Da love for aldersbekræftelse først var målrettet mod pornografiske websteder, antog mange mennesker, at tendensen med tiden ville forsvinde.
De fleste kaldte lovene upraktiske, invasive og umulige at håndhæve i stor målestok. Mens tilhængere insisterede på, at de var nødvendige for at beskytte børn online.
År senere er lovene ikke forsvundet. I stedet udvider de sig hurtigt ud over voksenwebsteder og ind i de operativsystemer, der driver hverdagscomputere og smartphones.
Den næste fase af internetalderbekræftelse sker muligvis ikke på PornHub eller sociale medieplatforme. Det kan ske i det øjeblik, du tænder en ny bærbar computer eller telefon.
Fra den 1. januar 2027 vil Californiens Digital Age Assurance Act kræve, at operativsystemer beder brugere om deres alder under opsætning af enheden. Loven gælder bredt for systemer, herunder Microsoft Windows, Apples macOS og iOS, Googles Android og ChromeOS og potentielt Linux-baserede operativsystemer.
Når det er indtastet, skal operativsystemet give apps et “aldersgruppesignal”, der identificerer, om en bruger er under 13, mellem 13 og 15, mellem 16 og 17 eller over 18.
Flytningen repræsenterer et stort skift i, hvordan regeringer nærmer sig online aldersbekræftelse. I stedet for at hjemmesider og apps indsamler aldersoplysninger uafhængigt, ønsker lovgivere i stigende grad, at operativsystemet selv skal fungere som gatekeeper.
Dette kunne fundamentalt omforme databehandling og anonym internetadgang.
“Det åbne internet, som vi kender det, giver folk mulighed for at få adgang til information anonymt, privat og sikkert,” sagde Aaron Mackey, vicejuridisk direktør hos Electronic Frontier Foundation. “Det er i fare for lovgivere, der har gode intentioner, men som skriver brede love.”
Det nuværende fremstød sporer tilbage til bølgen af lov om aldersbekræftelse af pornografi, der er blevet vedtaget i USA i løbet af de sidste mange år. Mere end to dusin stater vedtog love, der kræver, at voksenwebsteder skal verificere brugernes alder, ofte gennem statsudstedte id’er, ansigtsscanninger eller tredjepartsbekræftelsessystemer.
Store voksenwebsteder som Pornhub reagerede ved at blokere adgang i flere stater i stedet for at implementere systemerne direkte. Privatlivsfortalere advarede om, at det at tvinge brugere til at uploade identifikationsdokumenter for at få adgang til lovligt voksenindhold skabte massive overvågnings- og cybersikkerhedsrisici.
Men lovgiverne stoppede ikke der.
Californiens AB 1043 flytter effektivt ansvaret for aldersbekræftelse væk fra websteder og over på selve operativsystemet. Apps vil ikke længere kunne hævde uvidenhed om en brugers alder, fordi operativsystemet allerede vil levere oplysningerne.
I henhold til loven anses applikationsudviklere for at have “faktisk viden” om en brugers aldersgruppe, når operativsystemet deler signalet. Det skaber juridiske forpligtelser for udviklere til at overholde forskellige love om beskyttelse af børn, herunder COPPA og andre statslige bestemmelser, der involverer mindreårige.
Datingapps, sociale medietjenester, spilplatforme, beskedapps og endda visse webtjenester kan i sidste ende blive påvirket.
Implikationerne rækker langt ud over Californien, fordi operativsystemudviklere sjældent skaber statsspecifikke versioner af deres software.
Mackey advarede om, at systemer designet til brugere i Californien nemt kunne blive standard globalt.
“Tekniske virksomheder bygger sjældent separate operativsystemer til forskellige stater,” sagde Mackey. “Disse systemer vil sandsynligvis blive rullet ud for alle.”
Som skrevet i øjeblikket, kræver Californiens lov kun, at brugere skal angive deres alder under opsætningen. Der kræves ingen identitetsbevis.
Nichole Rocha, en databeskyttelsesadvokat, der repræsenterer den Californien-baserede fortalergruppe Children Now, sagde, at lovgivningen var bevidst designet til at undgå invasive identitetsbekræftelsessystemer.
“Der er intet krav om upload af et stats-id, og det var med vilje,” sagde Rocha.
Tilhængere hævder, at de fleste forældre ærligt konfigurerer enheder til deres børn, og at selvbekræftelse skaber en rimelig privatlivsbalance.
Kritikere er stadig ikke overbeviste.
EFF mener, at virksomheder i sidste ende kan vedtage strengere verifikationssystemer frivilligt for at reducere det juridiske ansvar og forhindre mindreårige i at omgå restriktioner blot ved at lyve om deres alder.
Det kan betyde, at operativsystemer i sidste ende anmoder om stats-id’er, kreditkortverifikation, ansigtsgenkendelsesscanninger eller biometrisk godkendelse under opsætningen.
“Mens loven på papiret ikke kræver streng aldersbekræftelse, tror jeg, at overholdelse i praksis vil ligne meget mere aldersbekræftelse,” sagde Mackey.
Bekymringen forstærkes af yderligere lovgivning, der nu dukker op på både stats- og føderalt niveau.
I april introducerede lovgiverne den foreslåede lov om forældrebeslutning i Kongressen. Hvis den bliver vedtaget, vil lovgivningen kræve, at operativsystemer landsdækkende indsamler brugernes fødselsdatoer, før de tillader enhedsopsætning eller kontooprettelse.
Forslaget vil også pålægge Federal Trade Commission at etablere regler for, hvordan operativsystemer verificerer forældres eller værges identiteter for mindreårige.
Kritikere frygter, at dette ville skabe en ramme for landsdækkende krav til identitetsbekræftelse, der er direkte knyttet til computere og smartphones.
Flere stater er allerede ved at udforske lignende love.
Colorado lovgivere introducerede SB26-051. Illinois lovgivere foreslog Children’s Social Media Safety Act. Lovgivere i New York diskuterer lovgivning, der kræver “kommercielt rimelige aldersforsikringsmetoder”, siger sprogkritikere, at de nemt kan inkludere obligatorisk id-bekræftelse.
I mellemtiden overvejer lovgivere i Californien allerede at udvide systemet yderligere gennem AB 1856, som ville udvide aldersbekræftelsessignaler til selve webbrowsere og websteder.
Browserudviklere er allerede ved at bygge infrastrukturen.
Googles Chromium-projekt og Apples Safari understøtter nu Digital Credentials API’er, der er i stand til sikkert at overføre statslige identifikationsdata til websteder. Digitale kørekort gemt i Apple Wallet eller Google Wallet kan teoretisk set bruges i fremtidige aldersbekræftelsessystemer.
I Det Forenede Kongerige bruger Pornhub allerede Apples alderssignaleringssystemer på iOS-enheder til at hjælpe med at bestemme brugerens berettigelse.
Forslaget udløste især voldsomt tilbageslag fra open source-softwareudviklere og Linux-fællesskaber tidligere på året.
I modsætning til proprietære platforme såsom Windows eller iOS, vedligeholdes mange Linux-distributioner af frivillige, nonprofitorganisationer eller decentraliserede fællesskaber uden centraliserede brugerkonti eller telemetrisystemer.
Kritikere hævdede, at Californiens oprindelige lov var så bred, at hobbyudviklere, der distribuerer open source-operativsystemer, teoretisk set kunne stå over for juridisk ansvar for manglende implementering af aldersbekræftelsessystemer.
Privatlivsfokuserede projekter advarede om, at det at tvinge open source-operativsystemer til at indsamle personlige oplysninger underminerer selve de principper, som mange var bygget på.
GrapheneOS, en privatlivsfokuseret Android-gaffel, erklærede offentligt, at den ville forblive brugbar uden at kræve personlig identifikation eller brugerkonti.
MidnightBSD gik videre og blokerede midlertidigt downloads fra jurisdiktioner med love om aldersbekræftelse, mens de advarede om, at det manglede ressourcer til at overholde verifikationsmandater.
“Vi er ikke en virksomhed og har ikke indtægter til at betale for verifikationstjenester,” hedder det i projektet.
Tilbageslaget ser ud til at have tvunget californiske lovgivere til at genoverveje dele af lovgivningen.
AB 1856, introduceret af Californiens forsamlingsmedlem Buffy Wicks, foreslår nu at fritage software distribueret under open source-licenser, der tillader brugere at kopiere, omdistribuere og ændre koden.
Hvis den bliver vedtaget, vil undtagelsen sandsynligvis beskytte mainstream Linux-distributioner, herunder Ubuntu, Debian, Fedora, Arch Linux og Linux Mint, mod overholdelseskrav.
Ændringen ophæver ikke Californiens oprindelige Digital Age Assurance Act. Kommercielle operativsystemer og proprietære app-økosystemer vil stadig være underlagt loven.
Ændringen repræsenterer dog et bemærkelsesværdigt tilbagetog efter måneders kritik fra privatlivsforkæmpere og open source-udviklere.
Den bredere debat drejer sig om, hvorvidt regeringer skal kræve, at computere og telefoner bekræfter brugernes identitet eller alder, før de giver adgang til software og onlinetjenester.
Tilhængere omtaler lovene som børnesikkerhedsforanstaltninger designet til at beskytte mindreårige mod skadeligt onlineindhold.
Kritikere ser noget større dukke op: den gradvise udhuling af anonym internetadgang og normaliseringen af identitetsforbundet databehandling.
Det, der begyndte som lovgivning rettet mod pornografiske websteder, udvikler sig støt til infrastruktur, der er i stand til at regulere adgangen på tværs af næsten alle lag af det digitale liv.
I årtier fungerede computere stort set som neutrale værktøjer. Operativsystemer var ligeglade med, hvem brugerne var, hvor gamle de var, eller hvilken identifikation de besad. I stigende grad ser lovgivere ud til at forestille sig en fremtid, hvor disse antagelser ikke længere gælder.
Hvorvidt offentligheden accepterer den fremtid, er fortsat et åbent spørgsmål.
Men den ene ting, vi kan sige med sikkerhed, er, at aldersbekræftelse er kommet for at blive.
