Foto: Shutterstock / Dejan Dundjerski.

Hva slags alderskontroll er best for barn på nettet? 

Regjeringen vil ha ID-basert alderskontroll for sosiale medier. Forbrukerrådet og Datatilsynet er mot. Barnevakten har ikke fasiten, men vi har sett på noen prinsipper som kanskje kan lede til en mellomløsning. 

Regjeringen i Norge har varslet absolutt 15-års aldersgrense på sosiale medier og jobber med å finne ut hvordan den kan håndheves med alderskontroll. EU utvikler en e-lommebok, som med tiden kan brukes til alderskontroll, mens private selskaper tilbyr KI-løsninger for alderskontroll allerede.

En kortere versjon av denne artikkelen finner du her.

Vi mener sosiale medier bør tilby flere måter man kan verifisere alderen på, og ikke bare vise kun én løsning. Vi er positive til at BankID eller EUs digitale lommebok kan være noen av løsningene, så lenge kun alderen eller et «ok» røpes til det sosiale mediet. Men siden ikke alle kan få slik eID, bør det finnes også en løsning som ikke inkluderer e-ID.

Barnevakten snakker jevnlig med foreldre, de store tech-selskapene, fagfolk og politikere, og vi leser forskning, lovregler, rapporter og ideer. Likevel kan vi ikke slå på stortromma og si at vi har funnet fasiten på den gordiske digitale knute for kontroll av aldersgrenser i sosiale medier.

Men vi har samlet kunnskap og foreslår noen prioriteringer:

  • Personvern
  • Beskyttelse mot skadelig innhold
  • Ytringsfrihet
  • Innføres relativt raskt

Disse punktene taler for et kompromiss.

Sosiale medier er ikke bare forferdelige greier, men barn kan også ha stor glede av slike tjenester.  Barn har også rettigheter ifølge Barnekonvensjonen, de har rett til å skaffe seg informasjon samtidig som de skal beskyttes mot skadelig innhold.

Vi går derfor inn for lovpålagt aldersgrense på 13 år for sosiale medier, og at det for gruppen 13-18 år må komme lovpålagte regler mot barnefiendtlige funksjoner og innhold. Vi kaller denne løsningen “progressiv aldersgrense”. Det betyr at bestemte funksjoner blir tilgjengelige ettersom barnet blir eldre.

Flere sosiale medier er på vei og aldersjusterer sine funksjoner. Men for at en slik idé skal virke, må barnets riktige alder være registrert på kontoen. I dag er kontrollen for dårlig, for de fleste barn under dagens vilkårsgrense på 13 år benytter sosiale medier.

Spørsmålet er hvor omfattende alderskontrollen skal være. Det kan hende man lager nye problemer med en for omfattende kontroll.

Prinsipper for alderskontroll

Fordelen med alderskontroll er at barn registreres med ekte alder, eller svært nær riktig alder, slik kan appene alderstilpasse funksjoner og innhold. Ulempene er at alle voksne må gjennom samme kontroll og at overvåkingen kan øke. I tillegg kan noen falle utenfor hvis kontrollen inkluderer ID som de ikke har.

Derfor bør løsningen være et kompromiss. Barnevakten foreslår disse prinsippene for en eventuell alderskontroll ved opprettelse av konto i sosiale medier:

  • Utføres av tredjepart
  • Ikke monopol
  • Kun selfiealder
  • Noen års sikkerhetssone
  • Spredning av risiko
  • Unntak for gamle kontoer

Med utføres av tredjepart mener vi at de sosiale mediene bør ikke bli pålagt å hente inn mer persondata om oss, de overvåker oss allerede for mye. Det finnes alderskontrollapper på markedet, de kan fungere som mellomstasjon mellom brukeren og det sosiale mediet. Man kan påby at de sosiale mediene må bruke slike mellomstasjoner i de aller fleste tilfellene. Og man kan også sette noen krav til slike kontrollapper om at filene slettes umiddelbart etter kontrollen (slik det allerede gjøres) og at selskapet skal stå under tilsyn av myndighetene.

Med ikke monopol mener vi at alderskontrollen ikke bør legges til operativsystemene i telefonene til Google og Apple, selv om det er en fristende løsning som gjør livet enklere for oss alle. Det som er fristende med alderskontroll i selve telefonen, er at da kan Apple og Google strukturere alderstilgang til apper i sine nettbutikker. Det betyr at man slipper alderskontroll hver gang man skal laste ned en ny sosial app, for systemet stenger rett og slett for nedlastning av bestemte apper dersom barnet ikke har nådd aldersgrensen.

Men bigtech overvåker oss allerede massivt, og har stor makt. Google og Apple bør ikke pålegges å håndtere millioner av ID-bevis.

Det er også et mulig problem ved at man må forhandle med Google og Apple om hvilken aldersgrense som skal gjelde for den enkelte app, og som skal eventuelt hindre at barn å laste ned. Er det godt nok for regjeringen at Google og Apple forholder seg til appenes vilkårsgrenser? Eller er det butikkalderen som skal gjelde? Uansett vil disse aldersgrensene ikke være lik regjeringens ønske om aldersgrense. Hvilket selskap skal myndighetene gi bot til ved brudd på norsk lov om aldersgrense for sosiale medier? Skal boten sendes til Google og Apple, eller til det enkelte sosiale medium som i tilfelle kan si «hallo, dere har gitt ansvaret til Google og Apple, så dere får rydde opp med dem».

Det kan altså være mer ryddig å legge ansvaret direkte hos de sosiale mediene og ikke la Google og Apple bygge opp et intrikat system som skal følge opp ulike lands regler for egne borgere.

Alderskontroll i telefonens operativsystem vil ikke dekke innlogging via andre enheter som datamaskin og nettbrett. Man kan eventuelt kreve at også Microsoft har en tilsvarende løsning på sine maskiner. Da blir det i tilfelle tre giganter som allerede vet svært mye om oss, som også skal behandle våre ID-kort eller ansiktsskanninger. Slik befester man i tilfelle også stillingen til de tre gigantene og gjør det vanskeligere å slippe til alternativer på markedet for telefoner, nettbrett og så videre.

Vi har snakket med flere sosiale medier-selskaper, og de vil gjerne at alderskontrollen legges til operativsystemet i telefonene. Man kan mistenke disse selskapene også for å ha økonomiske motiver for å gå inn for dette. Dersom Google eller Apple ordner opp for dem, slipper de sosiale mediene kostnader til egne tekniske løsninger. De får også ryggen fri og kan bare peke på Google og Apple dersom myndighetene klager på noe.

Snapchat, Tiktok og Meta samarbeider nå om å få EU-kommisjonen til å pålegge Google, Apple og Microsoft til å dele aldersdata til brukeren som de samler inn når brukere tar i bruk deres operativsystem. Dette er Barnevakten skeptisk til.

En viss monopolskepsis bør man også ha til EUs egen digitale lommebok som utvikles, den vil i tilfelle vil bli et monopol dersom den skal brukes til alderskontroll for sosiale medier. Så langt Barnevakten forstår, vil denne lommeboken først tilbys personer over 18 år. En mulig alderskontroll for barn via EU-lommeboken ligger trolig langt frem i tid.

Med kun selfiealder mener vi å ta hensyn til politiske flyktninger eller andre som enten ikke har ID eller som ønsker å opptre anonymt.

Alderskontrollappenes standardløsning er i to steg:

  1. KI skanner ansiktet for å avgjøre alder. Det skjer via kontrollappens selfieløsning i sanntid, du kan ikke sende inn et gammelt bilde.
  2. KI sjekker innsendt ID for fødselsdato og sammenligner også selfien med ID-bildet slik at det er samme person.

Vårt foreløpige forslag er at det bør holde med steg 1 hvis man skal lovpålegge alderskontroll.

Ved å la kun steg 1 være pålagt, reduserer man antall ganger man må dele ID. Med mellomapp reduserer man også at selskaper som lever av overvåking, slik som sosiale medier gjør, får tak i din ID.

Ved å holde seg til steg 1, har man en løsning som alle kan benytte, også de som ikke har ID.

Med noen års sikkerhetssone mener vi: Siden det er noe usikkerhet om hvor nøyaktige kontrollappene er når det gjelder å skanne alder, kan man legge inn en sikkerhetssone på noen år. La oss si at lovpålagt alder settes til 13 år.  Med sikkerhetssone på noen år for å overholde aldersgrensen, betyr det at alle som skannes til en alder for eksempel 0 til 15 år, må i tillegg sende inn ID for å ha håp om å slippe inn i appen.

De som skannes til å være 16-18 år, slipper å sende inn ID. Det kan teoretisk bety at en 15-åring feilaktig registreres som 16 år, men det er til å leve med i et kompromiss. Det viktigste er å hindre alle 10-11-12-åringene og for øvrig sette rimelig riktig alder på resten.

Med en slik løsning slipper alle voksne å sende fra seg ID. Men noen barn, eller de fleste barn, må sende inn ID for at alderen skal bli riktig.

Man kan videre legge opp til at brukeren også skal ha en rett til å sende inn ID, for å rydde opp i eventuelle feil ved ansiktsalder. Dersom et barn på 16 år feilaktig får ansiktalder 15 år, bør barnet ha rett til å sende inn ID for å få korrekt alder, hvis det er viktig for barnet å få tak i funksjoner som kun gis til for eksempel 16-åringer.

Kontrollappen Yoti hevder at med deres kontroll vil barn i alderen 6-12 år bli korrekt definert som under 13 år i 99,5 prosent av tilfellene. Forbrukerrådet mener at nøyaktigheten til slike kontrollapper «i beste fall ligger innenfor et spenn på 2-4 år». Denne usikkerheten kan altså løses med en sikkerhetssone på noen år som utløser krav om ID, foreslår vi.

Det er lett å kritisere løsninger som ikke er 100 prosent vanntette. Det kan hende at lillesøster ber storesøster vise ansiktet sitt i selfietesten. Men da må de konspirere, og konspirasjon er litt vanskeligere enn å lyve på alderen alene slik man kan gjøre i dag. Lillesøster bør vite at dersom appen får mistanke om feil alder, kan appen kreve ID-kontroll av alderen, og da blir i tilfelle konspirasjonen enda større.

En idé er at dersom ID benyttes, så kan den knyttes til en kode som betyr at ID-en kan brukes kun til én konto i samme app. Dermed står storesøster i fare for å ikke få opprettet konto når ID-en er brukt opp på lillesøster. Den ideen er fersk for oss og vi har ikke maktet å grunne på eventuelle ulemper.

Med spredning av risiko mener vi at det er bedre at de sosiale mediene, og andre tjenester, kan velge mellom et utvalg kontrollapper som er på markedet, enn at all kontroll skal skje gjennom et monopol.

Dersom en av kontrollappene ligger nede for telling eller hackes, er skaden begrenset  og det finnes det andre kontrollapper som virker. Men dersom monopolselskapet svikter, da får det mye større konsekvenser. Også i monopolselskaper finnes råtne egg, spioner og brudd på rutiner, det er ikke gitt at monopolselskaper er tryggere enn de mindre selskapene.

En balansert alderskontroll

Barnevakten foreslår en balansert løsning som tar hensyn til både barn og voksne, og folk uten ID, og behovet som noen har for å være anonyme. Vi tar også hensyn til spredning av makt og risiko.

En løsning med kontrollapp som mellomstasjon kan også bety at alderskontrollen kan komme raskere på plass enn å vente på EUs digitale lommebok i barneversjon.

Barnevakten ser behovet for alderskontroll, men vi ser også ulemper, derfor må man kompromisse.

En ulempe er at selv om en kontrollapp kun gir beskjed til det sosiale mediet at alderen er innenfor lovverk og vilkår, vil det sosiale mediet bli litt sikrere på at du er den du er. Og da kan flere data om deg fra andre registre samkjøres litt sikrere.

Selv om kontrollappen røper nærmest ingenting, er altså ikke personvernet 100 prosent. Og det kan for øvrig tenkes at det finnes en ansatt som ikke er til å stole på i kontrollappen og som vil bruke bildet av deg til tullball på det interne julebordet, eller til svindel, selv om kravet skal være at alle bilder skal slettes umiddelbart etter alderskontrollen og at slike kontrollapper må stå under et tilsyn.

Når brukeren selv begynner å legge ut egne bilder, er risikoen kanskje større for at det røpes personlige opplysninger i motivene eller metadata. Og også i det sosiale mediet kan det finnes ansatte som ikke er til å stole på. Man makter ikke å fjerne all risiko.

Men generelt er selfieskann av alder å foretrekke fremfor ID-skann, når det gjelder personvern. Da gir brukeren fra seg færre persondata. Og med mellomstasjon vil ikke det sosiale mediet få tak i persondata direkte.

Selv om vi har høy tillit til myndighetene i Norge og Europa, er det uheldig at det skal finnes et ID-monopol som sitter på datamengder om oss. Alle mener at bigtech samler inn for mye data om oss, det samme kan man si dersom alderskontroll skal skje via ID-appen til EU-myndighetene. Men hvis man først skal ha monopol, kan det hende at en EU-løsning er best, for den er lettere å holde et offentlig ettersyn med. Andre offentlige etater kan kontrollere EU-løsningen.

En ulempe med EU-løsningen er at det tar tid før den er på plass.

De sosiale mediene ønsker å få riktig alder på samtlige brukere, enten man er 13 år eller 48 år. Også her kan det ligge økonomiske motiver. Når det sosialet mediet vet at du er 48 år, kan enda mer presis profilbasert reklame vises. Barnevakten mener det bør holde at alderen blir:

  • helt riktig for brukere som er nær aldersgrensen
  • rimelig riktig for brukere som er lenger unna aldersgrensen

En løsning for alderskontroll bør dekke behovet for å lande aldre opp til 18 år. Vel, beholder du kontoen i 20 år, vil appen vite din nøyaktige alder da, fordi du måtte ID-bekrefte alderen som barn.

Det gjelder å finne en løsning som er «god nok» til formålet. Vi snakker ikke om innlogging til atomkraftverk, men til sosiale medier.  Med tredjeparts alderskontroll sprer man både risiko og makt fordi det finnes mange selskaper som leverer slike tjenester. Og ved å redusere ID-kravet, slik at det gjelder kun for barn med ansiktalder opp til 15 år, slipper alle andre å ta bilde av passet eller førerkortet og sende inn til kontrollapp eller bigtech.

Noe annet er det hvis man skal logge seg inn i banken eller skal fylle ut selvangivelsen, da kreves det løsninger med høyere sikkerhet. Og noe lignende kan gjelde ved barn ved enkelte forhold på nettet, noen ganger må man øke sikkerheten og samtidig gi fra seg flere personopplysninger.

Vi ser for oss at løsningen presentert over, med kun ansiktsalder via tredjepart, kan benyttes flere steder på nettet, for eksempel ved pornonettsider.

Selv om sosiale medier tradisjonelt har vært lite ivrige etter å kontrollere alder via ID, har en slik ordning så smått begynt å spre seg for bestemte situasjoner. Noen ganger brukes det en tredjepart til å utføre kontrollen, men det skjer etter at det sosiale mediet har mottatt ID og sendt det videre til tredjepart. Så enten du er for eller imot alderskontroll, så er det til en viss grad alderskontroll allerede, og bigtech henter inn ID.

Bruk av ID på nettet bør reguleres slik at vi alle ikke deler pass og førerkort i øst og vest, for det er risikosport innen personvern og svindel.

For å begrense kravet om alderskontroll for voksne i sosiale medier, kan det eventuelt være unntak for kontoer som er mange år gamle. Hvis en tiåring skaffet seg konto i sosiale medier for ti år siden, i 2014, er barnet nå 20 år gammel nå i 2024, da bør personen slippe alderskontroll. Alderen på kontoen er her kun et eksempel for å vise ideen. Ved å ha unntak for gamle kontoer, kan man unngå at mange voksne må sende inn selfie for alderssjekk.

Barnevaktens forslag er et kompromiss og ikke er ment som en pottetett løsning for alderskontroll. Det går an å lage teorier om hull ved gamle kontoer. Men et kompromiss betyr at man tar mange hensyn og at man oppnår mye, men at det samtidig ikke er perfekt ved alle hensyn. Ved å droppe alderskontroll av ekstra gamle kontoer, slipper mange voksne helt unna alderskontroll, de slipper både steg 1 og 2 i kontrollappen.

Når det gjelder barn, så trenger de for øvrig ID for å hente postpakker, bevise alderen på kino, ha bankkonto for å handle på nettet, kjøre moped og lignende. Kompromissløsningen for aldersverifisering ved sosiale medier er ikke unik når det gjelder krav om ID.

Nasjonalt ID-kort utstedes til barn på passkontorer over hele landet eller fra omreisende busser med passkontor.

Hva er definisjonen på sosiale medier?

Det er mange komponenter som påvirker hverandre i dette landskapet. Hvordan vil regjeringen for eksempel definere sosiale medier i loven? Og hvilke funksjoner eller innhold bør reguleres etter ulik alder opp til 18 år? Hva skal 13-åringer eller 15-åringer kunne ha tilgang til av funksjoner? Hvor presis må alderskontrollen være? Til det siste spørsmålet kan man filosofere over at et barn blir ikke klokere i løpet av bursdagsfesten. Målet behøver ikke være å finne superpresis alder, dersom det målet lager problemer med personvern og så videre. Det kan hende at målet bør være å finne en rimelig riktig alder på de fleste barna, og helt presis alder nær aldersgrensen.

Oppsummert

Denne artikkelen handler kun om en eventuell alderskontroll og hvordan den kan se ut. I andre artikler behandler vi hvilken alder som er passende for en lovpålagt aldersgrense, og andre forhold.

Barnevaktens foreløpige forslag til regjeringen, når det gjelder eventuell alderskontroll, er dermed:

  • Alderskontroll i sosiale medier bør uføres av kontrollapp som kun ber om selfie som skannes for alder.
  • De som får en skannet alder som er noen år unna aldersgrensen, må sende inn ID i tillegg.
  • Det sosiale mediet pålegges å bruke kontrollapp slik at selfie og ID ikke sendes til det sosiale mediet – med noen unntak.
  • Gamle kontoer bør slippe alderskontroll.
  • Løsningen med kontrollapp gjør at man kan komme raskt i gang. Dersom EU kommer med en annen løsning senere, er vi åpne for det.
  • BankID kan gjerne benyttes som en alternativ løsning, for brukere som ønsker det.

Det dukker stadig opp nye poenger som problematiser ikke bare denne løsningen, men også andre, så vi er åpne for justeringer.

Les mer

(Hovedbilde øverst: Shutterstock / Dejan Dundjerski.)