技经观察|生物识别技术发展趋势与生物特征数据安全风险
本文通过梳理生物识别技术的研究进展和重要事件,分析了该技术的未来发展趋势和生物特征数据的安全风险。
近年来,生物特征数据包括指纹、人脸、虹膜、指静脉、掌纹和声纹等信息正在被各种传感器收集,实现了金融交易、物联网指令控制、安防管理等多种应用场景的便捷性和高效性,使得社会运行效率显著提高。据前瞻产业研究院数据显示,2018年全球生物识别市场规模已达160亿美元。我国生物识别产业也进入高速增长期。预计到2023年,中国生物识别行业的市场规模将达到379亿元。本文通过梳理生物识别技术的研究进展和重要事件,分析了该技术的未来发展趋势和生物特征数据的安全风险。
一、生物识别技术的发展趋势
一是生物识别技术正在向多元化方向发展,越来越多新的生物特征数据被挖掘和投入应用。例如,2018年,英国和西班牙科学家开发出一种人工智能系统,可通过检测人类的步态和行走姿势识别不同人的身份。2019年6月,美国国防部开发了一款可通过红外激光远程探测目标人员的心跳特征,最远可识别200米外目标人员身份的设备“杰特森”(Jetson)。2019年10月,美国桑迪亚国家实验正在测试基于人类心跳的可穿戴识别系统,以替代在实验室环境中工作人员因佩戴手套或护目镜等,无法使用的指纹和虹膜识别系统。
二是多生物特征融合技术广泛应用。由于客观条件变化的不可估计性,单生物特征识别技术往往会遇到难以克服的特例。而且在安全性要求极高的应用领域,单生物特征识别的性能很难达到预期的效果。因此,多生物特征识别技术越来越受到人们的关注。2019年6月,美国土安全部下属生物特征身份管理办公室(OBIM)发布招标征询书,为其“自动生物识别系统”(IDENT)和“国土高级识别技术系统”(HART)在内的一系列生物特征识别系统寻找开发商,以推进多种生物特征数据的集中获取和提高大型数据集的分析能力。2019年9月,美国情报高级研究项目局(IARPA)启动了“从高处和远处进行的生物特征识别和辨认(BiometricRecognition and Identification at Altitude and Range,BRIAR)”项目,积极研发能够获取更多种类生物特征数据的工具,从而同时依据多种数据类型来进行目标辨认。
三是深度学习技术与生物识别技术融合发展,机遇与风险并存。首先,以深度学习算法为代表的人工智能技术发展,为生物识别提供了计算和分析支撑,识别准确率大幅提高。其次,海量的高质量生物特征数据也为训练深度神经网络提供了资源,增加了生物特征数据被伪造的风险。近期频频爆出深度学习技术伪造人脸和声音事件,如人工合成某政府官员的演讲视频等。虽然其中大多数是研究项目或娱乐项目,但深度学习技术伪造生物特征数据对财产安全、社会稳定和个人隐私带来的潜在风险不容忽视。因此,深度学习技术也在从伪造生物特征数据到识别伪造数据方向持续进步。2019年7月,美国加州大学河滨分校研究人员开发出一种深度神经网络架构,可用于识别使用深度伪造技术制作的图像和视频。该神经网络架构通过检测图像内元素的不自然特征,识别出修改过的图像。2019年9月,美陆军作战能力发展司令部(CDCC)下属的情报系统部门正在研发基于云的“VICE”视频识别系统和基于服务器的“VIBES”语音识别系统,以辨别“深度伪造”虚假信息,保障国防安全。
二、生物特征数据风险具有特殊性,数据管理需更加谨慎
近年来,越来越多的生物特征数据正在被不同的平台和应用程序以较低的门槛广泛收集。这些数据在被用作身份识别的同时,有些也被用于人工智能的训练。较为宽松的数据管理环境使我国拥有了人工智能发展的更多数据,但生物特征数据是个人独一无二且长期稳定不变的身份标识和隐私数据,其数据安全风险应当引起高度重视和特殊对待。传统的数字密钥可以是单次随机(如手机验证码或银行U盾等),也可以被泄露后重置密钥,但是新型的生物特征密钥没有修改的可能。这导致生物特征数据一旦被泄露,使用者的某个生物特征可能再也无法被使用,被迫放弃更高便利性的生物密钥,重新使用数字密钥。
当前,生物特征数据从信息采集、认证、存储和使用存在一些漏洞和风险,亟待解决和完善。
一是生物特征数据采集的行业准入门槛过低。目前,很多终端或者手机应用程序十分容易地获取个人的指纹、人脸或声音等信息。但是,这些终端设备或手机应用程序背后的企业、个人或其他组织并非都有收集个人生物特征数据的资质。此外,很多企业的生命周期并不长,企业破产后其收集的生物特征数据可能面临泄露或违法交易。相关监管部门应当对从事生物特征数据采集的企业进行审核和授权经营,通过设定较高的安全标准和技术准入门槛,提高我国生物特征数据的安全性。
二是生物识别终端的可靠性有待完善。近期,我国丰巢快递柜被爆出存在系统漏洞,只要用一张打印照片就能代替真人刷脸、骗过系统的人脸识别系统,取出快递柜中的包裹。另外,三星手机的屏幕指纹识别也被爆出安全漏洞。当三星用户在粘贴了屏幕保护膜后再录入指纹,那么非机主指纹也可轻松解锁进入手机系统。
三是生物特征数据的存储安全要求更高。黑客窃取网络数据的案例层出不穷,生物特征数据被采集和存储后,也面临黑客攻击和数据泄露的问题。但是,生物特征数据往往被用作身份识别和认证,与国防安全和财产安全息息相关。因此,生物特征数据与其他数据相比,对存储安全的要求更高。目前,相关企业存储生物特征数据的安全意识和能力可能存在较大差异,使生物特征数据面临泄露风险。
四是生物特征数据使用权限需要明确界定,完善数据销毁机制。企业获取个人生物特征数据时,应明确数据用途。明确进行身份认证的数据,不能被用来进行其他如个人跟踪、深度学习算法训练等。另外,生物特征数据作为个人不可更改的身份信息,完善数据销毁机制,可以保护个人更长久和安全地使用自己的个性化身份数据。