בסוף שנת 2024 הפרלמנט האוסטרלי העביר חוק שקבע מגבלת גיל של 16 שנים לפתיחת חשבון ולשימוש ברשתות חברתיות באינטרנט. נקבע שהחוק יכנס לתקוף בתוך שנה – בדצמבר 2025.
זה האיסור הראשון מעולם מסוגו והוא מעורר שאלות עקרוניות וגם אתגרים פרקטיים, למשל:
– איך הרשתות החברתיות אמורות לוודא גיל?
– מה יהיו "צעדים סבירים" לאימות הגיל של משתמשים?
– האם הרגולציה תוביל לפגיעה בפרטיות המשתמשים?
– ואיך אוכפים בפועל רגולציה כזו?
אי-ציות לרגולציה עלול לגרור קנסות של עד 49 מיליון דולר אוסטרלי לכל הפרה. נותרו רק חודשיים, והפלטפורמות עדיין לא יודעות מה בדיוק נדרש מהן.
חקיקה שמאתגרת את הרגולטור
החוק נכתב בכוונה בצורה "ניטרלית טכנולוגית", זאת אומרת הוא לא מחייב שימוש בטכנולוגיה ספציפית (לדוגמה: חובה להשתמש בתוכנת אימות זהות מסוג ABC, חובה להשתמש בפרוטוקול XYZ). לפי החוק, החברות חייבות לנקוט "צעדים סבירים" כדי למנוע שימוש של ילדים מתחת לגיל 16. הרגולטור (נציבת הבטיחות המקוונת) פרסם מדריכים אבל עדיין לא קבע מה ייחשב צעדים סבירים.
היתרון של הגישה הזו היא גמישות והיעדר העדפה של טכנולוגיה ספציפית (מה שחוסם חדשנות וחוסר תחרות). החיסרון הוא שההגדרה הזו יוצרת חוסר וודאות, במיוחד בגלל שזה חוק ראשון מסוגו בעולם.
בגלל שהחוק ייכנס לתוקף בעוד חודשיים – החברות חייבות להתכונן. הקמת מערכות לאימות זהות היא פרויקט שלוקח יותר משבועות בודדים. השתיקה הזו אילצה את הפלטפורמות לבנות תוכניות ציות לרגולציה ולפתח פתרונות טכנולוגיים מבלי לדעת מה הסטנדרט שבו הן צריכות לעמוד.
אגב, במסגרת יציקת התוכן לכללים, הרגולטור (נציבת הבטיחות המקוונת) נדרש גם לתאם את ההוראות עם נציבת המידע בענייני פרטיות, כדי למנוע הוראות סותרות. תיאום בין רגולטורים הוא רעיון טוב, אבל בלוחות הזמנים הצפופים – זה מוסיף עוד מכשול.
האתגר הטכנולוגי
החוק לא נקבע באופן עיוור, הוא מבוסס על מחקרים וניתוחים משמעותיים.
ממשלת אוסטרליה ערכה ניסוי בהשקעה של 6.5 מיליון דולר אוסטרלי, שבחן יותר מ-60 כלים לאימות גיל, של יותר מ-48 ספקים. מהניסוי עלו כמה תובנות מרכזיות:
– הטכנולוגיה המבטיחה ביותר הייתה הערכת גיל המשתמש באמצעות פנים: ניתן לקבל תוצאות תוך פחות מ-40 שניות, והשגיאה ממוצעת היא בכ-1.3 שנים.
– הערכת גיל באמצעות פנים מדוייקת אצל מבוגרים וילדים, אבל היא לא מספיק מדוייקת עבור בני נוער. רמת הדיוק של המערכת ירדה משמעותית עבור בני נוער בסביבות גיל 16. מדובר בעיקר ב-false positive: בני נוער מעל גיל 16 שהוגדרו כילדים.
– המערכת לוקה בהטיות ברורות: היא נוטה לעשות יותר טעויות באימות הגיל של נשים ושל משתמשים שאינם ממוצא אירופי.
זאת אומרת שגם הפתרון הכי אפקטיבי לא מספיק טוב. אם אף פתרון יחיד לא מספיק טוב, יהיה צורך בגישה רב-שכבתית.
פרטיות כמגבלה
החוק מיועד למנוע שימוש של קטינים מתחת לגיל 16 ברשתות חברתיות, אבל הוא שם דגש חזק גם על פרטיות.
חלק מהאתגר בזיהוי המשתמשים נובע מכך שהחוק אוסר על החברות לדרוש מהמשתמשים להציג תעודה מזהה ממשלתית. גם אסור להן לחייב שימוש במערכת ההזדהות הממשלתית (Digital ID), קרי אי-אפשר להשתמש במערכת האימות החזקה שהמדינה כבר יצרה. זה הפוך ביחס למה שאנחנו מכירים, למשל בישראל בנק חייב לזהות את הלקוח באמצעות תעודת זהות ממשלתית בתהליך פתיחת חשבון. אז בהקשר הזה – מה שחובה אצלנו אסור באוסטרליה.
החוק קבע עוד מגבלה: נתונים שנאספים לצורכי אימות הגיל יכולים לשמש רק למטרות ציות, וחובה למחוק אותם לאחר מכן. המשמעות היא שקשה לשפר ולתקן את המערכת אם המידע נמחק.
הכללים האלה נותנים מענה לחששות לעניין הפרטיות, אך הם הופכים את המשימה הטכנית לקשה יותר. ואם אנחנו זוכרים שמדובר ברגולציה – איך החברות אמורות להוכיח שהן פעלו כחוק, אם אסור להן להשאיר תיעוד לנתונים של תהליך אימות הגיל? אם הרגולטור ידרוש לוודא שהחברה באמת בודקת את גיל המשתמשים – איך היא תשכנע אותו?
מעבר לפעולה עצמה, הפלטפורמות חייבות להוכיח את גיל המשתמש בלי לשמור את הראיות – בעיה שהרגולטורים לא נדרשו להתמודד איתה בהיקף כזה בעבר.
לצד החשיבות שבהגנה על הפרטיות – המקרה הזה מדגים שיש לה גם מחירים.
להערכתי החברות יאלצו לפתח פתרונות מורכבים מעבר לנדרש וכנראה שהם ויאספו יותר מדי נתונים לצורך האימות. ובגלל חוסר הוודאות, חלק מהחברות עשויות לחכות לרגע האחרון, בתקווה שכללים ברורים יותר יתפרסמו לפני כניסת החוק לתוקף.
מקרה מבחן עולמי
מדינות נוספות קידמו או מקדמות חקיקה בנושא. למשל, בבריטניה, חוק הבטיחות המקוונת (Online Safety Act) משאיר את סוגיית אימות הגיל בעיקר לקוד שיקבעו על ידי החברות, אך הוא מעניק לרגולטורים (Ofcom) סמכויות אכיפה.
באיחוד האירופי, חוק השירותים הדיגיטליים (Digital Services Act) לא כולל איסור קשיח על גיל, אבל הוא מחייב פלטפורמות להעריך סיכונים מערכתיים לילדים.
בארה"ב, במדינות כמו טנסי ומיסיסיפי נחקקו חוקים המחייבים אימות גיל או הסכמת הורים. החוק של טנסי נכנס לתוקף ב-2025. לעומת זאת, בארקנסו בוטל החוק לאימות גיל על-ידי שופט פדרלי, בנימוק שמדובר בהפרה של התיקון הראשון לחוקה. גם החוק של יוטה מ-2023 להסדרת רשתות חברתיות נחסם בצו בית משפט, ועדיין מתנהל לגביו הליך משפטי.
המקרה האוסטרלי ישפיע גם על הדיונים שמתנהלים במדינות אחרות. הוא יכול לשכנע שזו רגולציה ריאלית עם תועלת, או כהתערבות מוגזמת ומזיקה.
סיכום
1. רבים תומכים רואים בחוק ההגנה על ילדים. אך גם בקרב התומכים (אקדמאים, ארגוני חברה אזרחית ואפילו מומחי זכויות אדם) מתחו ביקורת על עיצוב הרגולציה. בקרב התומכים בחוק יש קונצנזוס שבהיעדר הוראות ברורות (שנכון להיום לא פורסמו) לוח הזמנים של חודשיים ליישום אינו ריאלי: ההוראות לא ידועות אז לא ברור מה צריך לעשות, ראינו שהטכנולוגיה לא בשלה, והסיכונים להטיה וטעויות גבוהים מדי.
2. ברקע הדיון יש שאלה רחבה ועקרונית יותר מהגנה על ילדים, טכנולוגיה, פרטיות ואכיפה. מדובר במבחן לשאלה האם ממשלות יכולות לאלץ את חברות הטכנולוגיה העולמיות להנדס מחדש את המערכות שלהן בשם האינטרס הציבורי.
הרגולטור - גיא מור 
האם זאת בכלל צריכה להיות האחריות של מפעילי הפלטפורמה לבדוק את גיל המשתמשים?
אם ניקח דוגמה מתחום אחר, מכוניות הן מוצר מסוכן שמחייב רישיון מטעם המדינה כדי להשתמש בהן. אבל אף אחד לא מחייב את יצרניות המכוניות לוודא שלמי שיושב בכסא הנהג יש רישיון, או לבצע בדיקת גיל, או כל בדיקה אחרת. אנחנו מטילים את האחריות על בעל המכונית (בדרך כלל ההורה) שהילדים לא ינהגו בה.
כללי האחריות על רשתות חברתיות ואחרי תוכן בכלל ב-20 שנה האחרונות היו כאלה שלא חייבו את האתרים לבדוק מראש מה מתפרסם בהם. אם עכשיו מחייבים לאמת פרטים של כל משתמש, האם הצעד הבא יהיה בדיקה מראש של כל פוסט? של כל טוקבק? לוודא שאין תוכן אסור?
זאת גישה מאוד בעייתית ומסוכנת בעיני.
אהבתיאהבתי
נקודה מצוינת.
זו שאלה חשובה.
חשוב לזכור שיש לא מעט דוגמאות להטלת אחריות מהסוג הזה, וההקבלה לייצרן רכב אינה מושלמת (כי לא מדובר במוצר שיצא ממפעל החברה, אלא בשירות מתמשך שנמצא בשליטתה).
דוגמאות אחרות שאפשר לחשוב עליהן:
– האחריות של מסעדות לא להגיש משקאות אלכוהולים למי שלא מלאו לו 18;
– אחריות של עורכי דין שמקימים חברות לוודא שהלקוח שלהם לא משתמש בהם להלבנת הון.
אני חושב שהשאלה המרכזית היא – מי הוא מונע הסיכון היעיל. ואחד הרכיבים שלה הוא למי יש שליטה על האלמנט שקשור ביצירת הסיכון.
הזיקה של חברת פייסבוק לפלטפורמה שלה גבוהה בהשוואה לזיקה של חברת פורד לרכבים שיצאו מהמפעל שלה (אגב, זה משתנה עם טסלה – ואולי נראה שם יותר תפיסה של service מאשר physical pruduc).
ואתה צודק שכללי האחריות לא היו כאלו ומדובר בשינוי המדיניות עקרוני – שנקבעה עבור האינטרנט כולו.
אהבתיאהבתי
"מונע הסיכון היעיל" זה משפט מפתח.
כי הוא מעלה את השאלה מה הסיכון בכלל.
האם עצם הגלישה של בן 15 ברשת החברתית היא סיכון? או שהסיכון הוא בכך שהוא ייחשף לתכנים מסוימים? או שיפנו אליו בצ'ט עם הודעות בעייתיות? או משהו אחר?
האם מגבלת הגיל על עצם הכניסה לפלטפורמה היא מענה הגיוני ויעיל לסיכון? האם המחוקק זיהה בכלל את הסיכון ושקל דרכי התמודדות אחרות?
אהבתיאהבתי