Ken Macon: Z Robloxu na daňový úřad – Velká krádež biometrických údajů

Trénink začíná brzy: Vzdejte se své tváře, získejte přístup, říkejte tomu ochranka.

Abstraktní lidská tvář vytvořená ze zářících modrých síťových uzlů a spojovacích čar na tmavém pozadí.

Roblox se rozhodl, že než budete moci pozdravit v blokovém světě kreslených avatarů, musíte ukázat svou tvář stroji.

Nejnovější bezpečnostní opatření společnosti nyní vyžaduje, aby každý uživatel, ať už kdekoli, prošel testem odhadu věku na základě obličeje, než bude možné chat používat.

Tato politika, vynucovaná prostřednictvím nezávislé společnosti s názvem Persona, je prodávána jako krok k tomu, co Roblox nazývá „zlatým standardem pro bezpečnost komunikace“.

Takže toto je zřejmě nový standard: biometrická poslušnost výměnou za jazyk.

V novém systému Roblox rozděluje miliony hráčů do šesti věkových skupin, počínaje „do devíti let“ a konče „nad dvacet jedna let“.

Každý ročník s sebou nese komunikační omezení. Například čtrnáctiletý může posílat zprávy jiným čtrnáctiletým, třináctiletým nebo mladším, ale ne šestnáctiletému.

Společnost tvrdí, že tato segmentace brání dospělým v přímém chatování s nezletilými a zároveň zachovává „věkově přiměřené“ sociální kruhy.

Je to myšlenka, která v teorii zní rozumně, ale v praxi je byrokratická – digitální hřiště monitorované podle data narození. Důsledky rostoucí snahy o ověřování identity jsou však hluboké.

Aby tomu všemu dodal oficiální nádech, Roblox poukázal na preciznost technologie Persona:

„Technologie používaná naším poskytovatelem Persona byla testována a certifikována nezávislými laboratořemi. Použité modely pro odhad věku dosáhly u uživatelů mladších 18 let průměrné absolutní chyby 1,4 roku, a to na základě testů provedených certifikačním schématem Age Check ve Spojeném království.“

Jinými slovy, algoritmus se může odchýlit o rok a půl, ale to zřejmě stačí k rozhodnutí, kdo s kým smí mluvit.

Každý, kdo nesouhlasí s přiděleným věkem, se může odvolat předložením dokladu totožnosti. Společnost to popisuje jako „alternativní metodu“ ověřování, nikoli jako druhou úroveň dohledu.

Spolu s tímto představením přichází další nová funkce: program s názvem Roblox Sentinel, popisovaný jako systém strojového učení, který monitoruje „více signálů“ a detekuje chování, které neodpovídá udávanému věku uživatele. Pokud má umělá inteligence podezření, že někdo lže o svém věku, bude vyzván k opětovnému naskenování obličeje.

Roblox tvrdí, že jeho cílem je zabránit zneužívání dětí dříve, než k němu dojde. Je však pozoruhodné, že systém neověřuje pouze věk. Neustále monitoruje, analyzuje chování a vytváří profil.

Velký biometrický drift

Roblox v tom není sám. YouTube a další velké platformy také zavedly ověřování věku pomocí obličeje, často se stejnou „bezpečnostní“ logikou.

Problém je v tom, že tyto systémy se spoléhají na biometrická data – geometrii obličeje – která nelze změnit, smazat ani skutečně anonymizovat.

Firmy slibují zodpovědné nakládání s daty, ale sliby nemění nic na faktu, že uživatelé jsou vyškoleni k tomu, aby sdělili svou podobu, jen aby mohli komunikovat.

Dokonce i děti se učí, že digitální sken obličeje je vstupní poplatek.

Objevuje se zde kulturní posun směrem k systémům digitální identifikace spravovaným soukromými společnostmi.

Před generací by myšlenka odesílání živého skenu obličeje pro chat s přáteli zněla dystopicky. Dnes je to považováno za „zlepšení bezpečnosti uživatelů“.

V případě Robloxu znamená odmítnutí skenování úplnou ztrátu přístupu k chatu – ústřední sociální funkci platformy.

Směrnice nově definuje soukromí jako kompromis: ti, kteří se chtějí spojit, se musí nejprve vzdát části své identity.

Čím rozšířenější jsou tyto systémy, tím více formují očekávání. Děti, které vyrůstají s Robloxem, se učí, že být online znamená ověřovat se vůči počítači.

Internalizují myšlenku, že důvěra je udělována algoritmy, a nikoli chováním.

Postupem času se tyto biometrické brány rozšíří i do dalších oblastí Robloxu a mimo něj. Jakmile jsou normalizovány, jen zřídka se obnoví jejich původní nastavení.

Zvyk dokazovat svůj věk obličejem bude člověka doprovázet i do dalších koutů webu a tiše předefinuje, co znamená „bezpečnost“ v digitálním věku.

Pro Roblox to může být obchodní rozhodnutí. Pro všechny ostatní je to další lekce o tom, jak se pohodlí a kontrola sloučily do jednoho produktu. Společnost tomu říká bezpečnost. My ostatní bychom tomu mohli říkat vzdělávání.

Zavádění Robloxu je jen jednou částí mnohem většího trendu. Napříč odvětvími – od bankovnictví přes vzdělávání až po zábavu – se biometrické a digitální identifikační systémy prolínají s každodenními procesy.

Každý nový „upgrade ověření“ se může sám o sobě zdát neškodný, ale společně tvoří síť, ze které se odhlášení stává prakticky nemožným.

Online bezpečnost je důležitá, ale propojení bezpečnosti s trvalou identifikací s sebou nese jiný druh nebezpečí.

Normalizace systémů digitální identifikace transformuje internet z místa sebeprezentace na místo ověřování autorizace. Jakmile k tomuto posunu dojde, soukromí přestává být právem a stává se něčím, co musí jednotlivci aktivně bránit.

Minulé problémy Persony

Persona, společnost, na kterou se Roblox spoléhá při rozhodování o tom, kdo může chatovat, si s sebou nese vlastní právní zátěž. V případu Washington v. Persona Identities, Inc. podali žalobci Charles Washington a Katie Simsová hromadnou žalobu v Illinois, v níž společnost obvinili z porušení státního zákona o ochraně biometrických údajů (BIPA).

V žalobě se uvádí, že Persona „nezákonně vlastnila a profitovala z biometrických údajů žalobců tím, že veřejně nezveřejnila své zásady týkající se uchovávání a ničení biometrických údajů v době, kdy byly tyto informace shromažďovány“.

Triptych ženské tváře za různého osvětlení, zobrazující jednotný tón pleti, změnu barvy a povrchovou texturu pleti.

Případ vycházel z práce Persony pro DoorDash, kde museli řidiči k ověření odeslat „živé selfie“ a fotografie svých řidičských průkazů.

Software společnosti Persona analyzoval tyto snímky a uložil skeny geometrie obličeje každého řidiče.

Společnost Persona se pokusila případ předat k soukromé arbitráži s argumentem, že je chráněna smlouvami DoorDash s řidiči. Odvolací soud státu Illinois s tím nesouhlasil a rozhodl, že Persona „nemá legitimní základ k vynucení nároků žalobců k arbitráži“, protože nebyla přímou stranou těchto dohod.

Soud popsal roli Persony jako pouhou pomoc s ověřováním, nikoli jako nezávislé provádění prověrek, a případ vrátil k dalšímu řízení.

Soudní spor zdůraznil, jak křehký je koncept „důvěry“ v biometrické ekonomice. Persona se prezentuje jako bezpečná ověřovací služba, ale její praktiky již byly zpochybněny v rámci jednoho z nejpřísnějších zákonů na ochranu osobních údajů v USA.

Pro hráče Robloxu, kteří nyní musí projít skenováním obličeje v Personě, tato právní historie vyvolává zřejmou otázku: Co se přesně stane s těmito skeny po skončení hry?

Coinbase a vstupní poplatek

Podobným obviněním nyní čelí i Coinbase, jedna z největších kryptoměnových burz v zemi.

Žaloba podaná u federálního soudu v Illinois tvrdí, že společnost porušila zákon BIPA tím, že shromažďovala biometrické údaje o obličeji bez zákonem požadovaného souhlasu a nezveřejnila zásady vysvětlující, jak jsou tyto údaje ukládány nebo mazány.

Podle žaloby společnost Coinbase využila ověřovacích poskytovatelů Jumio a Onfido ke zpracování snímků obličejů uživatelů během otevírání účtu.

Ačkoliv Onfido nebyl jmenován jako žalovaný, žalobci tvrdí, že za získání písemného souhlasu před shromažďováním biometrických údajů je zodpovědná samotná Coinbase.

Spor navazuje na dřívější fázi arbitrážního chaosu. V březnu 2024 podalo žádosti o arbitráž téměř 8 000 lidí a krátce poté následovaly další tisíce.

Společnost Coinbase se pokusila postoupit žaloby soudu pro nezletilé a následně odmítla uhradit poplatky za rozhodčí řízení poté, co tato žádost neúspěšně dopadla. Žalobci zaplatili svůj podíl, ale Coinbase nikoli. Toto rozhodnutí fakticky ukončilo rozhodčí řízení a připravilo cestu k novému soudnímu sporu.

Nejedná se o první spor společnosti Coinbase ohledně BIPA. Předchozí žaloba z roku 2023 byla postoupena k arbitráži a později zamítnuta bez předsudků, což znamená, že by se mohla vrátit, pokud arbitráž neuspěje.

Coinbase v tom není sám. Walmart, největší soukromý zaměstnavatel v zemi, nedávno urovnal případ BIPA týkající se jeho doručovací aplikace Spark, která k registraci a ověřování řidičů využívala biometrii obličeje poskytovanou společností Persona.

Žalobci obvinili Walmart, že před shromažďováním údajů nezískal řádný souhlas. Společnost souhlasila s urovnáním, jehož finanční detaily zůstávají důvěrné.

Společnost Walmart také čelila dalším žalobám ze strany BIPA ohledně svých biometrických systémů pro sledování času zaměstnanců. Každý z těchto případů ukazuje, jak snadno společnosti integrovaly sběr biometrických údajů do každodenního provozu – často bez vysvětlení důsledků.

Napříč všemi odvětvími se biometrická shoda vkrádá do pozadí každodenního života.

Trend ukazuje jedním směrem: budoucnost, v níž se ověření identity stane předpokladem pro online existenci.

Čím povědomější se nám něco zdá, tím menší je pravděpodobnost, že to někdo zpochybní. Stroje sice mohou potvrdit, kdo jsme, ale cenou za to budou také přesně vědět, jak nás najít.

Společnost ID.me podepsala s americkým ministerstvem financí rámcovou dohodu v hodnotě 1 miliardy dolarů – pětiletou smlouvu, která společnosti umožňuje poskytovat autentizaci a ověřování identity v rámci několika resortních programů. To upevňuje kontrolu soukromé společnosti nad obrovským množstvím osobních údajů veřejnosti.

Federální úředníci označují dohodu za pokrok v online bezpečnosti a prevenci podvodů. Rostoucí závislost na biometrické infrastruktuře jediného poskytovatele však jde daleko za rámec efektivity.

Přesouvá odpovědnost za ověřování totožnosti milionů občanů z veřejných institucí na zprostředkovatele orientovaného na zisk, kde je nakládání s těmito údaji řízeno spíše komerčními pobídkami než ústavními principy.

ID.me není v oblasti federálních zakázek žádným nováčkem. Jeho vztah s daňovým úřadem (Internal Revenue Service) sahá roky dozadu a zahrnuje zakázky v hodnotě desítek milionů dolarů.

Daňový úřad (IRS) nedávno podepsal smlouvu v hodnotě 86 milionů dolarů na exkluzivní užívání ověřovacích služeb společnosti. Uživatelé budou muset ověřit svou totožnost předložením dokumentů a podrobením se rozpoznávání obličeje.

Veřejné protesty v roce 2022 donutily IRS (Daňový úřad IRS) upustit od požadavku na rozpoznávání obličeje a nabídnout jako alternativu videochat s živým agentem. ID.me však zůstává klíčovou součástí toho, jak Američané ověřují svou totožnost, aby získali přístup k daňovým informacím a podávali daňová přiznání online.

Další agentury následovaly tento příklad. Centra pro služby Medicare a Medicaid nyní používají ID.me pro Medicare.gov.

Ministerstvo pro záležitosti veteránů a Správa sociálního zabezpečení se na něj spoléhají, pokud jde o přístup k dávkám. V roce 2025 Správa všeobecných služeb rozšířila dosah ID.me prostřednictvím smlouvy, která mu umožňuje sloužit více agenturám v rámci Federálního plánu dodávek.

Do této doby se ID.me stalo infrastrukturou.

Když se veřejná identita stane soukromým majetkem

Každá nová smlouva stírá hranici mezi veřejnou službou a soukromou správou. Outsourcing ověřování identity soustřeďuje obrovské množství osobních údajů pod kontrolu jedné společnosti: jména, čísla dokladů totožnosti, zobrazení obličeje a dokonce i behaviorální údaje související s registracemi.

Jakmile bude tento model zaveden, občané se již nebudou ověřovat u samotného státu.

Ověřujete se u společnosti, která rozhoduje o tom, jak dlouho budou data uložena, jaká bezpečnostní opatření budou použita a jak transparentně budou informace poskytovány.

Tento proces se může uživateli zdát bezproblémový, ale znamená privatizaci základního kamene občanského života: schopnosti prokázat svou identitu, aniž by ji někdo prodal.

Co začalo jako pokus o zjednodušení přihlašování a prevenci podvodů, se vyvinulo v komerční síť identity propletenou s federální byrokracií. Přístup k základním službám, jako je zdravotní péče, důchody a zpracování daní, nyní závisí na dodržování biometrických standardů soukromé společnosti.

Kritika Kongresu a následky pandemie

Přihlašovací stránka IRS s možnostmi vytvoření účtu ID.me nebo přihlášení pomocí ID.me či stávajícího uživatelského jména IRS.

Rostoucí role společnosti přichází navzdory kritickým zjištěním dvou výborů amerického Kongresu, které zkoumaly její výkonnost během pandemie.

Členové parlamentu zjistili, že ID.me uvedl v omyl úřady i veřejnost ohledně čekacích dob na virtuální pohovory i skutečného rozsahu zabráněných podvodů v nezaměstnanosti.

Podle zprávy ID.me informoval federální úřady, že ruční ověření neúspěšných skenů obličeje trvá přibližně dvě hodiny.

Ve skutečnosti průměrné čekací doby překročily čtyři hodiny, přičemž některé státy hlásily zpoždění devět hodin a více. Společnost také odstranila možnosti schůzek pro virtuální konzultace, takže lidé se sdílenými nebo veřejnými počítači neměli přístup k dávkám v nezaměstnanosti.

Zástupce James Clyburn, tehdejší předseda zvláštního podvýboru pro krizi koronaviru, odsoudil způsob, jakým společnost nakládá s programy financovanými z daní daní:

„Je hluboce zklamáním, že společnost, která obdržela desítky milionů dolarů z peněz daňových poplatníků, aby pomohla Američanům získat tyto výhody, jim mohla bránit v přístupu k této klíčové pomoci. Praktiky ID.me riskovaly, že naléhavě potřebnou podporu znemožní Američanům, kteří nemají snadný přístup k počítačům, chytrým telefonům nebo internetu.“

Zástupkyně Carolyn B. Maloneyová, předsedkyně Výboru pro dohled a reformu, kritizovala transparentnost společnosti:

„V některých případech ID.me odstranilo důležité nabídky zákaznických služeb, což uživatelům ztěžovalo komunikaci s důvěryhodnými kontakty. Jsem také hluboce znepokojen tím, že ID.me poskytlo federálním agenturám nepřesné informace, aby si zajistilo smlouvy v hodnotě milionů dolarů.“

Vyšetřování vykreslilo obraz dysfunkce. Během pandemie se ID.me stalo digitálním úzkým hrdlem pro žádosti o podporu v nezaměstnanosti, miliony uchazečů uvízly ve virtuálních frontách, zatímco se společnost veřejně prezentovala jako úspěšný příklad prevence podvodů.

Odpor

Aktivisté za ochranu soukromí si toho všimli. Centrum pro informace o elektronické ochraně soukromí spolu s několika organizacemi pro občanská práva vyzvalo federální a státní orgány, aby ukončily své smlouvy se společností ID.me a podobnými poskytovateli.

Argumentují, že biometrické ověřování podkopává rovný přístup k vládním službám, zejména pro lidi bez potřebných technologií nebo zdrojů.

Po kritice IRS upustil od svých plánů zavést povinné rozpoznávání obličeje pro daňové poplatníky využívající online služby.

Společnost nicméně nadále získává nové federální zakázky, zatímco kontrola jejích metod a datových politik se zvyšuje.

Nová byrokracie tváře

Konflikt kolem ID.me odhaluje rozpory, které jsou jádrem hnutí za digitální identitu.

Firmy tvrdí, že modernizují přístup a bojují proti podvodům, ale jejich systémy se spoléhají na invazivní sběr dat a neprůhledné rozhodování.

Od občanů se očekává, že vymění soukromí za pohodlí, často aniž by si uvědomovali, že vstupují do komerčního systému, který zachází s identitou jako s monetizovatelným zbožím.

Organizace jako EPIC vyzývají k přímému odporu, například prostřednictvím iniciativ, jako je petice „Dump ID.me“, a varují, že normalizace povinného biometrického ověřování přetrvá každé jednotlivé smluvní období. Základní poselství je jednoduché: efektivita ve státní správě nesmí vyžadovat odevzdání biometrických údajů.

Hlubší otázkou je, jaký druh společnosti vzniká, když je prokázání identity neoddělitelně spojeno s firemními databázemi.

Jakmile právo na existenci v digitálním prostoru závisí na skenování obličeje, soukromí přestává být ochranným mechanismem. Stává se povolením, které lze odvolat.