生物識別技術(shù)安全和隱私問(wèn)題待解決

　　周末去買(mǎi)條褲子，在收銀臺，不掏錢(qián)包也不掏手機，僅僅是撥開(kāi)頭發(fā)露出耳朵。收銀員把攝像頭湊近你的耳朵，系統確認耳朵圖像與你留在銀行數據庫中的耳朵照片相符，交易完成。

　　這一幕充滿(mǎn)未來(lái)科幻感的場(chǎng)景，其實(shí)距離我們已經(jīng)不遠了，而且可能到來(lái)得比你想象的還要快。生物識別技術(shù)的研究如今被炒得火熱，眾多手機App都能讀取特定于你身體的一部分以核實(shí)你的身份，但也將各種各樣的安全和隱私問(wèn)題推上了臺面。而政府和廠(chǎng)商將如何解決這些問(wèn)題，目前仍懸而未決。

　　說(shuō)回耳朵掃描。笛卡爾生物識別(DescartesBiometrics)是一家專(zhuān)精于手機耳朵檢測安全App的公司，其總裁兼首席執行官邁克爾·波杰克(MichaelBoczek)說(shuō)：“耳朵是唯一的，人的一生中，耳朵的形狀幾乎不會(huì )改變。指紋也一樣，一生不變。但面部特征就未必了。”

　　不過(guò)，可以用耳朵付款，并不意味著(zhù)這一幕會(huì )很快發(fā)生。“生物識別技術(shù)很微妙。”桑佛德大學(xué)法學(xué)副教授伍德羅·哈佐格(WoodrowHartzog)解釋道，“這門(mén)技術(shù)可以成就卓著(zhù)，因為實(shí)在是非常安全保險。人們的耳朵、眼球、步態(tài)或者其他任何可識別個(gè)人身份的唯一標識都很難偽造。但是，一旦你的生物特征被破壞，你就玩完了。這世上可沒(méi)有另一只一模一樣的備用耳朵給你。”

　　數據庫也經(jīng)常被黑，從美國國稅局(IRS)到塔吉特百貨，到醫院，到銀行，沒(méi)被黑客染指的系統屈指可數。除非生物識別技術(shù)使用上的一些非?，F實(shí)的安全問(wèn)題能得到更好的解決，否則對將身體數據關(guān)聯(lián)進(jìn)網(wǎng)上賬戶(hù)的擔心就絕不多余。

　　生物識別背景知識

　　生物識別驗證涉及到兩方面的技術(shù)：識別你，或者驗證你的身份。識別，就是將一幅特征圖像與數據庫里的圖像進(jìn)行比對。驗證，則是從設備中取出圖像來(lái)確認匹配。后者通常用于解鎖計算機、手機和應用。

　　自2013年蘋(píng)果在其主頁(yè)鍵指紋傳感器中引入了非常有用的生物識別，生物識別技術(shù)的需求便大幅暴漲了起來(lái)?，F在，萬(wàn)事達卡(MasterCard)想用心跳數據來(lái)確認付款。谷歌的Abicus項目計劃監測個(gè)人語(yǔ)言模式、走路和輸入方式，用以確認智能手機另一端的你真的是你本人。其他App則著(zhù)眼于眼球血管分布模式，甚或個(gè)人特殊的步態(tài)來(lái)進(jìn)行身份驗證。

　　生物識別的創(chuàng )意其實(shí)不是特別新。警方使用指紋的歷史就超過(guò)了100年，上世紀80年代就建立起了數字生物特征數據庫。但直到2013年iPhone的橫空出世，消費級別的生物識別驗證才不僅僅局限于用指紋解鎖設備。之前，這些傳感器一般都安置在比較尷尬的地方，比如手機背后，或者緊挨著(zhù)筆記本電腦觸控板。

　　手機生物識別同樣激起了投資人的興趣。有報告揭秘，為大多數安卓設備提供指紋識別的瑞典生物識別公司FingerprintCardAB，僅去年一年，其股票就增長(cháng)了1600%，成為2015年歐洲股市表現最好的公司之一。

　　保護公開(kāi)特征

　　雖然很多專(zhuān)家認為生物識別從本質(zhì)上來(lái)說(shuō)是絕對安全的(因為再沒(méi)有人擁有和你一樣的耳朵或眼睛)，但喬治城大學(xué)法學(xué)教授阿爾瓦羅·貝多亞(AlvaroBedoya)對此持反對意見(jiàn)。“口令才是先天私人的東西?？诹畹娜恳饬x就在于，你不會(huì )告訴其他任何人這個(gè)東西。信用卡的內在私人性，存在于一家銀行只會(huì )為你辦理一張信用卡。”

　　生物特征則不同，天生就是公開(kāi)的。“你的耳朵長(cháng)什么樣子，看到你就知道了，而且完全可以從遠處就給你照一張高清照片。而指紋，一起喝一杯，你的指紋就留在玻璃杯上了。”要取得一個(gè)人的生物特征，真的太容易了。黑掉你，或者追蹤你，都是分分鐘的事。

　　執法機構尤其清楚你的身體部分是有多么公開(kāi)。像耳朵掃描這樣的技術(shù)，一方面可以用來(lái)讓購物更便捷;另一方面，警察會(huì )怎么用可就得打個(gè)問(wèn)號了。聯(lián)邦調查局(FBI)正在建設一個(gè)生物特征識別數據庫，希望到2015年時(shí)能錄入5200萬(wàn)個(gè)面部特征圖像，每個(gè)月還新增數千個(gè)進(jìn)去。國土安全部在和美國海關(guān)及邊境保衛局合作，往FBI的國家數據庫里添加紅膜掃描和1.7億個(gè)外國人指紋信息。地區警察部門(mén)也參與進(jìn)了生物識別游戲中?！堵迳即墪r(shí)報》報道，洛杉磯警局2015年投入了數百萬(wàn)美元，用以將生物特征識別裝備擴展到外勤警察手中。而據電子前線(xiàn)基金會(huì )的研究報告稱(chēng)，其他很多警察局已經(jīng)部署了手機指紋識別系統。

　　波杰克也說(shuō)，警方對他的耳朵驗證軟件很感興趣。他解釋道，這個(gè)軟件能讓警官們在接近駕駛員車(chē)窗的時(shí)候，用佩戴在胸前的隨身攝像頭捕捉到里面人耳朵的圖像。事實(shí)上，華盛頓州的警察部門(mén)正在測試這項技術(shù)。

　　制定規則

　　目前，身體數據的使用在很大程度上缺乏監管。

　　去年夏天，美國國家電信和信息管理局舉辦了一個(gè)研討會(huì )，制定面部特征識別技術(shù)運作的自愿行為準則。多個(gè)行業(yè)協(xié)會(huì )也蒞臨現場(chǎng)，代表著(zhù)谷歌、微軟之類(lèi)的公司，以及生物識別技術(shù)倡導者和專(zhuān)家們。但研討會(huì )成效不大。在會(huì )議結束之前，來(lái)自公共利益團體的參會(huì )者就已經(jīng)全部離場(chǎng)了。

　　“沒(méi)有一個(gè)行業(yè)協(xié)會(huì )會(huì )同意你用面部識別確認某人姓名，即使你與那個(gè)人毫無(wú)聯(lián)系，也需要取得他們的同意。”貝多亞說(shuō)，“這些行業(yè)協(xié)會(huì )的立場(chǎng)已經(jīng)遠遠超出了慣例。”

　　在取得同意和監管生物識別的問(wèn)題上，美國政府持回避態(tài)度，看起來(lái)華府所有的機構似乎都有份參與解決。國家標準與技術(shù)研究所已經(jīng)就生物識別驗證的有效性評估了好幾年了，主要集中在人臉識別、指紋、聲紋和虹膜掃描上。聯(lián)邦貿易委員會(huì )則在主導數據安全問(wèn)題。食品及藥物管理局(FDA)負責手術(shù)植入物安全，衛生及公共服務(wù)部處理個(gè)人健康信息。

　　目前為止，美國48個(gè)州的法律允許軟件不經(jīng)你的同意就用你在公共場(chǎng)合被拍下的圖像識別你。得克薩斯和伊利諾伊兩個(gè)州不允許用作商業(yè)用途，但全國的執法部門(mén)都能合法使用。而且，即使取得了同意，通常也是在你不注意的情況下：打印得非常細小的服務(wù)條款協(xié)議中——人們一般都不看這玩意兒。

　　“法律就是這么定的，這些協(xié)議通常都被認為有效，是公司企業(yè)用來(lái)取得收集、使用、共享你的個(gè)人信息的手段。”哈佐格說(shuō)。

　　不過(guò)，公司企業(yè)已經(jīng)自行監管了一段時(shí)間了。貝多亞在其為美國知名的網(wǎng)絡(luò )雜志《Slate》中寫(xiě)道，谷歌執行主席埃里克·施密特(EricSchmidt)甚至曾經(jīng)說(shuō)過(guò)：人臉識別是唯一一項谷歌已經(jīng)做了，但在仔細研究后又決定終止的技術(shù)。微軟的Xbox和蘋(píng)果的iPhoto也對這類(lèi)軟件做了使用限制，只有用戶(hù)同意了才開(kāi)啟功能。微軟稱(chēng)，人臉識別被設定為選擇性開(kāi)啟，是因為公司認為個(gè)性化和控制你的Xbox體驗的功能是十分重要的。

　　然后，每天都有超過(guò)3.5億張照片上傳的Facebook。該公司的研究實(shí)驗室表明，Facebook擁有迄今為止最大的面部數據集——由Facebook深度學(xué)習人臉識別系統DeepFace支撐。但是，Facebook與聯(lián)邦貿易委員會(huì )達成了一項協(xié)議，在做超出用戶(hù)特定隱私設置的事之前，必須先取得“明確的同意”。

　　貝多亞說(shuō)，采用這種系統，我們不難想象，有朝一日，當顧客走進(jìn)一家汽車(chē)賣(mài)場(chǎng)，代理商馬上就知道顧客的身份、住址、收入水平和信用評分——真是多虧了Facebook了。畢竟，已經(jīng)出現了可供實(shí)體店用以識別“有潛在價(jià)值的回頭客”，預警“冒充顧客進(jìn)店行竊的扒手”的人臉識別軟件。

　　恐懼、公開(kāi)、不安全？

　　就像可以購買(mǎi)軟件暴力破解個(gè)人識別碼(PIN)和口令一樣，黑客正在研究玩弄生物識別身份驗證的方法。我們目前沒(méi)有全面應用身體來(lái)確認付款的一個(gè)重要原因，恐怕就在于安全措施尚未到位。

　　當去年美國人事管理局被黑，560萬(wàn)人的指紋被泄露。大學(xué)也每年都被黑個(gè)幾次。醫療記錄、國稅局、銀行、交友網(wǎng)站……你能想到的個(gè)人信息集中地，基本都是黑客的目標。生物特征數據對這些攻擊不免疫。事實(shí)上，上個(gè)月舉行的全球移動(dòng)通信大會(huì )上，手機安全公司Vkansee的研究人員就成功利用一塊小小的橡皮泥，破解了蘋(píng)果的指紋識別系統TouchID——就像十年前日本安全研究員松本勉用小熊軟糖騙過(guò)另一種指紋傳感器一樣。而密歇根州立大學(xué)的研究人員上個(gè)月才剛剛發(fā)表了一篇論文，描述了一種利用噴墨打印機打印出導電油墨指紋，在15分鐘之內騙過(guò)指紋讀取器的方法。

　　除了安全問(wèn)題，這項技術(shù)中還存在著(zhù)單純令人毛骨悚然的東西。舉個(gè)例子：萬(wàn)事達卡(MasterCard)與生物識別公司Nymi合作，試驗用心跳模式作為信用卡支付的身份驗證手段。(還要加上全球移動(dòng)通信大會(huì )上展示的自拍和指紋支付驗證App。)或者EyeVerify，掃描手機自拍照中眼白的血管分布模式進(jìn)身份驗證。其他手機公司還利用紅外攝像頭掃描虹膜的設備。

　　哈佐格說(shuō)：“人們內心上對生物識別技術(shù)的接受度到底有多高還是個(gè)問(wèn)題。指紋讀取器目前看來(lái)接受良好，因為它實(shí)用又簡(jiǎn)單。但當人們覺(jué)得驚悚的時(shí)候，他們就不太熱心采用某些生物識別技術(shù)了。”

　　而且，即使你能越過(guò)心理障礙，隱私問(wèn)題也還橫亙在眼前。你愿意把你獨特的身體識別信息連接進(jìn)消費記錄里去嗎?仔細想想你有多經(jīng)常購買(mǎi)那些想保持私密的東西吧：小黃書(shū)、酒、藥品、套套……

　　哈佐格說(shuō)：“我們喜歡相對低調地消費。某些消費上我們可以接受生物識別技術(shù)付款，但成為美國的標準消費慣例，我覺(jué)得還有很長(cháng)的一段路要走。”如果你知道每個(gè)賣(mài)家的政治思維，那你可能會(huì )有些迷惑。正如華盛頓大學(xué)法學(xué)教授雷恩·卡羅(RyanCalo)在最近的一篇論文中所說(shuō)，一定程度上的隱私，能讓我們彼此做成生意;這是市場(chǎng)互動(dòng)的一部分。

　　“在不確定生物識別技術(shù)會(huì )怎樣運作之前，我們可能還沒(méi)準備好將我們的生物密鑰交付給整個(gè)生物識別技術(shù)王國。”也許，最終，我們會(huì )愿意用隱私換取方便——但還不是現在。