EU kehittää jäsenvaltioille yhteistä sovellusta, jolla käyttäjä voi todistaa nettipalvelulle ikänsä kertomatta muita tietoja itsestään. Sovellus on herättänyt ihmetystä varsinkin Suomessa, jossa suhtautuminen ikärajoihin on ollut välinpitämätöntä. Me emme suunnittele lasten some-kieltoa, kuten vaikkapa Ranska. EU-laajuinen 16 vuoden alaikäraja on kuitenkin suunnitteilla.
Vähäisen kotimaisen tiedon vuoksi joudun spekuloimaan, ja asiatkin voivat vielä muuttua. Kyseessä on EU digilompakon kevytversio, joka todistaa ainoastaan iän. Todistusprotokolla perustuu kryptograafiseen nollatietoprotokollaan. Siinä sivusto saa puhelimen sovellukselta varmistuksen, että käyttäjä on vähintään tietyn ikäinen, mutta ei saa mitään muuta tietoa.
Ikätodistuksen beetaversio on ladattavissa osoitteesta https://ageverification.dev/. Se toimii vain Androidissa, koska iPhone-puhelimeen ei pysty lataamaan testiversioita ohi sovelluskaupan. Lisätietoa laajemmasta digilompakko-hankkeesta on sivulla https://www.digital-identity-wallet.eu/.
Kun beetaversio julkistettiin, joku ehti jo hakkeroida sen. Tämä oli kuitenkin odotettavissa, sillä EU tarjoaa vain rungon, jonka päälle kansalliset sovellukset on tarkoitus rakentaa. Hakkerointiuutinen ei tarkoita, että tarkistus itsessään olisi todettu turvattomaksi.
Sovellus on avointa lähdekoodia, joten sen sielunelämää voi vapaasti penkoa. Toisaalta lopulliset kansalliset sovellukset eivät luultavasti ole yhtä avoimia, joten vasta aika näyttää syntyykö niihin luottamusta vai ei.
 |
| Age Verification eli ikärajasovellus todistaa, ylittääkö käyttäjän ikä vaaditun alarajan. |
Jotta ohjelmaa voi käyttää, jo täytetyt ikärajat pitää osoittaa sovellukselle. On epäselvää, tuleeko Suomessa riittämään pankkitunnusten tai mobiilivarmenteen käyttö, vai pitääkö todistus tehdä lukemalla passi tai virallinen henkilökortti. Täysi-ikäiselle iän todistaminen on helpompaa, mutta miten todistaa vaikka 13-vuotiaan ikä? Riittääkö vanhemman omalla pankkitunnuksillaan antama todistus?
Ainakin alkuvaiheessa todistusta vaaditaan aikuisviihdepalveluihin, joten 18 vuotta on tärkein raja, ja useimmilla sen ikäisillä on ainakin passi ja pankkitunnukset. Ohjelmassa on varauduttu muihinkin ikärajoihin, myös asteikon yläpäässä (65+ vuotta).
 |
| Todennus myös eläkeläisalennuksiin? |
Jos henkilö käyttää perinteistä tietokonetta, palvelun pitää esittää selaimessa QR-koodi, joka välittää kysymyksen puhelimen sovellukselle ja hyväksynnän takaisin palveluun.
Tämä kaikki herättää silti kysymyksiä. Mistä palvelu voi tietää, kenen ikätodistusta sille näytetään? Alaikäinen voi pyytää aikuista tai isoveljeään kuittamaan pääsyn. Miten ikätodistus kytketään nykyisiin palveluihin jälkikäteen? Entä jos henkilö vaihtaa ip-osoitteensa VPN:n kautta maahan, jossa kansalaisilta ei vaadita ikätarkistusta ja jotka eivät sen vuoksi voi käyttää sovellusta?
VPN-kiertotien estämiseksi on pohdittu VPN-palveluiden käytön kieltämistä (ainakin sellaisten, jotka mahdollistavat ip-osoitteen vaihdon toisen maan alueelle). Tämä olisi todella raju toimenpide ja on syystäkin saanut käyttäjät takajaloilleen. VPN-kielto osuisi yrityskäyttäjiin ja yleisesti tietoturvaan. Mitään konkreettista tähän suuntaan ei ymmärtääkseni ole tehty, mutta some-käyttäjät ovat takajaloillaan jo pelkästä ajatuksesta.
On pakko ihmetellä hinkua aikuisviihdepalveluiden ikärajatarkistuksiin. Ovatko ne vain keppihevonen, jolla järjestelmä saadaan myytyä poliitikoille? Eikö suurempi ongelma ole alaikäisten pääsy some-palveluihin, etenkin jos niille asetetaan kansallisia rajoituksia?
Kun internet alkoi 1990-luvulla yleistyä, pornopalvelut herättivät suurta huolta varsinkin USA:ssa. Sen jälkeen netin aikuisviihde on enemmän tai vähemmän hyväksytty, samalla se on johtanut aiempien VHS-kasettien ja lehtien kuihtumiseen.
Miksi laillisesta aikuisviihteestä nyt olisi taas tullut ongelma? Eikö ongelmana ole pikemminkin laittomat palvelut, kuten lapsiporno?
Käyttäjän henkilöllisyyden tai iän tarkistaminen nettiyhteyden yli ei tule koskaan olemaan täydellistä eikä ongelmatonta, varsinkaan jos halutaan sallia nimimerkit ja anonyymi käyttö. Ikärajasovellus ei ole aukoton ratkaisu, mutta laajemman digilompakon osana sitä voi pitää hyväksyttävänä etenkin nuoren nettikäytön rajoittamiseen.
Ainakin Australiassa, Britanniassa ja Utahin osavaltiossa on käytössä tai suunnitteilla ikärajavalvonta. EU:n digilompakko on näistä teknisesti paras.
Yleistä VPN-kieltoa ei kuitenkaan voisi hyväksyä millään tähän asti esitetyllä perusteella. Sen ajaminen lisäisi vain oikeuksistaan huolestuneiden käyttäjien vastustusta ja vaarantaisi koko digilompakon yleistymisen.
7 kommenttia:
Miten "VPN-kielto" voisi onnistua edes teknisesti? Joo, kaupallisia tarjoajia voidaan kieltää myymästä tuotteitaan EU-alueella (tyyliin F-secure totalin VPN:t sun muut).
VPN:n pystytys käytännössä:
1) Osta haluamastasi pilvestä (Azure/AWS/Lidl...) IaaS-pata haluamallasi kohderegionalla, tehot sen mukaan paljonko tarvitset kapasiteettia, osta julkinen IP-osoite
2) Asenna Ubuntu
3) Laita VPN-palvelu pyörimään tms haluamallasi tavalla. Wireguard tai OpenVPN tai vaikka SSH jos siltä tuntuu
4) Asenna omaan kotiverkkoon vaikka pivpn.io:sta Raspberryssä pyörivä VPN-client niin ei tarvitse ajaa mitään sovellusta varsinaisissa kodin laitteissa
Bonuksena johtuen pilviresurssien dynaamisuudesta voit pistää palvelimen pystyyn vain tarvittaessa, ei siis tarvitse maksaa tyhjästä.
Eikä tarvitse välttämättä edes sitä VPN:ää, jos haluaa vain katsella hydrauliikkavideoita niin voihan ne vain ladata etäkoneelle.
Ja luultavasti nuo ohjeet kaikkeen tähän löytyy sopivalta tekoälyltä.
Ja koska kiertäminen on näin helppoa, on pakko olettaa että kyse on keppihevosesta jolla ujutetaan kontrollia nettiin.
Petteri Järvinen
Kaikkia VPN-yhteyksiä ei tietenkään voida estää, mutta vastuuta voidaan siirtää palveluille itselleen esim. näin: "Utah first state to hold websites liable for users who mask their location with VPNs — law goes into effect, designed to prevent bypassing age checks": https://www.tomshardware.com/software/vpn/utah-becomes-first-us-state-to-target-vpn-use-with-age-verification-law En tiedä, mikä on EU:n suunnitelma, joten seurataan tilannetta.
Onko "Age Over 40" tarkoitettu jos haluaa katsoa MILF ja Mature videoita? Ja "Age Over 67" jos haluaa katsoa grannyä? Toimisiko iänvarmennus myös toiseen suuntaan: ehkä se voisi olla ihan hyvä että yli 27 vuotiailta kiellettäisiin vaikkapa genre "teen".
Kaliforniassa ilmeisesti jo hyväksyttiin laki, jonka mukaan jo käyttöjärjestelmän asennusvaiheessa käyttäjän ikä pitää varmistaa. Ylläpitäjän tiliä ei tietenkään voisi tällöin olla kuin aikuisilla. Idea on se, että käyttöjärjestelmä antaa sovelluksille ja sovelluskaupoille tiedon käyttäjän iästä. Eli esim. puhelimen käyttöönotossa tarkistetaan käyttäjän ikä, jonka perusteella rajoitetaan minkälaista sisältöä sovelluskaupasta voidaan ladata. En muista rajattiinko Linux tms. vaatimuksista ulos, mutta aika dystooppiselta vaikuttaa. Kalifornian lait kuitenkin koskee kaikkia amerikkalaisia IT-jättejä, joten kohta tämä on koko maailman riesa.
Jääkö ikävarmistusta pyytävistä nettisivuista lokitieto jonnekin? Entä pitääkö nettisivujen rekisteröityä johonkin varmistuspalveluun? Luodaanko tässä kansallista/EU:n laajuista mahdollisuutta rajoittaa pääsy tietyille nettisivuille, sekä käytön seurannalle? Jos päälle lisätään VPN-kielto, hyvästi vapaa Internet.
EU:n lompakkosovellus mahdollistaa maksujen välityksen ilman luottokorttiyhtiöitä, mutta samalla antaa mahdollisuuden rajoittaa käyttöä poliittisilla päätöksillä ja myöskin seurata rahan liikkumista.
Yhdysvaltain hallitus on painostanut (siis kiristänyt) Visan ja Mastercardin lopettamaan maksujen välityksen tietyille tahoille. Luottokorttiyhtiöt tietysti itse voivat valita asiakkaansa, eli käytännössä voivat päättää, ketkä saavat tehdä tekevät kauppaa netissä. En usko, että EU tai sen jäsenvaltiot ovat yhtään sen vapaamielisempiä, rahaliikenteen kontrollointi kiinnostaa kaikkia poliittisia tahoja.
Ikävarmistuksen ulkopuolelle jää paljon harmaalla alueella liikkuvia (ja tietysti selvästi laittomia) nettisivustoja. Nehän pitää sitten kokonaan poistaa DNS-palveluista, ja myöskin EU:n ulkopuoliset DNS-palvelut pitää blokata IP:n perusteella. Tor-verkko kieltoon myös. Mitenkäs uusi nettisivusto laitetaan pystyyn, pitääkö anoa erityisvapautta ikävarmistuksen käyttämisestä, vai onko se oletusarvo? Mitä sanktioita seuraa lain rikkomisesta? Anonyymejä verkkosivustoja ei saa enää ylläpitää. Ei ihan yksinkertainen asia tämä ikävarmistus.
Seuraavaksi ikärajavalvontaa laajennetaan nettikasinoihin ja päihdevalmistajien verkkosivuille?
Lähetä kommentti