俄烏沖突爆發伊始,烏克蘭軍方就在歐美情報部門和技術公司的幫助下,進行人臉識別作戰,以清查俄羅斯軍官和特工、辨認死者身份等。生物識別技術利用人體固有的生理特性和行爲特征來進行個人身份鑒定,與傳統識別方法相比,生物特征更難僞造、複制和轉移,因而可以更有效地驗證用戶身份,提高了運行效率和安全性。隨著信息技術的興起,生物識別技術已迅速成爲基礎設施安全和多因素身份驗證的關鍵組成部分,並將在日常生活、商業組織和政府機構中得到越來越廣泛的應用和擴展。
一、生物識別技術簡介
生物識別技術是指通過可測量的身體或行爲等生物特征進行身份認證的一種技術。與傳統身份鑒定相比,生物識別技術具有隨身性、唯一性、穩定性、廣泛性、方便性、可采集性、可接受性等特點,正在國防、金融等行業中迅速普及。
(一)生物識別技術的原理
生物識別系統由硬件和軟件兩部分組成。硬件部分負責拍攝目標對象的特征,軟件部分負責將這些特征轉化爲數據並確定其可接受性。生物識別系統的功能分爲三個步驟。首先是使用傳感器進行觀察,而傳感器的種類及觀察方法隨生物識別類別的不同而異。第二步,記錄生物識別結果並産生生物信號。第三步,計算機系統將輸入的生物信號與電腦數據庫中的數據進行比對,決定允許還是拒絕用戶接入系統。
(二)生物識別技術的種類
常用的生物識別技術有:手部識別、面部識別、行爲特征識別和其他生理特征識別。
手部識別。手部識別包括紋理識別和靜脈識別。紋理識別又包括指紋識別和掌紋識別。其中,指紋識別通過比對手指紋理的特征點自動進行身份識別。隨著數字圖像處理、模式識別、人工智能等技術的應用規模不斷擴大,指紋識別技術逐步發展升級;掌紋識別的技術原理與指紋識別基本一致,但掌紋具有比指紋更好的分辨能力和更高的鑒別能力。靜脈識別則是利用人體靜脈血液中脫氧血色素吸收近紅外線或人體輻射遠紅外線的特性,對手背、指背、手掌或手腕的靜脈分布圖進行成像和比對來確定個人身份。靜脈分布特征在成年後持久不變,具有唯一性和穩定性且非接觸性良好,難以被複制僞造,因而具有廣泛的應用前景。
面部識別。面部識別包括人臉識別、虹膜識別和視網膜識別。人臉識別在日常生活中應用最爲廣泛。目前的人臉識別主要是應用二維圖像進行識別,光照、姿態、表情的變化都會對識別結果帶來影響,因此人臉識別的准確度受到很大限制。虹膜識別以虹膜中環狀物、斑點、冠狀物作爲特征點,利用計算機自動形成數據模板然後完成數據匹配。相較于常用的指紋識別,虹膜識別的精確度高、錄入速度快、可進行遠距離識別,且虹膜細微的動態特性使其幾乎不可能被僞造。視網膜識別通過采集視網膜上視神經的分布,將視神經不同的分散程度作爲個人身份的標志。但是,該識別方式通常具有侵犯性,且用激光照射眼球背面或影響使用者健康。
行爲特征識別。行爲特征識別包括步態識別、擊鍵識別和簽名識別。行爲特征識別技術是指利用人後天養成的穩定性習慣爲特征進行身份識別的技術。其中,步態識別涉及計算機視覺、圖像處理、模式識別等,以人體每個關節部位的複雜運動軌迹爲特征進行身份鑒別,可與其他安全和監視技術協同使用,以提高准確性;擊鍵識別在國外應用較多。擊鍵特征包括擊鍵頻率、出錯頻率、力度大小,然而,個人的特定打字模式缺乏永久性,可能會因手指受傷、身體疲勞等多種因素發生變化;簽名識別是以簽字時落筆的壓力變化及行筆的速度爲特征點進行身份確認的技術,但易被模仿抄襲。
其他生理特征識別。其他生理特征識別包括DNA識別、聲紋識別等。DNA識別具有絕對的權威性,其利用一切有核動植物長期穩定的遺傳信息作爲識別特征進行身份識別。但是,目前DNA識別需要專業技術人員在實驗室環境下才能操作,成本高且涉及用戶倫理及隱私問題。聲紋識別是利用口腔和顱腔、聲音頻率等個人聲音紋理特征進行身份識別的技術,可以提供快速、無物理接觸的身份驗證,但環境嘈雜或使用者因感冒導致聲音變化等都會降低聲紋識別的准確率。此外,合成聲音也可能會欺騙聲紋識別系統。
二、主要經濟體對生物識別技術的監管與治理規範
目前,世界各國已將生物識別技術廣泛應用于國防安保、公共安全、信息安全以及軍事領域中,並制定法案和戰略規範該技術的使用。
2018年8月,美國衆議院國土安全委員會(House Homeland Security Committee)提出《2018年生物識別跨國移民警報計劃(BITMAP)授權法案》(Biometric Identification Migration Alert Program Authorization Act of 2018),旨在通過與合作夥伴國家共同收集和共享特殊人群的生物特征數據等情報,識別潛在的恐怖分子等危險人員;2020年8月,美國參議院提出《2020年國家生物識別信息隱私法案》(National Biometric Information Privacy Act of 2020,NBIPA),要求以類似保護社會安全號碼等其他機密和敏感信息的方式保護個人生物識別信息。2018年6月,英國內政部發布《生物識別戰略》(The UK Home Office Biometric Strategy),提出了生物識別技術使用和發展的總體框架,涉及指紋、DNA、面部圖像、質量、隱私保護、道德,以及監管和標准等7個方面。2019年10月,俄羅斯通過了有關生物識別技術的《2030年前人工智能發展的國家戰略》(the National Strategy for the Development of Artificial Intelligence for the period until 2030),其中界定了未來俄羅斯人工智能技術的具體著力方向,包括面部識別技術在精密武器、無人機和軍事協調系統、戰略決策和遏制敵人通信方面的跨越式應用;2021年3月,俄羅斯國家議會提交的用于生物特征數據和刑事調查的個人數據修訂法案正式生效,增加了個人數據主體的權利。2017年1月,澳大利亞總理馬爾科姆·特恩布爾(Malcolm Bligh Turnbull)宣布使用生物識別技術核驗入境人員身份的計劃,即使用虹膜掃描、面部識別和指紋掃描等非接觸式生物識別技術對入境人員進行身份核驗,以防恐怖分子入境。2021年2月,新加坡《2020年個人數據保護(修訂)法案》(Personal Data Protection Amendment Act 2020,PDPAA)正式生效,加強了對生物特征等個人數據的保護。
此外,2021年1月,英國修訂了2018年《數據保護法案》(DPA ACT 2018),爲用于生物識別的個人生物特征等信息提供更強有力的法律保護;2021年6月,日本修訂了《個人信息保護法》(the Act on the Protection of Personal Information,APPI),引入了新的受監管信息類別,其一便是敏感的個人信息,包括但不局限于財務信息、生物特征信息和位置信息等;2019年12月,印度公布了《個人數據保護法案》(The Personal Data Protection Bill,PDP),明確規定在處理任何敏感個人數據,如生物特征數據時必須征得數據主題的同意。
綜上,這些立法在具體結構和內容上雖存在較大差異,但在法律保護模式上具有共同性,表現爲以下四點:第一,明確生物識別信息的法律屬性、功能、作用及特定生成過程;第二,明確生物識別數據屬于“特殊敏感類數據”;第三,明確“禁止處理”“明示同意”“法定必需”三大特定法律原則;第四,明確個人生物識別信息法律保護的一般法律原則及權利義務規定。
三、關于完善生物識別技術監管的針對性建議
2021年12月,歐洲議會研究服務處(The European Parliament Research Service,EPRS)發布《個人識別、人權和道德倫理原則:反思人工智能時代的生物識別技術》(Person identification, human rights and ethical principles:Rethinking biometrics in the age of artificial intelligence)報告,指出歐盟《人工智能法》(Artificial Intelligence Act)提案中規制生物識別的相關內容中待完善的問題,並提出供立法者參考的改進建議。報告認爲,個人生物識別數據具有唯一性、永久性和不可替代性,一旦泄露或濫用,將使個人將失去對自己身體的控制權,有違倫理道德。
同時,報告指出,由人工智能技術支持的生物識別系統對多項個人基本權利和民主本身都可能構成重大風險,包括侵犯個人隱私、掠取個人信息、剝奪個人在公共場所“匿名”的選擇自由、壓制公民政治參與意願等。對此,報告提出了八項完善生物識別技術的針對性建議:第一,應當更清晰地界定生物識別數據的監管;第二,需要改進對人工智能系統的高風險鑒定方法;第三,進一步明確禁止實時面部識別的各類場景;第四,應當以實時遠程生物識別相同的標准規範事後遠程生物識別;第五,需要在歐盟層面爲實時遠程生物識別建立必要保障措施;第六,進一步澄清對“情感識別”的監管;第七,仍需設法增加人工智能系統透明度,並提供必要救濟手段;第八,不應對歐盟大型IT系統進行特別豁免。
四、評述與展望
每個人的生物特征都獨一無二,因此生物識別信息可作爲識別個體的唯一標識,是鑒別個人身份的新方法。生物特征識別技術較傳統身份識別技術有著無可比擬的優勢和發展前景,該技術的日漸成熟及應用推廣必將在信息安全和國防軍事領域帶來巨大變革。然而,生物識別技術存在的漏洞可能導致該技術無法准確執行。例如,訓練面部識別系統的圖像類型存在一定偏見或缺乏多樣性,致使其極易在用于識別女性和有色人種時失敗;生物識別系統易受“黑客”攻擊,從而導致系統失靈;恐怖分子或外國情報人員或使用化妝、假肢或其他僞裝來阻止系統准確捕獲其生物特征並判定其身份,以此來欺騙生物識別系統。此外,生物識別技術的應用一旦失控,可能會威脅個人隱私或安全,因此,亟需在保障個人隱私與技術進步、經濟發展、數字化管理相互平衡的原則下,采取積極可靠的保護策略。
未來,生物識別技術在以下四方面仍有待進一步研究,一是將生物識別與量子密碼技術相結合,構建二元身份認證體系。前者可實現更爲准確可靠的身份認證,保證只有擁有相關授權的人才能接觸到關鍵數據,後者則能爲這些數據提供更難破解的加密措施,進一步提升用戶在數據訪問過程中的安全性;二是保證生物識別系統的安全性。與其他信息安全技術一樣,生物識別系統也可能受到各種攻擊。除了僞造他人的生物特征樣本外,其他潛在攻擊包括:在采集裝置和計算機的通信鏈路上修改樣本數據、修改識別結果、替換匹配程序、攻擊生物特征模板數據庫等。因此,提高保護系統自身的安全性以及對各種黑客攻擊的抵抗能力至關重要;三是進行活體檢測研究,即研究出有效區分真人聲音與錄音、真人面部與照片以及仿造的生物特征的方法,加強系統防騙性;四是探索生物識別技術在保障國家安全與侵犯公民隱私和自由之間的平衡,並規定在使用生物特征識別技術時必需的國內或國際的限制。
作者簡介
張芮晴 國務院發展研究中心國際技術經濟研究所研究三室,三級分析員
研究方向:生物領域形勢跟蹤及關鍵核心技術、前沿技術研究
聯系方式:[email protected]
作者丨劉瑾、趙笑寒、張芮晴
編輯丨鄭實
研究所簡介
國際技術經濟研究所(IITE)成立于1985年11月,是隸屬于國務院發展研究中心的非營利性研究機構,主要職能是研究我國經濟、科技社會發展中的重大政策性、戰略性、前瞻性問題,跟蹤和分析世界科技、經濟發展態勢,爲中央和有關部委提供決策咨詢服務。“全球技術地圖”爲國際技術經濟研究所官方微信賬號,致力于向公衆傳遞前沿技術資訊和科技創新洞見。
地址:北京市海澱區小南莊20號樓A座
電話:010-82635522
微信:iite_er