新加坡政府正在推出面部生物識別技術,作爲其國家數字身份識別系統的一部分,這讓隱私倡導者感到擔憂。這將使這個擁有500多萬人口的島國成爲世界上第一個將面部數據納入國家身份識別系統的國家,人們需要生物特征驗證才能獲得大約400家公共和私人服務。
國家數字身份(The National Digital Identity,NDI)計劃目前正在全國範圍內的多個自助服務亭中進行試點,這使沒有手機的居民也可以被掃描到。
《海峽時報》最早在2020年初報道了這一消息,但目前還沒有任何強制性轉換的預定開始日期。但一旦投入使用,面部認證系統將與目前的SingPass政府服務系統相結合。居民利用這個系統可與大約60個政府機構和200個個人服務進行互動,例如報稅、申請各種類型的公共援助,以及進入“中央公積金”的強制性儲蓄和養老金計劃。
雖然最終需要面部驗證才能訪問這些與SingPass連接的各種服務,但政府指出,只有在終端用戶表示積極同意時,才對個人的生物特征進行掃描。隱私倡導者反駁說,由于個人與政府之間存在權力的不平衡,個人如果不同意,可能會被拒絕提供必要的服務,這並不沒有獲得有效的“同意”。
新加坡政府表示,國家數字ID系統的任何數據都不會與私營部門共享,用于驗證的自拍將只存儲在政府服務器上30天。但批評人士指出,掃描過程本身就存在問題,這在其他國家的面部驗證系統測試中已經被證明。例如,美國政府在2019年進行的測試中發現,即使是最好的私營部門進行的面部識別也有很大的錯誤率,尤其是在試圖匹配少數民族的面部時。在美國的測試中,黑人女性的面孔被錯誤匹配的幾率是白人女性的10倍。通常情況下,該系統對女性受試者的准確性較差,且受試者的皮膚越黑越不准確。
雖然私營部門無法直接訪問政府收集和存儲的數據,但其中一些部門將能夠使用這項技術。新加坡政府科技公司(GovTech Singapore)國家數字身份高級總監郭國新(Kwok Quek Sin)表示,國家數字身份系統將有利于該國的企業,因爲他們可以立即享用面部驗證的便利,而無需自己建立任何系統。這項技術可以在開立銀行賬戶、在大學進行測試以及在高風險領域(如港口)的安全應用中投入使用。使用該系統的私營機構將會看到一個數字分數,表明該受試者當前的自拍照與政府檔案中的照片的接近程度。
這是國家數字身份證系統的可靠補充嗎?
新加坡國家數字ID系統中使用的面部驗證軟件是由英國生物識別認證公司iProov Ltd提供的。iProov的其他客戶還包括美國國土安全部和英國國家衛生服務體系(NHS)。雖然該公司已經向許多私人客戶提供了類似的面部驗證系統,但這是首次在如此大的規模上使用該系統——用于監控一個國家的全部人口。
雖然技術細節尚未透露,但iProov聲稱,“真正的在場保證”——系統可以驗證是否是真人在場,它不會對相機上舉起的圖片、視頻或戴口罩的對象做出反應。鑒于美國政府機構已選擇在機場使用該技術,該技術似乎也如廣告宣傳的那樣有效,但這將是第一次以這種規模部署基于雲的驗證系統。
在全國範圍內啓用這一制度(並使之成爲強制性的存在)將是一項前所未有的考驗,特別是考慮到這一制度的計劃是要完全取代有形文件。如果人臉識別數據庫中的一個錯誤導致某人在某些關鍵時刻被錯誤識別(比如在緊急情況下爲患者提供醫療記錄),會發生什麽情況?或者,如果黑客獲得了基于雲的基礎架構的訪問權並更改、刪除或鎖死了信息,又該怎麽辦呢?隨著其他國家和州暫停使用面部驗證技術,新加坡可能會成爲這種未經測試的國家數字身份系統的所有潛在問題的世界培養皿。
(本文出自SCA安全通信聯盟,轉載請注明出處。)