iPhone 5 首次將指紋辨識搭載在智慧型手機,三星的 Note 7 率先使用虹膜辨識,而 iPhone X 更是帶動臉部辨識的風潮。隨著行動裝置普及,金融科技興起,資安問題日益嚴重。
生物辨識深入生活
統以數字和字母結合的密碼已不足以因應,但民眾對於便利性的重視遠遠高於對於資安風險的擔憂,因而催生生物辨識技術(Biometrics)。人體上的生物特徵如指紋、聲紋、臉孔、靜脈等,有著獨一無二、不須更新、隨身攜帶、可測量、不易偽造等優勢。經過測量、計算後,可以用來以及辨識身份。
專門分析生物辨識市場的 Acuity Market Intelligence 預估,到 2022 生物辨 識在手機、平板、及穿戴式裝置的滲透率將 100%,相關市場營收一年將達到 506 億美元,7 年復合成長率高達 41%。這還不包括邊境安全、金融系統所使用的生物辨識。市場成長的速度之快,難以想像。Google 和蘋果甚至推出的多重辨識技術,透過同時驗證多項生物特徵,甚至是所在地或慣用的 WiFi 來判別用戶身份,安全性較使用單一生物辨識高了 10 倍,目前已在美國和金融機構合作測試中。
資安及隱私疑慮隨之高漲
生物辨識技術帶來便利性的同時,也衍伸出兩大問題。其一,保存特徵資訊的資料庫是否有銅牆鐵壁,可確保資料不會外流?其二,如何不過度侵犯民眾的隱私權?
印度的「Aadhaar」是全球最大的國民資料庫,存放了全印度 10 億人民 的指紋、虹膜等生物特徵資料。在 2018 年年初和 3 月中傳出遭駭,資料外流。雖然印度政府立即反駁,但已造成民眾的擔憂。儲存美國政府員工的指紋資料庫也曾在 2015 傳出遭駭。智慧手機使用的生物特徵資料,主要是儲存在非聯網的資料庫或是手機處理器中。如果手機被植入木馬程式,難保資料不會外流。顯示目前資料庫的防火牆並不完善,被盜取或濫用的風險不低。雖然 目前尚未發生大規模的資料外流的事件,一旦發生,後果難以想像。
另外,民眾使用生物辨識技術的同時,也交出更多對於自身隱私的掌控。各國政府為了反恐,陸續在機場導入臉孔辨識系統。中國更在幾年前,就在各個街口、地鐵站、火車站、機場等場所使用臉孔辨識。雖是為了公共安全,但也代表人民的一舉一動都在政府的觀察中。而人民因為資訊的不對稱,甚至不會察覺到自身已受到監控。這活脫脫就是英國作家喬治‧歐威爾 (George Orwell)在著名的反烏托邦小說《1984》中所描繪的那個透明、無隱私的世界。
法規雖落後,但已急起直追
隨著生物辨識在生活各層面逐漸普及,資訊安全及人民隱私權的重要性也隨之提高,但法規的制定卻仍落後科技的演變。資誠聯合會計師事務 所(PwC) 2017 年 10 月及 2018 年 3 月發表的「2018 全球資訊安全調查報告」中指出,46%的企業計劃在 2018 年增加生物辨識技術的投資,但超過 4 成的企業缺乏完善的資安策略,不到 3 成企業表示公司董事會有參與資安和隱私風險的審查。這顯示許多企業並未盡全力保戶數據的安全及用戶的隱私。不過,隨著企業面臨更大的資料保護壓力,也有近 5 成的金融相關企業也表示在將在 2018 年增加資料加密的投資。
各國政府也積極面對生物辨識所引發的隱私權爭議。以印度為例,因國民身分認證系統「Aadhaar」半強迫的收集民眾的生物特徵資料,使得人民提起訴願。印度最高法院在 2017 年 8 月 24 日裁定,隱私權屬於憲法保障範圍,迫使政府必須停用或是修改 Aadhaar 系統,是印度人權保障的一大里程碑。而在歐洲,2018 年 5 月 25 日將上路的新版歐盟資料保護規範 (EU General Data Protection Regulation,GDPR)將指紋、臉孔辨識、視網膜等生物特徵,甚至是線上辨識碼及定位資料,如 Cookie、IP 位置等都納入範圍。不管企業是否位於歐盟境內,只要網站或是服務有供給歐盟民眾使用,或是有收集歐盟公民資料,都需遵守 GDPR 的規定。這堪稱是史上最嚴格的個資法,將影響數以萬計的企業。在美國, 1974 年已將密碼、指紋、聲紋等生物特徵納入憲法及個資法保護。不過,臉孔辨識這類較新的技術卻未被納入,政府在公共場所使用臉部辨識無須經過人民同意,形成隱私權保障上的漏洞。雖然法律仍落後科技,各個國家因國情不同,法規也有所差異。但整體來說,政府都更加重視人民隱私權的保障。
生物辨識技術為大勢所趨,要如何在人權隱私、公共安全、實用性等各層面中取得平衡,各國政府都面臨極大的挑戰。唯有政府及業者建立完善的防火牆及良好的監督機制,民眾才能安心的享受科技進步為日常生活帶來的便利。