Спустя год после принятия закона об обязательной проверке возраста в сети правительство Великобритании рассказало, как это делать – "точно, справедливо и высокоэффективно"

Закон об онлайн-безопасности (Online Safety Act, OSA) был принят в Великобритании более года назад. Формально он обязывает социальные сети и поисковые сервисы более ответственно подходить к безопасности своих пользователей. Однако конкретные механизмы реализации до сих пор уточняются, в том числе порядок проверки возраста. Именно поэтому два британских регулятора опубликовали совместное заявление с рекомендациями для компаний.

Управление комиссара по информации (ICO), занимающееся защитой информационных прав граждан, и Ofcom, регулирующий конкурентную среду во всех крупных коммуникационных отраслях страны, обозначили общие принципы. Ключевой термин, который повторяется на протяжении всего документа, – "высокоэффективное подтверждение возраста" (highly effective age assurance, HEAA). Именно такой подход должны применять онлайн-сервисы, когда это необходимо.

Что именно подразумевается под этой формулировкой? Ответ намеренно размытый: решения по проверке возраста должны быть технически точными, надёжными, устойчивыми и справедливыми, а также учитывать вопросы доступности и совместимости. Регуляторы не уточняют, как именно оценивать соответствие этим критериям, зато отмечают, что подобная гибкость позволяет сервисам самостоятельно выбирать подходящие методы в зависимости от размера компании, аудитории и доступных ресурсов.

Исследователи обнаружили, что Discord в Великобритании сотрудничал с Persona и передавал селфи пользователей для проверки на терроризм и шпионаж

В качестве примеров допустимых методов называются: проверка через кредитную карту, открытый банкинг, сопоставление фотографий с удостоверением личности, оценка возраста по лицу, проверка через оператора мобильной связи, цифровые сервисы идентификации и оценка возраста по электронной почте. При этом самодекларация, дебетовые карты и общие договорные ограничения на использование сервисов несовершеннолетними в этот перечень не входят.

Если сервис не располагает механизмами HEAA, он обязан учесть это при оценке рисков для детей и внедрить защитные меры, обеспечивающие безопасность для всех возрастных групп. Требование высокоэффективной проверки, судя по тексту заявления, в первую очередь касается платформ с порнографическим контентом: пользовательские сервисы, доступные детям и допускающие так называемый "приоритетный вредоносный контент", а также платформы, самостоятельно публикующие порнографию, обязаны использовать HEAA для исключения доступа несовершеннолетних к подобным материалам.

ICO и Ofcom придерживаются так называемого технологически нейтрального подхода: регуляторы не навязывают конкретное техническое решение, лишь требуя, чтобы оно было высокоэффективным, соразмерным рискам и соответствовало законодательству о защите данных. Это принципиально отличается от подхода Европейского союза, который разработал единый план верификации возраста с общей методологией для всех стран-членов. Такая унификация упрощает регулирование, но одновременно создаёт повышенную ответственность за корректность выбранного технического решения.

Британский суд отказался блокировать иск против Steam на 900 миллионов долларов, в котором магазин обвиняют в завышении цен

Одной из главных проблем при любой системе проверки возраста остаётся конфиденциальность данных. Среди множества существующих решений наиболее приватными считаются те, что основаны на так называемых доказательствах с нулевым разглашением (zero knowledge proofs, ZKP). Эта технология позволяет подтвердить личность или возраст пользователя, не передавая саму информацию сервису, что полностью исключает её хранение или утечку.

Совместное заявление ICO и Ofcom не упоминает ZKP напрямую, однако ничто не мешает таким решениям получить статус "высокоэффективных". Вопросам конфиденциальности документ в целом уделяет заметное внимание: в отдельных рекомендациях ICO прямо указывает, что компании обязаны встраивать защиту данных в архитектуру своих продуктов и сервисов на этапе проектирования.

Однако существует принципиальное различие между защитой уже собранных данных от утечки или продажи и полным отказом от их сбора и хранения. Требование соблюдать конфиденциальность и стандарты защиты данных само по себе не означает обязательного применения ZKP. Именно это различие делает выбор конкретных технологий принципиально важным для реального, а не декларативного обеспечения приватности пользователей.