Personvernbekymringer øker for britiske Discord-brukere når nye dataeksperimenter og investorforbindelser kommer frem i lyset

De siste oppdateringene av aldersverifiseringsprotokollene til Discord har gjort det enda mer komplisert og bekymringsfullt for brukere i Storbritannia, noe som markerer et brudd med tidligere forsikringer om personvern. Et nytt varsel som varsler lokale brukere om et "eksperiment" med databehandling, står i motsetning til tidligere løfter om at sensitive biometriske data aldri vil forlate brukerens enhet. Denne endringen kommer bare uker før plattformen har til hensikt å innføre en obligatorisk sjekk for brukere over hele verden for å få tilgang til modent innhold. Introduksjonen av en tredjepartsleverandør for å håndtere disse dataene har utløst en bølge av gransking av nøyaktig hvor denne informasjonen går og hvem som til syvende og sist finansierer teknologien bak den.

Discord forbereder seg for tiden på en massiv global utrulling av aldersverifisering, som etter planen skal skje i begynnelsen av mars, og som vil endre fundamentalt hvordan plattformen håndterer brukersikkerhet og tilgang til innhold. Dette initiativet tar sikte på å skape en "tenåringspassende opplevelse" som standard, og begrenser tilgangen til sensitive innholdsfiltre, aldersgrenserte kanaler og direktemeldinger fra fremmede for alle som ikke har bevist at de er voksne. Selv om intensjonen er sikkerhet, har gjennomføringen møtt på problemer i Storbritannia, der lovgivning som Online Safety Act allerede har fremskyndet disse kravene. Plattformens opprinnelige tilnærming baserte seg på teknologi for estimering av ansiktsalder som behandlet videoselfies lokalt på brukerens enhet, noe som sikret at personlige biometriske data forble under brukerens kontroll.

Nylige oppdateringer av Discord-støtteartikkelen som er spesielt skreddersydd for innbyggere i Storbritannia, viser imidlertid nå en ansvarsfraskrivelse som har skremt personvernbevisste brukere. Teksten informerer om at enkelte personer kan være en del av et eksperiment der informasjonen deres behandles av en helt annen leverandør av aldersforsikring, kjent som Persona. I motsetning til den tidligere metoden, som slettet data umiddelbart og beholdt selfies lokalt, innebærer denne nye prosessen midlertidig lagring av innsendt informasjon i opptil syv dager. Plattformen insisterer på at disse dataene til slutt slettes, og at spesifikke sikkerhetstiltak er på plass under overføringen.

"Viktig: Hvis du befinner deg i Storbritannia, kan du være en del av et eksperiment der informasjonen din vil bli behandlet av en leverandør av aldersforsikring, Persona. Informasjonen du sender inn, vil bli midlertidig lagret i opptil 7 dager, og deretter slettet. For verifisering av ID-dokumenter sladdes alle detaljer bortsett fra bildet og fødselsdatoen din, slik at bare det som virkelig er nødvendig for aldersverifisering, brukes."

- Uenighet

Det begynte å dukke opp rapporter på sosiale medier etter hvert som brukerne møtte disse nye meldingene, og de bemerket avviket mellom dette "eksperimentet" og plattformens standard personvernløfter. Den primære partneren, k-ID, ble hyllet for sin personvernsentrerte tilnærming der videoselfier som ble brukt til estimering, aldri forlot enheten. Integreringen av Persona krever derimot dataoverføring og oppbevaring, om enn midlertidig. Jeg ser på dette avviket som en betydelig svikt i tilliten, spesielt med tanke på at det ikke ble gitt noen klar begrunnelse for hvorfor enkelte brukere havner i Persona-testgruppen, mens andre blir værende i det opprinnelige, mer private systemet.

Situasjonen ble ytterligere forverret da PC Gamer publiserte en rapport som undersøkte bakgrunnen til den nye leverandøren, Persona. Undersøkelsen fremhevet at risikokapitalstøtten til Persona inkluderer Founders Fund, et firma som Peter Thiel var med på å grunnlegge. Thiel er en kontroversiell figur i teknologiverdenen, først og fremst kjent for å ha vært med på å grunnlegge Palantir, et dataanalyse- og overvåkingsselskap med kontrakter som involverer amerikanske føderale etater som ICE. Forbindelsen mellom en plattform som brukes av millioner av gamere, og en investor i overvåkningsteknologi, har uroet en del av miljøet som prioriterer digital anonymitet.

"Discord og k-ID lagrer ikke personlige identitetsdokumenter eller videoselfies permanent. Bilder av identitetsdokumenter og ID-match-selfier slettes umiddelbart etter at aldersgruppen din er bekreftet, og videoselfien som brukes til aldersbestemmelse av ansiktet, forlater aldri enheten din."

- Uenighet

Forskjellen i datahåndtering er tydelig når man sammenligner de to leverandørene. Mens k-ID gir eksplisitte forsikringer om at videoselfiene aldri forlater enheten, lover Persona kun at detaljene sløres og at lagringen er midlertidig. Denne mangelen på varighet i garantien har ført til skepsis. Skepsisen forsterkes av det faktum at de fleste synes det er kjipt når en plattform pålegger biometrisk skanning, men når det i tillegg kommer en leverandør med tilknytning til overvåkningsarkitektur, blir pillen mye vanskeligere å svelge. Bekymringen handler ikke bare om selve verifiseringen, men om den potensielle normaliseringen av overvåkningskapitalisme i spillverdenen.

"Discord "eksperimenterer" med en leverandør av aldersautentisering som har Thiels Founders Fund blant sine største investorer."

- Lincoln Carpenter

Spekulasjonene rundt hvorfor denne endringen skjedde, kompliserer fortellingen ytterligere. Noen observatører antyder at skiftet til Persona kan være et svar på at brukere har funnet løsninger for k-ID-systemet, og effektivt "jukser" verifiseringsprosessen for å omgå aldersbegrensninger. Hvis hovedleverandøren viste seg å være utsatt for manipulasjon, ville det forklare den plutselige A/B-testingen av et mer rigid, om enn mer invasivt, alternativ. Discord har imidlertid ikke offisielt bekreftet om sikkerhetsfeil i k-ID førte til beslutningen om å ta i bruk Persona, noe som overlater brukerne til å spekulere basert på den plutselige endringen i protokollen.

"Discord har bagatellisert betydningen av reglene for aldersverifisering som svar på den offentlige frykten, mens kritikere, som Rindala Alajaji fra Electronic Frontier Foundation, hevder at opprøret er berettiget av utallige grunner. At en person som Thiel dukker opp på scenen i løpet av få dager, fjerner ikke akkurat denne frykten."

- Lincoln Carpenter

De bredere implikasjonene av denne utrullingen strekker seg utover bare den britiske brukerbasen. Etter hvert som plattformen gjør seg klar for verdensomspennende implementering i mars, følger internasjonale brukere nøye med for å se hvilken leverandør - og hvilken personvernpolicy - som blir den globale standarden. Hvis Persona-modellen blir tatt i bruk i større grad, kan millioner av brukere bli tvunget til å samtykke til databehandling utenfor enheten og midlertidig lagring av biometrisk informasjon for å opprettholde full tilgang til kontoene sine. Jeg er bekymret for at dette "eksperimentet" signaliserer en fremtid der personvernet i stadig større grad blir kompromittert til fordel for overholdelse av regelverk og alderssikring.

"Alle detaljer sladdes, bortsett fra bilde og fødselsdato, slik at bare det som virkelig trengs for aldersbekreftelse, brukes."

- Discord

Foreløpig er det obligatoriske innholdet i disse kontrollene fortsatt det springende punktet. Uten verifisering er brukerne låst til en begrenset versjon av plattformen, uten mulighet til å omgå sensitive innholdsfiltre eller delta i aldersgitte fellesskap. Denne "teen-by-default"-tilnærmingen holder i praksis full kontofunksjonalitet som gissel bak en biometrisk port. Med investorer som Thiel i leverandørkjeden for disse dataene, har valget mellom personvern og funksjonalitet blitt svært vanskelig for mange mangeårige brukere av tjenesten.