“Age verification” και η πρόσφατη περίπτωση του TikTok υπό το πρίσμα του GDPR

Από την έναρξη ισχύος του Γενικού Κανονισμού για την Προστασία των Προσωπικών Δεδομένων (GDPR) στις 25 Μαΐου 2018, η προστασία των προσωπικών δεδομένων έχει αναχθεί σε υψίστης σημασίας ζήτημα για τα κράτη και τις επιχειρήσεις παγκοσμίως. Η ευρωπαϊκή ένωση με την υιοθέτηση του κανονισμού κατάφερε να θέσει τις βάσεις για τη δημιουργία ενός πλαισίου προστασίας των ευρωπαίων πολιτών και να αλλάξει, πλέον σε παγκόσμιο επίπεδο, τις υποχρεώσεις όλων των εμπλεκομένων μερών.

Η προστασία των προσωπικών δεδομένων των παιδιών αποτελεί βασικό στόχο του GDPR, όπως θα διαφανεί και κατωτέρω. Τα παιδιά, ειδικότερα ως χρήστες του διαδικτύου, αποτελούν μια από τις πιο ευαίσθητες κατηγορίες υποκειμένων δεδομένων και ως εκ τούτου η ανάγκη προστασίας τους είναι αδιαμφισβήτητη. Η μείωση του μέσου όρου ηλικίας των χρηστών στο διαδίκτυο σε συνδυασμό με τους κινδύνους που αυτό ελλοχεύει, ακόμη και για τον μέσο ενήλικα, δεν αφήνει περιθώρια διαπραγμάτευσης αναφορικά με την ανάγκη υποχρεωτικότητας του ελέγχου ηλικίας του κάθε χρήστη.

Από το “blackout challenge”, την πρόκληση δηλαδή ασφυξίας, στο “Benadryl challenge” και την κατάποση υπερβολικών ποσοτήτων φαρμακευτικών σκευασμάτων και από το “silhouette challenge” (βιντεοσκόπηση του ατόμου με ρούχα και στη συνέχεια με εσώρουχα με τη χρήση φίλτρου της εφαρμογής το οποίο μπόρεσε να αφαιρεθεί από χάκερς οι οποίοι είχαν έτσι βιντεοσκοπημένο το γυμνό σώμα του συμμετέχοντα) μέχρι και το πολύ πρόσφατο “Coronavirus challenge” κατά το οποίο  παιδιά βιντεοσκοπούνται να έρχονται σε επαφή με αντικείμενα που βρίσκονται σε δημόσιους χώρους (π.χ σε δημόσιες τουαλέτες) προκειμένου να αυξήσουν τις πιθανότητές τους να έρθουν σε επαφή με ιούς, όπως ο Covid19, γίνεται εύκολα αντιληπτό πως η ανέλεγκτη και άνευ δικλείδων ασφαλείας περιήγηση των παιδιών στο διαδίκτυο μπορεί να έχει καταστροφικά, έως και κάποιες φορές μοιραία αποτελέσματα για την ψυχική και σωματική υγεία των παιδιών και των εφήβων.

Το ελληνικό κείμενο του GDPR στο άρθρο 8 ορίζει:

«Προϋποθέσεις που ισχύουν για τη συγκατάθεση παιδιού σε σχέση με τις υπηρεσίες της κοινωνίας των πληροφοριών:

  1. Όταν εφαρμόζεται το άρθρο 6 παράγραφος 1 στοιχείο α), σε σχέση με την προσφορά υπηρεσιών της κοινωνίας των πληροφοριών απευθείας σε παιδί, η επεξεργασία δεδομένων προσωπικού χαρακτήρα παιδιού είναι σύννομη εάν το παιδί είναι τουλάχιστον 16 χρονών. Εάν το παιδί είναι ηλικίας κάτω των 16 ετών, η επεξεργασία αυτή είναι σύννομη μόνο εάν και στον βαθμό που η εν λόγω συγκατάθεση παρέχεται ή εγκρίνεται από το πρόσωπο που έχει τη γονική μέριμνα του παιδιού. Τα κράτη μέλη δύνανται να προβλέπουν διά νόμου μικρότερη ηλικία για τους εν λόγω σκοπούς, υπό την προϋπόθεση ότι η εν λόγω μικρότερη ηλικία δεν είναι κάτω από τα 13 έτη.
  2. Ο υπεύθυνος επεξεργασίας καταβάλλει εύλογες προσπάθειες για να επαληθεύσει στις περιπτώσεις αυτές ότι η συγκατάθεση παρέχεται ή εγκρίνεται από το πρόσωπο που έχει τη γονική μέριμνα του παιδιού, λαμβάνοντας υπόψη τη διαθέσιμη τεχνολογία.
  3. Η παράγραφος 1 δεν επηρεάζει το γενικό ενοχικό δίκαιο των κρατών μελών, όπως τους κανόνες περί ισχύος, κατάρτισης ή συνεπειών μιας σύμβασης σε σχέση με παιδί.»

Από την ανάλυση των στοιχείων του άρθρου καθίσταται σαφές ότι ο κανονισμός θέτει το όριο των 16 ετών ως το  κατώτατο επιτρεπτό όριο ηλικίας βάσει του οποίου η παροχή συναίνεσης για την επεξεργασία δεδομένων από ένα παιδί μπορεί να θεωρείται νόμιμη. Παρ’ όλα αυτά, αφήνει στην διακριτική ευχέρεια των κρατών να θέσουν ένα ακόμη χαμηλότερο ηλικιακό όριο, το οποίο όμως σε καμία περίπτωση δεν μπορεί να είναι μικρότερο των 13 ετών.

Σε αυτό το πλαίσιο, τα κράτη ανά την Ευρώπη έχουν θέσει διαφορετικά ηλικιακά όρια. Έτσι το όριο των 16 ετών έχουν επιλέξει η Ελλάδα, Ιρλανδία, η Ολλανδία, η Σλοβακία, Γερμανία, η Ουγγαρία και η Πολωνία, το όριο των 15 ετών η Γαλλία (που μπορεί να μειωθεί με την παροχή γονικής συναίνεσης) και η Τσεχία, το όριο των 14 ετών η Αυστρία, η Ιταλία και η Ισπανία, ενώ η ηλικία των 13 ετών έχει επιλεγεί από το Βέλγιο, την Δανία, την Φινλανδία και τη Σουηδία.

Το ζήτημα της συναίνεσης
Όταν οι διαδικτυακά παρεχόμενες υπηρεσίες απευθύνονται σε ανήλικους και η συναίνεση αποτελεί τη νόμιμη βάση της επεξεργασίας των δεδομένων, η συναίνεση επιβάλλεται να δίνεται από το πρόσωπο που έχει την επιμέλεια του ανηλίκου. Αποτελεί ευθύνη των υπεύθυνων επεξεργασίας να διαπιστώσουν κατά πόσο το πρόσωπο που παρέχει τη συναίνεση πράττει τούτο υπό του πρίσμα του ασκούντος την γονική μέριμνα του ανηλίκου που βρίσκεται σε ηλικία κάτω των 16 ετών (και όχι κατώτερη των 13). Ο υπεύθυνος επεξεργασίας υποχρεούται βάσει του άρθρου 8(2) του GDPR να αξιοποιήσει όλες τις διαθέσιμες τεχνολογίες και να καταβάλλει «κάθε εύλογη προσπάθεια», προκειμένου να εξακριβώσει από ποιον παρέχεται η συναίνεση.

Το ζήτημα του ελέγχου της ηλικίας των χρηστών online, αποτελεί αγκάθι για τους παρόχους υπηρεσιών, το οποίο δεν ρυθμίζεται από τον GDPR. Ο κανονισμός δεν προβλέπει συγκεκριμένα μέτρα, μεθόδους, ή ρυθμίσεις τα οποία θα μπορούσαν να οδηγήσουν σε ασφαλή εξακρίβωση της ηλικίας των χρηστών. Οι πάροχοι online υπηρεσιών, που θεωρούν ότι ενδέχεται ανήλικοι χρήστες να είναι εγγεγραμμένοι στις υπηρεσίες τους, οφείλουν να αξιοποιήσουν όλο το φάσμα δυνατοτήτων που μπορεί να διαθέτουν. Δυστυχώς μέχρι στιγμής η δυσκολία του εγχειρήματος δεν έχει επιτρέψει να εφαρμοστούν πολλές εναλλακτικές στην ήδη υπάρχουσα ( και όχι ιδιαίτερα αποτελεσματική) λύση της απλής εντολής: “Confirm your age”.

Στο πλαίσιο αυτό, προωθείται σε ευρωπαϊκό επίπεδο η δημιουργία πλαισίου κανόνων δεοντολογίας στο πεδίο της προστασίας του παιδιού και ειδικότερα στο πεδίο της υποχρέωσης λήψης συναίνεσης για υπηρεσίες που παρέχονται σε ανήλικους. Αυτή η υποχρέωση προκύπτει τόσο από το άρθρο 40 του κανονισμού, όσο και από το άρθρο 57 (1) (β).

Βασική κατευθυντήρια προς αυτή την κατεύθυνση αποτελεί συμπληρωματικά και η διάταξη 12 του GDPR, που σε συνδυασμό με την σκέψη 58, προβλέπουν ότι οι πληροφορίες που παρέχονται στους ανηλίκους πριν και κατά την επεξεργασία των δεδομένων τους πρέπει να παρέχονται σε γλώσσα απλή και κατανοητή, την οποία ο ανήλικος να μπορεί να κατανοήσει: «Δεδομένου ότι τα παιδιά χρήζουν ειδικής προστασίας, κάθε ενημέρωση και ανακοίνωση, εάν η επεξεργασία απευθύνεται σε παιδί, θα πρέπει να διατυπώνεται σε σαφή και απλή γλώσσα την οποία το παιδί να μπορεί να κατανοεί εύκολα».

Age Verification in practice
Πέρα από την απλή και όχι τόσο ασφαλή «δήλωση» της ηλικίας από τον χρήστη και πίσω στο 2013, το αμερικανικό FTC (Federal Trade Commission) και επί τη βάσει εφαρμογής που υποβλήθηκε από την ImperiumInc., έδωσε την έγκρισή του για την χρήση της μεθόδου παροχής πληροφοριών “out of wallet” για την εξακρίβωση της ηλικίας του χρήστη αλλά και για την εξακρίβωση στην πράξη του κατά πόσον το πρόσωπο που παρέχει την συναίνεση είναι πράγματι το πρόσωπο που ασκεί την γονική μέριμνα στην περίπτωση του ανηλίκου. Στην πράξη η μέθοδος είναι πλέον ευρέως γνωστή καθώς χρησιμοποιείται καθημερινά από τραπεζικά ιδρύματα και άλλους οργανισμούς για την ταυτοποίηση των χρηστών/πελατών και περιλαμβάνει ερωτήσεις που μπορούν να απαντηθούν μόνο από τον ίδιο τον χρήστη χωρίς μια απλή ματιά στο πορτοφόλι του να μπορεί να δώσει τις σχετικές απαντήσεις.

Πιο αναπτυγμένες μέθοδοι περιλαμβάνουν “peer – review” με αξιολόγηση δεδομένων που έχουν ληφθεί από άλλες εφαρμογές, σελίδες και προφίλ χρηστών. Άλλες μέθοδοι περιλαμβάνουν ποιοτική αξιολόγηση του περιεχομένου των προφίλ των χρηστών για την εξαγωγή του πιθανού ηλικιακού εύρους εντός του οποίου ο χρήστης μπορεί να τοποθετηθεί (χωρίς τα αποτελέσματα να είναι πάντα ασφαλή). Πιο ασφαλής θεωρείται η εξακρίβωση μέσω ελέγχου της ταυτότητας του χρήστη offline, καθώς και μέσω της χρήσης βιομετρικών δεδομένων (δακτυλικών αποτυπωμάτων, αναγνώριση της ίριδας) προκειμένου να ταυτοποιηθεί ο ενήλικας που παρέχει τη συναίνεση για τον ανήλικο χρήστη. Η ομάδα του Article 29 Working Party, εφιστά την προσοχή αναφορικά με τη χρήση βιομετρικών δεδομένων, καθώς τίθενται σοβαρά ζητήματα παραβίασης της προσωπικότητας και της ιδιωτικότητας.

Εντός της Ευρώπης, η προσπάθεια ταυτοποίησης των χρηστών με την χρήση ταυτότητας, ή διαβατηρίου, έχει κριθεί ως επιτρεπτή και αποτελεσματική από το Ανώτατο Γερμανικό Ομοσπονδιακό Δικαστήριο. Στο Βέλγιο η παιδική ταυτότητα αν και χρησιμοποιήθηκε σε πολλές περιπτώσεις ως εργαλείο age verification, κατακρίθηκε σημαντικά. Αξίζει να σημειωθεί ότι η έλλειψη ενιαίας και  αποτελεσματικής πολιτικής age verification δεν αποτελεί στοιχείο που χαρακτηρίζει μόνο την Ευρωπαϊκή ένωση και τον GDPR. Κριτική για σχετική έλλειψη έχει ασκηθεί εντόνως και κατά της αμερικανικής COPPA (Children Protection Privacy Act) που παρουσιάζει μεγάλες ομοιότητες με τις σχετικές διατάξεις του GDPR.

Η περίπτωση του TikTok
Το TikTok χρησιμοποιεί αντίστοιχα την μέθοδο δήλωσης της ηλικίας από τον χρήστη. Μετά το τραγικό γεγονός του θανάτου ενός κοριτσιού 9 ετών στην Ιταλία και ενός αγοριού 12 ετών στο Κολοράντο, τα οποία βρήκαν τραγικό τέλος μετά τη συμμετοχή τους στο “blackout challenge” και προκειμένου να μπορεί να εξακριβώσει με ασφάλεια την ηλικία των χρηστών, η πλατφόρμα αποφάσισε την εισαγωγή σχετικών μεθόδων Τεχνητής Νοημοσύνης. Όπως ανέφερε και η Ιρλανδική Αρχή Προστασίας Προσωπικών Δεδομένων με την οποία το TikTok συνεργάζεται για την αποτελεσματική αλλαγή της πολιτικής του, το TikTok βρίσκεται στη διαδικασία αναθεώρησης των μέτρων που χρησιμοποίει προκειμένου να προστατεύσει τους ανήλικους χρήστες του, που είναι πιο ευάλωτοι απέναντι στους κινδύνους που ανακύπτουν από την επεξεργασία των προσωπικών τους δεδομένων.

Στο πλαίσιο αυτό η πλατφόρμα εισήγαγε την εφαρμογή ενός “in-app button”, ενός πλήκτρου εντός της εφαρμογής το οποίο δίνει τη δυνατότητα στους χρήστες να αναφέρουν άλλους χρήστες αν θεωρήσουν ότι πρόκειται για ανηλίκους κάτω των 13 ετών. Η Alexandra Evans, επικεφαλής του τμήματος για την ασφάλεια των παιδιών στο TikTok, αναφέρθηκε στην συμφωνία της πλατφόρμαw με την Ιταλική ΠΔΠΧ (Garante).

Βάσει της συμφωνίας το TikTok, υποχρεώθηκε στη διενέργεια εκ νέου ελέγχου της ηλικίας όλων των χρηστών στην Ιταλία, δηλώνοντας ότι: “TikTok’s top priority is protecting the privacy and safety of our users, and in particular our younger users. Following continued engagement with the Garante, we will be trialing additional measures to help ensure that only users aged 13 or over are able to use TikTok. We already take industry-leading steps to promote youth safety on TikTok such as setting accounts to private by default for users aged under 16 and enabling parents to link their account to their teen’s through Family Pairing. There is no finish line when it comes to safety, and we continue to evaluate and improve our policies, processes and systems, and consult with external experts.”

Ταυτόχρονα προωθήθηκε η διενέργεια τοπική ενημερωτικής καμπάνιας προκειμένου να ενημερωθούν τόσο οι ανήλικοι, όσο και οι γονείς για τις νέες ρυθμίσεις ασφαλείας των παιδιών στην πλατφόρμα. Αντίστοιχη ενημερωτική καμπάνια αποφασίστηκε να διενεργηθεί και στα εθνικά τηλεοπτικά μέσα σε συνεργασία με την φιλανθρωπική οργάνωση προστασίας του παιδιού Telefono Azzuro, με κύριους αποδέκτες της τους γονείς. Επιπλέον, και  προκειμένου το TikTok να συμμορφωθεί πλήρως με τια διατάξεις του κανονισμού που προαναφέρθηκαν, υποχρεώθηκε στην αλλαγή του λεκτικού της πολιτικής απορρήτου του, έτσι ώστε να είναι απόλυτα κατανοητό και από τους χρήστες ηλικίας κάτω των 18 ετών.

Έτσι, στο διάστημα μεταξύ 9 Φεβρουαρίου και 21 Απριλίου, περισσότεροι από 12.5 εκατομμύρια Ιταλοί χρήστες υποχρεώθηκαν να βεβαιώσουν την ηλικία τους. Σε σύνολο περισσότεροι από 500.000 λογαριασμοί κρίθηκαν ως ακατάλληλοι και διαγράφηκαν από την πλατφόρμα , όπως αναφέρει η Garante στην σχετική ανακοίνωσή της που εκδόθηκε στις 12 Μαΐου 2021. Πιο αναλυτικά, σύμφωνα με τα στοιχεία που έδωσε στην δημοσιότητα η αρχή 400.000 χρήστες δήλωσαν ηλικία κάτω των 13 ετών, ενώ 140.000 λογαριασμοί εντοπίστηκαν μέσω συνδυαστικών μεδόθων ελέγχου και αναφοράς που εφάρμοσε η εφαρμογή. Προκειμένου  να μπορέσουν να προστατευθούν πλήρως οι ανήλικοι κάτω των 12 ετών η Garanteαποφάσισε ακόμη την επιβολή νέων μέτρων κατά του TikTok.

Συγκεκριμένα, στην ανακοίνωσή της αναφέρει ότι η πλατφόρμα πρέπει να εξασφαλίσει την άμεση, εντός 48 ωρών, διαγραφή όλων των λογαριασμών που ανήκουν σε παιδιά κάτω των 13 ετών, την ενίσχυση των μηχανισμών αποκλεισμού στις συσκευές που χρησιμοποιούνται από χρήστες κάτω των 16 ετών, την ανάπτυξη και ενίσχυση των μηχανισμών τεχνητής νοημοσύνης που μπορούν να εξακριβώσουν την ηλικία των χρηστών, την ανάπτυξη νέας επικοινωνιακής καμπάνιας μέσω της τηλεόρασης και του ραδιοφώνου για να καταστεί σαφές σε γονείς και παιδιά ότι η πλατφόρμα είναι ακατάλληλη για ανηλίκους κάτω των 12 ετών, την αλλαγή του λεκτικού στο σύνολο της εφαρμογής ώστε η γλώσσα και η παρεχόμενη πληροφορία να μπορεί να γίνει αντιληπτή από τους ανήλικους, αλλά και την ανακοίνωση όλων των σχετικών αποτελεσμάτων και των πληροφοριών που αφορούν την αποτελεσματικότητα των υιοθετούμενων μέτρων, προκειμένου να προωθηθεί η συνεργασία με την αρχή.

Καθίσταται συνεπώς σαφές, ότι η σημασία και η ευαισθησία του ζητήματος των ανηλίκων στο διαδίκτυο αποτελεί πρόκληση για τις κυβερνήσεις και τις αρχές παγκοσμίως. Η αδιαμφισβήτητη ανάγκη προστασίας των παιδιών και η κοινωνική πίεση που πλέον ασκείται ευρέως έναντι των παρόχων υπηρεσιών έχει οδηγήσει στην αυστηροποίηση προτεινόμενων μέτρων προστασίας των ανηλίκων.

Η αξιοποίηση των νέων τεχνολογιών και ιδιαίτερα των  εφαρμογών της Τεχνητής Νοημοσύνης, αναμένεται μελλοντικά να επιτρέψει την ανάπτυξη εφαρμογών που θα μπορούν ταυτόχρονα και να διαφυλάξουν την ιδιωτικότητα και την προσωπικότητα  του χρήστη, αλλά ταυτόχρονα θα μπορούν να εξακριβώνουν την ηλικία των ατόμων που επιχειρούν την εγγραφή τους σε μια εφαρμογή, έτσι  ώστε τα οφέλη από την περιήγηση των παιδιών στο διαδίκτυο να μπορούν να μην επισκιάζονται από περιστατικά, όπως αυτά της Antonella από το Παλέρμο και του Joshua από το Κολοράντο.