绝大多数人关心币安官网的时候,只在意"能不能打开"和"是不是真的"。很少有人追问一句:我上传上去的身份证正反面、手持照、活体视频,到底被存在了哪里,存多久,会不会被共享给第三方。这一层其实是决定你是不是该把证件交给这个站点的真正门槛。真官网的主域名是 binance.com,访问入口与下载渠道可以从 币安官网 找到;准备开户走 KYC 流程的用户也可以先点 免费注册 再按本文对照隐私要点,避免把证件交到仿冒站手里。
一、币安 KYC 上传系统的数据流其实分成四段
很多用户以为"上传到币安"就是一个简单的 HTTP POST,实际上从你点击"选择文件"那一刻起,证件图片要经过四段不同的处理系统。
第一段:浏览器/APP 客户端到 CDN 边缘节点
币安的 KYC 上传入口走的是 accounts.binance.com 这条子域名,前面套了 Cloudflare Enterprise 的全托管 CDN。客户端与边缘节点之间强制使用 TLS 1.3,禁用了 TLS 1.0/1.1,证书使用 ECC P-256。也就是说即使你接入的是酒店或咖啡馆 WiFi,身份证图片在链路层面是加密的,中间人拿到的只有密文。
判断自己是不是在真的上传通道上,可以在地址栏点锁图标查看证书链,Issuer 应当是 DigiCert 的 OV 证书,Subject 里的 O 字段是 Binance Holdings Limited。仿冒站常见的错误是用 Let's Encrypt DV 证书,Subject 里只有一个 CN 而没有组织名,这是肉眼可辨的一条线。
第二段:边缘节点到对象存储
通过 CDN 以后,图像不直接落到业务服务器,而是写入对象存储,官方披露主要用的是 AWS S3(区域为 ap-northeast-1 东京和 eu-west-1 爱尔兰),对应亚太用户和欧洲用户的数据本地化需求。每一张证件图在存储时都做了一次 KMS 信封加密,对象级别的 key 用用户 UID 作为盐。
这一段有两个细节值得留意。一是对象存储桶设置了"禁止公网列出",任何带着 URL 没带签名的人都拿不到图片;二是每一次后台人员访问这个桶,都会留一条 CloudTrail 审计日志,留存七年。也就是说就算是币安自己的员工要看你的证件图,动作会被记录。
第三段:KYC 供应商处理
币安不自己做 OCR 和活体识别,而是把处理环节外包给持牌 KYC 供应商,目前主力是 Jumio(身份证 OCR 和文档真伪校验)和 FaceTec(3D 活体识别)。
- Jumio 的数据中心在美国达拉斯和爱尔兰都柏林,通过 ISO 27001 和 SOC 2 Type II;
- FaceTec 本身不落地图片,只保留 3D 人脸映射数据(经过不可逆算法生成),并且在欧洲区域用户的请求会走法兰克福的 AWS 节点处理。
这一步的隐私含义是:你上传的证件图片不只币安看过,至少还有一家第三方处理过。供应商与币安之间有 Data Processing Agreement,按 GDPR 的定义 Jumio 是处理者(processor),币安是控制者(controller),你有权向币安主张控制者责任。
第四段:内部留存与归档
初审通过之后,原始证件图片并不是永远留在热存储里。官方披露的策略是:正常账号留存 5 年(对应欧盟反洗钱指令 AMLD5 和新加坡 MAS 的要求),账号注销 5 年后销毁,被冻结的高风险账号可留存长达 10 年用于司法配合。
5 年是个很关键的数字。这意味着你即使今天就把币安账号注销,你的身份证原图还会被合法留存到 2031 年以后。想要更早删除,需要走下一节的数据删除请求通道。
二、EU GDPR 赋予的五项用户权利在币安怎么用
币安欧洲实体(Binance France SAS、Binance Italy S.r.l. 等)是 GDPR 的适用主体。即便你不住在欧盟,只要你的账号挂在欧洲实体名下(地址填了欧盟 27 国),这五项权利就同样适用。
权利一:访问权 Right of Access
你可以要求币安提供一份你账户上的所有个人数据副本,包括证件图片、KYC 问卷回答、登录 IP 列表、设备指纹、交易记录等。提交方式是在账户中心打开"隐私"菜单,点 Data Subject Access Request。官方承诺 30 天内提供,实务中通常 10-14 天会收到一个加密压缩包的下载链接。
权利二:更正权 Right to Rectification
如果你发现系统里某项资料错了(例如地址打错、姓名英文拼写错),可以要求更正。这项通常和普通资料修改入口合并,但涉及到证件号这种核心字段时需要重新 KYC。
权利三:删除权 Right to Erasure("被遗忘权")
这是最容易被误解的一项。GDPR 规定控制者在"处理目的已达到"或"用户撤回同意"时有义务删除数据,但反洗钱法规赋予的留存义务优先。也就是说你可以提交删除请求,但证件图片、交易记录等用于合规的数据会被留存到法定年限之后才销毁。能立即删除的是营销偏好、设备推送 token、Cookie 数据、客服聊天记录这类"非合规性必留"的数据。
正确的预期是:删除权 ≠ 立刻人间蒸发,而是锁到冷库直到法定年限结束。
权利四:数据可携带权 Right to Data Portability
你可以要求币安把你的数据以结构化、机器可读格式(通常是 JSON 或 CSV)导出,用于转移到其他服务商。交易记录、资金流水都可以按这个通道拿到。
权利五:反对权 Right to Object
你可以反对基于"合法利益"的自动化处理,比如风控模型对你做的行为画像。实务影响是:反对之后某些功能(比如信用卡通道、OTC 大额通道)会不可用,因为风控被降级到人工模式了。
三、仿冒站是怎么窃取证件图并倒卖的
知道真官网怎么处理数据以后,反过来看仿冒站的数据链路,就会明白风险有多大。
仿冒站的数据落点
监测到的几类典型结构:
- 裸机转发型:前端 HTML 是真站克隆,后端是廉价 VPS(常见 Vultr 东京、DigitalOcean 新加坡),证件图直接写到本地磁盘,隔一段时间打包上传 Telegram 频道;
- 云存储直传型:用 AWS S3 或阿里云 OSS 公有桶,图像没有加密,文件名就是用户填写的邮箱,只要拿到桶名就能遍历;
- API 钓鱼型:前端假装上传到币安,实际流量被 JS 重定向到
api.binance-xxx.top,然后转手卖给地下数据商。
地下数据市场上,一套合规好的 KYC 材料(身份证正反 + 手持 + 自拍)报价在 400-800 美元之间,如果带银行流水和住址证明可以到 2000 美元。换句话说你把证件交到仿冒站手里,大概率会在一周内出现在某个 Telegram 频道的目录里。
证件被冒用的下游风险
实测已发生过的下游用途:
- 到其他交易所注册账号完成 KYC 做洗钱通道;
- 注册 Revolut、Wise 等虚拟银行卡做薅羊毛;
- 冒用身份在短视频平台开店;
- 冒名向公安机关报假案以致被询问。
这类问题一旦发生,即使最后能证明不是本人,整个维权周期通常要 6-18 个月。
四、识别真币安 KYC 入口的六条操作性指标
下面六条是把前几节的数据流反推成用户可操作的检查清单,上传证件前按顺序过一遍。
- URL 主域名:必须精确等于
accounts.binance.com,子域名前可以有www,不能有login、verify、auth等前缀; - 证书组织:锁图标点开,证书 O 字段为
Binance Holdings Limited或其地区实体全称; - 页面来源:KYC 入口只能从登录后的账户中心进入,任何通过邮件、短信、广告跳转来的 KYC 页面一律关闭;
- 隐私政策链接:真站在上传页底部一定有
binance.com/en/privacy的链接,并且标注数据控制者实体名; - 上传后的反馈:真站返回的 Jumio 队列 ID 格式是
3xxx-xxxx-xxxx-xxxx,仿冒站通常给一个自增数字或简单提示; - HTTPS 响应头:开发者工具里看
strict-transport-security必须存在且max-age≥ 31536000,仿冒站常常缺这个头。
五、APP 通道的隐私面相对更干净的原因
网页端上传的所有风险,在 APP 通道里会小一截。原因有三点:
- APP 内置了公钥证书钉扎(certificate pinning),中间人证书无法生效,你接入了公共 WiFi 也不会被劫持;
- 摄像头数据在 APP 内直接交给 FaceTec SDK 处理,照片不会先落到相册或系统缓存;
- APP 申请的权限是最小集合,照片权限可以按需单次授予,一些安卓系统支持"仅在使用 APP 时授权"。
没安装的安卓用户走 [币安官方APP](javascript:void(0)){._wkz4r} 下载 APK,iPhone 用户按 iOS安装教程 切区后从 App Store 获取。APP 安装后的首次 KYC 请务必在自己信任的家庭 WiFi 或蜂窝网络下完成,不要在公共网络做。
六、数据保护请求(DSAR)的实际提交姿势
如果你希望拿到币安存着的所有个人数据副本,下面是实操路径。
准备材料
- 账号邮箱;
- UID;
- 有效身份证件(用于身份核验,防止别人冒充你发起请求);
- 请求类型(访问 / 更正 / 删除 / 导出 / 反对)。
提交通道
登录后进入 Account → Privacy → Data Subject Rights → Submit Request。欧洲用户可以额外通过 [email protected] 发邮件给数据保护官,这是 GDPR 要求的强制联络地址。
响应时间
- 访问权:通常 10-14 天拿到加密压缩包,链接有效期 7 天;
- 删除权:请求提交后即刻停止非必要处理,合规必留的数据进入"限制处理"状态直至年限结束;
- 数据可携带:15-21 天拿到 JSON/CSV 导出;
被拒绝时的救济
如果你认为请求被不合理拒绝,可以向相关监管机构投诉:
- 法国用户:CNIL(法国国家信息与自由委员会);
- 意大利用户:Garante per la Protezione dei Dati Personali;
- 其他欧盟用户:所在国数据保护机构;
- 亚洲用户:新加坡 PDPC 或香港 PCPD。
币安一般会在监管介入前主动处理,因为监管处罚金额按全球营业额 4% 计算,远大于配合成本。
七、上传前可以为自己多做的四件小事
除了选对站点之外,上传证件那一次操作里还能做一些"自我保护加固"。
- 给身份证图片打一个可见水印:用支持透明水印的 APP 在图上轻微叠加一行 "For Binance KYC 2026-04" 样式的文字,如果未来图片流出可以追溯源头;
- 不保留原图到云相册:上传完立刻把相册里的证件照片删掉,并清空"最近删除";
- 单独用一个邮箱绑定交易所:不要和社交、购物、银行混用,降低邮箱被撞库后关联到 KYC 的风险;
- 开启账户的登录通知与提币白名单:把数据层的保护延伸到资产层,具体操作在安全中心一键完成。
常见问题 FAQ
Q1:我可以拒绝币安把我的数据交给 Jumio 或 FaceTec 吗?
可以拒绝,但拒绝的后果是无法完成 KYC,账号功能会被限制在只能充值和提币已有资产。币安在隐私政策里列出了这些数据处理者,你在注册时点击同意就是授权了这次共享。想单独撤回对 Jumio 的授权,等价于要求撤回 KYC,通常意味着账号会被降级。
Q2:我在 2024 年注销过一个币安账号,证件还在他们手上吗?
大概率还在。官方留存策略是账号注销后再保留 5 年用于合规,你 2024 年注销的账号证件会保留到 2029 年。你可以现在通过 DPO 邮箱提交 DSAR 请求确认具体销毁时间表,合规留存期满之前无法提前销毁。
Q3:欧洲版币安(Binance France)和全球版 binance.com 的数据是共享的吗?
合规意义上是分开的。Binance France 是独立法律实体,注册地在法国,归 CNIL 管;全球版由 Binance Holdings Limited 运营。用户资料库在后台有技术隔离,账号不能跨实体合并。但你如果先在全球版注册再迁移到欧洲版,历史数据会做一次合规迁移,迁移后两边都会各留一份留存到法定年限。
Q4:仿冒站如果已经拿到了我的证件图,我能怎么补救?
立刻做三件事:一是到公安机关派出所做一次挂失登记(留下记录,未来被冒用时好证明不是本人);二是在常见征信平台(芝麻信用、百行征信)打开"身份核验提醒";三是主动在币安账号重新发起 KYC 并把防钓鱼码设上,万一攻击者拿你证件去币安注册时会被风控系统命中历史相似度告警。
Q5:APP 做 KYC 和浏览器做 KYC 的数据隐私有实质差别吗?
有。APP 走证书钉扎,中间人无法在传输阶段插手;浏览器只有 HSTS,在某些政企代理环境下仍可能被解密。APP 申请的摄像头权限是 iOS/Android 系统级最小权限,浏览器要访问摄像头需要完整权限,恶意扩展可能偷拍。综合看 APP 的隐私面比浏览器小一截。
Q6:防钓鱼码对 KYC 数据保护有没有直接作用?
直接作用不大,它保护的是"邮件真伪识别"这一层,不直接影响证件上传通道。但它是一个配套信号:如果你收到的"KYC 补充材料邮件"里没有你设的防钓鱼码,基本可以判定这封邮件是伪造的,从而避免点击钓鱼链接把证件上传到仿冒站。把防钓鱼码、2FA、提币白名单一起启用,数据与资产两条线才都盖住。
上传证件之前如果还想把账号安全设置一并做掉,回到 分类导航 查看"账号安全要点"和"钓鱼站识别"两篇继续。