【超級平臺】
陳永偉/文
指紋識別:第一種生物識別技術
一個人會在歷史上留下什么形象,有時候是一件十分偶然的事情。就算讓賈公彥拍破腦袋,他恐怕也不會知道在一千年后,他會被人們認為是指紋識別技術的最早發現者。
對于大多數人來講,賈公彥這個名字都是相當陌生的,但如果我們對儒學,尤其是周禮感興趣,就會知道他完全稱得上是這個領域的一號人物。這位唐朝的儒生憑借其對周禮的研究,曾在唐高宗永徽年間做到過太常博士。這個官職在當時的品級不高,但其承擔的工作對于儒學界來看卻是非常重要而高尚的。他不僅要參與國子監的經學教學,還要參與對儒家經典的注疏工作。賈公彥負責編撰的經典注疏有兩本——《周禮義疏》和《儀禮義疏》,這兩本書現在都是研究周禮的重要參考文獻。
在《周禮·地官》當中,曾介紹過周代的一個官職“司市”,里面說到,這個職位的官員“以量度成賈而征價,以質劑結信而止訟,以賈民禁偽而除詐,以刑罰禁虣而去盜”。什么意思呢?就是說,司市這種官員通過度量確定價格來招徠購買者,通過“質劑”來結成買賣雙方的信任而避免訴訟,任用胥師、賈師等小吏來禁止假冒偽劣,用刑罰來禁止暴亂鏟除盜賊——從這個描述上,我們可以看出,“司市”這個職位十分類似于現在的市場監管人員。在以上這段描述中,提到了一個詞叫“質劑”。漢代的大儒鄭玄曾經對此給出過注釋說:“質劑謂兩書一扎,同而別之也,若今下手書”。從鄭玄的這個描述中,我們很容易看出,其實“質劑”就是一種寫在簡牘上的契約文書,在交易達成時,買賣雙方將其一分為二,作為憑證。不過,鄭玄的這個注釋后面,又提出了一個“下手書”的概念,這個漢代的名詞到唐朝時已經不被人熟悉了,因而賈公彥就要對這個注釋提供進一步的注疏。他在《周禮義疏》中寫道:“漢時下手書即今畫指券”,也就是說,漢朝的“下手書”其實就相當于唐朝的一種被稱為“畫指券”的契約文書——這種文書在博物館里很容易看到,它要求簽約的甲乙方及中間人都要把手指在紙張上平放,畫下食指上三條指節,以此作為證明。
本來,賈公彥的這條注釋是十分平常,甚至不起眼的。但在很多年后,德國學者羅伯特·海因德爾(RobertHeindl)偶然看到了這一段文字,頓時大感興奮。他不僅將文字的內容寫入了其在1927年出版的著作《指紋鑒定》,還盛贊賈公彥是世界上最早發現并闡述指紋性質及其應用的人。于是,賈公彥這位古人就莫名其妙地多了一個身份——指紋識別第一人。不過,如果我們完整地了解以上這段故事,就知道賈公彥至多只能稱得上是對當時指紋應用的一個記錄者,哪怕是記錄了“下手書”的鄭玄,都要比賈公彥再早上好幾百年。而從實踐上看,很多出土文物都表明,我國人民利用指紋來作為契約憑信的歷史至少可以追溯到戰國,甚至有學者認為,歷史更為悠久的一些陶器上的指紋都是用指紋來識別身份的一種證據。
歐洲人對指紋的應用似乎要晚得多。相比于應用,歐洲人似乎更加集中于指紋本身的性質。歷史文獻證明,早在羅馬時期,就有人對兇案現場殘留的指紋進行過觀察,并試圖用它來進行辦案。不過,受制于當時的科技條件,這個探究并沒有產生什么結果。到了17世紀,探尋指紋奧秘的人越來越多。例如,英國形態學家尼赫邁亞·克魯就在1684年的《哲學公報》上非常精確地描述了指紋的各種形狀。到19世紀初,以捷克生理學家揚·埃萬杰利斯塔·普爾基涅為代表的學者已經開始嘗試對指紋進行分類。到了19世中期,人們已經開始猜想,指紋這種生物信息對于人來講是獨特的、一致的,因此可以用這一性質來輔助進行身份識別。其中的一個代表人物是英國人威廉·詹姆士·赫歇爾(WilliamJamesHershel)。他從年幼時就好奇指紋的性質,并不惜用化學試劑灼傷自己的手指來驗證了指紋重生前后形狀一致的事實。后來,他在印度殖民地充當公務員時,搜集了大量的指紋信息,由此發現了不同人的指紋各不相同這個事實,并將這一發現寫成了論文,發表在1880年的《自然》雜志上。幾乎與此同時,旅居日本的英國人亨利·福爾茨(HenryFaulds)也通過對大量人和猴子的觀察發現了同樣的事實,并同樣將成果發表在了《自然》雜志。1892年,弗朗西斯·高爾頓(FrancisGalton)——也就是達爾文的那位著名表弟用統計和數學方法證明了兩個人指紋完全相同的概率僅為640億分之一,換言之,指紋對于兩個不同的人來講,幾乎不可能一樣。
雖然歐洲人對于指紋識別的應用較慢,但在認清了指紋的科學性質之后,他們迅速地把這些發現應用到了實踐。例如,赫歇爾、福爾茨都開始倡導在刑偵過程當中應用指紋作為識別身份的證據,而赫歇爾則更是建議將指紋作為交易的憑信。
與赫歇爾、福爾茨相比,另一些人則要走得更遠——既然指紋可以被用來進行個體的身份識別,那么為什么不更進一步,用它來對更多的人進行管理呢?1908年,法國的眾議員雷維爾(Reville)就聯合在當時赫赫有名,人稱“刑事鑒證第一人”的阿爾封斯·貝斯蒂(AlphonseBertillon)提出了一個議案,建議政府對流浪漢采集指紋以及其他身體特征信息,建立“人體測量身份證”進行管理。經過了四年論戰后,這一議案終于在1912年被通過。一個利用指紋等“生物密鑰”來進行身份識別和管理的時代被全面開啟了。
生物識別技術的發展
在之后的一百年中,指紋識別的技術被不斷改進,其應用也得到了不斷的深化。與此同時,人們還發現人臉、虹膜、聲紋、DNA等都有和指紋類似的獨特、唯一的性質,可以被用來進行人的身份識別和管理。于是,一種全新的,綜合運用計算機與光學、聲學、生物傳感器和生物統計學等高科技手段,通過人體固有的生理特性和行為特征等“生物密鑰”來實現個人身份鑒別的技術就誕生了。這種技術,就是我們現在十分熟悉的生物識別技術。
不過,在很長一段時間內,生物識別技術的應用只被限制在了刑偵、社會管理等很小的范圍內。原因很簡單:無論是對生物信息進行采集還是分析,都需要巨大的成本。
直到世紀之交,這種情況才發生了改變。這種改變首先來自于技術層面。上世紀90年代末,生物識別技術日漸臻于成熟。一方面,隨著硬件技術的發展,用于采集、分析“生物密鑰”的設備成本開始大幅降低。一個標志性的事件是1998年西門子推出第一款帶有指紋識別的手機。雖然這在當時更多只是一個商業噱頭,但在后來,這個設計則成為了生物識別普及的一個關鍵。另一方面,算法技術的演進,也讓生物識別的速度和準確率有了很大的提升。在這兩方面因素的綜合作用之下,生物識別技術被廣泛應用的道路已經被打通。與此同時,一些需求層面的因素也大大推進了生物識別技術的發展和普及。2001年,美國發生了“911”恐怖襲擊。襲擊發生之后,美國政府迅速加強了國土安全警備。為了保證本土安全,美國開始大規模搜集外國人的生物信息,并在國內研發、部署人臉識別、指紋識別等生物識別裝置。這在客觀上對生物識別技術的發展起到了巨大的促進作用。
到了近幾年,在智能手機、移動互聯、人工智能等技術的推進之下,生物識別技術更是迅速普及化。如今,人臉識別、指紋識別早已不再是公安部門的專利了,我們每天都要刷臉開機,刷臉打卡,按指紋考勤……在進行身份認證時要提供生物密鑰,在進行交易付款時要提供生物密鑰,在簽訂合同時還是要提供生物密鑰。
應該說,生物識別技術普及所帶來的好處是十分明顯的。有了刷臉、按指紋等技術,我們就不再需要記憶繁瑣的密碼,進行身份驗證時的效率一下子就提升了很多。不僅如此,由于我們的生物密鑰都有獨特性,因此從理論上講,用它們來進行身份驗證的準確性也要高得多。正是因為有了以上優勢,生物識別技術才迅速得到了社會認可,相關產業才獲得了迅速的成長。具體到我國,由于人工技術龐大、應用場景廣闊、監管相對寬松等原因,生物識別技術的發展尤其迅速。
生物識別技術的風險
由于生物識別技術的應用前景廣闊,所以有越來越多的企業都開始投身于這個行業,而那些老牌的IT和互聯網企業則更是憑借手中的優勢快速在這個領域攻城略地。近年來,像谷歌、微軟、IBM、亞馬遜等企業,都紛紛把自己的觸手伸向了這一領域。但奇怪的是,這個趨勢卻在最近發生了意外的逆轉。今年6月8日,IBM發表了一份聲明,宣布將不再提供通用型的人臉識別和分析軟件,永久退出這一市場。緊接著,亞馬遜、微軟等巨頭也紛紛發布了類似的聲明。
巨頭們對于人臉識別等生物識別技術的聯合抵制,不禁讓人產生了疑惑:怎么昨天還備受追捧的生物識別突然就不“香”了呢?造成巨頭們態度變化的原因當然是多方面的,但其中最為直接的一個來自于政治。在美國因黑人弗洛伊德之死爆發騷亂后,種族歧視就成為了最為敏感的話題,而生物識別技術由于其特點,很容易被人攻擊為是種族歧視的工具。舉例來說,由于黑人膚色較深,機器對其面部特征的搜集難度就較大,這造成了對黑人面部識別的困難。本來,這只是一個技術問題,但在政治運動風起云涌的背景下,這個技術問題卻很有可能稱為一些人的口實。面對這種情況,這些巨頭公司就采取了“多一事不如少一事”的態度,暫時放緩一下自己的步伐。
此外,如果我們細細分析一下巨頭們的表態,就會發現它們的表述其實依然是十分曖昧的。以IBM為例,在聲明中,它只宣布退出“通用”的人臉識別軟件市場,那么對于“專用”的人臉識別技術市場呢?它并沒有表態。這一點是很微妙的。事實上,只要我們對行業有所了解,就會知道通用人臉識別設備的利潤是較低的,而專用人臉識別設備的利潤則較高。從這個角度看,IBM等巨頭其實也只是就坡下驢,借機放棄了利潤較為微薄的市場,而把力量集中到了利潤更為豐富的領域。
如果我們拋開政治因素不談,僅僅看造成巨頭們退出的直接原因——難以對黑人的人臉進行識別,就會發現其實這本身也是生物識別技術所共有的一個缺陷。為什么我們能用生物密鑰來進行身份識別呢?其實原理就是對關鍵點采樣,然后對這些采樣點的特征進行比對。在這樣的背景下,很多因素都可能對識別結果產生干擾。一方面,一些外部環境因素可能對生物識別的準確性產生比較大的影響。另一方面,人們本身的生物特征變化也可能干擾生物識別的準確性。像整容、受傷、年齡變化,乃至佩戴隱形眼鏡等事件都可能會對生物識別的結果產生影響。給定以上情況,如果我們完全依靠某種信息來進行身份識別和管理,其出錯的概率將是非常大的。
當然,生物識別技術的缺陷和相應的風險還不止這些。除了不準確外,安全性問題是困擾生物識別技術的一個重要因素。如前所述,生物信息具有獨特性、一致性、難以復制等特點。這些特點意味著,在正常情況下,身份識別技術可以幫助我們更迅速、更準確地完成人的身份識別,大幅提升識別效率。但這些特點也同時意味著,一旦相關信息落入不法分子之手,他們就可以以更低的成本偽造身份、假冒身份。現在生物識別技術的應用已經越來越廣泛,搜集獲取個人的生物密鑰已經變得越來越容易。我們每個人都可能在不知不覺中就被人采集了生物信息。如果有人從某種渠道獲得了這些信息,那么他們就可以做出一張臉、一只手的模型,來完成身份偽造。當然,在很多情況下,他們要做的可能還不用這么麻煩。由于現在算法的缺陷,一些地方的生物識別做得非常粗糙,人們只要通過一些很簡單的信息就可以騙過機器。例如,不久前就有新聞報道,一些小學生通過照片就騙開了某快遞公司采用人臉識別的快遞柜。很顯然,在這種情況下,人們的財務安全是難以得到保證的。
尤其需要指出的是,和傳統的信息相比,生物信息具有顯著的不可撤銷性,這很可能會加大信息遺失帶來的風險。過去,如果銀行密碼被破解了,客戶只要更換密碼就可以避免損失,但如果銀行采用了人臉、指紋等生物信息來取代傳統密碼,一旦這些信息被盜用,客戶不可能通過更換密碼的方式來回避損失。
除了安全外,隱私問題也是一個需要重要考量的因素。現在,人們為了享受生物識別技術帶來的便利,不得不付出自己的相關信息。在一般情況下,他們一旦交出了這些信息,就沒有能力控制這些信息的流向。這意味著,隨著生物識別技術的日益普及,生物信息采集、交換的日漸頻繁,個人信息和隱私泄露的幾率將會呈幾何級數上升,而對信息泄露的控制難度也會同時變大。
不僅如此,隨著深度學習技術的發展,人們通過一些公開的生物信息技術,也可以訓練、開發出一個以假亂真的模型。例如,這幾年,就不時有人利用Deepfake技術把一些明星的臉部信息嫁接到色情電影上的事件發生。而在這個過程中,不法分子采用的生物信息甚至都可以是完全公開的。顯然,面對這樣的情況,個人的信息和隱私保護將會成為擺在人們面前的一道難題。
除了以上問題外,生物識別引發的系統性歧視也是人們的一個擔憂。在1912年,法國利用“人體測量身份證”對流浪漢進行管理后,某些具有特殊生物信息特征的人就成為了重點關照的對象。根據一些理論,這些人或許會有更大的概率進行犯罪,因而重點管控就成為了一種預防犯罪的措施。一百多年后,我們的技術已經比法國警察有了太多的進步,那時他們只能用指紋學、顱相學來進行識別,而現在我們已經有了大數據,它似乎可以更為科學地幫助我們預測誰更容易稱為罪犯。如果人們都利用相關的技術來對人進行歧視,那么這將會是一件十分可怕的事情。
綜合以上這幾方面因素,或許我們確實應該花一點時間來好好想一想生物識別技術的下一步應該怎么走了。
生物識別技術向何處去
通過以上的分析,我們可以看到,生物識別技術在大幅提升效率,給我們帶來諸多便利的同時,也會給我們帶來很多風險和煩惱。那么,在未來的實踐當中,我們應該如何權衡生物識別技術帶來的利弊,讓其沿著怎樣的道路繼續發展呢?對于這個問題,存在著截然不同的兩種觀點:一種觀點認為,新技術的發展是不可阻擋的,為了效率的提升,適當承受風險、犧牲隱私在所難免;而另一種觀點則認為,應該像如今的IBM等巨頭那樣,盡可能回避生物識別的潛在風險,寧愿犧牲技術發展速度,也要保證人們的安全和隱私。
盡管以上兩種態度都各有道理,但總體來說,它們都略顯極端了。事實上,效率、安全和隱私保護并非不可兼得,只要我們做好各項技術和制度配套工作,就完全可以揚長避短,在發揮生物識別技術優勢的同時盡量控制住風險。為了實現這一目的,如下幾方面的工作可能是值得重視的:
首先,在技術層面上,我們應當對生物識別技術進行進一步完善,讓它們的準確性、效率性不斷獲得提升。具體來說,我們可以考慮改變過去采用指紋、掌紋、人臉等單一生物信息識別信身份的策略,改用綜合利用多種生物信息的策略來進行識別。如果一種信息的識別不準,那么多種信息的識別將會大幅提升提準確性。在信息搜集過程中,應注意將信息分頭存放,這樣就可以保證單一的信息即使失竊,也不能被簡單地用于偽造。在傳輸和使用信息的過程中,可以采用區塊鏈、安全多方計算等技術進行加密保護。通過這樣的處理,我們就可以在有效提升識別準確性的同時,大幅提升信息安全性。即使有不法分子通過其中某些環節的漏洞獲取了部分生物信息,也難以利用它們成功偽造身份。
其次,在法律層面上,應當加快相應法律和規章的出臺,讓生物信息保護有法可依。目前,我國的不少相關法律中都已經提到與生物識別相關的問題,例如在《民法典》的第一千零三十四條中就明確規定自然人的個人信息受法律保護;在《網絡安全法》也強調了網絡運營者對用戶信息保護的要求;而在將于今年10月起實施的修訂后的《信息安全技術個人信息安全規范》中,更是加入了與生物信息進行搜集、傳輸和存儲相關的條文。不過,從總體上看,這些法律法規的規定還過于宏觀,對于像“誰有權搜集生物信息”、“誰有權使用生物信息”、“在什么情況下有必要搜集生物信息”等具體的問題并沒有給出很好的解答。因此,為了讓人們更好地了解在現實場景中如何規范生物信息的搜集和使用,還需要進一步出臺更為詳細的法規和解讀。
再次,生物信息的采集和使用者應當自覺建立起一套使用規范,防止潛在的風險發生。具體來說,使用生物信息的單位應當按照數據的不同識別程度、敏感性、重要性以及公共需求的迫切性等維度,分別規定不同的利用規則、認定標準、保護措施、管理體制和主體責任,明確具有收集使用相關數據權力的機構,及相關工作的啟動條件和流程規范,按需調取,落實管理責任。在信息的搜集和使用過程中,還應該積極運用去標識化、加密等措施對數據進行預處理,以盡可能減少數據泄露的風險。除此之外,還應該隨時做好信息泄露的風險預案,一旦發生問題馬上介入,讓損失降到最小。
最后,我們每一個個人也都應該努力提高警惕,盡可能減少生物信息的泄露。對于那些動機可疑的生物信息采集要求,應當積極拒絕。
如果我們做到了以上幾點,那么就有可能在積極推進生物識別技術發展的同時,解決好由此產生的問題,從而真正用好這把“雙刃劍”。
