中共推行生物特徵辨識之網路身分認證
2020.12.18
瀏覽數
196
壹、新聞重點
根據《自由亞洲電台》(Radio Free Asia, RFA)2020年11月27日報導,「互聯網之光」博覽會於11月22日至24日在浙江烏鎮舉行,中共「公安部第一研究所」在博覽會中推出「居民身分網絡可信憑證」,也稱網路身分證或「網證」。申請人需向公安提供人臉、指紋及身分證晶片等生物與個人資料,以取得「網證」,由中共公安部核實後發出。當個人用戶在網路使用APP等需要身分認證時,可以「網證」取代。「網證」已在福建、廣東等地推行,未來應該會全境推行。[1] 鑒於中共正在從網路實名制,進展到運用生物特徵等機敏個人資料做為網路身分認證識別用途,故實有必要探討其內外衍生的影響。
貳、安全意涵
一、中共藉網路身分認證以加強網路監控與社會監控
中共並非率先採用生物特徵識別技術做為數位身分認證的國家,迄今跨越歐、亞、非、美洲,至少廿國已經施行此項措施,其中包括諸如荷蘭、比利時及瑞典、義大利、西班牙、葡萄牙等歐洲民主國家採用。[2] 如果純粹就發行數位身分證而言,則還包括德國、愛沙尼亞以及台灣(擬於2021年施行)。新加坡政府則讓新加坡人通過生物識別等便利方式直接登錄政府網站,從報稅、買房、轉帳到看掛號,享受「一站式」服務,中共所採行的數位身分認證接近此一模式。 [3]
相對於其他採用數位身分證的國家,中共的獨特性是其行之多年的網路實名制,並動用公安與網信監管單位,對網路實施內容審查監控。如今在福建與廣東推行的網路身分認證,雖能避免實名制所衍生的個資外洩立即性風險,但未言明的,卻是中國大陸境內雖上有實名制網管政策,下卻有冒名登錄地下黑市的對策。中共對應之道,是以其累積多年監控人臉辨識等影像辨識之機器學習/人工智慧演算技術,利用個人以獨一無二的指紋、虹膜以及人臉等生物特徵,進行使用網路或應用軟體時的身分認證,形同進一步落實現網路實名制監控機制。
網路身分認證對於中共現行之社會信用制度,也有相當的助益。現行中共的公安與網管監理部門,顯然可藉網路身分認證制度的上路與其未來複製擴散全境,擴大蒐集指紋、虹膜以及人臉等生物特徵,進一步充實其生物特徵資料庫。另一方面,在5G與萬物聯網的智慧城市環境下,未來「網證」應用在數位政府與商業生態圈,勢將產生更多數位資料,隨著辨識認證的次數頻繁,將大為強化其社會信用制度的機器學習/人工智慧演算法,相對將直接增益助力其社會監控。
二、生物特徵辨識身分為隱私權保障帶來高風險
以生物特徵辨識作為數位身分認證(biometric identification),一直有隱私遭受監控之虞。尤其生物特徵在個人資料當中最具機敏性質,而以生物特徵做為數位身分辨識與認證,牽涉蒐集、儲存與運用這些機敏個資,對於資安與隱私的保護都是一大挑戰。尤其當認證所需之生物特徵資料均集中於政府大型生物特徵資料庫,勢必都會施以最高安全等級的資安保護措施,但不論是採取集中式儲存,還是分散式雲端儲算,仍形同極高價值的情報蒐集目標,實際上增添鉅大資安、個資隱私、以及國家安全的風險。[4]
因此,在民主法治國家,對於運用生物特徵辨識技術,在法規監管與科技倫理上,一直存在爭議與辯論,也形成相對嚴格的管制機制。但畢竟生物特徵辨識已然成為趨勢,公部門監管機制也只能與時俱進。歐盟對於個資與隱私保護以相對於美國高標準的《一般資料保護規則》(General Data Protection Regulation, GDPR)從嚴規範,但若確實遵循GDPR規定,則人臉辨識的影像資料將難以再以去識別化個資名義,予以蒐集、處理、應用與儲存。歐盟執委會體認到人臉辨識在治安執法、商業利益與人工智慧技術發展的龐大需求,在2020年2月發布的《人工智慧白皮書》,並未對包括人臉辨識的生物特徵辨識做出明確管制規範,僅將其列入高風險等級管制範疇,具體管制舉措則待未來以立法規範。[5]
參、趨勢研判
一、生物特徵資料庫將成為網路情報攻防要地
全社會式大規模生物特徵識別除了產生讓人民長期處於受政府監控狀態之疑慮,隨之建構的生物特徵大型資料庫即使嚴密戒護,勢必成為外界惡意國家、企業、駭客集團之情報蒐集高價值目標。另一方面,生物特徵辨識之網路身分認證,更有可能成為這些敵意份子滲透、竊取、變造生物特徵/身分識別,進而取得營業秘密造成國家利益傷害,或操弄資訊或情報遂行認知影響力作戰,危害社會穩定與國家安全。鑒於從運用生物特徵辨識對身分識別的監控,轉向生物特徵辨識與數位身分識別之網路情報攻防,符合灰色地帶衝突下的不對稱作為,故各國安全部門勢將嚴密關注此一領域之發展。
二、中共「健康碼」與「社會信用體系」未來可能結合網路身分認證
中共利用2020年新冠疫情之檢疫需求與經濟發展困境,中國國家主席習近平在11月底20國集團峰會(G20 Summit)上,提出希望建立基於核酸檢測結果的「國際健康碼」互認機制,呼籲各國共同搭建「快捷通道」俾利人力流動。[6] 鑒於在中國境內「健康碼」的施行,已演變為結合「社會信用體系」的進階社會監控機制,[7] 而值得關注的,就是後續在使用「健康碼」時,會否結合生物特徵識別之網路身分認證,表面上消弭「健康碼」隱私疑慮,實際上加強政府監控。此外,中共未來可能將以其境內「健康碼」推行結果,結合其防疫經驗的「中國故事」大外宣,進一步向國際推廣採用中共以生物特徵識別之網路身分認證後之「健康碼」標準,屆時其相互認證過程之資訊安全防護,也值得嚴密關注。
[1]高鋒,〈能否上網當局說了算? 公安部推網路身份證粵閩試行〉,《自由亞洲電台》,2020年11月27日,https://www.rfa.org/mandarin/yataibaodao/renquanfazhi/GF1-11272020050155.html。
[2] Margaret Hu, “Biometric Cyberintelligence and the Posse Comitatus Act,” 66 Emory L.J. 697 (2017), access provided by Washington & Lee University School of Law Scholarly Commons, https://scholarlycommons.law.wlu.edu/wlufac/552/.
[3]何英治,〈資安疑慮?台灣「數位身分證」到底行不行?〉,《三立新聞網》,2020年4月27日,https://www.setn.com/News.aspx?NewsID=732988。
[4]同註2。
[5] “White Paper on Artificial Intelligence: a European approach to excellence and trust,” European Commission, February 19, 2020, https://ec.europa.eu/info/publications/white-paper-artificial-intelligence-european-approach-excellence-and-trust_en.
[6]藺思含,〈習近平倡健康碼國際互認機制:各國現況一覽〉,《香港01》,2020年11月27日,https://www.hk01.com/%E4%B8%96%E7%95%8C%E8%AA%AA/552927/%E7%BF%92%E8%BF%91%E5%B9%B3%E5%80%A1%E5%81%A5%E5%BA%B7%E7%A2%BC%E5%9C%8B%E9%9A%9B%E4%BA%92%E8%AA%8D%E6%A9%9F%E5%88%B6-%E5%90%84%E5%9C%8B%E7%8F%BE%E6%B3%81%E4%B8%80%E8%A6%BD。
[7] 〈蘇州「健康碼」變身「文明碼」 社會信用評分被包裝再出發〉,香港《蘋果日報》,2020年9月6日, https://hk.appledaily.com/china/20200906/RWMZJAKIZNDZLLCDBN3YF26DO4/。