2026 年 3 月,西班牙数据保护机构(AEPD)对英国年龄验证公司 Yoti 处以总计€950,000 的罚款,这一事件揭开了年龄验证基础设施中数据共享与隐私保护的深层矛盾。罚款涉及三项违规:非法处理生物识别数据(€500,000)、无有效同意处理数据(€200,000)以及过度数据保留(€250,000)。作为占据美国合规网站 60% 以上市场份额的行业领导者,Yoti 的数据处理实践为整个年龄验证生态系统敲响了警钟。
从单次核验到持久身份系统的架构漂移
Yoti 的业务模式存在一个关键的架构模糊性:它既是数据处理器(为其他组织处理信息),也是数据控制器(在 Yoti ID 应用中自主决定收集什么数据、为何收集以及保留多久)。这种双重角色为数据范围的持续扩张提供了技术便利。
当用户使用 Yoti ID 应用时,系统会要求上传政府签发的身份证件并进行面部活体检测(liveness detection),用户需要拍摄自拍视频或按指令移动手机以证明是真人而非照片或面具。验证通过后,系统会创建一个生物识别模板—— 一种可重复使用的面部数字指纹。与一次性年龄估算不同,这个模板不会在验证完成后删除,而是保留在 Yoti 服务器上,用于后续的 PIN 更改、账户恢复等场景。
这种设计引发了一个根本性的隐私工程问题:原本定位为 "单次年龄核验" 的服务,悄然演变为长期生物识别身份系统。根据 AEPD 的认定,Yoti 将生物识别数据保留 "账户活跃期间及最后活动后三年",其理由是支持 PIN 更改和账户恢复功能。然而,监管机构指出这些事件的发生频率极低,为 "以防万一" 而长期保留所有人的生物识别数据属于过度收集,违反了 GDPR 的数据最小化原则。
数据共享的隐蔽网络:第四方风险
Georgia Tech 安全、隐私与民主研究实验室 2026 年 3 月发布的报告(首个针对美国年龄验证提供商的大规模探索性研究)揭示了 Yoti 数据共享的复杂性。报告指出,Yoti"经常要求终端用户共享敏感数据 —— 面部照片、政府 ID、信用卡详情、浏览器指纹数据、正在访问的网站等"。这些数据不仅流向签约的第三方处理器,还可能流向 "几个对用户来说明显不可见的 ' 第四方 '"。
这种多层级共享架构带来了几个关键风险点:
设备指纹的聚合风险:Yoti 收集的浏览器指纹数据与面部生物识别数据结合,可以构建跨网站的持久用户画像。当年龄验证从成人内容扩展到主流社交媒体时,这种数据聚合能力意味着少数几家公司可能掌握数亿用户的跨平台行为轨迹。
人工审查的暴露窗口:Yoti 的隐私政策披露,验证后的 ID 文件可能在最多 28 天内接受人工审查,期间印度安全中心的工作人员可以查看文件以进行欺诈检测或培训用途。尽管 Yoti 声称文件存储在英国服务器上,但 "必须能够被员工查看以执行这些检查" 意味着数据在这一期间处于可访问状态,而非端到端加密。历史上,外包验证服务的人工审查环节已多次发生数据泄露事件,如 Roomba 承包商曾在 Facebook 上曝光私人数据。
地理位置数据的过度保留:Yoti 收集并存储用户的地理位置数据(国家、州、甚至城市)长达五年,声称用于确定适用哪些本地年龄规则。AEPD 认为,一旦应用在账户创建时确定了适用规则,继续保留位置数据数年没有实际必要。
同意设计的黑暗模式
Yoti 的同意机制体现了典型的 "黑暗模式"(dark pattern)设计:用户被默认勾选参与内部研究,除非主动取消选择。这种设计涵盖的数据范围极其广泛,包括面部图像、视频、出生日期、性别、证件类型、签发国家,甚至包括用于偏见测试的估计种族或民族起源。
在 GDPR 框架下,生物识别数据属于 "特殊类别个人数据",需要获得用户的明确同意(explicit consent)。默认勾选的做法显然不符合这一标准。AEPD 的处罚决定指出,Yoti 未能证明其获得了处理此类敏感数据的有效法律依据。
这一案例揭示了一个更广泛的行业问题:年龄验证服务往往以 "保护未成年人" 的正当性为由,收集远超必要范围的数据,并通过界面设计诱导用户接受更宽泛的数据使用条款。当用户面临 "验证通过才能访问内容" 的压力时,所谓的 "自愿同意" 实际上是一种虚假选择。
合规边界的工程化设计
基于 Yoti 案例的教训,年龄验证基础设施的隐私合规需要从架构层面进行重新设计:
数据保留期限的硬性限制:生物识别模板应在验证完成后立即删除,或最多保留 24-72 小时以支持申诉处理。账户恢复功能应通过替代机制(如备用邮箱、硬件安全密钥)实现,而非依赖长期存储的面部数据。
第三方共享的透明化:必须在用户界面明确披露所有数据接收方,包括第四方服务提供商。共享范围应限制在 "完成验证所必需的最小数据集",而非默认共享完整的用户画像。
设备指纹的隔离策略:年龄验证应使用一次性会话标识符而非持久设备指纹,防止跨网站追踪。验证完成后,设备特征数据应立即清除。
人工审查的自动化替代:28 天的人工审查窗口应尽可能压缩,并通过自动化欺诈检测技术替代人工查看。必须人工介入时,应使用差分隐私或安全多方计算技术对敏感数据进行脱敏处理。
同意的分层设计:将 "验证服务" 与 "研究参与" 明确分离,后者需要独立的明确同意,且不得作为使用验证服务的前提条件。
结语
Yoti 被罚事件并非孤立的合规失误,而是年龄验证基础设施系统性问题的缩影。当这类系统从 niche 服务演变为互联网访问的 "守门人" 基础设施时,其数据处理的每一个设计决策都会产生放大的社会影响。Georgia Tech 的研究发现 Yoti 每天执行约一百万次年龄检查,这意味着其数据处理实践直接影响数千万用户。
年龄验证的隐私工程挑战在于平衡安全目标与数据最小化原则。当前的行业实践倾向于以 "功能完整性" 为由不断扩大数据收集范围,但 Yoti 案例表明,这种扩张正在触碰监管红线。对于依赖年龄验证服务的平台而言,审查提供商的数据共享实践、保留政策和同意机制,应成为供应商尽职调查的标准流程。
资料来源
- AdGuard: "Age verification firm fined for excessive data retention and invalid consent" (2026-03-25)
- Georgia Tech Security, Privacy, and Democracy Research Laboratory: "Age Verification" (2026-03)
内容声明:本文无广告投放、无付费植入。
如有事实性问题,欢迎发送勘误至 i@hotdrydog.com。