WeLinux

欧盟委员会主席乌尔苏拉·冯德莱恩（Ursula von der Leyen）5 月 12 日在丹麦哥本哈根举行的"欧洲人工智能与儿童峰会"上宣布，欧盟将对社交媒体平台的"上瘾性设计"采取行动，点名 TikTok 的无限滚动、自动播放与推送通知功能，以及 Meta 旗下 Instagram 和 Facebook 未能执行 13 岁最低年龄限制的问题。她同时透露，委员会正在调查允许儿童进入推广进食障碍、自伤等有害内容"兔子洞"的平台，并已就 X 平台使用 Grok AI 生成女性和儿童性图像启动专项程序。冯德莱恩同步宣布，委员会已自行开发一款符合"全球最高隐私标准"的年龄核验应用，成员国不久后可将其集成至数字钱包使用，并称"不需要再找借口——年龄核验的技术已经就绪"。 法规推进层面，专项立法提案最早可于今夏提交，待"儿童在线安全特别专家组"完成建议后推进，新的"数字公平法"（Digital Fairness Act）预计年内出台。背景上，欧盟委员会已于今年 2 月初步认定 TikTok 的上瘾性设计违反《数字服务法》（DSA），并初步认定 Meta 未能有效阻止 13 岁以下未成年人绕过注册。欧盟过去两年已对美国社交媒体公司累计开出逾 70 亿美元罚款，特朗普政府则多次表示将为美国科技公司抵制相关处罚。澳大利亚去年 12 月成为全球首个对 16 岁以下未成年人实施社交媒体全面禁令的国家，挪威、法国、西班牙及英国正在推进类似立法。 CNBC

欧洲议会研究服务处（EPRS）近日发布政策简报，警告 VPN 正被越来越多地用于绕过在线年龄认证系统，并将其定性为"立法中需要堵上的漏洞"。简报指出，英国、美国多州强制推行年龄认证法规后，当地 VPN 应用下载量出现爆发式增长——以英国为例，《在线安全法》生效后 VPN 应用一度占据下载榜榜首，显示未成年人正大规模借助 VPN 访问被限制的内容。EPRS 明确提及，部分政策制定者和儿童安全倡导团体认为，访问 VPN 服务本身就应先行完成年龄认证；英格兰儿童事务专员亦呼吁将 VPN 服务限制为仅面向成年人开放。与此同时，犹他州已率先通过 SB 73 法案，规定即便用户使用 VPN 掩盖 IP，年龄认证依然以实际物理位置而非表面 IP 为准。 然而，强制 VPN 用户实名核验将大幅削弱匿名保护，并带来监控与数据泄露的新风险。Proton、Mullvad、Mozilla 等隐私工具提供商已联署致信英国政策制定者表达反对。另一重要背景是，欧盟委员会官方年龄认证应用上月发布后不久即被研究人员发现存在多项安全漏洞——敏感生物特征图像以未加密形式存储，且存在可被利用绕过验证的缺陷。EPRS 承认，当前基于自我声明、年龄估算或身份核实的各类系统均相对容易被绕过，并重点介绍了法国正在探索的"双盲"核验机制——网站仅获知用户是否满足年龄要求，而核验方则不知晓用户访问了哪些网站，在隐私保护与监管合规之间寻求平衡。 Cyber Insider https://cyberinsider.com/eu-calls-vpns-a-loophole-that-needs-closing-in-age-verification-push/

欧盟中国商会与毕马威（KPMG）5 月 6 日在布鲁塞尔联合发布报告，对欧盟《网络安全法》修订提案（CSA2）的经济影响进行量化评估。报告称，若该提案拟议的"基于供应商来源国"非技术性排除机制在 18 个关键行业强制落地，欧盟及成员国将在 2026—2030 年累计承受 3678 亿欧元经济损失，其中直接损失（设备替换、拆卸重装等）约占 40%，即逾 1462 亿欧元。从行业看，物流与制造业板块损失最重，预计达 1146 亿欧元；能源板块约 799 亿欧元；电信板块约 574 亿欧元。成员国中，德国因高度自动化的工业体系预计承压最重，损失达 1708 亿欧元，法国（463 亿欧元）、意大利（365 亿欧元）随后。 欧盟中国商会会长刘坚东在发布会上表示，CSA2 中"高风险供应商"与"存在网络关切的第三国"认定标准针对性明显，将商业决策政治化，违背《欧盟基本权利宪章》的平等与非歧视原则。报告还指出，强制替换可能触碰比例原则与非歧视原则的法律红线，并与中欧双边投资协定及 WTO 规则产生冲突。商会提出七项建议，核心均指向同一方向：以基于证据、符合国际标准的技术中立框架取代以来源地为依据的"一刀切"排除机制。值得注意的是，该报告由代表中国企业利益的商会委托发布，其方法论假设与结论尚未经独立第三方核实。 欧盟中国商会 | South China Morning Post

欧元区财政部长本周在布鲁塞尔召开会议，共同应对 Anthropic 开发的强大 AI 模型 Mythos 带来的网络安全风险。Mythos 能够自主发现并利用操作系统和浏览器中的零日漏洞，规模前所未有——在测试中已发现数千个高危漏洞，涉及 OpenBSD、FreeBSD 和 Mozilla Firefox 等系统。目前，Mythos 仅限通过"玻璃翼计划"（Project Glasswing）向约 40-50 家获批机构开放，主要为美国科技巨头、金融机构和政府部门，包括摩根大通和美国国家安全局。欧洲银行机构目前无法获得此工具。 西班牙财长、德国央行等欧洲监管机构警告，若欧盟无法访问 Mythos，美国金融机构将拥有显著优势——他们已能利用该工具测试和加固防御体系，而欧洲银行将面临这类 AI 驱动的新型网络威胁却无力应对。目前 Anthropic 放缓了 Mythos 的后续发布进程，与欧盟官员就风险缓解措施进行协商。欧洲中央银行行长拉加德指出，目前尚无完善的治理框架来管理这类先进 AI 模型的风险。 彭博社 | The Next Web | 天下杂志英文网 https://thenextweb.com/news/eurogroup-mythos-access-cyber-defense-europe

欧盟委员会近日发布《数字市场法》（DMA）实施后的首次正式评估，认定该法总体产生了"积极影响"，强调其目标是赋予消费者选择权、防止主导平台扼杀竞争。然而 Apple 对此评估结果表示强烈不满，在向卢森堡法院提交的上诉文件中指出，DMA 强制互操作性与第三方应用商店支持要求"超出必要范围"，可能导致竞争对手（如 Meta）获取用户 Wi-Fi 密码等敏感数据，并迫使 Apple 推迟在欧盟推出实时翻译、设备镜像等功能。Apple 还批评监管机构"不公平地"将其列为"守门人"，而三星等其他厂商未受同等约束。 背景上，欧盟委员会已于 2025 年 4 月对 Apple 处以 5 亿欧元罚款，理由是其 App Store 反引导规则违反 DMA 条款。目前 Apple 仍在就罚款和部分 DMA 条款进行法律诉讼,同时据报道双方正就核心技术费用与第三方应用商店待遇展开和解谈判。此案被视为欧盟对大型科技平台监管权力的试金石，其结果将影响所有被认定为守门人的企业。 AppleInsider https://appleinsider.com/articles/26/05/04/eu-dma-after-action-review-didnt-go-the-way-that-apple-wanted

欧盟委员会发言人 5 月 4 日正式建议成员国将华为与中兴通讯排除出境内电信连接基础设施，称上述企业构成"高风险供应商"，其设备可能威胁成员国及欧盟整体的网络安全。本次建议是欧委会 1 月 20 日提出修订《网络安全法》草案的配套行政动作——该草案拟将 2020 年"5G 安全工具箱"中对高风险供应商的自愿性建议升级为法律强制要求，覆盖范围从 5G 移动网络延伸至固定光纤宽带、可再生能源逆变器与边境安检设备等更广泛的关键基础设施，并要求 2029 年前在欧盟核心网络完成"撕掉换掉（Rip and Replace）“。此前六年来，欧委会持续向成员国发出同类建议，但西班牙、德国等主要经济体推进迟缓——西班牙最快在 2025 年夏仍将光纤服务合同授予华为，德国 5G 核心网络去除中国设备的截止期限已推迟至 2026 年底。中国商务部随即作出强硬回应，称相关举措"泛化安全概念、歧视中国企业”，若欧盟一意孤行将"采取必要反制措施"，并发出供应链与经贸关系受损的警告。 此次建议时点敏感：欧委会在正式颁布前须经欧洲议会与欧盟委员会磋商，草案尚未走完立法程序，当前仍为建议性质而非约束性规定，最终的正式法规至少需再等数月至数年；与此同时，特朗普政府正在对中欧双方同步施压，中欧贸易谈判本就处于高度敏感节点。爱立信（Ericsson）与诺基亚（Nokia）被外界广泛视为最大受益方——两家欧洲设备厂商近年已在性能和成本上大幅追近，业界估计全面替换将使欧盟电信运营商额外承担最高约 550 亿欧元成本，并可能推迟 5G 部署约 18 个月。 Reuters | Devdiscourse | AndroidHeadlines https://www.devdiscourse.com/article/technology/3895791-eus-cybersecurity-challenge-exclusion-of-huawei-and-zte