acm-header
登录

ACM通信

法律和技术

生物识别身份


Aadhaar-based输入系统

在印度新德里,一名员工使用基于aadhaar的输入系统来验证身份。

图片来源:Vipin Kumar /印度斯坦时报,盖蒂图片社

三年前,美国参议院通过了一项全面的移民改革法案。该法案的起草者推动了一项要求,即美国的每一个就业人员,无论是公民还是非公民,土生土长的还是移民,都必须获得联邦政府颁发的身份证。持卡人的生物特征信息(指纹或其他技术)将在卡上加密。每当美国工人找到一份新工作时,雇主都会采集她的指纹或其他生物特征,以便将她的身体特征与卡上的信息进行核对。如果生物特征信息匹配,就可以确定求职者是卡的合法持有人。然后,雇主将卡上的身份信息传输到中央数据库,以验证她是合法的工作授权。尽管如此,最后起草者还是从法案中删除了身份证提案。

在印度,政府正着手为居民分配12亿个独特的“Aadhaar”ID号码,这些号码与每个人的生物特征照片、10个指纹和两次虹膜扫描相关联。政府旨在将Aadhaar号码的使用和验证作为日常生活中不可分割的一部分。银行接受此卡作为身份证明及地址证明;当局正在推进使用Aadhaar删除投票名单的计划;尽管印度最高法院颁布了一项临时命令,禁止这样的要求,但许多政府机构正在将其纳入其项目的强制性规定。


生物特征信息有助于将抽象的法律地位与实体个体联系起来。


这两个故事都涉及具有两个特性的数据库。首先,它们包括一个国家所有或绝大多数居民的条目。其次,有一种机制将数据输入与受试者的生物特征联系起来,这可以在现场进行检查或验证。这样一来,去上班的人,在自动取款机前出现的人,或者在政府诊所寻求健康福利的人,都可以在数据库中与她的身份和描述联系起来。美国的计划多年来一直是一些参议员的宠儿,但从未成为法律。相比之下,印度的政府已经在其项目上投资了500亿卢比(7.75亿美元),迄今为止已经收集了8亿人的生物特征信息。不过,该国最高法院目前正在考虑该计划的合宪性。

像这样的计划值得吗?它们呈现出一些政策优势;生物特征识别技术使政府能够更成功地实现某些普遍支持的目标。在美国,法律禁止雇主雇用非法居留或持临时签证的人,除非国土安全部(Department of Homeland Security)已授予他们工作许可。但一个人在某一特定时刻是否拥有合法的工作授权(或合法的移民身份),在观察她时并不明显;信息保存在华盛顿特区的一个数据库中。她可能出示政府签发的文件,但这些文件可能是别人的;获取她的生物特征信息有助于将抽象的法律地位与实体个体联系起来。

巴基斯坦能够依靠生物识别(基于指纹的)身份证为受严重洪灾影响的家庭提供重建赠款,而不会有太多资金流失。一些国家收集选民的生物特征数据是为了消除投票名单的重复(也就是说,确保一个人不会多次出现在选民登记名单上)。在尼日利亚,将生物识别技术整合到支付政府雇员工资的系统中,据说已经帮助发现了6万多名“幽灵工人”。

更普遍地说,人们需要某种方式来验证他们的身份,这样政府才会为他们提供服务,企业才会与他们建立关系。政府需要令人满意的身份证明,通常是居住证明或公民身份证明(这反过来又基于身份证明),然后才会提供养老金或福利福利,或允许个人投票,或发放护照或登记财产转让。私人行为者要求人们在采取开立银行账户、租赁公寓或兑现支票等步骤之前验证自己的身份。

在工业化的西方,这些问题主要是通过出生登记来解决的:孩子一出生就在国家登记,有权获得文件作为证明。他们可以用这些证件来获得其他证件,比如驾照和护照。所有这些文件都与一些官方数据库的条目相关联,可以用来核实持证人的身份。但在一些较贫穷的国家,这并不奏效,因为多达70%的出生没有登记。这就是为什么像Aadhaar这样的项目,在许多工业化程度较低的国家,都在探索使用生物识别技术,将个人直接连接到身份验证数据库中。

然而,我们的身体与政府数据库条目的连接也存在问题。想想美国历史上的主要事件,政府不仅发放生物识别身份,而且要求人们携带这种身份。在南北战争之前,自由的黑人有时被要求携带证书,上面有他们的名字和雇主,其中包括中期19名th它们描述了工人的身体特征,包括年龄、肤色、身材、身高和伤疤等。一个没有充分身份证明的自由黑人有被逮捕或奴役的危险。1892年以后,美国法律要求所有在美华人必须携带“居留证明”,以证明其移民身份,否则将被驱逐出境。国会规定每张卡片上必须有持卡人的照片;一位参议员表示,这种生物识别是识别中国移民的“唯一有效方法”。

当美国政府再次告诉一群人,他们必须随时携带带有生物识别标识的卡片时,是在1952年。这张卡是发给非美国公民居民的“绿卡”;动机是对共产主义威胁的恐惧。国会议员担心同情敌国的外人会充当第五纵队,要求所有非公民无论走到哪里都要携带移民证件。那项法律至今仍在法律上。

这不是一个鼓舞信心的记录。当美国法律强制要求某些人始终携带生物识别ID时,目标就可以被要求出示一份将他与数据集联系起来的文件,告诉执法人员是要奴役、拘留还是驱逐他。这就是生物识别系统的前景和危险。没有生物识别成分的身份识别系统在执法方面的价值有限,因为它们缺乏良好的机制,警察可以通过这种机制将站在他们面前的人与他们出示的文件联系起来。生物识别系统能够更好地识别身份,但更有效的警务本身也存在风险。

因此,现代美国人对任何看起来像生物识别国民身份证的东西都严重过敏,这或许并非巧合。美国人已经接受了社会安全号码,它实际上是一个唯一的共同标识符,将他们与各种联邦和私人数据库中的条目联系起来。他们接受了开车时携带并出示驾照的要求。但他们不需要在其他时间携带或显示驾照,驾照也不显示一个唯一的通用标识符,可以在联邦数据库中可靠地识别持有者。特别是,在驾照或其他国家颁发的身份证明文件中显示持证人的社会安全号码是违法的。

除了与警察能否轻松有效地识别公民相关的基本问题外,人们还可以发现,政府身份系统开始依赖生物识别标识和以某种方式与之相关的中央数据库所带来的一系列更微妙的风险。一个与数据安全有关的风险是:政府能否保证这些信息的安全,避免隐私泄露或身份盗窃?原告在Aadhaar诉讼中提出的一项主张是,提交的信息的数据安全性差得令人无法接受。第二个风险与数据库中(不可避免的)错误信息所造成的损害有关,特别是当信用卡或生物识别技术的使用变得无处不在时。数据库是否会变得如此有用,以至于被认为是推定正确的,而错误的信息很难或不可能改变?因此,故意植入不良信息将成为身份盗窃甚至更糟的绝佳途径。


重要的是要注意与生物识别身份计划相关的重大隐私风险。


另一个值得关注的问题是:在日常交易中,使用生物识别或卡片验证身份已经成为常规,那么很容易对系统进行结构化,以便每次使用卡片都会向相关数据库添加信息。这将使保存在每个公民身上的数据丰富起来,并将限制个人进行不受监视的日常活动的能力。最后,政府可能通过撤销或限制使用卡或生物特征数据来验证身份的权力来影响公民——当政府决定标记不受欢迎的公民的数据库条目,从而使他们的生物特征或卡不能再用于获得服务时会发生什么?

任何生物识别身份计划的实施细节都是关键。因此,拟议中的美国工人身份证计划的设计者试图通过确保中央数据库中不存储任何生物特征信息来阻止反对;相反,他们的计划是将生物特征信息只存储在个人的卡片上,通过现场的读卡器与他们的身体特征进行核对。那样的话,中央政府当局就根本无法接触到生物识别信息。相比之下,Aadhaar计划并不依赖于卡片:生物特征信息是集中存储的,因此一个人只需出示指纹就可以向系统确认他的身份。

另一种避免风险的方法是,将公民的生物特征信息仅与为特定功能设计的有限用途数据库联系起来,而不调用政府所拥有的其他信息,而不是与包含多种信息的包罗所有的数据库(或一组链接的数据库)联系起来。这样的功能结构可能比多用途身份识别平台更便宜(尽管如果一个国家最终建立了多个独立的生物识别系统,服务于不同的目标,就不是这样了)。例如,一些国家已经进行了生物特征登记,目的是在国家选举中进行投票。但有限用途的生物识别识别计划可能会发现它们的重点发生了转移;在一些建立了单一用途选民登记系统的国家,选民登记卡已成为事实上的国民身份证。在美国,为有限目的而创建的社会安全号码迅速成为一种独特的公共标识。

重要的是要注意与生物识别身份计划相关的重大隐私风险。这并不意味着它们总是一个坏主意;在一个许多人根本没有任何身份验证手段的国家,某种形式的、结构适当的生物特征识别系统可以让人们过得更好。但我们过去在美国实施生物识别身份要求方面做得并不好,考虑到我们现有身份验证系统的实力,任何此类计划在美国的风险(和成本)都可能远远超过收益。

回到顶部

作者

乔纳森·t·温伯格weinberg@wayne.edu)是密歇根州底特律市韦恩州立大学的法学教授。

回到顶部

数据

UF1数字在印度新德里,一名员工使用基于aadhaar的输入系统来验证身份。

回到顶部


版权归作者所有。

数字图书馆是由计算机协会出版的。版权所有©2016 ACM, Inc.


没有发现记录

登录为完全访问
»忘记密码? »创建ACM Web帐号
文章内容:
Baidu
map