iPhone 5 首次将指纹辨识搭载在智慧型手机,三星的 Note 7 率先使用虹膜辨识,而 iPhone X 更是带动脸部辨识的风潮。随着行动装置普及,金融科技兴起,资安问题日益严重。
生物辨识深入生活
统以数字和字母结合的密码已不足以因应,但民众对于便利性的重视远远高于对于资安风险的担忧,因而催生生物辨识技术(Biometrics)。人体上的生物特征如指纹、声纹、脸孔、静脉等,有着独一无二、不须更新、随身携带、可测量、不易伪造等优势。经过测量、计算后,可以用来以及辨识身份。
专门分析生物辨识市场的 Acuity Market Intelligence 预估,到 2022 生物辨 识在手机、平板、及穿戴式装置的渗透率将 100%,相关市场营收一年将达到 506 亿美元,7 年复合成长率高达 41%。这还不包括边境安全、金融系统所使用的生物辨识。市场成长的速度之快,难以想像。Google 和苹果甚至推出的多重辨识技术,透过同时验证多项生物特征,甚至是所在地或惯用的 WiFi 来判别用户身份,安全性较使用单一生物辨识高了 10 倍,目前已在美国和金融机构合作测试中。
资安及隐私疑虑随之高涨
生物辨识技术带来便利性的同时,也衍伸出两大问题。其一,保存特征资讯的资料库是否有铜墙铁壁,可确保资料不会外流?其二,如何不过度侵犯民众的隐私权?
印度的“Aadhaar”是全球最大的国民资料库,存放了全印度 10 亿人民 的指纹、虹膜等生物特征资料。在 2018 年年初和 3 月中传出遭骇,资料外流。虽然印度政府立即反驳,但已造成民众的担忧。储存美国政府员工的指纹资料库也曾在 2015 传出遭骇。智慧手机使用的生物特征资料,主要是储存在非联网的资料库或是手机处理器中。如果手机被植入木马程式,难保资料不会外流。显示目前资料库的防火墙并不完善,被盗取或滥用的风险不低。虽然 目前尚未发生大规模的资料外流的事件,一旦发生,后果难以想像。
另外,民众使用生物辨识技术的同时,也交出更多对于自身隐私的掌控。各国政府为了反恐,陆续在机场导入脸孔辨识系统。中国更在几年前,就在各个街口、地铁站、火车站、机场等场所使用脸孔辨识。虽是为了公共安全,但也代表人民的一举一动都在政府的观察中。而人民因为资讯的不对称,甚至不会察觉到自身已受到监控。这活脱脱就是英国作家乔治‧欧威尔 (George Orwell)在著名的反乌托邦小说《1984》中所描绘的那个透明、无隐私的世界。
法规虽落后,但已急起直追
随着生物辨识在生活各层面逐渐普及,资讯安全及人民隐私权的重要性也随之提高,但法规的制定却仍落后科技的演变。资诚联合会计师事务 所(PwC) 2017 年 10 月及 2018 年 3 月发表的“2018 全球资讯安全调查报告”中指出,46%的企业计划在 2018 年增加生物辨识技术的投资,但超过 4 成的企业缺乏完善的资安策略,不到 3 成企业表示公司董事会有参与资安和隐私风险的审查。这显示许多企业并未尽全力保户数据的安全及用户的隐私。不过,随着企业面临更大的资料保护压力,也有近 5 成的金融相关企业也表示在将在 2018 年增加资料加密的投资。
各国政府也积极面对生物辨识所引发的隐私权争议。以印度为例,因国民身分认证系统“Aadhaar”半强迫的收集民众的生物特征资料,使得人民提起诉愿。印度最高法院在 2017 年 8 月 24 日裁定,隐私权属于宪法保障范围,迫使政府必须停用或是修改 Aadhaar 系统,是印度人权保障的一大里程碑。而在欧洲,2018 年 5 月 25 日将上路的新版欧盟资料保护规范 (EU General Data Protection Regulation,GDPR)将指纹、脸孔辨识、视网膜等生物特征,甚至是线上辨识码及定位资料,如 Cookie、IP 位置等都纳入范围。不管企业是否位于欧盟境内,只要网站或是服务有供给欧盟民众使用,或是有收集欧盟公民资料,都需遵守 GDPR 的规定。这堪称是史上最严格的个资法,将影响数以万计的企业。在美国, 1974 年已将密码、指纹、声纹等生物特征纳入宪法及个资法保护。不过,脸孔辨识这类较新的技术却未被纳入,政府在公共场所使用脸部辨识无须经过人民同意,形成隐私权保障上的漏洞。虽然法律仍落后科技,各个国家因国情不同,法规也有所差异。但整体来说,政府都更加重视人民隐私权的保障。
生物辨识技术为大势所趋,要如何在人权隐私、公共安全、实用性等各层面中取得平衡,各国政府都面临极大的挑战。唯有政府及业者建立完善的防火墙及良好的监督机制,民众才能安心的享受科技进步为日常生活带来的便利。