Weryfikacja wieku przy dostępie do treści pornograficznych

Stowarzyszenie Twoja Sprawa przedstawiło 16 grudnia 2019 r. projekt ustawy o ochronie małoletnich przed treściami pornograficznymi. Otrzymał on oficjalne poparcie Rady ds. Rodziny, która zarekomendowała Prezesowi Rady Ministrów przyjęcie propozycji do dalszych prac legislacyjnych. Minister rodziny, pracy i polityki społecznej zapowiedziała, że prace legislacyjne nad projektem powinny zakończyć się w pierwszej połowie 2020 r. Konieczność ograniczania małoletnim dostępu do pornografii jest oczywista, jednak projekt wzbudził duże kontrowersje – głównie ze względu na zaproponowany mechanizm weryfikacji wieku, który może stanowić potencjalne zagrożenie dla prywatności internautów. Proponowane przepisy zakładają również nałożenie dodatkowych obowiązków na przedsiębiorców telekomunikacyjnych, podmioty świadczące usługi drogą elektroniczną czy dostawców usług płatniczych.

Stowarzyszenie Twoja Sprawa otwarcie przyznaje, że przedstawiony projekt przed wejściem w życie będzie wymagał licznych zmian, jednak to jego podstawowe założenia budzą najwięcej kontrowersji. Zgodnie z nimi mechanizm weryfikacji wieku użytkowników trzeba wprowadzić na każdej stronie internetowej, która zapewnia dostęp do treści pornograficznych. Mechanizm ten musi skutecznie uniemożliwiać dostęp do takich treści osobom, które nie ukończyły 18 roku życia. Strona internetowa, na której nie zostanie wprowadzony mechanizm, zostanie wpisana do rejestru, a dostęp do niej powinien zostać zablokowany przez przedsiębiorców telekomunikacyjnych.

Weryfikacja wieku ma być prowadzona z zapewnieniem odpowiedniego poziomu ochrony danych osobowych i prywatności, jednak pewne opinie wskazują, że może się to okazać technicznie niemożliwe, jeśli projekt zostanie przyjęty w obecnym kształcie.

Założenia i kształt projektu

Projekt
ustawy wprowadza liczne definicje, w tym określa, czym są „kwalifikowane treści
pornograficzne”. Prawidłowe sformułowanie tej definicji jest kluczowe dla
klasyfikacji materiałów zamieszczanych w internecie. Tymczasem zgodnie z zaproponowaną
definicją pornografia może obejmować również materiały o charakterze
artystycznym lub naukowym. Projekt przepisów w art. 9 ust. 9 przewiduje, że
czynności kontrolne nie będą podejmowane w stosunku do dzieł artystycznych lub
udostępnianych w ramach publikacji o charakterze wyłącznie naukowym lub
edukacyjnym. Przyjęcie takiej konstrukcji może okazać się niebezpieczne dla
twórców, ponieważ decyzja o podjęciu czynności sprawdzających w stosunku do
takich treści będzie zależała od decyzji organu kontroli. Bezpieczniejszym
rozwiązaniem byłoby takie zmodyfikowanie wspomnianej definicji, żeby wyłączyć z
jej zakresu te treści, które w rzeczywistości pornografii nie stanowią.

Zgodnie
z projektowanymi przepisami podmiotem udostępniającym pornografię jest nie
tylko osoba bezpośrednio upubliczniająca treści pornograficzne (np. na własnej
domenie internetowej), ale również usługodawca, który daje taką możliwość swoim
użytkownikom. Zgodnie z projektem odpowiedzialność podmiotu prowadzącego taką
platformę internetową może być ograniczona jedynie przez art. 14 ustawy o
świadczeniu usług drogą elektroniczną (tzw. wyjątek hostingodawcy).
Usługodawca, który dowiedział się (np. z urzędowego zawiadomienia lub innego
wiarygodnego źródła), że użytkownicy wykorzystują jego zasoby do przechowywania
danych o charakterze bezprawnym, ma obowiązek uniemożliwić uzyskiwanie dostępu
do takich danych. Jeśli nie podejmie w takiej sytuacji odpowiednich działań,
obowiązek wprowadzenia narzędzi weryfikacji wieku będzie spoczywał również na nim.

Nie
do końca zrozumiałe jest umożliwienie wyłączenia odpowiedzialności usługodawcy
tylko wtedy, gdy oferuje on usługi hostingu. Pominięte zostały usługi zwykłego
przekazu oraz cachingu, względem których wyłączenia odpowiedzialności pojawiają
się w ustawie o świadczeniu usług drogą elektroniczną. W tej sytuacji istnieje
niebezpieczeństwo takiej interpretacji przepisów projektu, która umożliwi operatorom
sieci społecznościowych zwolnienie się z odpowiedzialności w zakresie
materiałów publikowanych przez użytkowników, ale już nie w zakresie materiałów przesyłanych
w wiadomościach prywatnych. Takie sformułowanie projektu może prowadzić do jego
niezgodności z prawem unijnym, a w szczególności z przepisami dyrektywy
2000/31/WE o handlu elektronicznym, które implementowała ustawa o świadczeniu
usług drogą elektroniczną.   

Zgodnie
z założeniami projektu organem kontroli realizującym przepisy ustawy będzie
Przewodniczący Krajowej Rady Radiofonii i Telewizji. Współregulatorem ma być specjalnie
powołana fundacja, nad którą nadzór będzie sprawować minister cyfryzacji. W
radzie fundacji mają zasiadać przedstawiciele organu kontrolnego oraz
członkowie organizacji zajmujących się prawami dzieci, ochroną prywatności oraz
reprezentacją interesów podmiotów świadczących usługi drogą elektroniczną. Współregulator
ma realizować zadania wskazane w katalogu ustawowym, a ponadto prowadzić
monitoring treści pornograficznych udostępnianych w internecie, a także zgłaszać
przypadki naruszenia przepisów do organu kontroli.

Dodatkowe obowiązki dla innych
podmiotów

Domeny
internetowe oraz adresy kont, które udostępniają treści pornograficzne bez  weryfikacji wieku, organ kontroli będzie wpisywać
do nowo utworzonego rejestru. Zostanie on opublikowany na stronie internetowej
biuletynu informacji publicznej Krajowej Rady Radiofonii i Telewizji, a dostęp
do niego będzie miała każda zainteresowana tym osoba (co oznacza, że rejestr sam
w sobie będzie źródłem wiedzy o nowych stronach pornograficznych). Rejestr ma
być prowadzony w sposób umożliwiający automatyczne przekazywanie informacji o
wpisach do systemów informatycznych przedsiębiorców telekomunikacyjnych oraz
dostawcom usług płatniczych. To właśnie na te dwa rodzaje podmiotów projekt
przepisów nakłada dodatkowe obowiązki.

  • Przedsiębiorcy
    telekomunikacyjni

Wszyscy
przedsiębiorcy telekomunikacyjni, którzy świadczą usługę dostępu do sieci
internetowej, zostaną zobowiązani do tego, aby nie później niż w ciągu 48
godzin od momentu wpisu domeny internetowej lub adresu konta do rejestru
uniemożliwić do nich dostęp swoim abonentom. Użytkownik próbujący wejść na
stronę wpisaną do rejestru powinien zostać przekierowany do domeny wskazanej przez
Przewodniczącego KRRiT. O ile w przypadku stron internetowych pokazujących
głównie treści pornograficzne zablokowanie dostępu nie budzi kontrowersji,
pytania pojawiają się przy platformach, w których treści przekazywane są
jedynie w ramach jednego lub kilku kont funkcjonujących w serwisie. W takim
przypadku, jeśli usługodawca skutecznie korzysta z ograniczenia
odpowiedzialności hostingodawcy, organ kontroli do prowadzonego rejestru będzie
mógł wpisać jedynie bezpośredni adres konta, które udostępnia treści
pornograficzne. Będzie to stanowiło dodatkowy problem, ponieważ adres URL
konkretnego konta na platformie często się zmienia (np. wskutek modyfikacji
nazwy użytkownika), również na życzenie samego klienta usługodawcy. Do rejestru
trzeba więc będzie wpisywać tysiące pozycji, a przeprowadzenie właściwego trybu
postępowania (który zakłada m.in. próbę kontaktu z osobą udostepniającą) będzie
sporym wyzwaniem dla organu kontrolnego.

Oczywiście
wpłynie to również na zakres obowiązków przedsiębiorców telekomunikacyjnych,
którzy będą musieli blokować kolejne strony maksymalnie w ciągu 48 godzin od
wprowadzenia ich do rejestru. Informację o kolejnych wpisach rejestr powinien
przekazywać automatycznie do systemów informatycznych usługodawców – szczegóły
tego rozwiązania technicznego określi KRRiT w rozporządzeniu. Oznacza to, że
przedsiębiorcy będą zmuszeni korzystać z kolejnego zewnętrznego rozwiązania
technologicznego – albo będą musieli oddelegować pracowników, którzy zajmą się
blokowaniem wpisanych adresów. Jeśli przedsiębiorca telekomunikacyjny nie zablokuje
strony, Przewodniczący KRRiT może wystosować wezwanie do zaprzestania naruszeń
przepisów ustawowych, a następnie nałożyć karę pieniężną, wynoszącą nawet 100
tys. złotych.

Monitorowanie
wpisów w rejestrze będzie obowiązkiem również tych przedsiębiorców
telekomunikacyjnych, którzy dokonują rozliczenia usług o podwyższonej opłacie.
Zgodnie z projektem operator powinien uniemożliwić realizowanie tzw. SMS-ów premium
lub dodatkowo płatnych połączeń telefonicznych, które są naliczane w
odniesieniu do usług dostępnych za pośrednictwem domen oraz kont użytkowników,
których adresy zostały wpisane do rejestru.

  • Podmioty
    świadczące usługi płatnicze

Kontrowersyjny jest sposób nałożenia dodatkowych obowiązków na podmioty świadczące usługi płatnicze. Projekt zakazuje udostępniania usług płatniczych przez dostawców na stronach internetowych, które wpisane są do rejestru. Jeśli do rejestru wpisana zostanie strona, na której dostawca świadczy już swoje usługi, ma on 30 dni na zaprzestanie takich praktyk. W związku z tym przepisy projektu de facto wrzucają dostawców płatności w kolejny reżim regulacyjny, z którym wcześniej nie mieli do czynienia. Od momentu ewentualnego wejścia projektu w życie dostawcy usług płatniczych, którzy już teraz muszą kontaktować się z Urzędem Komisji Nadzoru Finansowego oraz Generalnym Inspektorem Informacji Finansowej, będą podlegali dodatkowemu organowi regulacyjnemu – Krajowej Radzie Radiofonii i Telewizji. Przewodniczący KRRiT będzie mógł nie tylko żądać od dostawcy udzielenia wyjaśnień lub przedstawienia dokumentów w zakresie niezbędnym dla kontroli, ale również wezwać go do zaniechania naruszeń, a nawet nałożyć kary finansowe.

Polscy
dostawcy usług płatniczych w bardzo małej części świadczą usługi na rzecz
zagranicznych serwisów z treściami pornograficznymi (to głównie one będą
wpisywane do rejestru). Projekt jest jednak sformułowany w taki sposób, że nie
do końca jasna jest możliwość zastosowania tych przepisów także do unijnych
dostawców płatności, którzy transgranicznie świadczą swoje usługi na terenie
Polski. Projekt przepisów odnosi się ogólnie do dostawców usług płatniczych, a
tymi zgodnie z przepisami ustawy o usługach płatniczych są również unijne
instytucje płatnicze czy oddziały banków zagranicznych. W takiej sytuacji
podmioty działające w Polsce na zasadzie paszportowania, które jednocześnie
świadczą swoje usługi podmiotom wpisanym do rejestru, nie będą pewne, czy nie
zostanie nałożona na nie kara finansowa. Jeśli organ kontrolny będzie
interpretował przepisy we wskazany sposób, pojawi się pytanie, czy dostawca
płatności powinien całkowicie zrezygnować ze współpracy z podmiotem wpisanym do
rejestru, czy jedynie uniemożliwić rozliczanie płatności polskich użytkowników.
A to tylko podstawowe wątpliwości, jakie wiążą się z przedstawionym projektem.

Obecnie obowiązujące przepisy

Pomimo
szerokiej dyskusji, która miała miejsce po opublikowaniu projektu przepisów,
niewiele osób zauważa podobieństwa do regulacji, którą są już obecne w polskim
systemie prawnym. Najbardziej jednoznacznym przykładem jest obowiązek ochrony
małoletnich przez dostawców audiowizualnych usług na żądanie, czyli tzw.
platform VOD. Zgodnie z art. 47e ustawy o radiofonii i telewizji (implementującym
przepisy unijne) nie można udostępniać katalogu audycji zagrażających rozwojowi
małoletnich, w tym w szczególności treści pornograficznych, bez stosowania
zabezpieczeń technicznych lub innych odpowiednich środków, mających na celu
ochronę małoletnich przed ich odbiorem.

Warunki,
jakim odpowiadać muszą zabezpieczenia techniczne lub inne odpowiednie środki,
mogą zostać określone przez rozporządzenie wydawane przez KRRiT w porozumieniu
z ministrem ds. informatyzacji. Organ od 2014 roku do dzisiaj nie zdecydował
się na wydanie wskazanego rozporządzenia. Powodem może być przyjęcie w tym
zakresie Kodeksu
dobrych praktyk
przygotowanego przez Związek Pracodawców
Branży Internetowej IAB Polska. Proponowanym przez Kodeks zabezpieczeniem
technicznym jest udostępnienie użytkownikom nieodpowiednich treści tylko pod
warunkiem podania danych autoryzacyjnych karty płatniczej lub uiszczenia
płatności weryfikacyjnej.

Proponowany w projekcie mechanizm blokowania stron z treściami pornograficznymi jest bardzo podobny do wprowadzonych wcześniej przepisów dotyczących rejestru stron służących do oferowania gier hazardowych niezgodnie z ustawą. Również w ich przypadku dodatkowe obowiązki zostały narzucone przedsiębiorcom telekomunikacyjnym. Podczas wprowadzania przepisów dotyczących gier hazardowych istotne uwagi zgłosił m.in. Minister Cyfryzacji, który wskazywał, że wpis domeny do rejestru powinien być poprzedzony postanowieniem sądu powszechnego, co jednak nie zostało ostatecznie uwzględnione. Obecnie do rejestru jest wpisanych ponad 8400 domen, jednak część publikacji wskazuje, że nawet jeśli przedsiębiorca telekomunikacyjny usiłuje blokować strony, to użytkownicy i tak mogą mieć do nich dostęp ze względu na używane programy antywirusowe lub inny software urządzenia końcowego. W takiej sytuacji pojawia się pytanie o skuteczność analogicznego rozwiązania, które zostało zaproponowane w odniesieniu do stron zawierających treści pornograficzne.

Wątpliwości dotyczące
weryfikacji wieku

W opisie założeń projektu ustawy chroniącej dzieci przed pornografią jej autorzy wskazują, że zaproponowane przepisy korespondują z założeniami dyrektywy 2018/1808 z dnia 14 listopada 2018 r. o audiowizualnych usługach medialnych, którą państwa członkowskie mają obowiązek implementować do 19 września 2020 r. Należy jednak doprecyzować, że projekt z pewnością nie stanowi implementacji przepisów dyrektywy. Regulacja europejska ma o wiele szerszy zakres niż ochrona dzieci przed pornografią (dotyczy również np. walki z mową nienawiści oraz ograniczeń w treści reklam i przekazów kierowanych do małoletnich). Projekt ustawy nie posługuje się też definicjami wprowadzonymi przez przepisy dyrektywy. W szczególności projekt nie odnosi się do takich pojęć jak „dostawcy platform udostępniania wideo” czy „wideo stworzone przez użytkownika”. Przyjęcie przepisów w tym kształcie może doprowadzić do niewłaściwej implementacji dyrektywy i pozostawać w sprzeczności z innymi ustawami, które będą ją wprowadzać. 

Najwięcej
wątpliwości wzbudziły jednak ewentualne wymagania i rzeczywisty kształt
narzędzi weryfikacji wieku odbiorcy, które mają być stosowane przez podmioty
udostępniające treści pornograficzne. Minimalne kryteria narzędzi ma określić
Przewodniczący KRRiT w drodze rozporządzenia w porozumieniu z ministrem ds.
spraw cyfryzacji oraz po uzyskaniu opinii PUODO. Łatwo sobie wyobrazić
sytuację, w której instrument weryfikacji wieku nie zapewnia odpowiedniego
poziomu ochrony danych osobowych i przez to nieuprawniony do tego podmiot
otrzymuje dostęp do wiadomości o preferencjach seksualnych dużej grupy
obywateli.

Dodatkowe obawy wzbudziły medialne wypowiedzi przedstawicieli Ministerstwa Cyfryzacji, w których padały propozycje nałożenia dodatkowych obowiązków na dostawców przeglądarek internetowych. Mieliby oni natywnie blokować dostęp do części treści dostępnych w internecie. Byłby on odblokowywany kluczem generowanym przez ministerstwo. Pozostaje mieć nadzieję, że zespół ekspercki powołany przez Ministerstwo Rodziny, Pracy i Polityki Społecznej opracuje rozwiązanie bardziej przystosowane do realiów rynku.

Warto przy okazji zauważyć, że tylko niektóre dotychczasowe głosy w dyskusji wskazywały na możliwość uwzględnienia w projekcie regulacji dotyczących edukacji seksualnej, które mogłyby dodatkowo ochronić małoletnich przed negatywnymi skutkami pornografii.  

Adam Polanowski

Artykuł ukazał się również na portalu Codozasady.pl

Poprzedni wpis
Dungeons podobne do Dungeons & Dragons
Następny wpis
Blockchain / DLT w polskiej Strategii Rozwoju Rynku Kapitałowego