隐私:生物识别技术应用中不可承受之重
2005年12月上旬,委内瑞拉议会大选一时沸沸扬扬,起因居然是在一个指纹投票系统,原本引进该系统的初衷是为了杜绝一人多票的违纪投票,然而,反对派以侵犯隐私为名,认为该系统有可能记录投票者与投票顺序,从而使得各人的投票内容有据可查。经过会议磋商后,争议双方终于达成一致,结论就是在本次大选中,取消使用指纹投票系统。
这算得上是生物识别在最高层面,即国家机器层面所受到的一次正面挫败,相比在日常消费领域,大众对指纹应用的顾虑重重,一旦上升到政治高度,这种顾虑,就仿佛一夜之间变得异常敏感和岌岌可危。
实际上,回顾过去生物识别技术的发展历程,关于隐私外泄的问题,一直是该产业推广史上的一块“心病”。除了以上委内瑞拉指纹投票争议外,来自博网海外频道的另一则关于牙买加的新闻也十分典型:牙买加目前已经建立起约包含350,000枚记录的罪犯指纹库,为进一步加强警力,该国近日决定投资US$3.6 亿手持式指纹设备,以便于警方能够随时随地向路上的嫌疑犯取证指纹,并实现与中央数据库的实时比对。对此,牙买加国际人权理事会的司法长官Nancy Anderson认为,“随时随地向公众取指纹的做法无异于搜身。”司法部常务董事Carolyn Gomes则更加尖锐地讽刺:“下一步估计他们将要求你掀起T恤检查胸部了,假如数据库中有此类特征可对比的话。”
通过以上案例,我们总结出人们对生物识别的隐私担忧主要在两个层次,一则仍然是出于对技术本身的不信任,这在委内瑞拉的指纹投票争议中体现得十分明显;另一则是从意识形态上表现出对个人身体特征取样的心理抗拒,例如在牙买加的案例中,即使是延续生物识别在传统警力上的使用,然而由于受众对像从“罪犯”扩大到了普通公民,使得原本单纯的“隐私”由此牵扯上了“人格”概念,因为人们觉得这是将自己视同罪犯,是一种对人格的污辱和歧视。
“身体数据”属于法律隐私范畴
隐私一词源自西方。在西方法学界,一般都认为“隐私”和“隐私权”概念是由美国人沃伦(Samuel D. Warren)与布兰代斯(Louis D. Brandeis)最早提倡的。他们二人曾共同执笔写了一篇题为《隐私权》(The Right to Privacy)的文章,发表在1890年12月出版的《哈佛法律评论》上。这篇论文首次提出了保护个人隐私、个人隐私权不容侵犯的观点,其中的许多论点对于后来侵犯隐私案件的审判及隐私权研究产生了重大影响。
在《隐私权》中,沃伦和布兰代斯二人把隐私权界定为“生活的权利”(right to life)和“不受干扰的权利”(right to be let alone)。他们认为,隐私权本质上是一种个人对其自身事务是否公开给他人的权力,保护个人的隐私权就是保障个人的“思想、情绪及感受”(thought,emotions,and sensations)不受他人打扰的权利,保护自己人格不受侵犯的权利(inviolate personality)。在界限上,他们指出“公共利益”和“同意”是两项主要的限制:一、隐私权不能阻止有关公众利益事务的公布。二、隐私权本质上是属于私人的。三、如个人加以公布或同意公布,隐私权即不存在。
很显然,从理论上判断,生物特征作为一种私人化的身体数据,应当属于法律隐私范畴。因此,目前国际惯例中关于隐私的界定,均体现出向“个人信息”概念扩展的趋势,并且大都明确地将生物特征,如指纹等纳入了保护之列。如美国的《个人隐私权法》、《隐私权法案》、《隐私权保护法案》均对隐私权有所规定,其中对保护的客体则定义 “有关个人的任何单项性、累积性或集合性的资料,包括但不限于教育、财务、医疗、犯罪或职业经历等,以及其姓名、识别号码、象征或其特定表征如手指指印、声音或照片等资料”。而英国在1998年实施的《数据保护法》中,也明确地指出个人信息包括生物信息均受到法律的保护,任何组织和个人储存、使用个人信息,都必须经过责任部门批准和本人同意。
相比之下,日本在将生物特征纳入隐私保护的演变史上,则更加具有殖民背景和政治色彩。据了解,二战之后,日本以规定留在日本的朝鲜人、台湾人等必须执行按押指纹的义务,由于带有视同“罪犯”、“奴隶”的强烈歧视意味,该做法曾在国际间遭至了长期的反对和抗议行动。具有代表性的转折点是1986年,在一则在日居住的韩国人办理居留手续时拒按手印的案件中,法院判决指出,“指纹属于人人不同的、终生不变的身体特征,是识别个人最为可靠的手段,因此,其信息本应当由个人加以自由管理,而且,由于按手印在犯罪侦查中具有重要的作用,被强制按手印自然会令人产生不快、屈辱感,基于个人尊重理念而享有的私生活上的自由,公民享有不被违背意志强制按手印的自由。”
而在我国,有关隐私保护的法律制定还相对落后,因为没有明确的法律规定,只是零散地在宪法、民法通则以及相关的司法解释中有所体现。值得注意的是,2003年1月1日实施的新版《上海市消费者权益保护条例》中,首次将个人隐私作为一项单独的权利加以保护,指出消费者的个人信息如姓名、性别、职业、学历、联系方式、婚姻状况、收入和财产状况、指纹、血型、病史等将作为隐私权纳入人格权范畴。而2005年初,国务院正式启动《个人信息保护法》的立法程序,则标志着我国在公民隐私保护课题上向前迈出的重要一步。
生物特征:尤其敏感的个人隐私
隐私权不是不可让渡的权利,通常我们付出隐私权时,需要考虑的是这种付出能否得到足够的回报。例如,当我们受聘于某个公司或单位,实际上就出让了上班时间段的隐私权,但这种出让是值得的,我们因此得到了生活的保障。我们把钱存在银行,付出部分隐私权,换取利息和财产安全。
但是,以指纹考勤为例,作为区别身份的标识,这里的指纹与签名的功能相同,并不比名字包含更多的隐私。然而观众注意到没有,在签名簿上 “出让姓名”隐私的签到能够被普遍接受,一旦换成了“出让指纹”,却引来了众说纷纭。又比如,在对银行、社保等公共机构出让个人信息、密码等多种隐私时,人们的印象中已经形成了一种“理所当然”的惯性意识,并未觉得有任何不妥,一旦加上个人生物特征,对于隐私外泄的警戒便立刻提高了许多倍。
为什么同样都是隐私,生物特征却能够令人更加敏感?分析起来,主要有以下几个方面的原因。
人们对生物识别的认知仍停留在 “罪犯”联想上。正如文中开篇提到的牙买加案例,即使是延续在传统警力上的应用,然而由于受众对象扩大到了普通公民,其意义就似乎超越了侵犯隐私权界限,上升到了带有侮辱、丑化人格的意味。从高安防重地走向民间应用,人们显然还在急于从生物识别的身上嗅出“罪犯”的味道来。
当然,根据各国国情、文化的不同,地域间的民众认知也存在很大差异。以生物识别技术应用最广泛的美国为例,早在1995年,密歇根州的Saginaw地区,就将当地的所有教育工作者纳入了指纹背景管理,并且费用还是由个人自掏腰包。据了解,该政策实行的目的在于保护青少年儿童,防止性侵犯一类的罪犯混入校园伤害学生。而当地公众,包括教工也普遍认可该举措的进步性,并对其推广表示了欢迎和支持。而相对在我国传统观念中,教育一直被认定为是最受尊敬的行业,如果这种“将园丁视同罪犯”的高压政策换在我国实行,引来的争议恐怕是不可想象。
生物特征的事前干预,如采集、使用还未得到民众意识与法律规范的统一。仍以公众在银行等公共机构中让渡自己的隐私为例,在这个过程中,公众与银行之间,首先对于这种隐私出让达成了“必需”的共识。其次假使在没有法律约束的情况下,仅从道德观念和心理暗示上,各方也普遍认定了银行具有恪守为客户保密的义务。而环顾现今的法律环境,有关生物特征的隐私保护条款中,唯一可以肯定的是,事后处理的责任认定是明确的,即不可以侵犯,以及侵犯了要追究等。但在该隐私的事前干预环节,如是否可以采集,怎样采集,需要经过哪些手续?以及让渡之后,如何保管和保密等问题上,都未有明确的规范和依据,正是这种依据缺失,与实际应用 “无序状态”之间的距离,造成了公众心理接受上的巨大落差。
指纹考勤是个十分典型的案例,曾有专家指出,是否侵犯隐私要看公司收集员工指纹的具体用途,如仅用于考勤,也没有利用指纹信息进行非法活动或者故意对外散布,也没有强行将他与劳动合同挂钩——即员工不愿执行这一考勤方法会被立即开除,那么在法律上企业就不构成侵权。然而这种说法仍旧是从事后处理角度,显然并不全面,根据目前情况,大部分指纹考勤都是企业单方面规定,员工普遍在是“不得不接受”的情况下让渡隐私,而且几乎也没有企业为此与员工签订相关的《保密协定》,因此应该说,在对员工生物特征采集、使用、保管的具体操作规程上,仍然存在模糊的灰色地带。
理论上的精确使人们对于生物识别技术误差斤斤计较。2005年9月,美国加州犯罪学家Simon Cole 调查了自1920年以来的指纹出错案例得出结论,在美国每年有超过1000例的指纹出错案例。另据博网海外频道资料,2005年,马萨诸塞州(Massachusetts)最高人民法院受理了一桩指纹出错案件,受害人Terry L. Patterson因为指纹比对出错,被认定枪袭警员至死而被关押了超过10年之久。
生物识别技术取自人类,同时其管理对像又直接涉及人类本身,理论上的独一无二,造就了公众对其精确度的完美要求;相比其它计算机技术,大部分均是出于对信息资产的维护和管理,人们总能够理解其发展史上必有的漏洞、缺陷,以及日渐修缮的过程,甚至宽容技术错误导致信息资产丢失、重建的后果。然而生物识别不同,仅就以上抓错人一项后果来看,所造成的影响已经远远超过了信息资产的丢失。
生物特征的先天不可改变性使人对其外泄后果更加担忧。这一点在生物特征作为密码功能时体现得尤其明显。以亚略特Aratek推出的“指纹替代密码”技术为例,人们普遍存在的疑虑便是,一旦我的指纹被盗了,那么是否会导致终级身份被盗的噩梦?
随着信息技术的不断进步,个人的生活轨迹已经越来越多地在数字世界里留下痕迹,如果说传统方式下人生的曲线只能被记录很少的几个点,那么信息技术则完全有可能记录我们人生的全部轨迹,使其形成一条连续光滑的曲线。在这种情况下,我们设想有一天指纹替代密码普及到了人人使用,处处使用的阶段,那么是否一次破解就能导致一个人的人生彻底曝光?事实上,由于技术的局限性,关于指纹被盗用、仿冒的可能仍旧存在,而这种可能一日不消除,人们就一日不能放下这种担忧。
技术本身对隐私外泄的影响
通过以上分析,我们首先要在这里纠正一个误区,那就是人们对于生物识别应用与隐私外泄的冲突焦点,主要在于生物特征的采集、使用等操作手法上,而并不是对于技术本身的否认,尽管如此,不否认并不等于信任,这也正是前面 “对误差后果斤斤计较”和“对万一泄露的担忧”的根本原因所在,所以,从技术本身的角度出发,阐述其对隐私外泄的影响是十分必要的。
根据技术提供商亚略特Aratek的介绍,以指纹为例,从采集环节来看,目前的主流技术是仅采集特征点,并不用攫取整个指纹图像,而且技术上的“不可逆性”也保证了这些特征值不能通过任何方式还原成原先的指纹图像。众所周知,身体特征是能够在一定程度上直接关联个人的生理隐私的,比如通过视网膜可以观察某人是否具有中风的潜在危险、DNA可以检测出遗传疾病等,所以这种对于指纹图像的不保留、不还原的做法,在最大程度上免去了生理隐私外泄的可能。
从识别的过程来看,“活体识别”技术的突破,正在为阻挡模具指纹、复制假指纹的欺骗提供有利的解决方案,活体识别是利用人体真皮组织的电特性,获取真人手指的持续有效的指纹特征值数据的一门新兴技术。我们知道,指纹识别的鉴识依据是指纹,而真正的指纹形成于真皮,真皮的指纹信息比表皮更清晰,更准确,且不随年龄的变化而变化。活体识别技术决定了识别对象必须是活人的手指,即使是相同的纹理结构图或者脱离人体的手指,因为不具备真皮指纹的电特性,所以依然无法通过识别。
此外,根据生物识别的应用,也应当区分“身份鉴定”与“身份验证”之间的不同(identification与authentication),在鉴定过程中,涉及到与数据库的连接和“一对多”的比对过程,而身份验证,则是指与存储在自有介质上(如智能身份证)的生物特征样本(sample)“一对一”的比对。在这个过程中,只是通过相应的软件当场读取和比对,而并不涉及到网络传输和数据存储。显然,相对身份鉴定,身份验证的应用更加具有安全性。
亚略特:消除敏感尚待时日
面对生物识别面临的突出的隐私敏感,亚略特Aratek有关人士指出,这也正是行业不成熟的标志之一,解决此类问题,需要从多方面下手。
首当其冲的仍然是强化技术力量。根据英国机场安全部门的估算,现在每年进出英国希斯罗机场的旅客为6300多万,如果指纹扫描的准确率达到98%,每年将至少有100万个错误;即使准确率达到99.9%,每年也会有6.3万个错误,相当于每周至少有1000个错误。在这种比率下,相信从警察到旅客都会失去信心。所以,尽管有技术总免不了瑕疵之说,但是生物识别的特殊性,却决定了技术厂商必须持续地、吹毛求疵地将误差率控制在人们可接受的范围之内。
其次,政策层面、法律环境应该得到更加大力、快速的建设和完善。就全球范围来看,推行使用生物识别技术的潮流已经形成,而正如之前提出,正是由于法律依据的缺失与实际应用无序导致了人们心理上的落差,那么,尽快地制定清晰的法律和标准、对信息采集的对象、目的、保存时间和使用范围等做出规范,将是未来几年生物识别发展史上亟待解决的重要课题。
目前,已有国家专门为生物特征隐私保护制定了相关法律。博网海外资料显示,2005年12月,韩国已完成生物特征保护手册(Biometric Data Protection Guidelines)的编制工作,该保护手册中,指出了用户有权利知晓其生物特征被采样的理由以及被保存的时间,如用户年龄在18以下或无行为能力,则需提请其监护人同意;生物特征在向其它第三方团体组织共享之前,必须得到用户的首肯;生物特征必须在使用期满或与用户中止合同时从数据库中删除;用户的个人信息,如姓名、住址等必须与其生物特征分开保存等诸多条款,官方称该手册出台的目的是为了更好地保护韩国公民隐私,防止其生物特征被滥用。
第三,多从公共应用、个人消费着手,使人们的关注焦点从“安全”逐渐过渡到“便捷”上,淡化先前的“高危”、“受辱”意识。例如,相比指纹手机、指纹U盘、以及生物识别在身份证、护照以及出入境领域的应用,指纹ATM、支付、考勤等所受到的质疑就要大得多。与此同时,即使是在敏感的“警力”地带,适当地强化宣传公共利益,也是十分必要的。例如英国警方曾在伦敦的诸多公共场所安装了摄像机,用以降低恶性案件发生率。这一措施实施初期曾遭到很多反对意见,但当伦敦市民看到警方公布的案件发生率和破案率的数字后,当初倍受争议的技术最终获得了公众的支持。
最后,多种安全机制的联合使用能够最大限度地减轻人们对隐私外泄的担忧。毕竟生物识别的成熟和推广,并不以完全取代和消灭其它技术为目的,以目前生物识别与智能卡、PKI等技术的结合应用来看,未来很长时期内,多种安全技术并存、互相嵌入的现象将成为新的趋势并继续得到研究和发展。