Закони про верифікацію віку будують глобальну мережу стеження
Закони про верифікацію віку поширюються у Сполучених Штатах, Великій Британії та Бразилії під заявленою метою захисту неповнолітніх в інтернеті. Однак детальне технічне розслідування проєкту TBOTE стверджує, що інфраструктура, яка створюється для дотримання цих законів, функціонує як щось значно ширше: транскордонна біометрична система стеження з нерозкритими обробниками даних, прихованою телефонною автентифікацією та модулями звітування перед урядом, вбудованими безпосередньо в код.
Розслідування, оновлене в квітні 2026 року, ґрунтується на аналізі DNS, декомпіляції SDK, журналах прозорості сертифікатів, записах корпоративних реєстрів та поданнях до SEC EDGAR. Усі наведені джерела є загальнодоступними.
Зв'язок Тіля: один інвестор, два боки конвеєра даних
Одна з ключових структурних знахідок розслідування стосується Пітера Тіля. Тіль є співзасновником Palantir Technologies — компанії, що продає аналітику стеження урядам і корпораціям по всьому світу. Його венчурний капітальний фонд Founders Fund також є основним інвестором у Persona — компанії з верифікації особистості, SDK якої вбудований у платформи від Roblox до Robinhood.
Проєкт TBOTE описує це як зв'язок «збору та аналізу»: той самий фінансовий стейкхолдер отримує вигоду як від захоплення біометричних ідентифікаційних даних, так і від подальшої аналітики, що виконується на основі цих даних. Розслідування не стверджує про координацію між Persona та Palantir на рівні продуктів, проте документує спільну структуру власності як суттєвий факт, який не розкривається користувачам, що взаємодіють із потоками верифікації Persona.
Витоклий вихідний код Persona, розглянутий у рамках розслідування, нібито містить 269 перевірок верифікації, 43 типи верифікації та модулі звітування перед урядом, розроблені для FinCEN та FINTRAC — підрозділів фінансової розвідки США та Канади відповідно.
Що показав технічний аналіз
Частина розслідування, присвячена декомпіляції SDK, виявила кілька конкретних фактів, що виходять за межі стандартних проблем конфіденційності.
У SDK Persona було виявлено жорстко закодований ключ шифрування AES. Ключ було змінено у версії 1.15.3 після розкриття цієї інформації, що свідчить про підтвердження та усунення проблеми. У SDK також була відсутня прив'язка сертифікатів — стандартний захід безпеки, що запобігає перехопленню даних під час передачі за схемою «людина посередині».
Під час стандартного сеансу верифікації одночасно працювали сім аналітичних служб. Було встановлено, що Telesign — компанія, більшою частиною якої володіє Proximus, бельгійський державний телекомунікаційний оператор, — здійснює приховану мережеву автентифікацію без повідомлення користувача. Також було виявлено верифікацію телефону на рівні оператора через Vonage без явного відома користувача.
Компонент розпізнавання облич у системі Persona забезпечує Paravision — компанія, що посіла перше місце в оцінюванні точності біометрії Департаменту внутрішньої безпеки. За даними розслідування, Paravision не фігурує на сторінці публічно розкритих субобробників Persona. Проєкт TBOTE ідентифікував 12 обробників даних, яких він описує як нерозкритих.
Перелік субдоменів withpersona.com виявив 197 субдоменів, зокрема 65 тестових середовищ, що розкривали внутрішні служби машинного навчання, графову базу даних, ідентифіковану як TigerGraph, та шлюз до AAMVA — Американської асоціації адміністраторів автотранспорту, яка управляє даними водійських посвідчень у штатах США.
У розслідуванні також задокументовано, що LinkedIn одночасно використовує чотири окремі постачальники верифікації особистості, а поряд із цим — те, що описується як паралельний китайський стек стеження в тому самому Android APK, включно з інтеграцією соціального рейтингу Sesame Credit, автентифікацією оператора ShanYan та державними ідентифікаторами пристроїв.
Було виявлено, що Roblox — платформа з великою кількістю юних користувачів — вбудовує повний SDK Persona, включно з функціональністю зчитування паспортів через NFC, у потік верифікації, з якого користувачі нібито не можуть вийти без його завершення.
Що це означає для вас
Розслідування проєкту TBOTE не стверджує, що верифікація віку сама по собі є незаконною. Його аргумент конкретніший: інфраструктура, що створюється для впровадження верифікації віку, має технічні можливості та структури власності, що значно виходять за межі будь-якого окремого випадку обмеження доступу за віком.
Для звичайних користувачів інтернету це означає, що виконання запиту на верифікацію віку на ігровій платформі, соціальній мережі або сайті для дорослих може передбачати обробку біометричних даних кількома нерозкритими третіми сторонами, автентифікацію на рівні оператора без видимого повідомлення, а також передачу даних у системи з функціями звітування перед урядом.
Законодавчі мандати більш ніж у 25 штатах США, Бразилії та Великій Британії створюють те, що розслідування називає «обов'язковим ринком» для цих послуг. У звіті зазначається, що Meta витратила 26,3 мільйона доларів на лобіювання у зв'язку з цим законодавством. База даних Serpro Бразилії, що містить записи приблизно про 220 мільйонів бразильських громадян, визначається як частина інфраструктурного середовища, в якому функціонують ці системи верифікації.
Конвергенція верифікації особистості з інфраструктурою агентів штучного інтелекту позначена як нова проблема. Розслідування припускає, що верифікація особистості позиціонується як обов'язкова умова участі в автоматизованих інтернет-транзакціях загалом, а не лише для контенту з віковими обмеженнями.
Практичні висновки
Читачі, які хочуть зрозуміти свою залученість до цієї інфраструктури, можуть зробити кілька практичних кроків.
По-перше, перегляньте політики конфіденційності та розкриття інформації про субобробників на будь-якій платформі, яка просила вас пройти верифікацію особистості. Зверніть увагу, чи вказані постачальники розпізнавання облич та служби автентифікації оператора.
По-друге, майте на увазі, що «верифікація віку» на платформі не означає, що ваші дані залишаються на цій платформі. Верифікація на основі SDK передає дані через сторонні системи ідентифікації, кожна з яких має власні практики зберігання та обміну даними.
По-третє, стежте за законодавчими змінами у вашій юрисдикції. Закони, що вимагають верифікації віку, створюють юридичні зобов'язання для платформ, які, своєю чергою, стимулюють впровадження інфраструктури, описаної в цьому розслідуванні. Розуміння того, що вимагає ваш штат або країна, є важливим для розуміння того, які дані вас можуть зобов'язати надати для використання певних онлайн-сервісів.
Повне розслідування проєкту TBOTE, включно з методологією та вихідними документами, є загальнодоступним. Результати є одним із найбільш технічно детальних публічних аналізів індустрії верифікації віку на сьогодні, а питання, які воно порушує щодо розкриття інформації, потоків даних та структурних конфліктів інтересів, регулятори, журналісти та дослідники конфіденційності, ймовірно, продовжуватимуть вивчати.
