【年龄验证公司因过度保留数据及无效同意被罚】一个无隐私时代的预警信号
英国年龄验证公司 Yoti 近日被西班牙数据保护机构(AEPD)处以总计 95 万欧元的罚款,原因是其违反了欧盟具有里程碑意义的数据保护法律《通用数据保护条例》(GDPR)。该罚款涉及三项独立的违规行为:50 万欧元因非法处理生物特征数据,20 万欧元因在未获得有效同意的情况下处理数据,25 万欧元因过度保留数据。
Yoti 计划对这一裁决提出上诉。此案之所以引人注目,并非因为罚款总额(与 Meta 等科技巨头创纪录的天价罚款相比,这远远不及),甚至也不在于违规行为本身的性质。
真正让人不安的是 Yoti 所处的业务领域:年龄验证。
随着世界各国政府纷纷推动立法,要求网站(从成人平台到主流社交媒体)根据年龄限制访问权限,像 Yoti 这样的公司正迅速成为互联网的守门人。它们不再是边缘化的服务提供商,而是成为了基础设施。
而正因如此,每一次失误都显得更加重要。
当一家承担大规模身份验证任务的公司处理敏感数据不当,其影响不会局限在局部,而是会不断放大。这类系统被设计成持续运行,在幕后默默处理数百万次验证请求。一旦出现问题,受影响的就不只是少数用户,而是可能波及整个群体。这正是此案意义重大的原因所在。
Yoti 如何验证身份?
在深入探讨之前,需要先说明一个重要的细节:Yoti 的运作方式不止一种。它提供多种身份识别解决方案,从基于快速面部扫描的简单年龄估算检查,到可重复使用的可存储和分享的数字身份凭证,再到完整的基于证件的身份验证。此次裁决仅涉及 Yoti 的其中一款产品,Yoti 应用,这是 Yoti 提供的最难造假的身份验证方式之一。
要开始使用该应用,用户必须上传政府颁发的身份证件,如护照或驾照。接着,需要进行面部扫描,可能涉及在将手机移向面部时拍摄一系列图像,或者录制一段视频,并在其中说出几句话,以便进行「活体检测」或「反欺诈」检查。这能确保被扫描的面部是真实、活生生的人,而不是照片、视频或面具。随后,应用会将自拍中的面部与证件上的面部进行比对。如果匹配通过,系统就会创建一个生物特征模板,一个可重复使用的、属于你面部的数字指纹。
这种方法与某些其他方法的关键区别在于,这个模板不会在验证后消失。它会一直保留在 Yoti 的服务器上。Yoti 保留它的目的,是为了在用户再次登录、修改 PIN 码或恢复账户时能够重新识别身份。换句话说,最初的一次性年龄检查,会悄悄演变成一个长期存在的生物特征身份识别系统。
不过,并非 Yoti 处理的每次检查都需要上传护照并进行自拍。有时,系统仅通过面部扫描就能估算年龄。在这种情况下,Yoti 扮演的是数据处理者的角色,代表其他机构处理信息。但是,当用户使用 Yoti ID 应用本身时,情况就变了:Yoti 成为了数据控制者,自行决定收集哪些数据、为什么收集以及保留多久。简而言之,它既是运营者,也是规则的制定者。
然而,尽管此次裁决技术上仅适用于 Yoti ID 应用,但它引出了一个更大、更令人不安的问题:如果当 Yoti 完全掌控局面时数据是以这种方式处理的,那么用户对它背后整个生态系统又该有多少信心呢?抛开西班牙监管机构裁决中的技术细节,一个明显的越界模式便清晰浮现。这不是一次性的失误,而可能是一种远超某一产品或功能的更广泛的做法。
过量收集数据,真正的选择却太少
抛开那些法律术语,Yoti 的违规行为归结起来非常简单:它收集了过多的敏感数据,给用户留下的真正选择太少,而且保留这些数据的时间远超合理范围。
根据 GDPR,Yoti 的应用使其同时承担数据处理者和数据控制者的角色,这意味着在处理敏感信息(包括监管机构认定的特殊类别个人数据,生物特征扫描)时,它必须遵守更高的标准。
这些生物特征扫描会存储在 Yoti 的服务器上,只要账户处于活跃状态就一直保留,并在最后一次活动后继续保留三年。Yoti 称,这是为了让用户可以更改 PIN 码或恢复账户。但监管机构认为,将数据保留数年之久远超必要范围。监管机构认为,验证「摄像头前是真人」这一主要目的,在账户创建时就已经实现了。同时还指出,更改 PIN 码和恢复账户属于罕见操作,因此「以防万一」地保留所有人的生物特征数据,纯属过度且不合比例。
至于用户同意方面,Yoti 被指控采用了典型的暗黑模式。用户默认被勾选了同意交出生物特征数据供内部研究使用,除非他们主动取消勾选。这涉及的数据规模不小,涵盖了面部图像、视频、出生日期、性别、证件类型以及签发国家。
其中甚至还包括用于偏差测试的估算得出的种族或族裔出身。
简而言之,用户是在被诱导的情况下分享了海量敏感数据,而并没有真正有意义的选择。
监管机构指出的另一项数据收集行为是,Yoti 会收集并存储地理位置数据,包括用户的国家、州/省,甚至城市,这些数据会被保留五年。Yoti 称,这有助于确定每位用户应遵守哪些当地年龄规定。但监管机构则认为,一旦应用在账户创建时就已经知道该执行哪些规定,之后连年保留用户的位置数据就没什么实际意义了,五年的保留期限听起来实在过分。
除此之外,Yoti 表示在验证完成后,其内部仍可在长达 28 天内对用户证件进行人工审核。在此期间,其位于印度安全中心的员工可以对证件进行欺诈人工检查或用于培训。虽然 Yoti 将文件保存在英国服务器上并声称是「安全的」,但为了执行这些检查,员工仍然必须能够查看文件,因此此时文件无法以加密形式呈现。28 天过后,员工虽无法再访问,但文件未必会被删除,这意味着你的敏感证件可能仍在它们的系统中继续留存。
这引发了显而易见的隐私担忧。外包验证服务中的人工审核员泄露或不当处理敏感个人信息(包括身份证件和生物特征数据)的案例已有多起。一个典型例子是 Roomba,其承包商曾在 Facebook 上泄露过私密数据。即便有政策和加密措施,任何人工访问都会为潜在滥用打开一扇窗,Yoti 的做法自然也不例外。
针对这一裁决,Yoti 表示「以最强烈的措辞反对」这一决定,并声称「非常重视数据保护」。
Yoti 作为全球范本
Yoti 并非又一家普通的年龄验证公司。它是行业领导者之一,其影响力远超单一应用的范畴。据报道,Yoti 一定程度上帮助推动了美国试图对互联网进行年龄验证的新立法。佐治亚理工学院安全、隐私与民主研究实验室 3 月发布的一份报告(被描述为美国「首次对年龄验证提供商的大规模探索」)发现,Yoti 是主导提供商,在已强制执行年龄验证的美国各州,超过 60% 的合规网站都使用了它的服务。该报告还发现,Yoti 「通常要求最终用户分享敏感数据——面部照片、政府身份证、信用卡信息、浏览器指纹数据、正在访问的网站等等。这些数据不仅可能被委托给签约的提供商,还可能被委托给几个对用户而言透明度低得多的‘第四方’。」
该公司的影响力惊人:据报道,Yoti 每天运行一百万次年龄验证检查,远超其竞争对手 Privately(后者每天最多处理约 10 万次)。去年夏天,当美国最高法院裁定在线年龄验证不违反第一修正案时,法院在一定程度上依据了 Yoti 提供的技术信息。
这种主导地位表明,Yoti 不仅仅是年龄验证市场的参与者。它在塑造规则、制定技术标准,并在整个互联网上悄悄扩大生物特征和身份数据收集的版图,从而使其数据处理行为关系到远超出英国和西班牙之外的数百万用户。
影响:无隐私时代的预演
此案证实了隐私倡导者多年来一直警告的观点:在敏感个人数据之上构建大规模年龄验证,几乎不存在安全的方式。
在幕后,Yoti 不仅仅是验证身份;它还将数据挪作他用,用来训练和完善自身系统,将用户卷入了他们从未主动同意的研究和算法改进之中。即便去掉了姓名和地址,剩下的面部图像、视频以及从证件中提取的属性,仍然是永久且高度个人化的。
监管机构可能呼吁最小化收集、限制保留时间、避免跟踪,但现实恰恰相反,像 Yoti 这样的系统,以「安全」之名、以「便利」为由,收集超出必要范围的数据,存储时间超出合理期限,并挪作他用。
当前设计的年龄验证方式,创造了隐私法律本意要防范的集中式高风险数据环境。Yoti 并非个案,而是一个范本。除非根本模式发生改变,否则它不会是最后一个越界的企业。这次罚款不仅关乎一家公司未能合规;它是对整个系统的警告。这个系统使生物特征监控常态化,助长了数据囤积行为,并要求用户盲目相信一切都会得到妥善处理。
