平台怎么证明用户“已经成年”?巴西正在把年龄核验推入真正的监管阶段

来源:那一片数据星辰

文章摘要
一、从“年龄验证”到“年龄核验”:巴西监管真正开始处理的是什么问题 (一)这不是一份技术说明,而是一份进入监管程序的制度文件 巴西国家数据保护局(Autoridade Nacional de Prot
一、从“年龄验证”到“年龄核验”:巴西监管真正开始处理的是什么问题

(一)这不是一份技术说明,而是一份进入监管程序的制度文件
巴西国家数据保护局(Autoridade Nacional de Proteção de Dados,ANPD)于2026年3月发布的《可信年龄核验机制:初步指引》,并不是一份一般意义上的儿童上网安全倡议,也不是围绕某一类识别工具的技术说明。文件的直接目的,是在正式规则出台前,为面向儿童、青少年,或者可能被儿童、青少年访问的信息技术产品和服务,提供“可信年龄核验机制”的初步实施参数;在正式指引发布前,这份文件还将作为ANPD监测活动的参考。文件同时明确,其制度基础在于2025年《儿童和青少年数字法》(Estatuto Digital da Criança e do Adolescente,ECA Digital)及2026年3月18日实施法令,目的在于帮助受监管主体理解新法框架下年龄核验的基本要求。
如果只把它理解为“平台该不该加一个年龄验证入口”,其实会低估这份文件的分量。它真正处理的问题是:当平台、应用商店、操作系统或者其他数字服务需要判断用户是否达到某个年龄条件时,这个判断应当如何进行,才能既真正服务于儿童和青少年的保护,又不因为核验本身而制造新的隐私、歧视和系统性治理风险。文件开头已经把年龄核验放进ECA Digital所确立的整体逻辑中:那不是一个孤立的产品功能,而是儿童和青少年数字保护框架中的关键控制点。
(二)ANPD所说的“年龄核验”,已经不是“填个生日”那么简单
文件对“年龄核验”的定义本身就很说明问题。根据其援引的法令第2条第IV项,所谓年龄核验,是指通过文件分析、生物特征分析、使用模式分析以及其他技术上适格的方式,对用户年龄或年龄区间进行验证、估算或推断的一类程序。也就是说,ANPD并没有把年龄核验限定为某一种工具,而是将其理解为一整类可能采用不同技术路径、因而也具有不同法律风险结构的治理方案。
这一定义的真正意义在于,年龄核验在巴西法语境下已经不再是一个轻量化的前端动作,而是一个需要在不同方案之间作出法律取舍的问题。证件核验、生物特征分析、可验证凭证、加密令牌,甚至基于行为模式的推断,虽然都可能服务于年龄判断,但它们在准确性、侵入性、排斥性与治理风险上的表现并不相同。ANPD讨论的重点,不是“哪种技术更先进”,而是哪一种方案能够在儿童保护、数据保护、平等接入与制度可控之间建立起更合理的平衡。也正是在这一点上,文件明确与“用户自己填写出生日期即可”的思路拉开了距离。ANPD指出,完全依赖自我声明的方案,由于其依赖容易操纵的信息,且缺乏完整、独立的数据来源支撑,可靠性较低。
(三)六项要求的真正意义,不在“多提了几个条件”,而在重新定义合法性边界
ANPD并没有机械复述法令第24条的11项最低要求,而是将其整理为六组核心要求:比例性、准确性/稳健性/可靠性、隐私与个人数据保护、包容与非歧视、透明与可审计性,以及互操作性。文件还说明,后续正文将围绕这六项要求逐一展开,并在附件中给出主要建议的汇总表。
这一结构本身已经揭示了这份文件的制度方向。巴西监管并没有把年龄核验仅仅当成“识别精度问题”,而是把它放进一个同时涉及风险平衡、技术性能、个人数据处理、平等接入、用户告知、责任留痕以及跨系统信息流转的综合治理框架里。换言之,ANPD要规范的不是单个工具,而是任何年龄核验方案都必须落入的制度边界。
二、什么才算“可信年龄核验”:ANPD如何同时提高要求、收紧边界
(一)比例性与可信性要求,意味着年龄核验不是越强越好,也不是形式上存在就够了
在六项要求中,比例性是全篇的起点。指南明确指出,ECA Digital采取的是一种风险导向模式,要求供应商根据其内容、产品和服务固有的风险,采取相称的预防和减缓措施;法令第24条第I项又将这一逻辑直接引入年龄核验领域,要求解决方案必须符合“所采用方案与服务相关风险水平之间的比例性”。文件进一步解释,平台在选择年龄核验方案前,必须同时识别并评估两类风险:一类是产品或服务本身对儿童和青少年的风险,另一类是年龄核验机制自身带来的风险,例如敏感数据处理、共享扩张、不当进入障碍、歧视性偏差和安全事故暴露。
这一点决定了整份文件的基调。原文要求在服务风险与机制风险之间进行比例性衡量,因此并不存在脱离场景、单纯追求更强识别强度的正当性。文件特别指出,若方案涉及生物特征数据,由于其属于敏感个人数据,就需要更高强度的适当性与必要性论证;个人数据保护影响报告(Relatório de Impacto à Proteção de Dados Pessoais,RIPD)以及面向儿童安全和健康的风险影响评估,也被明确点名为相关工具。由此可见,年龄核验在巴西已经不只是一个产品准入门槛,而成为一个需要做必要性论证、替代方案比较和风险均衡的合规系统。
在技术性能层面,ANPD又把准确性、稳健性和可靠性放在同一组中处理。准确性对应年龄判断的精确程度;稳健性对应机制抵抗规避、绕过和欺诈的能力;可靠性则进一步指向在不同场景中持续、可验证地产生适当结果的能力。文件强调,平台不能满足于某种方法“理论上可行”或者“实验环境中表现尚可”,而应以清晰、适当的指标进行测量、记录和定期评估,以发现技术过时、规避路径与改进空间。附件还进一步要求,在机制上线前后开展稳健性测试,尤其要关注儿童和青少年能够实际实施的绕过方式。ANPD在这里给出的最直接监管信号,就是把数据来源质量纳入可信性判断,并明确指出完全依赖自我声明的方案可靠性较低。对于平台而言,这意味着“用户自己选择已满18岁”这种设计,越来越难以被视为真正意义上的年龄核验。
(二)隐私与个人数据保护,意味着年龄核验不能变成新的身份收集入口
虽然文件标题是年龄核验,但规范密度最高的部分,其实是隐私与个人数据保护。ANPD明确指出,只要年龄核验涉及个人数据处理,它就不只是一个产品问题,而是一个数据保护问题。文件援引ECA Digital第12条指出,应用商店和操作系统在提供年龄信号时,应通过安全API实现,并以“默认隐私保护”为基础;相关数据流必须遵循最小化原则,不得对儿童和青少年的个人数据进行持续、自动化和不受限制的共享;用于年龄核验的数据也只能用于这一目的。文件还进一步强调,后续监管不得在任何情况下导致大规模、一般性或无差别的监控机制落地。
在此基础上,ANPD将这里的要求概括为六个保护边界:数据最小化、隐私保护、数据安全、禁止二次使用、禁止可追踪性,以及禁止持续、自动化和不受限制的数据共享。文件特别强调,年龄核验数据不得再被用于行为广告、画像、用户分类、资料丰富化,或者推断习惯、偏好和浏览模式。与此同时,原文通过可验证凭证和零知识证明(Zero-Knowledge Proofs,ZKP)的举例,展示了一种更符合数据最小化原则的技术方向,即尽可能以年龄属性证明替代完整身份暴露。这里透露出的制度方向非常清楚:年龄核验的核心并不在于让服务提供者接触更多身份信息,而在于使其获得为特定目的所严格必要的年龄结果或年龄属性。
(三)包容、非歧视、透明与互操作性,共同决定一套机制是否真正可接受
在包容与非歧视部分,ANPD讨论的并不是抽象伦理原则,而是年龄核验的合法性边界。文件明确指出,年龄核验机制的实施不应直接或间接造成数字排斥,也不能对合法数字产品和服务的接入形成不成比例的障碍。文件特别举例说明,完全依赖官方证件核验的方案,可能会对难民或其他处于脆弱处境、缺乏有效证件的人造成不当障碍;运动能力、认知能力以及设备和网络接入条件,也都应被纳入设计考量。为此,文件建议在适当情况下提供替代性或补充性的年龄核验路径。非歧视部分则直接锚定LGPD关于不得为非法或滥用性歧视目的处理个人数据的原则。ANPD提醒,不同方法在不同群体之间可能存在性能差异,尤其是某些基于面部生物特征的方法,在性别、种族和族裔群体间可能出现不一致的准确率,进而产生歧视性效果。这里真正重要的不是“技术可能有偏差”这种一般性提醒,而是:如果一种方案在效果上制造了结构性排斥,它就可能与其被采纳时所宣称的保护目的发生冲突。
在透明与可审计性部分,ANPD释放出的信号同样清楚:未来监管不会满足于查看一份形式上的隐私政策,而会关注平台能否说明这套机制是如何设计、如何运行、如何测试、如何纠错以及如何留痕的。文件要求平台以清晰、准确且容易获取的方式说明年龄核验机制的目的、处理哪些数据、涉及哪些主体以及核验的实际后果;同时,还应为年龄或年龄区间结果提供争议和更正渠道。平台还应记录机制实施过程,包括用于评估准确性、稳健性和可靠性的测试与经验数据,并在上线后维护准入或拒绝准入等审计日志。但与此同时,ANPD又明确要求,审计日志应尽量避免保存生物特征数据、图像或从身份证件提取的数据;在可能情况下,只应保留功能性元数据,例如核验结果、访问时间和所用方法,而不再复制原始个人数据。原文要求平台保留与机制实施、测试、争议处理和审计相关的过程记录;由此可见,ANPD关注的重点并不止于形式化说明,而在于机制是否真正具备可解释、可审计和可追溯的实现路径。
互操作性部分则使整份文件具有了更强的前瞻意味。ANPD指出,互操作性意味着不同技术系统能够通过共同格式和标准进行通信,从而允许不同公共和私营解决方案之间的协调和整合。在年龄核验场景下,这一点尤其重要,因为重复核验会增加用户摩擦,也会扩大数据收集和处理节点。一个设计良好的互操作架构,可以使接收方仅获得为特定目的所严格必要的年龄结果或年龄属性,而不需要在每次访问服务时重新采集用户数据。文件围绕这一点展开得相当具体。它提到应用商店和终端操作系统通过安全API向互联网应用提供年龄信号,也讨论了可信中介、可验证凭证、加密令牌乃至双盲(double-blind)架构等技术路径。与此同时,ANPD又反复强调,互操作不应被理解为建立庞大的综合数据库,也不应演变为不同平台之间持续不断地传输个人数据。其目标应当是减少重复识别和数据暴露,而不是创造一个新的集中式身份节点。更准确地说,原文已经开始勾勒一种“年龄信号层”或“年龄信号基础设施”的制度想象,但这仍属于初步监管框架下的方向性展开,后续仍待更具体规则予以细化。
三、为什么这已经不是“未来可能发生”的问题,而是一个现实中的监管进程
(一)ANPD已经公布监管时间表,年龄核验开始进入现实监管程序
如果只看指南正文,这份文件仍可能被理解为“先给市场一些方向”的解释性材料。但ANPD在2026年3月20日发布的官方说明,已经把它进一步放进现实监管节奏之中。官方明确表示,这份初步指引将作为ANPD的机构立场和监测活动参考,直至正式指引在社会咨询后发布。更重要的是,ANPD同步公布了围绕年龄核验的监管时间表。根据官方说明,针对数字产品和服务供应商适配ECA Digital义务的监测,实际上自2025年就已开始;此次又增加了两阶段与年龄核验直接相关的监测安排。
第一阶段已经立即启动,优先针对应用商店和专有操作系统。ANPD解释其理由时非常直接:这些主体在设备端年龄核验和家长监督机制中具有结构性作用,能够在终端层面形成广泛而横向的影响;同时,这些市场集中度较高,对少数关键节点开展监管,可能对整体数字服务生态产生更大的外溢效果。第二阶段预计将在2026年8月、即正式指引发布后启动,再扩展至其他行业或供应商群体,具体对象将根据第一阶段掌握的信息以及ECA Digital所采用的风险标准来确定。ANPD还表示,将更新其监管与行政处罚规则,明确违法调查程序和处罚适用标准;而这一时间表并不排除其基于投诉或高风险线索随时启动其他执法行动。
(二)这份文件真正重要的地方,不在“要求更多”,而在“边界画得更清楚”
将指南正文与监管时间表放在一起看,就能看到这份文件的真正位置。它不是一份单独存在的技术说明,而是已经被纳入一条从初步参数、重点监测、扩围监管到处罚规则更新的现实监管路径中。对市场而言,真正的变化不在于“监管开始讨论这个问题”,而在于监管已经开始决定先看谁、怎么推进、下一步如何从监测走向执法。
更重要的是,ANPD并没有走向两个容易出现的极端。它既没有接受“用户填个生日即可”的轻量化路径,也没有接受“为了保护未成年人,平台可以无限加强识别与数据处理”的粗放路径。相反,这份指南始终在做一件事:把年龄核验放回一个受比例性、数据最小化、反歧视、透明问责和系统边界共同约束的治理框架之中。也正因为如此,这份文件真正值得关注的地方,并不是它列出了六项要求本身,而是它试图回答一个更深的问题:当国家要求平台更有效地保护未成年人时,这种保护不能简单地通过扩大识别、扩大留痕和扩大数据处理来完成。平台当然需要知道用户是否满足某个年龄条件,但这种“知道”的过程,也必须尽量限制在必要、相称、可解释、可审计且不滑向监控扩张的边界之内。
四、结语:巴西正在把年龄核验从产品功能推向治理结构
(一)年龄核验正在从产品设计问题转变为治理结构问题
如果只看标题,这似乎是一份关于年龄核验的技术指引;如果结合其制度背景与监管时间表来看,它更像是一份关于数字平台责任边界的早期路线图。ANPD正在尝试回答的,不只是“平台如何识别未成年人”,而是“平台可以在什么样的制度约束下识别未成年人”。这份初步指引与同步公布的监管安排一起,已经把年龄核验从抽象讨论中的产品功能,推进为一个正在进入现实监管排程的合规议题。
(二)监管切入点的选择,也揭示了巴西下一步的治理思路
应用商店和操作系统之所以被优先纳入第一阶段监测,也说明ANPD正在从最具结构性影响的节点切入,逐步塑造一套覆盖更广数字生态的年龄信号治理框架。换言之,巴西当前要处理的,已经不只是“某个平台如何识别未成年人”,而是“整个数字生态如何在不滑向过度监控的前提下,建立起一套可执行、可约束、可问责的年龄判断机制”。
技术驱动法律,专业成就未来