生物識別技術的邊界在哪里

張田勘

進入信息時代，生物識別技術與人工智能（AI）技術的結合產生了多種生物（個體）識別技術。如今，進入一些居民小區都要進行人臉識別，這自然引發了爭議，生物識別技術的應用邊界究竟在哪里？個人生物信息和其他隱私是否會暴露無遺？

生物識別包括指紋、掌紋、聲紋、虹膜、人臉、步態、靜脈、DNA識別等技術。應用這些技術首先要考慮的是安全，其次才是效率和簡便，這在商業應用上尤為重要。

2021年11月24日，聯合國通過了首份有關人工智能倫理的全球框架協議——《人工智能倫理問題建議書》（簡稱《建議書》）。《建議書》提出，既要增進人工智能給社會帶來的積極效果，但同時也要預防人工智能的潛在風險。因此，《建議書》明確禁止使用人工智能系統進行社會評分和大規模監控，尤其是人臉識別技術，因為此類技術極具侵入性，且被廣泛使用。

基于安全的原因，應用較廣泛的人臉識別技術受到了懷疑和抵制。2021年8月 1日，最高人民法院開始實施《關于審理使用人臉識別技術處理個人信息相關民事案件適用法律若干問題的規定》，禁止物業強制“刷臉”（使用人臉識別技術）等，表明人臉識別的應用場景遭遇阻擊。比較而言，指紋和掌紋識別技術在安全性上更勝一籌。它們既具有效率，也不容易造成安全問題，即便數據泄露，也不會流失肉眼可識別的臉部信息。掌紋的容錯率更高，例如，一個掌紋出錯，可以用另一個掌紋解碼，但人臉只有一張，出錯就無法糾正。

指紋是最早應用于生物識別的技術，在19世紀末就成為刑事鑒識的重要技術。在20世紀60年代，新型的電子計算機技術進入指紋鑒定領域，使得指紋鑒定進一步推廣并擴大了用途。但是，由于某些人或某些群體的指紋特征少，難以成像，以及過去在犯罪記錄中廣泛使用指紋，令一些人擔心將指紋記錄在案可能影響個人聲譽，因而指紋識別并沒有廣泛應用于多種場所，如門禁、現金支付等。

在此情況下，與指紋相似的掌紋識別技術開始亮相，并有可能成為取代人臉識別的重要生物識別技術。2018年7月，亞馬遜公司將Rekognition人臉識別系統用于北加州美國公民自由聯盟試驗，該聯盟用國會議員照片做面部識別測試時，Rekognition將其中28名國會議員識別成曾經被捕的罪犯。2020年7月，亞馬遜公司又被伊利諾伊州居民指控違反了禁止未經許可使用個人生物識別數據的州法律。在國外科技巨頭運用人臉識別敗走麥城時，掌紋識別獲得了青睞。

此后，亞馬遜、IBM等科技公司都放棄人臉識別，轉而研發掌紋、聲紋、虹膜等生物識別技術。亞馬遜公司于2020年推出了Amazon One掌紋掃描儀，顧客可以在該設備的掃描儀上揮動掌紋來支付某些商店的費用。2021年2月，該公司將其掌紋掃描儀擴展到西雅圖的亞馬遜雜貨店、書店和四星級商店。兩個月后，亞馬遜公司已將其生物識別掃描技術擴展到美國多個州的實體商店。

現在，國內的科技公司也加入了研發和推廣使用掌紋識別技術的隊伍。最近，國內某科技公司申請的“掌紋支付設備”專利獲得批準，該設備具有兩個攝像頭組件，能通過掃描人的掌紋完成支付。設備有一定傾斜角度，可以放置在桌面上，消費者支付時能以一種相對舒服的姿勢完成掌紋識別。當然，人們也擔心亞馬遜、IBM等科技公司采集的掌紋會暴露個人隱私。但是，亞馬遜公司表示，會使用匿名化掌紋數據“子集”優化這項技術。

不過，掌紋識別也有一些缺點，如不能像指紋、虹膜掃描技術一樣獲得內容豐富的數據，可靠性稍差，但這些情況是可以改善的。現在，經過AI學習的掌紋識別系統錯誤拒絕率僅為0.01%，在實踐中可以進一步完善，完全可以應用于支付、考勤、交通、場地進入等領域。

就像人類個體基因的多樣性一樣，人的生物信息還具備公共資源屬性。人類基因的多樣性可以用于科研活動，人的指紋、掌紋、聲紋、虹膜、人臉等多種生物識別特征也可以用于認識生命現象，探究疾病根源，為全社會服務。界定人的生物信息的公共數據或大數據屬性，才能在倫理和法治軌道內讓全社會共享、利用這些信息，如進行刑事鑒識，用于公共衛生服務。今天，數據已經與土地、勞動力、資本、技術并列為五大生產要素。一方面應依法獲取公共數據并合理利用，將其轉化為生產力；另一方面也要保護個體隱私。

目前，收集數據容易，但保護數據安全和隱私相當困難。為此，國內一些省市已經公布了“公共數據管理辦法”，明確指出，公共數據是指各級行政機關以及具有公共管理和服務職能的事業單位在依法履行職責和提供公共服務過程中產生或者獲取的任何以電子或者其他方式對信息的記錄，其中就包括個體生物信息，包括指紋、掌紋、聲紋、虹膜、人臉。公共數據管理辦法規定，自然人向公共管理和服務機構申請辦理各類事項需要核驗身份信息時，相關機構不得強制要求個人采用多種方式重復驗證或者特定方式驗證；已經通過有效身份證明文件驗證身份的，不得強制通過收集指紋、虹膜、人臉等生物信息重復驗證，法律、法規另有規定或者自然人同意的除外。這些規定與2021年11月1日實施的《個人信息保護法》的內容是吻合的，即任何組織、個人不得非法收集、使用、加工、傳輸消費者個人信息，不得非法買賣、提供或者公開消費者個人信息。

在聯合國的《人工智能倫理問題建議書》框架下，一些國家更趨向于保護個人隱私。美國一家名為Clearview AI的公司通過臉書等社交平臺收集了大量英國公民的人臉照片，而且這些照片是在人們不知情的情況下獲取的。最近，英國信息專員辦公室（ICO）對該公司提出警告，并提醒該公司可能因“涉嫌嚴重違反”英國的數據保護法，面臨高達1700萬英鎊（約合人民幣1.44億元）的罰款。前不久，美國得克薩斯州指控Meta公司（原臉書公司）在未經同意的情況下數十億次捕獲用戶面部識別數據。州總檢察長肯·帕克斯頓表示，該州估計有2000萬臉書用戶，可能會對Meta公司提出數十億美元的賠償。面對這些壓力，Meta公司已經于2021年12月底宣布，關閉人臉識別軟件并刪除此前采集的個人面部識別數據。

當個人的生物信息或其他信息進入公共數據的范疇時，除了監管部門要依法行事，個人也應當積極依靠法律、法規維權，這樣才能既有效保護個人隱私，也讓公共數據發揮其生產力的作用。