年龄验证陷阱
原文:
https://spectrum.ieee.org/age-verification
作者:Waydell D. Carvalho
译者:Kurt Pan
社交媒体正在走上酒精、赌博和其他社会性罪恶的老路:社会正在决定,它不再是儿童的玩物。立法者指出强迫性使用、有害内容的暴露,以及日益严峻的青少年心理健康问题。因此,许多人提议设定最低年龄限制,通常为13岁或16岁。
在监管者要求实质性执行而非象征性规则的情况下,平台遇到了一个根本性的技术难题。要证明某人已达到使用某网站的年龄,唯一的办法就是收集关于其身份的个人数据。而要证明你已经进行了验证,唯一的办法就是无限期保留这些数据。年龄限制法律将平台推向侵入性的验证系统,而这些系统往往与现代数据隐私法直接冲突。
这就是年龄验证陷阱。对年龄规则的强力执行会损害数据隐私。
年龄验证在实际操作中是如何运作的?
大多数年龄限制法律遵循一个熟悉的模式。它们设定一个最低年龄,并要求平台采取"合理步骤"或"有效措施"来防止未成年人访问。这些法律很少明确规定的是,平台究竟应该如何判断谁真正达到了年龄门槛。在技术层面,企业只有两种工具。
第一种是基于身份的验证。企业要求用户上传政府颁发的证件、关联数字身份,或提供证明其年龄的文件。然而在许多司法管辖区,16岁的青少年并没有身份证件。在另一些地方,证件虽然存在,但并非数字化的,持有率不高,或者不够可靠。存储身份证件的副本还会带来安全和滥用风险。
第二种选择是推断。平台试图根据行为、设备信号或生物特征分析来推测年龄,最常见的是通过自拍照或视频进行面部年龄估算。这种方法避免了正式的身份证件收集,但它用概率和误差取代了确定性。
在实践中,企业会将两者结合使用。自我声明的年龄由推断系统作为后盾。当置信度下降,或监管者要求提供合规证明时,推断就会升级为身份证件检查。一个原本轻量级的检查点,会变成跟踪用户的多层验证体系。
平台目前在做什么?
这一模式在主要平台上已经清晰可见。
Meta 已在多个市场的 Instagram 上部署了面部年龄估算技术,通过第三方合作伙伴进行视频自拍检查。当系统将用户标记为可能未成年时,会提示他们录制一段简短的自拍视频。一个人工智能系统会估算其年龄,如果判定他们低于门槛年龄,就会限制或锁定账户。申诉往往会触发额外的检查,而误判十分常见。
TikTok 已确认,它也会扫描公开视频来推断用户年龄。Google 和 YouTube 则主要依赖与观看历史和账户活动相关的行为信号来推断年龄,在系统不确定时则要求提供政府证件或信用卡。信用卡充当了成年身份的替代凭证,尽管它完全无法说明实际使用账户的人是谁。游戏网站 Roblox 最近推出了新的年龄估算系统,但据《连线》杂志报道,该平台已经出现了用户出售儿童年龄段账户给试图进入年龄限制区域的成年掠食者的现象。
对于一个普通用户来说,年龄不再是一次性的声明,而是变成了一项反复进行的测试。换一部新手机、行为发生变化,或者出现一个错误信号,都可能触发又一次检查。通过一次验证并不意味着流程的终结。
年龄验证系统是如何失败的?
这些系统以可预见的方式失败。
误报(假阳性)十分常见。平台会将长着娃娃脸的成年人、与家人共享设备的成年人,或有其他异常使用模式的成年人识别为未成年人。它们会锁定账户,有时长达数天。漏报(假阴性)同样持续存在。青少年很快就学会了如何规避检查——借用他人证件、轮换账户,或使用VPN。
申诉过程本身又产生了新的隐私风险。平台必须将生物特征数据、证件图像和验证日志保存足够长的时间,以便在监管者面前为自己的决策辩护。所以,当一个厌倦了反复提交自拍来验证年龄的成年人最终上传了身份证件时,系统现在就必须保护这份存储的证件。每一条留存的记录都成为潜在的数据泄露目标。
将这种体验放大到数百万用户的规模,你就会把隐私风险烘焙进平台的运作方式之中。
年龄验证与隐私法律兼容吗?
这正是新兴的年龄限制政策与现有隐私法律相碰撞之处。
现代数据保护制度都建立在相似的理念之上:只收集你需要的,只用于明确的目的,只保留必要的时间。
年龄验证执行破坏了以上三条原则。
为了证明自己遵守了年龄验证规则,平台必须记录验证尝试、保留证据,并长期监控用户。当监管者或法院询问平台是否采取了合理步骤时,"我们收集了更少的数据"很少具有说服力。对企业而言,为自己辩护以应对忽视年龄验证的指控,优先于为自己辩护以应对不当数据收集的指控。
这并非选民或决策者的主动选择,而是对执法压力以及企业对自身诉讼风险认知的被动反应。
欠发达国家,更深层的监控
在富裕民主国家之外,这种取舍更加严峻。
巴西的《儿童和青少年法》(葡萄牙语缩写为ECA)对在线儿童保护施加了严格的义务,同时其数据保护法限制了数据的收集和处理。现在,在巴西运营的服务提供商必须采用有效的年龄验证机制,不能再仅仅依赖自我声明来处理高风险服务。然而,他们同时面临着不均衡的身份基础设施和普遍的设备共享状况。为了弥补这一差距,他们更加依赖面部估算和第三方验证供应商。
在尼日利亚,许多用户缺乏正式的身份证件。数字服务提供商通过行为分析、生物特征推断和境外验证服务来填补这一空白,而监管往往有限。审计日志不断增长,数据流持续扩展,用户理解或质疑企业如何推断其年龄的实际能力也相应萎缩。在身份体系薄弱的地方,企业并没有保护隐私,而是绕过了它。
悖论显而易见。在行政能力较弱的国家,年龄验证执行往往产生更多的监控而非更少,因为推断填补了缺失证件留下的空白。
执法优先级如何改变预期?
一些决策者认为模糊的标准可以保留灵活性。在英国,时任数字事务大臣 Michelle Donelan 曾在2023年辩称,要求特定的在线安全成果而不指定手段,可以避免强制推行特定技术。然而经验表明情况恰恰相反。
当争议进入监管者或法院的视野时,问题很简单:未成年人是否仍然可以轻松访问该平台?如果答案是肯定的,当局就会要求企业做得更多。随着时间的推移,"合理步骤"变得越来越具有侵入性。
反复的面部扫描、不断升级的证件检查和长期日志记录成为常态。收集较少数据的平台开始显得鲁莽。注重隐私保护的设计输给了能够在法律上为自己辩护的设计。
这种模式并不陌生,其中包括在线销售税的执行。在法院确认大型平台有义务收取和缴纳销售税之后,企业开始持续追踪和存储交易目的地和客户位置信号。这种追踪并非滥用行为,但一旦执法要求长期提供证据,企业就会建立系统来记录、保留和关联更多数据。年龄验证正朝着同样的方向发展。始于一次性检查的东西正在变成一个持续的证据系统,伴随着监控、保留和证明用户级数据合理性的压力。
我们正在回避的选择
以上所述都不是反对在线保护儿童的论据。这是一个反对假装不存在取舍的论据。
一些观察者将隐私保护型年龄证明——涉及政府等第三方的方案——作为解决办法提出,但这些方案继承了相同的结构性缺陷:许多法律上已达到使用平台年龄的用户并没有政府证件。在社交媒体最低年龄低于证件签发年龄的国家,平台面临着一个选择:要么排斥合法用户,要么监控所有人。目前,企业正在悄然做出这一选择——在建立系统并将保护自身免受更大法律风险的行为常态化之后。年龄限制法律不仅仅关乎儿童和屏幕,它们正在重塑身份、隐私和互联网访问对每个人的运作方式。
年龄验证陷阱不是一个漏洞。它是当监管者将年龄验证执行视为强制性要求、而将隐私视为可选项时,必然产生的结果。
这个帖子收获了近千条评论,讨论极为热烈。以下是对各主要观点阵营的综合整理。
https://news.ycombinator.com/item?id=47122715
一、"零知识证明/欧盟数字身份钱包可以解决这个问题"派
讨论中最受关注的顶部评论来自一位欧盟数字身份钱包系统的从业者(antitoxic),他认为文章描述的"陷阱"并非不可避免,而是当前技术范式的产物。他所在的系统利用零知识证明,从护照或身份证中派生出"年满18岁"这样的属性,而无需披露出生日期等任何其他信息。只要你信任签发证件的政府,就可以匿名地验证年龄。另一位波兰开发者(hiciu)详细解释了技术实现:政府用私钥签署包含多个声明的文档,每个声明用不同的盐值进行哈希,用户只需选择性地披露"年满18岁"这一条,验证方无法获得其他信息。在使用 BBS+ 签名的情况下,即便政府和网站运营方串通,数学上也无法关联用户身份。瑞士的设计(myrion 介绍)则使用 SD-JWT 进行选择性披露,验证方只能看到"年满18岁"这一比特和必要的元数据,无法追踪用户。
还有人(dogcomplex)进一步展望,认为零知识证明支撑的身份体系实际上比现状更能保护隐私——毕竟我们目前已经被无处不在的遥测数据持续追踪,一个正规的 ZK 经济体能消除权力机构以"安全"为借口进行追踪的理由,并催生真正安全的硬件设备市场。
二、对零知识方案的深度质疑派
大量评论者对上述乐观叙事提出了尖锐的技术和政治批评,形成了讨论中最激烈的交锋。
首先是设备证明/反越狱要求问题。多位评论者(summm、andrepd、gucci-on-fleek)指出,EUDI 钱包要求设备必须安装 Google Play Services 或 iOS 等效组件,禁止越狱或 root,这等于将欧盟公民的数字身份绑定在美国双寡头的移动操作系统上,彻底排斥了 Linux 和任何自由软件系统。summm 认为这可能意味着"通用计算的终结"才是真正目标,年龄验证不过是"为了孩子着想"的幌子。一位加拿大用户提到,他的政府健康门户已经拒绝在 Linux 上加载,如果加上密码学证明层,连修改 User Agent 的变通办法都不可能了。
其次是信任与串通风险。EmbarrassedHelp 指出,所谓"开源"的钱包应用连接的是第三方运营的专有后端,你必须盲目信任它们不会追踪你。donmcronald 则质疑:既然大科技公司已经记录了一切,有什么能阻止政府保留所有签发的盐值,然后命令网站运营方把盐值加入日志?"他们在监控问题上对我们一次又一次地撒谎,所以除非在技术上不可能,否则应该假设他们在撒谎。"coppsilgold 从密码学实践角度进一步论证,安全元件的私钥泄露一直在发生,真正的零知识系统在这类场景中不可行——因为一次泄露就会摧毁整个体系,而且无法检测。
第三是令牌走私与黑市问题。Aurornis 提出,如果身份检查是匿名的,什么阻止成年人以每次两美元的价格出售盲签名?孩子花两块钱就能让别人的身份验证自己的账户。hiciu 回应说,设备证明和 PIN/指纹要求使得"令牌即服务"在实践中不可行,但批评者认为这又回到了依赖设备证明的老路。
三、"年龄验证根本不该存在"的自由主义立场
一个相当强势的声音认为年龄验证本质上就是一个骗局,目的是增加企业和政府的控制。horsawlarway 以家长身份直言:"作为父母,监控孩子消费什么内容并与他们讨论是我的职责。我不希望任何内容被笼统地禁止……年龄验证是增加企业/政府控制权的骗局,句号。"akersten 呼应道:"'保护儿童上网'是这些法律真正意图的刻意转移——真正的目的是人口级别的监控和经过验证的广告展示。"agentifysh 则援引历史经验:90年代和2000年代初期没有任何此类门禁,所有人都活得好好的,事实上 Z 世代在有了算法推荐之后反而更糟糕——尽管以前的互联网上有远比现在更令人不安的内容(还记得 ogrish 和 KaZaA 吗)。ajsnigrutin 简洁地总结:人们在互联网存在之前就已经自杀和杀人了,要求每个人在每个网站上出示身份不会改变这一点,但会限制言论自由。
四、"问题是真实存在的,但解决方案应在设备端"派
armchairhacker 提出了一个不同的框架:与其在平台端进行年龄验证,不如在设备端解决。不给孩子解锁的设备直到他们成年,"锁定"的设备和账户只有经过某机构验证为适龄内容的白名单网站可以访问。唯一需要的法律变更是禁止在没有身份证明的情况下向未成年人出售解锁设备。他承认这需要根本性的文化转变——就像社会对待酒精的态度一样——但认为这比在每个网站上部署身份验证更尊重隐私。不过批评者(Aurornis、aleph_minus_one)立刻指出,这完全脱离了青少年的现实:孩子们会借用父母的设备、让年长的兄弟姐妹帮忙解锁,就像以前买烟买酒一样。DRM 式的锁定在技术上也许可行,但它意味着通用计算权利的终结。
五、"安全剧场也有其价值"的务实派
一些评论者(cromka、delusional、jatari)采取更务实的立场。cromka 批评反对者犯了"完美解决方案谬误":这就像说因为青少年总能弄到假证件,所以限制18岁以下买烟是徒劳的——荒谬的论点。任何解决方案都不会完美,但像烟酒限购一样的年龄门槛仍然有价值。jatari 指出,法律存在的意义是保护那些父母缺席或忽视的儿童,并非每个孩子都有一个尽责的家长。jajuuka 则认为,即便年龄验证在某种程度上是"安全剧场",它仍然能营造安全感和保护意识,如同让你在色情网站输入生日的做法——它不是完美的墙,而是一道门槛。
六、对执行层面"棘轮效应"的警告
Aurornis 反复强调一个核心论点:如果一个薄弱的方案被立法强制推行,而政府发现孩子们轻松绑过了它,他们不会撤销法律,而是会立即要求更多的限制。"合理步骤"会随着时间推移变得越来越具侵入性,收集较少数据的平台看起来反而显得鲁莽。这与文章本身描述的"棘轮效应"形成了呼应——年龄验证的逻辑一旦启动,就只有一个方向:收集更多数据、保留更长时间、部署更深层监控。
七、边缘但有趣的观点
nemomarx 怀疑很多推动面部扫描的司法管辖区根本不关心安全地解决年龄验证问题,它们真正想要的就是面部扫描数据本身。一位评论者分享了个人经历(2duct):他的父母没有保护他免受有害数字内容的影响,因为他们不负责任,他因此受到了伤害——他认为"一切交给父母"的论调忽视了大量被忽视儿童的存在。还有人(dom96)提出年龄验证之外更迫切的需求是"人类验证"——随着 LLM 和付费水军在社交媒体上肆虐,社交媒体需要转向只允许人类用户。MatrixMan则半开玩笑地说,小时候绕过家长控制软件正是他学会计算机技术、后来找到工作的原因——如果必须有控制措施,希望绕过它们的过程仍能教会孩子有用的技能。
总体而言,这个讨论反映出技术社区内部的深层分裂:在"保护儿童"这一看似无可争议的目标背后,关于隐私、自由、信任、技术可行性和政府权力边界的根本性分歧远未达成共识。零知识证明的支持者与怀疑者之间的技术辩论尤其精彩,但即便是最乐观的从业者也不得不承认,设备证明对 Google/Apple 双寡头的依赖是一个严重的结构性缺陷。而最激进的自由主义者和最务实的渐进主义者之间的鸿沟,恐怕不是任何技术方案能够弥合的。