互联网时代，一次扫码、一次刷脸、一次弹窗的“同意”，指尖轻点之间，个人隐私的边界正变得模糊。当“赛博养生”在年轻人中流行起来，用AI“看手相”“做手诊”成为新潮，其背后潜藏的个人信息风险，尤其是指纹、掌纹这类生物识别信息的处理，值得我们停下脚步，仔细审视。

“智慧线偏短，提示用脑过度”“大鱼际颜色偏白，脾胃功能较弱”……这类由AI生成的“健康报告”在社交平台上并不少见。南都大数据研究院实测了多款提供此类功能的AI助手APP及小程序，发现部分平台在收集和处理用户手掌照片时，其操作规范存在明显缺失：有的隐私政策语焉不详，有的默认勾选同意，更多则未明确告知用户，其上传的掌纹、指纹等敏感信息将如何被处理与保护。

AI“看手”能一秒读懂健康？

在社交平台搜索“手诊”“看手相”，能看到大量用户分享的手掌图及AI分析报告。实测发现，在千问、元宝等AI助手APP上传双手照片，要求其进行“手诊”或“看手相”分析，几乎都能得到即时反馈。从分析逻辑看，AI的“手诊”多借鉴中医望诊思路，观察手掌颜色、形态、纹理来推测体质；而“看手相”则多从生命线、感情线等纹路出发分析性格，并通常会附上一句“仅供娱乐参考”。

社交平台上部分AI助手APP或小程序的手诊、看手相功能推广图文。

此外，微信上也有不少专门的小程序，宣称能通过AI智能分析手掌纹路、颜色等特征，来挖掘健康信息或进行性格评分。

部分提供AI手诊、看手相功能的小程序。

可提取指纹掌纹的照片属生物识别信息

根据《民法典》《个人信息保护法》及《网络数据安全管理条例》，生物识别信息被明确列为敏感个人信息。相关国家标准进一步将其范围界定为个人基因、人脸、指纹、掌纹、虹膜等。

那么，用于AI手诊的手掌照片，是否落入这个范畴？关键在于，照片本身是否包含了可提取的生物特征。根据国家标准，生物特征识别信息包括原始信息（如样本、图像）和比对信息。这意味着，任何能够从中提取出自然人指纹、掌纹等生物特征的原始照片，都应被视为生物识别信息进行处理。

深圳市安证企业合规管理（集团）有限公司数据安全合规总工程师龙军指出，无论手诊服务是否将掌纹用于身份识别，只要照片本身含有可提取的掌纹、指纹信息，就应当遵循处理敏感个人信息的规则。京衡律师事务所张玲玲律师补充道，如果相关服务被认定为医疗诊断，涉及用户疾病信息，还可能同时构成处理“医疗健康”这一敏感信息。

平台生物信息隐私规范有缺失

《个人信息保护法》规定，处理敏感个人信息应取得个人的单独同意，并履行充分告知义务。国家标准《GB/T 45574—2025 数据安全技术 敏感个人信息处理安全要求》更是明确提出，处理目的达成后，应删除所收集的原始生物识别信息，如图片、视频等。

然而，实测发现的相关小程序，在此方面的表现参差不齐，甚至存在明显漏洞。

例如，“AI看手”小程序仅在检测页面有一行小字承诺“不会保留您的拍摄照片”，既无主动展示的服务协议和隐私政策，也无需用户勾选同意即可使用。其隐私政策条款简单，且内容与功能明显不符。另一款“HealthBot”小程序虽在功能使用前设置了用户协议和隐私政策同意环节，但该选项已默认勾选。其隐私政策虽提及会收集掌纹照片用于分析，却未单独明确说明原始图片的删除规则与存储时限。

“AI看手”小程序页面及隐私政策截图。

“HealthBot”小程序页面及隐私政策截图。

视线转向主流的AI助手APP。南都研究员查看了豆包、千问、元宝等7款APP的隐私政策，发现均未提及对手掌照片中可能含有的指纹、掌纹信息的处理规则。仅有DeepSeek在隐私政策中明确声明，不会从用户提供的照片中提取用于识别特定个人身份的生物特征。

一个有趣的对比是，这些平台对于人脸、声纹等更为常见的生物识别信息的处理规则，说明往往更为详细清晰。这反衬出当前行业对于掌纹、指纹等信息的规范意识尚存盲区。

部分AI助手APP隐私政策中涉及个人生物识别信息处理规则。

北京师范大学法学院博士生导师吴沈括强调，指纹、掌纹与人脸具有同等的敏感性，平台处理时必须履行单独告知和取得同意的义务，明确处理方式与范围，不能混同于一般个人信息规则。龙军则呼吁，监管应加强对这类相对“小众”但风险不低的生物识别信息的重视，参照人脸识别保护标准，制定专门规范。

上传指纹掌纹可被提取信息

此前，“1.5米内比耶拍照能提取指纹”的话题曾引发广泛关注。相比之下，AI手诊要求上传的往往是高清、完整的手掌正面图，其包含的生物特征信息更为全面。这不禁让人担忧：从这些照片中，真能提取出可用的指纹或掌纹信息吗？

多个小程序提示使用AI看诊功能需上传清晰、能看清手纹的手掌照片。

技术专家的答案是肯定的。广东省司法鉴定专家黄万巧分析，用户为满足分析要求上传的，通常是近距离、光照良好的微距照片，手机在微距模式下甚至会关闭指纹模糊算法，因此从中提取掌纹或指纹信息的可行性“接近100%”。吴沈括也认为，随着拍摄设备像素和AI图像处理技术的飞速发展，“从部分获取全部”或由模糊变清晰已成为可能，随意上传手掌照片存在高度的安全风险。

生物信息泄露难逆转

相较于人脸，公众对掌纹、指纹信息的安全意识或许还存在一些“钝感”。然而，这些生物特征一旦泄露，其后果同样严重且不可逆——它们无法像密码一样更改。随着指纹、掌纹识别在门禁、支付等场景的应用拓展，其安全价值与风险正同步攀升。

已有案例敲响警钟。据国家安全部披露，境外有企业因指纹支付系统管理不善，导致数据库被黑客攻破，造成严重信息泄露。2025年5月，上海网信办也将“亮见浦江”专项执法行动的治理对象，从人脸识别信息升级为涵盖指纹、声纹、掌纹等在内的全部生物识别信息。

面对风险，用户该如何自处？张玲玲律师提醒，必须树立“生物信息不可更换”的核心风险意识，在享受便捷时保持谨慎授权。吴沈括建议，坚持“非必要不提供，不正规不授权”的原则，认真阅读隐私条款，拒绝捆绑式授权。

归根结底，合规的重担首先落在平台肩上。在收集和处理掌纹、指纹等敏感信息时，平台必须做到规则透明、告知充分、获取同意单独明确，并严格落实数据安全保护责任。唯有用户警惕与平台合规双管齐下，才能让技术带来的便利，不至于以牺牲个人最独特的生物密码为代价。

出品：南都大数据研究院

采写：南都研究员 唐静怡

设计：尹洁琳