آشفته‌بازار احراز سن: فعلا چاره دیگری وجود ندارد!

خانه » مقالات » آشفته‌بازار احراز سن: فعلا چاره دیگری وجود ندارد!

فشارهای موجود برای افزایش امنیت کودکان در فضای آنلاین، پلتفرم‌ها را مجبور کرده به مجموعه‌ای محدود از روش‌های تأیید سن متوسل شوند که خود ناقص حریم خصوصی کودکان هستند

اما راث

نویسنده حوزه فناوری

سه شنبه, ۰۵ خرداد ۱۴۰۵

زمان تقریبی مطالعه ۲۶ دقیقه

در چند سال اخیر احراز سن از یک گزینة محدود به یک الزام جهانی تبدیل شده، اما هیچ‌کدام از راه‌حل‌های موجود بی‌نقص نیستند. در این مقاله بررسی می‌کنم که پلتفرم‌ها چگونه بین حفاظت از کودکان و حفظ حریم خصوصی کاربران گیر افتاده‌اند. استدلالم این است که تمام روش‌های فعلی، از استنتاج هوش مصنوعی تا احراز هویت با مدارک شناسایی، نقص‌های جدی دارد و حتی می‌تواند خطرات تازه‌ای ایجاد کند. در نهایت، نشان می‌دهم چرا با وجود تمام این ایرادها، فعلاً راه‌حل بی‌نقصی نداریم و باید به دنبال تعادلی واقعی‌تر باشیم.

در عرض چند سال، تأیید سن از یک گزینه محدود به یک رویۀ استاندارد در بخش‌های مختلفی از اینترنت تبدیل شده است. در تلاش برای جلوگیری از دسترسی کودکان به محتوای جنسی، محتوای نامناسب، یا حتی شبکه‌های اجتماعی، کشورهای زیادی به قوانین الزامی احراز سن روی آورده‌اند. کشورهایی مانند بریتانیا، آمریکا، استرالیا، فرانسه، برزیل و بسیاری کشورهای دیگر. اما مشکل دقیقاً از همین‌جا شروع می‌شود، چطور باید مطمئن شد کاربر درباره سنش دروغ نمی‌گوید؟ متأسفانه هر روشی که سیاست‌گذاران به آن رسیده‌اند، ایرادهای جدی دارد. ایده‌هایی که کارشناسان برای بهبود مطرح کرده‌اند هم فعلاً در حد ایده و نظر باقی مانده‌اند.

یکی از روش‌های رایج «استنتاج سن» است که با استفاده از هوش مصنوعی سن کاربران را بر اساس فعالیت‌شان در یک پلتفرم «حدس» می‌زند. روش دیگر استفاده از سرویس‌های شخص ثالث است که ادعا دارند اولویتشان حریم خصوصی کاربر است. راه سوم این است که فروشگاه‌های نرم‌افزاری و سیستم‌عامل‌ها قبل از دانلود برنامه‌ها، سن کاربر را بررسی کنند. با اینکه قوانین جدید پلتفرم‌ها را مجبور کرده‌اند این کارها را در مقیاس گسترده اجرا کنند، اما هرکدام از این روش‌ها مزایا و معایب خود را دارند. الان در سال ۲۰۲۶ هستیم و هرچه جلوتر می‌رویم، اینترنت بیشتر و بیشتر به سمت محدودیت‌های سنی می‌رود، اما هنوز فناوری درستی وجود ندارد.

همه‌چیز از استنتاج سن شروع می‌شود

بسیاری از پلتفرم‌ها سعی می‌کنند با داده‌هایی که از قبل دارند، سن کاربران را حدس بزنند چون معمولا درخواست کارت شناسایی یا اسکن چهره کاربران را فراری می‌دهد. برای مثال، متا از یک سیستم مبتنی بر هوش مصنوعی استفاده می‌کند تا نوجوانان را شناسایی کند و در اینستاگرام آن‌ها را در حساب‌های محدودتر قرار دهد. گوگل و یوتیوب هم به تازگی حساب‌هایی را که احتمال می‌دهند زیر ۱۸ سال باشند بررسی می‌کنند، و دیسکورد هم قرار است چنین سیستمی را اواخر امسال راه‌اندازی کند.

سیستم‌های استنتاج سن به عوامل مختلفی نگاه می‌کنند. یک نمونة ساده، سن حساب کاربری است، مثلاً اگر ۱۸ سال پیش در اینستاگرام ثبت‌نام کرده‌اید، احتمالاً بالای ۱۸ سال دارید. بعضی سیگنال‌ها فرضی‌تر هستند. یوتیوب از هوش مصنوعی برای تحلیل نوع ویدیوهایی که جست‌وجو کرده‌اید استفاده می‌کند. دیسکورد گفته از داده‌های دستگاه و فعالیت کاربر و همچنین «الگوهای کلی و تجمیع‌شده در جوامع دیسکورد» استفاده خواهد کرد. در اینستاگرام هم ممکن است اگر کسی زیر پست شما بنویسد «تولدت ۱۴ سالگیت مبارک»، حساب‌تان علامت‌گذاری شود.

در حالت ایده‌آل، مزیت این روش این است که کسی مجبور به ارائۀ اطلاعات اضافی نیست. دیسکورد گفته اکثر کاربران تحت تأثیر سیستم جدید احراز سن این شرکت قرار نمی‌گیرند، چون همین هوش مصنوعی از قبل سن آن‌ها را حدس می‌زند. کوبون زوایفل-کیگن [۱]، مدیر انجمن بین‌المللی متخصصان حریم خصوصی[۲]، می‌گوید: «برای این‌که سن کسی را بفهمید لازم نیست بدانید او کیست بنابراین در نظریه، این فناوری‌ها ممکن است کمتر به حریم خصوصی نفوذ کنند».

اما استنتاج سن اغلب به‌تنهایی نمی‌تواند سن را با دقت بالا پیش‌بینی کند و ممکن است استانداردهای تعیین‌شده توسط قانون‌گذاران را هم رعایت نکند. وقتی این سیستم نتواند با اطمینان تشخیص‌گذاری کند و یا فردی را به اشتباه زیر سن قانونی علامت‌گذاری کند، کاربران باید در نهایت اطلاعات شخصی خودشان را ارائه کنند.

ارائۀ اطلاعات شخصی

برای تأیید این‌که فردی حداقل ۱۸ سال دارد، سیستم‌های احراز سن معمولاً باید اطلاعات شخصی او را جمع‌آوری کنند و این مسئله چالش‌های جدیدی برای حریم خصوصی مردم ایجاد می‌کند. مثلاً کارت ملی دولتی با عکس، شاخص بسیار دقیقی برای احراز سن است، اما اگر عکس این کارت در نشت‌های امنیتی فاش شود می‌تواند مشکلات جدی به همراه داشته باشد، و اتفاقاتی از این دست به کرات رخ داده‌اند. شرکت‌های واسطه‌ای مثل k-ID، Personaو Yoti وجود دارند که سیستم‌های احراز سن خود را در اختیار شرکت‌های مختلف قرار می‌دهند. استفاده از این خدمات شخص ثالث باعث می‌شود شرکت‌ها دیگر خطر ایجاد یک سیستم احراز سن و دردسر حفاظت از داده‌های آن را نداشته باشند. اما همچنان یک مشکل امنیتی اساسی برای کاربران وجود دارد که این سرویس‌ها هم هنوز موفق به کاهش یا رفع آن نشده‌اند.

اسکن چهرۀ کاربر و تعیین خودکار بازه سنی او هم جدیدا گزینة محبوبی شده است. در این روش نیازی به ارائه مدارک رسمی نیست و حتی می‌تواند روی دستگاه خود کاربر هم انجام شود تا خطرات ذخیره و جابجایی اطلاعات هویتی نیز از بین برود.

اما طبق گزارش بنیاد پیشروان الکترونیک [۳]، تخمین سن بر اساس چهره اغلب دقت پایینی دارد، به‌ویژه برای افراد رنگین‌پوست و زنان. همچنین می‌توان این سیستم را با روش‌های مختلف فریب داد، حتی با استفاده از چهرة یک شخصیت بازی‌های کامپیوتری مثل سم پورتر بریدج از بازی .Death Stranding اگر داده‌های اسکن چهره به بیرون درز پیدا کنند، ابزارهای قدرتمند تشخیص چهره می‌توانند از همین داده‌ها برای شناسایی افراد استفاده کنند.

“اگر می‌توانستیم احراز سن را به‌طور مؤثر روی گوشی انجام دهیم، بدون لحظه‌ای تردید انجامش می‌دادم، اما فعلاً عملی نیست”.

از طرف دیگر، احراز هویت روی خود دستگاه، که گزینه‌ای شخصی‌تر از انتقال اطلاعات به سرورهاست، مشکلات خودش را دارد. ریک سانگ [۴]، مدیرعاملPersona می‌گوید اغلب ترجیح شرکت‌ها، احراز از سمت سرور است چون پیدا کردن راه‌های دور زدن سیستم‌های روی دستگاه آسان‌تر است. او می‌گوید دور زدن این سیستم‌ها «نسبتاً آسان است، و به همین دلیل همه‌چیز به سمت سرورها حرکت کرده»، با اینکه اجرای روش‌های روی دستگاه برای شرکت‌ها ارزان‌تر تمام می‌شود. «اگر می‌توانستیم این کار را به‌طور مؤثر روی گوشی انجام دهیم، بدون لحظه‌ای تردید انجامش می‌دادم، اما فعلاً عملی نیست».

یکی دیگر از معایب احراز سن روی خود دستگاه، حداقل از نگاه سانگ، این است که گوشی‌های قدیمی ممکن است قدرت کافی برای اجرای مدل‌های هوش مصنوعیِ لازم برای تحلیل چهره کاربر را نداشته باشند. او می‌گوید: «بخش بزرگی از دنیا هنوز از دستگاه‌های قدیمی اندروید استفاده می‌کنند و تعداد زیادی هم آیفون‌هایی قبل از آیفون ۱۰ دارند. مدل‌های AI حتی در دستگاهشان نصب نمی‌شود و این باعث شکافی می‌شود که در آن فقط کسانی که دستگاه‌های جدیدتر دارند از حریم خصوصی بیشتری برخوردارند و بقیه نه». با تمام خطرات امنیتی که متوجه آپلود کردن مدارک هویتی است، این افراد چارۀ دیگری نخواهند داشت.

فشار به سازندگان دستگاه‌ها و سیستم‌عامل‌ها

امروزه قانون‌گذاران به یک راه‌حل به‌ظاهر ساده برای محدودسازی سنی رسیده‌اند: اینکه فروشگاه‌های نرم‌افزاری این کار را انجام دهند. طبق این پیشنهاد، صاحبان اپ‌استورها موظف می‌شوند قبل از اینکه کاربران بتوانند نرم‌افزاری را دانلود یا خریداری کنند، سن آن‌ها را تأیید کنند. شرکت‌هایی مثل متا، اسپاتیفای، مچ و گارمین از این ایده حمایت می‌کنند و می‌گویند داشتن یک نقطة واحد برای احراز سن، کارآمدتر از بررسی جداگانة سن در هر پلتفرم است.

حامیان این قوانین معمولاً روی اپ‌استور اپل و پلی‌استور اندروید گوگل تمرکز دارند، اما سیستم‌عامل‌های دیگر هم درگیر این موضوع هستند و همین‌جاست که اوضاع پیچیده‌تر می‌شود. برای مثال، طبق قانون Digital Age Assurance Act در کالیفرنیا، از سال ۲۰۲۷ سیستم‌عامل‌هایی مثل ویندوز، macOS و لینوکس باید هنگام راه‌اندازی دستگاه، تاریخ تولد کاربران را بپرسند. سپس سیستم‌عامل باید «سیگنالی» شامل بازه سنی کاربر را به نرم‌افزارهایی که در فروشگاه همان سیستم عامل ارائه می‌شوند منتقل کند.

این موضوع سیستم‌عامل‌های متن‌باز، مانند نسخه‌های مختلف لینوکس را در موقعیت دشواری قرار می‌دهد. چون بیشتر این نسخه‌ها در حال حاضر کاربران را مجبور به ساخت حساب کاربری‌ای که بتواند سن را ذخیره و منتقل کند نمی‌کنند. توسعه‌دهندگان توزیع‌های محبوب لینوکس حالا با این الزامات جدید دست‌وپنجه نرم می‌کنند. GrapheneOS، نسخه‌ای از اندروید با تمرکز بر حریم خصوصی، موضع خودش را مشخص کرده: احراز سن هرگز اجباری نخواهد بود، و اگر دستگاه‌هایش به خاطر قوانین در یک منطقه قابل فروش نباشند، «خب که نباشند.» علاوه بر این، هنوز مشخص نیست که آیا قوانین احراز سن در سطح فروشگاه‌های نرم‌افزاری شامل مخازن لینوکس مثل APT یا Pacman هم می‌شود یا نه.

چشم‌انداز پراکندة قوانین احراز سن هم کار را برای شرکت‌های فناوری سخت‌تر کرده است. مشابه قانون کالیفرنیا، ایالت‌هایی مثل تگزاس و لوئیزیانا قوانینی تصویب کرده‌اند که احراز سن را به سطح فروشگاه‌های نرم‌افزاری می‌برند. در مقابل، ایالت‌هایی مثل تنسی، فلوریدا و ویرجینیا مستقیماً سراغ خود پلتفرم‌ها رفته‌اند. هر دو رویکرد هم در برابر متن قانون اساسی آمریکا با مشکل مواجه شده‌اند و دادگاه‌های فدرال اجرای برخی از این قوانین را متوقف کرده‌اند.

زویفل-کیگان می‌گوید: «برای شرکت‌ها سخت نیست که با استفاده از فناوری‌های مختلف سن را تخمین بزنند یا تأیید کنند. ابزارهای زیادی در اختیار دارند. اما برای دولت آمریکا سخت است که آن را الزام‌آور کند. همین که دولت بگوید باید این کار را انجام دهید، موضوع وارد حوزه بررسی‌های متمم اول قانون اساسی می‌شود. و تا حالا هم خیلی موفق نبوده.»

با این مجموعۀ پیچیده و پراکنده از قوانین در جای‌جای جهان، برخی پلتفرم‌های آنلاین مثل دیسکورد و روبلاکس حتی در جاهایی که الزام قانونی ندارند هم احراز هویت سنی را اجرا کرده‌اند، با وجود تمام مزایا و معایبی که به همراه دار د.

آیا راه بهتری هم وجود دارد؟

در میان همه روش‌ها، کارشناسان حریم خصوصی در حال کار روی روش‌هایی هستند که جمع‌آوری داده را به حداقل برساند. یکی از گزینه‌ها اثبات بدون افشا [۵] یا ZKP است، یک روش رمزنگاری که می‌تواند ثابت کند فرد بالای ۱۸ سال است بدون اینکه جزئیات شخصی‌اش را برای اشخاص ثالث فاش کند. این روش در سال ۲۰۲۲ توسط نهاد حفاظت از دادۀ فرانسه به نمایش گذاشته شد. در این سیستم پیشنهادی، نهاد دولتی صادرکنندۀ مدارک هویتی، مدرکی از سن به کاربر می‌دهد که فقط نشان می‌دهد او بالای ۱۸ سال هست یا نه، بدون اینکه نیاز باشد تاریخ تولد یا اطلاعات دیگرش را مستقیماً به سایت یا سرویس ثالث بدهد. کاربران می‌توانند این مدرک را در یک کیف پول دیجیتال یا سرویس مورد اعتماد ذخیره کنند و هنگام نیاز به سایت‌ها یا اپ‌استورها ارائه دهند. گوگل یکی از شرکت‌هایی است که از توسعه این فناوری حمایت می‌کند، هرچند این روش هم بدون نقص نیست.

طبق گفته پژوهشگران Brave، بسیاری از سیستم‌هایی که ZKP را پیاده‌سازی می‌کنند، اگر درست طراحی نشوند، «اثباتی بدون افشا مهیا نمی‌کنند». همچنین اگر کاربران مجبور شوند چندین دفعه سن‌شان را اثبات کنند، ممکن است این سیستم‌ها حریم خصوصی فرد را به‌خطر بیاندازند، به‌خصوص اگر سرویسی که درخواست احراز سن کرده، بازة سنی فرد را طلب کند. برای مثال، اگر کاربری یک بار ثابت کند بین ۲۰ تا ۲۲ سال دارد و دو ماه بعد ثابت کند بالای ۲۱ سال است، عملاً بازة حدودی تاریخ تولدش را فاش کرده است.

اتحادیه اروپا که در حال توسعة یک نرم‌افزار متن‌باز برای احراز سن است، ZKP را به‌عنوان یک ویژگی «آزمایشی» در نظر گرفته که بعداً اضافه خواهد شد. این نرم‌افزار که به گفتۀ رئیس کمیسیون اروپا، اورزولا فون در لاین[۶]، «از نظر فنی آماده است»، از کاربران می‌خواهد مدرک شناسایی یا پاسپورتشان را بارگذاری کنند یا از طریق بانک یا مدرسه سنشان را تأیید کنند. بعد از تأیید سن با استفاده از فهرست «ارائه‌دهندگان مورد اعتماد»، نرم‌افزار یک مدرک احراز سن تولید می‌کند که هیچ اطلاعات هویتی قابل ردیابی (مانند تاریخ تولد) در آن نیست. سپس کاربران می‌توانند از این مدرک برای دسترسی به پلتفرم‌های دارای محدودیت سنی استفاده کنند.

انجمن Future of Privacy Forum گزینه‌های دیگری را هم مطرح کرده، از جمله سیستمی که می‌تواند بررسی اولیه سن را یکبار با استفاده از کارت شناسایی یا اسکن چهره انجام دهد و سپس از آن برای ساخت یک «کلید رمزنگاری پایدار و غیرقابل بازگشت» استفاده کند که در جاهای دیگر قابل ارائه باشد. دنیل هیلز [۷]، مشاور سیاست‌گذاری در این انجمن، به The Verge می‌گوید این روش می‌تواند با راهکارهای دیگر احراز سن ترکیب شود، از جمله اعتبارنامه‌های قابل‌استفاده مجدد که روی مرورگر یا دستگاه ذخیره می‌شوند. او می‌گوید: «این کار می‌تواند تعداد دفعات بررسی سن را کاهش دهد، و در عین حال ریسک استفادۀ مشترک از دستگاه یا به‌اشتراک‌گذاری یک اعتبارنامه بین چند نفر را هم کمتر کند.»

اما این روش‌ها هنوز در حد ایده هستند. هیلز می‌گوید درحال حاضر مهم‌ترین چیز این است که شرکت‌ها و قانون‌گذاران به «تعادل بین حریم خصوصی و ایمنی» فکر کنند. تعادلی که هنوز هیچ سیاست یا ارائه‌دهنده‌ای نتوانسته به‌درستی به آن برسد، و در این فاصله، همۀ ما در معرض خطر هستیم تا زمانی که راه‌حلی پیدا شود.

پانوشت

۱- Cobun Zweifel-Keegan

۲- International Association of Privacy Professionals

۳- Electronic Frontier Foundation

۴- Rick Song

۵- zero-knowledge proof

۶- Ursula von der Leyen

۷- Daniel Hales

نویسندگان

اما راث

نویسنده حوزه فناوری

مترجمان