Jak je to s koncem Pornhubu na Floridě
Před pár dny se v médiích rozletěla zpráva, že pornografický server PornHub.com bude plošně blokovat přístup z Floridy. Jde o reakci na to, že od 1.1.2025 začne na Floridě platit nový zákon, který vyžaduje ověření věku jak u registrovaných uživatelů, tak i u těch, kdo na stránky zavítají náhodou. Podíval jsem se, jak k tomu vlastně došlo a proč je legálně podnikající firma nucena obětovat klienty z jednoho státu. A došel jsem k zajímavým zjištěním…
V tomto případě se jedná, jak je obvyklé v poslední době, o snahu hodit zodpovědnost rodičů za výchovu potomků a dohled nad nim, na subjekt, který si nejprve musí zjistit, že vůbec jde o dítě a odkud je. Pak teprve může reagovat. Proč vlastně řešit problémy tam, kde vznikají, tedy u voličů, když jde všechno hodit na jeden subjekt, který nemá volební právo? Naši úředníci vás přece naše voliče neobtěžují, to ta zlá zahraniční firma a za to jim zakroutíme krkem…
Ale dobře, předpokládejme, že by byl dobrý nápad, aby se o děti staral někdo cizí místo rodičů. K tomu ale potřebuje nejdříve vědět, s mým má tu čest. Věk kvůli regulaci a místo, odkud se přihlašuje, kvůli tomu, aby věděl, podle kterého předpisu má s návštěvníkem naložit.
Jak je to s identitou občanů USA
Napřed je nutné zmínit, jak mohou v USA ověřit, že jsem ten, za koho se vydávám a ne někdo jiný. Popřípadě jak zjistit, že nejsem ten, kdo říkám, že jsem.
U nás jsme zvyklí být víceméně pod kontrolou – hlášené trvalé bydliště a občanský průkaz. V USA na to zapomeňte. Vlastně existují jen tři způsoby, jak vy sami můžete potvrdit, že jste ten, za koho se vydáváte:
- Řidičský průkaz. Ten je vydávaný státem a … není povinný. Neexistuje zákon, který by nařizoval, že občan USA musí získat řidičský průkaz. Pokud nechce nebo nemá na autoškolu, řidičákem se neprokáže.
- Sociální pojištění. Můžete si spořit na penzi a dostanete identifikační číslo toho pojištění. Ale při prokazování totožnosti stačí vědět jméno a číslo pojištění. Ofotím jeho smlouvu a mám jeho totožnost plně k dispozici. Navíc ani toto není povinné, a plno nejchudších obyvatel na ně prostě nemá.
- Cestovní pas. Nevím, jak je postavena administrativa kolem jeho vydávání, ale proč by ho měl někdo vlastnit, pokud neplánuje cestovat do zahraničí a není povinný?
Existuje tak plno amerických občanů, kteří se nemůžou nijak prokázat ani před úřady.
Problém je i když si stát potřebuje ověřit totožnost občana. Má v podstatě tři možnosti:
- Pokud je někdo v policejní databázi a jsou tam jeho biometrické údaje (DNA, otisky prstů), může si ho stát teoreticky vyhledat tam. Ale když nemám žádný prohřešek, ostrouhá.
- Může vás požádat o předložení dokladu nebo čísla sociálního pojištění, ale pokud řeknete, že nemáte, tak kdo dokáže opak?
- Může vám totožnost někdo potvrdit. Nevím, jak vy, ale tvrzení sousedů, že „Ten chlápek se přistěhoval před 15 lety, představil se jako George Washington, žádný doklad nám neukázal, ale slyší na to“, bych bral celkem s rezervou.
Takže i státní úřady mají problém… A teď se zkuste vcítit do kůže online poskytovatele libovolné služby, když po něm zákon požaduje, aby dělal něco, co spolehlivě nedávají ani úředníci, kterým zákony dávají více možností. A je při tom klidně třeba na jiném kontinentu. Když to nesplní, riskuje mastnou pokutu a zákaz.
Případ Amy Krebs je krásný příklad, jak to tam chodí.
Osobní doklady a internet
Ani v případě, že by každý občan měl fyzický doklad, například občanský průkaz, na internetu nic neznamená. Totožnost se ověřuje vždycky tím že mám něco, co nemá někdo jiný – v historii třeba rodový pečetní prsten, nějaké zranění a podobně. Popřípadě že něco vím – heslo.
U nás je standardní identifikace s pomocí občanského průkazu a vašeho obličeje. Tato kombinace ale funguje v reálném světě, nikdy ne online. Ani když pošlete selfie a obrázek svého průkazu.
První problém takové online identifikace je, že nedokládá vlastnictví průkazu, jen vlastnictví jeho obrázku. Zatímco u průkazu stát garantuje, že existuje jen jeden, dává na něj ochranné prvky a trestá jeho napodobování, s jeho obrázkem je to jiné. Stačí něco nafotit mobilem a nasdílet na sociální síti a v tu chvíli mám kopii obrázku v mobilu, na několika serverech sociální sítě a ještě v zařízení každého, kdo se na něj podívá. Kdo zaručí příjemci zaručí, že poslaný plastové kartičky je opravdu jediná svoje kopie a nemá ho k dispozici nikdo jiný?
Druhá potíž s obrázkem dokladu je možnost jeho pozměnění. Schválně jsem si zkoušel offline vyfotit svůj občanský průkaz a použít GIMP – i když s tím programem neumím pracovat, za 20 minut jsem omládl o tři roky a přestěhoval se o 200 km. Když vám přijde fotka v mizerném rozlišení, nemáte šanci to poznat. Takže netušíme, jak moc byl doklad pozměněn.
Třetí problém tkví v tom, jak vlastníka průkazu zkontrolovat. V reálu mrknu na něj, mrknu na fotku a vidím, že má jiný tvar obličeje. Ale jak to udělat online? Když mám fotku průkazu, znám jméno, adresu a věk jeho držitele. Když používá sociální sítě, je nalezení jeho obličeje otázkou maximálně pár minut, udělat výřez je poměrně jednoduché… A hádej, ověřovateli, poslal někdo čerstvou selfie, právě pořízenou kvůli identifikaci, nebo výřez cizí fotky z dovolené? Další krok ověřování je nefunkční.
Funkčnost takového ověřování jsem viděl v okruhu známých, kde si jejich náctiletý syn koupil na aukčním portálu nějaké díly na kolo. Prodejce požadoval platbu předem s tím, že poslal naskenovaný občanský průkaz, kde se jméno shodovalo s profilem na portále. Po odeslání peněz ani po urgencích nic nepřicházelo a vrácení peněz se domohli až po podání trestního oznámení, když dotyčného podvodníka našla policie a zjistila, že tento průkaz si podvodníček „vypůjčil“ od opilého spolustolovníka v hospodě a takto napálil několik desítek lidí…
No a jsme u další části, zpracování osobních údajů. Provozovatel služby smí zpracovávat jen dva druhy osobních údajů. Ty, které musí mít ze zákona (v tomto případě věk) a ty, ke kterým musí mít souhlas od uživatele služby. A ten může svůj souhlas kdykoliv odvolat. Nojo, ale mám od něj kompletní obrázek dopadu, který poslal a tím podle obchodních podmínek souhlasil se zpracováním údajů na něm, ale po půl roce si vzpomněl, že nechce, abych zpracovával jeho adresu. Jak to z toho obrázku dostanu? A co se stane, když havaruje server, nahraju data ze zálohy a tam na potvoru nejsou smazaná? Rozumný provozovatel služby proto taková data, co mít nemusí, ani nepožaduje.
A potíže nastanou, pokud seznam osobních údajů unikne. Zvlášť v případech, kdy to může znamenat osobní problémy, jako se to stalo u erotické seznamky Ashley Madison. Psali jsme o ní ve zprávičce Ukradená data z erotické seznamky zveřejněna. Tomuto případu se věnoval například i podcast O2 Místo kyberčinu
Takové ověření obrázkem dokladu je, slušně řečeno, velmi formální. Zaškrtávací políčko „Prohlašuji, že jsem starší 18ti let“ je stejně spolehlivé, bez rizika pokuty za únik osobních údajů a méně pracné pro obě strany. Přitom s podstatně menším rizikem úniku dat nebo pokuty. Přesto některé služby, jako Amateri.com (na obrázku) nebo sociální sítě, na poslání ofoceného dokladu z nějakého podivného důvodu (čti „z důvodu mentální nedostatečnosti provozovatele“) trvají.
Možnosti ochrany dětí
Jde-li o omezení negativních vlivů pornografie na děti, je hned několik možností.
To, co by mělo býžt v první linii, je osvěta u mladých. Ať rodič dělá co chce, nedokáže zabránit dítěti v přístupu k pornografii. I kdyby se povedlo kompletně zablokovat veškerý online přístup k pornu, kdo zaručí, že nenajde pohozený časopis za kontejneremm s papírem? Budete mu stát za zadkem, když jde na návštěvu ke kamarádovi, který má sourozence, který může legálně přistupovat k pornu? Dítě by mělo minimálně vědět, o co se jedná a že to je pohádka pro dospělé, ne realita. U poučených není moc možností, jak může porno škodit.
Druhá linie je přístup rodičů. Je v jejich kompetenci, a mají na to nástroje, aby potomkovi komplikovali přístup k obsahu, který by dle nich nebo dle zákonodárce neměl vidět. Oni ví, čemu chtějí nebo smí svoje dítě vystavit a oni za ně zodpovídají, dokud nedostane rozum. Oni ví nejlépe, jak je na tom s věkem, vyspělostí a kde (s jakými zákony) žije. Oni můžou v Androidu nastavit účet s omezením, blokovat erotické kanály v TV heslem a podobně. To za ně nějaká vzdálená služba nikdy neudělá.
Teprve třetí linie může být ověření na straně poskytovatele. Nesmí to ale být v podobě, že potomkovi stačí počkat, až matka bude ve sprše, vytáhne jí plastovou kartičku z kabelky, vyfotí ji a obrázek někam pošle. A v případě, že je odhalen nízký věk, nesmí to být nikdo zaznamenáno. Děti jsou zvědavé a často neví, co dělají. Je podraz od dospělých, když ve 30 nedostane práci, protože praskne, že v osmi letech klikl na odkaz, který ho přesměroval na stránku pro dospělé.
A je-li nutné spolehlivé ověření, je nevhodné, aby jakékoliv vaše osobní údaje, které nepotřebuje, měl provozovatel služby. Zvlášť jde-li o diskrétnost, které se u porna a erotiky dost cení. Je lepší se ověřit skrz prostředníka, který zná vaši online totožnost a sdělí jen ty osobní údaje, které povolíte. Příklad takové služby je MojeId od CZ.NIC Potřebuje-li služba ověřit váš věk, přihlásíte se s pomocí takové služby a povolíte, aby předali jen váš věk. Oni mají jistotu, že splňujete podmínky pro poskytnutí služby, vy máte jistotu, že si vaši skutečnou totožnost nikdo nespáruje s tím, co sledujete na porno stránkách.
A co na to PornHub
Zmíněný zákon HB3 vyžaduje striktní ověřování věku. Spolehlivě a anonymně, samozřejmě. Ve státech, kde ani policie nebo soud nemá možnost spolehlivě ztotožnit sobu, která nebyla vyšetřována nebo odsouzena za zločin, je tento požadavek nesplnitelný. Není proto překvapení, že PornHubu se to nelíbí a odmítá plnit nesmyslné a nesplnitelné požadavky.
Z tohoto důvodu už je PornHub nedostupný ve 12 státech USA – Arkansasu, Idahu, Indianě, Kansasu, Kentucky, Louisianě, Montaně, Mississippi, Nebrasce, Severní Karolíně, Texasu a Virginii. Zdá se, že další státy budou přibývat.
Dle vyjádření vlastníků služby PornHub nechtějí být správci osobních údajů a nést za ně zodpovědnost v situaci, kdy to odmítá dělat stát. Požadují, aby zákonodárci náležitě zdůvodnili svůj požadavek na kontrolu přístupu z jejich strany, a je-li opravdu nezbytný, zajistili možnost jeho splnění buďto zavedením služby identity, nebo požadavkem na ověření na zařízení uživatele. A hrozí, že se v případě neodůvodněných nesplnitelných omezení, vytáhnou do právní bitvy a arbitráží o ušlý zisk.
Jisté jsou v této chvíli jen tři věci – že obyvatelé Floridy budou dál koukat na porno, na Floridě se rozšíří připojení na pornografické servery skrz tunely z jiných států a že bude další zajímavá kauza, kterou budu sledovat.