应用商店年龄验证来了:得州、犹他州和苹果的年龄 API 对你的隐私意味着什么

应用商店年龄验证来了:得州、犹他州和苹果的年龄 API 对你的隐私意味着什么
在互联网历史的大部分时间里,证明你的年龄不过是勾选一个写着 “是的,我已年满 18 岁” 的方框。到了 2026 年,这个时代正在终结——终结的地点不是一个个网站,而是更深一层,就在应用商店本身。如果你在得克萨斯州或犹他州拥有一部 iPhone 或安卓设备,那么你下载应用的那个商店现在依法必须先知道、或至少估算出你的年龄,才能允许某些应用进入你的手机。
这与当初引发热议的那类年龄验证法不同——那时成人网站和社交平台开始要求上传证件、进行人脸扫描。那些核查发生在每一个网站上。而这一轮新浪潮把核查推到了操作系统层面,它同时改变了两件事:谁掌握你的数据,以及 VPN 对此能做——和不能做——什么。下面就是正在发生的事,以及它对你意味着什么。
这些新的应用商店法律究竟要求什么
如今美国已有四个州通过了《应用商店问责法》:得克萨斯州、犹他州、路易斯安那州和加利福尼亚州。它们有着共同的结构。每一部法律都要求应用商店采用一种 “商业上合理的方法” 把每个账户归入某个年龄类别,并且都要求商店在未成年人下载应用、购买应用或进行应用内购买之前,取得可核实的家长同意。
得克萨斯州率先行动:其法律已于 2026 年 1 月 1 日 生效。2026 年 7 月,美国最高法院拒绝以紧急方式将其冻结,使该要求在诉讼继续进行期间保持有效。
犹他州的《应用商店问责法》紧随其后,于 2026 年 7 月 1 日 生效。
路易斯安那州原本瞄准 2026 年 7 月 1 日,但签署了一项替代法案,将其执法时钟重置到 2027 年 7 月。
加利福尼亚州的版本将于 2027 年 1 月 1 日 生效;而在联邦层面,众议院于 2026 年 6 月 29 日以 267 票对 117 票通过了《KIDS 法案》,这表明此事绝不只是一场州与州各自为政的试验。
需要注意的关键在于义务落在了哪里。这些法律并没有要求游戏或聊天应用的开发者去核查你的证件,而是要求苹果和谷歌——这两个守门人——确立一个年龄类别,并把一个信号向下传递给开发者。这个架构上的选择,就是整个故事的核心。
苹果的 Declared Age Range API 与谷歌的 Play Age Signals
为了在合规的同时不把每一个应用都变成身份检查站,苹果和谷歌构建了一些 API,向开发者提供一个年龄段,而不是出生日期或证件。
苹果的 Declared Age Range API 只返回一个粗略的区间——13 岁以下、13 至 15 岁、16 至 17 岁,或 18 岁及以上。调用该 API 的开发者只会知道你落在哪个区间,除此之外一无所获:不是你的生日,不是你的姓名,也不是你证件的扫描件。
谷歌的 Play Age Signals API 在 2026 年初处于测试版推广阶段,遵循同样的模式——它向开发者返回一个年龄段,而非原始的身份数据。
各州的法律进一步强化了这种数据最小化。在得克萨斯州,为年龄验证和同意而共享的信息只能用于合规目的,必须以行业标准加密方式传输,并且在使用后必须删除。2026 年生效的三部法律都禁止将所共享的数据用于年龄验证以外的任何目的。就纸面而言,这确实是一种比向你访问的每个网站上传护照更能保护隐私的设计。
那么,这对隐私究竟是好事还是坏事?
它确实两者兼具,而诚实地面对这种取舍,比选边站队更重要。
好处是实实在在的。一个从 API 收到 18+ 的开发者,对你的了解远少于一个扫描你驾照的网站。那个敏感的环节——真正确立你的年龄——只在平台层面发生一次,而不必被形形色色、可信度参差不齐的数百个应用反复进行。以设计实现数据最小化是正确的本能,相比证件上传的乱局,这是一个显著的进步。
坏处则是结构性的。总得有人首先确立你的年龄,而这份重担如今落在了苹果和谷歌身上。“商业上合理”这几个字在这些法规中承担着极重的分量:视平台如何解读,底层的核查可以轻到只是一个现有账户信号,也可以重到一次政府证件扫描或一次面部年龄估算。它还把一项在法律上意义重大的 “这个人已年满 18 岁” 的断言,绑定到了你的苹果或谷歌账户上——正是那个与你的电子邮件、位置历史、消费记录和搜索记录相关联的账户。把这个信号集中到两家公司手中,本身就是一种风险,即便每个单独的开发者所看到的更少。
设备级的年龄段向任何单个应用泄露的信息都少得多——但它加深了你现实世界身份与那两个早已最了解你的账户之间的联系。
VPN 在哪里能发挥作用——又在哪里不能
这是我们最常被问到的问题,所以让我们说得精确一些。VPN 改变的是服务所看到的 IP 地址,并对你传输中的流量进行加密。这对于网络层面和基于位置的限制非常有效——也就是网站核查你的连接看起来来自哪个国家的那种封锁。
应用商店的年龄验证是一种不同的机制。它绑定的是你的账户和设备,而不是你的 IP 地址。当犹他州的法律核查你的年龄类别时,它读取的是一个附着在你 Apple ID 或谷歌账户上、并在设备本身上确立的信号。把你的流量经由另一个国家中转,并不会改写那个账户层面的属性。具体来说:
VPN 不会移除或伪造一个已经附着在你应用商店账户上的年龄段。
VPN 确实仍然能保护那些应用安装后所产生的流量、向你的 ISP 隐藏你的浏览行为,并击败那些基于你 IP 运作的、基于位置的内容限制。
在另一个 App Store 区域创建账户,是与 VPN 完全不同的另一回事,它伴随着自身的支付和服务条款方面的麻烦,而且单靠 VPN 是办不到的。
简而言之:VPN 是一个网络隐私工具,而应用商店的年龄核查存在于网络之上。任何把 VPN 宣传成绕过设备级年龄验证的灵丹妙药的说法,都是在夸大其词——而我们宁愿把这一点坦白地告诉你。
2026 年,你到底该怎么做
认真阅读同意页面,别下意识地一路点过去。当你的手机要求你确认一个年龄段时,这项断言如今具有法律分量,并会被共享给应用。要清楚自己正在同意什么。
优先选择使用年龄段 API 的应用,而不是那些要求完整证件的应用。如果一个商店级的年龄段就能满足法律要求,那么仍然要求你上传证件的应用就是在收集超出其所需的信息——把这当作一个危险信号。
把 VPN 用在它真正擅长的地方:在不可信的网络上加密流量、向你的 ISP 隐藏活动,以及击败基于位置的内容封锁。不要指望买一个 VPN 就能抹去一个账户层面的年龄标记。
关注生效日期。加利福尼亚州和联邦《KIDS 法案》将在 2027 年落地;如果你是开发者或家长,相关义务和家长同意流程仍在逐季度变动。
年龄验证正在沿着技术栈向下移动,从网站移到手机。这让每个单独的应用变得不那么爱打探,但也让你的苹果和谷歌账户成为你在线身份的承重墙。理解这一转变——并且不要把 VPN 误当成一个它从未被设计去充当的解决方案——正是你在 2026 年真正掌控自己数据的方式。
常见问题
VPN 能绕过应用商店的年龄验证吗?
不能。应用商店的年龄验证绑定的是你的苹果或谷歌账户以及你的设备,而不是你的 IP 地址,因此用 VPN 更换 IP 并不会移除或伪造一个已经附着在你账户上的年龄段。VPN 仍然能保护你的流量并击败基于位置的内容限制,但它是一个网络工具,而应用商店的年龄核查运作在网络之上。
苹果的 Declared Age Range API 会与应用开发者共享什么?
只有一个粗略的年龄段——13 岁以下、13 至 15 岁、16 至 17 岁,或 18 岁及以上。开发者不会收到你的出生日期、姓名或任何身份证件。谷歌的 Play Age Signals API 遵循同样的设计,返回的是一个年龄段,而非原始的身份数据。
2026 年哪些州有应用商店年龄验证法律?
得克萨斯州(2026 年 1 月 1 日生效)、犹他州(2026 年 7 月 1 日生效)、路易斯安那州(重置到 2027 年 7 月)以及加利福尼亚州(2027 年 1 月 1 日生效)。2026 年 7 月,美国最高法院拒绝以紧急方式将得州法律冻结后,该法保持有效。联邦《KIDS 法案》也于 2026 年 6 月 29 日在众议院获得通过。
与网站的证件核查相比,应用商店年龄验证对隐私是更好还是更糟?
这是一种取舍。只在平台层面共享一个年龄段,向任何单个应用泄露的信息远少于向每个网站上传政府证件。但它把确立你年龄的重担转移给了苹果和谷歌,并把一项年龄断言绑定到了那个早已掌握你电子邮件、位置和消费历史的账户上——从而把敏感数据集中到了两家公司手中。
什么是年龄验证的“商业上合理的方法”?
这是法律要求应用商店达到的标准,而它被刻意设计得很灵活。视平台如何解读,它可以从一个轻量的现有账户信号,一直到一次政府证件扫描或一次面部年龄估算。由于法规并未固定某一种方法,实际的隐私影响在很大程度上取决于苹果和谷歌选择如何实施。
这些法律能阻止应用在我安装之后收集我的数据吗?
不能。年龄验证法律管的是在下载时如何核查年龄、如何取得同意;它们并不改变一个应用在运行后会收集什么。在安装之后,阅读应用的权限和隐私声明、限制追踪,以及使用 VPN 在不可信网络上加密流量,仍然都是值得做的。



