2022-08-03 18:23:21
#Аналітика
ВАМ Є 18 РОКІВ? ВІКОВИЙ КОНТРОЛЬ НА САЙТАХ
Як перевірити, що користувач досяг певного віку, щоб відвідувати сайти для дорослих, гарантуючи при цьому захист його/її даних? Французький регулятор CNIL представляє свої рекомендації.
Законодавчі вимоги
Надання деяких послуг або товарів підпорядковується віковим вимогам, які зобов'язують відповідні сайти перевіряти вік клієнта: певні банківські послуги, покупка алкоголю, азартні ігри, ставки онлайн, порнографічні сайти тощо.
Система перевірки віку має будуватися на шести стовпах: мінімізація, пропорційність, надійність, простота, стандартизація та залучення третьої сторони.
Наявні системи перевірок
CNIL наводить кілька рішень, які можна використовувати до створення нового механізму.
Валідація платіжної картки
Недоліки: неповнолітні можуть мати картки; соціальна дискримінація дорослих; ризик фішингу.
Оцінка на основі аналізу особи
Недоліки: похибка; альтернативний підхід до апелянтів; інтрузивність (доступ до камери тощо); ризик шантажу.
Необхідна умова: довірена третя сторона.
Система автономної перевірки
Продаж "скретч-карт" лише для дорослих з ідентифікатором та паролем у торгових точках, де проводять перевірку віку у зв'язку з продажем алкоголю, сигарет та азартних ігор.
Недоліки: стигматизація; шахрайство шляхом перепродажу.
Необхідна умова: цей спосіб вимагає особливого управління, коли орган, що видає карти, керує системами автентифікації.
Аналіз документів, що посвідчують особу
Недоліки: легко обійти*; ризик для персональних даних.
*проте деякі системи порівнюють фото документа із тестом "живого виявлення" (фото/відео у момент запиту на перевірку віку). Цей процес надійніший, однак призводить до обробки біометричних даних.
Необхідна умова: необхідно створити орган із сертифікації для перевірки наявності необхідних гарантій для збору та аналізу документів.
Використання державних інструментів
Недоліки: невідповідність меті створення; держава матиме список суто приватних зв'язків; ризик асоціювання офіційної особи з інтимною інформацією/орієнтацією.
Необхідна умова: довірена третя сторона.
Інференційні системи перевірки віку
Імпортування історії перегляду інтернет-сторінок – метод не сумісний із захистом даних.
Аналіз "зрілості" за допомогою анкети – відносно надійно, потенційно дискримінаційно.
Аналіз переглядів на власних сервісах володільця сайту (особливо великих цифрових платформах) – необхідні умови: метод не повинен призводити до прийняття автоматизованого рішення; без збору додаткових даних; дані, отримані на сервісах платформи, необхідно відрізняти від даних, зібраних шляхом відстеження перегляду користувачем інших сайтів; система висновків повинна бути оцінена незалежною третьою стороною, щоб обмежити ризики.
Залучення третьої сторони
З метою збереження довіри між усіма учасниками та високого рівня захисту даних CNIL рекомендує сайтам не виконувати операції з перевірки віку самостійно, а покладатися на сторонні рішення, достовірність яких була перевірена незалежно:
видача підтвердження віку;
передача цього засвідченого підтвердження віку на відвідуваний сайт;
аналіз поданого підтвердження віку та надання/ненадання доступу.
Доручення цих функцій різним суб'єктам дозволяє захистити приватність:
сервіс, що надає підтвердження віку, знає особу користувача, але не знає, який сайт користувач відвідує;
сервіс, що передає підтвердження віку на сайт, може знати сайт, але не особу користувача;
сайт знає вік користувача (або тільки факт повноліття) і знає, що він відвідує цей сайт, але не знає його особу.
Створення спеціального знака або сертифікації протягом усього циклу управління підтвердженням віку могло б забезпечити відповідність цих систем GDPR.
CNIL спільно з Олів’є Блазі, професором Політехнічної школи та Центру експертизи державного цифрового регулювання, розробили демонстратор.
Все буде Україна!
_________
Джерела:
Рекомендації CNIL
533 viewsedited 15:23