Synth Daily

我完成了 LinkedIn 身份验证:我都交出了些什么

为了在领英(LinkedIn)上获得一个表示“真人”的蓝色认证标志,用户需通过第三方公司 Persona 提交护照和自拍照。然而,这一过程背后隐藏着巨大的隐私风险。Persona 不仅收集包括面部几何在内的大量个人生物识别数据,还会将其与至少 17 家 第三方公司(主要位于美国,如 OpenAI 和 Anthropic)共享。尽管数据可能存储在德国,但由于 Persona 是美国公司,受美国 《CLOUD法案》 约束,美国政府可强制其交出数据。更严重的是,这些数据被用于训练AI,而公司对数据泄露的赔偿责任上限仅为 50美元。在进行验证前,用户应清醒认识到,这是用永久性的生物识别数据换取一个装饰性徽章的交易。

领英验证背后的“另一家公司”

当你点击领英的“验证”按钮时,你的护照和自拍并非直接交给领英,而是被重定向到一家名为 Persona 的公司。这是一家位于美国旧金山的身份验证服务商,领英是它的客户,而你,是它扫描的对象。大多数人从未听说过这家公司,这正是其模式的关键——它无形地存在于你所信任的平台和你之间。

你到底交出了什么?

为了一个三分钟就能完成的身份验证,Persona 收集了以下数据:

  • 基本身份信息: 完整姓名、国籍、性别、出生日期、年龄。
  • 证件信息: 护照完整扫描件、国民身份证号码、NFC芯片数据。
  • 生物识别数据: 实时自拍照和从照片中提取的 面部几何数据(用于人脸匹配)。
  • 联系方式: 邮箱、电话号码、邮政地址。
  • 设备与网络信息: IP地址、地理位置、设备类型、MAC地址、浏览器和操作系统版本。
  • 行为生物识别数据: 它甚至追踪你在操作过程中是否犹豫、是否使用复制粘贴等行为。

此外,Persona 还会利用其所谓的“全球可信第三方数据源网络”来交叉验证你的信息,这些数据源包括:

  • 政府数据库
  • 消费者征信机构
  • 水电费公司
  • 移动网络运营商

你以为只是为了一个认证标志扫描了护照,实际上他们对你进行了一次背景调查。

你的脸正在成为 AI 的训练数据

在 Persona 的隐私政策中,有一项基于“合法利益”的条款值得注意:他们会使用用户上传的身份证件(比如你的护照)来 训练其人工智能系统,教它识别不同国家的护照。他们同样会用你的自拍照来“改进服务”。

法律依据并非你的“同意”,而是他们的“合法利益”。这意味着他们单方面认为这样做是合理的。

你为了一个徽章而来,却留下来成为了 AI 的训练数据。

你的数据流向了哪里?

一旦 Persona 获得了你的数据,以下各方都可能接触到它:

  • 领英: 获得你的姓名、出生年份、验证结果和一份信息经过涂抹的证件副本。
  • 服务提供商: 协助 Persona 运营的供应商。
  • 数据合作伙伴: 用于交叉验证信息的第三方数据库。
  • 执法机构与政府: 这是最关键的部分。

更令人不安的是 Persona 公布的“子处理商”名单。这些公司会直接处理你的个人数据。

接触你面部数据的 17 家公司

以下是部分处理你数据的第三方公司及其职能,它们 几乎全部位于美国

  • Anthropic (美国): 数据提取与分析
  • OpenAI (美国): 数据提取与分析
  • AWS (美国): 基础设施、图像处理
  • Google Cloud Platform (美国): 基础设施服务
  • Resistant AI (美国): 文件分析
  • FingerprintJS (美国): 设备分析

这意味着,你的欧洲护照和面部数据,被完全交由北美公司处理。三家大型AI公司(Anthropic、OpenAI、Groqcloud)正在分析你的政府颁发的身份证件。

《CLOUD法案》:为什么德国服务器也无法保护你

Persona 声称其数据中心位于美国和德国。你可能会认为,如果数据在德国,就能受到欧盟《通用数据保护条例》(GDPR)的保护。

事实并非如此。

Persona 是一家美国公司,因此受美国《CLOUD法案》管辖。该法案允许美国执法部门强制任何美国公司交出数据,即使这些数据存储在美国境外

服务器的物理位置无关紧要,重要的是公司的法律归属地。Persona 的隐私政策也证实了这一点,他们会在“为遵守适用法律或回应有效的法律程序,包括来自执法、国家安全或其他政府机构的要求”时披露数据。

国家安全”这几个字意味着,他们可能在收到附带禁言令的请求后交出你的数据,而你永远不会知道。

生物识别数据的“定时炸弹”

生物识别数据,比如面部几何图谱,是一个独特的数学坐标,它就是你。与密码不同,如果你的脸部数据泄露,你将无法更换

Persona 声称会在验证完成后或六个月内销毁这些扫描数据,但有一个例外:“除非法律或法律程序要求 Persona 保留数据。”

这个例外条款与《CLOUD法案》相结合,意味着美国的一纸法令就可能迫使 Persona 无限期保留你的生物识别数据。

仅值 50 美元的安全网

如果发生数据泄露,你的护照、面部几何图谱和身份证号落入不法分子手中,会发生什么?

根据 Persona 的服务条款,他们承担的责任上限为 50 美元

你的护照,你的脸,你的生物识别数据,只值五十美元。此外,条款还强制要求通过仲裁解决争议,禁止集体诉讼。

你应该怎么做?

如果你已经完成了验证,可以考虑以下步骤:

  1. 请求你的数据: 根据 GDPR,你有权知道他们收集了哪些关于你的信息。可以发送邮件至 [email protected]
  2. 请求删除数据: 验证已完成,没有理由让 Persona 继续保留你的护照扫描件和面部几何数据。要求他们删除。
  3. 联系数据保护官(DPO): 如果你反对他们以“合法利益”为由使用你的文件训练 AI,可以向 [email protected] 提出异议。
  4. 三思而后行: 在点击验证之前,请仔细权衡。那个蓝色的徽章可能并不值得你用永久的生物识别数据去交换。