Stanowisko Sekcji Bezpieczeństwa Teleinformatycznego KI PAN dot. projektu ustawy „o ochronie małoletnich przed dostępem do treści szkodliwych w internecie”

1. W niniejszym stanowisku Sekcja nie odnosi się do samego problemu stanowiącego motywację proponowanej ustawy. Opinie w tym zakresie wymagają wiedzy medycznej, psychologicznej i socjologicznej.
2. Obowiązujący system prawny i praktyka postępowania w różnych obszarach już obecnie uzależnia uprawnienia osoby fizycznej od Dotyczy to wielu obszarów i nie jest ograniczone do badania pełnoletności (dla przykładu dotyczy uprawnień do zniżek dla seniorów).
3. Wiele usług oferowanych jest obecnie w formie cyfrowej lub hybrydowej (np. sprzedaż biletów online na usługi „w realu”). Brak jest narzędzi cyfrowych wspierających weryfikację wieku w takim przypadku. Jednak należy zauważyć, że certyfikat wieku jest najbardziej oczywistym certyfikatem atrybutów w Europejskim Cyfrowym Portfelu Tożsamości (EDIW) wprowadzanym Rozporządzeniem eIDAS 0. Dostępność takiego rozwiązania byłaby niezwykle użyteczna np. w obszarze sprzedaży detalicznej (np. wyeliminowanie ręcznej zawodnej weryfikacji w przypadku sprzedaży alkoholu).
4. W związku z powyższymi aspektami rekomendujemy jak najszybsze wprowadzenie funkcjonalności „weryfikacja wieku” do powszechnych narzędzi takich jak mObywatel czy projektowany EDIW.
   Warto nadmienić, że jest to kierunek obrany przez Francję.
5. W kontekście technologicznym, wydawanie podstawowych certyfikatów atrybutu wieku („wiek>x”) jest stosunkowo proste i umożliwia ochronę danych osobowych „by-design and by default”. W tym celu może być na przykład użyty mechanizm Privacy Pass oparty o ślepe podpisy i stosowany obecnie jako mechanizm zastępujący CAPTCHA. Podobnie, wykorzystać można mechanizm kryptograficzny partially blind signatures.
6. Rozwiązania przewidziane w projekcie ustawy mogą zostać wykorzystane do blokowania przez osoby o skrajnych poglądach treści nie mających charakteru treści podlegających zamierzonym restrykcjom. W szczególności zablokowane mogą zostać treści edukacyjne dla małoletnich służące ochronie przed przestępcami seksualnymi czy wręcz podstawowa wiedza medyczna.
7. Koszty wprowadzenia ustawy dla sektora publicznego są mylnie określone jako zerowe. Rozmiar danych w rejestrze może być znaczny i związany z dostawcami treści z państw W szczególności rejestr może być celem flooding attack.
   Utrzymanie funkcjonalności rejestru w projektowanych kształcie może okazać się kosztowne w sensie operacyjnym.
8. Rekomendacje i wymagania, o których mowa w art. 5 projektu, powinny być przedłożone i przetestowane w praktyce przed podjęciem decyzji o wprowadzeniu projektowanej regulacji. Pozwoliłoby to ocenić rzeczywiste skutki techniczne i realizowalność celów.

Jednocześnie wyrażamy następujące stanowisko wobec rozwiązań w projektowanej ustawie wskazując na istotne negatywne konsekwencje, w tym w obszarze cyberbezpieczeństwa:

1. Weryfikacja wieku wymaga skutecznych metod, które nie kompromitują prywatności użytkowników i dają w tym względzie gwarancje bez względu na zachowanie strony weryfikującej. Ochrona danych osób weryfikowanych pod kątem wieku nie może się opierać wyłącznie na zakazie wykorzystania tych danych do innych celów, bowiem istnieje realna możliwość wykorzystywania tych danych oraz jednoczesnego braku możliwości wykazania takich działań.
2. Sposobem na uniknięcie obwarowań dostępu jest stosowanie narzędzi VPN przekierowujących do obszarów świadczenia usług nie objętych regulacjami. Dostawcy usług mogą wyłączyć z obsługi cały obszar, gdzie obwiązuje regulacja (np. określony stan USA) a usługobiorcy migrować do VPN kierujący na obszar nie blokujący dostępu. Przed wprowadzeniem regulacji należałoby zbadać, czy tego typu realne skutki regulacji nie miały miejsca w USA.
3. Argument o kosztach VPN jest nietrafiony, gdyż w omawianym obszarze jakość usługi może być niska, w szczególności kosztem solidności mechanizmów bezpieczeństwa. Argument o trudności instalacji VPN przez małoletnich jest trudny do obrony – ich umiejętności mogą okazać się zaskakująco wysokie w porównaniu do osób pełnoletnich.
4. Podobnie, blokowanie treści może być nieskuteczne ze względu na stosowanie rozwiązań Doświadczenia z obchodzeniem Great Firewall w Chinach wskazują że jest to realna możliwość. Najnowsze wersje TLS wręcz ułatwiają konstruowanie takich obejść.
5. Proponowana realizacja weryfikacji wieku przez usługodawców może być scentralizowana (tak jak weryfikacja tożsamości przez Google, Facebook,…) i realizowana poza faktyczną kontrolą Unii Europejskiej i Może to doprowadzić do sytuacji, gdzie weryfikacja odbywa się za pomocą okazania dokumentu tożsamości. Zgodnie z projektem ustawy, dane w ten sposób okazywane nie mogłyby być wykorzystane do innych celów. Jednak brak jest możliwości sprawdzenia stanu faktycznego – naruszenie obowiązku poufności jest niedostrzegalne, ile naruszający nie łamie zobowiązań w sposób ewidentny. Z tego względu, projektowana ustawa jest wręcz niebezpiecznym precedensem w obszarze cyberbezpieczeństwa i stwarza możliwość wycieku wrażliwych danych o dużej wartości dla adwersarzy.
6. Przerzucenie obowiązku weryfikacji wieku i budowy systemu wspierającego na dostawców usług jest ukrytą formą wsparcia dla dużych podmiotów działających w tym obszarze ze względu na ich naturalną przewagę w implementacji wymagań. Z drugiej strony, duże podmioty mają większe możliwości ukrywania i uchylania się od odpowiedzialności za bezprawne wykorzystanie pozyskanych danych osobowych.
7. W konsekwencji, wprowadzenie projektowanej ustawy w obecnym skutkowałoby kosztami dla sektora publicznego (faktyczne koszty zorganizowania i prowadzenia rejestru) , nikłym faktycznym efektem w zakresie blokady szkodliwych treści oraz prawdopodobnym wyciekiem wrażliwych informacji do podmiotów nie pozostających pod faktyczną kontrolą Państwa.

Stanowisko wyraża poglądy Sekcji Bezpieczeństwa Komitetu Informatyki PAN i nie powinno być utożsamiane ze stanowiskiem Polskiej Akademii Nauk.