隱私：生物識別技術應用中不可承受之重

   2005年12月上旬，委內(nèi)瑞拉議會大選一時沸沸揚揚，起因居然是在一個指紋投票系統(tǒng)，原本引進該系統(tǒng)的初衷是為了杜絕一人多票的違紀投票，然而，反對派以侵犯隱私為名，認為該系統(tǒng)有可能記錄投票者與投票順序，從而使得各人的投票內(nèi)容有據(jù)可查。經(jīng)過會議磋商后，爭議雙方終于達成一致，結論就是在本次大選中，取消使用指紋投票系統(tǒng)。
 
　　這算得上是生物識別在最高層面，即國家機器層面所受到的一次正面挫敗，相比在日常消費領域，大眾對指紋應用的顧慮重重，一旦上升到政治高度，這種顧慮，就仿佛一夜之間變得異常敏感和岌岌可危。
 
　　實際上，回顧過去生物識別技術的發(fā)展歷程，關于隱私外泄的問題，一直是該產(chǎn)業(yè)推廣史上的一塊“心病”。除了以上委內(nèi)瑞拉指紋投票爭議外，來自博網(wǎng)海外頻道的另一則關于牙買加的新聞也十分典型：牙買加目前已經(jīng)建立起約包含350，000枚記錄的罪犯指紋庫，為進一步加強警力，該國近日決定投資US$3.6 億手持式指紋設備，以便于警方能夠隨時隨地向路上的嫌疑犯取證指紋，并實現(xiàn)與中央數(shù)據(jù)庫的實時比對。對此，牙買加國際人權理事會的司法長官Nancy Anderson認為，“隨時隨地向公眾取指紋的做法無異于搜身。”司法部常務董事Carolyn Gomes則更加尖銳地諷刺：“下一步估計他們將要求你掀起T恤檢查胸部了，假如數(shù)據(jù)庫中有此類特征可對比的話?！?
 
　　通過以上案例，我們總結出人們對生物識別的隱私擔憂主要在兩個層次，一則仍然是出于對技術本身的不信任，這在委內(nèi)瑞拉的指紋投票爭議中體現(xiàn)得十分明顯；另一則是從意識形態(tài)上表現(xiàn)出對個人身體特征取樣的心理抗拒，例如在牙買加的案例中，即使是延續(xù)生物識別在傳統(tǒng)警力上的使用，然而由于受眾對像從“罪犯”擴大到了普通公民，使得原本單純的“隱私”由此牽扯上了“人格”概念，因為人們覺得這是將自己視同罪犯，是一種對人格的污辱和歧視。
 
 “身體數(shù)據(jù)”屬于法律隱私范疇
 
　　隱私一詞源自西方。在西方法學界，一般都認為“隱私”和“隱私權”概念是由美國人沃倫(Samuel D. Warren)與布蘭代斯(Louis D. Brandeis)最早提倡的。他們二人曾共同執(zhí)筆寫了一篇題為《隱私權》(The Right to Privacy)的文章，發(fā)表在1890年12月出版的《哈佛法律評論》上。這篇論文首次提出了保護個人隱私、個人隱私權不容侵犯的觀點，其中的許多論點對于后來侵犯隱私案件的審判及隱私權研究產(chǎn)生了重大影響。
 
　　在《隱私權》中，沃倫和布蘭代斯二人把隱私權界定為“生活的權利”(right to life)和“不受干擾的權利”(right to be let alone)。他們認為，隱私權本質上是一種個人對其自身事務是否公開給他人的權力，保護個人的隱私權就是保障個人的“思想、情緒及感受”(thought，emotions，and sensations)不受他人打擾的權利，保護自己人格不受侵犯的權利(inviolate personality)。在界限上，他們指出“公共利益”和“同意”是兩項主要的限制：一、隱私權不能阻止有關公眾利益事務的公布。二、隱私權本質上是屬于私人的。三、如個人加以公布或同意公布，隱私權即不存在。
 
　　很顯然，從理論上判斷，生物特征作為一種私人化的身體數(shù)據(jù)，應當屬于法律隱私范疇。因此，目前國際慣例中關于隱私的界定，均體現(xiàn)出向“個人信息”概念擴展的趨勢，并且大都明確地將生物特征，如指紋等納入了保護之列。如美國的《個人隱私權法》、《隱私權法案》、《隱私權保護法案》均對隱私權有所規(guī)定，其中對保護的客體則定義 “有關個人的任何單項性、累積性或集合性的資料，包括但不限于教育、財務、醫(yī)療、犯罪或職業(yè)經(jīng)歷等，以及其姓名、識別號碼、象征或其特定表征如手指指印、聲音或照片等資料”。而英國在1998年實施的《數(shù)據(jù)保護法》中，也明確地指出個人信息包括生物信息均受到法律的保護，任何組織和個人儲存、使用個人信息，都必須經(jīng)過責任部門批準和本人同意。
 
　　相比之下，日本在將生物特征納入隱私保護的演變史上，則更加具有殖民背景和政治色彩。據(jù)了解，二戰(zhàn)之后，日本以規(guī)定留在日本的朝鮮人、臺灣人等必須執(zhí)行按押指紋的義務，由于帶有視同“罪犯”、“奴隸”的強烈歧視意味，該做法曾在國際間遭至了長期的反對和抗議行動。具有代表性的轉折點是1986年，在一則在日居住的韓國人辦理居留手續(xù)時拒按手印的案件中，法院判決指出，“指紋屬于人人不同的、終生不變的身體特征，是識別個人最為可靠的手段，因此，其信息本應當由個人加以自由管理，而且，由于按手印在犯罪偵查中具有重要的作用，被強制按手印自然會令人產(chǎn)生不快、屈辱感，基于個人尊重理念而享有的私生活上的自由，公民享有不被違背意志強制按手印的自由?！?BR> 
　　而在我國，有關隱私保護的法律制定還相對落后，因為沒有明確的法律規(guī)定，只是零散地在憲法、民法通則以及相關的司法解釋中有所體現(xiàn)。值得注意的是，2003年1月1日實施的新版《上海市消費者權益保護條例》中，首次將個人隱私作為一項單獨的權利加以保護，指出消費者的個人信息如姓名、性別、職業(yè)、學歷、聯(lián)系方式、婚姻狀況、收入和財產(chǎn)狀況、指紋、血型、病史等將作為隱私權納入人格權范疇。而2005年初，國務院正式啟動《個人信息保護法》的立法程序，則標志著我國在公民隱私保護課題上向前邁出的重要一步。
 
生物特征：尤其敏感的個人隱私
 
　　隱私權不是不可讓渡的權利，通常我們付出隱私權時，需要考慮的是這種付出能否得到足夠的回報。例如，當我們受聘于某個公司或單位，實際上就出讓了上班時間段的隱私權，但這種出讓是值得的，我們因此得到了生活的保障。我們把錢存在銀行，付出部分隱私權，換取利息和財產(chǎn)安全。
 
　　但是，以指紋考勤為例，作為區(qū)別身份的標識，這里的指紋與簽名的功能相同，并不比名字包含更多的隱私。然而觀眾注意到?jīng)]有，在簽名簿上 “出讓姓名”隱私的簽到能夠被普遍接受，一旦換成了“出讓指紋”，卻引來了眾說紛紜。又比如，在對銀行、社保等公共機構出讓個人信息、密碼等多種隱私時，人們的印象中已經(jīng)形成了一種“理所當然”的慣性意識，并未覺得有任何不妥，一旦加上個人生物特征，對于隱私外泄的警戒便立刻提高了許多倍。
 
　　為什么同樣都是隱私，生物特征卻能夠令人更加敏感？分析起來，主要有以下幾個方面的原因。
 
　　人們對生物識別的認知仍停留在 “罪犯”聯(lián)想上。正如文中開篇提到的牙買加案例，即使是延續(xù)在傳統(tǒng)警力上的應用，然而由于受眾對象擴大到了普通公民，其意義就似乎超越了侵犯隱私權界限，上升到了帶有侮辱、丑化人格的意味。從高安防重地走向民間應用，人們顯然還在急于從生物識別的身上嗅出“罪犯”的味道來。
 
　　當然，根據(jù)各國國情、文化的不同，地域間的民眾認知也存在很大差異。以生物識別技術應用最廣泛的美國為例，早在1995年，密歇根州的Saginaw地區(qū)，就將當?shù)氐乃薪逃ぷ髡呒{入了指紋背景管理，并且費用還是由個人自掏腰包。據(jù)了解，該政策實行的目的在于保護青少年兒童，防止性侵犯一類的罪犯混入校園傷害學生。而當?shù)毓姡ń坦ひ财毡檎J可該舉措的進步性，并對其推廣表示了歡迎和支持。而相對在我國傳統(tǒng)觀念中，教育一直被認定為是最受尊敬的行業(yè)，如果這種“將園丁視同罪犯”的高壓政策換在我國實行，引來的爭議恐怕是不可想象。
 
　　生物特征的事前干預，如采集、使用還未得到民眾意識與法律規(guī)范的統(tǒng)一。仍以公眾在銀行等公共機構中讓渡自己的隱私為例，在這個過程中，公眾與銀行之間，首先對于這種隱私出讓達成了“必需”的共識。其次假使在沒有法律約束的情況下，僅從道德觀念和心理暗示上，各方也普遍認定了銀行具有恪守為客戶保密的義務。而環(huán)顧現(xiàn)今的法律環(huán)境，有關生物特征的隱私保護條款中，唯一可以肯定的是，事后處理的責任認定是明確的，即不可以侵犯，以及侵犯了要追究等。但在該隱私的事前干預環(huán)節(jié)，如是否可以采集，怎樣采集，需要經(jīng)過哪些手續(xù)？以及讓渡之后，如何保管和保密等問題上，都未有明確的規(guī)范和依據(jù)，正是這種依據(jù)缺失，與實際應用 “無序狀態(tài)”之間的距離，造成了公眾心理接受上的巨大落差。
 
　　指紋考勤是個十分典型的案例，曾有專家指出，是否侵犯隱私要看公司收集員工指紋的具體用途，如僅用于考勤，也沒有利用指紋信息進行非法活動或者故意對外散布，也沒有強行將他與勞動合同掛鉤——即員工不愿執(zhí)行這一考勤方法會被立即開除，那么在法律上企業(yè)就不構成侵權。然而這種說法仍舊是從事后處理角度，顯然并不全面，根據(jù)目前情況，大部分指紋考勤都是企業(yè)單方面規(guī)定，員工普遍在是“不得不接受”的情況下讓渡隱私，而且?guī)缀跻矝]有企業(yè)為此與員工簽訂相關的《保密協(xié)定》，因此應該說，在對員工生物特征采集、使用、保管的具體操作規(guī)程上，仍然存在模糊的灰色地帶。

　　理論上的精確使人們對于生物識別技術誤差斤斤計較。2005年9月，美國加州犯罪學家Simon Cole 調(diào)查了自1920年以來的指紋出錯案例得出結論，在美國每年有超過1000例的指紋出錯案例。另據(jù)博網(wǎng)海外頻道資料，2005年，馬薩諸塞州（Massachusetts）最高人民法院受理了一樁指紋出錯案件，受害人Terry L. Patterson因為指紋比對出錯，被認定槍襲警員至死而被關押了超過10年之久。
 
　　生物識別技術取自人類，同時其管理對像又直接涉及人類本身，理論上的獨一無二，造就了公眾對其精確度的完美要求；相比其它計算機技術，大部分均是出于對信息資產(chǎn)的維護和管理，人們總能夠理解其發(fā)展史上必有的漏洞、缺陷，以及日漸修繕的過程，甚至寬容技術錯誤導致信息資產(chǎn)丟失、重建的后果。然而生物識別不同，僅就以上抓錯人一項后果來看，所造成的影響已經(jīng)遠遠超過了信息資產(chǎn)的丟失。
 
    生物特征的先天不可改變性使人對其外泄后果更加擔憂。這一點在生物特征作為密碼功能時體現(xiàn)得尤其明顯。以亞略特Aratek推出的“指紋替代密碼”技術為例，人們普遍存在的疑慮便是，一旦我的指紋被盜了，那么是否會導致終級身份被盜的噩夢？
 
　　隨著信息技術的不斷進步，個人的生活軌跡已經(jīng)越來越多地在數(shù)字世界里留下痕跡，如果說傳統(tǒng)方式下人生的曲線只能被記錄很少的幾個點，那么信息技術則完全有可能記錄我們?nèi)松娜寇壽E，使其形成一條連續(xù)光滑的曲線。在這種情況下，我們設想有一天指紋替代密碼普及到了人人使用，處處使用的階段，那么是否一次破解就能導致一個人的人生徹底曝光？事實上，由于技術的局限性，關于指紋被盜用、仿冒的可能仍舊存在，而這種可能一日不消除，人們就一日不能放下這種擔憂。
 
技術本身對隱私外泄的影響

　　通過以上分析，我們首先要在這里糾正一個誤區(qū)，那就是人們對于生物識別應用與隱私外泄的沖突焦點，主要在于生物特征的采集、使用等操作手法上，而并不是對于技術本身的否認，盡管如此，不否認并不等于信任，這也正是前面 “對誤差后果斤斤計較”和“對萬一泄露的擔憂”的根本原因所在，所以，從技術本身的角度出發(fā)，闡述其對隱私外泄的影響是十分必要的。
 
　　根據(jù)技術提供商亞略特Aratek的介紹，以指紋為例，從采集環(huán)節(jié)來看，目前的主流技術是僅采集特征點，并不用攫取整個指紋圖像，而且技術上的“不可逆性”也保證了這些特征值不能通過任何方式還原成原先的指紋圖像。眾所周知，身體特征是能夠在一定程度上直接關聯(lián)個人的生理隱私的，比如通過視網(wǎng)膜可以觀察某人是否具有中風的潛在危險、DNA可以檢測出遺傳疾病等，所以這種對于指紋圖像的不保留、不還原的做法，在最大程度上免去了生理隱私外泄的可能。
 
　　從識別的過程來看，“活體識別”技術的突破，正在為阻擋模具指紋、復制假指紋的欺騙提供有利的解決方案，活體識別是利用人體真皮組織的電特性，獲取真人手指的持續(xù)有效的指紋特征值數(shù)據(jù)的一門新興技術。我們知道，指紋識別的鑒識依據(jù)是指紋，而真正的指紋形成于真皮，真皮的指紋信息比表皮更清晰，更準確，且不隨年齡的變化而變化?；铙w識別技術決定了識別對象必須是活人的手指，即使是相同的紋理結構圖或者脫離人體的手指，因為不具備真皮指紋的電特性，所以依然無法通過識別。
 
　　此外，根據(jù)生物識別的應用，也應當區(qū)分“身份鑒定”與“身份驗證”之間的不同（identification與authentication），在鑒定過程中，涉及到與數(shù)據(jù)庫的連接和“一對多”的比對過程，而身份驗證，則是指與存儲在自有介質上（如智能身份證）的生物特征樣本（sample）“一對一”的比對。在這個過程中，只是通過相應的軟件當場讀取和比對，而并不涉及到網(wǎng)絡傳輸和數(shù)據(jù)存儲。顯然，相對身份鑒定，身份驗證的應用更加具有安全性。
 
亞略特：消除敏感尚待時日
 
　　面對生物識別面臨的突出的隱私敏感，亞略特Aratek有關人士指出，這也正是行業(yè)不成熟的標志之一，解決此類問題，需要從多方面下手。
 
　　首當其沖的仍然是強化技術力量。根據(jù)英國機場安全部門的估算，現(xiàn)在每年進出英國希斯羅機場的旅客為6300多萬，如果指紋掃描的準確率達到98％，每年將至少有100萬個錯誤；即使準確率達到99.9％，每年也會有6.3萬個錯誤，相當于每周至少有1000個錯誤。在這種比率下，相信從警察到旅客都會失去信心。所以，盡管有技術總免不了瑕疵之說，但是生物識別的特殊性，卻決定了技術廠商必須持續(xù)地、吹毛求疵地將誤差率控制在人們可接受的范圍之內(nèi)。

　　其次，政策層面、法律環(huán)境應該得到更加大力、快速的建設和完善。就全球范圍來看，推行使用生物識別技術的潮流已經(jīng)形成，而正如之前提出，正是由于法律依據(jù)的缺失與實際應用無序導致了人們心理上的落差，那么，盡快地制定清晰的法律和標準、對信息采集的對象、目的、保存時間和使用范圍等做出規(guī)范，將是未來幾年生物識別發(fā)展史上亟待解決的重要課題。
 
　　目前，已有國家專門為生物特征隱私保護制定了相關法律。博網(wǎng)海外資料顯示，2005年12月，韓國已完成生物特征保護手冊(Biometric Data Protection Guidelines)的編制工作，該保護手冊中，指出了用戶有權利知曉其生物特征被采樣的理由以及被保存的時間，如用戶年齡在18以下或無行為能力，則需提請其監(jiān)護人同意；生物特征在向其它第三方團體組織共享之前，必須得到用戶的首肯；生物特征必須在使用期滿或與用戶中止合同時從數(shù)據(jù)庫中刪除；用戶的個人信息，如姓名、住址等必須與其生物特征分開保存等諸多條款，官方稱該手冊出臺的目的是為了更好地保護韓國公民隱私，防止其生物特征被濫用。
 
　　第三，多從公共應用、個人消費著手，使人們的關注焦點從“安全”逐漸過渡到“便捷”上，淡化先前的“高?！?、“受辱”意識。例如，相比指紋手機、指紋U盤、以及生物識別在身份證、護照以及出入境領域的應用，指紋ATM、支付、考勤等所受到的質疑就要大得多。與此同時，即使是在敏感的“警力”地帶，適當?shù)貜娀麄鞴怖妫彩鞘直匾?。例如英國警方曾在倫敦的諸多公共場所安裝了攝像機，用以降低惡性案件發(fā)生率。這一措施實施初期曾遭到很多反對意見，但當倫敦市民看到警方公布的案件發(fā)生率和破案率的數(shù)字后，當初倍受爭議的技術最終獲得了公眾的支持。
 
　　最后，多種安全機制的聯(lián)合使用能夠最大限度地減輕人們對隱私外泄的擔憂。畢竟生物識別的成熟和推廣，并不以完全取代和消滅其它技術為目的，以目前生物識別與智能卡、PKI等技術的結合應用來看，未來很長時期內(nèi)，多種安全技術并存、互相嵌入的現(xiàn)象將成為新的趨勢并繼續(xù)得到研究和發(fā)展。