虹膜识别技术应用存在风险,如何“趋利避害”成为焦点
刷脸支付、刷脸过安检、刷脸手机解锁……凭一张脸就能畅行的智慧生活,除了日常应用的“刷脸”识别之外,近年来生物特征识别行业的新动向还包含刷手、刷眼等其他应用,其内在的技术原理就是使用人体的人脸、指纹、虹膜信息来确认用户的身份,智能科技的应用赋予了人类更高效、更便捷的生活。
然而,没有一个事物生来就是完美的,虹膜识别技术的利弊就像一口大锅砸在人类面前,里面装满山珍海味,但四周却铺满燃烧的熊熊烈火。
一、虹膜识别技术应用中的利与弊
(一)“偷用”生物特征信息
2021年的央视“3·15”晚会上,四家AI企业被点名!大型“偷脸”事件曝光,知名企业和单位,纷纷被爆偷偷采集或滥用人脸信息,可怕的是,你,可能是被采集人脸的顾客之一。
这些采集的人脸,不仅会出现在店家的系统里,甚至会被“偷运”到供应商的后台,一旦这些数据被泄露,可能会造成财产损失,乃至生命安全。而整个过程,你一无所知。
(二)正在被“生物特征数据库”撕裂的印度
2009年,印度政府开始建设包含所有国民生物特征信息的国家身份证项目,简称Aadhaar,该项目将采集每个公民的十指指纹、人像照片和双眼虹膜等生物特征信息,由国家数据库统一管理,应用于社会民生领域,起到了突出效果。
顺利的话,应用了虹膜识别、无现金交易、数字化政务等种种新科技之后,印度社会的信息化水平甚至会超过不少发达国家。
然而,据维基解密在2017年披露的文件显示,美国中央情报局(CIA)曾秘密创建了一个虚假的软件更新系统,用以暗中监视全球情报合作伙伴,同时CIA为Aadhaar项目提供了一套生物识别采集系统,包含预定义硬件、操作系统和软件,名义上用以帮助合作伙伴自愿共享收集的生物识别数据。而实际上,攻击者在使用内含恶意软件的CIA专用U盘插入目标系统,之后感染并将数据渗漏到可移动媒体,自动感染并搜索系统底层,同时,泄露的CIA文件显示,负责维护生物识别采集系统的OTS工作人员到合作伙伴场所秘密安装ExpressLane木马,同时在屏幕上显示升级安装进程,伪装是在升级生物识别系统,从而非法获取相关生物识别信息。
这一举动也造成了印度Aadhaar项目上线以来,大量印度民众的生物识别信息泄露, Aadhaar也陆续遭到网络攻击。据报道,有超过210家政府网站都曝光了Aadhaar 中公民的详细信息;超过1亿人的银行账户和Aadhaar细节信息被泄露;政府的电子医院数据库也遭到入侵。
(三)“套壳”设备深埋泄露隐患
极具商业价值的个人生物特征信息,会刺激他人越界使用的野心,也给某些蠢蠢欲动的不良企业钻空子的机会。
不久前,国内某机构对一批虹膜识别仪进行了安全测试,该测试结果表明由万里红公司生产的WLH-Iris-JD6和WLH-Iris-JD7虹膜采集识别仪不但在外观与硬件上与Iris ID System(美国)公司生产的iCAM T10虹膜采集识别设备高度相似。该产品的核心算法、图像处理及设备控制程序同样与对比的美国产品高度一致。
也就是说,该厂商生产的虹膜识别设备系为“套壳”产品。
套壳产品的根本危害在于,生产企业希望通过“先上车、后买票”的方式冒用国外设备和技术占领市场,但是忽略了“自主可控”在网络安全乃至国防安全领域的重要意义。借鉴国际的先进技术,可以推动自我研发水平的进步,但如果据为自有,并谎称是自主可控的技术,无疑是掩耳盗铃。对国内的行业伤害巨大,如同饮鸩止渴,短期掌握了市场,但最终主动权掌握在他人手中,更甚者,形成“劣币驱逐良币”市场风气,造成自主创新的寸步难行,最终也会导致国内行业与关键技术的突破渐行渐远。
虹膜识别技术与隐私数据所有权
3.15生物特征识别技术滥用事件曝光之后,引发了数万网友对于生物特征识别技术与隐私安全的讨论:
部分网友认为:人脸,指纹,虹膜,基因等生物识别技术看似技术先进、保密性更高,但在实际应用中可能并不安全,当信息被窃取或者相关设备中存在‘后门’时,隐私数据面临的处境甚至更加危险。”
也有部分肯定了虹膜识别技术的应用,认为虹膜识别技术的应用在某一方面造福了人类,例如在疫情期间,虹膜识别能够提供更便捷的出入控制。
其实,生物特别识别技术本身没有错,这类身份识别技术的核心问题是究竟是“谁”来掌握着核心基础数据。
在大部分隐私泄露事件中,用户是不知情的,也就是说,用户并不能掌握自身隐私数据的所有权。在此背景下,设备生产商与商家都应承担保护隐私数据与在用户授权下使用相关数据的责任和义务,用户隐私数据被滥用,责任方难辞其咎。套壳设备无法掌握数据流向,所以用户的隐私数据更难得到保障。
三、科技发展与隐私安全如何兼顾
印度生物特征信息泄露事件为世界敲响了警钟,生物特征是公民个体私人数据,形成后无法改变,涉及公民隐私和国家安全,核心技术应掌握在自己手中,防止数据外泄。
而上文提到的虹膜识别仪套壳问题也显示出,对于一个企业甚至一个国家来说,如果没有核心技术和科技能力,只能套壳别国的产品,就很可能走入不可挽回的困境,甚至使国家安全陷入受制于人的局面。
那么,我们如何在享受科技发展的同时保证隐私数据安全?
(一)生物特征原始数据加密
地球70多亿人口,每个人的虹膜信息都不一样,一旦某个特征被滥用后,后果将不堪设想。要保障隐私数据安全,则要提高数据域自身的安全保障,这部分需要监管部门介入,形成核心数据采集和应用的规范,对生物特征识别数据,要从技术层面加强安全防护,从而保障公民的核心利益不受侵犯。
(二)用户数据全程记录
“与数字密码不同,生物特征是人无法改变的生理特征,在某种意义上,生物特征是最后的防线。”广东省法学会网络与电子商务法学研究会会长、暨南大学法学院教授刘颖表示,个人银行账户密码可能会被破解、个人网络账号密码会失效,但个人生物特征数据被泄露,个人生活将面临失控的危险,而弥补或消除这种危险几乎不可能,除非彻底改变个人生物特征。
刘颖建议,包括人脸识别技术在内,个人生物信息的保护应当从技术和规则的两个层面采取措施。在技术上,将个人生物数据的采集、分析、识别和应用做到“留痕、可追踪”,发现个人生物数据被不当利用时,有能力找到使用者。在规则上,从个人数据的采集、使用和保护的角度确立规则,用规则约束行为,划定合理使用和非法使用的界限。
(三)建立健全监管平台
数据安全需要不同行业形成统一的数据监管手段。国家监管层面需要形成自主可控意识,将核心技术牢牢掌握在自己手中。全国信息安全标准化技术委员会组织制定和归口管理的国家标准GB/T 35273《信息安全技术个人信息安全规范》颁布实施。该标准与2020年10月1日发布了修订版,明确规定,个人生物特征信息属于个人信息,生物特征识别类的信息收集应符合个人信息安全基本原则。
对非法利用个人生物特征的平台、企业、机构,监管平台应按相关规章制度,合理合法实施相应惩戒机制,保障中国国民隐私主权。
(四)核心技术国产化
相比于人脸识别和指纹识别的广泛应用,虹膜识别技术还处于应用的初级阶段,在技术发展推广初期,更应在广泛建设初期重视技术的自主可控水平,国外技术和套壳产品,可以带来短期的经济价值,但一旦数据流出境外,损失将无法估量。要严格控制“套壳“产品在市面的流通,尤其是在特殊和关键行业,严格控制设备关键组件、关键技术的源头测试,避免形成数据泄露,也要避免数据孤岛,导致行业畸形发展。
掌握核心科技,走自主创新的发展道路,才会避免受制于人,从根本上杜绝数据泄露带来的巨大风险。