生物識別是通過計算機與生物傳感器和生物測量學原理等高科技手段密切結合,利用人體固有的生物特徵來進行用戶個人身份鑑定的重要手段。使用到的生物信息包括指紋信息、虹膜信息、面部信息、聲紋信息、掌紋信息等。生物特徵識別技術作為一種身份認證方法,已經廣泛應用於金融、教育、司法等領域,各類應用服務(包括金融應用、第三方支付應用、社交類應用等)。生物特徵識別技術帶來種種便利的同時也帶來一定的負面影響。生物特徵作為人的生理屬性終生不變,無法更換或撤銷,一旦洩露,攻擊者可以對生物特徵進行偽造,以仿冒身份,或者利用生物特徵進行非法追蹤,後果不堪設想。因此,將生物特徵識別技術用於身份認證,必須構建和完善我國生物識別信息保護制度。
生物識別商業化發展不斷加快
隨著人工智慧的強勢崛起,各種生物識別技術快速「走紅」,從人臉識別、指紋識別到虹膜識別、步態識別,生物識別技術種類的愈發豐富,以及便捷、安全、高效等應用優勢的愈加凸顯,其產業發展正在不斷擴大與深化。
生物識別產業發展非常迅猛。我國生物識別技術已經處於全球先進水平,從事該行業的企業有千餘家,市場規模達千億規模以上。據CB Insights的Industry Analyst Consensus預計,到2050年,生物識別技術行業的估值將達到590億美元。
生物識別技術向多元化發展。我國生物識別技術已經在支付、門禁、手機解鎖等眾多領域獲得了廣泛應用,其一方面便捷了人們的日常生活,另一方面也替代傳統的密保方式,保障了人們的生活安全。以時下最火熱的刷臉為例,手機解鎖、銀行支付、上班打卡還是交通出行、安防門禁、治安維持,如今人臉識別已經徹底融入了我們生活的方方面面,並展現出顯著的「刷臉」價值。我國作為世界上最大的智慧型手機生產國,據中國信通院數據,2019年全年智慧型手機出貨量3.72億部,而指紋識別在智慧型手機中的滲透率已達到75%以上。虹膜、指紋掃描已成汽車標配,越來越多地應用於汽車技術開發中,以保證駕駛安全及人身安全。根據CB Insights的Industry Analyst Consensus研究,到2024年,全球汽車生物識別技術的市場預計將達到3.03億美元,年複合增長率接近17%。由於不同的生物識別技術在精度、安全性、穩定性、識別速度、便捷性、成本、功耗等眾多方面有著明顯的差異,因此在不同的應用領域中,也會有著各自不同的特點和優劣勢。我們認為,未來多生物識別技術融合將是一大趨勢。
國內產業鏈趨於完善。我國在計算機視覺領域、指紋識別晶片領域、虹膜識別領域、聲紋識別領域已經有大量企業嶄露頭角。未來,隨著信息安全越來越深受重視,簡單、便捷的生活理念越來越多的為人所關注,生物識別技術的前景將一片大好。在這樣的背景下,生物識別的商業化應用有望進一步加速和擴大,其發展前景讓人看好。
生物識別信息暗藏數據安全風險
由於生物識別信息自身的特性,其在開發利用中暴露出諸多數據安全風險。
第一,生物識別信息敏感性強。一般可單獨識別特定個人身份,與其他類型的個人信息相比,對其收集、使用、存儲等的安全要求更高。例如,印度政府構建的全球最大的居民生物身份資料庫Aadhaar,就屢屢傳出洩露醜聞,深受質疑。
第二,生物特徵數據採集的行業準入門檻過低。生物識別信息具有唯一性、不可變更性,但很多終端或者手機應用程式十分容易地獲取個人的指紋、人臉或聲音等信息。這些終端設備或手機應用程式背後的企業、個人或其他組織並非都有收集個人生物特徵數據的資質。此外,很多企業的生命周期並不長,企業破產後其收集的生物特徵數據可能面臨洩露或違法交易。
第三,一些生物識別信息具有公開性(如人臉、聲紋等),容易被他人獲取,並通過技術合成偽造個人身份。近期,快遞櫃被曝出存在系統漏洞,只要用一張列印照片就能代替真人刷臉、騙過系統的人臉識別系統,取出快遞櫃中的包裹。另外,三星手機的屏幕指紋識別也被曝出安全漏洞。當三星用戶在粘貼了屏幕保護膜後再錄入指紋,那麼非機主指紋也可輕鬆解鎖進入手機系統。
根據卡巴斯基安全網絡的數據,2019年第三季度卡巴斯基在37%的生物識別系統計算機上阻止了惡意軟體攻擊。換句話說,用於收集、處理和存儲生物識別數據的計算機中有1/3存在被惡意軟體感染的風險。由於個人生物識別信息的高度敏感性,對其的不當收集、使用或信息洩露,不僅會對個人信息及人身財產權利帶來損害,大量的個人生物識別信息洩露還會對國家整體數據安全產生影響。
生物識別數據保護相關建議
我國目前的立法尚未對生物識別信息的保護和利用進行強化規定,一方面不利於引導產業健康有序發展,另一方面還會增大生物識別信息濫用和洩露風險,威脅個人信息安全。因此,我國需要進一步完善生物識別信息保護制度。
一是提高生物識別驗證準確性。通過融合多種技術,結合多種識別認證模式,對個體的多個生物特徵進行多重認證,最大限度地保證生物識別結果的唯一性,提高生物識別技術的準確性。加快推進生物識別技術與大數據、雲計算、物聯網、移動網際網路等技術之間互相融合優化,不斷提升生物識別技術算法的穩定性和準確性。融合多種生物特徵,採取組合驗證的模式,多重驗證用戶身份,提高識別率,降低用戶單一生物特徵被盜用時可能產生的支付風險,提高系統的安全性。如將人臉識別與虹膜識別融合,在不改變用戶操作複雜度的同時,對用戶的身份信息進行雙重驗證,進一步保證行動支付的安全性。
二是對不同身份驗證方式分級管理。對於不同的生物識別方式,及其同其他驗證方式的組合驗證模式,建議進行分級管理。對於不同級別的驗證方式類型或者驗證方式組合,分別規定其適用場景和限額等要素。儘可能明確各種生物識別類型以及支付方案的差異性,避免市場上支付產品避重就輕,造成安全性、風險係數等方面的良莠不齊,擾亂發卡行、持卡人、商戶等相關方的分辨力。
三是通過立法手段規範市場行為。明確生物特徵信息的採集、保存、使用、傳播權限,制定相關規範,並強制執行。嚴格要求應用服務提供方根據《網絡安全法》以及《信息安全技術個人信息安全規範》來執行。並建議制定專門針對於金融支付個人信息安全規範,以行業標準或部門規章的形式發布,配合行政命令強制要求行業內部嚴格執行。在條件成熟的情況下,推動「個人信息保護法」「數據安全法」的立法工作,以法律的形式確立生物特徵信息的受保護地位。此外,對於境外公司從事境內公民的生物特徵採集和應用領域業務的,需要在立法環節進行更加嚴格的管理,以免對國家安全造成危害。
生物識別技術經過多年的發展,特別是隨著半導體與人工智慧領域的飛速發展,已經大大提高了識別速度和準確性,從特定行業的少數場景應用,發展到在各類消費級產品之中廣為應用。未來需通過技術的突破、新技術架構的出現、商業模式的創新,以及監督管理、技術研究、法律法規等方面不斷改進完善,降低生物識別的錯誤率,在其優勢最大化的同時保證風險最小化。生物特徵識別將擁有更廣闊的市場前景,滿足各行業的業務需求,服務社會經濟發展,進一步推動誠信社會建設。