Jak przypomniała przewodnicząca Komisji Spraw Dzieci i Młodzieży posłanka KO Monika Rosa, temat weryfikacji wieku wracał już na wielu wcześniejszych posiedzeniach – zarówno w kontekście dostępu nieletnich do treści szkodliwych, w tym pornograficznych, jak i korzystania z mediów społecznościowych, komunikatorów czy narzędzi sztucznej inteligencji.
Rosa zaznaczyła, że sam obowiązek weryfikacji wieku nie budzi wśród posłów wątpliwości – sporna pozostaje kwestia, jak zweryfikować wiek w sposób realny i skuteczny.
Posiedzenie odbywało się równolegle do prac nad odrębnymi regulacjami dotyczącymi ograniczenia lub zakazu dostępu dzieci do mediów społecznościowych poniżej określonego wieku.
Mechanizm weryfikacji wieku - propozycja rządu
Wiceminister cyfryzacji Dariusz Standerski przedstawił dwie kategorie rozwiązań, nad którymi toczą się prace na poziomie unijnym. Pierwsza to Europejski Portfel Tożsamości Cyfrowej, oparty na rozporządzeniu eIDAS 2.0, które ma zacząć być stosowane 24 grudnia 2026 r. Druga to zestaw standardów zaprezentowany przez Komisję Europejską miesiąc wcześniej, w debacie publicznej nazywany "aplikacją do weryfikacji wieku".
Polityk podkreślił, że to drugie rozwiązanie bywa błędnie rozumiane.
– To nie jest aplikacja, którą możemy dzisiaj pobrać ze sklepu i od razu stosować. To jest zestaw standardów, z których będą czerpać państwa członkowskie i dostosowywać swoje możliwości, bo to jest klucz, jeżeli chodzi o reformy weryfikacji wieku w internecie – mówił Dariusz Standerski.
Wiceszef resortu cyfryzacji wskazał, że podstawą prawną jest już obowiązujący art. 28 aktu o usługach cyfrowych, nakazujący dostawcom platform dostępnych dla małoletnich stosowanie odpowiednich i proporcjonalnych środków ochrony.
Wiceminister zaznaczył przy tym, że wszystkie formy weryfikacji wieku prowadzone na podstawie przepisów powszechnie obowiązujących są dobrowolne, dlatego musi ich być więcej niż jedna - nie ma obowiązku posiadania konkretnego rozwiązania informatycznego. Rozwiązanie Komisji Europejskiej resort traktuje jako wspierające i dodatkowe wobec Portfela.
Szczegóły działania mechanizmu przedstawił Rafał Sionkowski z Centralnego Ośrodka Informatyki. Wyjaśnił, że weryfikacja wieku ma zostać wbudowana w aktualizację aplikacji mObywatel, dostosowaną do rozporządzenia eIDAS 2.0.
Kluczowa różnica wobec obecnego mObywatela to selektywne ujawnianie danych -użytkownik sam decyduje, które informacje przekazuje, i może przekazać wyłącznie poświadczenie wieku, bez danych identyfikujących.
Sionkowski opisał dwie metody techniczne przewidziane w standardach. Pierwsza opiera się na poświadczeniach wydawanych seryjnie do aplikacji - każde jednorazowe i podpisane innym kluczem kryptograficznym, co uniemożliwia powiązanie ze sobą poszczególnych użyć.
Druga to tzw. dowód wiedzy zerowej (zero-knowledge proof), który – jak tłumaczył – pozwala udowodnić stronie ufającej określoną tezę, na przykład że ktoś ukończył 18 lat, bez ujawniania pozostałych danych.
Przedstawiciel COI podkreślił, że po wydaniu poświadczenia państwo traci wgląd w to, gdzie jest ono używane.
My nie widzimy kompletnie tego ruchu, nie jesteśmy w stanie nawet nic w logach odłożyć, bo ten ruch kompletnie przez nas nie przechodzi". COI — jako podmiot prowadzący rejestr dowodów osobistych — wie, komu wydał poświadczenie, ale nie wie, kiedy i gdzie obywatel z niego korzysta.
W praktyce weryfikacja wieku ma przypominać obecne korzystanie z mObywatela: usługodawca wystawia kod QR, użytkownik po zeskanowaniu widzi, komu i jakie dane przekazuje, a po zatwierdzeniu do usługodawcy trafia wyłącznie informacja typu "powyżej 18 lat". Aktywacja Portfela ma wymagać dowodu osobistego z warstwą elektroniczną. Sionkowski zaznaczył, że cała aplikacja przejdzie certyfikację, w tym Common Criteria. Pełne wdrożenie planowane jest na koniec 2026 r.
Posłowie i NGO'sy pytają o harmonogram i skuteczność rozwiązania
Najczęściej powracającym pytaniem był harmonogram. Poseł Paweł Bliźniuk (KO) nazwał to "pytaniem zasadniczym" dla całej debaty — wskazując, że od terminu wdrożenia mechanizmu zależy, kiedy będzie można skutecznie wprowadzić przepisy chroniące najmłodszych w internecie.
Standerski odpowiedział, że ustawa wdrażająca przepisy o Portfelu została przyjęta przez Komitet do Spraw Cyfryzacji, a pierwsze czytanie w Sejmie planowane jest tuż przed lub po przerwie letniej. Zapewnił, że harmonogram dostosowany do unijnej daty 24 grudnia 2026 r. jest niezagrożony i że nie wskazano w nim żadnych ryzyk.
Poseł Janusz Cieszyński z PiS pytał, czy na podstawie logów aplikacji da się ustalić, kto i kiedy wystąpił o wydanie poświadczenia wieku. Dyrektor z COI potwierdził, że moment wydania poświadczenia jest Ośrodkowi znany — bo instytucja musi wiedzieć, komu je wydaje — natomiast późniejsze użycie pozostaje poza zasięgiem systemu.
Posłanka Kinga Gajewska (KO) pytała też o obchodzenie mechanizmu weryfikacji wieku, na przykład za pomocą VPN. Sionkowski odpowiedział, że nie jest to zadanie Portfela — kwestia blokowania proxy i VPN leży po stronie platform i ewentualnych odrębnych regulacji.
Katarzyna Szymielewicz z Fundacji Panoptykon wyliczyła sześć pytań: o neutralność technologiczną rozwiązania (dostępność dla osób bez smartfona lub korzystających z mniej popularnych systemów), o zabezpieczenie przed podszywaniem się oszustów pod narzędzie i fałszywymi kodami QR, o oparcie polskiego narzędzia na standardach Komisji Europejskiej i odniesienie się do krytyki tych standardów na GitHubie, o to, kto będzie audytował kod polskiej aplikacji, jaka jego część będzie otwarta oraz w jaki sposób COI zamierza włączyć w prace społeczeństwo obywatelskie i niezależnych ekspertów.
Wiceminister cyfryzacji zadeklarował otwartość na współpracę - przypomniał, że odbyło się już otwarte spotkanie poświęcone prywatności w Portfelu, w którym uczestniczyło około 200 osób, i zapowiedział kolejne, o charakterze warsztatów technicznych.
Zastrzegł jednocześnie, że resort nie zamierza "zaprzęgać wolontariuszy do pracy nad kodem". Rafał Sionkowski z COI wyjaśnił, że krajowy program certyfikacji opracowują NASK oraz Instytut Łączności, a dokument ten ma zostać opublikowany w Biuletynie Informacji Publicznej.
W kwestii zabezpieczenia przed oszustwami Standerski dodał, że sam Portfel będzie środkiem identyfikacji elektronicznej na najwyższym poziomie zaufania (level of assurance high), a do potwierdzania tożsamości przez platformy konieczne jest wcześniejsze przejście procedury formalnej i certyfikacji cyberbezpieczeństwa.
Meta: weryfikację wieku trzeba przenieść na poziom systemu operacyjnego
Głos w dyskusji zabrał także Jakub Turowski z Mety. Zaznaczył, że spór nie dotyczy tego, czy weryfikować wiek, lecz jak robić to skutecznie. Przedstawiciel Mety przyznał przy tym, że żadna z dostępnych metod weryfikacji wieku w sieci nie jest doskonała i że potrzebne są rozwiązania systemowe oparte na regulacjach.
Kluczowy postulat koncernu dotyczył miejsca weryfikacji. Turowski argumentował, że nastolatek korzysta z dziesiątek aplikacji, z których każda buduje własne mechanizmy — a dziecko zidentyfikowane jako niepełnoletnie na jednej platformie może po prostu przejść na kolejną. Dlatego weryfikacja powinna następować tam, gdzie "zbiegają się wszystkie aplikacje", czyli na poziomie systemu operacyjnego lub sklepu z aplikacjami.
W odpowiedzi na te postulaty posłowie podkreślali, że kierunek prac jest przesądzony i weryfikacja wieku zostanie wprowadzona. Argumentowano, że obecne metody stosowane przez firmy nie działają wystarczająco skutecznie, a skala problemu jest duża - setki tysięcy dzieci w Polsce korzysta z mediów społecznościowych i komunikatorów, które nie gwarantują im bezpieczeństwa.
