A DSA 28. cikke szerint a „kiskorúak számára hozzáférhető online platformot üzemeltető szolgáltatók megfelelő és arányos intézkedéseket hoznak annak érdekében, hogy szolgáltatásukkal összefüggésben biztosított legyen a kiskorúak magas szintű magánéleti védelme és biztonsága”. A GDPR-ban meghatározott „adattakarékosság elve” azonban szigorú korlátok közé szorítja a fenti intézkedések megvalósításához szükséges adatgyűjtést. A DSA 28. cikkének (3) bekezdése és a DSA (71) preambulumbekezdése szintén hasonló korlátozást tartalmaz: a gyermekvédelmi kötelezettség teljesítése nem kötelezi és nem is ösztönözheti a szolgáltatókat arra, hogy a szükségesnél több személyes adatot kezeljenek a fenti cél elérése érdekében. Ebben a cikkben ezt a sajátos jogi és technológiai paradoxont vizsgáljuk meg: hogyan tudják a kiskorúak számára hozzáférhető online platformot üzemeltető (azaz a felhasználói tartalmakat nyilvánosan terjesztő) szolgáltatók (pl. közösségi média, piacterek) a DSA megfelelés érdekében ellenőrizni a felhasználók életkorát – a GDPR megsértése nélkül.
1. A kiskorúakat érintő online veszélyek és az online platformok kockázatainak besorolása
Az online platformok kockázatait az OECD „5C” nevű tipológiája segít azonosítani, amely öt fő csoportba sorolja be a kiskorúakat érintő online veszélyeket, és segít a szolgáltatóknak kiválasztani a megfelelő életkor-ellenőrzési megoldást:
- Tartalmi kockázatok – ahol a kiskorú passzív befogadója a káros tartalomnak (pl. erőszak, dezinformáció).
- Magatartási kockázatok – ahol a kiskorú aktív cselekvő (pl. szexting, veszélyes kihívások).
- Kapcsolatfelvételi kockázatok – ahol a kiskorú interakció áldozatává válik (pl. behálózás, zaklatás).
- Fogyasztóvédelmi kockázatok (pl. rejtett marketing, pénzügyi csalás).
- Átfogó, a kiskorúakat közvetlenül, széles körben érintő kockázatok (pl. a technológia fejlődésével megjelenő MI alapú chatbotok, vagy adatvédelmi veszélyek).
2. Szempontok a megfelelő technológia kiválasztása során
Az életkor-ellenőrzéshez szükséges megfelelő technológiát a fenti kockázatértékelés eredménye alapján kell kiválasztani – ehhez a Bizottság DSA-val kapcsolatos Iránymutatása egy öt elemből álló tesztet állapít meg.
A szolgáltatónak a tesztben vizsgálnia kell a választott megoldás:
- pontosságát,
- megbízhatóságát (hogy ne lehessen könnyen kijátszani), és
- megalapozottságát (hogy az életkor-ellenőrzés objektív tényeken alapuljon).
Ugyanilyen fontos a felhasználók védelme:
- a technológia nem lehet intruzív (kerülni kell a túlzott adatgyűjtést), és
- biztosítani kell a megkülönböztetésmentességet – technikai akadályok miatt senki sem szorulhat ki a szolgáltatásból.
A fenti kritériumok figyelembevételével az elérhető technológiákat a Bizottsági Iránymutatás három kategóriába sorolja: önbevallás, életkorbecslés, és életkor-igazolás. (A technológia konkrét meghatározását az egyes alpontok elején idézzük.)
2.1 Önbevallás
„Az önbevallás olyan módszerekből áll, melyek során az egyénnek meg kell adnia életkorát vagy meg kell erősítenie a korosztályát, akár születési dátumának vagy életkorának önkéntes megadásával, akár azáltal, hogy egy bizonyos életkor felettinek vallja magát, jellemzően egy online gombra kattintva.”
Az önbevallás során a szolgáltató csak a célhoz feltétlenül szükséges adatokat kezeli és az eljárás nem teszi lehetővé a természetes személyek profilozását, nyomon követését vagy azonosítását.
Az önbevallás a megkülönböztetésmentesség követelményét is teljesíti, mivel technikai, nyelvi vagy társadalmi háttértől függetlenül mindenki számára akadálymentesen elérhető. Az adattakarékosság elvét követve az önbevallás során szigorúan csak a legszükségesebb adatokat lehet elkérni: ha egy online platform használata nem konkrét születési dátumhoz, hanem csupán korcsoporthoz kötött (pl. „18 év feletti”), úgy a pontos születési dátum megadása már nem indokolt. A pontos születési dátum kezelése mellett felhozható egyetlen érv a megalapozottság kritériumának erősítése: egy dátum manuális begépelése nagyobb tudatosságot igényel, mint egy gombra való kattintás. Mivel azonban mindkét módszer könnyűszerrel kijátszható, emiatt a további (minimális) technikai lépés miatt nem szükséges túllépni a GDPR adattakarékossággal kapcsolatos alapelvén.
Az ellenőrzéshez használt adatoknak ugyanakkor megbízható forrásból kell származniuk, a Bizottsági Iránymutatás pedig konkrét ellenpéldaként említi, hogy az önbevallás („saját aláírással ellátott igazolás”) nem tekinthető megbízhatónak. Ezen túlmenően, a „megalapozottság” szempontjából egy módszer csak akkor tekinthető hatékonynak, ha a kiskorúak számára nem kerülhető meg könnyen – önbevallás esetén ugyanakkor a kiskorú hamis dátumot is megadhat, vagy véletlenül a nem megfelelő gombra kattinthat. A Bizottsági Iránymutatás a fenti szempontok alapján kimondja:
az önbevallás önmagában nem minősül a kiskorúak magas szintű magánéleti védelmének és biztonságának biztosításához megfelelő életkor-ellenőrzési mechanizmusnak.
A DSA 28. cikke szerint ugyanakkor a szolgáltatóknak a kiskorúak „magas szintű magánéleti védelmét és biztonságát” kell biztosítaniuk – így ennek alapján kérdéses, hogy alkalmazható-e az önbevallás, ha a platform kockázatértékelése alacsony szintű kockázatot azonosít.
2.2 Életkorbecslés
„Az életkorbecslés olyan módszerekből áll, amelyek lehetővé teszik a szolgáltató számára annak megállapítását, hogy a felhasználó valószínűsíthetően egy bizonyos életkorú, egy bizonyos korosztályba esik, vagy egy bizonyos életkor felett vagy alatt van.”
A Bizottsági Iránymutatás szerint az életkorbecslés alkalmazása azokban az esetekben minősül megfelelő és arányos intézkedésnek, ha a platform használata 18 év alatti személyek számára is engedélyezett (például sok közösségi média 13 éves alsó korhatárhoz köti a hozzáférést), vagy a platform kockázatértékelése közepes szintű kockázatot azonosít – és ezek a kockázatok kevésbé korlátozó eszközökkel nem kezelhetők hatékonyan. A Bizottsági Iránymutatás által javasolt mérlegelési lehetőség ugyanakkor látszólagos – mivel a Bizottság az önbevallást (mint legenyhébb eszközt) a kiskorúak magas szintű védelme szempontjából egyébként sem tartja megfelelőnek. Közepes kockázat esetén tehát a szigorúbb életkorbecslés bevezetése valójában nem mérlegelés kérdése, hanem kötelezettség.
A megkülönböztetésmentesség követelményének való megfelelés érdekében a szolgáltatóknak egynél több életkorbecslési módszert kell kínálniuk. (Lehetnek olyan felhasználók, akik technikai okokból nem tudnak igénybe venni egy-egy megoldást.) Az életkor-ellenőrzést lehetőség szerint már az adott platformhoz tartozó fiók létrehozásakor el kell végezni, az eredményt pedig fel kell használni az interfész életkornak megfelelő testreszabására. Elengedhetetlen egy olyan jogorvoslati mechanizmus biztosítása is, amely lehetővé teszi a felhasználók számára a panasztételt téves életkor-meghatározás esetén.
2026. januárjában a TikTok közleményt adott ki az életkor-ellenőrzésének gyakorlatával kapcsolatban, mely egy lépcsőzetes, életkorbecslést is tartalmazó módszert vázol fel. Az ellenőrzés első lépcsőfoka a regisztrációnál alkalmazott önbevallás (age-gate), amelynek előnye, hogy a születési dátum bekérésekor nem sugallja a megfelelő választ, sikertelen kísérlet esetén pedig megakadályozza a más dátummal való azonnali és ismételt próbálkozást. A szűrést a platform folyamatosan működő, életkorbecslési mechanizmusokkal egészíti ki: a rendszer a használat során keletkező technikai adatokból következtet az életkorra, a moderátorok képzést kapnak a gyanús fiókok felismerésére, és a felhasználók is tehetnek ezzel kapcsolatban bejelentést. Vitás esetekben a felhasználók további hitelesítési módszerekkel igazolhatják valós életkorukat: életkorbecsléses arckép elemzéssel, bankkártyás hitelesítéssel vagy hivatalos okmányok bemutatásával.
Az OpenAI megoldása egy funkcionálisan hasonló, de következményeit tekintve enyhébb logikát követ. Az automatizált életkorbecslés nem a ChatGPT fiók törlését, csak a felhasználói élmény módosítását eredményezi: ha az algoritmus a beszélgetések témája vagy a használati idősávok alapján 18 év alattinak valószínűsíti egy felhasználó életkorát, automatikusan aktiválja a szigorított biztonsági beállításokat (pl. veszélyes kihívások, szexuális szerepjátékok vagy egészségtelen testképet népszerűsítő témák szűrése). A tévesen kiskorúnak kategorizált felhasználók életkor-igazolással bizonyíthatják nagykorúságukat a korlátozások eltávolítása érdekében.
A fenti megoldások bizonyos tekintetben automatizált adatkezeléssel járnak. A GDPR (71) preambulumbekezdése ugyan kifejezetten védi a gyermekeket az automatizált adatkezelésen alapuló döntéshozataltól és profilozástól, az ellentmondást azonban az EU Adatvédelmi Munkacsoportjának Automatizált Döntéshozatallal és a Profilalkotással kapcsolatos Iránymutatása oldja fel. Eszerint
a gyermekvédelem érdeke a fenti kontextusban felülírja az általános tilalmat: ha az automatizált rendszer bizonyíthatóan a gyermek jólétét szolgálja, például megakadályozza a káros tartalmakhoz való hozzáférést, úgy biztonsági célú használata jogszerű és indokolt.
A szolgáltatónak azonban ilyenkor is biztosítania kell a megfelelő jogorvoslati mechanizmust, különös tekintettel az emberi beavatkozás lehetőségére.
2.3 Életkor-igazolás
„Az életkor-igazolás olyan fizikai azonosítókon vagy ellenőrzött azonosítási forrásokon alapul, amelyek nagy fokú bizonyosságot nyújtanak a felhasználó életkorának meghatározásában.”
Az Európai Bizottság által megalkotott „uniós életkor-ellenőrzési megoldás” (EU Age Verification Blueprint), egyfajta white-label, nyílt forráskódú keretrendszer. Célja, hogy a 2026 végétől kötelező állami Európai Digitális Személyiadat-tárcák (EUDIW) teljeskörű bevezetéséig átmeneti megoldásként biztosítsa a DSA-nak való megfelelést. (Ez utóbbi egy olyan egységes, minden uniós polgár számára elérhető alkalmazás lesz, amely lehetővé teszi a hivatalos okmányok biztonságos digitális tárolását és határon átnyúló használatát, garantálva, hogy a felhasználó teljes körű ellenőrzést gyakoroljon adatai felett, és csak a feltétlenül szükséges információt – pl. csak azt, hogy elmúlt 18 éves – ossza meg a szolgáltatókkal.)
Az EU Age Verification Blueprint és az EUDIW rendszer lényege az adattakarékosságot támogató „kettős vak módszer”. A technológia elválasztja egymástól a személyazonosítás szereplőit (külső szolgáltató) és a jogosultság-ellenőrzés szereplőit (online platform szolgáltató) – így egyik szereplő sem lát rá teljesen a teljes adatkörre. A felhasználó egy, az online platformtól független fél által üzemeltetett hitelesítő alkalmazásban igazolja az életkorát; az alkalmazás ezáltal megismeri a felhasználó személyazonosságát, életkorát, de nem tudja, milyen platformra lép be a felhasználó. Amikor a felhasználó megérkezik a platformra, az alkalmazás egy anonim, kriptográfiai „életkor-tokent” küld a szolgáltatónak. A token nem tartalmaz nevet, címet, fotót, csak egyetlen információt: „Elmúlt 18 éves” (Igen/Nem).
A szoftver pilot verziója 2025 júliusa óta elérhető, és öt tagállam (Dánia, Franciaország, Görögország, Olaszország és Spanyolország) már megkezdte a technológia integrálását nemzeti rendszereibe. A referenciaszabványt átvevő szolgáltatók valójában a jövőre készülnek: a rendszer ugyanis technikailag kompatibilis a 2026-tól kötelező EUDIW-vel, így az átállás könnyebb lesz.
3. Zárszó
A technológiai alapok tehát rendelkezésre állnak, a jövő azonban számos kérdést tartogat. A legizgalmasabb talán az, hogy az EUDIW által kínált megoldás elterjedése hogyan formálja majd át a szabályozói elvárásokat. Vajon a hitelesítés technikai nehézségeinek csökkenése magával vonja-e a követelmények szigorítását az alacsony kockázatú platformok esetében is? Még égetőbb kérdés az online platformokon kívüli világ, különösen a kifejezetten felnőtt tartalmakat (pl. pornográfia, szerencsejáték) kínáló oldalak sorsa: várható-e, hogy az EU – látva a megoldás működőképességét – ezekre is előír életkor-igazolási kötelezettséget, végleg lezárva az egyszerű, de könnyen kijátszható önbevallások korszakát?
A cikk megírásában közreműködött: Lőrincz Nyeste