刷臉支付、刷臉過安檢、刷臉手機解鎖……憑一張臉就能暢行的智慧生活,除了日常應用的“刷臉”識別之外,近年來生物特征識別行業的新動向還包含刷手、刷眼等其他應用,其內在的技術原理就是使用人體的人臉、指紋、虹膜信息來確認用戶的身份。
刷臉支付、刷臉過安檢、刷臉手機解鎖……憑一張臉就能暢行的智慧生活,除了日常應用的“刷臉”識別之外,近年來生物特征識別行業的新動向還包含刷手、刷眼等其他應用,其內在的技術原理就是使用人體的人臉、指紋、虹膜信息來確認用戶的身份,智能科技的應用賦予了人類更高效、更便捷的生活。
然而,沒有一個事物生來就是完美的,虹膜識別技術的利弊就像一口大鍋砸在人類面前,里面裝滿山珍海味,但四周卻鋪滿燃燒的熊熊烈火。
一、虹膜識別技術應用中的利與弊
(一)“偷用”生物特征信息
2021年的央視“3·15”晚會上,四家AI企業被點名!大型“偷臉”事件曝光,知名企業和單位,紛紛被爆偷偷采集或濫用人臉信息,可怕的是,你,可能是被采集人臉的顧客之一。
這些采集的人臉,不僅會出現在店家的系統里,甚至會被“偷運”到供應商的后臺,一旦這些數據被泄露,可能會造成財產損失,乃至生命安全。而整個過程,你一無所知。
(二)正在被“生物特征數據庫”撕裂的印度
2009年,印度政府開始建設包含所有國民生物特征信息的國家身份證項目,簡稱Aadhaar,該項目將采集每個公民的十指指紋、人像照片和雙眼虹膜等生物特征信息,由國家數據庫統一管理,應用于社會民生領域,起到了突出效果。
順利的話,應用了虹膜識別、無現金交易、數字化政務等種種新科技之后,印度社會的信息化水平甚至會超過不少發達國家。
然而,據維基解密在2017年披露的文件顯示,美國中央情報局(CIA)曾秘密創建了一個虛假的軟件更新系統,用以暗中監視全球情報合作伙伴,同時CIA為Aadhaar項目提供了一套生物識別采集系統,包含預定義硬件、操作系統和軟件,名義上用以幫助合作伙伴自愿共享收集的生物識別數據。而實際上,攻擊者在使用內含惡意軟件的CIA專用U盤插入目標系統,之后感染并將數據滲漏到可移動媒體,自動感染并搜索系統底層,同時,泄露的CIA文件顯示,負責維護生物識別采集系統的OTS工作人員到合作伙伴場所秘密安裝ExpressLane木馬,同時在屏幕上顯示升級安裝進程,偽裝是在升級生物識別系統,從而非法獲取相關生物識別信息。
這一舉動也造成了印度Aadhaar項目上線以來,大量印度民眾的生物識別信息泄露, Aadhaar也陸續遭到網絡攻擊。據報道,有超過210家政府網站都曝光了Aadhaar 中公民的詳細信息;超過1億人的銀行賬戶和Aadhaar細節信息被泄露;政府的電子醫院數據庫也遭到入侵。
(三)“套殼”設備深埋泄露隱患
極具商業價值的個人生物特征信息,會刺激他人越界使用的野心,也給某些蠢蠢欲動的不良企業鉆空子的機會。
不久前,國內某機構對一批虹膜識別儀進行了安全測試,該測試結果表明由萬里紅公司生產的WLH-Iris-JD6和WLH-Iris-JD7虹膜采集識別儀不但在外觀與硬件上與Iris ID System(美國)公司生產的iCAM T10虹膜采集識別設備高度相似。該產品的核心算法、圖像處理及設備控制程序同樣與對比的美國產品高度一致。
也就是說,該廠商生產的虹膜識別設備系為“套殼”產品。
套殼產品的根本危害在于,生產企業希望通過“先上車、后買票”的方式冒用國外設備和技術占領市場,但是忽略了“自主可控”在網絡安全乃至國防安全領域的重要意義。借鑒國際的先進技術,可以推動自我研發水平的進步,但如果據為自有,并謊稱是自主可控的技術,無疑是掩耳盜鈴。對國內的行業傷害巨大,如同飲鴆止渴,短期掌握了市場,但最終主動權掌握在他人手中,更甚者,形成“劣幣驅逐良幣”市場風氣,造成自主創新的寸步難行,最終也會導致國內行業與關鍵技術的突破漸行漸遠。
2、 虹膜識別技術與隱私數據所有權
3.15生物特征識別技術濫用事件曝光之后,引發了數萬網友對于生物特征識別技術與隱私安全的討論:
部分網友認為:人臉,指紋,虹膜,基因等生物識別技術看似技術先進、保密性更高,但在實際應用中可能并不安全,當信息被竊取或者相關設備中存在‘后門’時,隱私數據面臨的處境甚至更加危險?!?/span>
也有部分肯定了虹膜識別技術的應用,認為虹膜識別技術的應用在某一方面造福了人類,例如在疫情期間,虹膜識別能夠提供更便捷的出入控制。
其實,生物特別識別技術本身沒有錯,這類身份識別技術的核心問題是究竟是“誰”來掌握著核心基礎數據。
在大部分隱私泄露事件中,用戶是不知情的,也就是說,用戶并不能掌握自身隱私數據的所有權。在此背景下,設備生產商與商家都應承擔保護隱私數據與在用戶授權下使用相關數據的責任和義務,用戶隱私數據被濫用,責任方難辭其咎。套殼設備無法掌握數據流向,所以用戶的隱私數據更難得到保障。
三、科技發展與隱私安全如何兼顧
印度生物特征信息泄露事件為世界敲響了警鐘,生物特征是公民個體私人數據,形成后無法改變,涉及公民隱私和國家安全,核心技術應掌握在自己手中,防止數據外泄。
而上文提到的虹膜識別儀套殼問題也顯示出,對于一個企業甚至一個國家來說,如果沒有核心技術和科技能力,只能套殼別國的產品,就很可能走入不可挽回的困境,甚至使國家安全陷入受制于人的局面。
那么,我們如何在享受科技發展的同時保證隱私數據安全?
(一)生物特征原始數據加密
地球70多億人口,每個人的虹膜信息都不一樣,一旦某個特征被濫用后,后果將不堪設想。要保障隱私數據安全,則要提高數據域自身的安全保障,這部分需要監管部門介入,形成核心數據采集和應用的規范,對生物特征識別數據,要從技術層面加強安全防護,從而保障公民的核心利益不受侵犯。
(二)用戶數據全程記錄
“與數字密碼不同,生物特征是人無法改變的生理特征,在某種意義上,生物特征是最后的防線?!睆V東省法學會網絡與電子商務法學研究會會長、暨南大學法學院教授劉穎表示,個人銀行賬戶密碼可能會被破解、個人網絡賬號密碼會失效,但個人生物特征數據被泄露,個人生活將面臨失控的危險,而彌補或消除這種危險幾乎不可能,除非徹底改變個人生物特征。
劉穎建議,包括人臉識別技術在內,個人生物信息的保護應當從技術和規則的兩個層面采取措施。在技術上,將個人生物數據的采集、分析、識別和應用做到“留痕、可追蹤”,發現個人生物數據被不當利用時,有能力找到使用者。在規則上,從個人數據的采集、使用和保護的角度確立規則,用規則約束行為,劃定合理使用和非法使用的界限。
(三)建立健全監管平臺
數據安全需要不同行業形成統一的數據監管手段。國家監管層面需要形成自主可控意識,將核心技術牢牢掌握在自己手中。全國信息安全標準化技術委員會組織制定和歸口管理的國家標準GB/T 35273《信息安全技術個人信息安全規范》頒布實施。該標準與2020年10月1日發布了修訂版,明確規定,個人生物特征信息屬于個人信息,生物特征識別類的信息收集應符合個人信息安全基本原則。
對非法利用個人生物特征的平臺、企業、機構,監管平臺應按相關規章制度,合理合法實施相應懲戒機制,保障中國國民隱私主權。
(四)核心技術國產化
相比于人臉識別和指紋識別的廣泛應用,虹膜識別技術還處于應用的初級階段,在技術發展推廣初期,更應在廣泛建設初期重視技術的自主可控水平,國外技術和套殼產品,可以帶來短期的經濟價值,但一旦數據流出境外,損失將無法估量。要嚴格控制“套殼“產品在市面的流通,尤其是在特殊和關鍵行業,嚴格控制設備關鍵組件、關鍵技術的源頭測試,避免形成數據泄露,也要避免數據孤島,導致行業畸形發展。
掌握核心科技,走自主創新的發展道路,才會避免受制于人,從根本上杜絕數據泄露帶來的巨大風險。