新加坡国家数字ID计划面部验证方案被质疑存在严重隐私问题
新加坡政府正在推出面部生物识别技术,作为其国家数字身份识别系统的一部分,这让隐私倡导者感到担忧。这将使这个拥有500多万人口的岛国成为世界上第一个将面部数据纳入国家身份识别系统的国家,人们需要生物特征验证才能获得大约400家公共和私人服务。
国家数字身份(The National Digital Identity,NDI)计划目前正在全国范围内的多个自助服务亭中进行试点,这使没有手机的居民也可以被扫描到。
《海峡时报》最早在2020年初报道了这一消息,但目前还没有任何强制性转换的预定开始日期。但一旦投入使用,面部认证系统将与目前的SingPass政府服务系统相结合。居民利用这个系统可与大约60个政府机构和200个个人服务进行互动,例如报税、申请各种类型的公共援助,以及进入“中央公积金”的强制性储蓄和养老金计划。
虽然最终需要面部验证才能访问这些与SingPass连接的各种服务,但政府指出,只有在终端用户表示积极同意时,才对个人的生物特征进行扫描。隐私倡导者反驳说,由于个人与政府之间存在权力的不平衡,个人如果不同意,可能会被拒绝提供必要的服务,这并不没有获得有效的“同意”。
新加坡政府表示,国家数字ID系统的任何数据都不会与私营部门共享,用于验证的自拍将只存储在政府服务器上30天。但批评人士指出,扫描过程本身就存在问题,这在其他国家的面部验证系统测试中已经被证明。例如,美国政府在2019年进行的测试中发现,即使是最好的私营部门进行的面部识别也有很大的错误率,尤其是在试图匹配少数民族的面部时。在美国的测试中,黑人女性的面孔被错误匹配的几率是白人女性的10倍。通常情况下,该系统对女性受试者的准确性较差,且受试者的皮肤越黑越不准确。
虽然私营部门无法直接访问政府收集和存储的数据,但其中一些部门将能够使用这项技术。新加坡政府科技公司(GovTech Singapore)国家数字身份高级总监郭国新(Kwok Quek Sin)表示,国家数字身份系统将有利于该国的企业,因为他们可以立即享用面部验证的便利,而无需自己建立任何系统。这项技术可以在开立银行账户、在大学进行测试以及在高风险领域(如港口)的安全应用中投入使用。使用该系统的私营机构将会看到一个数字分数,表明该受试者当前的自拍照与政府档案中的照片的接近程度。
这是国家数字身份证系统的可靠补充吗?
新加坡国家数字ID系统中使用的面部验证软件是由英国生物识别认证公司iProov Ltd提供的。iProov的其他客户还包括美国国土安全部和英国国家卫生服务体系(NHS)。虽然该公司已经向许多私人客户提供了类似的面部验证系统,但这是首次在如此大的规模上使用该系统——用于监控一个国家的全部人口。
虽然技术细节尚未透露,但iProov声称,“真正的在场保证”——系统可以验证是否是真人在场,它不会对相机上举起的图片、视频或戴口罩的对象做出反应。鉴于美国政府机构已选择在机场使用该技术,该技术似乎也如广告宣传的那样有效,但这将是第一次以这种规模部署基于云的验证系统。
在全国范围内启用这一制度(并使之成为强制性的存在)将是一项前所未有的考验,特别是考虑到这一制度的计划是要完全取代有形文件。如果人脸识别数据库中的一个错误导致某人在某些关键时刻被错误识别(比如在紧急情况下为患者提供医疗记录),会发生什么情况?或者,如果黑客获得了基于云的基础架构的访问权并更改、删除或锁死了信息,又该怎么办呢?随着其他国家和州暂停使用面部验证技术,新加坡可能会成为这种未经测试的国家数字身份系统的所有潜在问题的世界培养皿。
(本文出自SCA安全通信联盟,转载请注明出处。)
评论