《在线安全法案》实施一周：网络安全专家深度解析

英国《在线安全法案》于2025年7月25日正式生效。一周以来，网络安全专家们对该法案动荡的首周实施情况进行了深度反思。

社会反应与技术应对

法案生效后引发大规模公众抗议，超过40万人签署请愿书要求彻底废除该法案。英国政府已拒绝此提议，且未有让步迹象。与此同时，消费者纷纷寻找应对方案：英国VPN使用量激增，某服务注册量暴涨超过1400%。许多人质疑被要求存储敏感数据的组织和第三方机构的安全性。令人惊讶的是，Spotify等（未必被视为“成人”的）网站也开始要求用户上传身份证件，引发公众对数据收集界限的担忧。

专家技术观点

VPN的技术规避与政策困境

**Brian Higgins（Comparitech安全专家）**指出：
“立法合规以比合理范围更严苛的方式影响平台和用户。Spotify因要求年龄验证（AV）而使用户沮丧，一位英国演员发现无法访问社交媒体上自己孩子的照片。人们自然会寻找规避方案——Ofcom是否会逮捕所有使用伪造AI驾驶执照访问Facebook的人？”

**Graeme Stewart（Check Point公共部门负责人）**警告：
“禁止VPN将使英国与中国、俄罗斯和伊朗为伍。政府试图规范网络危害的做法适得其反：为阻止儿童接触有害内容，驱动数万甚至数十万人采用使合法拦截近乎不可能的工具。更糟糕的是，他们将执法外包给不负责任的第三方，依赖零散数据库且无安全、合法性或透明度保证。已有证据显示伪造的Google和ChatGPT生成ID被接受。”

身份验证的安全漏洞

**Lucy Finlay（Redflags安全行为与分析总监）**分析：
“要求网站通过实时自拍或ID副本验证年龄，为网络犯罪分子开辟了新攻击途径，并为政策制定者带来隐私问题。首先，这可能在受损网站上设置恶意ID验证提示，将敏感数据从毫无戒心的用户处转移——这是‘ sludge ’（ sludge ）的典型例子，即通过设置摩擦或障碍迫使用户本能地同意请求而非质疑其合法性。其次，外国公司被聘为网站提供验证服务，引发数据监管和隐私难题。最后，这些公司可能受到恶意行为者的严密审查，以获取ID和可用于勒索的材料。”

数据存储与黑客风险

**Chris Hauk（Pixel Privacy消费者隐私倡导者）**强调：
“向网站（尤其是成人网站）提供个人数据（包括政府ID）风险极高。许多成人网站由不良个人和团体运营，交出ID图像可能允许这些犯罪分子利用信息进行犯罪活动。即使要求政府ID登录的网站信誉良好，信息也可能在数据泄露中暴露——如2015年Ashley Madison数据泄露事件，超过60GB用户数据被发布。”

儿童保护的技术与教育平衡

**Anne Cutler（Keeper Security网络安全专家）**提出解决方案：
“《在线安全法案》为数字平台引入了复杂的安全义务，包括年龄验证、内容审核和数据收集要求。但平台被要求收集和存储高度敏感的个人数据，这引发了如何安全管理这些信息及其基础设施是否胜任的紧迫问题。内容审核需要安全至上的策略，重点防止未经授权的访问，防范内部威胁、第三方供应商和网络犯罪分子。平台必须从基础开始整合安全——通过强大的访问控制、特权用户管理、加密和漏洞检测。长期数字韧性还需投资于安全和安全教育，不仅针对儿童，也针对构建、管理和保护这些系统的成年人。”

**Mayur Upadhyaya（APIContext CEO）**补充：
“一夜之间彻底改变并不奏效，特别是当唯一替代方案是技术强制时。我们已经看到免费VPN使用激增，这带来恶意软件、跟踪器和数据泄露等严重风险。更令人担忧的是这造成的文化鸿沟：当孩子们觉得必须隐藏在线行为时，家长所需的开放对话就被关闭了。《在线安全法案》的初衷是好的，但真正的改变需要教育、更安全的替代方案和信任，而不仅仅是技术限制。”