Weryfikacja wieku przy dostępie do treści pornograficznych


Stowarzyszenie Twoja Sprawa przedstawiło 16 grudnia 2019 r. projekt ustawy o ochronie małoletnich przed treściami pornograficznymi. Otrzymał on oficjalne poparcie Rady ds. Rodziny, która zarekomendowała Prezesowi Rady Ministrów przyjęcie propozycji do dalszych prac legislacyjnych. Minister rodziny, pracy i polityki społecznej zapowiedziała, że prace legislacyjne nad projektem powinny zakończyć się w pierwszej połowie 2020 r. Konieczność ograniczania małoletnim dostępu do pornografii jest oczywista, jednak projekt wzbudził duże kontrowersje – głównie ze względu na zaproponowany mechanizm weryfikacji wieku, który może stanowić potencjalne zagrożenie dla prywatności internautów. Proponowane przepisy zakładają również nałożenie dodatkowych obowiązków na przedsiębiorców telekomunikacyjnych, podmioty świadczące usługi drogą elektroniczną czy dostawców usług płatniczych.

Stowarzyszenie Twoja Sprawa otwarcie przyznaje, że przedstawiony projekt przed wejściem w życie będzie wymagał licznych zmian, jednak to jego podstawowe założenia budzą najwięcej kontrowersji. Zgodnie z nimi mechanizm weryfikacji wieku użytkowników trzeba wprowadzić na każdej stronie internetowej, która zapewnia dostęp do treści pornograficznych. Mechanizm ten musi skutecznie uniemożliwiać dostęp do takich treści osobom, które nie ukończyły 18 roku życia. Strona internetowa, na której nie zostanie wprowadzony mechanizm, zostanie wpisana do rejestru, a dostęp do niej powinien zostać zablokowany przez przedsiębiorców telekomunikacyjnych.

Weryfikacja wieku ma być prowadzona z zapewnieniem odpowiedniego poziomu ochrony danych osobowych i prywatności, jednak pewne opinie wskazują, że może się to okazać technicznie niemożliwe, jeśli projekt zostanie przyjęty w obecnym kształcie.

Założenia i kształt projektu

Projekt ustawy wprowadza liczne definicje, w tym określa, czym są „kwalifikowane treści pornograficzne”. Prawidłowe sformułowanie tej definicji jest kluczowe dla klasyfikacji materiałów zamieszczanych w internecie. Tymczasem zgodnie z zaproponowaną definicją pornografia może obejmować również materiały o charakterze artystycznym lub naukowym. Projekt przepisów w art. 9 ust. 9 przewiduje, że czynności kontrolne nie będą podejmowane w stosunku do dzieł artystycznych lub udostępnianych w ramach publikacji o charakterze wyłącznie naukowym lub edukacyjnym. Przyjęcie takiej konstrukcji może okazać się niebezpieczne dla twórców, ponieważ decyzja o podjęciu czynności sprawdzających w stosunku do takich treści będzie zależała od decyzji organu kontroli. Bezpieczniejszym rozwiązaniem byłoby takie zmodyfikowanie wspomnianej definicji, żeby wyłączyć z jej zakresu te treści, które w rzeczywistości pornografii nie stanowią.

Zgodnie z projektowanymi przepisami podmiotem udostępniającym pornografię jest nie tylko osoba bezpośrednio upubliczniająca treści pornograficzne (np. na własnej domenie internetowej), ale również usługodawca, który daje taką możliwość swoim użytkownikom. Zgodnie z projektem odpowiedzialność podmiotu prowadzącego taką platformę internetową może być ograniczona jedynie przez art. 14 ustawy o świadczeniu usług drogą elektroniczną (tzw. wyjątek hostingodawcy). Usługodawca, który dowiedział się (np. z urzędowego zawiadomienia lub innego wiarygodnego źródła), że użytkownicy wykorzystują jego zasoby do przechowywania danych o charakterze bezprawnym, ma obowiązek uniemożliwić uzyskiwanie dostępu do takich danych. Jeśli nie podejmie w takiej sytuacji odpowiednich działań, obowiązek wprowadzenia narzędzi weryfikacji wieku będzie spoczywał również na nim.

Nie do końca zrozumiałe jest umożliwienie wyłączenia odpowiedzialności usługodawcy tylko wtedy, gdy oferuje on usługi hostingu. Pominięte zostały usługi zwykłego przekazu oraz cachingu, względem których wyłączenia odpowiedzialności pojawiają się w ustawie o świadczeniu usług drogą elektroniczną. W tej sytuacji istnieje niebezpieczeństwo takiej interpretacji przepisów projektu, która umożliwi operatorom sieci społecznościowych zwolnienie się z odpowiedzialności w zakresie materiałów publikowanych przez użytkowników, ale już nie w zakresie materiałów przesyłanych w wiadomościach prywatnych. Takie sformułowanie projektu może prowadzić do jego niezgodności z prawem unijnym, a w szczególności z przepisami dyrektywy 2000/31/WE o handlu elektronicznym, które implementowała ustawa o świadczeniu usług drogą elektroniczną.

Zgodnie z założeniami projektu organem kontroli realizującym przepisy ustawy będzie Przewodniczący Krajowej Rady Radiofonii i Telewizji. Współregulatorem ma być specjalnie powołana fundacja, nad którą nadzór będzie sprawować minister cyfryzacji. W radzie fundacji mają zasiadać przedstawiciele organu kontrolnego oraz członkowie organizacji zajmujących się prawami dzieci, ochroną prywatności oraz reprezentacją interesów podmiotów świadczących usługi drogą elektroniczną. Współregulator ma realizować zadania wskazane w katalogu ustawowym, a ponadto prowadzić monitoring treści pornograficznych udostępnianych w internecie, a także zgłaszać przypadki naruszenia przepisów do organu kontroli.

Dodatkowe obowiązki dla innych podmiotów

Domeny internetowe oraz adresy kont, które udostępniają treści pornograficzne bez weryfikacji wieku, organ kontroli będzie wpisywać do nowo utworzonego rejestru. Zostanie on opublikowany na stronie internetowej biuletynu informacji publicznej Krajowej Rady Radiofonii i Telewizji, a dostęp do niego będzie miała każda zainteresowana tym osoba (co oznacza, że rejestr sam w sobie będzie źródłem wiedzy o nowych stronach pornograficznych). Rejestr ma być prowadzony w sposób umożliwiający automatyczne przekazywanie informacji o wpisach do systemów informatycznych przedsiębiorców telekomunikacyjnych oraz dostawcom usług płatniczych. To właśnie na te dwa rodzaje podmiotów projekt przepisów nakłada dodatkowe obowiązki.

  • Przedsiębiorcy telekomunikacyjni

Wszyscy przedsiębiorcy telekomunikacyjni, którzy świadczą usługę dostępu do sieci internetowej, zostaną zobowiązani do tego, aby nie później niż w ciągu 48 godzin od momentu wpisu domeny internetowej lub adresu konta do rejestru uniemożliwić do nich dostęp swoim abonentom. Użytkownik próbujący wejść na stronę wpisaną do rejestru powinien zostać przekierowany do domeny wskazanej przez Przewodniczącego KRRiT. O ile w przypadku stron internetowych pokazujących głównie treści pornograficzne zablokowanie dostępu nie budzi kontrowersji, pytania pojawiają się przy platformach, w których treści przekazywane są jedynie w ramach jednego lub kilku kont funkcjonujących w serwisie. W takim przypadku, jeśli usługodawca skutecznie korzysta z ograniczenia odpowiedzialności hostingodawcy, organ kontroli do prowadzonego rejestru będzie mógł wpisać jedynie bezpośredni adres konta, które udostępnia treści pornograficzne. Będzie to stanowiło dodatkowy problem, ponieważ adres URL konkretnego konta na platformie często się zmienia (np. wskutek modyfikacji nazwy użytkownika), również na życzenie samego klienta usługodawcy. Do rejestru trzeba więc będzie wpisywać tysiące pozycji, a przeprowadzenie właściwego trybu postępowania (który zakłada m.in. próbę kontaktu z osobą udostepniającą) będzie sporym wyzwaniem dla organu kontrolnego.

Oczywiście wpłynie to również na zakres obowiązków przedsiębiorców telekomunikacyjnych, którzy będą musieli blokować kolejne strony maksymalnie w ciągu 48 godzin od wprowadzenia ich do rejestru. Informację o kolejnych wpisach rejestr powinien przekazywać automatycznie do systemów informatycznych usługodawców – szczegóły tego rozwiązania technicznego określi KRRiT w rozporządzeniu. Oznacza to, że przedsiębiorcy będą zmuszeni korzystać z kolejnego zewnętrznego rozwiązania technologicznego – albo będą musieli oddelegować pracowników, którzy zajmą się blokowaniem wpisanych adresów. Jeśli przedsiębiorca telekomunikacyjny nie zablokuje strony, Przewodniczący KRRiT może wystosować wezwanie do zaprzestania naruszeń przepisów ustawowych, a następnie nałożyć karę pieniężną, wynoszącą nawet 100 tys. złotych.

Monitorowanie wpisów w rejestrze będzie obowiązkiem również tych przedsiębiorców telekomunikacyjnych, którzy dokonują rozliczenia usług o podwyższonej opłacie. Zgodnie z projektem operator powinien uniemożliwić realizowanie tzw. SMS-ów premium lub dodatkowo płatnych połączeń telefonicznych, które są naliczane w odniesieniu do usług dostępnych za pośrednictwem domen oraz kont użytkowników, których adresy zostały wpisane do rejestru.

  • Podmioty świadczące usługi płatnicze

Kontrowersyjny jest sposób nałożenia dodatkowych obowiązków na podmioty świadczące usługi płatnicze. Projekt zakazuje udostępniania usług płatniczych przez dostawców na stronach internetowych, które wpisane są do rejestru. Jeśli do rejestru wpisana zostanie strona, na której dostawca świadczy już swoje usługi, ma on 30 dni na zaprzestanie takich praktyk. W związku z tym przepisy projektu de facto wrzucają dostawców płatności w kolejny reżim regulacyjny, z którym wcześniej nie mieli do czynienia. Od momentu ewentualnego wejścia projektu w życie dostawcy usług płatniczych, którzy już teraz muszą kontaktować się z Urzędem Komisji Nadzoru Finansowego oraz Generalnym Inspektorem Informacji Finansowej, będą podlegali dodatkowemu organowi regulacyjnemu – Krajowej Radzie Radiofonii i Telewizji. Przewodniczący KRRiT będzie mógł nie tylko żądać od dostawcy udzielenia wyjaśnień lub przedstawienia dokumentów w zakresie niezbędnym dla kontroli, ale również wezwać go do zaniechania naruszeń, a nawet nałożyć kary finansowe.

Polscy dostawcy usług płatniczych w bardzo małej części świadczą usługi na rzecz zagranicznych serwisów z treściami pornograficznymi (to głównie one będą wpisywane do rejestru). Projekt jest jednak sformułowany w taki sposób, że nie do końca jasna jest możliwość zastosowania tych przepisów także do unijnych dostawców płatności, którzy transgranicznie świadczą swoje usługi na terenie Polski. Projekt przepisów odnosi się ogólnie do dostawców usług płatniczych, a tymi zgodnie z przepisami ustawy o usługach płatniczych są również unijne instytucje płatnicze czy oddziały banków zagranicznych. W takiej sytuacji podmioty działające w Polsce na zasadzie paszportowania, które jednocześnie świadczą swoje usługi podmiotom wpisanym do rejestru, nie będą pewne, czy nie zostanie nałożona na nie kara finansowa. Jeśli organ kontrolny będzie interpretował przepisy we wskazany sposób, pojawi się pytanie, czy dostawca płatności powinien całkowicie zrezygnować ze współpracy z podmiotem wpisanym do rejestru, czy jedynie uniemożliwić rozliczanie płatności polskich użytkowników. A to tylko podstawowe wątpliwości, jakie wiążą się z przedstawionym projektem.

Obecnie obowiązujące przepisy

Pomimo szerokiej dyskusji, która miała miejsce po opublikowaniu projektu przepisów, niewiele osób zauważa podobieństwa do regulacji, którą są już obecne w polskim systemie prawnym. Najbardziej jednoznacznym przykładem jest obowiązek ochrony małoletnich przez dostawców audiowizualnych usług na żądanie, czyli tzw. platform VOD. Zgodnie z art. 47e ustawy o radiofonii i telewizji (implementującym przepisy unijne) nie można udostępniać katalogu audycji zagrażających rozwojowi małoletnich, w tym w szczególności treści pornograficznych, bez stosowania zabezpieczeń technicznych lub innych odpowiednich środków, mających na celu ochronę małoletnich przed ich odbiorem.

Warunki, jakim odpowiadać muszą zabezpieczenia techniczne lub inne odpowiednie środki, mogą zostać określone przez rozporządzenie wydawane przez KRRiT w porozumieniu z ministrem ds. informatyzacji. Organ od 2014 roku do dzisiaj nie zdecydował się na wydanie wskazanego rozporządzenia. Powodem może być przyjęcie w tym zakresie Kodeksu dobrych praktyk przygotowanego przez Związek Pracodawców Branży Internetowej IAB Polska. Proponowanym przez Kodeks zabezpieczeniem technicznym jest udostępnienie użytkownikom nieodpowiednich treści tylko pod warunkiem podania danych autoryzacyjnych karty płatniczej lub uiszczenia płatności weryfikacyjnej.

Proponowany w projekcie mechanizm blokowania stron z treściami pornograficznymi jest bardzo podobny do wprowadzonych wcześniej przepisów dotyczących rejestru stron służących do oferowania gier hazardowych niezgodnie z ustawą. Również w ich przypadku dodatkowe obowiązki zostały narzucone przedsiębiorcom telekomunikacyjnym. Podczas wprowadzania przepisów dotyczących gier hazardowych istotne uwagi zgłosił m.in. Minister Cyfryzacji, który wskazywał, że wpis domeny do rejestru powinien być poprzedzony postanowieniem sądu powszechnego, co jednak nie zostało ostatecznie uwzględnione. Obecnie do rejestru jest wpisanych ponad 8400 domen, jednak część publikacji wskazuje, że nawet jeśli przedsiębiorca telekomunikacyjny usiłuje blokować strony, to użytkownicy i tak mogą mieć do nich dostęp ze względu na używane programy antywirusowe lub inny software urządzenia końcowego. W takiej sytuacji pojawia się pytanie o skuteczność analogicznego rozwiązania, które zostało zaproponowane w odniesieniu do stron zawierających treści pornograficzne.

Wątpliwości dotyczące weryfikacji wieku

W opisie założeń projektu ustawy chroniącej dzieci przed pornografią jej autorzy wskazują, że zaproponowane przepisy korespondują z założeniami dyrektywy 2018/1808 z dnia 14 listopada 2018 r. o audiowizualnych usługach medialnych, którą państwa członkowskie mają obowiązek implementować do 19 września 2020 r. Należy jednak doprecyzować, że projekt z pewnością nie stanowi implementacji przepisów dyrektywy. Regulacja europejska ma o wiele szerszy zakres niż ochrona dzieci przed pornografią (dotyczy również np. walki z mową nienawiści oraz ograniczeń w treści reklam i przekazów kierowanych do małoletnich). Projekt ustawy nie posługuje się też definicjami wprowadzonymi przez przepisy dyrektywy. W szczególności projekt nie odnosi się do takich pojęć jak „dostawcy platform udostępniania wideo” czy „wideo stworzone przez użytkownika”. Przyjęcie przepisów w tym kształcie może doprowadzić do niewłaściwej implementacji dyrektywy i pozostawać w sprzeczności z innymi ustawami, które będą ją wprowadzać.

Najwięcej wątpliwości wzbudziły jednak ewentualne wymagania i rzeczywisty kształt narzędzi weryfikacji wieku odbiorcy, które mają być stosowane przez podmioty udostępniające treści pornograficzne. Minimalne kryteria narzędzi ma określić Przewodniczący KRRiT w drodze rozporządzenia w porozumieniu z ministrem ds. spraw cyfryzacji oraz po uzyskaniu opinii PUODO. Łatwo sobie wyobrazić sytuację, w której instrument weryfikacji wieku nie zapewnia odpowiedniego poziomu ochrony danych osobowych i przez to nieuprawniony do tego podmiot otrzymuje dostęp do wiadomości o preferencjach seksualnych dużej grupy obywateli.

Dodatkowe obawy wzbudziły medialne wypowiedzi przedstawicieli Ministerstwa Cyfryzacji, w których padały propozycje nałożenia dodatkowych obowiązków na dostawców przeglądarek internetowych. Mieliby oni natywnie blokować dostęp do części treści dostępnych w internecie. Byłby on odblokowywany kluczem generowanym przez ministerstwo. Pozostaje mieć nadzieję, że zespół ekspercki powołany przez Ministerstwo Rodziny, Pracy i Polityki Społecznej opracuje rozwiązanie bardziej przystosowane do realiów rynku.

Warto przy okazji zauważyć, że tylko niektóre dotychczasowe głosy w dyskusji wskazywały na możliwość uwzględnienia w projekcie regulacji dotyczących edukacji seksualnej, które mogłyby dodatkowo ochronić małoletnich przed negatywnymi skutkami pornografii.

Adam Polanowski, praktyka nowych technologii kancelarii Wardyński i Wspólnicy