你走下一列繁忙通勤车站的火车,从街头售货亭买了一杯咖啡,然后前往体育场观看晚间演唱会。你没有和任何人说话,没有登录任何应用程序,也没有出示身份证件。然而,当你坐到座位上时,你的精确移动轨迹、预估年龄和生物识别特征已经被捕捉、分析,并悄无声息地与数十个隐形数据库进行了交叉比对。
如果说我们的数字足迹曾是我们有意留下的面包屑,那么现代 AI 面部识别已将我们的肉体变成了永久的广播信标。如果一个系统能通过模糊的吸顶摄像头瞬间绘制出你面部的几何结构,那么几个世纪以来在人群中不被察觉地穿行的概念就彻底消失了。
随着隐私监管机构在 2026 年 5 月发布严厉警告,一个系统性的现实变得不容忽视:人工智能和面部识别技术的监管已严重滞后于其部署速度。
隐形扫描的剖析
我最近审计了几家为零售连锁店提供服务的知名生物识别供应商的技术文档和隐私政策。作为原则,我在调查中应用“设计保护隐私”(Privacy by Design)——移除特定零售客户和中层开发人员的姓名,转而严格关注技术的结构性缺陷。声誉固然重要,但我关注的重点始终是架构。
当我剖析这些系统时,我不相信那些例行公事的“我们关心您的安全”营销横幅。我会等到能够验证数据流时再下结论。在最近的这些审计中,我发现的情况极其不透明。
在实践中,当你走进一家配备实时面部识别(LFR)的商店时,摄像头会立即将你的眼睛、鼻子和下颚线之间的独特数学距离转换为生物识别模板。从合规角度来看,商店充当了“数据控制者”——这是一个法律术语,简单指代决定“为什么”以及“如何”扫描你面部的组织。
他们通常以防止盗窃的“正当利益”为由,为这种隐形扫描辩护。从晦涩的法律术语翻译过来,“正当利益”是公司在未明确征得你许可的情况下处理你数据的一种后备机制,理由是他们的业务需求超过了你的隐私权。
监管的百纳被
为什么全球隐私监管机构现在纷纷拉响警报?因为技术已经变得异常先进,而监管规则仍像是由过时解释缝补而成的百纳被。
十年前,面部识别需要巨大的计算能力和理想的光照条件。如今,AI 模型已经先进到可以在光线不足的情况下,从极远距离识别佩戴医用口罩的个人。运行这些算法的成本大幅下降,使其不仅可供国家情报机构使用,也走进了当地购物中心、私人房东和演唱会推广方的视野。
归根结底,法律以纸张的速度移动,而人工智能以硅的速度移动。虽然广泛的隐私框架要求数据收集必须成比例——即公司不应动用大锤来砸坚果——但“成比例”的定义正被拉伸到绝对的极限。
监管机构警告称,我们正滑向一个细粒度知情同意被完全绕过的现实。知情同意是一把钥匙,但面部识别直接拆除了锁。如果唯一的替代方案是挨饿,你就无法合理地选择退出杂货店的监控摄像头。
额头上的有毒资产
被盗刷的信用卡和被泄露的面部信息有着本质的区别。如果银行遭受数据泄露(这是我经常分析以追踪后果的事件),银行可以为你更换新的卡号。损害是可控的。
然而,生物识别数据本质上是写在你额头上且无法更改的密码。如果一家私营公司的面部识别数据库被破解,你面部的数学图谱就会永久失效。你无法重置你的下颚线,也无法生成新的瞳距。
尽管如此,公司仍在继续囤积生物识别数据,将其视为宝贵的商品,而非存储不当时会变成的有毒资产。2026 年的监管机构指出,如果没有专门针对 AI 驱动的生物识别技术制定的强有力的法定边界,公民将始终暴露在持续的画像分析威胁之下。
公共与私营的模糊界限
监管机构提出的最紧迫担忧或许是执法部门与企业监控之间日益模糊的界限。警察部队经常与私营供应商合作,在拥挤区域部署实时面部识别车。
当国家行为体依赖私有的、闭源的算法来确定谁看起来“可疑”时,问责制就蒸发了。AI 是如何训练的?它是否存在人口统计偏见?如果系统标记了一个无辜的人,法律责任由谁承担——警察、零售店,还是软件开发商?目前的监管真空让这些问题悬而未决。
夺回你的匿名权
我们不能等待立法机器赶上机器学习的速度。在监管机构继续推动严格监管的同时,保护你的数字和物理隐私需要立即采取行动。
掌控你真正能管理的数据。首先系统地审计手机上的应用程序。撤销任何非核心功能所需的摄像头和麦克风权限。如果零售商或服务提供商要求面部扫描来验证你的账户身份,请要求提供替代的、非生物识别的验证方法。
此外,行使你的删除权。如果你居住在拥有严格数据保护法的司法管辖区,请向数据经纪人和零售忠诚度计划发送正式请求,要求他们删除持有的关于你的任何生物识别分类。你的脸属于你,而不是辅助数据中心服务器机架上的数据。要求数字世界尊重你身份的物理边界。
来源:
- General Data Protection Regulation (GDPR) Article 4 & 9 (Definitions and Processing of Special Categories of Personal Data)
- European Data Protection Board (EDPB) Guidelines on the use of facial recognition technology
- UK Information Commissioner's Office (ICO) Opinions on Live Facial Recognition in public places
- EU AI Act (Biometric Categorisation and High-Risk AI Systems frameworks)
免责声明:本文仅供信息参考和新闻报道之用。它探讨了技术和监管趋势,不构成正式的法律建议。如果您在合规或法律数据保护策略方面需要帮助,请咨询您所在司法管辖区的专业法律人士。
