生物信息安全的研究與實踐

◆湯其妹

生物信息安全的研究與實踐

◆湯其妹

（安徽醫(yī)科大學(xué)網(wǎng)絡(luò)與信息化管理處 安徽 230032）

近些年來，電子商務(wù)、銀行、社會福利保障和安全防護(hù)等各不同領(lǐng)域?qū)€人生物信息相關(guān)高新技術(shù)廣泛使用，讓人們在日常生活中切身體會到高科技帶來的“一切皆有可能”。然而利益與風(fēng)險并存，基于生物信息自身特點及網(wǎng)絡(luò)環(huán)境的復(fù)雜性，其產(chǎn)生的安全問題也不可忽視。本文簡單概括了生物信息識別技術(shù)的背景與應(yīng)用，探討了生物識別技術(shù)信息可能存在的安全隱患。同時以保障個人生物信息安全為出發(fā)點，從五個方面對保障措施提出翔實建議，為生物信息安全體系的健全與完善提供思路和參考。

生物信息；信息安全；識別技術(shù)

近年來，隨著新興科學(xué)技術(shù)的不斷進(jìn)步，結(jié)合人體生物信息進(jìn)行身份認(rèn)證的生物識別技術(shù)逐漸出現(xiàn)在人民的日常生活中，相比傳統(tǒng)的IC卡、身份證等證件信息，生物信息因其快捷方便且行之有效的特點迅速發(fā)展。然而“刷臉”支付、“刷臉”入站、“刷臉”開門等人臉識別應(yīng)用多種多樣，在改變?nèi)藗兩畹耐瑫r，風(fēng)險也形影相隨。全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會等機構(gòu)成立的App專項治理工作組曾發(fā)布《人臉識別應(yīng)用公眾調(diào)研報告（2020）》。報告顯示，超過百分之九十的受訪者都接觸過人臉識別，其中“刷臉支付”最為普遍。其中有百分之六十的受訪者擔(dān)心人臉識別技術(shù)過于濫用，還有三成受訪者由于人臉識別技術(shù)的濫用或不規(guī)范的使用導(dǎo)致隱私泄露、財產(chǎn)損失。

1 生物信息識別技術(shù)的背景

生物識別技術(shù)主要指的是將計算機技術(shù)與光、聲、生物傳感等生物原理相融合，針對人體固有的生命特征進(jìn)行采集、識別和分析，再通過不同生物個體的唯一性和獨特性進(jìn)行身份的識別和鑒定。在人類的生物特征中，主要的兩個層面就是生理和行為，基于這兩個主要特征，現(xiàn)在已經(jīng)開發(fā)出了各類生物識別技術(shù)[1]，在我們的工作生活中，發(fā)展較為成熟的人臉識別、指紋識別、虹膜識別、語音識別技術(shù)應(yīng)用更為廣泛。從實際應(yīng)用的角度來看，指紋識別技術(shù)因為本身的應(yīng)用成本較低，技術(shù)研發(fā)相較于其他生物識別技術(shù)更為基礎(chǔ)的特點，所以是目前最為成熟的一種生物識別技術(shù)；人臉識別快速、便捷，在許多公共場所、安全防范區(qū)域都得到了普遍的應(yīng)用；虹膜識別技術(shù)因其實踐應(yīng)用成本較高，目前僅僅在智能手機以及智能門鎖方面有所應(yīng)用。

2 生物信息識別技術(shù)的應(yīng)用

指紋識別技術(shù)由于其易用性高、應(yīng)用成本低，已經(jīng)發(fā)展為應(yīng)用范圍最寬泛的生物識別技術(shù)之一，在電腦、手機、一體機等電子設(shè)備領(lǐng)域以及公安部門、公司企業(yè)、門禁系統(tǒng)、銀行等各領(lǐng)域都得到普遍應(yīng)用。在安防領(lǐng)域，指紋識別技術(shù)主要應(yīng)用于門禁系統(tǒng)和指紋電子鎖。凡是牽涉到登錄認(rèn)證的，都可以用到指紋完成身份核驗。

人臉識別技術(shù)是最便捷、最直觀的一種生物特征識別技術(shù)。我國人臉識別技術(shù)的發(fā)展進(jìn)程如圖1所示。

圖1 人臉識別技術(shù)在我國發(fā)展的進(jìn)程

對比于其他生物特征識別方式，人臉識別具有明顯優(yōu)勢：快速便捷、非接觸性識別、直觀性高、安全性好、符合人們平時“以貌識人”的認(rèn)知規(guī)律。這些優(yōu)勢促使人臉識別迅速成為全球熱點，并廣泛應(yīng)用于金融、安保、司法、泛娛樂等多個重要行業(yè)及領(lǐng)域，以及通行、考勤、自助服務(wù)等日常事務(wù)處理，具有廣闊的市場應(yīng)用前景。在安防領(lǐng)域，人臉識別主要應(yīng)用于兩方面，一方面是受安全保護(hù)的場所結(jié)合利用人臉識別技術(shù)設(shè)置門禁系統(tǒng)通過人臉核驗機制對進(jìn)入者進(jìn)行身份驗證。另一方面是攝像監(jiān)控系統(tǒng)，目前大量的企業(yè)、住宅、社區(qū)、學(xué)校等安全管理越來越普及，安裝監(jiān)視系統(tǒng)已經(jīng)成為非常普及的一種安保方式。

同時，生物識別技術(shù)在當(dāng)前智慧校園信息化的背景下應(yīng)用于諸多場景[2]，如門禁系統(tǒng)、信息查詢、安保管理等方面，有效保障了校園管理的安全。校園門禁系統(tǒng)通過采集生物信息特征進(jìn)行身份認(rèn)證，確保安全人員的進(jìn)出。部分高校學(xué)生公寓樓依舊采用刷卡方式進(jìn)出公寓，重要實驗場所、辦公室已經(jīng)采用指紋鎖加密碼鎖進(jìn)出，個別場所逐漸采集人臉信息，以實現(xiàn)人臉識別門禁系統(tǒng)管理進(jìn)出安全；信息查詢主要應(yīng)用生物識別技術(shù)保護(hù)信息主體進(jìn)行安全查詢。當(dāng)前，很多高校都支持師生信息自主查詢一體機，學(xué)生在自助服務(wù)機上進(jìn)行身份認(rèn)證，通過人臉核驗以及身份證比對完成認(rèn)證以查詢考試成績等個人信息，這種方式有效保護(hù)了師生的隱私；安保管理通過在校園內(nèi)公共場所安裝監(jiān)控設(shè)備以加強校內(nèi)安全防護(hù)程度。大學(xué)一直提倡開放辦學(xué)，校內(nèi)外人員進(jìn)出的身份是眾多學(xué)生集中擔(dān)心的問題，而結(jié)合動態(tài)人臉識別技術(shù)的安全防護(hù)系統(tǒng)能夠捕捉面部細(xì)節(jié)，隨時示警，同時安防人員通過監(jiān)控顯示屏及相關(guān)設(shè)備進(jìn)行實時觀察[3]。

目前我國人臉識別技術(shù)主要集中領(lǐng)域如圖2所示。

圖2 我國人臉識別技術(shù)主要集中領(lǐng)域

3 生物信息識別技術(shù)的安全隱患分析

3.1 技術(shù)漏洞

鑒于生物信息識別技術(shù)本身存在一定的技術(shù)漏洞，不法分子通過非法途徑盜取到公民生物信息后以實施犯罪，其通過“AI換臉”技術(shù)對照片進(jìn)行事先編輯，提高人臉吻合度，而后借助“照片活化”等程序，將靜態(tài)人臉變成動態(tài)短視頻，從而在人臉識別系統(tǒng)面前蒙混過關(guān)。在相關(guān)科研人員組織的試驗中，只需在手機對面放上人造面具，再適度改變角度、亮度和色溫等外界環(huán)境因素，手機便通過比對成功解鎖。

3.2 相關(guān)法律不夠完善

如今，針對個人信息采集的主體，我國法律依據(jù)尚不夠明確，從這一點來看，個人隱私信息存在極大的泄露風(fēng)險和安全漏洞[4]。

從法規(guī)角度來看，公民信息安全相關(guān)的法律制度也不勝枚舉，但是過于籠統(tǒng)的法律法規(guī)普遍呈現(xiàn)分散趨勢，缺乏針對性、指導(dǎo)性，不法分子在侵害公民信息安全尤其是生物信息安全后的處罰措施過于單一簡單，致使非法盜取公民生物信息安全的犯罪成本低，從來難以實現(xiàn)預(yù)防犯罪的目的，同時也側(cè)面反映了公民生物信息的價值沒有得到足夠的重視。無論是《民法典》、《侵權(quán)責(zé)任法》還是《中華人民共和國網(wǎng)絡(luò)安全法》，都有保護(hù)公民的個體信息的相關(guān)規(guī)章，但生物信息安全法不夠完善，公民的信息安全就難以保障，這使得對生物信息安全的保護(hù)工作也步履維艱，雖然我國現(xiàn)在正加快網(wǎng)絡(luò)個人信息安全立法工作的腳步，但基于法律規(guī)范難以統(tǒng)一，始終無法將公民個人信息單列出來立法、銜接現(xiàn)存法規(guī)來制定一套完整的法律體系。我國生物信息發(fā)展日益更新，立法工作如果不能緊跟其后，生物信息安全保障無法可依、無章可循，久而久之，問題也會愈發(fā)嚴(yán)重。

3.3 數(shù)據(jù)泄露風(fēng)險

現(xiàn)階段，人臉識別應(yīng)用領(lǐng)域形形色色，各個行業(yè)沒有制定統(tǒng)一的采集、存儲等相關(guān)標(biāo)準(zhǔn)，收集到的生物信息大多都存儲在渠道運營方。這其中的存儲環(huán)節(jié)是人臉識別技術(shù)的一個主要風(fēng)險點[5]。從外界我們難以獲悉數(shù)據(jù)的脫敏情況、安全狀況、生物信息的用途、合作方共享狀態(tài)。其次，服務(wù)器的安全系數(shù)是否足夠高也與生物信息是否有保障息息相關(guān)，如若服務(wù)器被入侵，大量高敏感度人臉數(shù)據(jù)泄露恐將造成一發(fā)不可收的危局。

就人臉識別技術(shù)話題，南都民調(diào)中心曾聯(lián)合“熱點站站隊”平臺發(fā)起網(wǎng)絡(luò)調(diào)查并在一周之內(nèi)共收到3052位網(wǎng)友的投票，調(diào)查中受訪者表示人臉識別技術(shù)也存在相應(yīng)令人擔(dān)憂的情況，其中最為擔(dān)心的3種情況是“人臉信息會在不知情的情況下被濫用”、“犯罪分子利用該技術(shù)制造違反法律和道德的軟件”和“人臉信息被非法販賣”，分別占93.7%、86.1%和83.5%，如圖3所示[6]。

圖3 受訪網(wǎng)友反饋統(tǒng)計圖

4 生物信息安全的保障措施

生物信息安全的保障措施可從技術(shù)、法規(guī)、數(shù)據(jù)應(yīng)用、安全風(fēng)險評估[7]四個層面來分析。

4.1 技術(shù)層面

簡單的人臉識別只需定位并收集到人臉上五官的關(guān)鍵特征點即可進(jìn)行識別，而精準(zhǔn)度要求更高的人臉識別所需提取的生物特征點也相應(yīng)更多。

與簡單的解鎖手機不同，將人臉識別技術(shù)應(yīng)用于小區(qū)門禁系統(tǒng)或是支付功能采集的人臉特征點更多，安全性也隨之提高。目前已經(jīng)成功研發(fā)出的活體檢測技術(shù)能夠在進(jìn)行人臉識別前先判斷對象是否為真實人臉，在確認(rèn)目標(biāo)真實后再進(jìn)行識別，基于這種技術(shù)掃描對象活體特征的有效性，其識別正確率通?？梢赃_(dá)到90%乃至更高，相對來說更為成熟?；铙w檢測技術(shù)安全系數(shù)更高，普通視頻、照片等2D手段難以通過系統(tǒng)識別，在一定程度上降低了把虛假的人臉當(dāng)作人臉的風(fēng)險。在保密級別更為高的機構(gòu)，諸如銀行、國防科技單位等信息保密度要求十分高的行業(yè)，人臉識別技術(shù)也結(jié)合了用戶搖頭、眨眼等臉部細(xì)節(jié)的動態(tài)動作以提高安全性，并且加入二級密碼保護(hù)。

4.2 法規(guī)層面

制定并完善人臉識別等生物信息技術(shù)應(yīng)用相關(guān)法律法規(guī)。規(guī)定公民信息持有方需承擔(dān)的責(zé)任與義務(wù)，嚴(yán)格限制基于商業(yè)目的使用，明確濫用或非法使用的處罰措施，確保人臉識別技術(shù)的正當(dāng)應(yīng)用、合適應(yīng)用，在保護(hù)個人信息的基礎(chǔ)上增強保護(hù)力度。倡議踐行更嚴(yán)謹(jǐn)?shù)牟杉闆r說明義務(wù)，不僅要在公民全面知情的情況下收集，還要對信息去向、使用場景、保密措施進(jìn)行詳細(xì)說明，如目的、時間和處理方式的選項。

4.3 數(shù)據(jù)應(yīng)用層面

2020年10月1日，新版《信息安全技術(shù)個人信息安全規(guī)范》實施?！兑?guī)范》要求在收集個人生物識別信息前，應(yīng)單獨向個人信息主體告知收集、使用個人生物識別信息的目的、方式和范圍，以及存儲時間等規(guī)則，并征得個人信息主體的明示同意[8]。另一方面，建立更嚴(yán)格的標(biāo)準(zhǔn)和規(guī)范以保障人臉數(shù)據(jù)存儲安全也是重要的一環(huán)，只有技術(shù)開發(fā)方、APP運營方在更趨嚴(yán)格的監(jiān)管、法律以及行業(yè)規(guī)范下采集、使用、存儲數(shù)據(jù)，才能讓信息主體更為放心，信息安全更有保障。

目前，人臉識別技術(shù)包含計數(shù)、識別、認(rèn)證、監(jiān)控、偽造和窺探等多種應(yīng)用方式。在專項應(yīng)用過程中，不同的應(yīng)用場景應(yīng)當(dāng)建立不同的監(jiān)管機制，確保人臉信息不濫用，針對具體不同的適用條件制定相應(yīng)合法性依據(jù)。同時，建議設(shè)置不同的監(jiān)管要求以針對行政部門、商業(yè)、社區(qū)等，而人臉識別在公共場合的大規(guī)模應(yīng)用則應(yīng)出臺更為嚴(yán)謹(jǐn)?shù)南拗茥l約。其次統(tǒng)一技術(shù)標(biāo)準(zhǔn)，防止因為技術(shù)精度不夠而導(dǎo)致系統(tǒng)性能問題，從而出現(xiàn)用戶身份信息冒用、權(quán)限盜用等安全問題。在明確對人臉信息收集、存儲、處理等使用規(guī)范的基礎(chǔ)上，規(guī)范倫理責(zé)任、增強透明度、建立隱私保障也是必不可少的一步。

4.4 進(jìn)行安全風(fēng)險評估

人臉識別技術(shù)應(yīng)用安全影響評估的開展是保障生物信息安全的后備力量。國家信息保護(hù)部門是開展人臉識別技術(shù)應(yīng)用審查的重點單位，確保人臉識別技術(shù)規(guī)范使用，政府相關(guān)部門機構(gòu)在確定無其他技術(shù)替代的情況下，可向?qū)彶闄C構(gòu)申請使用該技術(shù)，同時，審查機構(gòu)在進(jìn)行嚴(yán)格的篩查后，對其系統(tǒng)安全性、合規(guī)性、合法性、合理性作出正當(dāng)評估后方可使用。在人臉識別技術(shù)受眾面越來越廣的今天，對其功能應(yīng)用進(jìn)行安全風(fēng)險評估愈發(fā)必要，全面評估人臉識別技術(shù)的多功能發(fā)展和應(yīng)用領(lǐng)域、發(fā)展?fàn)顩r以有效保護(hù)公民個人權(quán)益。

5 結(jié)束語

在多年研究中，以半導(dǎo)體與人工智能領(lǐng)域為代表飛速發(fā)展的生物識別技術(shù)，相比過去，其識別速度和準(zhǔn)確性已經(jīng)有極大提高[9]。與此同時，其應(yīng)用覆蓋面積也從特定行業(yè)個別場景擴展到如今各種消費級產(chǎn)品中。我們有理由相信，隨著生物識別技術(shù)的不斷發(fā)展和完善，建設(shè)成本會逐漸降低，應(yīng)用范圍卻將不斷擴大[10]。而要想減少生物識別的錯誤率，最大化其優(yōu)勢同時做到最小化其風(fēng)險，應(yīng)當(dāng)從技術(shù)研究與突破、新技術(shù)架構(gòu)提出與構(gòu)建、商業(yè)模式改革、監(jiān)督管理和法律法規(guī)落實完善等層面入手。只要把握好發(fā)展方向，踏踏實實走好規(guī)劃的每一步，生物特征識別技術(shù)的市場前景將更加寬廣明朗。在生物特征識別技術(shù)發(fā)展自身同時，也會盡力填滿各行業(yè)對此的實際需求，主動為社會經(jīng)濟(jì)發(fā)展作出貢獻(xiàn)，為誠信社會建設(shè)添磚加瓦。

[1]霰佳銘.生物識別技術(shù)在計算機信息安全中的應(yīng)用[J].信息與電腦（理論版），2020，32（03）：96-98.

[2]閻偉東，王昌盛，王民全.生物識別技術(shù)在智慧校園環(huán)境中的應(yīng)用分析[J].中國教育技術(shù)裝備，2019（04）：58-60.

[3]李子青.人臉識別——安防生物識別應(yīng)用與市場發(fā)展分析[J].中國安防，2013（05）：63-66.

[4]田靜.淺談我國生物信息安全保護(hù)的法律規(guī)制[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2021（03）：141-142.

[5]樊蕓.規(guī)范第三方支付 保護(hù)消費者權(quán)益[J].上海人大月刊，2021（04）：38-39.

[6]南都民調(diào)中心. 調(diào)查：近九成受訪者用過人臉識別，僅2.5%人群不擔(dān)心擔(dān)憂人臉識別隱患[EB/OL]，2019-10-24[2021-8-21].http://www.iotworld.com.cn/html/News/201910/d572a0.

[7]魏書音，劉玉琢.國外人臉識別技術(shù)應(yīng)用管理及啟示[J].網(wǎng)絡(luò)空間安全，2020，11（11）：76-78.

[8]萬靜.新版?zhèn)€人信息安全規(guī)范發(fā)布 收集個人生物識別信息須用戶明示同意[J].公民與法（綜合版），2020（03）：17-18.

[9]孫哲南，赫然，王亮，等.生物特征識別學(xué)科發(fā)展報告[J].中國圖像圖形學(xué)報，2021，26（06）：1254-1329.

[10]賀仁龍. 為什么一再強調(diào)生物識別技術(shù)應(yīng)用安全[N]. 學(xué)習(xí)時報，2020-12-04（003）.

安徽醫(yī)科大學(xué)校科研基金（3401017201）