Utah SB 73：美国首部针对 VPN 用户的法律将于 2026 年 5 月 6 日生效

今天，2026 年 5 月 6 日，Utah 成为美国首个把 VPN 用户置于年龄验证法律十字准星之下的州。Senate Bill 73——正式名称为 Online Age Verification Amendments，由州长 Spencer Cox 于 2026 年 3 月 19 日签署——今日正式生效，其中第 14 条从根本上改变了 Utah 居民、VPN 服务商以及他们所访问网站之间的关系。

如果你是正在阅读本文的 Utah 居民，这部法律并未把你的 VPN 列为非法。但它确实标志着这样一个时刻：美国立法者开始把商用 VPN 不再视为二十年来的标准隐私工具——企业、记者、连公共 Wi-Fi 的学生，以及任何在咖啡馆里登录银行 App 的人每天都在使用——而是把它当作一个需要堵上的监管漏洞。

下面是 SB 73 的实际内容、为什么从 Electronic Frontier Foundation 到 NordVPN 等数字权利倡导者把它称作“责任陷阱”、为什么它几乎不可能达到所宣称的目标，以及它对你 2026 年隐私意味着什么。

Utah SB 73 究竟做了什么

SB 73 的大部分内容是对线上成人内容收入征收 2% 的税（2026 年 10 月生效）。今天生效的条款则不同——它们修改了 Utah 现行线上年龄验证法的 Section 78B-3-1002，并以两种方式明确针对 VPN 的使用：

1. 判定地点看人不看 IP。根据新法，只要个人身体位于 Utah，就被视为从 Utah 访问网站，无论其是否使用 VPN、proxy 服务器或任何其他伪装地理位置的工具。换言之，即使你的 IP 显示在 Wyoming，只要你的手机在 Salt Lake City，法规就把你视为 Utah 用户。
2. 网站被封口，不得提及 VPN 信息。承载“相当一部分对未成年人有害内容”的商业实体，如今被禁止协助或鼓励使用 VPN 来绕过年龄检查。这包括发布如何使用 VPN 的说明——这种宽泛的措辞让 EFF 将其标记为 First Amendment 问题。

该法没有走到明文禁止 VPN 使用本身的一步。Utah 居民个人通过商用 VPN 连接不会被处以任何罚款。法律压力直接指向网站——而麻烦也正从这里开始。

令隐私倡导者担忧的“责任陷阱”

数字权利团体最大的反对意见，是 EFF 所称的责任陷阱：在 SB 73 之下，网站要为身处 Utah 的每一位用户的年龄核验承担责任，哪怕这些用户在网站看来是身处别处。由于没有任何商业网站能可靠地侦测出每个 VPN 用户的真实地理位置，于是只剩两个不讨喜的选项：

• 封禁所有已知的 VPN 出口 IP。维护一份不断膨胀的封锁名单，承受被误伤的连带损害（合法使用 VPN 的客户被挡在外面），并且只能祈祷自己能跟上服务商不断更换 IP 段的速度。
• 对全球每位访客都要求年龄验证。把每个用户都当作可能是用 VPN 的 Utah 居民，要求所有人——包括数百万并不住在 Utah、本不受该法管辖的人——提供政府身份证级别的年龄证明。

NordVPN 的政策团队在致 TechRadar 的评论中正是这样定性的——“一个责任陷阱”。两种选项都会把一部州级法律的杀伤半径放大成一套全球身份验证机制，并对依赖商用 VPN 进行常规数据安全防护的记者、家暴幸存者、商务旅客以及普通注重隐私的用户施加实实在在的成本。

First Amendment 问题

第二条规定——禁止网站分享有关 VPN 的信息——是最有可能面临宪法挑战的部分。SB 73 不只是要求受其约束的平台执行年龄关卡；它还禁止它们告诉用户存在一种完全合法的软件。

EFF、Cato Institute 以及言论自由倡导者指出，这是在限制对一种合法隐私工具进行的真实、不具误导性的言论。正如 Cato Institute 所言：“如果一项互联网政策可以被一种相当常见、且常常带来显著隐私与安全收益的技术轻松规避，那或许问题出在政策本身。”

SB 73 真的有效吗？技术现实

简短的回答是：不会。更详细的回答是，即便要做到部分奏效，也需要某种网络层面的指纹识别能力，而这种能力没有任何单一州能强制要求，也没有哪个网站运营者能够交付。下面是有动机的用户在该法生效后会做的事——是在数小时内就会发生，而不是数月：

• 转向住宅 proxy。住宅 proxy 通过真实消费者 ISP 的 IP 路由流量，与普通家庭流量难以区分。它们多年来一直被用于合法的网页抓取、广告核验和品牌保护用途——并且能轻易绕过商用 VPN 的封锁名单，因为它们根本不在那些名单上。
• 搭建私有云隧道。在 AWS、DigitalOcean 或 Hetzner 上花 5 美元/月开一台 VPS 跑 WireGuard，就能让懂技术的用户拥有一个个人 VPN 出口 IP——任何封锁名单都不可能逮到它，因为这是昨天还不存在、也永远不会出现在任何商用 VPN 段中的单独 IP。
• 使用 Tor 或自托管的 Shadowsocks/V2Ray。为受到严格互联网管控国家居民开发的开源混淆工具，早已能击败比 Utah 这部法案所能想象的复杂得多的检测。

连带损害落在那位只想在酒店 Wi-Fi 上加密自己银行流量的普通 Utah 居民身上——而不是这部法律本应保护对象之外的那位懂技术的未成年人。正如 EFF 所观察到的：“这些条款拦不住一个懂技术的青少年，却必然会影响每一位只想让自己数据不落入数据掮客或恶意分子之手的普通 Utah 居民的隐私。”

不止 Utah：2026 年的全球图景

SB 73 是美国的最高水位线，但它属于一种全球性的模式：每当出现一项年龄验证强制规定后，VPN 使用便会激增，各国政府随后跟进。过去三年里，这个故事已经在十多个司法管辖区以同样的方式上演：

• 已通过年龄验证法、推动 VPN 使用激增的美国各州：Florida、Missouri、Texas、Utah（自 2023 年起）、Louisiana、Mississippi、Virginia、Tennessee、North Carolina、Idaho 等——Utah 如今成为首个通过针对工具本身来反击 VPN 使用激增的州。
• Wisconsin：曾提出类似的针对 VPN 的条文；倡导者出于宪法和技术层面的顾虑，成功推动其被删除。Utah 在面对同样的反对意见时仍执意推进。
• UK：在 Online Safety Act 引发大规模 VPN 使用激增后，Children's Commissioner 公开把 VPN 形容为“一个需要堵上的漏洞”。
• France：在该国实施针对 15 岁以下儿童的社交媒体禁令后，人工智能与数字事务部长级代表（Minister Delegate for Artificial Intelligence and Digital Affairs）将 VPN 列为监管议程上的“下一个议题”。
• Australia、Indonesia：两国都已实施推动 VPN 使用激增的年龄验证法，监管层面的后续动作也正在积极讨论中。

这一模式始终如一：政策本身催生对工具的需求，随后政策再回过头来对付这一工具。SB 73 能否经受住法律挑战，还是会像 Wisconsin 的版本那样被悄然撤回，是 2026 年最重要的美国互联网政策故事之一。

这对 Utah 居民意味着什么

如果你住在 Utah，并且像大多数人一样出于这些原因今天在使用 VPN——在公共 Wi-Fi 上处理银行业务、在咖啡馆远程办公、把工作账号和个人账号分开、保护自己免遭起底（doxing），或者只是不愿让 ISP 记录你访问的每一个网站——SB 73 之下，你的日常 VPN 使用没有任何一项是非法的。这部法律针对的是网站，而不是用户。

变化的是用 VPN 访问某些网站时的体验：

• 部分成人网站可能会屏蔽所有 VPN 流量。如果某个网站决定，最稳妥的合规路径是封掉它能识别到的每一个 VPN IP，那么即便你住在 Utah 并出于合法理由使用 VPN，也会遇到 CAPTCHA 验证墙或者直接的封锁。
• 部分网站可能会要求全球年龄验证。如果它们选择“对所有人都验证”这条路，你将看到一周前还不存在的政府身份证级别年龄验证提示——包括来自显然并非成人内容的网站。
• 在受 SB 73 约束的平台上，你能看到的关于 VPN 的信息会变少。封口条款意味着教程、推荐，乃至关于 VPN 的基础科普文章，都可能从落入 SB 73 合规范围内的网站上消失。

2026 年如何（合法地）保护你的隐私

无论你对年龄验证政策持何种立场，那个技术问题——“在 2026 年，我如何让自己的常规网络流量保持私密与安全”——的答案，和一周前没有任何不同。挑选一家具备以下品质、声誉良好的商用 VPN：

• 经核实的无日志政策，并附带你能查阅的独立审计报告。
• 支持 WireGuard 协议（低延迟、现代密码学）。
• 混淆服务器，使 VPN 流量本身不被指纹识别。
• kill switch，在隧道断开时防止真实 IP 泄露。
• 司法辖区位于 14 Eyes 情报共享联盟之外——常见的有 Panama、英属维尔京群岛和瑞士。

对于那些想比商用 VPN 公共 IP 池更进一步的用户——尤其是预计会在采取最严格 SB 73 合规策略的网站上被卷入商用 VPN 封锁名单的 Utah 居民——来自 CometVPN 这类服务商的专属住宅 IP（Dedicated Residential IP）套餐，会给你一个固定的、来自真实 ISP 的出口 IP，看起来就像一个普通的家庭连接，并且不会出现在商用 VPN 封锁名单上。CometVPN 基于 WireGuard，自带 kill switch，提供混淆服务器，注册地在 Panama，两年套餐起价 1.89 美元/月，专属住宅 IP 可作为加购项。

需要更精细控制的高级用户——例如做浏览器自动化、多账号工作流或数据抓取——也可以使用来自 MarsProxies 或 IPRoyal 的住宅 proxy，它们提供与专属住宅 VPN 类似的真实 ISP 来源 IP，但能按应用进行路由。

更宏大的图景

VPN 从根本上说，是让现代注重隐私的互联网得以成立的工具。攻击它们——无论是通过 Utah 那种封口式的责任陷阱、UK 那套“漏洞”叙事，还是 France 的“下一个议题”议程——本质上都是在攻击保护记者、商务旅客、家暴幸存者，以及那些只是不愿把数据卖给出价最高者的普通用户的整套架构。

SB 73 是美国第一部走出这一步的州级法律。它很可能不会是最后一部。2026 年余下时间的监管问题在于：法律挑战、技术绕行手段和公众反弹，是否足以让这一趋势放缓——还是说下一轮州级年龄验证法案，会一字不差地照搬 Utah 的剧本。

就目前而言，2026 年 5 月 6 日已被记入史册，作为美国跨过一条界线的那一天。我们将持续关注接下来会发生什么。

资料来源：Electronic Frontier Foundation、Utah Legislature SB 73 enrolled text、TechRadar / NordVPN、Tom's Hardware、CyberInsider、Cato Institute。