【超级平台】
陈永伟/文
指纹识别:第一种生物识别技术
一个人会在历史上留下什么形象,有时候是一件十分偶然的事情。就算让贾公彦拍破脑袋,他恐怕也不会知道在一千年后,他会被人们认为是指纹识别技术的最早发现者。
对于大多数人来讲,贾公彦这个名字都是相当陌生的,但如果我们对儒学,尤其是周礼感兴趣,就会知道他完全称得上是这个领域的一号人物。这位唐朝的儒生凭借其对周礼的研究,曾在唐高宗永徽年间做到过太常博士。这个官职在当时的品级不高,但其承担的工作对于儒学界来看却是非常重要而高尚的。他不仅要参与国子监的经学教学,还要参与对儒家经典的注疏工作。贾公彦负责编撰的经典注疏有两本——《周礼义疏》和《仪礼义疏》,这两本书现在都是研究周礼的重要参考文献。
在《周礼·地官》当中,曾介绍过周代的一个官职“司市”,里面说到,这个职位的官员“以量度成贾而征价,以质剂结信而止讼,以贾民禁伪而除诈,以刑罚禁虣而去盗”。什么意思呢?就是说,司市这种官员通过度量确定价格来招徕购买者,通过“质剂”来结成买卖双方的信任而避免诉讼,任用胥师、贾师等小吏来禁止假冒伪劣,用刑罚来禁止暴乱铲除盗贼——从这个描述上,我们可以看出,“司市”这个职位十分类似于现在的市场监管人员。在以上这段描述中,提到了一个词叫“质剂”。汉代的大儒郑玄曾经对此给出过注释说:“质剂谓两书一扎,同而别之也,若今下手书”。从郑玄的这个描述中,我们很容易看出,其实“质剂”就是一种写在简牍上的契约文书,在交易达成时,买卖双方将其一分为二,作为凭证。不过,郑玄的这个注释后面,又提出了一个“下手书”的概念,这个汉代的名词到唐朝时已经不被人熟悉了,因而贾公彦就要对这个注释提供进一步的注疏。他在《周礼义疏》中写道:“汉时下手书即今画指券”,也就是说,汉朝的“下手书”其实就相当于唐朝的一种被称为“画指券”的契约文书——这种文书在博物馆里很容易看到,它要求签约的甲乙方及中间人都要把手指在纸张上平放,画下食指上三条指节,以此作为证明。
本来,贾公彦的这条注释是十分平常,甚至不起眼的。但在很多年后,德国学者罗伯特·海因德尔(RobertHeindl)偶然看到了这一段文字,顿时大感兴奋。他不仅将文字的内容写入了其在1927年出版的著作《指纹鉴定》,还盛赞贾公彦是世界上最早发现并阐述指纹性质及其应用的人。于是,贾公彦这位古人就莫名其妙地多了一个身份——指纹识别第一人。不过,如果我们完整地了解以上这段故事,就知道贾公彦至多只能称得上是对当时指纹应用的一个记录者,哪怕是记录了“下手书”的郑玄,都要比贾公彦再早上好几百年。而从实践上看,很多出土文物都表明,我国人民利用指纹来作为契约凭信的历史至少可以追溯到战国,甚至有学者认为,历史更为悠久的一些陶器上的指纹都是用指纹来识别身份的一种证据。
欧洲人对指纹的应用似乎要晚得多。相比于应用,欧洲人似乎更加集中于指纹本身的性质。历史文献证明,早在罗马时期,就有人对凶案现场残留的指纹进行过观察,并试图用它来进行办案。不过,受制于当时的科技条件,这个探究并没有产生什么结果。到了17世纪,探寻指纹奥秘的人越来越多。例如,英国形态学家尼赫迈亚·克鲁就在1684年的《哲学公报》上非常精确地描述了指纹的各种形状。到19世纪初,以捷克生理学家扬·埃万杰利斯塔·普尔基涅为代表的学者已经开始尝试对指纹进行分类。到了19世中期,人们已经开始猜想,指纹这种生物信息对于人来讲是独特的、一致的,因此可以用这一性质来辅助进行身份识别。其中的一个代表人物是英国人威廉·詹姆士·赫歇尔(WilliamJamesHershel)。他从年幼时就好奇指纹的性质,并不惜用化学试剂灼伤自己的手指来验证了指纹重生前后形状一致的事实。后来,他在印度殖民地充当公务员时,搜集了大量的指纹信息,由此发现了不同人的指纹各不相同这个事实,并将这一发现写成了论文,发表在1880年的《自然》杂志上。几乎与此同时,旅居日本的英国人亨利·福尔茨(HenryFaulds)也通过对大量人和猴子的观察发现了同样的事实,并同样将成果发表在了《自然》杂志。1892年,弗朗西斯·高尔顿(FrancisGalton)——也就是达尔文的那位著名表弟用统计和数学方法证明了两个人指纹完全相同的概率仅为640亿分之一,换言之,指纹对于两个不同的人来讲,几乎不可能一样。
虽然欧洲人对于指纹识别的应用较慢,但在认清了指纹的科学性质之后,他们迅速地把这些发现应用到了实践。例如,赫歇尔、福尔茨都开始倡导在刑侦过程当中应用指纹作为识别身份的证据,而赫歇尔则更是建议将指纹作为交易的凭信。
与赫歇尔、福尔茨相比,另一些人则要走得更远——既然指纹可以被用来进行个体的身份识别,那么为什么不更进一步,用它来对更多的人进行管理呢?1908年,法国的众议员雷维尔(Reville)就联合在当时赫赫有名,人称“刑事鉴证第一人”的阿尔封斯·贝斯蒂(AlphonseBertillon)提出了一个议案,建议政府对流浪汉采集指纹以及其他身体特征信息,建立“人体测量身份证”进行管理。经过了四年论战后,这一议案终于在1912年被通过。一个利用指纹等“生物密钥”来进行身份识别和管理的时代被全面开启了。
生物识别技术的发展
在之后的一百年中,指纹识别的技术被不断改进,其应用也得到了不断的深化。与此同时,人们还发现人脸、虹膜、声纹、DNA等都有和指纹类似的独特、唯一的性质,可以被用来进行人的身份识别和管理。于是,一种全新的,综合运用计算机与光学、声学、生物传感器和生物统计学等高科技手段,通过人体固有的生理特性和行为特征等“生物密钥”来实现个人身份鉴别的技术就诞生了。这种技术,就是我们现在十分熟悉的生物识别技术。
不过,在很长一段时间内,生物识别技术的应用只被限制在了刑侦、社会管理等很小的范围内。原因很简单:无论是对生物信息进行采集还是分析,都需要巨大的成本。
直到世纪之交,这种情况才发生了改变。这种改变首先来自于技术层面。上世纪90年代末,生物识别技术日渐臻于成熟。一方面,随着硬件技术的发展,用于采集、分析“生物密钥”的设备成本开始大幅降低。一个标志性的事件是1998年西门子推出第一款带有指纹识别的手机。虽然这在当时更多只是一个商业噱头,但在后来,这个设计则成为了生物识别普及的一个关键。另一方面,算法技术的演进,也让生物识别的速度和准确率有了很大的提升。在这两方面因素的综合作用之下,生物识别技术被广泛应用的道路已经被打通。与此同时,一些需求层面的因素也大大推进了生物识别技术的发展和普及。2001年,美国发生了“911”恐怖袭击。袭击发生之后,美国政府迅速加强了国土安全警备。为了保证本土安全,美国开始大规模搜集外国人的生物信息,并在国内研发、部署人脸识别、指纹识别等生物识别装置。这在客观上对生物识别技术的发展起到了巨大的促进作用。
到了近几年,在智能手机、移动互联、人工智能等技术的推进之下,生物识别技术更是迅速普及化。如今,人脸识别、指纹识别早已不再是公安部门的专利了,我们每天都要刷脸开机,刷脸打卡,按指纹考勤……在进行身份认证时要提供生物密钥,在进行交易付款时要提供生物密钥,在签订合同时还是要提供生物密钥。
应该说,生物识别技术普及所带来的好处是十分明显的。有了刷脸、按指纹等技术,我们就不再需要记忆繁琐的密码,进行身份验证时的效率一下子就提升了很多。不仅如此,由于我们的生物密钥都有独特性,因此从理论上讲,用它们来进行身份验证的准确性也要高得多。正是因为有了以上优势,生物识别技术才迅速得到了社会认可,相关产业才获得了迅速的成长。具体到我国,由于人工技术庞大、应用场景广阔、监管相对宽松等原因,生物识别技术的发展尤其迅速。
生物识别技术的风险
由于生物识别技术的应用前景广阔,所以有越来越多的企业都开始投身于这个行业,而那些老牌的IT和互联网企业则更是凭借手中的优势快速在这个领域攻城略地。近年来,像谷歌、微软、IBM、亚马逊等企业,都纷纷把自己的触手伸向了这一领域。但奇怪的是,这个趋势却在最近发生了意外的逆转。今年6月8日,IBM发表了一份声明,宣布将不再提供通用型的人脸识别和分析软件,永久退出这一市场。紧接着,亚马逊、微软等巨头也纷纷发布了类似的声明。
巨头们对于人脸识别等生物识别技术的联合抵制,不禁让人产生了疑惑:怎么昨天还备受追捧的生物识别突然就不“香”了呢?造成巨头们态度变化的原因当然是多方面的,但其中最为直接的一个来自于政治。在美国因黑人弗洛伊德之死爆发骚乱后,种族歧视就成为了最为敏感的话题,而生物识别技术由于其特点,很容易被人攻击为是种族歧视的工具。举例来说,由于黑人肤色较深,机器对其面部特征的搜集难度就较大,这造成了对黑人面部识别的困难。本来,这只是一个技术问题,但在政治运动风起云涌的背景下,这个技术问题却很有可能称为一些人的口实。面对这种情况,这些巨头公司就采取了“多一事不如少一事”的态度,暂时放缓一下自己的步伐。
此外,如果我们细细分析一下巨头们的表态,就会发现它们的表述其实依然是十分暧昧的。以IBM为例,在声明中,它只宣布退出“通用”的人脸识别软件市场,那么对于“专用”的人脸识别技术市场呢?它并没有表态。这一点是很微妙的。事实上,只要我们对行业有所了解,就会知道通用人脸识别设备的利润是较低的,而专用人脸识别设备的利润则较高。从这个角度看,IBM等巨头其实也只是就坡下驴,借机放弃了利润较为微薄的市场,而把力量集中到了利润更为丰富的领域。
如果我们抛开政治因素不谈,仅仅看造成巨头们退出的直接原因——难以对黑人的人脸进行识别,就会发现其实这本身也是生物识别技术所共有的一个缺陷。为什么我们能用生物密钥来进行身份识别呢?其实原理就是对关键点采样,然后对这些采样点的特征进行比对。在这样的背景下,很多因素都可能对识别结果产生干扰。一方面,一些外部环境因素可能对生物识别的准确性产生比较大的影响。另一方面,人们本身的生物特征变化也可能干扰生物识别的准确性。像整容、受伤、年龄变化,乃至佩戴隐形眼镜等事件都可能会对生物识别的结果产生影响。给定以上情况,如果我们完全依靠某种信息来进行身份识别和管理,其出错的概率将是非常大的。
当然,生物识别技术的缺陷和相应的风险还不止这些。除了不准确外,安全性问题是困扰生物识别技术的一个重要因素。如前所述,生物信息具有独特性、一致性、难以复制等特点。这些特点意味着,在正常情况下,身份识别技术可以帮助我们更迅速、更准确地完成人的身份识别,大幅提升识别效率。但这些特点也同时意味着,一旦相关信息落入不法分子之手,他们就可以以更低的成本伪造身份、假冒身份。现在生物识别技术的应用已经越来越广泛,搜集获取个人的生物密钥已经变得越来越容易。我们每个人都可能在不知不觉中就被人采集了生物信息。如果有人从某种渠道获得了这些信息,那么他们就可以做出一张脸、一只手的模型,来完成身份伪造。当然,在很多情况下,他们要做的可能还不用这么麻烦。由于现在算法的缺陷,一些地方的生物识别做得非常粗糙,人们只要通过一些很简单的信息就可以骗过机器。例如,不久前就有新闻报道,一些小学生通过照片就骗开了某快递公司采用人脸识别的快递柜。很显然,在这种情况下,人们的财务安全是难以得到保证的。
尤其需要指出的是,和传统的信息相比,生物信息具有显著的不可撤销性,这很可能会加大信息遗失带来的风险。过去,如果银行密码被破解了,客户只要更换密码就可以避免损失,但如果银行采用了人脸、指纹等生物信息来取代传统密码,一旦这些信息被盗用,客户不可能通过更换密码的方式来回避损失。
除了安全外,隐私问题也是一个需要重要考量的因素。现在,人们为了享受生物识别技术带来的便利,不得不付出自己的相关信息。在一般情况下,他们一旦交出了这些信息,就没有能力控制这些信息的流向。这意味着,随着生物识别技术的日益普及,生物信息采集、交换的日渐频繁,个人信息和隐私泄露的几率将会呈几何级数上升,而对信息泄露的控制难度也会同时变大。
不仅如此,随着深度学习技术的发展,人们通过一些公开的生物信息技术,也可以训练、开发出一个以假乱真的模型。例如,这几年,就不时有人利用Deepfake技术把一些明星的脸部信息嫁接到色情电影上的事件发生。而在这个过程中,不法分子采用的生物信息甚至都可以是完全公开的。显然,面对这样的情况,个人的信息和隐私保护将会成为摆在人们面前的一道难题。
除了以上问题外,生物识别引发的系统性歧视也是人们的一个担忧。在1912年,法国利用“人体测量身份证”对流浪汉进行管理后,某些具有特殊生物信息特征的人就成为了重点关照的对象。根据一些理论,这些人或许会有更大的概率进行犯罪,因而重点管控就成为了一种预防犯罪的措施。一百多年后,我们的技术已经比法国警察有了太多的进步,那时他们只能用指纹学、颅相学来进行识别,而现在我们已经有了大数据,它似乎可以更为科学地帮助我们预测谁更容易称为罪犯。如果人们都利用相关的技术来对人进行歧视,那么这将会是一件十分可怕的事情。
综合以上这几方面因素,或许我们确实应该花一点时间来好好想一想生物识别技术的下一步应该怎么走了。
生物识别技术向何处去
通过以上的分析,我们可以看到,生物识别技术在大幅提升效率,给我们带来诸多便利的同时,也会给我们带来很多风险和烦恼。那么,在未来的实践当中,我们应该如何权衡生物识别技术带来的利弊,让其沿着怎样的道路继续发展呢?对于这个问题,存在着截然不同的两种观点:一种观点认为,新技术的发展是不可阻挡的,为了效率的提升,适当承受风险、牺牲隐私在所难免;而另一种观点则认为,应该像如今的IBM等巨头那样,尽可能回避生物识别的潜在风险,宁愿牺牲技术发展速度,也要保证人们的安全和隐私。
尽管以上两种态度都各有道理,但总体来说,它们都略显极端了。事实上,效率、安全和隐私保护并非不可兼得,只要我们做好各项技术和制度配套工作,就完全可以扬长避短,在发挥生物识别技术优势的同时尽量控制住风险。为了实现这一目的,如下几方面的工作可能是值得重视的:
首先,在技术层面上,我们应当对生物识别技术进行进一步完善,让它们的准确性、效率性不断获得提升。具体来说,我们可以考虑改变过去采用指纹、掌纹、人脸等单一生物信息识别信身份的策略,改用综合利用多种生物信息的策略来进行识别。如果一种信息的识别不准,那么多种信息的识别将会大幅提升提准确性。在信息搜集过程中,应注意将信息分头存放,这样就可以保证单一的信息即使失窃,也不能被简单地用于伪造。在传输和使用信息的过程中,可以采用区块链、安全多方计算等技术进行加密保护。通过这样的处理,我们就可以在有效提升识别准确性的同时,大幅提升信息安全性。即使有不法分子通过其中某些环节的漏洞获取了部分生物信息,也难以利用它们成功伪造身份。
其次,在法律层面上,应当加快相应法律和规章的出台,让生物信息保护有法可依。目前,我国的不少相关法律中都已经提到与生物识别相关的问题,例如在《民法典》的第一千零三十四条中就明确规定自然人的个人信息受法律保护;在《网络安全法》也强调了网络运营者对用户信息保护的要求;而在将于今年10月起实施的修订后的《信息安全技术个人信息安全规范》中,更是加入了与生物信息进行搜集、传输和存储相关的条文。不过,从总体上看,这些法律法规的规定还过于宏观,对于像“谁有权搜集生物信息”、“谁有权使用生物信息”、“在什么情况下有必要搜集生物信息”等具体的问题并没有给出很好的解答。因此,为了让人们更好地了解在现实场景中如何规范生物信息的搜集和使用,还需要进一步出台更为详细的法规和解读。
再次,生物信息的采集和使用者应当自觉建立起一套使用规范,防止潜在的风险发生。具体来说,使用生物信息的单位应当按照数据的不同识别程度、敏感性、重要性以及公共需求的迫切性等维度,分别规定不同的利用规则、认定标准、保护措施、管理体制和主体责任,明确具有收集使用相关数据权力的机构,及相关工作的启动条件和流程规范,按需调取,落实管理责任。在信息的搜集和使用过程中,还应该积极运用去标识化、加密等措施对数据进行预处理,以尽可能减少数据泄露的风险。除此之外,还应该随时做好信息泄露的风险预案,一旦发生问题马上介入,让损失降到最小。
最后,我们每一个个人也都应该努力提高警惕,尽可能减少生物信息的泄露。对于那些动机可疑的生物信息采集要求,应当积极拒绝。
如果我们做到了以上几点,那么就有可能在积极推进生物识别技术发展的同时,解决好由此产生的问题,从而真正用好这把“双刃剑”。