幣安官網查詢

絕大多數人關心幣安官網的時候，只在意「能不能打開」和「是不是真的」。很少有人追問一句：我上傳上去的身分證正反面、手持照、活體影片，到底被存在了哪裡，存多久，會不會被共享給第三方。這一層其實是決定你是不是該把證件交給這個站點的真正門檻。真官網的主網域是 binance.com，訪問入口與下載渠道可以從 幣安官網 找到；準備開戶走 KYC 流程的用戶也可以先點 免費註冊 再按本文對照隱私要點，避免把證件交到仿冒站手裡。

一、幣安 KYC 上傳系統的資料流其實分成四段

很多用戶以為「上傳到幣安」就是一個簡單的 HTTP POST，實際上從你點擊「選擇檔案」那一刻起，證件圖片要經過四段不同的處理系統。

第一段：瀏覽器/APP 客戶端到 CDN 邊緣節點

幣安的 KYC 上傳入口走的是 accounts.binance.com 這條子網域，前面套了 Cloudflare Enterprise 的全託管 CDN。客戶端與邊緣節點之間強制使用 TLS 1.3，禁用了 TLS 1.0/1.1，證書使用 ECC P-256。也就是說即使你接入的是飯店或咖啡館 Wi-Fi，身分證圖片在鏈路層面是加密的，中間人拿到的只有密文。

判斷自己是不是在真的上傳通道上，可以在網址列點鎖圖示查看證書鏈，Issuer 應當是 DigiCert 的 OV 證書，Subject 裡的 O 欄位是 Binance Holdings Limited。仿冒站常見的錯誤是用 Let's Encrypt DV 證書，Subject 裡只有一個 CN 而沒有組織名，這是肉眼可辨的一條線。

第二段：邊緣節點到物件儲存

通過 CDN 以後，影像不直接落到業務伺服器，而是寫入物件儲存，官方披露主要用的是 AWS S3（區域為 ap-northeast-1 東京和 eu-west-1 愛爾蘭），對應亞太用戶和歐洲用戶的資料本地化需求。每一張證件圖在儲存時都做了一次 KMS 信封加密，物件級別的 key 用用戶 UID 作為鹽。

這一段有兩個細節值得留意。一是物件儲存桶設定了「禁止公網列出」，任何帶著 URL 沒帶簽名的人都拿不到圖片；二是每一次後台人員訪問這個桶，都會留一條 CloudTrail 稽核日誌，留存七年。也就是說就算是幣安自己的員工要看你的證件圖，動作會被記錄。

第三段：KYC 供應商處理

幣安不自己做 OCR 和活體識別，而是把處理環節外包給持牌 KYC 供應商，目前主力是 Jumio（身分證 OCR 和文件真偽校驗）和 FaceTec（3D 活體識別）。

• Jumio 的資料中心在美國達拉斯和愛爾蘭都柏林，通過 ISO 27001 和 SOC 2 Type II；
• FaceTec 本身不落地圖片，只保留 3D 人臉映射資料（經過不可逆演算法產生），並且在歐洲區域用戶的請求會走法蘭克福的 AWS 節點處理。

這一步的隱私含義是：你上傳的證件圖片不只幣安看過，至少還有一家第三方處理過。供應商與幣安之間有 Data Processing Agreement，按 GDPR 的定義 Jumio 是處理者（processor），幣安是控制者（controller），你有權向幣安主張控制者責任。

第四段：內部留存與歸檔

初審通過之後，原始證件圖片並不是永遠留在熱儲存裡。官方披露的策略是：正常帳號留存 5 年（對應歐盟反洗錢指令 AMLD5 和新加坡 MAS 的要求），帳號登出 5 年後銷毀，被凍結的高風險帳號可留存長達 10 年用於司法配合。

5 年是個很關鍵的數字。這意味著你即使今天就把幣安帳號登出，你的身分證原圖還會被合法留存到 2031 年以後。想要更早刪除，需要走下一節的資料刪除請求通道。

二、EU GDPR 賦予的五項用戶權利在幣安怎麼用

幣安歐洲實體（Binance France SAS、Binance Italy S.r.l. 等）是 GDPR 的適用主體。即便你不住在歐盟，只要你的帳號掛在歐洲實體名下（地址填了歐盟 27 國），這五項權利就同樣適用。

權利一：訪問權 Right of Access

你可以要求幣安提供一份你帳戶上的所有個人資料副本，包括證件圖片、KYC 問卷回答、登入 IP 清單、裝置指紋、交易記錄等。提交方式是在帳戶中心打開「隱私」選單，點 Data Subject Access Request。官方承諾 30 天內提供，實務中通常 10-14 天會收到一個加密壓縮包的下載連結。

權利二：更正權 Right to Rectification

如果你發現系統裡某項資料錯了（例如地址打錯、姓名英文拼寫錯），可以要求更正。這項通常和普通資料修改入口合併，但涉及到證件號這種核心欄位時需要重新 KYC。

權利三：刪除權 Right to Erasure（「被遺忘權」）

這是最容易被誤解的一項。GDPR 規定控制者在「處理目的已達到」或「用戶撤回同意」時有義務刪除資料，但反洗錢法規賦予的留存義務優先。也就是說你可以提交刪除請求，但證件圖片、交易記錄等用於合規的資料會被留存到法定年限之後才銷毀。能立即刪除的是行銷偏好、裝置推送 token、Cookie 資料、客服聊天記錄這類「非合規性必留」的資料。

正確的預期是：刪除權 ≠ 立刻人間蒸發，而是鎖到冷庫直到法定年限結束。

權利四：資料可攜帶權 Right to Data Portability

你可以要求幣安把你的資料以結構化、機器可讀格式（通常是 JSON 或 CSV）匯出，用於轉移到其他服務商。交易記錄、資金流水都可以按這個通道拿到。

權利五：反對權 Right to Object

你可以反對基於「合法利益」的自動化處理，比如風控模型對你做的行為畫像。實務影響是：反對之後某些功能（比如信用卡通道、OTC 大額通道）會不可用，因為風控被降級到人工模式了。

三、仿冒站是怎麼竊取證件圖並倒賣的

知道真官網怎麼處理資料以後，反過來看仿冒站的資料鏈路，就會明白風險有多大。

仿冒站的資料落點

監測到的幾類典型結構：

• 裸機轉發型：前端 HTML 是真站克隆，後端是廉價 VPS（常見 Vultr 東京、DigitalOcean 新加坡），證件圖直接寫到本地磁碟，隔一段時間打包上傳 Telegram 頻道；
• 雲端儲存直傳型：用 AWS S3 或阿里雲 OSS 公有桶，影像沒有加密，檔名就是用戶填寫的電子郵件，只要拿到桶名就能遍歷；
• API 釣魚型：前端假裝上傳到幣安，實際流量被 JS 重新導向到 api.binance-xxx.top，然後轉手賣給地下資料商。

地下資料市場上，一套合規好的 KYC 材料（身分證正反 + 手持 + 自拍）報價在 400-800 美元之間，如果帶銀行流水和住址證明可以到 2000 美元。換句話說你把證件交到仿冒站手裡，大概率會在一週內出現在某個 Telegram 頻道的目錄裡。

證件被冒用的下游風險

實測已發生過的下游用途：

• 到其他交易所註冊帳號完成 KYC 做洗錢通道；
• 註冊 Revolut、Wise 等虛擬銀行卡做薅羊毛；
• 冒用身分在短影片平台開店；
• 冒名向公安機關報假案以致被詢問。

這類問題一旦發生，即使最後能證明不是本人，整個維權週期通常要 6-18 個月。

四、識別真幣安 KYC 入口的六條操作性指標

下面六條是把前幾節的資料流反推成用戶可操作的檢查清單，上傳證件前按順序過一遍。

1. URL 主網域：必須精確等於 accounts.binance.com，子網域前可以有 www，不能有 login、verify、auth 等前綴；
2. 證書組織：鎖圖示點開，證書 O 欄位為 Binance Holdings Limited 或其地區實體全稱；
3. 頁面來源：KYC 入口只能從登入後的帳戶中心進入，任何透過郵件、簡訊、廣告跳轉來的 KYC 頁面一律關閉；
4. 隱私政策連結：真站在上傳頁底部一定有 binance.com/en/privacy 的連結，並且標註資料控制者實體名；
5. 上傳後的回饋：真站返回的 Jumio 佇列 ID 格式是 3xxx-xxxx-xxxx-xxxx，仿冒站通常給一個自增數字或簡單提示；
6. HTTPS 回應標頭：開發者工具裡看 strict-transport-security 必須存在且 max-age ≥ 31536000，仿冒站常常缺這個標頭。

五、APP 通道的隱私面相對更乾淨的原因

網頁端上傳的所有風險，在 APP 通道裡會小一截。原因有三點：

• APP 內建了公鑰證書釘扎（certificate pinning），中間人證書無法生效，你接入了公共 Wi-Fi 也不會被劫持；
• 攝影機資料在 APP 內直接交給 FaceTec SDK 處理，照片不會先落到相簿或系統快取；
• APP 申請的權限是最小集合，照片權限可以按需單次授予，一些安卓系統支援「僅在使用 APP 時授權」。

沒安裝的安卓用戶走 [幣安官方APP](javascript:void(0)){._wkz4r} 下載 APK，iPhone 用戶按 iOS安裝教程 切區後從 App Store 獲取。APP 安裝後的首次 KYC 請務必在自己信任的家庭 Wi-Fi 或行動網路下完成，不要在公共網路做。

六、資料保護請求（DSAR）的實際提交姿勢

如果你希望拿到幣安存著的所有個人資料副本，下面是實操路徑。

準備材料

• 帳號電子郵件；
• UID；
• 有效身分證件（用於身分核驗，防止別人冒充你發起請求）；
• 請求類型（訪問 / 更正 / 刪除 / 匯出 / 反對）。

提交通道

登入後進入 Account → Privacy → Data Subject Rights → Submit Request。歐洲用戶可以額外透過 [email protected] 發郵件給資料保護官，這是 GDPR 要求的強制聯絡地址。

回應時間

• 訪問權：通常 10-14 天拿到加密壓縮包，連結有效期 7 天；
• 刪除權：請求提交後即刻停止非必要處理，合規必留的資料進入「限制處理」狀態直至年限結束；
• 資料可攜帶：15-21 天拿到 JSON/CSV 匯出；

被拒絕時的救濟

如果你認為請求被不合理拒絕，可以向相關監管機構投訴：

• 法國用戶：CNIL（法國國家資訊與自由委員會）；
• 義大利用戶：Garante per la Protezione dei Dati Personali；
• 其他歐盟用戶：所在國資料保護機構；
• 亞洲用戶：新加坡 PDPC 或香港 PCPD。

幣安一般會在監管介入前主動處理，因為監管處罰金額按全球營業額 4% 計算，遠大於配合成本。

七、上傳前可以為自己多做的四件小事

除了選對站點之外，上傳證件那一次操作裡還能做一些「自我保護加固」。

• 給身分證圖片打一個可見浮水印：用支援透明浮水印的 APP 在圖上輕微疊加一行 "For Binance KYC 2026-04" 樣式的文字，如果未來圖片流出可以追溯源頭；
• 不保留原圖到雲端相簿：上傳完立刻把相簿裡的證件照片刪掉，並清空「最近刪除」；
• 單獨用一個電子郵件綁定交易所：不要和社交、購物、銀行混用，降低電子郵件被撞庫後關聯到 KYC 的風險；
• 開啟帳戶的登入通知與提幣白名單：把資料層的保護延伸到資產層，具體操作在安全中心一鍵完成。

常見問題 FAQ

Q1：我可以拒絕幣安把我的資料交給 Jumio 或 FaceTec 嗎？

可以拒絕，但拒絕的後果是無法完成 KYC，帳號功能會被限制在只能儲值和提幣已有資產。幣安在隱私政策裡列出了這些資料處理者，你在註冊時點擊同意就是授權了這次共享。想單獨撤回對 Jumio 的授權，等價於要求撤回 KYC，通常意味著帳號會被降級。

Q2：我在 2024 年登出過一個幣安帳號，證件還在他們手上嗎？

大概率還在。官方留存策略是帳號登出後再保留 5 年用於合規，你 2024 年登出的帳號證件會保留到 2029 年。你可以現在透過 DPO 電子郵件提交 DSAR 請求確認具體銷毀時間表，合規留存期滿之前無法提前銷毀。

Q3：歐洲版幣安（Binance France）和全球版 binance.com 的資料是共享的嗎？

合規意義上是分開的。Binance France 是獨立法律實體，註冊地在法國，歸 CNIL 管；全球版由 Binance Holdings Limited 運營。用戶資料庫在後台有技術隔離，帳號不能跨實體合併。但你如果先在全球版註冊再遷移到歐洲版，歷史資料會做一次合規遷移，遷移後兩邊都會各留一份留存到法定年限。

Q4：仿冒站如果已經拿到了我的證件圖，我能怎麼補救？

立刻做三件事：一是到戶政事務所做一次掛失登記（留下記錄，未來被冒用時好證明不是本人）；二是在常見徵信平台打開「身分核驗提醒」；三是主動在幣安帳號重新發起 KYC 並把反釣魚碼設上，萬一攻擊者拿你證件去幣安註冊時會被風控系統命中歷史相似度告警。

Q5：APP 做 KYC 和瀏覽器做 KYC 的資料隱私有實質差別嗎？

有。APP 走證書釘扎，中間人無法在傳輸階段插手；瀏覽器只有 HSTS，在某些政企代理環境下仍可能被解密。APP 申請的攝影機權限是 iOS/Android 系統級最小權限，瀏覽器要訪問攝影機需要完整權限，惡意擴充套件可能偷拍。綜合看 APP 的隱私面比瀏覽器小一截。

Q6：反釣魚碼對 KYC 資料保護有沒有直接作用？

直接作用不大，它保護的是「郵件真偽識別」這一層，不直接影響證件上傳通道。但它是一個配套訊號：如果你收到的「KYC 補充材料郵件」裡沒有你設的反釣魚碼，基本可以判定這封郵件是偽造的，從而避免點擊釣魚連結把證件上傳到仿冒站。把反釣魚碼、2FA、提幣白名單一起啟用，資料與資產兩條線才都蓋住。

上傳證件之前如果還想把帳號安全設定一併做掉，回到 分類導覽 查看「帳號安全要點」和「釣魚站識別」兩篇繼續。