北京
佐治亞理工網絡安全與隱私學院的助理教授Michael A. Specter點開Yoti,順著一次年齡驗證請求開始跟蹤數據包的走向。屏幕上,面部照片、設備指紋和識別碼并沒有安靜地停留在Yoti聲稱的閉環里,而是飛向一串他完全沒有預料到的外部地址。他猛然意識到,這些本應“看一眼就消失”的敏感信息,正在被分發給第三方甚至第四方公司。
這個發現被寫進論文,由佐治亞理工學院和加州大學歐文分校的研究人員共同完成,并在舊金山IEEE安全與隱私研討會上正式發表。它揭開了一個令人不安的現實:那些以保護未成年人之名迅速鋪開的在線年齡驗證系統,正制造出一套嚴重的隱私風險。
一紙法令催生的“數字酒保”
過去幾年,美國已有25個州通過了數字年齡驗證法律,覆蓋超過40%的人口,要求社交媒體和成人內容網站驗證用戶年齡。支撐這些法律的邏輯很直觀:就像酒吧里的酒保快速查看身份證,核對出生日期就放行,且不留記錄,在線服務也應該能完全私密地做到同樣的事。
正是這套“數字酒保”的比喻說服了立法者。提供年齡驗證服務的公司反復強調,他們只關心“你是否成年”,不需要知道你是誰,也不會保存個人信息。Yoti是其中的典型代表,其客戶包括Meta、OnlyFans、索尼PlayStation和TikTok,總計覆蓋約60%需要年齡驗證的網站。
當多數網站根本不查年齡
研究團隊對受法律管轄的網站進行大規模掃描,卻首先發現一個讓整個前提崩裂的現象:絕大多數網站根本沒有切實執行年齡驗證。很多站點只是在入口彈出一個例行公事的提示,詢問是否成年,或者要求輸入一個生日,任何未成年人點一次“是”或填一個虛假年份就能輕松通過。
而當一些網站選擇合規,引入Yoti這類專業工具時,情況反而更復雜了。用戶面對的已不再是一個簡單的“是或否”判斷,而是一整套需要交出個人數據的驗證程序。而這套程序,正是Specter在實驗室里全程追蹤的那個。
一次驗證,你的信息去了哪里
Yoti提供的一種常見方式是要求用戶上傳自拍照和身份證件照,用面部識別進行比對并估算年齡。公司宣稱整個過程完全私密:信息只用于即時驗證,不會留存和外傳。但Specter的團隊觀測到,驗證完成后,用戶的面部照片和設備指紋并沒有被封存,而是被打包發給了信用卡公司、IP地理位置服務商以及數據經紀人等一連串第三方和第四方實體。
這讓Specter說出了那個關鍵的比喻:“在法律辯論中,有人把這些服務比作酒保檢查身份證。然而,現實中真正發生的事情是,酒保在復印顧客的駕照,并且把復印件寄給了他們的食品供應商。”這個比喻直接點出核心問題:立法所依賴的隱私承諾已經落空,用戶的敏感數據正在毫不知情的狀態下被悄悄流轉和分享。
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
