उम्र पुष्टि का जाल: आयु सत्यापन सभी उपयोगकर्ताओं के डेटा संरक्षण को कमजोर करता है

 (spectrum.ieee.org)
2 पॉइंट द्वारा GN⁺ 2026-02-24 | 1 टिप्पणियां | WhatsApp पर शेयर करें
  • पूरे समाज में social media पर उम्र सीमा कड़ी करने की कोशिशें बढ़ रही हैं, लेकिन वास्तविक आयु सत्यापन अनिवार्य रूप से व्यक्तिगत डेटा के संग्रह और भंडारण की मांग करता है
  • प्लेटफ़ॉर्म आम तौर पर दो तरीकों पर निर्भर करते हैं: ID-आधारित verification या AI face estimation; इस प्रक्रिया में false positives, गलत निर्णय और data leak का जोखिम पैदा होता है
  • Meta, TikTok, Google, Roblox जैसी बड़ी कंपनियाँ पहले से ही अलग-अलग age estimation systems अपना चुकी हैं, लेकिन बार-बार verification और malfunction के कारण उपयोगकर्ताओं की असुविधा बढ़ रही है
  • ऐसे सिस्टम आधुनिक data protection law के बुनियादी सिद्धांतों—न्यूनतम संग्रह, purpose limitation, और storage period limitation—से टकराते हैं, और खासकर विकासशील देशों में निगरानी बढ़ाने का कारण बनते हैं
  • लेख बच्चों की सुरक्षा और privacy protection के बीच संतुलन की कमी की ओर इशारा करता है और चेतावनी देता है कि age verification अंततः पूरे इंटरनेट की identity और access structure को फिर से गढ़ रहा है

आयु सत्यापन से पैदा होने वाली तकनीकी दुविधा

  • समाज social media को जुआ और शराब जैसी regulated category की तरह देखने लगा है, और 13 या 16 वर्ष से कम आयु के उपयोग पर रोक की दिशा में बढ़ रहा है
  • लेकिन वास्तविक उम्र साबित करने के लिए व्यक्तिगत पहचान डेटा का संग्रह करना पड़ता है, और उसे साबित बनाए रखने के लिए डेटा को लंबे समय तक सुरक्षित रखना पड़ता है
  • नतीजतन, कड़े age regulations privacy protection को कमजोर करने वाला एक संरचनात्मक विरोधाभास पैदा करते हैं

आयु सत्यापन के प्रमुख तरीके

  • पहला, ID-आधारित verification: सरकार द्वारा जारी ID, digital identity, या अन्य दस्तावेज जमा करने की मांग
    • कुछ क्षेत्रों में किशोरों के पास ID नहीं होती, या उसका digital रूप पर्याप्त विकसित नहीं होता
    • ID की कॉपी को संग्रहीत करना security और misuse risk पैदा करता है
  • दूसरा, inference-based verification: उपयोगकर्ता के व्यवहार, device signals, और face recognition AI आदि के आधार पर उम्र का अनुमान लगाना
    • इसमें probabilistic errors होते हैं, इसलिए यह accuracy की जगह गलत निर्णय की संभावना साथ लाता है
  • व्यवहार में अक्सर दोनों तरीकों को मिलाकर self-declaration → AI estimation → ID verification जैसा क्रमिक ढांचा अपनाया जाता है

प्रमुख प्लेटफ़ॉर्म पर लागू होने के उदाहरण

  • Meta(Instagram): third-party partner के जरिए video selfie आधारित facial age estimation लागू
    • नाबालिग होने का संदेह होने पर account restricted या locked हो सकता है, और appeal करने पर अतिरिक्त verification की ज़रूरत पड़ती है
  • TikTok: सार्वजनिक वीडियो के विश्लेषण से उम्र का अनुमान
  • Google/YouTube: viewing history और activity के आधार पर अनुमान, और अनिश्चितता होने पर ID या credit card जमा करने की मांग
  • Roblox: AI age estimation system लागू होने के बाद बच्चों के account की खरीद-फरोख्त और misuse के मामले सामने आए
  • उपयोगकर्ताओं के लिए age verification एक बार की प्रक्रिया नहीं बल्कि बार-बार होने वाली verification process में बदल रही है

सिस्टम विफलता और privacy risk

  • False positives: वयस्क उपयोगकर्ताओं को नाबालिग मानकर उनका account lock कर दिया जाना
  • छूट जाना: किशोर VPN या किसी और की ID से verification से बच निकलते हैं
  • appeal process के दौरान प्लेटफ़ॉर्म को biometric data, ID images, और logs लंबे समय तक सहेजने पड़ते हैं, जिससे data breach risk भीतर ही भीतर बना रहता है
  • लाखों उपयोगकर्ताओं के स्तर पर यह ढांचा प्लेटफ़ॉर्म संचालन में ही privacy risk को built-in बना देता है

data protection law से टकराव

  • आधुनिक data protection principles न्यूनतम आवश्यक संग्रह, सीमित उद्देश्य, और सीमित retention period पर आधारित हैं
  • लेकिन age verification के लिए logs का संरक्षण, साक्ष्यों को बनाए रखना, और लगातार monitoring चाहिए, जो इन सिद्धांतों से टकराता है
  • regulator आम तौर पर “कम डेटा इकट्ठा किया गया” जैसे दावों को आसानी से स्वीकार नहीं करते, इसलिए कंपनियाँ litigation risk से बचने के लिए और अधिक डेटा संग्रह की ओर बढ़ती हैं

विकासशील देशों में बढ़ती निगरानी

  • ब्राज़ील: बच्चों और किशोरों की सुरक्षा कानून(ECA) और data protection law साथ-साथ मौजूद
    • पहचान अवसंरचना असमान होने से facial estimation और third-party verification vendors पर निर्भरता बढ़ती है
  • नाइजीरिया: आधिकारिक ID की कमी के कारण behavior analysis, biometric inference, और विदेशी verification services का उपयोग
    • इससे data flow बढ़ता है और उपयोगकर्ता का नियंत्रण कमजोर होता है
  • जिन देशों की प्रशासनिक क्षमता कम होती है, वहाँ age verification का परिणाम अक्सर अधिक निगरानी के रूप में सामने आता है

regulatory enforcement से पैदा होने वाला दुष्चक्र

  • अस्पष्ट “reasonable measures” मानक समय के साथ और अधिक दखल देने वाले उपायों में बदलते जाते हैं
  • बार-बार face scan, ID checks, और long-term log retention standard procedure बनकर जम जाते हैं
  • कम दखल देने वाला design regulatory compliance की क्षमता की कमी मान लिया जाता है और पीछे छूट जाता है
  • यह प्रक्रिया पहले online sales tax tracking systems में लगातार transaction logs की मांग बनने जैसी है

टाले गए विकल्प और संरचनात्मक समस्या

  • समस्या बच्चों की सुरक्षा नहीं, बल्कि trade-off से इनकार है
  • privacy-preserving age proof (जैसे सरकार या third party की मध्यस्थता) भी ID न रखने वालों की समस्या हल नहीं कर पाता
  • कुछ देशों में ID जारी करने की उम्र social media उपयोग की अनुमत उम्र से अधिक है, इसलिए या तो वैध उपयोगकर्ताओं को बाहर करना पड़ता है या सबकी व्यापक निगरानी करनी पड़ती है
  • अभी कंपनियाँ कानूनी जोखिम को न्यूनतम करने को प्राथमिकता देने वाले सिस्टम बनाकर जवाब दे रही हैं
  • नतीजतन, age restriction laws पूरे इंटरनेट की identity, privacy, और access structure को फिर से गढ़ रहे हैं

निष्कर्ष

  • age verification का जाल सिर्फ तकनीकी error नहीं है, बल्कि यह वह संरचना है जो तब अनिवार्य रूप से पैदा होती है जब regulation उम्र-आधारित enforcement को अनिवार्य बना दे और privacy को वैकल्पिक मान ले
  • बच्चों की मज़बूत सुरक्षा के नाम पर बनी नीतियाँ सभी उपयोगकर्ताओं के data protection framework को कमजोर करने का यह विरोधाभास उजागर करती हैं

संबंधित पढ़ाई

1 टिप्पणियां

 
GN⁺ 2026-02-24
Hacker News की राय

  • ऐसा लगता है कि हम बच्चों द्वारा देखी जाने वाली सामग्री के लिए माता-पिता की जिम्मेदारी तय नहीं करना चाहते
    अमेरिका में नाबालिगों को शराब, बंदूक या तंबाकू देने पर सज़ा होती है, लेकिन इंटरनेट पर मानो ऐसी सामाजिक जिम्मेदारी गायब हो गई है
    अगर बच्चों की रक्षा करनी है, तो निगरानी-राज्य बनाने के बजाय माता-पिता को मजबूत मॉनिटरिंग टूल्स दिए जाने चाहिए ताकि वे खुद नियंत्रण कर सकें
    आखिरकार बच्चों की रक्षा करना मूल रूप से माता-पिता की ही भूमिका है

    • कभी-कभी समझ नहीं आता कि सच में आज़ादी के पक्ष में कौन है
      internet का वादा तो newsfeed और बड़ी कंपनियों की वजह से पहले ही टूट चुका है
      ऐसे दस्तावेज़ भी हैं जिनसे पता चलता है कि Facebook के अधिकारियों ने बच्चों को और अधिक लती बनाने के तरीकों पर विचार किया था
      ऐसी स्थिति में मेरा रुख यह है कि “निगरानी-राज्य से भी Nanny Zuck ज़्यादा नापसंद है”
    • मैं माता-पिता को मजबूत टूल्स देने वाली बात से सहमत हूँ, लेकिन व्यवहार में यह बहुत कठिन है
      मैं अपने 7 साल के बच्चे के साथ YouTube block युद्ध में हूँ; उसने DNS block पार कर लिया, proxy इस्तेमाल किया, और अब Firefox के DNS-over-HTTPS से भी बच निकलता है
      आखिर में मैं सिर्फ policy से रोक पा रहा हूँ। माता-पिता के लिए टूल्स बहुत कमजोर हैं
    • जैसे माता-पिता पर शराब/तंबाकू की बिक्री रोकने की सामाजिक जिम्मेदारी होती है, वैसे ही अगर कंपनियाँ स्कूलों में ऐसी चीज़ें बेचें तो उन्हें कौन रोकेगा, यह भी सवाल है
    • माता-पिता के नज़रिए से देखें तो बच्चे की internet access को बारीकी से नियंत्रित करना अनंत खामियों की लड़ाई है
      स्कूल से दिए गए devices पर भी कमजोर नियंत्रण लगे होते हैं, और बच्चे आपस में bypass तरीके साझा करते हैं
    • मैं internet और SNS regulation के पक्ष में हूँ, लेकिन सारी जिम्मेदारी माता-पिता पर डालना अवास्तविक लगता है
      भले ही माता-पिता तकनीकी रूप से रोक सकें, समाज पूरा का पूरा Nash equilibrium में फँसा हुआ है
      सबके पास फोन है, इसलिए अगर किसी के पास न हो तो वह सामाजिक रूप से अलग-थलग पड़ जाता है
      अंततः सामुदायिक समन्वय की जरूरत है, और सरकार न भी हो तो स्थानीय स्तर पर सहयोग आदर्श होगा

  • मैं यूरोप के zero-knowledge proof आधारित identity wallet सिस्टम पर काम कर रहा हूँ
    पासपोर्ट से केवल “18 वर्ष से अधिक” वाला attribute निकालकर गुमनाम तरीके से उम्र साबित की जाती है
    अगर आप सरकार द्वारा जारी ID पर भरोसा करते हैं, तो व्यक्तिगत जानकारी उजागर किए बिना सिर्फ उम्र verify की जा सकती है
    यह तरीका EU की inactive account deletion policy जैसी चीज़ों के साथ मिलकर एक व्यावहारिक समाधान बन सकता है

    • लेकिन EU Identity Wallet के दस्तावेज़ देखें तो, व्यवहार में यह बहुत ही दखल देने वाली संरचना है
      3 महीने की expiry वाले 30 tokens जारी किए जाते हैं, और GooglePlay Services install करना अनिवार्य है
      token tracking और privacy उल्लंघन को लेकर गंभीर आपत्तियाँ GitHub पर उठाई गई हैं, लेकिन उन्हें नज़रअंदाज़ किया जा रहा है
    • यह सवाल है कि क्या ID को server पर भेजे बिना उम्र साबित की जा सकती है
      अगर सब कुछ client पर ही हो, तो forgery संभव है; और अगर server पर भेजें, तो anonymity को नुकसान पहुँचता है
      अंततः सरकार की attestation चाहिए, और उसी प्रक्रिया में tracking पैदा होती है
      ऐसे सिस्टम आखिरकार “बुरे लोगों को रोकने” के नाम पर अपारदर्शी निगरानी तक पहुँचते हैं
    • यह भी जानना चाहूँगा कि क्या ऐसे सिस्टम में offline verification संभव है
      अगर सरकार central DB चलाती है, तो आखिरकार token के जरिए उपयोगकर्ताओं को track किया जा सकता है
    • zero-knowledge proof सुधार तो है, लेकिन फिर भी trust की समस्या बनी रहती है
      web access के लिए सरकारी wallet से login करना gatekeeping है
      व्यवहार में यह सिर्फ device authentication करता है, स्क्रीन के सामने बैठा व्यक्ति कौन है यह नहीं जानता
      अंत में यह Net Nanny के दौर की तरह bypass हो जाएगा
      मुझे लगता है कि अमेरिका को इस EU model का अनुसरण नहीं करना चाहिए
    • कुछ देशों का इरादा शुरू से ही face scan को दूसरे उद्देश्यों के लिए इस्तेमाल करने का है, सुरक्षा में उनकी कोई दिलचस्पी नहीं है

  • मुझे लगता है कि लेख की मूल धारणा ही गलत है
    “उम्र साबित करने के लिए व्यक्तिगत जानकारी इकट्ठा करनी ही होगी” — यह मान्यता निगरानी को वैध ठहराती है
    उल्टा, अगर कानून से व्यक्तिगत जानकारी संग्रह पर रोक स्पष्ट कर दी जाए, तो zero-knowledge proof जैसे विकल्प आगे बढ़ेंगे
    अगर शुरुआत से ही कहा जाए कि “privacy का उल्लंघन किए बिना यह असंभव है”, तो बात आखिरकार उल्लंघन की दिशा में ही जाएगी

  • माता-पिता का बच्चों को unlock किया हुआ account दे देना, या बच्चों का चोरी से इस्तेमाल करना, बहुत आम है
    इसे आपराधिक दंड देने से भी खास असर नहीं होगा, और अंततः सांस्कृतिक बदलाव की जरूरत है
    अगर ऐसा बदलाव आ जाए, तो नाबालिगों के लिए केवल whitelist आधारित devices की अनुमति देकर समस्या हल की जा सकती है

    • लेकिन एक माता-पिता के रूप में मैं ऐसा एकमुश्त block नहीं चाहता
      “age-appropriate” जैसी अवधारणा ही अपमानजनक लगती है
      मेरा मानना है कि बच्चे से बातचीत करके उसे खुद निर्णय लेना सिखाना चाहिए
      आखिरकार age verification सरकार और कंपनियों के नियंत्रण को मजबूत करने का साधन भर है
    • अगर anonymous ID verification हो भी, तो बच्चे अपने दोस्तों या माता-पिता की ID से verify कर लेंगे
      पहले content block तोड़ना गर्व की बात माना जाता था; अब यह मान लेना कि बच्चे चुपचाप कानून मान लेंगे, भोली सोच है
    • internet की कोई सीमा नहीं होती, इसलिए कोई भी देश age verification law बना ले, दूसरे देशों के servers के जरिए bypass संभव है
      porn industry को झटका लग सकता है, लेकिन पूरी तरह रोकना असंभव है
    • मेरे अनुभव में बच्चा YouTube पर age-restricted account से logout करके बिना restriction वाला content देख लेता है
      logout की स्थिति में content rating आखिर होती क्या है, यह जानने की जिज्ञासा है
    • एक ऐसे standard की जरूरत है जहाँ websites खुद content rating बताएं, और devices उसी rating के आधार पर block करें

  • पहले जब मैंने बच्चों के educational app बनाए थे, तब age verification की समस्या आई थी
    माता-पिता के SSN के कुछ हिस्से पूछने पड़े, या COPPA verification service का इस्तेमाल करना पड़ा, लेकिन इससे signup process जटिल हो गई
    आखिरकार यह security और user experience के trade-off का मामला है

  • age verification अगर करनी ही है, तो इसे device स्तर पर करना चाहिए
    अगर माता-पिता बच्चे के browser को ‘minor mode’ में सेट कर दें, तो websites को बस वही signal मानना चाहिए
    service provider को ID store करने की जरूरत नहीं होगी

    • यह तरीका काफी उचित लगता है। सोच रहा हूँ कि क्या इसमें कोई ऐसी कमी है जो मैं नहीं देख पा रहा

  • अगर लक्ष्य बच्चों की रक्षा है, तो ID verification के अलावा भी तरीके हैं
    उदाहरण के लिए, बच्चों को लक्षित targeted advertising या addictive content को गैरकानूनी बना दिया जाए, और इसे मंजूरी देने वाले अधिकारियों को दंडित किया जाए

    • लेकिन ऐसा होने पर कंपनियाँ उल्टा age verification और मजबूत करेंगी
      क्योंकि उन्हें बच्चों की पहचान करनी होगी ताकि वे ऐसे विज्ञापनों से बच सकें
    • अंततः दंड से बचने के लिए ID verification लागू की जाएगी
    • बड़ी कंपनियाँ पहले से ही कानूनी जिम्मेदारी से बचने का infrastructure बना चुकी हैं
      बिना दस्तावेज़ वाले निर्देश तंत्र और विशाल internal communication के जरिए वे जिम्मेदारी का पता लगाना असंभव बना देती हैं
      ऐसी संरचना में कंपनियों को वास्तव में दंडित करना लगभग असंभव है
    • Facebook fraud ads तक नहीं रोक पाता, इसलिए उससे बच्चों की रक्षा की उम्मीद करना मुश्किल है

  • किसी सिस्टम का उद्देश्य उसके परिणामों से प्रकट होता है
    मौजूदा age verification का रुझान मूल रूप से data protection को कमजोर करना है
    जब पश्चिमी सरकारें एक साथ आगे बढ़ती दिखती हैं, तो लक्ष्य online anonymity हटाना लगता है
    बच्चों की सुरक्षा तो सिर्फ बहाना है, असली उद्देश्य राजनीतिक नियंत्रण और सूचना प्रवाह का प्रबंधन दिखता है

    • इसमें मुनाफे की प्रेरणा भी है
      age verification कंपनियाँ अनिवार्यता के लिए lobbying कर रही हैं, और privacy उल्लंघन से पैसा कमा रही हैं
    • बेशक, हर सिस्टम के परिणाम को उसकी मंशा नहीं कहा जा सकता
      यह सिर्फ अक्षम कार्यान्वयन भी हो सकता है
    • लेकिन बहुत-सी चर्चाएँ सिर्फ तकनीकी समाधान पर केंद्रित रहती हैं और power structure की समस्या को नज़रअंदाज़ करती हैं
    • Adam Smith के शब्द याद आते हैं: “एक ही उद्योग के लोग जब मिलते हैं, तो अंततः जनहित के खिलाफ षड्यंत्र पर पहुँच जाते हैं”
    • फिर भी हर परिणाम को साजिश मान लेना अतिशयोक्ति है
      design और execution के बीच अपरिहार्य अंतर भी होता है

  • व्यक्तिगत devices में encrypted identity और age जानकारी रखी जानी चाहिए, और services को उसे cryptographically verify करना चाहिए
    जैसे iPhone, DoorDash को Face ID की तरह यह साबित करे कि उपयोगकर्ता “21+” है
    समस्या यह है कि ऐसे standardized cryptographic infrastructure को अपनाने की गति और कंपनियों का उस पर भरोसा कैसा होगा

    • लेकिन असली लक्ष्य age verification नहीं बल्कि anonymity हटाना है
      identity जानकारी को न्यूनतम रखना उनके लक्ष्य के बिलकुल विपरीत है
    • ISO/IEC 18013-5 standard mobile driving licence (mDL) के जरिए सिर्फ उम्र साबित करने की सुविधा देता है
    • जर्मनी का electronic ID भी NFC के जरिए app से जुड़ता है और सिर्फ उम्र verify करता है, बाकी जानकारी उजागर नहीं करता
    • अच्छा होगा अगर ऐसे सिस्टम जल्दी अपनाए जाएँ
      जैसा मैंने अपनी ब्लॉग पोस्ट में लिखा है, इससे bots के बिना human-centric SNS संभव हो सकता है
    • लेकिन कुछ लोगों का मानना है कि “सबको वयस्क मान लेना चाहिए”
      internet मूल रूप से नियंत्रित न किया जा सकने वाला network है, इसलिए बच्चों की पहुँच रोकना ही व्यावहारिक तरीका है
      “बच्चों की रक्षा” के नाम पर सूचना-नियंत्रण वाला समाज बनाना खतरनाक है

  • यह दावा कि “verification के लिए data स्थायी रूप से रखना ही होगा” गलत है
    iDIN(idin.nl) जैसे third party सिर्फ उम्र की पुष्टि करके “18+” marker छोड़ दें, तो वह काफी है

    • लेकिन identity जानकारी के उजागर, store और दुरुपयोग होने की संभावना पहले से बहुत अधिक है
      चाहे सरकार या कंपनी की मंशा अच्छी हो, इसे रोकने की ताकत उनके पास नहीं है
    • यह साबित करने का कोई तरीका नहीं कि कंपनियाँ data store नहीं कर रही हैं
      इसलिए एकमात्र समाधान वही है जिसमें data device के बाहर जाए ही नहीं
    • लेकिन कानूनी verification में ऐसे तरीके को सबूत के रूप में मान्यता नहीं मिलती
      क्योंकि यह साबित करने का कोई तरीका नहीं होता कि platform ने वास्तव में उम्र verify की थी या नहीं