互联网时代,一次扫码、一次刷脸、一次弹窗的“同意”,指尖轻点之间,个人隐私的边界正变得模糊。当“赛博养生”在年轻人中流行起来,用AI“看手相”“做手诊”成为新潮,其背后潜藏的个人信息风险,尤其是指纹、掌纹这类生物识别信息的处理,值得我们停下脚步,仔细审视。
“智慧线偏短,提示用脑过度”“大鱼际颜色偏白,脾胃功能较弱”……这类由AI生成的“健康报告”在社交平台上并不少见。南都大数据研究院实测了多款提供此类功能的AI助手APP及小程序,发现部分平台在收集和处理用户手掌照片时,其操作规范存在明显缺失:有的隐私政策语焉不详,有的默认勾选同意,更多则未明确告知用户,其上传的掌纹、指纹等敏感信息将如何被处理与保护。
AI“看手”能一秒读懂健康?
在社交平台搜索“手诊”“看手相”,能看到大量用户分享的手掌图及AI分析报告。实测发现,在千问、元宝等AI助手APP上传双手照片,要求其进行“手诊”或“看手相”分析,几乎都能得到即时反馈。从分析逻辑看,AI的“手诊”多借鉴中医望诊思路,观察手掌颜色、形态、纹理来推测体质;而“看手相”则多从生命线、感情线等纹路出发分析性格,并通常会附上一句“仅供娱乐参考”。

社交平台上部分AI助手APP或小程序的手诊、看手相功能推广图文。
此外,微信上也有不少专门的小程序,宣称能通过AI智能分析手掌纹路、颜色等特征,来挖掘健康信息或进行性格评分。

部分提供AI手诊、看手相功能的小程序。
可提取指纹掌纹的照片属生物识别信息
根据《民法典》《个人信息保护法》及《网络数据安全管理条例》,生物识别信息被明确列为敏感个人信息。相关国家标准进一步将其范围界定为个人基因、人脸、指纹、掌纹、虹膜等。
那么,用于AI手诊的手掌照片,是否落入这个范畴?关键在于,照片本身是否包含了可提取的生物特征。根据国家标准,生物特征识别信息包括原始信息(如样本、图像)和比对信息。这意味着,任何能够从中提取出自然人指纹、掌纹等生物特征的原始照片,都应被视为生物识别信息进行处理。
深圳市安证企业合规管理(集团)有限公司数据安全合规总工程师龙军指出,无论手诊服务是否将掌纹用于身份识别,只要照片本身含有可提取的掌纹、指纹信息,就应当遵循处理敏感个人信息的规则。京衡律师事务所张玲玲律师补充道,如果相关服务被认定为医疗诊断,涉及用户疾病信息,还可能同时构成处理“医疗健康”这一敏感信息。
平台生物信息隐私规范有缺失
《个人信息保护法》规定,处理敏感个人信息应取得个人的单独同意,并履行充分告知义务。国家标准《GB/T 45574—2025 数据安全技术 敏感个人信息处理安全要求》更是明确提出,处理目的达成后,应删除所收集的原始生物识别信息,如图片、视频等。
然而,实测发现的相关小程序,在此方面的表现参差不齐,甚至存在明显漏洞。
例如,“AI看手”小程序仅在检测页面有一行小字承诺“不会保留您的拍摄照片”,既无主动展示的服务协议和隐私政策,也无需用户勾选同意即可使用。其隐私政策条款简单,且内容与功能明显不符。另一款“HealthBot”小程序虽在功能使用前设置了用户协议和隐私政策同意环节,但该选项已默认勾选。其隐私政策虽提及会收集掌纹照片用于分析,却未单独明确说明原始图片的删除规则与存储时限。

“AI看手”小程序页面及隐私政策截图。

“HealthBot”小程序页面及隐私政策截图。
视线转向主流的AI助手APP。南都研究员查看了豆包、千问、元宝等7款APP的隐私政策,发现均未提及对手掌照片中可能含有的指纹、掌纹信息的处理规则。仅有DeepSeek在隐私政策中明确声明,不会从用户提供的照片中提取用于识别特定个人身份的生物特征。
一个有趣的对比是,这些平台对于人脸、声纹等更为常见的生物识别信息的处理规则,说明往往更为详细清晰。这反衬出当前行业对于掌纹、指纹等信息的规范意识尚存盲区。

部分AI助手APP隐私政策中涉及个人生物识别信息处理规则。
北京师范大学法学院博士生导师吴沈括强调,指纹、掌纹与人脸具有同等的敏感性,平台处理时必须履行单独告知和取得同意的义务,明确处理方式与范围,不能混同于一般个人信息规则。龙军则呼吁,监管应加强对这类相对“小众”但风险不低的生物识别信息的重视,参照人脸识别保护标准,制定专门规范。
上传指纹掌纹可被提取信息
此前,“1.5米内比耶拍照能提取指纹”的话题曾引发广泛关注。相比之下,AI手诊要求上传的往往是高清、完整的手掌正面图,其包含的生物特征信息更为全面。这不禁让人担忧:从这些照片中,真能提取出可用的指纹或掌纹信息吗?

多个小程序提示使用AI看诊功能需上传清晰、能看清手纹的手掌照片。
技术专家的答案是肯定的。广东省司法鉴定专家黄万巧分析,用户为满足分析要求上传的,通常是近距离、光照良好的微距照片,手机在微距模式下甚至会关闭指纹模糊算法,因此从中提取掌纹或指纹信息的可行性“接近100%”。吴沈括也认为,随着拍摄设备像素和AI图像处理技术的飞速发展,“从部分获取全部”或由模糊变清晰已成为可能,随意上传手掌照片存在高度的安全风险。
生物信息泄露难逆转
相较于人脸,公众对掌纹、指纹信息的安全意识或许还存在一些“钝感”。然而,这些生物特征一旦泄露,其后果同样严重且不可逆——它们无法像密码一样更改。随着指纹、掌纹识别在门禁、支付等场景的应用拓展,其安全价值与风险正同步攀升。
已有案例敲响警钟。据国家安全部披露,境外有企业因指纹支付系统管理不善,导致数据库被黑客攻破,造成严重信息泄露。2025年5月,上海网信办也将“亮见浦江”专项执法行动的治理对象,从人脸识别信息升级为涵盖指纹、声纹、掌纹等在内的全部生物识别信息。
面对风险,用户该如何自处?张玲玲律师提醒,必须树立“生物信息不可更换”的核心风险意识,在享受便捷时保持谨慎授权。吴沈括建议,坚持“非必要不提供,不正规不授权”的原则,认真阅读隐私条款,拒绝捆绑式授权。
归根结底,合规的重担首先落在平台肩上。在收集和处理掌纹、指纹等敏感信息时,平台必须做到规则透明、告知充分、获取同意单独明确,并严格落实数据安全保护责任。唯有用户警惕与平台合规双管齐下,才能让技术带来的便利,不至于以牺牲个人最独特的生物密码为代价。


出品:南都大数据研究院
采写:南都研究员 唐静怡
设计:尹洁琳
