基于生物识别技术的全球个人信息安全治理研究

April.2022


随着智能技术的发展,生物识别技术被应用到不同的场景,包括公共事业、商业等,为社会带来了极大的便利,但是生物识别技术的广泛应用也带来了相应的困境,由生物识别引起的个人信息的安全问题更加引人关注。

 

生物识别(Biometrics)是利用量化的生物(包括解剖学和生理学)特征及行为特征,以快速可靠的方式对个体进行身份自动识别和认证的手段。19世纪中期,工业革命的快速城市化进程增加了社会各界对身份识别规范方法的需求。1892年,英国著名生物学家弗朗西斯·高尔顿(Francis Galton)开发了世界上首个指纹分类系统;1903年,纽约州的监狱开始使用指纹系统;1960年,基于伍德罗·W. 布莱索(Woodrow W. Bledsoe)研究成果的半自动面部识别技术面世。




生物识别技术的应用场景和困境

 

生物识别可分为人脸识别、语音识别、虹膜识别、指纹识别、静脉识别、步态识别等类别,其中最受决策者和管理者关注,且应用最为广泛的是人脸识别。


当前,生物识别技术正飞速发展。例如,判断用户情绪状态的情绪识别技术以生物传感器技术为基础,有助于有效监控情绪,并及时捕捉、反馈,提升决策效率,在零售行业、电子商务行业、教育、医疗和国防领域都得到广泛应用。多模态混合生物识别技术也备受重视,其原理是通过融合各种行为和/或身体特征来识别一个人,或者通过融合几个单模态生物识别系统来进行识别,这一技术大大提升了生物识别技术的灵活性,有助于根据不同的场景和需求设置有效的融合方式和权重决策。此外,非接触式生物识别技术逐渐兴起,其中人脸识别技术已经日臻成熟,普遍应用于考勤、门禁、银行等场景中;静脉识别技术主要应用于一些中小场景,如获取手指、手掌、手背静脉的图像等;虹膜识别因其唯一性、防伪性、便于信号处理等特征,偏重于安保和有高度保密需求的应用场景。


利用生物识别技术进行用户身份识别和验证具有高效便捷的特征,随着人工智能的发展,算法也越来越精确。据美国国家标准与技术研究院(National Institute of Standards and Technology,NIST)2020年的测试情况显示,使用最佳算法实施的面部识别失败率仅有0.08%。然而,这也引起了有关各方对生物识别数据收集、管理、使用的担忧,尤其使用生物识别所导致的个人信息泄露更是引起各方对生物识别使用正当性的争论。



身份识别和认证是一个统计学过程,生物识别信息录入和获取时的条件变化会导致生物特征指标达不到100%匹配。此外,算法存在的歧视问题导致出现错误的识别结果,算法存在的“对抗样本”漏洞也使人脸识别有被破解的可能。生物特征数据的收集和存储是一个敏感问题,由于生物特征标识的唯一性和不可改变性,任何生物特征数据存储系统的漏洞都可能导致严重的后果,用户可能永远失去他们的生物特征身份。各国尚未准备好利用现有技术和工具保护迅速增长的生物识别数据,而且随着技术的发展,生物识别也面临更多的问题。


技术发展带来的问题与生物识别技术广泛使用的叠加引发了安全方面的担忧。生物识别信息作为一种数据,本身具有唯一性和不可变性,不像传统密码可以通过定期更换来减小风险。以人脸识别为例,通过对人脸特征、表情等进行分析,甚至可以推测出识别对象生物信息外的内心感受,不仅关乎个人隐私,也涉及个人的尊严,一旦泄露可能造成无法挽回的后果。因此,生物识别数据的重要性与技术困境为制定专门针对生物识别数据隐私和安全的法律提出了要求。

 

以人脸识别为例,由于人脸识别的技术特性,人脸识别不需要被识别对象直接接触识别设备,在利用摄像头识别人脸信息时,即使距离较远也可以实现。在实际操作中,虽有例外,但大部分生物识别的应用难以实现授权同意的前提。在公共场所采取大范围的生物识别,范围内所有人便无法选择不被监测和识别这有悖自愿性,以目前的法律框架难以解决相关问题。


因此,除法定例外以外,为了进一步保障信息收集时个人的知情权,应完善授权同意机制。首先,在具体操作中视情况应规定收集者、使用者的事前信息披露义务并严格应用程序。没有收集者、使用者的信息披露义务的规定,就难以真正保障和实现个人同意权,在严格应用程序方面,可参考美国《商业面部识别隐私法案》,其规定面部识别技术还需要通过第三方测试后才能进入市场。其次,根据场景采用欧盟GDPR中所遵循的选择进入(opt-in)机制,确保个人的知情同意并授权,将数据处理权的初始决策交由个人来决定。

 

生物识别的应用场景包括执法与公共安全、军事活动、跨境、旅行及移民管理、公民身份识别、人口登记及选举登记、医疗保险、物理及逻辑访问、商业活动。生物识别的使用主要基于两个大的目的,一是出于公共目的使用,二是出于非公共目的使用。概括起来,出于公共目的的使用包括:一是涉及国家公共安全层面的,如犯罪侦查;二是政府职能层面的,如电子政务等。出于非公共目的的使用则包括:一是社会和个人层面的,如考勤管理、门禁系统;二是商业层面的,如电子支付




在现实生活中,公共目的与非公共目的的界限经常出现混淆,出于非公共目的生物识别技术存在滥用现象,需对不同场景的应用进行清楚定义与差异性管制。因此可参考GDPR与《人工智能法案(草案)》等做法,首先在律法上对公共目的与非公共目的的场景进行清楚界定,其次对出于公共目的使用则继续坚持严格必要与最小损害原则,对于非公共目的的使用如小区、商店的门禁系统等可参考《佛罗里达州生物信息隐私法案》进行严格规定,在必要情况下可对其进行禁用。


为了防止个人信息泄露,保护个人信息安全,针对不同等级的生物识别技术采取不同程度的监管措施与要求。欧盟《人工智能法案(草案)》将人工智能系统划分为4个风险等级,并根据不同等级提出相应的法律义务要求。因此对于我国的生物识别技术,可参考欧盟对于人工智能系统的风险等级划分,按照不同级别的生物识别技术造成的影响,规定不同级别的法律义务要求,进一步保护个人信息的安全。


来源林梓瀚, 游祎, 史渊. 基于生物识别技术的全球个人信息安全治理研究