všeobecně použitelný, transparentní a konzistentní celounijního přístup ke klasifikaci podle věku a klasifikaci obsahu různých typů obsahu/služeb, včetně on-line her, aplikací a vzdělávacího a dalšího kulturního obsahu)“.
Nu, logické to je, protože na čem jiném zakládat rozumně fungující možnosti rodičovské kontroly, než na správné klasifikaci obsahu. Jenže: kdo a jak ji bude dělat? A kdo to zaplatí? Vzhledem k rozsahu toho, co je dnes dostupné on-line, je to obrovský a svým způsobem nekonečný kus práce, který nikdo jen tak (zadarmo) neudělá. Možná i proto Komise ve svých záměrech zmiňuje možnosti zautomatizování takovéto klasifikace. Jenže to je snad ještě větší oříšek.
Nicméně, a to je to asi nejpodstatnější: ani tisková zpráva, ani samotná strategie ještě neříkají, jak budou popisované mechanismy nasazeny. Zda na principu opt-in, nebo opt-out. Tedy například zda rodič budou zapínat rodičovskou kontrolu svým dětem (princip opt-in), nebo zda ji naopak budou vypínat sami sobě, aby se vůbec dostali tam, kam běžné přistupují, jako například ke svému účtu skrze internetbanking (což je princip opt-out).
Do Internetu jen s prokázanou identitou?
Vraťme se ale zpět k poněkud „zastrčenému“ požadavku na zavedení jednotné on-line identity a prokazování věku skrze ni. I zde samozřejmě bude velmi záležet na tom, jak by vše mělo být nasazeno.
Na první pohled by se mohlo zdát logické vyžadovat autentizaci a skrze ni i prokazování věku jen u specifických služeb „pouze pro dospělé“. Jenže i to je velmi vágní a vychází to vstříc snahám zahrnout do takovéto kategorie prakticky cokoli, co není vysloveně šito na míru dětem školou povinným. Třeba i místa, kde občas padne nějaké tvrdší slovo, či se objeví nějaký méně prudérní obrázek. Vzpomínáte ještě na kauzu blokování Wikipedie, kvůli přebalu jedné gramodesky?
Ale hlavně: jakmile už bude nějaké jednotné prokazování identity zavedeno, zcela jistě se najde řada zájmových skupin, které budou tlačit na to, aby takováto možnost byla využívána univerzálně, pro jakékoli aktivity na Internetu. Nejlépe už při samotném připojování k Internetu – aby nebylo možné bez toho, že se uživatel jednoznačně identifikuje. Aby se po Internetu nemohl nikdo pohybovat anonymně.
Samozřejmě to není nijak nová myšlenka, resp. záměr. A to ani v našich luzích a hájích. Vzpomínáte třeba na vize bývalého předsedy Rady pro rozhlasové a televizní vysílání Václava Žáka, vyjádřená v jednom rozhovoru zde na Lupě? V článku s příznačným názvem „Anonymní Internet během několika let zmizí“?
Například pro bojovníky za lepší vymáhání práv duševního vlastnictví to musí takovéto představy znít jako rajská hudba. Připomeňme si, co jsem zmiňoval i v nedávném článku o historii „zániku“ zábavního průmyslu: že když přišly na trh kazetové magnetofony, hudební průmysl s tím měl zásadní problém, cítil se tím ohrožen na samotné své existenci, a už tehdy se pokoušel požadovat po prodejcích jména a adresy těch, kteří si nějaké záznamové zařízení (kazetový magnetofon) koupili. Dnes by si určitě našli důvod, proč potřebují znát identitu všech, kteří se pohybují po Internetu.
Nemluvě již o tom, jak by se vše hodilo nejrůznějším bezpečnostním složkám a službám.
Jaké by mohlo být technické řešení?
Nechme nyní stranou „etické“ otázky a podívejme se na věc po technické stránce: jak by mohlo vypadat konkrétní řešení, po kterém Komise volá?
Z toho, co je ve studii uvedeno, lze usuzovat na projekt jménem PEFIAS (Pan-European framework for electronic identification, authentication and signature), který byl již dříve zmíněn v kontextu bezpečných plateb na Internetu, a také v souvislosti s elektronickými podpisy a službami eGovernmentu.
Jenže: zatím jde pouze o vizi, která by teprve měla být představena veřejnosti. Podle různých zdrojů by se tak mělo stát 30. května, kdy Komise chce zveřejnit její detaily.
Zkusme si proto v předstihu trochu zaspekulovat, o co by se asi mohlo jednat. Osobně tipuji, že to bude souviset s novými elektronickými občanskými průkazy, které se postupně začínají prosazovat v celé EU. A které usilují o „nadnárodní použitelnost“, tak aby se s nimi mohl občan identifikovat i v jiných členských zemích, než je jeho domovská, která průkaz vydala.
Zkusme si ale představit, jak by se pro něco takového měly využít tuzemské „elektronické“ občanky, které vlastně ani elektronické nejsou – a jen se jim tak říká kvůli tomu, že část údajů se z nich přestěhovala do elektronických registrů, do budoucna těch základních. Nejinak je tomu i s tzv. BOKem (bezpečnostním osobním kódem), který se uchovává v základním registru obyvatel, a který by měl sloužit potřebám autentizace – zatímco prostředkem identifikace je sériové číslo samotné občanky, coby „kusu plastu“.
Pokud by se kombinace sériové číslo + BOK měla použít pro identifikaci a autentizaci, bylo by to hodně „slabé“ – ale v zásadě by to šlo. Jenže využít by to mohl pouze ten, kdo má přístup do základních registrů, aby si mohl ověřit kombinaci sériového čísla a BOKu. Takovýto přístup ale budou mít pouze orgány veřejné moci, skrze své agendové informační systémy, a nikoli privátní subjekty, jakými jsou například provozovatelé různých serverů. Natož pak ti zahraniční, byť v EU.
Nicméně jiné technické řešení, schopné garantovat věk uživatele, už existuje, a to i v ČR. Jde o službu MojeID, odvozenou od známého řešení OpenID. Nabízí totiž dvě úrovně ověření identity, přičemž ta vyšší, označovaná jako validovaná (resp. validovaný kontakt) již zahrnuje i ověřený údaj o datu narození. Takže MojeID u validovaných identit ví, kolik je uživateli let, a může to garantovat i tomu, kdo takovýto údaj při přihlašování požaduje. Je pak už jen na přihlašujícím se uživateli, zda poskytnutí tohoto údaje odsouhlasí. Podrobněji viz tento můj článek o MojeID zde na Lupě.
Evropa by tak vlastně ani nemusela hledat nějaké nové řešení, a „podporovat výzkum a vývoj v oblasti rozvoje technických prostředků elektronické identifikace a autentifikace“, jak uvádí ve své nové strategii. Mohla by se poohlédnout po již fungujícím českém řešení v podobě služby MojeID, které provozuje sdružení CZ.NIC.