近年来,因适龄设计和年龄验证违规引发的全球执法案例显著增多,全球未成年人数智保护的监管重心正加速向防成瘾设计和平台责任转移。对企业而言,这不再是“可选项”,而是必须面对的合规刚需。
2026年3月25日,欧盟委员会对Snapchat正式展开调查,核心问题之一是年龄验证失效——平台依赖用户自我声明,无法有效阻止未成年人访问。若调查成立,Snapchat可能面临全球营业额6%的罚款。2026年2月24日,英国信息专员办公室(ICO)对Reddit处以1447万英镑罚款,理由是无年龄验证、非法处理儿童个人信息等。此前,2025年1月,美国联邦贸易委员会(FTC)与中国游戏开发商米哈游达成和解,罚款2000万美元,并要求其实施年龄验证屏障、获得可验证的父母同意等整改措施。
这些案例释放了明确信号:全球监管机构正在以“平台强制验证”取代“用户自我声明”,以“设计端合规”取代“输出端补救”。对中国的数字平台企业而言,无论是深耕本土市场还是拓展海外业务,都必须将适龄设计与年龄验证纳入产品设计的核心考量,而非作为可有可无的附加功能。
与此同时,中国在2025年密集出台了《人工智能拟人化互动服务管理暂行办法》《国家网络身份认证公共服务管理办法》等专项规范,初步构建了本土化的保护框架。然而,将中国立法与国际标准进行比较可以发现,两者在规制逻辑上存在显著差异:中国仍倚重家长端(要求家长开启未成年人模式、管理使用时间),而国际已转向平台端(要求平台默认保护、主动验证)。这意味着,中国企业在国内面临的合规要求与国际市场的监管预期之间存在落差。
对有志于全球化布局的中国数字企业而言,主动对标国际标准,将适龄设计与年龄验证嵌入产品架构,不仅是规避监管风险的必然选择,更是建立用户信任、提升全球竞争力的战略机遇。中国在数字与人工智能领域走在国际前沿,中国企业完全有能力率先探索从“家长端”到“平台端”、从“输出端干预”到“设计端规制”的监管转型,成为全球未成年人数字保护新范式的引领者。
适龄设计与年龄验证是未成年人数字保护立法中相互依存、不可偏废的两大制度支柱。
适龄设计要回答的是“数字产品应该以怎样的面貌呈现给不同年龄段的未成年人?”它将监管视野从“平台提供了什么内容”转向“平台是如何被设计的”,规制对象从“信息”扩展到“交互方式、界面架构、算法逻辑”。其立法关注维度包括:分龄标准的科学性、成瘾设计模式的识别与禁止、默认保护机制、算法适龄化等。核心难题是如何将“保护原则”转化为“可执行的技术标准”。
年龄验证要回答的是“如何可靠地知道屏幕前的是一个未成年人?”它是所有未成年人保护措施的前提条件。其立法关注维度包括:验证强度的分层设计、技术手段的规范、隐私保护的最小必要原则、基础设施的建设等。核心难题是“有效识别”与“隐私保护”之间的张力。
两者共同构成了“识别—分类—保护”的完整制度链条:年龄验证解决“谁在使用”,适龄设计解决“提供什么样的服务”。没有有效的年龄验证,适龄设计无法精准落地;没有科学的适龄设计,年龄验证就沦为单纯的“身份管控”。
2021年,OECD正式通过了《关于数字环境中儿童的建议》。该建议的核心是将“儿童最大利益”作为数字环境政策制定的首要考量,主要内容包括五个方面:领导力与承诺、法律审查与完善、数字素养推广、循证政策制定、适龄隐私设计。该建议还提出了系统的儿童在线风险分类框架——“4C”框架(内容风险、接触风险、行为风险、消费风险),被后续的欧盟DSA指引等文件广泛采用。
OECD建议属于“软法”性质的国际政策指南,但它首次将“儿童权利”与“数字服务设计”在政策层面建立直接关联,明确提出“适龄设计”作为平台合规的核心要求之一。
IEEE SA围绕五权基金会提出的儿童数字权利原则,构建了以IEEE 2089为核心的标准族。IEEE 2089-2021《适龄数字服务框架标准》建立了一套组织开发适龄数字服务的流程方法,围绕五个关键领域构建框架:识别用户为儿童、考虑儿童权利能力、提供适龄条款、适龄信息呈现、设计决策验证。其核心贡献在于将抽象的“儿童权利”转化为可操作的设计流程,为技术开发者提供了“如何做”的方法论。
IEEE 2089.1-2024《在线年龄验证标准》为年龄验证和年龄估算系统的设计、评估和部署建立技术框架。核心要素包括:置信度等级(从“声明级”到“严格级”四个等级)、准确性与性能要求、隐私与数据保护、防欺诈与安全韧性、问责与治理、测量与证据。其核心贡献在于首次为年龄验证提供了统一的技术基准,通过区分不同置信度等级,允许平台根据风险水平选择适当强度的验证方案,在“有效识别”与“隐私保护”之间建立平衡。
两项标准共同构成了从“框架设计”到“验证实施”的完整技术链条,为立法者、监管者和技术开发者提供了可参照的技术基准。
2025年7月14日,欧盟委员会正式通过了《有关未成年人在线隐私、安全与保障高水平措施指引》。该指引是根据《数字服务法案》(DSA)第28条授权制定的执行措施,对违法者可直接适用上位法的处罚规定——超大型平台最高可被处以其全球营业额6%的罚款。
在适龄设计方面,指引确立了四大基本原则:相称与适当、儿童权利保护、人本设计、适龄设计。具体要求包括:未成年人账户默认设为最高级别隐私;针对未成年人优先使用“外显式”推荐而非“内隐式”推荐;明确禁止无尽滚动、间歇性奖励系统、类似赌博的功能;默认禁用“连胜”记录、自动播放、推送通知等促进过度使用的功能;AI聊天机器人不得自动激活,必须明确警告用户正在与AI互动。
在年龄验证方面,指引将年龄保证方法分为三类:自我声明(不构成有效保证)、年龄估算(通过行为、生物特征等间接指标)、年龄验证(依赖护照、身份证等硬标识符)。指引明确要求:高风险场景必须采用年龄验证;中等风险场景可采用年龄估算;自我声明不单独适用。指引还提出了“迷你ID钱包”方案(基于选择性披露和双重盲化原则),为平衡有效性与隐私保护提供了可行路径。
该指引的核心贡献在于:首次将适龄设计从抽象原则转化为可执行的技术标准;建立了风险分层的年龄验证框架;将儿童权利深度嵌入平台合规体系,以高额罚款为执法保障。
(1)年龄验证是只是部分平台的法律义务
中国将年龄验证作为部分平台的强制法律义务,主要是在网络游戏、直播打赏和拟人化人工智能领域。最典型的是网络游戏《未成年人网络保护条例》明确要求,网络游戏服务提供者应当通过统一的未成年人网络游戏电子身份认证系统验证未成年人用户真实身份信息,平台必须接入,不存在选择性适用。
另外在直播领域,2026年《关于加强网络直播打赏规范管理的通知》细化了分龄验证标准:8周岁以下一律禁止打赏;8至16周岁须经监护人同意;16周岁以上须监护人同意或核验收入证明。
《人工智能拟人化互动服务管理暂行办法》明确要求AI互动服务需识别用户年龄,将“具备识别未成年人身份的能力”确立为法定义务。
(2)三种年龄验证技术的立法探索
自我声明在中国立法中被视为最基础的年龄识别方式,但被明确为“不充分”的保证措施。《未成年人网络保护条例》第31条规定:“网络服务提供者为未成年人提供信息发布、即时通讯等服务的,应当依法要求未成年人或者其监护人提供未成年人真实身份信息。” 。另外,《人工智能拟人化互动服务管理暂行办法》第12条规定: “拟人化互动服务提供者应当与用户签订服务协议,要求用户依法依约进行注册,并提供用户年龄、监护人或者紧急联系人等必要信息。”但值得注意的是,中国并没有将年龄验证要求推广到所有数字产品和服务。
年龄估算(通过行为分析、设备特征等间接指标推断用户年龄)在中国正处于谨慎探索阶段,其中一个原因在于,《个人信息保护法》将生物特征信息列为敏感个人信息,处理门槛极高。目前的探索是在人工智能拟人化互动服务领域。《人工智能拟人化互动服务管理暂行办法》第14条第3款规定:“拟人化互动服务提供者应当在保护用户隐私权和个人信息的前提下,采取有效措施识别未成年人用户身份;识别为未成年人用户的,应当将相关服务切换至未成年人模式或者按照国家有关规定采取其他措施,并提供相应申诉渠道。”
中国现行立法主要依赖‘实名认证’(基于身份证件信息)和‘自我声明’两种方式,对年龄估算技术持审慎态度,这在一定程度上导致了用户不主动提供身份信息时平台缺乏有效的年龄识别手段。
(3)国家网络身份认证公共服务:平衡
有效性与隐私保护的探索
2025年7月15日,《国家网络身份认证公共服务管理办法》正式施行。该制度的核心是“网号”“网证”——网号是与自然人身份信息相对应、不含明文身份信息的网络身份符号;网证是承载网号及自然人非明文身份信息的网络身份认证凭证。
在年龄验证上的应用包括:申领年龄门槛(不满14周岁需监护人同意并代为申领;已满14不满18周岁的在监护人监护下申领);“最小化提供”原则(仅向平台提供核验结果,不提供明文身份信息);年龄标识服务(平台可确认用户是否达到某一年龄阈值)。这一制度在“有效性”与“隐私保护”之间找到了平衡路径,在理念上与欧盟“迷你ID钱包”一致,实施进度上领先。
立法层面,《未成年人保护法》增设“网络保护”专章,要求网络产品和服务提供者针对未成年人设置时间管理、权限管理、消费管理等功能。《未成年人网络保护条例》进一步要求网络游戏服务提供者落实适龄提示要求,根据不同年龄阶段对游戏产品进行分类。
标准层面,市场监管总局已发布210余项儿童相关领域国家标准,包括《智能移动终端未成年人保护通用规范》《信息技术 网络游戏未成年人监护系统技术要求》等。2024年11月,《移动互联网未成年人模式建设指南》发布,提出分龄推荐标准、三大优化(时间管理、内容建设、功能安全)和“三方联动”机制。
中国并没有在所有数字产品和服务上推动防成瘾监管,目前主要在两个领域探索防成瘾监管模式:一是网络游戏的“平台端强制干预”,二是人工智能拟人化人互动服务平台的“平台端提醒+用户自主响应”。
前者以2019年《关于防止未成年人沉迷网络游戏的通知》及2021年“830新规”为核心,平台一旦识别用户为未成年人,必须在技术层面直接执行时长限制(仅周五六日和法定节假日20-21时提供1小时服务)。执行效果显示,未成年人周游戏时长控制在3小时以内的比例达71%,但很多青少年利用成年亲属身份信息绕开验证,或在游戏限时后转向短视频和网络视频。
后者以《人工智能拟人化互动服务管理暂行办法》为核心,规定用户连续使用超过2小时须弹窗提醒暂停,但最终选择权仍在用户手中。该办法同时禁止向未成年人提供虚拟亲属、虚拟伴侣等虚拟亲密关系服务。
两种模式的共同点在于责任都在平台端,但干预均发生在产品“输出端”,而非要求平台从根本上改变“最大化参与度”的设计逻辑。
中国目前未设定统一的法定最低注册年龄,也未在所有数字平台和服务上强制实施年龄验证。但在大多数平台上,中国采取了“实名制”路径——要求用户提供真实身份信息(如身份证号、手机号),平台通过比对权威数据库确认身份,本质是“身份绑定”。这一模式的优势在于准确性高,能够有效核实用户真实年龄,尤其适用于高风险场景(如网络游戏、直播打赏)。但也导致大量未成年人“借用家长账号”绕开验证,也暴露出“身份绑定”模式在执行层面的短板。
国际标准(特别是欧盟DSA指引和IEEE 2089.1-2024)则倡导基于风险的多层次验证体系。该体系的核心逻辑是:根据不同场景的风险等级,选择匹配的年龄保证方法,而非“一刀切”地要求所有平台都采用最高强度的身份绑定。低风险场景(如新闻资讯、教育内容):可采用自我声明或轻量级年龄估算,用户自行提供年龄即可,无需额外验证。中风险场景(如社交媒体、一般娱乐):可采用年龄估算技术,通过行为分析、设备特征、打字模式等间接指标推断用户大致年龄范围。这一层级需要在有效识别与隐私保护之间取得平衡。高风险场景(如色情、赌博、直播打赏、AI拟人化互动):必须采用严格年龄验证,依赖护照、身份证、数字身份钱包等经过验证的硬标识符确认用户年龄。这一层级旨在从源头上阻止未成年人接触高危内容或服务。
中国正在探索的“网号/网证”制度,在理念上与欧盟“迷你ID钱包”一致,为多层次验证体系的落地提供了基础设施支撑。未来,中国可进一步细化不同场景的风险等级,引入分层验证机制,在保障有效识别的同时,更好地平衡隐私保护与用户体验。
中国的适龄设计主要通过“未成年人模式”实现,需要用户或家长主动开启。这是一种“用户主动选择”的保护机制,本质上是“模式切换”——在普通模式和未成年人模式之间切换。
国际标准(特别是欧盟DSA指引和英国《适龄设计规范》)则要求“默认保护”和“设计内嵌”——对于可识别为未成年人的用户,平台必须默认适用最高级别的隐私和安全设置,无需用户主动开启。欧盟DSA指引明确要求“未成年人账户默认设为最高级别隐私”,并禁止使用诱导用户降低保护设置的劝诱性设计。
比较而言,中国的“模式切换”机制将保护责任部分转嫁给了家庭,导致“未成年人模式”使用率低(调研显示仅50%出头)、容易被绕过、家长参与门槛高。国际标准的“默认保护”机制将责任完全放在平台端,保护效果更稳定、覆盖面更广。
中国尚未在立法层面明确禁止成瘾设计模式。即便在干预力度最强的领域——网络游戏和人工智能拟人化互动服务——也主要依赖“输出端干预”:游戏领域是强制停止服务(时长限制),AI领域是弹窗提醒暂停。这种模式虽然将责任放在了平台端,但并未要求平台从根本上改变“最大化参与度”的设计逻辑。
欧盟DSA指引则已进入“设计端禁止”阶段,明确禁止无尽滚动、间歇性奖励系统、类似赌博的功能、自动播放、推送通知等成瘾设计模式。2026年3月,美国加州高等法院对Meta和Google作出不利判决,认定平台利用推荐算法、无限滚动、点赞机制等设计故意延长未成年人使用时间,需承担赔偿责任。这一判决标志着美国司法体系也开始从“设计端”追究平台责任。
比较而言,中国的“输出端干预”是在用户使用过程中设置障碍,未成年人仍可能通过切换产品(从游戏转向短视频)或借用家长账号绕开限制。国际标准已转向“设计端禁止”,从源头上消除成瘾机制,保护效果更彻底。
中国很多立法,包括《互联网信息服务算法推荐管理规定》要求“不得向未成年人推送可能影响其身心健康的信息”,聚焦于内容安全——即过滤掉色情、暴力、赌博等有害内容,但对算法的推荐逻辑本身未作特殊要求。
欧盟DSA指引则对未成年人推荐算法提出了具体的技术要求:针对未成年人的推荐算法应优先使用“外显式”推荐法(基于用户明确表达的需求),而非“内隐式”推荐法(基于行为路径推测)。前者尊重未成年人的自主选择,后者则可能通过行为分析强化成瘾循环。
中国对未成年人推荐算法的规制聚焦于“内容安全”,平台可以使用与成年人相同的“最大化参与度”算法逻辑,仅过滤掉明确有害的内容。这可能导致平台在形式上合规的同时,仍通过算法设计最大化未成年人的使用时长。欧盟指引则直接干预算法逻辑本身,要求平台从根本上改变推荐机制。
从上述对比我们可看到,中国的未成年人数智保护与国际上最新发展的监管模式相比,有三个不同:
一是国际上已非常清晰地将未成年人保护的主要责任交给了平台,道理很简单,家长和孩子没有能力去抵制成千上万工程师开发的上瘾设计系统。而中国目前尚主要依赖家长端或用户端,如青少年模式切换、监护人控制等。当然,中国在特定领域,如网络游戏和人工智能拟人化互动领域开始探索强化平台端责任的监管模式,但我们尚没法有效破解利用成年人身份信息登录以及不选择未成年人模式所带来的挑战,道理也在此。
二是国际上对平台端的监管,已经从有害内容,转向对平台系统设计,尤其在防成瘾设计方面,从默认设置、算法推荐等做了一系列规定。我们目前的监管还主要侧重在有害内容的审查上如《互联网信息服务算法推荐管理规定》(2022年施行)》和《可能影响未成年人身心健康的网络信息分类办法》(2025)等,都还是这个逻辑。
三是中国企业还需要了解,中国和很多国家的监管逻辑尚存在一个更底层的差异,那就是我们的监管多以审批制,也即事先把关为主,事后处罚相对比较弱。而欧盟、美国、印度,甚至包括最近越南也做了改革,监管转向事后,也即事先不做复杂审批,一旦事后发现企业违法,企业将承担无比高昂的代价,从而逼迫企业主动合规。
这对全球化运营的中国数字企业而言,在未成年人保护合规上需要重视以下两个方面:
第一,保护责任应从“家长端”转向“平台端”,企业应主动承担未成年人保护的首位责任。
中国现行立法将大量保护义务置于家长身上,但家长既缺乏识别成瘾设计的专业能力,也难以对抗平台“最大化参与度”的算法逻辑。国际标准已明确将责任落在平台端。对全球化运营的数字平台企业而言,这意味着不能再将“未成年人模式”作为可选项或附加功能,而应将其作为产品的默认设置。具体而言,企业应主动采取以下合规措施:
一是默认开启最高隐私保护,将未成年人账户的隐私设置默认为最高级别,而非依赖家长或用户自行调整;二是主动识别未成年人身份,不能仅依赖用户自我声明年龄,而应采用技术手段(如行为分析、设备特征等)进行年龄估算或验证;三是建立内部合规制度,指定高管负责未成年人保护工作,定期开展儿童权利影响评估,并将评估结果向社会公开。
第二,规制重点应从“输出端干预”转向“设计端规制”,企业应在产品设计阶段嵌入适龄保护。
中国目前在网络游戏和人工智能领域探索了平台端的强制干预,但这些干预均发生在产品“输出端”——要么强制停止服务,要么弹窗提醒暂停,并未要求平台从根本上改变“最大化参与度”的设计逻辑。国际立法政策趋势正在从产品端规制向系统设计端转型。
对企业的具体合规要求包括:一是禁止成瘾设计模式,主动识别并移除无尽滚动、自动播放、间歇性奖励、连胜记录等已被国际标准明确禁止的设计特征;二是算法适龄化改造,针对未成年人用户的推荐算法应优先使用“外显式”推荐(基于用户明确表达的需求),而非“内隐式”推荐(基于行为路径推测);三是建立儿童影响评估机制,在产品设计、开发、运营的全生命周期中,定期评估产品对未成年人权利的影响,并将评估结果作为产品迭代的决策依据;四是年龄验证的分层实施,根据产品风险等级选择适当强度的验证方案——低风险场景可采用年龄估算,高风险场景(如社交、直播、AI陪伴)应采用基于硬标识符的年龄验证。
第三,把握“网号/网证”制度机遇,利用国家基础设施降低合规成本。
中国已推出“网号/网证”国家网络身份认证公共服务,在“有效性”与“隐私保护”之间找到了平衡路径。企业应积极接入这一公共服务,利用其年龄标识功能确认用户是否达到某一年龄阈值,而无需自行收集和存储用户的明文身份信息。这不仅能降低企业的数据合规风险(减少个人信息收集和处理),也能提升年龄验证的准确性和用户信任度。
中国在数字与人工智能领域走在国际前沿,企业若能率先将国际标准转化为内部合规实践,不仅能够规避日益严格的监管风险,更能在全球竞争中建立信任优势,成为未成年人数字保护新监管模式的引领者。
5Rights Foundation. (2026). Building a digital environment designed with children in mind: An international best practices blueprint. https://www.childrens-rights.digital/fileadmin/user_upload/5RIGHTS_BROCHURE.pdf;
European Commission. (2026, March 26). Commission opens formal proceedings against Snapchat under the Digital Services Act. European Commission. https://digital-strategy.ec.europa.eu/en/news/commission-opens-formal-proceedings-against-snapchat-under-digital-services-act
Information Commissioner’s Office. (2026, February 24). Reddit issued with £14.47m fine for children’s privacy failures. https://ico.org.uk/about-the-ico/media-centre/news-and-blogs/2026/02/reddit-issued-with-1447m-fine-for-children-s-privacy-failures;
Federal Trade Commission. (2025, January 17). HoYoverse to pay $20 million to settle FTC allegations it violated children’s privacy law and deceived players about ‘gacha’ mechanics [Press release]. https://www.ftc.gov/news-events/news/press-releases/2025/01/hoyoverse-pay-20-million-settle-ftc-allegations-it-violated-childrens-privacy-law-deceived-players;
张文娟. (2025a, August 10). 智库观察|欧盟未成年人在线保护新《指引》对我们有何立法启示. 清华大学人工智能国际治理研究院. https://mp.weixin.qq.com/s/bkQu7JwiQKqjOzRDMyTcsA;
张文娟. (2025b, August 27). 欧盟未成年人在线保护新标准来了,不合规的代价巨大. 印中智慧桥. https://mp.weixin.qq.com/s/DQuU2UFkwo2JDFeR_I5Hxw;
CEN-CENELEC. (2023). CWA 18016: Age appropriate digital services framework. https://www.cencenelec.eu/news-events/news/2023/eninthespotlight/2023-09-14-cwa-18016-children-protection-online/ ;
European Commission. (2025, July 14). Guidelines on measures to ensure a high level of privacy, safety and security for minors online, https://ec.europa.eu/newsroom/dae/redirection/document/118226;
IEEE. (2021). *IEEE 2089-2021: IEEE Standard for an Age Appropriate Digital Services Framework Based on the 5Rights Principles for Children*. https://doi.org/10.1109/IEEESTD.2021.9627644 ;
IEEE. (2024). *IEEE 2089.1-2024: IEEE Standard for Online Age Verification*. https://doi.org/10.1109/IEEESTD.2024.10584817.
本篇文章来源于微信公众号: 致诚儿童