På några år har åldersverifiering gått från en idé till standardpraxis på stora delar av internet. I syfte att helt förhindra barn från att få tillgång till pornografi, annat olämpligt innehåll och sociala medier sprids lagar som kräver åldersbegränsningar snabbt över hela världen och når många länder, inklusive Storbritannien, USA, Australien, Frankrike och Brasilien. Problemet ligger i hur man exakt kontrollerar om en användare ljuger om sin ålder. Tyvärr har vilken metod politikerna än beslutar om allvarliga brister, och experter har idéer för att förbättra den, men för närvarande förblir de bara begrepp.
En vanlig metod är åldersinferens, som använder AI för att ”gissa” en användares ålder baserat på deras aktivitet på en viss plattform. Den andra är tredjepartstjänster som har åtagit sig att prioritera din integritet. För det tredje tvingar det appbutiker och operativsystem att utföra ålderskontroller innan användare laddar ner appar. Men var och en av dessa tillvägagångssätt kommer med betydande kompromisser, även när nya regler tvingar plattformen att distribueras i stor skala. År 2026 lever vi i ett alltmer åldersbegränsat internet, men den lämpliga tekniken finns ännu inte.
Börjar med åldersuppskattning
Många plattformar försöker gissa en användares ålder med hjälp av data som de redan har i filen innan de skrämmer bort dem genom att be om ett ID eller en ansiktsskanning. Till exempel använder Meta ett AI-drivet system för att identifiera tonåringar på Instagram och tilldela dem mer restriktiva konton. Google och YouTube har också börjat skanna konton efter misstänkta användare under 18 år, och Discord planerar att rulla ut systemet senare i år.
Resonemangssystem undersöker olika signaler. Det enklaste är kontots ålder. Till exempel, om du gick med på Instagram för 18 år sedan är du förmodligen över 18 år. Vissa är ännu mer spekulativa. YouTube använder AI för att analysera vilka typer av videor användare söker efter. Utöver enhets- och aktivitetsdata, säger Discord att det kommer att använda ”högnivåmönster samlade över hela Discord-communityt”, och Instagram kan flagga ett konto om någon önskar dem en ”grattis på 14-årsdagen” i ett inlägg.
Helst är fördelen med slutledning att ingen behöver tillhandahålla ytterligare data. Discord sa att de flesta användare inte kommer att påverkas av den kommande lanseringen av åldersverifiering eftersom dess AI-system kommer att gissa deras ålder. ”Du behöver inte veta vem någon är för att veta deras ålder, vilket är anledningen till, i teorin, åldersinferensteknologi skulle vara mindre integritetskränkande”, säger Koven Zweifel-Keegan, vd för International Association of Privacy Professionals, till The Verge.
Men enbart åldersslutning kan ofta inte på ett tillförlitligt sätt förutsäga en persons ålder och kanske inte uppfyller standarder som fastställts av statliga tillsynsmyndigheter. Om systemet är osäkert på någons ålder eller felaktigt förklarar personen vara minderårig kommer användaren att bli ombedd att avslöja personuppgifter om sig själv ändå.
Vanligtvis måste åldersbegränsningssystem samla in avslöjande detaljer om någon för att bekräfta att de är över 18, vilket introducerar helt nya avvägningar om integritet. Till exempel är statligt utfärdade fotolegitimationer mycket exakta indikatorer på ålder, men skulle utgöra allvarliga problem om de avslöjas i ett dataintrång. Detta har hänt många gånger. Att använda tredjepartsleverantörer som k-ID, Persona och Yoti eliminerar behovet för alla företag att köra sina egna system, vilket minskar en del av risken. För användare finns det fortfarande grundläggande säkerhetsproblem som förblir olösta, även om dessa tjänster försöker mildra dem.
Möjligheten att skanna en användares ansikte och automatiskt fastställa deras åldersgrupp har blivit ett populärt alternativ till fotolegitimation. Det kräver inte insamling av juridiska dokument och kan till och med köras på användarens enhet, så ingen personlig information lagras någonstans där den kan exponeras.
”Om vi kunde göra det effektivt på en telefon (på en enhet), skulle vi kunna göra det direkt, men det är inte möjligt just nu.”
Tyvärr, som Electronic Frontier Foundation påpekar, är åldersuppskattningar baserade på ansikten ofta felaktiga, särskilt för färgade personer och kvinnor, och har blivit lurade på en mängd olika sätt, bland annat genom att använda ansikten på videospelkaraktärer som Sam Porter Bridges i Death Stranding. Om ansiktsskanningar skulle läcka kan kraftfulla ansiktsigenkänningsverktyg från tredje part potentiellt identifiera individer genom dem.
Verifiering på enheten, å andra sidan, anses vara mer privat än att skicka information till en server för analys, men det står inför sina egna problem. Personas VD Rick Song säger att autentisering på serversidan ofta föredras eftersom det är lättare att punktera systemen på enheten. Att kringgå on-device system är ”relativt enkelt, varför företag som Persona började flytta allt till servrar, trots att on-device system är billigare att driva”, säger Song. ”Om vi kunde göra det effektivt på en telefon (på en enhet), skulle vi kunna göra det direkt, men det är inte möjligt just nu.”
En annan nackdel med autentisering på enheten, åtminstone enligt Song, är att äldre telefoner kanske inte är tillräckligt kraftfulla för att köra AI-modellerna som används för att analysera användarnas ansikten. ”De flesta av världen använder fortfarande äldre Android-enheter, och de flesta av världen använder iPhone 10 och tidigare,” tillägger Song. ”Deras enheter kan inte ens köra modellen, så det finns en bifurkation där bara personer med nyare enheter får mer integritet och människor som inte får det.” De människorna måste fortfarande ladda upp sina ID, med alla säkerhetsrisker som följer med det.
Att ta med tillverkare av enheter till fältet
I allt högre grad nöjer sig lagar och beslutsfattare med en till synes elegant lösning på åldersbegränsningar: att låta appbutiker göra det. Enligt dessa förslag skulle appbutiksägare vara skyldiga att verifiera användarnas ålder innan de laddar ner eller köper en app. Denna idé stöds av teknikföretag som Meta, Spotify, Match och Garmin, som hävdar att en enda åldersverifiering är effektivare än att verifiera ålder på varje plattform.
Förespråkare av dessa regler fokuserar vanligtvis på Apples iOS App Store och Googles Android Play Store, men andra operativsystem är också i mixen, och det är här saker och ting blir särskilt komplicerade. Till exempel, enligt Kaliforniens Digital Age Guarantee Act, kommer operativsystem som Windows, macOS och Linux att behöva fråga användarna om deras födelsedatum när de konfigurerar en enhet från och med 2027. Operativsystemet ska sedan skicka en ”signal” som innehåller användarens åldersintervall till appar som serveras i systemets appbutik.
Detta lämnar operativsystem med öppen källkod, såsom olika varianter av Linux, i en prekär position. Detta beror på att de flesta operativsystem för närvarande inte tvingar användare att skapa ett konto som kan lagra och kommunicera deras ålder. Utvecklare bakom populära Linux-distributioner brottas med nya krav. GrapheneOS, den integritetsfokuserade versionen av Android, kräver ingen åldersverifiering och drar gränsen att om enheten ”inte kan säljas lokalt på grund av bestämmelser, så är det.” Dessutom är det oklart om lagar för åldersverifiering på appbutiksnivå gäller för Linux-förråd som APT och Pacman.
Det fragmenterade landskapet kring åldersverifieringslagar gör det mindre lätt för teknikföretag att svara. I likhet med Kaliforniens lag om åldersverifiering har Texas och Louisiana antagit lagar som kräver åldersverifiering på appbutiksnivå. Men andra stater, inklusive Tennessee, Florida och Virginia, driver själva plattformen. Båda tillvägagångssätten har kämpat för att stå emot konstitutionell granskning, och lagar på båda sidor har blockerats av federala domstolar.
”Det är inte svårt för företag att använda en mängd olika tekniker för att uppskatta och verifiera ålder,” sa Zweifel-Keegan. ”De har alla möjliga olika verktyg på plats, men det är svårt för den (amerikanska) regeringen att kräva det. När regeringen börjar säga att den måste göra det, börjar den faktiskt bli föremål för granskning av det första tillägget. Och hittills har vi inte sett det överleva särskilt bra.”
Vissa onlineplattformar, som Discord och Roblox, har infört verifiering på platser där det inte behövs på grund av global förvirring om deras regler, men tekniken kommer med ett antal avvägningar.
Finns det något bättre sätt?
I detta sammanhang arbetar integritetsexperter bakom kulisserna för att utveckla sätt att begränsa datainsamlingen. Ett alternativ är nollkunskapsbevis (ZKPs). Zero-knowledge proofs (ZKP) är kryptografiska tekniker som bevisar att någon är 18 år eller äldre utan att avslöja personlig information för tredje part, vilket visades av den franska dataskyddsmyndigheten 2022. Enligt det föreslagna systemet skulle den statliga myndighet som ansvarar för att utfärda någons ID tillhandahålla bevis på ålder för att visa om användaren är 18 år eller gammal i stället för att avslöja sin födelse, i stället för att avslöja sin födelse eller att direkt avslöja sin födelse. annan personlig information till en webbplats eller tredje part. part. Användare kan sedan lagra detta åldersbevis i en digital plånbok eller annan pålitlig tjänst och presentera den för webbplatser eller appbutiker med verifieringskrav. Google är ett av företagen som hjälper till att utveckla denna teknik, men den är inte utan sina brister.
Som Brave-forskarna påpekar, kanske många system som implementerar ZKP ”faktiskt inte ger noll kunskap” om de är felaktigt konfigurerade. Dessa system kan äventyra din integritet om du ombeds flera gånger att bevisa din ålder, särskilt om tjänsten kräver information om din åldersgrupp. ”Till exempel, en användare som först intygar att hans eller hennes ålder är mellan 20 och 22, och sedan två månader senare intygar att han eller hon är 21 eller äldre, har i praktiken avslöjat sitt exakta födelsedatum med smala intervaller,” sa Brave Research.
Europeiska unionen, som utvecklar specifikationer för appar för åldersverifiering med öppen källkod, har listat ZKP som en ”experimentell” funktion som ska läggas till i framtiden. Appen, som EU-kommissionens ordförande Ursula von der Leyen sa är ”tekniskt redo”, kräver att användare laddar upp ett statligt ID eller pass, eller verifierar sin ålder genom sin bank eller skola. När appen verifierar din ålder med hjälp av en ”pålitlig lista” över EU-registrerade leverantörer av åldersverifiering, genererar den ett åldersbevis som inte innehåller ”identitetsinformation för att spåra dig”. Användare kommer att kunna komma åt åldersbegränsade plattformar med hjälp av åldersbevis i appen.
Future of Privacy Forum lyfter också fram andra alternativ, till exempel system som kan utföra en första ålderskontroll via ID eller ansiktsskanning och använda den för att skapa en ”stabil, oåterkallelig kryptografisk nyckel” som kan tillhandahållas någon annanstans. FPF:s policyrådgivare Daniel Hales sa till The Verge att den här metoden kan kombineras med andra åldersverifieringslösningar, till exempel återanvändbara referenser som lagras i webbläsaren eller enheten. ”Detta minskar mängden ålderskontroller, men minskar också risken för att delade enheter och en persons specifika referenser delas av flera personer”, säger Hales.
Dessa metoder är dock fortfarande bara begrepp. För tillfället sa Hales att det är viktigt för företag och lagstiftare att tänka igenom ”balansakten mellan integritet och säkerhet.” Detta är ett problem som policy- och åldersverifieringsleverantörer ännu inte har löst, och tills de gör det utsätter det oss alla för risker.
emma ross
Inlägg från den här författaren kommer att läggas till i ditt dagliga e-postsammandrag och din startsida.
att följaatt följa
Se allt om Emma Ross
