据《卫报》独家报道，全球多个生物识别监管机构发出联合警告：人脸识别技术的监管框架严重滞后于技术发展的速度，面部扫描系统的实际效果远不及供应商所宣传的水平，亟需新的法律法规对其进行规范。

监管滞后

生物识别信息专员们指出，尽管面部识别技术在全球范围内被广泛应用于执法、边境管控、金融服务和公共监控等领域，但相应的监管框架远远未能跟上技术部署的步伐。

“我们正面临一个监管真空，“一位欧洲生物识别专员表示，“技术已经大规模部署在公共场所，而关于其使用条件、数据保护、错误率标准和问责机制的法律框架却几乎空白。”

技术效果存疑

更令人担忧的是，监管机构发现面部扫描系统的实际表现与供应商的宣传存在显著差距。多项独立测试显示：

• 种族和性别偏差：系统在识别有色人种和女性时的错误率明显高于白人男性
• 环境因素影响：光照条件、拍摄角度和距离对识别准确率有重大影响
• 错误匹配风险：在大规模部署中，即使是很低的错误率也会导致大量误判

立法呼声

监管机构呼吁各国政府加快制定专门针对生物识别技术的法律法规，核心诉求包括：

1. 强制性的准确性标准：建立统一的测试基准，要求供应商公开系统的错误率和偏差数据
2. 使用限制：在执法和公共监控等高风险场景中限制面部识别技术的使用
3. 透明度要求：强制公共场所告知公民面部识别系统的存在和用途
4. 独立审计：建立独立机构定期对部署的面部识别系统进行审查

全球动态

目前，欧盟已通过《人工智能法案》对生物识别技术设置了相对严格的监管框架。但在全球范围内，大多数国家和地区仍缺乏针对性的法规。

人权组织和隐私倡导者警告，如果不及时建立有效的监管机制，面部识别技术的大规模部署可能对公民自由和隐私权造成不可逆转的损害。他们呼吁各国政府将生物识别监管视为优先事项，而不是等到技术进一步普及后才采取行动。

Source: The Guardian

2026年4月4日，臭名昭著的勒索组织Lapsus$在其泄露网站上公布了AI训练数据公司Mercor的数据。据泄露样本索引显示，该数据包包含约4TB的数据，涵盖超过4万名承包商的语音生物识别信息和政府签发的身份证件。

泄露详情

这些承包商此前签约参与数据标注、朗读录音和验证电话等AI训练工作。Mercor的承包商入职流程要求提供护照或驾驶执照扫描件、网络摄像头自拍，以及在安静环境中朗读脚本提示的录音。

据《华尔街日报》2026年2月报道，目前市面上高质量语音克隆工具仅需约15秒的清晰参考音频即可生成逼真的语音。而Mercor泄露的录音据报每人平均有2至5分钟的录音室级清晰语音，远超这一阈值。

为何此次泄露尤为严重

此次泄露之所以引发特别关注，是因为它将两种通常分离的数据类别合并在一起：

语音生物识别数据：大多数过去的语音泄露要么是呼叫中心被攻破但录音难以映射到个人身份，要么是身份证件经纪人泄露了驾照和自拍但没有音频。而Mercor将两者合并在同一数据库的同一行记录中。

精确的身份验证信息：攻击者不仅获得了用于克隆语音的音频素材，还获得了经过验证的身份证明文件——这正是将克隆语音投入实际使用所需的凭证。

潜在威胁

安全专家警告，此次泄露可能导致以下威胁：

• 语音深度伪造欺诈：2024年，Arup集团一名财务人员曾在多人深度伪造视频会议后转账约2500万美元。而此次泄露提供了比公开视频片段质量更高的素材
• 身份欺诈：攻击者可以利用窃取的身份证件和语音合成进行银行欺诈、电话诈骗等
• 社会工程攻击：利用特定个人的语音样本进行高度可信的欺骗

法律诉讼

泄露发布后十天内，已有五起承包商诉讼被提起。原告主张，该公司以"训练数据"的名义收集语音指纹，但未明确告知这些数据同时也是永久性的生物识别标识符。

行业影响

此次事件再次凸显AI训练数据供应链中的安全风险。随着AI行业对标注数据需求的爆炸式增长，成千上万的数据标注员将其生物识别信息交给了第三方平台，而这些平台的安全防护水平参差不齐。

安全分析师呼吁，行业需要建立更严格的数据保护标准，特别是针对涉及生物识别信息的AI训练数据采集和存储流程。

来源：ORAVYS | Hacker News