俄乌冲突爆发伊始,乌克兰军方就在欧美情报部门和技术公司的帮助下,进行人脸识别作战,以清查俄罗斯军官和特工、辨认死者身份等。生物识别技术利用人体固有的生理特性和行为特征来进行个人身份鉴定,与传统识别方法相比,生物特征更难伪造、复制和转移,因而可以更有效地验证用户身份,提高了运行效率和安全性。随着信息技术的兴起,生物识别技术已迅速成为基础设施安全和多因素身份验证的关键组成部分,并将在日常生活、商业组织和政府机构中得到越来越广泛的应用和扩展。
一、生物识别技术简介
生物识别技术是指通过可测量的身体或行为等生物特征进行身份认证的一种技术。与传统身份鉴定相比,生物识别技术具有随身性、唯一性、稳定性、广泛性、方便性、可采集性、可接受性等特点,正在国防、金融等行业中迅速普及。
(一)生物识别技术的原理
生物识别系统由硬件和软件两部分组成。硬件部分负责拍摄目标对象的特征,软件部分负责将这些特征转化为数据并确定其可接受性。生物识别系统的功能分为三个步骤。首先是使用传感器进行观察,而传感器的种类及观察方法随生物识别类别的不同而异。第二步,记录生物识别结果并产生生物信号。第三步,计算机系统将输入的生物信号与电脑数据库中的数据进行比对,决定允许还是拒绝用户接入系统。
(二)生物识别技术的种类
常用的生物识别技术有:手部识别、面部识别、行为特征识别和其他生理特征识别。
手部识别。手部识别包括纹理识别和静脉识别。纹理识别又包括指纹识别和掌纹识别。其中,指纹识别通过比对手指纹理的特征点自动进行身份识别。随着数字图像处理、模式识别、人工智能等技术的应用规模不断扩大,指纹识别技术逐步发展升级;掌纹识别的技术原理与指纹识别基本一致,但掌纹具有比指纹更好的分辨能力和更高的鉴别能力。静脉识别则是利用人体静脉血液中脱氧血色素吸收近红外线或人体辐射远红外线的特性,对手背、指背、手掌或手腕的静脉分布图进行成像和比对来确定个人身份。静脉分布特征在成年后持久不变,具有唯一性和稳定性且非接触性良好,难以被复制伪造,因而具有广泛的应用前景。
面部识别。面部识别包括人脸识别、虹膜识别和视网膜识别。人脸识别在日常生活中应用最为广泛。目前的人脸识别主要是应用二维图像进行识别,光照、姿态、表情的变化都会对识别结果带来影响,因此人脸识别的准确度受到很大限制。虹膜识别以虹膜中环状物、斑点、冠状物作为特征点,利用计算机自动形成数据模板然后完成数据匹配。相较于常用的指纹识别,虹膜识别的精确度高、录入速度快、可进行远距离识别,且虹膜细微的动态特性使其几乎不可能被伪造。视网膜识别通过采集视网膜上视神经的分布,将视神经不同的分散程度作为个人身份的标志。但是,该识别方式通常具有侵犯性,且用激光照射眼球背面或影响使用者健康。
行为特征识别。行为特征识别包括步态识别、击键识别和签名识别。行为特征识别技术是指利用人后天养成的稳定性习惯为特征进行身份识别的技术。其中,步态识别涉及计算机视觉、图像处理、模式识别等,以人体每个关节部位的复杂运动轨迹为特征进行身份鉴别,可与其他安全和监视技术协同使用,以提高准确性;击键识别在国外应用较多。击键特征包括击键频率、出错频率、力度大小,然而,个人的特定打字模式缺乏永久性,可能会因手指受伤、身体疲劳等多种因素发生变化;签名识别是以签字时落笔的压力变化及行笔的速度为特征点进行身份确认的技术,但易被模仿抄袭。
其他生理特征识别。其他生理特征识别包括DNA识别、声纹识别等。DNA识别具有绝对的权威性,其利用一切有核动植物长期稳定的遗传信息作为识别特征进行身份识别。但是,目前DNA识别需要专业技术人员在实验室环境下才能操作,成本高且涉及用户伦理及隐私问题。声纹识别是利用口腔和颅腔、声音频率等个人声音纹理特征进行身份识别的技术,可以提供快速、无物理接触的身份验证,但环境嘈杂或使用者因感冒导致声音变化等都会降低声纹识别的准确率。此外,合成声音也可能会欺骗声纹识别系统。
二、主要经济体对生物识别技术的监管与治理规范
目前,世界各国已将生物识别技术广泛应用于国防安保、公共安全、信息安全以及军事领域中,并制定法案和战略规范该技术的使用。
2018年8月,美国众议院国土安全委员会(House Homeland Security Committee)提出《2018年生物识别跨国移民警报计划(BITMAP)授权法案》(Biometric Identification Migration Alert Program Authorization Act of 2018),旨在通过与合作伙伴国家共同收集和共享特殊人群的生物特征数据等情报,识别潜在的恐怖分子等危险人员;2020年8月,美国参议院提出《2020年国家生物识别信息隐私法案》(National Biometric Information Privacy Act of 2020,NBIPA),要求以类似保护社会安全号码等其他机密和敏感信息的方式保护个人生物识别信息。2018年6月,英国内政部发布《生物识别战略》(The UK Home Office Biometric Strategy),提出了生物识别技术使用和发展的总体框架,涉及指纹、DNA、面部图像、质量、隐私保护、道德,以及监管和标准等7个方面。2019年10月,俄罗斯通过了有关生物识别技术的《2030年前人工智能发展的国家战略》(the National Strategy for the Development of Artificial Intelligence for the period until 2030),其中界定了未来俄罗斯人工智能技术的具体着力方向,包括面部识别技术在精密武器、无人机和军事协调系统、战略决策和遏制敌人通信方面的跨越式应用;2021年3月,俄罗斯国家议会提交的用于生物特征数据和刑事调查的个人数据修订法案正式生效,增加了个人数据主体的权利。2017年1月,澳大利亚总理马尔科姆·特恩布尔(Malcolm Bligh Turnbull)宣布使用生物识别技术核验入境人员身份的计划,即使用虹膜扫描、面部识别和指纹扫描等非接触式生物识别技术对入境人员进行身份核验,以防恐怖分子入境。2021年2月,新加坡《2020年个人数据保护(修订)法案》(Personal Data Protection Amendment Act 2020,PDPAA)正式生效,加强了对生物特征等个人数据的保护。
此外,2021年1月,英国修订了2018年《数据保护法案》(DPA ACT 2018),为用于生物识别的个人生物特征等信息提供更强有力的法律保护;2021年6月,日本修订了《个人信息保护法》(the Act on the Protection of Personal Information,APPI),引入了新的受监管信息类别,其一便是敏感的个人信息,包括但不局限于财务信息、生物特征信息和位置信息等;2019年12月,印度公布了《个人数据保护法案》(The Personal Data Protection Bill,PDP),明确规定在处理任何敏感个人数据,如生物特征数据时必须征得数据主题的同意。
综上,这些立法在具体结构和内容上虽存在较大差异,但在法律保护模式上具有共同性,表现为以下四点:第一,明确生物识别信息的法律属性、功能、作用及特定生成过程;第二,明确生物识别数据属于“特殊敏感类数据”;第三,明确“禁止处理”“明示同意”“法定必需”三大特定法律原则;第四,明确个人生物识别信息法律保护的一般法律原则及权利义务规定。
三、关于完善生物识别技术监管的针对性建议
2021年12月,欧洲议会研究服务处(The European Parliament Research Service,EPRS)发布《个人识别、人权和道德伦理原则:反思人工智能时代的生物识别技术》(Person identification, human rights and ethical principles:Rethinking biometrics in the age of artificial intelligence)报告,指出欧盟《人工智能法》(Artificial Intelligence Act)提案中规制生物识别的相关内容中待完善的问题,并提出供立法者参考的改进建议。报告认为,个人生物识别数据具有唯一性、永久性和不可替代性,一旦泄露或滥用,将使个人将失去对自己身体的控制权,有违伦理道德。
同时,报告指出,由人工智能技术支持的生物识别系统对多项个人基本权利和民主本身都可能构成重大风险,包括侵犯个人隐私、掠取个人信息、剥夺个人在公共场所“匿名”的选择自由、压制公民政治参与意愿等。对此,报告提出了八项完善生物识别技术的针对性建议:第一,应当更清晰地界定生物识别数据的监管;第二,需要改进对人工智能系统的高风险鉴定方法;第三,进一步明确禁止实时面部识别的各类场景;第四,应当以实时远程生物识别相同的标准规范事后远程生物识别;第五,需要在欧盟层面为实时远程生物识别建立必要保障措施;第六,进一步澄清对“情感识别”的监管;第七,仍需设法增加人工智能系统透明度,并提供必要救济手段;第八,不应对欧盟大型IT系统进行特别豁免。
四、评述与展望
每个人的生物特征都独一无二,因此生物识别信息可作为识别个体的唯一标识,是鉴别个人身份的新方法。生物特征识别技术较传统身份识别技术有着无可比拟的优势和发展前景,该技术的日渐成熟及应用推广必将在信息安全和国防军事领域带来巨大变革。然而,生物识别技术存在的漏洞可能导致该技术无法准确执行。例如,训练面部识别系统的图像类型存在一定偏见或缺乏多样性,致使其极易在用于识别女性和有色人种时失败;生物识别系统易受“黑客”攻击,从而导致系统失灵;恐怖分子或外国情报人员或使用化妆、假肢或其他伪装来阻止系统准确捕获其生物特征并判定其身份,以此来欺骗生物识别系统。此外,生物识别技术的应用一旦失控,可能会威胁个人隐私或安全,因此,亟需在保障个人隐私与技术进步、经济发展、数字化管理相互平衡的原则下,采取积极可靠的保护策略。
未来,生物识别技术在以下四方面仍有待进一步研究,一是将生物识别与量子密码技术相结合,构建二元身份认证体系。前者可实现更为准确可靠的身份认证,保证只有拥有相关授权的人才能接触到关键数据,后者则能为这些数据提供更难破解的加密措施,进一步提升用户在数据访问过程中的安全性;二是保证生物识别系统的安全性。与其他信息安全技术一样,生物识别系统也可能受到各种攻击。除了伪造他人的生物特征样本外,其他潜在攻击包括:在采集装置和计算机的通信链路上修改样本数据、修改识别结果、替换匹配程序、攻击生物特征模板数据库等。因此,提高保护系统自身的安全性以及对各种黑客攻击的抵抗能力至关重要;三是进行活体检测研究,即研究出有效区分真人声音与录音、真人面部与照片以及仿造的生物特征的方法,加强系统防骗性;四是探索生物识别技术在保障国家安全与侵犯公民隐私和自由之间的平衡,并规定在使用生物特征识别技术时必需的国内或国际的限制。
作者简介
张芮晴 国务院发展研究中心国际技术经济研究所研究三室,三级分析员
研究方向:生物领域形势跟踪及关键核心技术、前沿技术研究
联系方式:zhangrq@drciite.org
作者丨刘瑾、赵笑寒、张芮晴
编辑丨郑实
研究所简介
国际技术经济研究所(IITE)成立于1985年11月,是隶属于国务院发展研究中心的非营利性研究机构,主要职能是研究我国经济、科技社会发展中的重大政策性、战略性、前瞻性问题,跟踪和分析世界科技、经济发展态势,为中央和有关部委提供决策咨询服务。“全球技术地图”为国际技术经济研究所官方微信账号,致力于向公众传递前沿技术资讯和科技创新洞见。
地址:北京市海淀区小南庄20号楼A座
电话:010-82635522
微信:iite_er