Anthropic要求上传护照:AI平台治理的生物特征转折点
Anthropic要求上传护照:AI平台治理的生物特征转折点
TechCrunch报道称,一条写在Anthropic隐私政策深处的条款计划于2026年7月8日正式生效。它的措辞相当克制:”在特定情况下,我们可能要求您提供政府颁发的护照或驾照照片、自拍照或视频,以及面部几何模板。”没有新闻发布会,没有CEO声明,没有产品博客。只有一份法律文件的静默更新。
这是AI行业第一次将生物特征采集写入主流消费级平台的标准隐私政策。
表面上看,这不过是账户申诉流程的技术性调整——Anthropic发言人随后向TechCrunch确认,该措施适用于”少量”被标记账户,属于封禁申诉机制的一部分。但这种低调处理本身就值得警惕:当一家掌握大量用户AI交互数据的公司,开始有权要求用户提交面部几何数据时,”少量”这个修饰词并不能改变先例的性质。
理解这件事的重要性,需要同时读懂3条线索:生物特征数据的技术敏感性、Anthropic当前所处的政治压力、以及这一政策在整个AI平台行业可能触发的连锁反应。
这3条线索各自独立,但交织在一起,指向同一个结论:你可以更换密码,但你无法更换自己的脸。当AI平台开始采集不可撤销的生物特征数据时,它就从工具提供者变成了身份基础设施运营者——而这个转变一旦发生,就没有回头路。
2026年7月8日,据报道将成为AI平台治理历史上一个低调但可能具有决定性意义的转折点。
第一层:发生了什么
政策细节的精确解读
根据Anthropic官方隐私政策(计划于2026年7月8日生效版本)以及TechCrunch于2026年6月22日的报道,新政策的核心变化可以分解为3个独立的数据采集层次:
第一层:文件扫描。 护照或驾照的照片或扫描件。这是传统身份验证的标准做法,银行、金融机构、部分电商平台已普遍采用。根据Jumio发布的2026年度《身份与欺诈状态报告》(2026 State of Identity and Fraud Report,来源:Jumio,2026年3月),全球每年处理的数字身份文件验证请求已达数十亿次量级,护照和驾照是最常见的验证文件类型。这一层次的数据采集在法律上已有相对成熟的处理框架。
第二层:活体检测。 自拍照或视频。这一步的目的是确认提交文件的人与账户持有人是同一个活体,防止文件盗用和照片欺骗攻击(presentation attack)。活体检测技术本身已相当成熟,主流方案包括眨眼检测、头部转动指令、以及基于深度学习的3D面部重建。这一层次的数据采集在技术上不可避免地生成面部图像,但其隐私风险级别通常低于第三层。
第三层:面部几何模板。 这是关键分野。面部几何模板(facial geometry template)不是一张照片,而是从人脸图像中提取的数学特征向量——眼间距、颧骨轮廓、下颌角度等数十个测量值构成的生物特征签名。这个数据本质上是不可撤销的:你可以更换密码,可以注销账户,但你无法更换自己的面部几何结构。
值得注意的是,面部几何模板与原始照片的关系类似于哈希值与原始密码的关系——理论上是单向变换,但实际上这种类比并不完全准确。面部几何模板在技术上可以被用于跨系统的身份匹配,而不需要恢复原始照片。这使其成为一种比照片更危险、但也更难被直觉理解的数据形式。
Anthropic的支持文档(support.claude.com)进一步说明,身份验证系统同时服务于”年龄保证”(age assurance)功能,用于符合各州和各国的合规要求。这意味着这套系统的设计目标从一开始就不仅仅是账户申诉,而是更广泛的合规基础设施。这一细节在原始新闻报道中几乎没有得到关注,但它是理解政策真实意图的关键。
适用范围:真的只是”少量用户”吗
Anthropic发言人的”少量用户”表述需要被仔细审视。从政策文本来看,触发条件是账户被”标记”(flagged)但尚未被直接封禁——这意味着处于某种中间状态的账户。
问题在于:谁来决定一个账户被标记?标记的标准是什么?这些标准是否公开透明?政策文本并未给出答案。
在实际操作中,”少量”是一个会随平台规模增长而扩大的相对概念。根据Anthropic CEO Dario Amodei在2025年公开演讲中提及的数据,Claude的用户规模已达”数百万”量级(该数字为Amodei在公开场合的口头表述,未见精确官方披露)。如果被标记账户只占总量的0.1%,绝对数字仍可能达到数千乃至数万。更重要的是,一旦基础设施建成,扩大适用范围的边际成本几乎为零。
历史上有一个可供参照的案例:Facebook在2011年推出的面部识别功能”Tag Suggestions”,最初被描述为仅用于照片标记的便利功能,适用于”自愿使用”的用户。到2021年Facebook宣布关闭这一功能时,该系统已积累了超过10亿用户的面部识别模板,成为当时全球最大的私人面部识别数据库之一。Facebook最终因此在伊利诺伊州支付了6.5亿美元的BIPA和解金(来源:In re Facebook Biometric Information Privacy Litigation,北加州联邦地区法院,2021年;另见《纽约时报》,2021年2月27日报道)。
这个案例不是在预测Anthropic将走上同样的道路,而是在说明:从”少量用户”到大规模数据库,这条路径在技术和商业逻辑上是自然的,不需要任何恶意意图。
政策更新的时间线与透明度问题
另一个值得关注的细节是政策更新的方式。Anthropic选择通过隐私政策文本的静默更新来引入这一重大变化,而非通过用户通知邮件、产品公告或新闻发布会。
这种做法在法律上通常是合规的——大多数平台的服务条款允许在提前通知的情况下单方面修改政策。但它揭示了一个透明度问题:一家以”负责任AI开发”为核心品牌叙事的公司,在引入其历史上最具争议的数据采集政策时,选择了最低限度的公开披露方式。
这与Anthropic在其他议题上的沟通风格形成了明显对比。Anthropic定期发布详细的安全研究报告、模型卡片和政策立场文件,在AI透明度方面的公开投入远超行业平均水平。正因如此,这次静默更新显得格外引人注目——当一家以透明著称的公司选择沉默时,沉默本身就是信号。
第二层:为什么重要
面部几何数据的法律地位:Illinois BIPA的警示
并非所有的个人数据都是平等的。理解面部几何模板为何敏感,需要了解美国法律体系对生物特征数据的特殊处理。
伊利诺伊州《生物特征信息隐私法》(Illinois Biometric Information Privacy Act,BIPA)于2008年通过,是美国现行最严格的生物特征数据保护法规之一。根据国际隐私专业人员协会(IAPP)2026年的分析(来源:IAPP,2026年),BIPA明确将面部几何模板列为受法律保护的生物特征数据,要求企业在采集前获得书面同意、明确说明保留期限和销毁计划,并严格限制数据转让。违反BIPA的每次违规行为可面临1,000至5,000美元不等的法定赔偿,且允许私人诉讼——这一条款使BIPA成为企业法律风险中少见的”牙齿”。
BIPA的实际威慑力已经被多个大型案例证明:
- Facebook案(2021年):6.5亿美元和解,涉及未经同意的面部识别标记功能(In re Facebook Biometric Information Privacy Litigation,北加州联邦地区法院)。
- Google Photos案(2022年6月):1亿美元和解,涉及伊利诺伊州用户的面部分组功能中的几何数据处理(Rivera v. Google LLC,圣何塞联邦法院)。
- TikTok案(2021年):9200万美元和解,涉及未经同意采集面部和声纹生物特征数据(Ling v. TikTok Inc.,伊利诺伊州北区联邦法院)。
这些数字说明了一件事:面部几何数据的法律风险是真实的、可量化的,而不是抽象的隐私担忧。
更深远的含义是:如果Anthropic的系统建立起来,这套基础设施就天然具备了被扩展使用的可能性。面部几何模板一旦存储,理论上可以用于:跨平台身份追踪、执法机构传票索取、数据泄露后的永久性身份暴露。这些并非危言耸听——它们是生物特征数据库在历史上已经发生过的事情。
2020年,Clearview AI的客户名单和超过30亿张面部图像的数据库遭遇泄露,其客户包括超过600家执法机构和企业安全部门(来源:BuzzFeed News,2020年2月27日,”Clearview AI Has Billions Of Our Photos. Its Entire Client List Was Just Stolen”)。这一事件的教训是:任何面部几何数据库,无论其建立目的多么合理,都是一个高价值的攻击目标。
与普通KYC验证的本质区别
有人会说:银行早就要求上传护照了,Anthropic这样做有什么问题?
这个类比在表面上成立,但在结构上是错误的。
银行的KYC(Know Your Customer)验证存在于一个受到严格监管的框架内:银行受联邦和州层面的金融监管(OCC、FDIC、美联储),有明确的数据保留规则,有独立的监管机构审查,有存款保险制度作为信任背书。更重要的是,银行采集身份数据的目的是单一且明确的——金融交易合规,且这一目的受到《银行保密法》(Bank Secrecy Act)和《爱国者法案》(USA PATRIOT Act)的严格界定。
Anthropic是一家AI公司。它采集面部几何数据的目的,按政策文本包括账户申诉和年龄合规,但这两个目的本身就存在范围蔓延的空间。而且,一家AI公司持有的面部几何数据与其持有的大量用户对话数据结合,理论上可以构建出比任何单一数据集都更精细的用户画像。
这不是假设性风险。这是数据融合(data fusion)的基本逻辑。
举一个具体的例子:如果Anthropic的系统同时持有用户A的面部几何模板和用户A过去18个月的所有Claude对话记录,那么这两个数据集的结合,在技术上可以生成一个包含该用户外貌特征、思维模式、专业背景、个人关系、健康状况(如果对话中提及)的综合画像。没有任何单一的传统KYC数据库拥有这种数据融合潜力。
这个差异不是程度上的,而是性质上的。银行知道你有多少钱;AI公司可能知道你是怎么想的。当后者还知道你长什么样时,这三者的结合创造了一种前所未有的身份权力。
欧盟GDPR框架下的额外维度
对于欧洲用户,这一政策还触发了另一个法律框架。根据欧盟《通用数据保护条例》(GDPR)第9条,生物特征数据被列为”特殊类别数据”,受到最高级别的保护。GDPR对特殊类别数据的处理设定了极为严格的条件:通常需要明确的书面同意,且同意必须是”具体的、知情的、不含糊的”,不能通过隐私政策的默认接受来实现。
这意味着Anthropic如果要在欧盟用户身上实施这一政策,其法律合规路径与美国用户完全不同,且难度显著更高。欧盟数据保护机构(DPA)对AI公司的生物特征数据处理已经表现出高度警惕——意大利数据保护局(Garante)在2023年3月曾以隐私保护不足为由临时封禁ChatGPT(来源:Garante per la protezione dei dati personali,2023年3月31日决定),这一先例说明欧洲监管机构不会对此类政策保持沉默。
第三层:大多数人没看到什么
政治压力的隐线:Anthropic与当前政府的结构性张力
TechCrunch的报道特别指出了一个时机上的细节:这一政策更新,恰逢Anthropic与当前美国政府之间持续的紧张关系。
这条线索值得深挖。
根据TechCrunch的报道,背景冲突涉及AI出口管制争议以及Claude在特定地区的访问限制纠纷。需要特别指出的是,这些冲突的具体细节目前主要来自TechCrunch的单一来源报道,部分涉及的政策争议尚无法通过第二独立来源交叉验证。以下分析基于该报道提供的信息,读者应注意其尚未被完全独立证实。
但即便撇开具体争议细节,这些报道指向一个更大的、可从公开信息中独立验证的结构性张力:Anthropic作为一家以”AI安全”为核心叙事的公司,在监管压力下需要证明自己有能力管控平台滥用,同时又需要在商业上保持竞争力。
在这个语境下,引入生物特征身份验证系统,可以被解读为一种主动的合规姿态——向监管机构展示:”我们有能力识别并管控平台上的真实用户身份。”这是一种预防性的政治投资。
2025年至2026年间,美国对AI行业的监管立场经历了明显转变:一方面,通过行政令放宽了部分AI安全监管要求(2025年1月,特朗普政府撤销了Biden政府2023年AI安全行政令中的部分条款,来源:The White House,Executive Order on Removing Barriers to American Leadership in Artificial Intelligence,2025年1月20日);另一方面,在涉及国家安全的AI出口管制问题上,立场显著强硬。Anthropic在出口管制问题上的公开立场——支持对某些高风险AI能力实施出口限制——与政府在某些具体案例上的商业利益之间,据报道产生了摩擦。
在这个背景下,Anthropic需要在两个方向上同时证明自己:向监管机构证明它有足够的平台管控能力(支持引入身份验证),同时向用户和公民社会证明它不是监控工具(解释为什么这只适用于”少量”用户)。这种双向压力正是生物特征政策以如此低调的方式推出的结构性原因。
AI公司的”治理能力展示”困境
这里存在一个深刻的结构性困境,是大多数讨论所忽视的。
AI公司面临的监管压力,本质上是一个”证明你能管好自己”的问题。监管机构和立法者要求AI平台证明:它们能够防止平台被用于非法活动、能够核实用户年龄(尤其是涉及未成年人保护的场景)、能够在必要时配合执法机构的调查需求。
传统的账号管理工具——IP封禁、行为检测、内容过滤——在这个框架下被认为是不够的,因为它们无法解决”身份确定性”问题。一个被封禁的账户可以用新邮箱重新注册;一个被检测到的不良行为者可以换个设备继续操作。
生物特征验证从技术上”解决”了这个问题:如果你的面部几何模板已经在数据库里,你就无法简单地创建一个新身份。这对监管机构来说是一个极具吸引力的解决方案。
但这个”解决方案”的代价,是将AI平台从一个通信工具转变为一个身份基础设施。而身份基础设施一旦建立,其权力边界就变得极难控制。
这个困境并非AI行业独有。我们可以在互联网发展史上找到清晰的类比:
2001年至2003年,美国《爱国者法案》通过后,互联网服务提供商(ISP)被要求保留用户数据以配合执法机构调查。这一要求起初适用于恐怖主义相关调查,但随后扩展到毒品犯罪、版权侵权等更广泛的领域。今天,美国ISP的数据保留实践已经远超2001年的原始立法意图。
2011年至2012年,韩国实名制政策的经历提供了另一个参照:韩国政府要求所有网络平台用户进行实名注册,最初理由是打击网络暴力。2012年,韩国宪法法院以侵犯言论自由为由裁定该政策违宪,但在政策存续期间,超过3500万条用户身份信息在多次黑客攻击中被盗取(来源:Korea Herald,2012年8月报道;另见Reuters,2011年7月关于SK Communications数据泄露的报道,涉及约3500万用户数据)。
这两个案例说明的不是AI公司必然走向滥权,而是:一旦身份基础设施建立,其扩展和滥用的路径是结构性的,不依赖于任何单一行为者的恶意。基础设施的存在决定了什么是可能的,而意图是可以改变的。
生物特征数据与AI对话数据的融合风险:一个被低估的维度
这是目前几乎所有关于此议题的讨论都忽略的核心洞察。
大多数隐私讨论将生物特征数据风险与其他数据风险分开考虑。但Anthropic的特殊性在于:它是极少数同时持有用户生物特征数据和用户大量非结构化对话数据的实体之一。
一个普通用户与Claude的对话,可能包含:职业信息和专业背景、健康问题和医疗状况、家庭关系和个人困境、政治观点和宗教信仰、财务状况和消费决策、创意作品和知识产权。
这些信息在单独存在时,是相对匿名的——即便Claude知道你的对话内容,它通常不知道你是谁。但一旦面部几何模板将这些对话与一个确定的生物身份绑定,匿名性就被彻底打破。
更重要的是,这种绑定一旦发生,就无法撤销。你可以删除账户,但如果数据已经被处理和存储,删除账户并不等于删除数据关联。
这个融合风险不是Anthropic政策文本中提到的任何一项用途所需要的——你不需要知道一个被标记账户的面部几何模板与其历史对话数据的关联,才能处理账户申诉。但这个关联在技术上是可能的,而且一旦两类数据同时存在于同一个系统中,防止数据融合需要额外的技术和制度设计(如数据隔离架构、访问控制审计、目的限制的技术强制执行等),而这些设计在当前的政策文本中没有任何体现。
这是Anthropic政策中最被低估的风险维度:不是任何单一数据类型的敏感性,而是两种数据类型在同一实体内共存时产生的涌现风险。
匿名使用AI的权利:一个正在消失的可能性
还有一个更根本的问题值得单独讨论:人们是否有权匿名使用AI工具?
目前,大多数AI平台允许用户以相对匿名的方式使用服务——你需要一个邮箱地址,但不需要证明你是谁。这种有限的匿名性对某些用户群体具有特殊价值:举报人和新闻来源、处于高压政治环境下的用户、与AI讨论心理健康问题的人、需要测试AI系统边界的安全研究人员。
生物特征验证的引入,即便只适用于”少量”被标记用户,也向所有用户传递了一个信号:匿名使用AI的可能性正在系统性地收窄。这个信号本身就会改变用户行为——产生寒蝉效应(chilling effect),使人们在与AI交互时进行自我审查。
这个寒蝉效应是真实的、可测量的。2013年斯诺登事件披露NSA大规模监控项目后,Jon Penney在Berkeley Technology Law Journal(2016年,Vol. 31, No. 1,”Chilling Effects: Online Surveillance and Wikipedia Use”)发表的研究发现,维基百科上涉及恐怖主义相关词条的搜索量在披露后显著下降——即便这些搜索本身完全合法,用户也因为意识到被监视的可能性而改变了行为。
第四层:这意味着什么
对立视角的正面交锋
在得出结论之前,有必要认真对待双方论点——不是为了平衡而平衡,而是因为这些论点确实指向真实的问题。
支持方的核心论点——平台安全的现实需求:
AI平台滥用是真实存在的问题,且规模不小。根据Anthropic在2025年发布的使用政策报告(Anthropic Usage Policy Transparency Report,2025年,来源:Anthropic,2025年),平台每月处理的违规内容标记事件达数十万次。被封禁的恶意用户会反复注册新账户,对平台安全和其他用户造成持续伤害——包括生成CSAM(儿童性虐待材料)、大规模自动化欺诈、以及利用AI辅助的社会工程攻击。这不是理论风险,而是平台运营的日常现实。
生物特征验证是目前技术上最可靠的身份确定性手段。密码可以被盗,邮箱可以被伪造,但面部几何结构在当前技术条件下无法被简单复制。对于确实存在恶意行为的账户,这是一种有效的防御工具。
年龄验证在保护未成年人方面有正当的社会价值。根据美国外科医生办公室(U.S. Surgeon General)2023年5月发布的社交媒体与青少年心理健康咨询报告(Social Media and Youth Mental Health: The U.S. Surgeon General’s Advisory),未成年人接触不适当的AI生成内容是一个真实的公共健康问题。如果生物特征验证能够有效防止未成年人接触有害内容,其社会收益是可量化的。
此外,Anthropic将其限制在”少量被标记账户”,而非全体用户,已经体现了克制。与某些国家要求所有网络用户实名注册的做法相比,这是一种更为有限的实施方式。
支持方论点的深层逻辑值得认真对待:在一个AI能力快速增长的世界里,”谁在使用这些能力”是一个合理的安全问题。完全匿名的AI访问,在极端情况下确实可能被利用来造成严重伤害。Anthropic的政策可以被理解为在”完全匿名”和”全面实名”之间寻找中间地带的一次尝试。
反方的核心论点——基础设施风险与权力不对称:
生物特征数据的不可撤销性使其风险等级与密码、邮箱等数据根本不同。当一个密码数据库被盗,用户可以更换密码。当一个面部几何数据库被盗,受影响的用户永远无法”更换”自己的面部。这个不对称性是根本性的,任何”我们会妥善保管”的承诺都无法消除它。
“少量用户”的边界缺乏透明的定义和独立的监督机制。在没有外部审计的情况下,”少量”可以随时间扩大而不触发任何监管警报。
建立基础设施本身就是风险,而不仅仅是使用方式。即便Anthropic今天的使用完全合理,这套基础