A era de “mostrar documento” na internet destrói a privacidade

 (expression.fire.org)
3 pontos por GN⁺ 5 시간 전 | 2 comentários | Compartilhar no WhatsApp
  • A verificação de idade online pode ir muito além de simplesmente checar a idade e se tornar uma estrutura de confirmação de identidade do usuário por meio de imagem facial, documento oficial, conexão bancária e dados de contas já existentes
  • A proibição de redes sociais para menores de 16 anos na Austrália entrou em vigor em dezembro de 2025, mas uma pesquisa do governo mostrou que cerca de 7 em cada 10 crianças continuavam usando redes sociais, e um estudo do BMJ também quase não encontrou redução prática imediata
  • Para evitar o risco de multas pesadas, as plataformas passam a depender de ferramentas de verificação de terceiros como o k-ID do Snapchat, o que traz problemas de coleta e armazenamento de dados pessoais sensíveis e de aplicação de leis estrangeiras
  • Uma invasão a um app terceirizado de suporte ao cliente usado pelo Discord expôs dados de cerca de 68.000 usuários australianos, e o governo da Austrália também reconheceu o risco de phishing explorando a confusão em torno da verificação de idade
  • À medida que Reino Unido, vários estados dos EUA e até discussões federais sobre KOSA/KIDS Act avançam, baixar apps, criar contas, publicar fotos, jogar e usar chatbots de IA podem se transformar em participação na internet baseada em identidade

A estrutura em que verificação de idade vira verificação de identidade

  • Para verificar a idade online, o usuário pode ter de fornecer informações como imagem facial, documento de identidade emitido pelo governo, conexão bancária e dados de contas já existentes, ou a plataforma pode estimar a idade com base nos dados que já possui
  • Esse modelo pode se aplicar não só à participação em fandoms esportivos, mas também a críticas duras a políticos, ao compartilhamento de experiências de abuso ou vício e à discussão de questões médicas sensíveis
  • Uma internet no estilo “papers, please” caminha para abrir os espaços de debate público apenas para pessoas dispostas a confiar a coleta de dados exigida por empresas de tecnologia, apps de verificação de terceiros e governos
  • Usuários que quiserem continuar acessando provavelmente fornecerão as informações, mas em troca passarão a recalcular o que podem dizer e fazer online

A proibição australiana de redes sociais para menores de 16 anos

  • A proibição australiana de redes sociais para menores de 16 anos entrou em vigor em dezembro de 2025 e se tornou uma referência para outros países ao desenhar regulações semelhantes
  • Os efeitos após a implementação foram limitados
    • Em pesquisa do governo australiano, mesmo meses após a proibição, cerca de 7 em cada 10 crianças continuavam usando redes sociais
    • Um estudo do British Medical Journal também confirmou que há pouca evidência de redução prática imediata no uso relatado de redes sociais entre menores de 16 anos
  • Nas escolas australianas, os celulares já são proibidos, então a medida não mira o uso durante as aulas, mas o que as crianças fazem na internet no tempo livre
  • A lei exige que as empresas de redes sociais tomem medidas suficientes para manter usuários com menos de 16 anos desconectados, e o descumprimento pode resultar em multas pesadas

Verificação de terceiros e riscos de armazenamento de dados

  • Sob a lei australiana, as plataformas podem ser obrigadas a coletar dados biométricos, documentos emitidos pelo governo e outros dados do usuário
  • Em alguns casos, isso pode ser decidido com dados já existentes, como o tempo de criação da conta, mas em muitas situações será necessário coletar dados adicionais do usuário para uma confirmação independente
  • O Snapchat usa a k-ID, empresa sediada em Singapura
    • Os métodos de verificação incluem conexão bancária, escaneamento de documento oficial e estimativa de faixa etária com base em selfie
    • É difícil para o usuário saber como a empresa terceirizada armazena e protege os dados, quais leis se aplicam a ela e quão vulnerável ela está a pedidos de censura de governos locais ou estrangeiros
  • A Austrália exige que os dados pessoais coletados para verificação de idade sejam destruídos depois que o objetivo for cumprido
    • Mas esse objetivo também inclui contestação e tratamento de reclamações, então não está claro por quanto tempo os dados de usuários que questionarem uma classificação etária incorreta poderão permanecer armazenados
  • O Age Assurance Technology Trial da Austrália encontrou evidências de que, na ausência de diretrizes concretas, prestadores de serviço tendem a superestimar a necessidade de fornecimento de informações pessoais para se proteger de futuras investigações regulatórias
    • Coleta e retenção de dados desnecessárias e desproporcionais podem ampliar o risco de violação de privacidade

Vazamentos reais e risco de phishing

  • Quanto mais dados são coletados e por mais tempo ficam armazenados, maior também a chance de invasões ou hacks ameaçarem a privacidade dos usuários
  • Algumas semanas antes da entrada em vigor da proibição para menores de 16 anos, cerca de 68.000 usuários australianos foram afetados por uma invasão a um app terceirizado de suporte ao cliente usado pelo Discord
    • O app era usado principalmente para lidar com reclamações relacionadas aos procedimentos de garantia de idade da plataforma
    • Entre as informações expostas estavam imagens de documentos oficiais, nomes, nomes de usuário, endereços de e-mail e algumas informações limitadas de pagamento
  • O governo australiano reconheceu que a verificação obrigatória de idade cria um novo risco de tentativas de phishing que exploram a confusão em torno da proibição
  • As plataformas precisam orientar os usuários para que entendam o processo de verificação, mas continua existindo o peso de o próprio usuário ter de confirmar o que é legítimo para evitar golpes
  • Governos que antes criticavam a coleta de dados pessoais por empresas de tecnologia agora passam a exigir essa coleta por lei

Participação na internet baseada em perfilamento

  • A Australian Human Rights Commission entende que, mesmo que algumas contas escapem do processo de verificação de idade, isso não significa escapar da vigilância
  • Se a plataforma puder decidir com base nos dados que já possui, o usuário será avaliado por perfilamento mesmo sem uma verificação separada
  • As diretrizes do eSafety Commissioner dizem que, quando a plataforma já dispõe de outros dados precisos, nem todos os titulares de conta precisam passar pelo processo de verificação de idade, mas isso significa que a decisão será tomada com base no que a plataforma já sabe sobre o usuário
  • Está sendo criada uma estrutura legal que exige o perfilamento dos usuários para participar da internet

A abordagem “Australia-plus” do Reino Unido

  • O Reino Unido, junto com França, Espanha, Emirados Árabes Unidos, Indonésia, Malásia, Grécia, Dinamarca, Noruega e União Europeia, está avançando com a proibição de redes sociais para menores de 16 anos
  • O modelo concreto de aplicação e os métodos de verificação no Reino Unido ainda não foram divulgados, mas o primeiro-ministro Keir Starmer afirmou que a versão britânica será um “Australia-plus
    • A posição do Reino Unido é aprender com a experiência australiana e tornar muito mais difícil para crianças contornarem as proteções
    • Starmer depois deixou o cargo de primeiro-ministro, mas não há sinais de que esse plano de política vá mudar
  • Se a aplicação australiana já envolve riscos de privacidade, uma aplicação ainda mais rígida pode levar a ameaças ainda maiores à privacidade

Possível regulação de VPNs

  • Autoridades britânicas demonstram interesse público em mirar VPNs para impedir o contorno da verificação
  • Após a implementação do UK Online Safety Act, o uso de VPNs aumentou à medida que mais usuários tentaram escapar das barreiras governamentais ao conteúdo “nocivo” online
  • As autoridades do Reino Unido afirmaram que estão coletando informações sobre o uso de VPN após a entrada em vigor do Online Safety Act
  • A secretária de Tecnologia Liz Kendall disse que o governo fará anúncios adicionais sobre VPNs em julho
  • O ministro da Criança Josh MacAlister disse que existe a opção de aplicar portões de idade também ao uso de VPN, e que isso seria algo bem-vindo
  • Ao mirar o uso de VPN, o Reino Unido pode acabar se aproximando mais de países como China, Irã e Rússia

Movimentos em nível estadual e federal nos EUA

  • Os EUA também caminham para uma internet no estilo “papers, please”
  • Pelo menos 19 estados aprovaram leis que tratam do acesso de menores às redes sociais ou de feeds “viciantes”
    • Algumas já podem ser aplicadas, algumas foram barradas por liminar e outras ainda não entraram em vigor
  • Mais de 20 estados aprovaram leis de verificação de idade para sites de conteúdo adulto
  • Em estados como Texas e Utah, leis de garantia de idade em app stores estão sendo contestadas judicialmente
  • Em nível federal, o “Kids Online Safety Act”, ou KOSA, foi incluído no pacote mais amplo KIDS Act da Câmara e se tornou objeto de negociação entre o Senado e a Casa Branca
  • As versões da Câmara e do Senado têm diferenças pequenas, mas ambas impõem regulações que, na prática, fazem sites de redes sociais e outras plataformas realizarem verificação de idade dos usuários
  • Se virar lei federal, isso também se sobreporá à escolha de estados que queiram manter uma internet livre e aberta

O peso sobre o anonimato online e a liberdade de expressão

  • Governos estaduais e o governo federal podem passar a obrigar a coleta de informações dos usuários em várias etapas do uso da internet
  • Até processos como baixar apps em lojas, criar contas e publicar fotos podem ganhar camadas de garantia ou verificação de idade
  • O alvo pode incluir não apenas um usuário de 14 anos querendo jogar, mas também uma pessoa de 40 anos publicando sobre culinária
  • O alcance da discussão está se expandindo rapidamente para videogames e chatbots de IA
  • Novas obrigações e camadas aumentam riscos como
    • vazamento de dados
    • coleta e retenção excessivas de dados
    • exigências legais de censura sobre os dados coletados
    • má conduta de empresas e governos
    • pressão por autocensura
    • possibilidade evidente de violação da Primeira Emenda
  • Como já houve casos em que pessoas, inclusive altos funcionários do governo, tentaram rastrear maliciosamente a identidade de críticos, a posição defendida é que é importante preservar mais camadas de anonimato nas falas online
  • Mesmo levando a sério a necessidade de proteger crianças, muitas das políticas e soluções legislativas hoje apresentadas impõem um peso difícil de sustentar sobre a capacidade de falar livremente e anonimamente na internet
  • A verificação de idade exige em grande parte verificação de identidade, e uma infraestrutura legislativa que vincule fortemente a atividade de expressão online a checagens de idade e identidade exigidas pelo governo pode ser difícil de desmontar depois

Leituras relacionadas

2 comentários

 
mammal 5 시간 전

Para convencer um público mais amplo, dá a sensação de que seria preciso recorrer a teorias da conspiração. É realmente lamentável, mas isso pode acabar virando um jogo de pegar emprestadas táticas da direita e do extremismo
Por exemplo, começar com algo como: “exigir ID online é o primeiro passo para implantar microchips na população”
Ou então: “marxistas/Antifa/nazistas/sionistas/islamistas/qualquer grupo que se acredite estar no poder quer destruir sua privacidade online para depois usar isso contra você. Algum grupo maligno quer saber de todos os seus movimentos”
Também daria para usar: “Lembra dos arquivos Epstein? Agora pedófilos querem identificar seus filhos online”
Só uma abordagem baseada em verdade, evidências e racionalidade não consegue chamar a atenção das pessoas. As pessoas simplesmente não ligam

É absurdo, mas o fato de soar plausível é realmente uma tragédia da sociedade moderna.
 
GN⁺ 5 시간 전
Opiniões do Hacker News

  • Há pelo menos algumas soluções técnicas aqui, como credenciais anônimas. A versão mais recente dessa técnica pode anexar metadados, como prova de que a pessoa está acima do limite de idade, ao mesmo tempo em que impede que o verificador relacione pedidos repetidos feitos pelos usuários
    Um governo seriamente comprometido com verificação de idade e privacidade pessoal, embora eu duvide que isso aconteça de fato, teria de concordar com um protocolo e criar um emissor de certificados vinculado a IDs digitais. Assim, a verificação de idade não precisaria se tornar um procedimento invasivo nem aumentar vazamentos de dados ou ameaças internas
    https://blog.cryptographyengineering.com/2026/03/02/anonymou...

    • O texto trata da possibilidade de terceiros copiarem esses tokens de forma maliciosa, mas deixa de lado um caso de uso muito mais comum, que torna essa abordagem inútil para verificação de idade
      Minha credencial ser roubada e, especialmente no caso de credenciais de uso restrito, impedir a própria transferência são problemas diferentes. O objetivo de um sistema de verificação de idade é impedir que menores acessem certos recursos e, embora todos saibam que isso é praticamente impossível de forma perfeita, o que governos e empresas de redes sociais querem é aumentar bastante o atrito nesse processo
      A forma com mais atrito é vincular a credencial, de algum modo, a uma identidade do mundo real. Isso até poderia ficar escondido atrás de barreiras legais, mas se um menor for pego usando a credencial de outra pessoa, seria preciso investigar o titular dessa credencial e, se necessário, processá-lo por um crime semelhante a fornecer álcool a um menor. Sem capacidade de aplicação no mundo real, esse tipo de solução de identidade não funciona
      Dá para continuar sonhando com soluções técnicas, mas não há solução que não leve ao mundo contra o qual a FIRE alerta. No fim, só resta parar em um nível “bom o suficiente” e não expandir isso para uma verificação total de identidade. A solução viável aqui é mais próxima de oferecer recursos para que os pais possam monitorar e restringir melhor o uso da internet por seus filhos. Cada pai ou mãe decide o nível de risco que aceita, reconhecendo que sempre existirão formas de contornar isso mesmo com pais diligentes, e o foco deve ser reduzir os danos nas margens
    • Uma solução muito mais fácil, e que já existe, é o controle parental nos dispositivos das crianças. Honestamente, não entendo por que isso não resolveria o problema
      Claro, os pais precisam configurar isso por conta própria. Mas os pais também têm a responsabilidade de trancar bebidas, drogas, armas, preservativos e vários outros itens
      Os controles parentais podem não ser bons o bastante. Nesse ponto, a regulamentação pode de fato ajudar. Basta exigir que dispositivos certificados para crianças implementem um conjunto mínimo de controles parentais e que eles sejam fáceis de usar
    • Não acredito que o governo, agora ou no futuro, vá manter esse sistema privado. Também não vejo como embutir nele um mecanismo de auditoria perfeito que permita verificar se os dados são sempre realmente privados
      Sempre me perguntei como uma verificação de identidade realmente anônima poderia ser possível. No caso da verificação de idade, na melhor das hipóteses alguém teria de validar minha idade, e para verificar se o token é válido eu provavelmente receberia algum token validável por uma autoridade central. A autoridade central sempre pode manter um registro do meu token e revogá-lo quando quiser, e qualquer entidade capaz de validar a idade vinculada ou embutida no token saberá pelo menos alguma informação pessoal
    • Se não for vinculável, o que impede alguém de criar um site distribuindo tokens anônimos que qualquer pessoa possa usar?
    • Não vejo o governo como alguém seriamente comprometido com privacidade e, mesmo que fosse, não quero distinguir entre “crianças” e “adultos” na internet. Até agora, tudo parece ter funcionado bem, e não parece haver demanda popular por verificação de idade. Isso parece mais algo empurrado por empresas opacas, ONGs e instituições
      Parece bem claro que há outras intenções além de proteger crianças

  • Para que esse argumento funcione com o eleitorado, os defensores da privacidade precisam explicar muito mais claramente como exatamente isso vai acabar cobrando seu preço no futuro. O texto toca nisso um pouco mais adiante, mas a maioria das pessoas vai fazer um cálculo mental aproximado de custo-benefício e concluir que um pequeno benefício supera um pequeno risco
    “Isso cria muitos riscos: vazamentos de dados, coleta e retenção excessivas de dados, exigências legais com viés censório sobre os dados coletados, abusos por empresas e governos, pressão por autocensura e até a possibilidade de violações explícitas da Primeira Emenda. Cada nova camada e cada nova obrigação aumentam o potencial de risco. Como vimos repetidamente nos últimos anos, infelizmente, inclusive por parte de altos funcionários do governo, há pessoas tentando maliciosamente descobrir a identidade de seus críticos, então quanto mais camadas de anonimato puderem ser preservadas na fala online, melhor.”

    • Fico pensando se, para convencer o público mais amplo, não seria preciso recorrer ao conspiracionismo. É realmente lamentável, mas pode virar um jogo de tomar emprestadas táticas da direita e do extremismo
      Por exemplo, começar com “a exigência de ID online é o primeiro passo para implantar microchips na população”
      Ou algo como “marxistas/Antifa/nazistas/sionistas/islamistas/qualquer grupo que se acredite estar no poder quer destruir sua privacidade online para usar isso contra você depois. Algum grupo maligno quer saber todos os seus movimentos”
      Ou ainda “lembra dos arquivos Epstein? Agora pedófilos querem identificar seus filhos online”
      Uma abordagem baseada em verdade, evidência e racionalidade não consegue chamar a atenção das pessoas. Elas simplesmente não se importam

  • Assumindo que não haja uma mudança revolucionária nos EUA, planejo sair do mundo digital quando me aposentar. Vou usar apenas mídia física, não vou assinar nada, passarei muito tempo em bibliotecas e procurarei pessoas com ideias parecidas para encontrar pessoalmente. Vou manter apenas o mínimo necessário para sobreviver, como serviços bancários

    • Venho indo lentamente nessa direção nos últimos 10 a 20 anos. Ainda uso um pouco a internet, mas basicamente só algo como isto aqui, e bem menos do que antes. O resto é mais para o trabalho
    • É exatamente por isso que os poderosos vão tentar tornar tudo isso ilegal

  • É bom que existam muitas soluções técnicas que não invadem a privacidade, mas acho que isso não perde o ponto principal? As crianças realmente precisam estar sempre conectadas à internet desde tão novas? Muitas empresas de internet e telefonia celular parecem tratar como algo óbvio que crianças devam estar online, e isso já produz uma perda líquida de privacidade à medida que elas crescem

    • É uma situação de tragédia dos comuns. Mesmo que haja vantagens em ficar offline, isso enfraquece quando a criança acaba excluída do fluxo
    • Concordo que o acesso das crianças à internet deve ser limitado. Eu praticamente passei por isso e fiquei bem, mas vi muitos relatos de que isso prejudica a vida escolar e pessoal. Em especial, também acho que modelos de linguagem de grande escala não deveriam ser usados na educação, mas isso é outra questão.
      Ainda assim, o ponto central da aversão das pessoas à narrativa de “pensem nas crianças” é que, no fim, não serão só as crianças: todo mundo vai acabar tendo de apresentar credenciais para acessar a internet. O consenso geral é que nós, adultos, não queremos provar nossa identidade para acessar a internet, nem há motivo para isso
    • Isso deve ser decisão dos pais, não de outras pessoas
    • No fim das contas, estamos a um ou dois passos de ter que verificar a idade até para ligar o roteador

  • Nos próximos anos, ao menos no Reino Unido, parece que o caminho será algo assim:

    1. Restrição etária e proibição de VPN sob o pretexto de proteger crianças das redes sociais
    2. Alguns anos depois, adoção de um Identity Passport sob o argumento de conveniência, para não ter que repetir verificações de idade incômodas
    3. Serviços públicos como eletricidade e água começam a exigir o ID Passport. Isso inclui contratar um ISP
    4. Contratos de aluguel também passam a exigir ID Passport
    5. Empregos também passam a exigir ID Passport
    6. Parabéns, vocês criaram um nexo de tortura
    • A Austrália já tem a primeira parte do item 1 e a maior parte dos itens 3, 4 e 5. Está quase lá. As pessoas achavam que a fauna selvagem da Austrália era o nexo de tortura
    • No Reino Unido, aluguel e emprego já exigem documento de identidade. Todos os proprietários e empregadores precisam receber cópias de documentos originais que comprovem o direito de alugar ou trabalhar no Reino Unido
      Tecnicamente dá para fazer isso sem entregar documentos ao governo, mas processar pelo site do Home Office traz menos risco de responsabilização

  • Fico feliz que isso finalmente pareça estar emergindo como a questão central de hoje. Esta é a luta de verdade, ou pelo menos uma das três principais lutas, e até agora quase não recebeu atenção pública

    • A maioria já sabe que a internet não é um lugar seguro para expressar opiniões políticas. O sentimento de impotência do público é evidente
    • Infelizmente, não acho que isso esteja recebendo atenção pública. Ainda é um assunto de nicho demais. Está muito longe de ser suficiente para mudar alguma coisa
    • Na prática, não é assim. Não se deve confundir a internet com a realidade. A maioria nos EUA e na Europa apoia esse tipo de lei, e a maior parte do restante não liga
      Até no Hacker News o consenso tende mais a apoiar desde restrições etárias até tornar ilegais todas as redes sociais

  • Do meu ponto de vista, isso não vai acontecer. Não tenho nenhuma intenção de entregar meu documento e permitir que todo registro de conexão a um servidor seja rastreado até mim, então a internet está simplesmente ficando cada vez menor
    Isso está absolutamente fora de cogitação. Eu vivo de forma frugal em um setor de alta renda, então posso me aposentar em poucos anos. Se eu quisesse apostar na herança, poderia me aposentar até agora
    Sinto muito por quem é obrigado a participar. Mas foi por haver gente demais que não liga para privacidade que chegamos até aqui

  • O jogo https://store.steampowered.com/app/239030/Papers_Please/ também é muito bom

  • Isso parece mais um problema técnico que pode ser resolvido muito bem, se houver vontade e pessoas competentes para aconselhar o governo. Ao ir ao DMV, você geraria um par de chaves e um registro no banco de dados, e o app consultaria a idade com a chave pública e a permissão da chave privada assinada pelo usuário
    O app poderia solicitar apenas confirmações específicas como is_over_21, is_citizen, sem dados adicionais. Talvez eu esteja errado nos detalhes, mas a estrutura seria mais ou menos essa. Toda a infraestrutura poderia até ser open source. Verificação de idade não precisa ser igual à verificação de identidade por uma empresa terceirizada, nem precisa fazer com que essa empresa vaze documentos de identidade

    • Nada disso é necessário. Em primeiro lugar, o único dispositivo que realmente precisa de restrição é o celular
      O user agent poderia enviar a idade do usuário quando um bloqueio parental estivesse ativado, e bastaria exigir que os sites respeitassem isso
      Os controles parentais e o sistema operacional teriam que ser robustos o suficiente para que crianças não conseguissem burlar isso
      Por exemplo, impedir a instalação de um navegador que omita o cabeçalho ou o uso de sites proxy para contornar a restrição
      E pronto
      Só menciono celulares porque são os dispositivos que crianças carregam o tempo todo e podem usar com facilidade, em privado e sem supervisão
    • Eles querem que isso se torne o mesmo que verificação de identidade. Se quase todos os principais executivos de tecnologia que querem favores comparecem à posse, e empresas que antes se opunham ferozmente agora dão uma guinada de 180 graus para apoiar, então alguém está conseguindo o que queria. Pensar o contrário parece ingenuidade
      Além disso, o atual governo dos EUA demitiu ou ignorou as pessoas competentes de que se fala aqui, e essas pessoas se opõem a um repositório central de vários tipos de metadados. Isso cria um ponto único de falha, um alvo óbvio, e em geral é uma má ideia tanto para o Estado quanto para os cidadãos
      Claro, já há órgãos federais que possuem esse tipo de informação, mas a mantêm apenas para seus próprios fins. Isso é melhor porque dificulta mais o abuso interno e torna mais trabalhoso agregá-la externamente
    • Isso não é um problema técnico, é um problema político
    • Este é um problema básico resolvido desde o surgimento do PGP. Como muita gente já disse, isso não é sobre verificação de idade
    • Ainda assim, sigo esperando o vazamento do banco de dados inteiro que relaciona documentos de identidade e chaves. O governo dos EUA não conseguiu nem proteger seus próprios registros de pessoal; por que alguém acharia que isso não será roubado e usado para perseguir pessoas?

  • Acho que Ethan Zuckerman disse certa vez que, como o Congresso não está preparado nem é competente para resolver esse tipo de problema, é preciso projetar sistemas que garantam o resultado, usando o Signal como exemplo. Essa é a postura de que precisamos agora. É preciso um chamado às armas para engenheiros de software