欧盟这次拿出的理由很容易获得支持:保护未成年人。网站不该随便让孩子进入成人内容、赌博式体验或高风险社交场景,这个目标本身没什么可嘲讽的。
真正值得警惕的是另一件事:年龄验证正在被包装成“隐私技术”,但落地路径里已经留出了传统 KYC、平台硬件认证和成员国各自实现的口子。门是给孩子修的,锁可能会落到所有人身上。
欧盟要做什么:不是一个统一 App,而是一套可复用工具箱
这件事的基本盘很简单。欧盟在推进 Age Verification Solution Toolbox,供 27 个成员国改造成各自的年龄验证应用。它不是一个已经统一上线的“EU app”。
它要服务的场景,主要是 DSA 下需要做年龄把关的平台。成人内容、社交平台、高风险内容服务,都会被卷进来。
宣传里的好处也不是假的:本地检查证件、选择性披露年龄属性、一次性凭证降低跨站关联。正常使用时,它确实比“上传整本护照给网站”更少暴露信息。
但这套叙事有一个硬缺口:DSA 并没有强制平台只能走隐私钱包。平台仍然可以接传统 KYC 服务,扫护照、做人脸活体、交出生日和证件号。
| 问题 | 纸面说法 | 落地约束 | 影响对象 |
|---|---|---|---|
| 欧盟在推什么 | 年龄验证工具箱 | 27 个成员国各自落地,不是单一 EU app | 平台要适配多套实现 |
| 隐私卖点 | 只证明是否成年 | 依赖钱包按规则轮换凭证 | 用户隐私保护不完全由协议兜底 |
| 平台替代路径 | 可用隐私钱包 | DSA 允许传统 KYC 兜底 | 平台可能选择更便宜、更成熟的方案 |
| 当前成熟度 | 有参考实现和可信列表 | 官方可信列表目前看不到生产级应用 | 合规团队不宜过早押单一路线 |
对平台来说,选择往往很现实。接入 27 个成员国未来各自落地的钱包体系,工程和法务成本都不低。找一家 KYC 服务商,流程成熟,责任边界也更清楚。
天下熙熙,皆为利来。合规系统尤其如此。最后跑起来的,常常不是最优雅的技术,而是最便宜、最能解释给审计听的流程。
真正的硬伤:KYC 兜底、硬件守门、ZK 落差
很多讨论把漏洞、协议和政策混成一锅。这样反而看不清重点。
参考 app 里出现的文件残留、MRZ 测试路径、占位后端绕过,更像可修 bug。不能把这些写成生产系统已经被攻破。真正麻烦的是结构性问题。
第一处硬伤,是隐私承诺和监管兜底不一致。
如果平台可以不用隐私钱包,直接走传统 KYC,那么用户得到的就不是“证明我已成年”,而是把护照、脸、生日、证件号交给第三方。隐私方案成了选项,不是底线。
第二处硬伤,是硬件和系统认证会变成新的守门人。
参考 Android 路线要依赖设备完整性证明,类似 Play Integrity 这样的机制会判断“这台设备是否运行被认可的代码”。GrapheneOS、Linux 手机、部分华为设备,都可能被排除在外。Apple 的封闭生态也会有自己的门槛。
这对关心数字身份和平台治理的人很关键:验证体系表面上由公共政策推动,入口却可能被移动操作系统厂商把住。欧盟谈数字主权,最后还要看 Google 和 Apple 是否点头,这个反差不小。
第三处硬伤,是宣传里的 ZK 和当前参考实现并不是一回事。
目前 Android 参考实现主要基于 ISO 18013-5 mdoc、ES256 签名、盐化摘要承诺和一次性凭证轮换。仓库里可以看到 ZK 相关组件,但当前展示路径不能等同于“已经启用 ZK 年龄证明”。
这不代表方案没有隐私价值。选择性披露和一次性凭证,在钱包正常轮换时,确实能减少跨站关联。
问题是,它的不可关联性很大程度依赖钱包别复用凭证。凭证一旦复用,或者被转发,关联风险就回来。Play Integrity 也解决不了 relay attack。它能证明某台真手机跑了真代码,不能证明浏览器前的人就是手机前的人。
一个成年人远程帮孩子点确认,网站看到的仍是一份有效成年证明。签名是真的,设备是真的,代码也可能是真的。错的是人和场景。
对读者真正有用的判断:看谁拿到入口权
我更在意的不是某个测试版漏洞,而是入口一旦养成,谁有权发证、验机、拒绝、撤销。
儿童保护是政治上最顺手的入口。家长焦虑也是真实的。互联网上确实有大量不适合未成年人的内容,平台也需要更明确的合规路径。
但好需求不会自动长出好制度。
一旦钱包变成互联网通行证,影响就不止成人内容。争议网站、敏感论坛、政治表达、边缘社群,都可能被纳入“证明一下你有资格进入”的流程。
技术上可能匿名,心理上未必匿名。人只要感觉自己被记录、被验证、可追溯,发言就会收缩。Hawthorne effect 讲的就是这个:被观察的感觉本身,会改变行为。
对产品、合规和安全从业者,下一步不该只看宣传页。更实际的动作是三件事:
- 产品和合规团队.不要过早押注单一成员国钱包或单一 KYC 供应商,合同里要写清数据最小化、删除周期、责任边界和用户替代路径。
- 安全团队.重点审凭证轮换、复用检测、relay attack 风险、设备认证依赖,而不是只盯 mock-up bug。
- 做隐私工具或非主流系统的开发者.要评估 GrapheneOS、Linux 手机、华为设备等被系统认证排除的概率,提前准备兼容说明或迁移方案。
普通用户也不是完全无事可做。真正要看的不是“欧盟是不是说保护儿童”,而是你所在国家最后让你用什么验证、数据交给谁、有没有不用扫护照的替代方案、凭证能不能被撤销。
接下来最该观察的变量也很具体。
| 观察点 | 为什么重要 | 如果走偏,后果是什么 |
|---|---|---|
| 成员国实际 App 怎么做 | 工具箱只是起点,落地才决定隐私边界 | 27 套实现带来碎片化和额外合规成本 |
| 平台是否默认 KYC | 平台会选成本最低、责任最清楚的路 | 隐私钱包被架空,护照扫描成为事实标准 |
| 设备认证白名单 | 决定谁的手机能进入验证体系 | Google/Apple 成为身份入口守门人 |
| 凭证轮换和撤销规则 | 决定可链接性和控制强度 | 年龄验证扩展成可撤销的通行证 |
| 是否扩展到更多服务 | 目前不能断言已绑定其他公共服务 | 架构一旦可复用,就会产生“多用一点”的制度诱因 |
历史上很多基础设施都是这样扩张的。铁路、电力、电话网络,开始解决一个具体问题,后来变成治理、收费和控制的底座。数字身份不完全一样,但权力结构有相似处:谁掌握入口,谁就能定义正常用户。
所以分水岭不在参考 app 有几个 bug。bug 会修,mock-up 会换,各国也会写出自己的新 bug。
分水岭在这里:年龄验证到底是一个最小化、可替代、难滥用的安全工具,还是互联网入口处的新身份证。
如果是后者,儿童保护只是最容易通过的门牌。门后面站着的,是监管激励、平台合规成本和移动生态控制权。