[年齡驗證] 英國的「線上安全法」被以各種方式玩弄：用 VPN 繞過它，用死亡陷阱避開生物辨識。

.

什麼是英國的《線上安全法》

？ .

英國的《線上安全法》於 2023 年 10 月 26 日經國王批准正式通過成為法律，並於 2025 年 3 月 17 日全面生效（實際執行日期由條款逐一確定），要求線上服務供應商評估非法或有害內容對兒童的風險，並管理 .英國通訊監管機構 (Ofcom) 已開始執法。包括社交網路和搜尋服務在內的各種大小企業都受到 Ofcom 的監管，違規者將受到懲罰 .在特別強調保護兒童和加強年齡驗證的同時，也提出了表達自由和小型企業負擔的問題

。 . .

其中一些附加條文已於7月25日生效。一些核心規定，例如強制年齡驗證。

一些核心條文於7月25日生效，當中提及有關保護未成年人的附加義務及條文。主要內容如下。

<！

<！-- /wp:list-item -->
• 平台經營者現在有義務保護 18 歲以下的使用者免於非法或有害內容的侵害 。
. .
• 受規管的新犯罪包括分享 「深度假色情 」和人工智能的 「網路閃光」 .
.
• 更強制性的年齡驗證，平台必須實施進階的年齡驗證方法，並確保未成年人無法存取成人內容和其他內容.
. .
• 從設計階段就開始保護未成年人權利和安全的強制性方法，包括將未成年人的帳戶和個人資訊默認設為隱私、增加防止網絡欺凌和不當聯繫的功能、AI 聊天機安全措施以及消除令人上癮的設計元素.

. 此條款要求逐步對平台進行系統性和操作性強化，以 「保護未成年人免受有害或非法內容的侵害」。但是，對於較小的企業有一些特殊的例外和豁免。表 1 對其進行了總結。

. 。

Case	Exempt from OSA regulations (special case)	Supplementary
用於內部業務使用 (例如內部網路)	○	在「封閉」環境中，例如當使用者為內部
功能受限（僅限於審閱和評論部分）	○	僅發表評論和評分，無其他互動功能
新聞出版商和廣播公司	○	媒體條款明確排除
小型但高風險的有害內容網站	x	政府/Ofcom 在每個案例中的決定

。 . .

通訊辦公廳允許的年齡驗證方式

。

以下 「穩健且高度有效 」的年齡驗證方法已被列為 Ofcom 於 2025 年 7 月允許使用的方法.

. 。

<！-- wp:list-item -->
1. 藉由臉部辨識估計年齡 (人工智慧藉由自拍照估計年齡)
. .
2. 照片身份驗證（上傳和驗證正式文件的影像，例如駕駛執照和護照）
. .
3. Digital ID services (using information already registered with a digital ID wallet such as Yoti)
. .
4. 銀行帳戶等的開放銀行認證（通過銀行的安全登錄系統提供年齡資訊）
. .
5. 行動電話線合約資訊（以電話號碼和電信業者合約資訊驗證年齡）
. .
6. 驗證信用卡詳細資料 (使用要求您年滿 18 歲的信用卡)
. .
7. 分析與電子郵件帳號連結的使用記錄 (使用特定服務的年齡使用記錄)

.由於每種方法在隱私權保護和資訊洩漏風險上都有差異，因此業者必須根據風險評估來選擇技術。

.

這個範圍很廣，但各種漏洞在 7 月 25 日執行後不久就開始被使用。

漏洞 1：VPN

。 .

正如之前法國類似法律生效時的情況一樣，VPN 註冊數量急劇增加。在法律生效後的幾分鐘內，註冊人數就增加了 1400%。(順帶一提，在法國是 1000%）。

.

Just a few minutes after the Online Safety Act went into effect last night, Proton VPN signups originating in the UK surged by more than 1,400%.

Unlike previous surges, this one is sustained, and is significantly higher than when France lost access to adult content. pic.twitter.com/W9R5FQBWKa

— Proton VPN (@ProtonVPN) July 25, 2025

.

Ofcom 禁止平台和網站經營者張貼「推廣、宣傳或鼓勵使用 VPN」的內容，以幫助未成年人繞過「網路安全法」規定的年齡驗證程序，但卻無法禁止 VPN 本身、這似乎迫使我們做出困難的回應。

. .

漏洞 2：臉部成像估計年齡的缺陷

。 .

如上所述，Ofcom 也允許 AI 人臉年齡估算。具體機制如下。

。

<！-- wp:list-item -->
1. 人臉偵測與特徵點萃取 系統首先從攝影機和影像中自動偵測人臉。
.
2. 識別 「面部特徵點」，如眼睛、鼻子、嘴巴和輪廓，並提取特定年齡的模式，如面部表情、皺紋、皮膚紋理和輪廓變化.
<！
3. AI 年齡估計<！-- wp:list -->.
   <！-- wp:list-item --> 一個機器學習（主要是深度學習、CNN 等）模型是用數百萬到數千萬的 「人臉圖像 + 真實年齡資料」 . . 。
   • 輸入的臉部影像的特徵會與訓練過的模型過去所見過的大量臉部模式做比較。’具有類似特徵模式的人，這張臉的平均年齡是多少？系統會統計計算出 .
   . .
   • 在許多情況下，估計年齡的範圍是「◎到XX歲」，而不是絕對年齡，而且臉部影像本身會在退出時立即刪除，以確保隱私 .
<！
4. 處理流程 (範例)<！-- wp:list {"ordered":true}-->。
   <！-- wp:list-item -->
   上傳臉部影像/從攝影機擷取視訊。 .
   1. Face detection -> feature point extraction -> input to age estimation model
   . <！
   2. 輸出最近的年齡群或平均估計年齡
   。
   3. 輸出最接近的年齡群或平均估計年齡
   。 .
   4. 返回結果並刪除圖片
   .

<！ 提出的優點包括：

<！

<！-- /wp:list-item -->
不需要個人資料，注重隱私<！-- wp:list --><！-- wp:list-item -->
• 由於只需 「臉部影像 」即可暫時完成年齡估算，無需輸入姓名、出生日期、身份證號碼等資訊，大大降低了資訊外洩的風險。.

<！

高度準確和快速的判定<！-- wp:list -->

<！-- wp:list-item -->
• AI 估計通常比人類的視覺和人員判斷更準確，而且不易出現誤識和主觀偏差.
. .
• 僅需幾秒鐘即可判定。立即可用於大型服務、無人收銀機和自動售票機。

<！

Inclusiveness (accessible to all)<！-- wp:list -->

<！-- wp:list-item --> 提供給沒有實體身分證件（如護照或駕駛執照）的人使用。該系統對年輕人和老年人也很友好，他們有更多機會核實自己的年齡.

.

Anti-spoofing and security<！-- wp:list -->

<！-- wp:list-item -->
• Liveliness checks（透過真實攝影而非靜態影像進行識別）以解決透過照片和視訊進行「身分盜用」的風險.
.

.

Improve operational efficiency & deter deter problems<！-- wp:list -->

<！-- wp:list-item --> 大幅提升作業效率，精準快速，不需仰賴店員的判斷，減少偽造證件與糾紛（與客戶糾紛）..

.

證書借貸攻擊抵抗<！-- /wp:list -->.

<！-- wp:list-item -->
• 向年長者借用證書較難通過年齡驗證。

<！ 在 ISO/IEC 27566-1 年齡保證系統第 1 部分：架構中，這是稱為年齡估計的部分。

儘管 Discord、Reddit、BlueSky 和 Xbox 等線上服務，以及英國零售商店和連鎖餐飲店的自助結帳系統都在不斷進步，但一些實作卻被利用簡報攻擊抗性攻破，成為熱門話題。具體來說，據 Discord 上的報導，可以利用 Sony Interactive Entertainment 發行的動作遊戲 Death Stranding (死亡搁浅，Deathst) 的照片模式攻破[註]Satomi. 2025-.08-03. 利用「遊戲畫面自拍」攻破 18 禁網站年齡驗證安全漏洞。 Gizmode. https://www.gizmodo.jp/2025/08/k-id.html (retrieved 2025-08-06)[/note].

. .

《Deathst》中的拍照模式是一個多功能系統，可讓您盡情拍攝遊戲中的風景和角色。按下觸控板左側的按鍵即可啟動，此系統可讓您自由改變攝影機的位置和角度，詳細調整各種設定，並可在遊戲進度暫停的情況下，詳細改變被拍攝對象 Sam（主角）的姿勢、表情和目光。使用此功能，使用者似乎可以依照「往右邊看」等指示，突破 Discord 的年齡推估。 ISO/IEC 30107 生物辨識呈現攻擊偵測與 ISO/IEC 19989 標準與ISO/IEC 30107 生物辨識呈現攻擊偵測與 ISO/IEC 19989 生物辨識系統安全評估的準則與方法，或許這些標準有遺漏。未來的發展將會受到監督。

. .

.