你的臉，已經不屬於你自己了

去健身房、訂飯店、看演唱會——這些再平常不過的日常行為，正在成為你個人資料外洩的入口。

這一週，從紐約到歐洲，從學校到加密貨幣交易所，一連串看似無關的事件，共同指向同一個問題：在數位時代，究竟是誰在保護我們的隱私？

麥迪遜廣場花園：私人監控國家的縮影

美國媒體WIRED的調查報導揭露，紐約著名場館麥迪遜廣場花園（MSG）的業主吉姆·多蘭與安全主管約翰·艾弗索爾，長期對入場觀眾實施人臉辨識、社群媒體監控，甚至派員進行實地跟蹤。這套監控體系的建立，完全繞過政府授權，屬於純粹的私人行為。

這不是孤立案例，而是一個正在擴張的趨勢。同一週，包括美國公民自由聯盟（ACLU）在內的70多個公民社會團體，聯名致函Meta，要求其放棄為Ray-Ban與Oakley品牌AI智慧眼鏡加入人臉辨識功能的計畫。這款眼鏡已能在佩戴者毫不顯眼的情況下錄製影片；若再加上人臉辨識，任何人走在街上都可能被即時識別身份。團體警告，這將為跟蹤狂、家暴加害者，乃至執法機構提供近乎無限的追蹤能力。

對於台灣、香港及東南亞華人社群而言，這個議題有著特殊的敏感性。在已大規模部署人臉辨識的中國大陸，這類技術早已是日常治理工具；而在其他地區，這場辯論才正要開始。當西方民主社會開始認真討論「私人企業的人臉辨識邊界」時，這條界線究竟應該畫在哪裡，各地社會的答案可能截然不同。

一天之內，百萬筆資料消失

歐洲同樣壞消息不斷。歐洲最大健身連鎖Basic-Fit確認遭遇重大資安事件，約100萬名會員的銀行帳戶資料外洩，荷蘭境內就有20萬人受影響，比利時、法國、德國、盧森堡、西班牙的會員也未能倖免。外洩資料包含姓名、住址、電子郵件、電話號碼及出生日期。

同一天，全球旅遊訂房巨頭Booking.com也承認發現可疑活動，可能外洩的資料涵蓋姓名、電子郵件、電話號碼及訂房細節。該公司拒絕透露事件規模，僅表示「未有財務資訊外洩」。

廣告

廣告合作

[email protected]

廣告

這兩起事件的共同點在於：受害者都只是在使用他們信任的日常服務。對於習慣使用Agoda、Trip.com或各類健身App的亞洲用戶來說，這是一個直接的警示——你的資料，正以你不知道的方式被儲存在某個你不了解的系統裡。

深偽裸照：600個受害者，28個國家

WIRED與Indicator的聯合調查揭示了一個令人不安的現實：利用AI「裸化」技術針對中學女生的事件，已在28個國家造成逾600名受害者——而這僅是有公開記錄的案例。

這項技術的門檻正在快速降低。不需要真實的裸照，只需要一張普通的社群媒體頭像，AI就能生成足以造成傷害的假圖像。在台灣，《數位性別暴力防制法》已於近年通過；在香港，相關立法討論也在進行中。但技術演進的速度，往往快過法律的腳步。

歐盟的年齡驗證App：2分鐘被破解

想靠技術解決隱私問題？歐盟委員會這週提供了一個反面教材。委員會主席馮德萊恩在發布會上高調宣布，新的年齡驗證App讓平台「再也沒有藉口」不進行用戶年齡審核。然而，安全顧問保羅·摩爾在社群媒體上公開示範，他在不到2分鐘內就找到了多個安全漏洞，包括可讓攻擊者輕易接管他人帳號的PIN儲存機制缺陷。白帽駭客巴普提斯特·羅伯特也向媒體確認了這項漏洞。

「政府背書等於安全」的假設，在這裡徹底崩塌。這讓人不禁聯想到各地政府推動的數位身份系統——從台灣的數位身分證討論，到各國的健康碼、電子護照——技術的可信度，究竟應該由誰來驗證？

AI進入網路安全戰場：攻防界線模糊化

Anthropic發布新模型「Mythos」並將其定性為安全威脅後，OpenAI隨即宣布推出專屬網路安全策略與新模型「GPT-5.4-Cyber」。AI既是防禦工具，也是攻擊武器——這個矛盾正在加速成形。

俄羅斯加密貨幣交易所Grinex遭駭，損失逾1,300萬美元（約新台幣4億元）。Grinex將攻擊歸咎於「外國特工機構」，但未提供任何證據。值得注意的是，Grinex本身正是因協助俄羅斯規避制裁而遭美國制裁的Garantex的繼承者——一個被制裁的交易所，指控另一個國家的情報機構對其發動攻擊，這個指控本身就充滿了地緣政治的複雜性。