有些平台的门,正在从“输入生日”变成“上传证件”和“扫一张脸”。
名义上,这是为了保护未成年人。现实中,系统往往不会只检查孩子。为了判断谁是孩子,它会先要求所有人过一遍门禁:访问、发言、阅读、加入社区,都可能变成一次身份提交。
我更在意的不是儿童保护是否必要。成瘾设计、色情内容、骚扰、诱骗,都是真问题。
问题在于,一个写给未成年人的规则,落到产品和合规流程里,正在变成面向所有用户的身份识别基础设施。
年龄确认,不等于身份验证
年龄确认本来只需要回答一个问题:你是否达到某个年龄门槛。
身份验证问的是另一件事:你是谁。
这两个问题在政策表述里容易混在一起,但对用户的代价完全不同。前者可以很轻,后者会把现实身份带进平台访问流程。
| 做法 | 它想回答的问题 | 常见数据 | 用户承担的风险 |
|---|---|---|---|
| 年龄确认 | 是否满某个年龄 | 年龄段、是否成年 | 误判、门槛过宽 |
| 身份验证 | 你到底是谁 | 姓名、生日、证件号 | 实名轨迹被串联 |
| 人脸估龄 | 看起来多大 | 面部图像或特征模板 | 生物特征泄露、误识别 |
平台为什么会走向更重的方案?因为责任太复杂。
一个平台如果被要求证明自己“没有让未成年人进入某些区域”,最省事的做法往往不是设计更细的产品规则,而是把验证交给第三方。用户看到的是一次上传,背后可能涉及证件识别、活体检测、风控留痕和审计记录。
这里不能简单断言所有平台都会永久保存人脸,也不能把所有年龄验证都说成实时人脸监控。具体风险取决于实现方式:数据在本地还是云端处理,第三方是否留存原始材料,平台拿到的是“是否成年”还是完整身份信息。
但门一旦立起来,受影响的就不是未成年人,而是所有用户。
对普通互联网用户来说,这意味着一个很具体的选择:为了看一页内容、发一条评论、加入一个游戏社区,要不要交出证件和脸。对科技团队来说,问题也很现实:合规方案是只拿最小结果,还是接入一套会沉淀敏感身份数据的系统。
这不是抽象隐私争论。它会直接影响产品采购、风控设计和用户留存。
证件和人脸,比密码更难补救
密码泄露后,可以改。邮箱可以换。银行卡可以挂失。
但身份证件号、出生日期、护照信息、人脸特征不一样。它们和现实身份绑定,重置成本极高,很多时候根本无法重置。
这就是年龄门禁比普通账号风控更敏感的地方。上一代互联网安全主要围绕账号:密码、短信验证码、两步验证。年龄验证如果做重了,触碰的是现实身份。
Equifax 等大型数据泄露事件已经说明,集中式身份数据库会成为攻击目标。年龄验证供应商即使承诺“验证后删除”,也不能消除传输、处理、审计和被攻破的风险。
更麻烦的是追责链条会变长。
用户把证件交给平台,平台交给验证商,验证商可能还接入其他风控服务。出事之后,用户很难知道数据在哪个环节暴露,也很难真正拿回自己的脸。
所以我不太买账“只是验证一下年龄”这种说法。
如果系统只返回“是否成年”,并且不保存原始材料,风险会低很多。如果它要求姓名、生日、证件号、人脸扫描一起上交,那就已经不是简单的年龄确认,而是身份门禁。
它未必挡住孩子,却会留下门禁系统
年龄验证还有一个现实限制:它对最想绕过规则的人,并不稳定。
青少年可以借用父母账号,可以使用 VPN,可以购买已验证账号,也可以转向小平台、私密群组和更难监管的角落。Fast Company 曾报道,Roblox 推出年龄验证规则后,已验证账号很快出现在 eBay 上出售。这个例子至少表明,验证墙会催生灰色市场。
这不是说儿童保护不该做。恰恰相反,越是真问题,越不能用一个看似万能的身份门禁糊过去。
如果门禁挡不住最有动力绕过的人,却让大量普通用户提交证件和人脸,收益和成本就不对称了。儿童伤害没有被根治,新的监控和数据风险却留下来了。
接下来真正该观察的,不是口号写得多好,而是实现细节:
- 平台是否只拿到“是否成年”的最小结果;
- 验证能否在本地设备完成,而不是上传原始证件和人脸;
- 第三方是否留存原始材料,留多久,谁能审计;
- 用户是否有匿名凭证、替代方案和退出机制;
- 成年用户是否会因为拒绝上传证件而被挡在阅读、发言、社交之外。
这几条足够判断一项年龄验证政策是在做保护,还是在铺设身份门禁。
普通用户能做的事也不复杂:不上传、不登录、不使用要求证件或人脸的平台,并把退出原因写清楚。此类系统依赖大规模配合。平台需要足够多人完成验证,内容供给、社交关系和广告价值才不会断流。
科技从业者的动作更具体。采购可以延后,先问清数据流向和留存规则;产品团队可以优先选择只返回年龄状态的方案;安全团队要把验证商纳入供应链风险,而不是把它当成一项普通登录插件。
核心仍然是那根线:保护儿童不能变成要求所有人自证身份。
如果一个系统为了识别少数未成年人,先要求全网用户交出证件和脸,它解决的就不只是年龄问题。它也在改写互联网的进入方式。