歐盟年齡驗證規範強制 Android 或 iOS 平台
歐盟年齡驗證規範強制 Android 或 iOS 平台
歐盟規範將年齡驗證綁定於 Google 與 Apple 的認證
歐洲數位身分錢包計畫發布的技術規範指出 應用程式與裝置驗證必須基於 Google Play Integrity API 與 Apple App Attestation。由於這兩個 API 只在 Google 認證的 Android 裝置與 iOS 裝置上可用,任何採用此規範的服務只能在這些平台上運作。
"App and device verification based on Google Play Integrity API and Apple App Attestation" – README of the
eu-digital-identity-wallet/av-doc-technical-specificationrepository.
為何重要
- 平台鎖定 – 必須遵守歐盟未來年齡驗證規則的開發者將被迫透過 Google Play 或 Apple App Store 發佈應用程式,或至少在能提供所需認證的裝置上執行。
- 排除替代方案 – 基於 Linux 的行動作業系統、未含 Google 服務的 AOSP 分支,以及任何非 Google/Apple 生態系統皆無法滿足此需求,實質上被禁止為歐盟使用者提供服務。
- 資料隱私疑慮 – 認證過程會將使用者的裝置完整性資料交給 Google 或 Apple,令人關注這些美國公司會取得多少生物辨識或使用資訊。
- 監管先例 – 若此規範具法律效力,將為未來依賴外國基礎建設而非自行建置的歐盟數位主權措施樹立先例。
Hacker News 社群回應
此討論吸引了 273 則留言,許多回應突顯了更廣泛的政治與技術影響。
政府發行的應用 vs. 私營部門解決方案
一位評論者認為,政府發行的驗證應用比目前將生物辨識資料交給私營美國公司(如 Roblox)更能尊重隱私。
"I’d much prefer a government supplied app, that’s guaranteed to protect my privacy, and has no business incentive to sell my data…" –
skrebbel
數位主權與缺乏行動裝置策略
另一位使用者指出,歐盟官員正專注於將雲端工作負載從美國供應商移除,卻忽視了行動裝置層面。
"There is ZERO talk about mobile platforms… No alternative solution like Linux for the desktop, no money or care given to the few alternative that tentatively exist…" –
blop
對強制驗證的懷疑
部分參與者警告說,真正的目標可能是更廣泛的監控,而非兒童安全。
"The question isn’t how we should technically force age verification… the question is why they’re pushing it onto everyone." –
gobip
技術說明
一位評論者指出,Play Integrity API 也需要 Google 帳號,進一步增加了使用者身份資料的層級。
"Play Integrity also requires having a Google account and logging in to it on the phone." –
g-b-r
對倉庫的誤解
另一位使用者說明,GitHub 倉庫僅包含參考實作與規範,並非可供最終使用者使用的產品。
"The specification does not prohibit it… the app that does exist is merely a reference implementation, not for end‑user usage." –
perching_aix
對歐盟數位市場的潛在影響
- 競爭減少 – 小型行動作業系統供應商(例如 /e/OS、Ubuntu Touch)將失去任何能為必須遵守年齡驗證規則的歐盟使用者服務的機會。
- 對美國技術的依賴加深 – 依賴 Google 與 Apple 的認證服務,會讓歐盟無意間加深對美國基礎建設的依賴。
- 法律挑戰 – 企業可能主張此要求違反歐盟《數位市場法》(Digital Markets Act),該法旨在防止主導平台的門檻行為。
- 使用者反彈 – 消費者與隱私倡導者可能會抵制一套強制安裝與外國供應商綁定的政府指定應用程式。
可能改變走向的方案?
- 開發歐盟掌控的認證服務 – 為 Play Integrity 與 App Attestation 提供主權替代方案,打破平台鎖定。
- 修訂規範 – 明確允許任何具密碼學可驗證性的認證機制,而非僅限 Google/Apple API。
- 立法保障 – 確保任何強制驗證皆遵循資料最小化原則,且不成為事實上的監控工具。
結論
歐盟目前的年齡驗證草案透過要求 Google Play Integrity 與 Apple App Attestation,實質上強制服務只能在 Android 與 iOS 裝置上運作。此舉造成平台鎖定、隱私疑慮,且與歐盟更廣泛的數位主權目標相左。除非規範擴大範圍或建立歐盟掌控的認證層,否則此提案可能面臨技術、法律與公共輿論的多重挑戰。