Unia bierze się za VPN. „To luka, którą trzeba zamknąć”
Nadchodzi nowa wojna o prywatność w sieci.
W Unii Europejskiej zaczyna się nowy etap cyfrowej krucjaty. Po latach dyskusji o moderacji treści, po wejściu w życie DSA i po pierwszych przymiarkach do obowiązkowej weryfikacji wieku regulatorzy znaleźli nowego wroga publicznego numer jeden. Nie są to ani Big Techy, ani szemrane serwisy z treściami dla dorosłych. Tym razem na celowniku znalazły się… VPN-y.
Tak, te same VPN-y, które jeszcze niedawno były promowane jako narzędzie cyberhigieny, cyfrowej samoobrony i podstawowy element prywatności w sieci. Teraz Europejskie Biuro Badań Parlamentarnych (EPRS) określa je jako „lukę, którą trzeba zamknąć”, bo - jak twierdzi - masowo służą do obchodzenia systemów weryfikacji wieku. I to właśnie ta narracja zaczyna przebijać się do politycznych kuluarów w Brukseli.
Czytaj też:
Weryfikacja wieku wchodzi do mainstreamu. A VPN-y rosną szybciej niż kiedykolwiek
Wszystko zaczęło się od tego, że kolejne państwa - od Wielkiej Brytanii po niektóre stany USA - zaczęły wymagać od platform internetowych twardej weryfikacji wieku. W teorii chodzi o ochronę dzieci przed treściami nieodpowiednimi. W praktyce - o stworzenie systemu, który wymaga od użytkownika udowodnienia, że jest pełnoletni zanim obejrzy cokolwiek, co regulator uzna za „dla dorosłych”.
Efekt? W Wielkiej Brytanii, tuż po wejściu nowych przepisów, aplikacje VPN zaczęły dominować w rankingach pobrań. Nie mówimy tu o lekkim wzroście - mówimy o sytuacji, w której VPN-y stały się jednymi z najczęściej instalowanych narzędzi w całym kraju.
EPRS zauważa, że podobne zjawisko pojawiło się w Stanach Zjednoczonych, gdzie kolejne stany wprowadzają obowiązkowe bramki wiekowe. W Utah poszli nawet dalej: tamtejsze prawo SB 73 uznaje lokalizację użytkownika nie na podstawie IP, ale fizycznej obecności - nawet jeśli ktoś korzysta z VPN-a. To pierwszy przypadek, gdy ustawodawca wprost próbuje „zneutralizować” VPN-y w kontekście weryfikacji wieku.
Politycy chcą ograniczać VPN-y. Eksperci łapią się za głowę
W dokumencie EPRS pojawia się sugestia, że dostęp do VPN-ów sam w sobie powinien być ograniczony do osób pełnoletnich. Angielska Children’s Commissioner idzie jeszcze dalej, proponując, by VPN-y były dostępne wyłącznie dla dorosłych - tak jak alkohol czy papierosy.
Brzmi to jak żart, ale to nie jest żart. To jest realna propozycja, która krąży wśród decydentów.
Problem polega na tym, że VPN-y nie są zabawką do omijania blokad. To narzędzie, które chroni dziennikarzy, aktywistów, pracowników zdalnych, firmy, a nawet zwykłych użytkowników przed śledzeniem i profilowaniem. Wprowadzenie obowiązkowej weryfikacji wieku przy korzystaniu z VPN-a oznaczałoby konieczność podawania danych osobowych usługodawcy, który -paradoksalnie - ma chronić naszą anonimowość.
Nic dziwnego, że branża VPN-ów i organizacje broniące prywatności już protestują. W Wielkiej Brytanii wysłano oficjalny list do rządu ostrzegając, że takie pomysły są nie tylko niebezpieczne, ale wręcz sprzeczne z podstawowymi zasadami bezpieczeństwa cyfrowego.
Europa szuka złotego środka. Na razie wychodzi jej raczej brązowy
EPRS przyznaje, że obecne systemy weryfikacji wieku są technicznie trudne do wdrożenia i łatwe do obejścia. Samodzielne deklaracje wieku nie działają. Skanowanie dokumentów budzi obawy o prywatność. Algorytmy rozpoznawania twarzy są zawodne i kontrowersyjne. A rozwiązania double-blind, takie jak te testowane we Francji, dopiero raczkują.
W tle pojawia się jednak coraz wyraźniejszy trend: regulatorzy chcą, by VPN-y przestały być czarną skrzynką, która pozwala użytkownikowi ukryć lokalizację i tożsamość. W EPRS pada sugestia, że przyszłe aktualizacje unijnego Cybersecurity Act mogą zawierać przepisy dotyczące „bezpiecznego” korzystania z VPN-ów, w tym mechanizmy zapobiegające obchodzeniu weryfikacji wieku.
Co to oznacza w praktyce? Na razie nikt nie wie. Ale kierunek jest jasny: VPN-y przestają być traktowane jako neutralne narzędzie. Zaczynają być traktowane jako problem.
Czy UE naprawdę chce walczyć z VPN-ami? A może to tylko straszak?
Warto pamiętać, że EPRS nie jest organem legislacyjnym. To think tank Parlamentu Europejskiego, który przygotowuje analizy i rekomendacje. Ale w Brukseli takie dokumenty często stają się paliwem dla politycznych inicjatyw.
Czy UE faktycznie zakaże VPN-ów dla nieletnich? Czy wprowadzi obowiązkową weryfikację wieku przy ich instalacji? Czy zacznie wymagać od dostawców VPN-ów jakichś „bezpiecznych trybów zgodnych z prawem”?
To możliwe, ale nie przesądzone. Historia regulacji cyfrowych w Europie pokazuje, że wiele pomysłów zaczynało jako kontrowersyjne tezy w raportach, a kończyło jako obowiązujące prawo. Wystarczy przypomnieć sobie debatę o filtrowaniu treści w ramach ACTA 2 - najpierw „nierealne”, potem „kontrowersyjne”, a na końcu… obowiązujące.
Polski kontekst: czy nas to dotyczy? Oczywiście, że tak
Polska nie ma jeszcze własnego systemu weryfikacji wieku, ale presja unijna działa jak grawitacja - prędzej czy później wszystko spada na nasz rynek. Jeśli UE wprowadzi obowiązkowe standardy to będą one obowiązywać również w Polsce. A jeśli VPN-y zostaną objęte dodatkowymi regulacjami to polscy użytkownicy odczują to tak samo jak Brytyjczycy czy Francuzi.
Warto też pamiętać, że Polacy należą do jednych z najaktywniejszych użytkowników VPN-ów w Europie. Według danych Surfshark i NordVPN Polska regularnie pojawia się w czołówce krajów, gdzie VPN-y są instalowane najczęściej. To nie jest nisza. To mainstream. A tym razem chodzi o narzędzie, które miliony Europejczyków traktują jako podstawowy element cyfrowej wolności.
