Weryfikacja wieku w internecie: polski projekt ustawy o ochronie małoletnich na tle światowych standardów

Weryfikacja wieku w internecie: polski projekt ustawy o ochronie małoletnich na tle światowych standardów

2026-06-12

Weryfikacja wieku w internecie przestała być postulatem organizacji chroniących dzieci, a stała się twardym obowiązkiem prawnym – najpierw w Wielkiej Brytanii, Francji i Niemczech, a wkrótce także w Polsce. Projekt ustawy o ochronie małoletnich przed dostępem do treści pornograficznych w internecie w ostatecznej wersji z etapu prac Rady Ministrów, datowanej na 2 czerwca 2026 r., wpisuje Polskę w globalny ruch regulacyjny, który w ciągu zaledwie trzech lat objął kilkadziesiąt jurysdykcji na czterech kontynentach. Era okienka „kliknij, jeśli masz 18 lat” dobiega końca – i to nie metaforycznie, lecz literalnie: polski projekt wprost zakazuje samodeklaracji wieku jako mechanizmu weryfikacji.

Pytanie, które warto postawić, nie brzmi już „czy regulować”, lecz „jak Polska reguluje na tle świata”. Odpowiedź jest ciekawsza, niż mogłoby się wydawać. Polski projekt jest proceduralnie staranny i technologicznie otwarty, a jednocześnie w trzech punktach – wysokości kar, standardzie prywatności i narzędziach egzekucji wobec gigantów branży – odstaje od najbardziej zaawansowanych reżimów. Poniższa analiza zestawia projektowaną ustawę z brytyjskim Online Safety Act i wytycznymi Ofcom, francuskim standardem podwójnej anonimowości Arcom, niemiecką listą KJM, włoskim modelem AGCOM, wytycznymi Komisji Europejskiej do art. 28 DSA oraz rozwiązaniami pozaeuropejskimi – od orzeczenia Sądu Najwyższego USA w sprawie Free Speech Coalition v. Paxton po brazylijski Digital ECA.

 

Globalny zwrot regulacyjny: koniec epoki checkboxa

Skala problemu, na który odpowiadają ustawodawcy, jest dobrze udokumentowana. Badania przywoływane przez brytyjskiego regulatora wskazują, że 8% dzieci w wieku 8–14 lat odwiedziło stronę lub aplikację pornograficzną w ciągu jednego miesiąca. Polskie uzasadnienie projektu powołuje się na badania NASK-PIB, z których wynika, że 32,8% pierwszych kontaktów małoletnich z pornografią ma charakter przypadkowy – dziecko nie szuka tych treści, lecz na nie trafia. To rozróżnienie, jak zobaczymy, ma fundamentalne znaczenie dla oceny skuteczności wybranych przez polskiego ustawodawcę narzędzi.

Wspólny mianownik regulacji uchwalonych między 2022 a 2026 rokiem jest trojaki. Po pierwsze, odpowiedzialność za uniemożliwienie małoletnim dostępu zostaje przeniesiona z rodziców na operatorów serwisów – kontrola rodzicielska i edukacja, choć pożądane, zostały uznane za niewystarczające. Po drugie, samodeklaracja wieku zostaje powszechnie zdyskwalifikowana: wyklucza ją brytyjski Online Safety Act 2023, francuska loi SREN, niemiecki JMStV, włoska uchwała AGCOM, wytyczne Komisji Europejskiej do art. 28 DSA i – w art. 4 ust. 1 – polski projekt. Po trzecie, regulatorzy żądają mechanizmów technicznie wiarygodnych, audytowalnych i jednocześnie oszczędnych w przetwarzaniu danych, bo weryfikacja wieku z natury dotyka najbardziej wrażliwych kategorii danych: dokumentów tożsamości, biometrii i historii przeglądania.

Symboliczne domknięcie tego zwrotu nastąpiło 27 czerwca 2025 r., gdy Sąd Najwyższy USA w sprawie Free Speech Coalition v. Paxton stosunkiem głosów 6:3 utrzymał w mocy teksańską ustawę HB 1181, przesądzając, że obowiązek weryfikacji wieku przed dostępem do treści pornograficznych nie narusza Pierwszej Poprawki. Konstytucyjna tama, która w 2004 r. zatrzymała federalny Child Online Protection Act, pękła – i dziś już co najmniej 25 stanów USA ma własne ustawy o weryfikacji wieku.

 

Projekt ustawy o ochronie małoletnich przed dostępem do treści pornograficznych w internecie

Projektowana ustawa przejmuje konstrukcję jurysdykcyjną znaną z aktu o usługach cyfrowych: zgodnie z art. 1 ust. 2 stosuje się ją do usługodawców świadczących usługi drogą elektroniczną usługobiorcom znajdującym się na terytorium Rzeczypospolitej Polskiej, niezależnie od miejsca prowadzenia działalności przez tych usługodawców. Wyłączono usługi komunikacji interpersonalnej niewykorzystujące numerów (prywatną korespondencję), co chroni komunikatory przed obowiązkiem skanowania rozmów; odrębny przepis art. 3 ust. 2 zwalnia z obowiązku weryfikacji przedsiębiorców telekomunikacyjnych w zakresie samej transmisji danych, dostępu do internetu i telefonii.

Charakterystyczne – i przemyślane – jest to, czego w projekcie nie ma: definicji treści pornograficznych. Ustawodawca świadomie pozostawił to pojęcie ocenie organów i sądów, podążając za utrwaloną linią orzeczniczą Sądu Najwyższego (m.in. wyrok z 23 listopada 2010 r., IV KK 173/10), zgodnie z którą kwalifikacja treści jako pornograficznych jest funkcją sądu, a nie biegłego. To podejście odmienne od amerykańskiego, gdzie ustawy stanowe operują progiem ilościowym – teksańska HB 1181 obejmuje serwisy, w których ponad jedna trzecia treści jest „szkodliwa dla małoletnich”. Polski model jest elastyczniejszy, ale przerzuca ciężar interpretacyjny na praktykę stosowania prawa.

 

Obowiązek weryfikacji wieku i zakaz samodeklaracji

Rdzeń normatywny ustawy mieści się w dwóch zwięzłych przepisach. Art. 3 ust. 1 nakłada na usługodawcę umożliwiającego dostęp do treści pornograficznych obowiązek stosowania mechanizmu weryfikacji wieku i uniemożliwienia małoletnim dostępu do tych treści – to obowiązek rezultatu wsparty obowiązkiem starannego działania, nie zaś jedynie wdrożenia procedury. Art. 4 ust. 1 formułuje jedyny wymóg negatywny: mechanizm weryfikacji wieku nie może polegać na samodzielnej deklaracji wieku. Odpada zatem checkbox, przycisk „Wchodzę – mam 18 lat” oraz podanie daty urodzenia bez jakiegokolwiek potwierdzenia.

Jedyny wymóg pozytywny ma charakter przykładowy: art. 4 ust. 2 wskazuje, że mechanizmem weryfikacji wieku jest „w szczególności” elektroniczne poświadczenie atrybutu potwierdzającego wiek, udostępniane w ramach europejskiego portfela tożsamości cyfrowej na podstawie rozporządzenia eIDAS nr 910/2014 w brzmieniu po nowelizacji eIDAS 2. Katalog pozostaje otwarty – dopuszczalne są inne metody, o ile rzeczywiście ustalają pełnoletność. Co istotne, przedmiotem weryfikacji jest wyłącznie binarny atrybut „18+”, a nie tożsamość: ustawa nie wymaga, by serwis wiedział, kim jest użytkownik – tylko że jest dorosły.

Uzasadnienie projektu dostarcza wskazówek interpretacyjnych, które dla praktyki będą równie ważne jak sam tekst normatywny. Ustawodawca wprost przywołuje wytyczne brytyjskiego Ofcom z ich czterema kryteriami skuteczności (dokładność, solidność, niezawodność, bezstronność) oraz wytyczne Komisji Europejskiej do art. 28 DSA, sygnalizując zarazem, że w ministerstwach trwają prace nad krajowymi wymaganiami dla mechanizmów weryfikacji. Należy więc spodziewać się wytycznych lub aktu wykonawczego doprecyzowującego standard – a do tego czasu to właśnie dokumenty Ofcom i Komisji będą faktycznym punktem odniesienia.

 

Strony pornograficzne – rejestr domen i blokowanie DNS

Drugim filarem projektu jest niejawny rejestr nazw domen umożliwiających dostęp do treści pornograficznych bez uprzedniej weryfikacji wieku, prowadzony przez Prezesa UKE w systemie teleinformatycznym zapewniającym automatyczne przekazywanie wpisów dostawcom internetu. Dostawcy usługi dostępu do internetu mają obowiązek zablokować rozwiązywanie DNS wpisanej domeny w ciągu 48 godzin od wpisu, przekierować użytkowników na stronę informacyjną UKE oraz przywrócić dostęp w ciągu 48 godzin od wykreślenia. Konstrukcja jest wzorowana na rejestrze domen hazardowych z ustawy o grach hazardowych z 19 listopada 2009 r. oraz na rozwiązaniach ustawy z 28 lipca 2023 r. o zwalczaniu nadużyć w komunikacji elektronicznej. Niejawność rejestru ma prosty sens praktyczny: jawny wykaz byłby katalogiem adresów stron pornograficznych – czyli dokładnie tym, czego ustawa chce uniknąć.

Wpis do rejestru może nastąpić z urzędu, na skutek powszechnie dostępnego elektronicznego formularza zgłoszeniowego (każda osoba fizyczna, osoba prawna lub jednostka organizacyjna – także anonimowo, bo podanie danych identyfikacyjnych jest dobrowolne) albo z inicjatywy Przewodniczącego KRRiT. Przed wpisem z urzędu lub na podstawie zgłoszenia powszechnego Prezes UKE zasięga opinii NASK-PIB (dla usługodawców spoza sektora audiowizualnego) albo KRRiT (dla usług medialnych i platform wideo) – z siedmiodniowym terminem na stanowisko; tryb zgłoszenia z inicjatywy Przewodniczącego KRRiT obywa się bez tej opinii. W każdym z trybów Prezes UKE zawiadamia abonenta domeny, który ma dwa dni robocze na odpowiedź. Abonentowi przysługuje sprzeciw od wpisu, a w razie jego nieuwzględnienia – skarga do sądu administracyjnego. Ta sekwencja gwarancji proceduralnych wyróżnia polski projekt pozytywnie: niejedna zagraniczna regulacja blokowania domen jest pod tym względem znacznie oszczędniejsza.

 

Architektura instytucjonalna

Nadzór skonstruowano dwutorowo. Prezes UKE jest organem pierwszoplanowym: prowadzi rejestr, kontroluje, wydaje zalecenia pokontrolne i nakłada kary. NASK-PIB pełni rolę zaplecza eksperckiego – analizuje zagrożenia i publikuje ostrzeżenia, finansowany dotacją celową. KRRiT zachowuje władztwo nad krajowymi dostawcami audiowizualnych usług medialnych na żądanie i platform udostępniania wideo: jej opinia wiąże Prezesa UKE, a wobec podmiotów krajowych z tego sektora stosuje się reżim ustawy o radiofonii i telewizji, nie zaś przepisy karne projektowanej ustawy. Wybór UKE nie jest przypadkowy – uchwałą nr 67 Rady Ministrów z 13 maja 2025 r. organ ten został tymczasowo wyznaczony na koordynatora ds. usług cyfrowych (DSC) w rozumieniu DSA, co tworzy naturalną synergię kompetencyjną.

Na styku z ochroną danych osobowych projekt przewiduje mechanizm ostrożnościowy: jeżeli Prezes UKE poweźmie wątpliwości co do zgodności stosowanego mechanizmu weryfikacji wieku z przepisami o ochronie danych, niezwłocznie zawiadamia Prezesa UODO. Formalnej procedury współdziałania jednak nie ma – koordynacja pozostaje nieformalna, co odróżnia Polskę od Francji (gdzie CNIL współtworzyła standard techniczny) i Włoch (gdzie Garante uczestniczy w decyzjach).

 

Kary: milion złotych jako sufit

Art. 24 projektu przewiduje obligatoryjną karę pieniężną dla usługodawcy naruszającego art. 3 ust. 1 – w widełkach od 10 000 zł do 1 000 000 zł – oraz karę do 250 000 zł dla dostawcy internetu, który nie blokuje wpisanych domen; fakultatywna kara do 250 000 zł za utrudnianie kontroli grozi zarówno usługodawcy, jak i dostawcy internetu. Furtkę stanowi art. 189f Kodeksu postępowania administracyjnego, pozwalający odstąpić od wymierzenia kary. Uzasadnienie projektu otwarcie tłumaczy rezygnację z kar liczonych od obrotu trudnościami w ustaleniu przychodów usługodawców transgranicznych. Do tej decyzji – najbardziej dyskusyjnej w całym projekcie – wrócimy w części porównawczej.

 

Vacatio legis i przepis przejściowy, który nagradza wcześniejszych

Ustawa wchodzi w życie po upływie 12 miesięcy od ogłoszenia (art. 37). Trzeba przy tym pamiętać o jednym ograniczeniu kalendarzowym: projekt jako regulacja techniczna podlega notyfikacji Komisji Europejskiej w trybie dyrektywy 2015/1535, z co najmniej trzymiesięcznym okresem standstill. Realny horyzont pełnego obowiązywania to zatem – przy sprawnym przebiegu prac parlamentarnych – najwcześniej druga połowa 2027 r. To czas na wdrożenie etapowe, ale nie na ignorowanie tematu.

Na szczególną uwagę zasługuje art. 34: weryfikacja wieku dokonana przy pierwszym uzyskaniu przez usługobiorcę dostępu do danej usługi przed wejściem ustawy w życie zachowuje ważność, o ile została przeprowadzona zgodnie z jej przepisami. To elegancka zachęta do wcześniejszej, dobrowolnej zgodności – operator, który wdroży poprawny mechanizm już dziś, nie będzie musiał ponownie weryfikować zgromadzonej bazy użytkowników po wejściu ustawy w życie. Zarazem przepis ten zakłada – choć wprost nie przesądza – model weryfikacji jednorazowej, powiązanej z pierwszym dostępem do usługi, a nie powtarzanej przy każdej sesji. Jak zobaczymy, to założenie stawia Polskę w wyraźnym kontraście wobec Włoch i – co ciekawsze – wobec najnowszych wytycznych samej Komisji Europejskiej.

 

Światowe standardy weryfikacji wieku: przegląd porównawczy

Wielka Brytania: standard „highly effective age assurance” i wytyczne Ofcom

Wielka Brytania jest dziś światowym laboratorium weryfikacji wieku – także dlatego, że uczy się na własnym błędzie. Digital Economy Act 2017, pierwsza na świecie ustawa nakazująca weryfikację wieku przed dostępem do pornografii, została porzucona w 2019 r. przed wdrożeniem. Online Safety Act 2023 to podejście drugie, znacznie dojrzalsze: część 5 ustawy nakłada na każdy serwis komercyjnie udostępniający pornografię obowiązek stosowania „wysoce skutecznej” weryfikacji wieku (highly effective age assurance, HEAA) – od stycznia 2025 r. dla dedykowanych serwisów pornograficznych, a od 25 lipca 2025 r. dla wszystkich platform user-to-user i wyszukiwarek.

Sercem brytyjskiego modelu są wytyczne Ofcom z 24 kwietnia 2025 r., które polski projektodawca wprost wskazuje jako punkt odniesienia. Ofcom nie narzuca technologii – definiuje rezultat. Proces weryfikacji jako całość musi spełniać cztery kryteria: dokładność techniczną (poprawność ustalenia wieku w warunkach testowych, mierzoną m.in. wskaźnikami fałszywie pozytywnych i fałszywie negatywnych wyników), solidność (odporność na warunki rzeczywiste i łatwo dostępne dla dzieci metody obejścia), niezawodność (powtarzalność wyników i wiarygodność źródeł danych) oraz bezstronność (brak dyskryminujących odchyleń, testowanie na zróżnicowanych zbiorach danych). Do tego dochodzą zasady dostępności i interoperacyjności.

Ofcom publikuje też niewyczerpującą listę metod zdolnych do osiągnięcia standardu HEAA: open banking (bank potwierdza pełnoletność bez ujawniania daty urodzenia), dopasowanie dokumentu tożsamości ze zdjęciem do twarzy użytkownika (photo-ID matching), biometryczne szacowanie wieku z obrazu twarzy, weryfikacja przez operatora sieci komórkowej, karta kredytowa, estymacja na podstawie adresu e-mail oraz portfele tożsamości cyfrowej. Po drugiej stronie – metody z definicji niezdolne do skuteczności: samodeklaracja, karty debetowe (dostępne dla małoletnich) i postanowienia regulaminowe typu „serwis tylko dla dorosłych”.

Dwa elementy brytyjskiego podejścia zasługują na szczególną uwagę polskiego czytelnika, bo z dużym prawdopodobieństwem trafią do przyszłych polskich wytycznych. Pierwszy to challenge age: przy metodach estymacyjnych użytkownik oszacowany poniżej wieku granicznego powiększonego o bufor (np. 25 lat przy progu 18, przez analogię do sklepowej strategii „Challenge 25″) musi przejść drugą, dokładniejszą metodę weryfikacji. Drugi to obowiązek przeciwdziałania obchodzeniu zabezpieczeń: weryfikacja własności danych (kody jednorazowe, uwierzytelnianie wieloskładnikowe), detekcja żywotności (liveness detection) uniemożliwiająca podstawienie zdjęcia dorosłego, wykrywanie sfałszowanych dokumentów – oraz zakaz publikowania przez serwis treści zachęcających do użycia VPN.

Sankcje dopełniają obrazu: do 18 mln funtów albo 10% globalnego obrotu, w skrajnych przypadkach blokada przez dostawców internetu i odpowiedzialność karna menedżerów.

 

Francja: podwójna anonimowość jako standard prawny

Francja zbudowała najbardziej zaawansowany pod względem ochrony prywatności reżim na świecie. Na mocy loi SREN (ustawa 2024-449) i referencyjnego standardu Arcom, obowiązującego w pełni od 11 kwietnia 2025 r. (a od 7 czerwca 2025 r. rozszerzonego na serwisy z siedzibą w innych państwach UE), każdy serwis pornograficzny dostępny z Francji musi weryfikować wiek przed wyświetleniem jakiejkolwiek treści, wyłącznie za pośrednictwem prawnie i technicznie niezależnej strony trzeciej. Co najmniej jedna z oferowanych metod musi spełniać standard podwójnej anonimowości (double-blind): serwis nie zna tożsamości użytkownika, a dostawca weryfikacji nie wie, do jakiego serwisu trafia potwierdzenie. Metody zgodne z tym standardem muszą być dostępne dla co najmniej 80% dorosłej populacji Francji. Sankcje: do 150 000 euro albo 2% globalnego obrotu rocznego (kwota wyższa), a w trybie zaostrzonym – wobec podmiotów uporczywie niestosujących się do wezwań – do 4%, z możliwością blokady ISP w 48 godzin.

 

Niemcy: lista zatwierdzonych systemów i blokowanie płatności

Niemiecki Jugendmedienschutz-Staatsvertrag (JMStV) wymaga stosowania systemów weryfikacji wieku zatwierdzonych przez Komisję Ochrony Małoletnich w Mediach (KJM). Niemcy są jedyną jurysdykcją prowadzącą formalny, publikowany wykaz pozytywnie ocenionych systemów – od PostIdent przez upload dokumentu i kartę kredytową po biometryczne szacowanie wieku. Taka lista daje operatorom coś bezcennego: pewność prawną. Od grudnia 2025 r., po szóstej nowelizacji traktatu, niemieccy regulatorzy zyskali ponadto narzędzie odcinania przepływów płatniczych – banki i operatorzy płatności mogą zostać zobowiązani do blokowania transakcji na rzecz niezgodnych serwisów. To odpowiedź na scenariusz, w którym zablokowany DNS-owo serwis migruje pod nowe domeny: można uciec przed rejestrem, trudniej uciec przed odcięciem przychodów. Kary sięgają 500 000 euro.

 

Włochy: weryfikacja przy każdej sesji

Włoska uchwała AGCOM nr 96/25/CONS z kwietnia 2025 r., wykonująca tzw. dekret Caivano, weszła w fazę egzekucji 12 listopada 2025 r. wobec 48 imiennie wskazanych platform, a 15 kwietnia 2026 r. AGCOM wydał pierwsze nakazy blokowania domen. Model włoski wymaga dwuetapowego procesu (identyfikacja + uwierzytelnienie) realizowanego przez certyfikowaną stronę trzecią w standardzie podwójnej anonimowości – i, co najistotniejsze, przy każdej sesji, nie jednorazowo. Od lutego 2026 r. regulacja stosowana jest wprost także do dostawców z siedzibą w innych państwach członkowskich UE.

 

Unia Europejska: art. 28 DSA, wytyczne Komisji i mini-portfel

Na poziomie unijnym ramy wyznacza akt o usługach cyfrowych: art. 28 ust. 1 zobowiązuje platformy internetowe dostępne dla małoletnich do zapewnienia wysokiego poziomu prywatności, bezpieczeństwa i ochrony małoletnich, a wobec czterech największych serwisów pornograficznych (Pornhub, Stripchat, XNXX, XVideos) Komisja w czerwcu 2025 r. wszczęła formalne postępowania o naruszenie DSA przez brak weryfikacji wieku użytkowników.

Kluczowym dokumentem interpretacyjnym są wytyczne Komisji z 2025 r. w sprawie środków ochrony małoletnich na podstawie art. 28 ust. 4 DSA (C(2025) 6826 final). Komisja rozróżnia w nich trzy kategorie: weryfikację wieku (opartą na fizycznych identyfikatorach lub zweryfikowanych źródłach, dającą wysoki stopień pewności), szacowanie wieku (probabilistyczne) i samodeklarację – tę ostatnią uznając wprost za nieodpowiednią. Dla dostępu do jakichkolwiek treści pornograficznych wytyczne wskazują weryfikację wieku jako środek właściwy i proporcjonalny; szacowanie może pełnić rolę jedynie uzupełniającą lub przejściową, i to nie dłużej niż do pierwszego przeglądu wytycznych. Co więcej – i tu pojawia się napięcie z polskim art. 34 – Komisja stoi na stanowisku, że serwisy z treściami dla dorosłych nie powinny dopuszczać współdzielenia danych logowania, a w konsekwencji powinny przeprowadzać weryfikację przy każdym uzyskaniu dostępu do usługi.

Równolegle Unia buduje infrastrukturę techniczną. Unijne rozwiązanie weryfikacji wieku – tzw. mini-portfel – osiągnęło gotowość funkcjonalną 15 kwietnia 2026 r. i jest pilotażowo wdrażane m.in. w Danii, Francji, Grecji, Włoszech i Hiszpanii. Wydaje jednorazowe, kryptograficzne potwierdzenia „18+” w architekturze uniemożliwiającej śledzenie między serwisami: dostawca poświadczenia nie wie, gdzie użytkownik go używa, a serwis nie poznaje niczego poza faktem pełnoletności – w tym z wykorzystaniem dowodów z wiedzą zerową (zero-knowledge proofs). Docelowo funkcję tę przejmie europejski portfel tożsamości cyfrowej (EUDIW), który każde państwo członkowskie ma udostępnić obywatelom do końca 2026 r. To dokładnie ten instrument, który polski projekt wskazuje w art. 4 ust. 2 jako wzorcowy.

 

Poza Europą: Australia, Brazylia, Korea, Stany Zjednoczone

Australia po nowelizacji Online Safety Act 2021 wprowadziła od grudnia 2025 r. zakaz korzystania z mediów społecznościowych przez osoby poniżej 16 lat (do połowy grudnia 2025 r. platformy usunęły 4,7 mln kont małoletnich), a od 9 marca 2026 r. – branżowe kodeksy wymagające „odpowiednich środków zapewnienia wieku” dla serwisów pornograficznych, z karami do 49,5 mln dolarów australijskich. Brazylia uchwaliła Digital ECA (ustawa 15.211/2025) – najszerszą ustawę o ochronie dzieci w sieci na świecie, obowiązującą od 17 marca 2026 r., z karami do 50 mln reali za naruszenie. Korea Południowa od lat operuje scentralizowanym systemem weryfikacji tożsamości opartym na numerze ewidencyjnym (RRN) z coroczną re-weryfikacją dostępu do treści 19+ – model o najwyższej pewności i zarazem najniższym standardzie prywatności, nie do pogodzenia z RODO. W USA po wyroku Paxton obowiązuje mozaika ustaw stanowych opartych głównie na dokumentach rządowych (np. Luizjana z aplikacją LA Wallet); federalnej ustawy wciąż brak.

 

Polska na tle świata

Na spektrum od pełnej neutralności (Australia: „środki odpowiednie i proporcjonalne”) po pełną preskrypcję (Niemcy: zamknięta w praktyce lista KJM; Korea: jeden system państwowy) Polska plasuje się blisko środka, z lekkim przechyłem ku preskrypcji aspiracyjnej: jedna metoda wskazana imiennie (poświadczenie atrybutu z EUDIW), reszta katalogu otwarta. To rozwiązanie przyszłościowe, ale obarczone ryzykiem kalendarzowym – portfel EUDIW nie jest jeszcze powszechnie wdrożony, a mini-portfel Komisji osiągnął gotowość funkcjonalną dopiero w kwietniu 2026 r. Gdyby harmonogram unijny się obsunął, polski przykład wzorcowy mógłby w dniu wejścia ustawy w życie pozostawać narzędziem bardziej teoretycznym niż praktycznym. Otwartość katalogu („w szczególności”) jest tu wentylem bezpieczeństwa: metody z listy Ofcom – photo-ID matching, open banking, weryfikacja kartą kredytową – będą mogły wypełnić lukę.

 

Prywatność – brakujący standard podwójnej anonimowości

Najpoważniejsza różnica jakościowa między polskim projektem a awangardą regulacyjną dotyczy architektury prywatności. Francja i Włochy nakazują podwójną anonimowość; mini-portfel Komisji ma ją wbudowaną w konstrukcję; EROD w stanowisku 1/2025 wymaga, by weryfikacja wieku nie dawała nikomu dodatkowych możliwości identyfikowania, lokalizowania, profilowania ani śledzenia osób. Polski projekt milczy – poprzestaje na ogólnym odesłaniu do zasad RODO (minimalizacja danych, ograniczenie celu) w uzasadnieniu oraz na obowiązku notyfikacyjnym wobec Prezesa UODO.

Konsekwencja praktyczna jest łatwa do przewidzenia: skoro prawo nie wymaga podwójnej anonimowości, część operatorów wybierze rozwiązania najtańsze – scentralizowane przyjmowanie skanów dowodów osobistych – które są zgodne z literą ustawy, a zarazem tworzą bazy danych łączące tożsamość obywateli z korzystaniem z serwisów pornograficznych. Trudno o bardziej wrażliwy zbiór danych i trudno o lepszy cel ataku. Doświadczenie brytyjskie pokazuje, że regulator musiał interweniować wytycznymi właśnie po to, by powstrzymać proliferację rozwiązań nieadekwatnych. Polskie przyszłe wytyczne powinny ten standard wpisać wprost.

Sankcje – milion złotych wobec 10% globalnego obrotu

Tu kontrast jest najbardziej jaskrawy. Maksymalna kara dla usługodawcy – 1 000 000 zł, czyli ok. 230 000 euro – jest najniższa spośród wszystkich istotnych jurysdykcji zachodnich: Wielka Brytania może sięgnąć po 10% globalnego obrotu, Francja po 4% w trybie zaostrzonym (bazowo 2%), DSA wobec największych platform po 6%, Australia po równowartość ok. 29 mln euro, Brazylia po ok. 9 mln euro za naruszenie. Dla globalnego koncernu pornograficznego o przychodach liczonych w setkach milionów dolarów polska kara maksymalna to ułamek promila obrotu – pozycja kosztowa, nie czynnik decyzyjny.

Uzasadnienie projektu tłumaczy ten wybór trudnością ustalenia przychodów podmiotów transgranicznych. Argument jest uczciwy, ale niekonkluzywny: dokładnie ten sam problem rozwiązały konstrukcje hybrydowe „wyższa z kwot: pułap kwotowy albo X% obrotu”, stosowane przez Francję i Wielką Brytanię – gdzie ciężar wykazania obrotu można przerzucić na stronę albo szacować go na podstawie dostępnych danych. Prawdziwym zabezpieczeniem polskiego systemu nie jest więc kara, lecz rejestr: ekonomiczna dolegliwość blokady DNS (utrata całego ruchu z Polski) wielokrotnie przewyższa dolegliwość kary maksymalnej. To przesunięcie ciężaru egzekucji z sankcji finansowej na sankcję infrastrukturalną jest świadomą cechą konstrukcyjną – trzeba ją tylko widzieć i nazywać po imieniu.

 

Skuteczność i obejścia – lekcja brytyjska

Dane empiryczne studzą entuzjazm każdego regulatora. Po wejściu w życie brytyjskiego obowiązku weryfikacji w lipcu 2025 r. aktywność dyskusji o VPN wśród brytyjskich użytkowników Reddita wzrosła o 415%, a zainteresowanie wyszukiwaniami VPN w Google o 89%. Polski model blokowania DNS jest wobec technicznie sprawnego nastolatka jeszcze bardziej przepuszczalny: wystarczy zmiana resolvera DNS, VPN, Tor albo dostęp po adresie IP.

Czy to dyskwalifikuje regulację? Nie – pod warunkiem właściwego zdefiniowania jej celu. Uzasadnienie projektu czyni to z rzadko spotykaną szczerością, wskazując na 32,8% przypadkowych pierwszych kontaktów z pornografią jako główny przedmiot ochrony. Blokada DNS i obowiązkowa weryfikacja wieku skutecznie eliminują ekspozycję przypadkową i podnoszą próg wysiłku dla dostępu zamierzonego – zwłaszcza dla młodszych dzieci. Nie powstrzymają zdeterminowanego siedemnastolatka; żaden system na świecie tego nie robi. Miarą sukcesu nie jest szczelność absolutna, lecz przesunięcie krzywej wieku pierwszego kontaktu i likwidacja ekspozycji mimowolnej.

 

Relacja do DSA i egzekwowalność transgraniczna

Polska ustawa będzie współistnieć z bezpośrednio stosowanym DSA. Wobec bardzo dużych platform (VLOP) nadzór Komisji Europejskiej – z toczącymi się postępowaniami przeciwko czterem gigantom branży – biegnie niezależnie od polskiej egzekucji krajowej. Konstrukcyjnie projekt przyjmuje zasadę lokalizacji odbiorcy, co dla dostawców spoza UE jest bezsporne, a dla dostawców z siedzibą w innych państwach członkowskich może rodzić napięcie z zasadą państwa pochodzenia – Włochy, które od lutego 2026 r. stosują swój reżim wprost także wobec podmiotów z UE, przecierają tu szlak, którym Polska będzie mogła podążyć. Asymetria dwutorowego nadzoru (KRRiT dla podmiotów krajowych z sektora audiowizualnego, UKE z pełnym arsenałem dla zagranicznych) jest z kolei ceną transpozycji dyrektywy audiowizualnej – wartą monitorowania pod kątem równości konkurencyjnej.

 

Co projekt oznacza dla operatorów serwisów z treściami dla dorosłych

Z perspektywy podmiotów objętych przyszłą ustawą – serwisów VOD z treściami erotycznymi, platform kamerkowych, agregatorów, ale też platform społecznościowych z wydzielonymi sekcjami 18+ – wnioski praktyczne układają się w pięć punktów.

Po pierwsze: jurysdykcji nie da się uniknąć siedzibą. Polskojęzyczny serwis kierowany na polski rynek podlega ustawie niezależnie od tego, czy spółka operacyjna mieści się w Warszawie, Limassol czy na Karaibach. Linia obrony oparta na miejscu rejestracji jest z góry przegrana.

Po drugie: regulamin nie jest mechanizmem weryfikacji. Postanowienie „serwis przeznaczony wyłącznie dla osób pełnoletnich” w połączeniu z checkboxem to dokładnie ta konstrukcja, którą art. 4 ust. 1 dyskwalifikuje, a wytyczne Ofcom i Komisji zgodnie uznają za bezskuteczną. Zgodność zaczyna się od architektury dostępu, nie od redakcji dokumentów.

Po trzecie: weryfikacja musi być do czegoś przypięta. Skoro art. 34 wiąże ważność weryfikacji z pierwszym dostępem do usługi, model anonimowego dostępu gościa bez jakiegokolwiek konta taje się trudny do utrzymania – wynik weryfikacji musi być trwale powiązany z użytkownikiem. Jednocześnie unijne wytyczne idą dalej (weryfikacja przy każdym dostępie dla serwisów z treściami dla dorosłych), więc operator działający na wielu rynkach powinien projektować pod standard surowszy.

Po czwarte: mechanizm trzeba projektować w kleszczach dwóch organów. Dość mocny, by zadowolić Prezesa UKE; dość oszczędny w danych, by nie ściągnąć uwagi Prezesa UODO. Rozwiązaniem racjonalnym jest weryfikacja przez wyspecjalizowanego dostawcę zewnętrznego w modelu zbliżonym do podwójnej anonimowości, bez retencji dokumentów po stronie serwisu – przechowywanie skanów dowodów widzów byłoby ryzykiem większym niż problem, który rozwiązuje. Dodatkowy argument: rozwiązanie zgodne z francusko-włosko-unijnym standardem podwójnej anonimowości będzie zgodne wszędzie; rozwiązanie skrojone pod minimalne wymogi polskie – tylko w Polsce, i to być może tylko do czasu wydania krajowych wytycznych.

Po piąte: kalendarz premiuje wcześniejszych. Dwunastomiesięczne vacatio legis plus notyfikacja techniczna KE dają realny horyzont drugiej połowy 2027 r. – a art. 34 sprawia, że weryfikacja wdrożona zgodnie z przyszłymi wymogami jeszcze przed wejściem ustawy w życie zachowa ważność. Operator, który zacznie wcześnie, uniknie kosztownej re-weryfikacji całej bazy użytkowników pod presją terminu i konkurencji o moce przerobowe dostawców weryfikacji, których rynek w 2027 r. będzie przeżywał oblężenie.

 

Ocena: solidna procedura, słaba sankcja, niedopowiedziana prywatność

Zestawienie z najlepszymi wzorcami światowymi pozwala sformułować ocenę zniuansowaną. Po stronie mocnych stron polskiego projektu należy zapisać: szeroki zakres eksterytorialny spójny z DSA; wskazanie EUDIW jako wzorca – rozwiązania przyszłościowego i z natury chroniącego prywatność; dwutorową egzekucję (obowiązek weryfikacji plus rejestr blokad), w której słabość jednego narzędzia kompensuje drugie; powszechny formularz zgłoszeniowy jako społeczny mechanizm detekcji; wreszcie – gwarancje proceduralne (opinia, zawiadomienie, sprzeciw, skarga do sądu administracyjnego) staranniejsze niż w wielu porównywanych systemach.

Po stronie luk względem standardów światowych: pułap kar finansowo niedolegliwy dla największych graczy (postulat: konstrukcja „wyższa z kwot” z komponentem procentowym od obrotu, jak we Francji i Wielkiej Brytanii); brak wyraźnego nakazu podwójnej anonimowości (postulat: wpisanie standardu do ustawy lub aktu wykonawczego, zanim rynek utrwali rozwiązania scentralizowane); brak narzędzia blokowania płatności na wzór niemiecki, które domyka scenariusz migracji serwisu poza zasięg rejestru; brak wymogów jakościowych dla biometrycznego szacowania wieku (detekcja żywotności, testy antydyskryminacyjne – obecne we Francji i u Ofcom); wreszcie brak wykazu zweryfikowanych dostawców na wzór listy KJM, który dawałby operatorom pewność prawną, a użytkownikom – gwarancję jakości.

Żadna z tych luk nie dyskwalifikuje projektu; wszystkie są naprawialne na etapie prac parlamentarnych lub w aktach wykonawczych i wytycznych, których wydanie uzasadnienie zapowiada. Polska wchodzi do gry później niż Wielka Brytania, Francja czy Niemcy – co jest okolicznością paradoksalnie korzystną, bo pozwala uczyć się na cudzych błędach zamiast na własnych. Warunkiem jest jednak, by z tej lekcji rzeczywiście skorzystać.

 

Inne publikacje o podobnej tematyce

Uber przed sądem

Nowy Meksyk kontra Meta & Facebook

Deepfake a prawo – jak się bronić i jakie roszczenia przysługują?

Fałszywe opinie, szantaż recenzyjny i odpowiedzialność platform. Co prawo może dziś zaoferować przedsiębiorcy?

Ugoda z ofiarami Jeffreya Epsteina

Facebook przed sądem. Procesy przeciwko Meta