北京
佐治亚理工网络安全与隐私学院的助理教授Michael A. Specter点开Yoti,顺着一次年龄验证请求开始跟踪数据包的走向。屏幕上,面部照片、设备指纹和识别码并没有安静地停留在Yoti声称的闭环里,而是飞向一串他完全没有预料到的外部地址。他猛然意识到,这些本应“看一眼就消失”的敏感信息,正在被分发给第三方甚至第四方公司。
这个发现被写进论文,由佐治亚理工学院和加州大学欧文分校的研究人员共同完成,并在旧金山IEEE安全与隐私研讨会上正式发表。它揭开了一个令人不安的现实:那些以保护未成年人之名迅速铺开的在线年龄验证系统,正制造出一套严重的隐私风险。
一纸法令催生的“数字酒保”
过去几年,美国已有25个州通过了数字年龄验证法律,覆盖超过40%的人口,要求社交媒体和成人内容网站验证用户年龄。支撑这些法律的逻辑很直观:就像酒吧里的酒保快速查看身份证,核对出生日期就放行,且不留记录,在线服务也应该能完全私密地做到同样的事。
正是这套“数字酒保”的比喻说服了立法者。提供年龄验证服务的公司反复强调,他们只关心“你是否成年”,不需要知道你是谁,也不会保存个人信息。Yoti是其中的典型代表,其客户包括Meta、OnlyFans、索尼PlayStation和TikTok,总计覆盖约60%需要年龄验证的网站。
当多数网站根本不查年龄
研究团队对受法律管辖的网站进行大规模扫描,却首先发现一个让整个前提崩裂的现象:绝大多数网站根本没有切实执行年龄验证。很多站点只是在入口弹出一个例行公事的提示,询问是否成年,或者要求输入一个生日,任何未成年人点一次“是”或填一个虚假年份就能轻松通过。
而当一些网站选择合规,引入Yoti这类专业工具时,情况反而更复杂了。用户面对的已不再是一个简单的“是或否”判断,而是一整套需要交出个人数据的验证程序。而这套程序,正是Specter在实验室里全程追踪的那个。
一次验证,你的信息去了哪里
Yoti提供的一种常见方式是要求用户上传自拍照和身份证件照,用面部识别进行比对并估算年龄。公司宣称整个过程完全私密:信息只用于即时验证,不会留存和外传。但Specter的团队观测到,验证完成后,用户的面部照片和设备指纹并没有被封存,而是被打包发给了信用卡公司、IP地理位置服务商以及数据经纪人等一连串第三方和第四方实体。
这让Specter说出了那个关键的比喻:“在法律辩论中,有人把这些服务比作酒保检查身份证。然而,现实中真正发生的事情是,酒保在复印顾客的驾照,并且把复印件寄给了他们的食品供应商。”这个比喻直接点出核心问题:立法所依赖的隐私承诺已经落空,用户的敏感数据正在毫不知情的状态下被悄悄流转和分享。
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
