估值20亿生意：借保护孩子之名强收信息，曝光成常态

多年来，我们始终在重复同一个警告，直到这个信息最终深入人心：强制性的年龄验证正在制造庞大且集中的敏感生物识别数据“诱饵陷阱”，而这些数据不可避免地会被窃取。

每一次事故发生时，那些强制推行这些系统的政客和构建这些系统的公司都表现得极度震惊。他们似乎从未预料到，收集数百万人的政府身份证件、面部扫描和生物识别数据并建立庞大的数据库，最终会演变成一场安全噩梦。

如今，类似的剧本再次上演。就在几周前，名为迪斯科德的社交平台宣布将针对全球用户推出“默认青少年”设置。这意味着所有用户都将被转入受限体验模式，除非他们通过生物识别扫描验证年龄。不出所料，互联网对此反应激烈。

在许多用户忙于发泄挫折感时，一群安全研究人员决定采取更具实际意义的行动。他们深入审视了珀索纳公司的内部运作，这是迪斯科德用于验证身份的合作商之一。

根据媒体《狂热》的报道，研究人员发现的情况正验证了我们的预判。他们通过对这家总部位于旧金山的初创公司进行调查，发现珀索纳的一个前端界面竟然在一个美国政府授权的服务器上对整个公共互联网敞开。

一旦用户通过珀索纳验证身份，该软件会执行269项独特的验证检查。它会搜寻互联网和政府资源以寻找潜在的匹配项，例如将用户的面部与政治敏感人物名单进行比对，并为每个人生成风险和相似度评分。

包括互联网协议地址、浏览器指纹、设备指纹、政府身份证号码、电话号码、姓名、面部图像甚至是自拍背景在内的信息，都会被分析并保留长达三年之久。

该软件对图像本身的评估信息甚至包括“自拍可疑实体检测”、“自拍年龄不一致比对”、相似背景检测以及“自拍姿势重复检测”。这意味着系统不仅在看你的脸，还在通过背景比对数据库中的其他用户，并判断你是否在重复使用之前的拍照姿势。

讽刺的是，就是这样一家公司，在负责检查一名青少年是否被允许在游戏平台上使用语音聊天。

这些计划是由公私合营机构组成的，旨在打击在线儿童剥削、大麻贩运、芬太尼走私、情感诈骗、洗钱和非法野生动植物贸易。

你只是想证明自己已经到了可以使用语音聊天的年龄，结果却在某个地方留下了一个永久性的风险评分，记录着你是否可能涉及非法野生动植物贸易。

正如研究人员向《狂热》杂志所描述的那样，互联网本应是伟大的平等工具，信息渴望自由，网络将审查视为损伤并绕道而行。这种美好的乐观主义曾一度成真，但现状却走向了反面。

研究人员指出，国家想要窥探一切，企业也想要窥探一切，而且它们已经学会了如何协同合作。

值得肯定的是，迪斯科德目前已表示将不再继续使用珀索纳进行身份验证。公平地讲，迪斯科德及类似的互联网公司正处于一个不可能的境地：一方面面临多个司法管辖区日益增长的年龄验证监管压力，另一方面，市场上提供的供应商却不断被证明是安全噩梦。

当时迪斯科德表示停止使用该供应商，随后转向了珀索纳。然而珀索纳此前就因其与彼得·蒂尔的联系而引发关注。现在，珀索纳的前端在政府服务器上大开绿灯，迪斯科德不得不再次放弃他们。

迪斯科德不断更换供应商，就像是在漏雨的屋顶下仓皇地轮换水桶，寄希望于下一个桶没有漏洞，但问题从来不在于桶，而在于屋顶上的大洞。这个大洞就是永无止境的政府强制年龄验证指令。

这引出了一个更宏大且更重要的问题，而那些高喊“保护儿童”的政策制定者似乎都不愿诚实面对：每一次强制要求年龄验证，实际上都是在强制创建一个存储极端敏感个人信息的集中式数据库。

政府身份证件、生物识别面部数据，这类数据一旦泄露，无法像密码那样被“更改”。你只有一张脸，只有一个政府身份证号码。当这些信息外泄时——且必然会外泄——造成的损害是永久性的。

这些系统的失败方式完全可以预见。误报十分常见，平台常将面孔年轻的成年人、共享家庭设备的成年人或使用习惯异常的用户误认为未成年人，并封锁账号。而漏报也同样存在，青少年很快就能学会通过借用证件、循环账号或使用虚拟专用网络来规避检查。

申诉过程本身又制造了新的隐私风险。为了向监管机构证明其决策的合理性，平台必须存储生物识别数据、身份证图像和验证日志。

这意味着，如果一个成年人厌倦了反复提交自拍，最终上传了身份证件，系统就必须长期保护这一存储的证件。每一条保留的记录都成为了潜在的泄露目标，而这种风险随着用户规模的扩大被植入了平台的运作核心。

我们多年来一直在记录这些泄露事件。2024年，澳大利亚批准了一项年龄验证试点计划，仅数小时后，一个法定的酒吧验证数据库就遭到入侵。同年，另一家身份验证服务被破解，暴露了为优步、抖音海外版等平台收集的私人信息。

这种情况之所以不断发生，是因为它是系统性逻辑的必然结果。将攻击者最想窃取的数据进行聚合，必然会导致大规模的安全崩溃，计算机科学家和隐私专家对此早已鸣响警钟。

更令人愤慨的是，这些年龄验证系统甚至没有达到其宣称的目标。以澳大利亚禁止16岁以下青少年使用社交媒体的禁令为例，这被视为此类手段的典型，但结果却是彻底的失败。

许多孩子已经找到了绕过禁令的方法。而那些无法绕过禁令的孩子——特别是依赖社交平台获取社区支持的残障儿童——正因为被排除在外而受到实质性的伤害。

协助发现珀索纳泄露事件的安全研究人员塞莱斯特表示，普通人可能无法绕过这些系统，但心怀恶意的人总能找到利用漏洞的方法。

我们构建了一个无法挡住目标群体，却成功为数百万守法用户建立了永久性生物识别档案的系统，这简直是一场灾难。

立法层面发生的事情或许更加令人心寒。世界各地的政府都在变本加厉地推动在线强制年龄验证。随着这些指令创造了一个价值数十亿美元的封闭市场，一个由风险投资支持的“身份即服务”初创企业生态系统应运而生。

当然，正是这些公司现在正游说要求更严格的年龄验证强制令。他们将自己包装成儿童的保护者，同时积极推动扩大法律要求，以确保其收入来源的稳定。

立法者授权了一项不可能完成的任务，风投支持的初创公司跳出来推销“解决方案”，这些公司随后游说要求更严厉的指令以保护其市场，循环往复。

“儿童安全”已经沦为了这种寻租监控行业的营销部门。只要法律要求这些生物识别闸门存在，收集数据的“安全性”就永远排在满足指令的“合规性”之后。

公司将继续轮换供应商，每一个都承诺自己的系统不会泄露，直到它最终崩塌。问题的核心从来不在于哪家公司持有你的生物识别数据，而在于任何人都不应该被强迫交出这些数据。