多年来,使用面部识别的生物特征认证技术一直是一项重要的安全功能,已应用于数百万部 iPhone 和 Android 智能手机。随着增强现实和机器学习的进步专注于帮助计算机识别人脸,到 2021 年,面部识别技术变得比以往任何时候都更加复杂。
今年面部识别技术在身份识别和授权方面有所改进的原因之一是因为大流行带来的必需品。由于越来越多地使用口罩等面罩,面部识别变得更加困难,因为匹配一个人身份的数据点越来越少。但是,许多面部识别解决方案现在可以解决诸如面罩之类的障碍。这不仅有利于消费者的方便,而且有助于执法人员试图识别犯罪分子。通过将对象的面部与数据库进行匹配,即使对象戴着口罩也能被识别。
由于 3D 相机可以获得比二维相机更多的人脸信息,因此面部识别现在作为生物特征认证技术也更加安全。以前,计算机更容易被某人脸部的照片甚至只是一张相似的脸的照片所迷惑。然而,机器学习有助于缩小错误范围以防止黑客利用基于面部识别的安全性,并且现在存在各种反欺骗方法。
基于人脸识别产生的权利侵害,一部分是财产性的权利损失,一部分则是人格权、隐私权的受损。从规束主体的角度与之对照,财产性部分实际上主要来自于基于商业目的的生物信息利用,人格与隐私权则总与公共管制、社会管理相挂钩,因此两方面的危害基本上可以与商业主体和管理类主体分别对应。因此为规范生物识别信息,特别是人脸识别信息的合理使用,我们应当针对两类主体提出相应的约束思路。
针对商业类主体,我们应从识别信息利用的合法性上提出要求。即明确设置“知情同意权”作为生物识别信息准用门槛,并就“知情”与“同意”的内容分别作出具体规定。要保证数据主体对其生物识别信息的使用目的、范围、方式等等关涉其利益的基本信息有明晰了解。在知情的前提下,对数据信息的利用经由当事人的意思自决而获得了合法性,并且在“同意”的条件下,可以默许作出同意的主体对其风险知情,因此部分地转嫁了行为风险,也为商业主体提供了相对保护。
针对管理类主体,则应强调避免过度收集,防止“监狱国家”、“警察国家”的产生。因此应秉持“非必要不采集”的原则。面容识别作为众多生物信息识别中的一种,其所发挥识别作用可以由其他信息客体替代承担。在身份的识别与检测的应用领域下,管理者应当照顾到当事人自身的意愿,尊重并准许其作出第二选择,不可强制要求面容信息的录入。
此外,针对技术本身的不成熟,还应有兜底性原则的参与。比如非必要不利用原则,可以同时针对公私主体。以及加强识别系统的技术检测,测试其分析效果与各个流程的数据安全性。数据方面,应加强脱敏与不可逆处理,研发与利用区块链技术,保障整个流程在可信环境下进行等等。这些原则可以作为技术成熟前的暂时性补充,把技术应用限制在一个机动范围内,能够起到限制风险的作用,有效保障权利人的利益。
保护隐私:打造坚不可摧的生物信息“保险箱”
墨奇科技认为,下一代的生物识别技术应当在源头上保护隐私。目前,生物信息主流的应用方式是在平台上保留原始的图像信息或是保存模板,即便是模板还是可以恢复出相当多的原始生物特征,并不能有效的保护隐私。如何做到既要使用生物特征又保护隐私?这需要生物识别平台不存原始的生物特征,或原始生物特征的模板,而是使用变换后的生物特征模板。墨奇科技将生物识别与底层的密码学工具做了深度融合和创新,使得变换后的模板满足了不可逆、可撤销、非关联这三个特性。类似一个保险箱,只有真实的用户,才可以打开保险箱拿到密钥,解锁应用。