你在交友软件上精心挑选的照片,可能早已成为别人训练算法的"养料"。而当这一切终于被揭开时,距离事发已经过去了整整十二年。
一封邮件,三百万张照片就这么交出去了
这事得从2014年说起。
AI创业公司Clarifai的创始人兼CEO Matthew Zeiler,当时给OkCupid的联合创始人Maxwell Krohn发了封邮件。邮件内容直白得近乎天真,又让人脊背发凉:"我们正在收集数据,刚意识到OkCupid肯定有一大堆超棒的数据可以用。"
"超棒的数据"——他说的是用户上传的头像、生活照,以及附着在这些照片上的年龄、性别、地理位置等个人信息。
更耐人寻味的是两边的关系。OkCupid背后站着约会软件巨头Match Group,而OkCupid的几位高管当时恰好还投资了Clarifai。这种"利益交织"的格局,让这封"求数据"的邮件显得格外顺理成章。
结果也毫无悬念:OkCupid真的就把用户照片交了出去,足足三百万张。用户们对此毫不知情,毕竟按照OkCupid自己白纸黑字写下的隐私政策,这种未经许可的数据共享行为,压根就不应该发生。
可规则是规则,生意是生意。在用户每天左滑右滑的时候,他们的面容已经被悄悄输入了一套人脸识别系统的训练池。
从媒体曝光到监管介入,隔了整整五年
要说这件事最魔幻的地方,莫过于它被发现的过程。
三百万张照片在2014年就流出了,但FTC——美国联邦贸易委员会——直到2019年才正式展开调查。导火索是《纽约时报》的一篇报道,提到Clarifai用OkCupid用户的照片开发了一款可以估算年龄、性别和种族的AI工具。换句话说,是记者先发现了问题,监管部门才后知后觉地跟上。
FTC的调查随后持续了数年。期间还有一件让人皱眉的事:监管机构指控,自2014年以来,Match Group和OkCupid不仅刻意隐瞒数据外泄,还试图阻碍调查。直到上个月,这场拉锯战才算暂时画上句号。十二年,足够一个婴儿从小学读到高中。可对于那些照片被"借用"的用户来说,他们的知情权却被拖欠了如此之久。
和解书上,没有人承认自己做错了
FTC与Match Group、OkCupid的和解协议,读起来有一种微妙的荒诞感。
一方面,Clarifai已经确认,那三百万张OkCupid用户照片连同基于这些数据训练出来的AI模型,都已被删除。这在某种程度上等于间接承认了当年的数据交易确实存在。
另一方面,Match Group和OkCupid在和解时,并没有承认任何欺骗用户的指控。也就是说,钱或者代价可能付了(虽然具体情况未公开),但嘴上绝不认错。
这种"和解但不认错"的套路,在大型科技公司中屡见不鲜。它释放了一个暧昧的信号:公司愿意花钱平息风波,却并不认为自己侵犯了用户权益。对于那些照片被用于训练AI的普通用户来说,这种姿态很难说是一种安慰。
FTC在和解声明中还透露了一个关键指控:Match Group和OkCupid在过去这些年里,一直在系统性地掩盖数据共享行为。如果不是媒体报道扯开了口子,再加上监管机构持续施压,公众或许永远不会知道这三百万张照片的去向。
法律能做的,其实非常有限
很多人可能会问:这么严重的事,罚款呢?赔偿呢?
答案是:没有罚款。至少FTC在这个案子里没有开出罚单。根据现行法律,FTC对这类"初犯"并没有直接罚款的权力。他们能做的,主要是发布禁令——宣布OkCupid和Match Group"永久被禁止在数据收集和共享上做出虚假陈述"。
翻译成人话就是:以前的事既往不咎,但以后不准再这么干了。而这些被禁止的行为,本来就违反了规定。
这个结局让人不免感到一种深深的无力感。当一家公司的隐私政策沦为摆设,当数据在利益交换中悄然流转,当监管姗姗来迟,最后换来的不过是一纸"下不为例"的禁令。对于那些已经被喂给算法的面孔,谁来负责?
| 关键节点 | 时间 | 核心事件 |
|---|---|---|
| 数据外泄 | 2014年 | Clarifai向OkCupid索要用户照片,获三百万张及人口统计信息 |
| 邮件往来 | 2014年 | Clarifai CEO发邮件称OkCupid拥有"超棒的数据" |
| 媒体曝光 | 2019年 | 《纽约时报》报道引发公众与监管关注 |
| 调查启动 | 2019年 | FTC正式对Match Group及OkCupid展开调查 |
| 和解达成 | 2025年3月 | Match Group、OkCupid与FTC达成和解 |
| 数据删除 | 2025年 | Clarifai确认删除全部照片及基于该数据训练的AI模型 |
当"同意"成为一种形式,我们还能相信什么
OkCupid这件事之所以值得被记住,不只是因为三百万这个数字够大,而是因为它戳中了一个当下每个人都无法回避的痛点:你的隐私,到底在多大程度上还是你的?
仔细想想,我们几乎每天都在点击"同意隐私政策"。那些动辄上万字的条款,有多少人真的读过?即便读了,里面埋藏的模糊表述和宽泛授权,又有多少人能真正看懂?而即便看懂了,你真的有选择不同意的权利吗?
OkCupid的案例最讽刺的地方在于,它连表面功夫都懒得做足——自己的隐私政策明明禁止未经授权的数据共享,却还是照做不误。这等于告诉用户:规则是我写的,但什么时候遵守、遵守多少,我说了算。
在这个算法越来越懂你的时代,你的照片、你的偏好、你的位置、你的消费习惯,都是训练AI的宝贵素材。但"宝贵"的前提,绝不应该是暗箱操作和利益交换,而应该是明确的知情和真正的自愿同意。
下一次,当你在App里面对"同意"按钮时,不妨多停留几秒。你点击的,可能不只是一份协议,而是对自己数字人格的又一次让渡。而那些接收数据的公司,是否真的值得你这份信任?
答案,或许就藏在它们过去十二年里做过的事情中。