下载APP
市政厅 >

人脸识别60年︱国际红十字会为何拒建难民生物识别数据库

Ben Hayes Massimo Marelli 周利亚 译
2020-12-18 12:49
来源:澎湃新闻

各国都有自己的公民身份系统,有的是统一身份证件,有的则是统一编码。但世界上仍有许多人没有“合法”身份,比如因战乱、灾害失去家园者、难民、被拐卖的儿童等等。

全球范围内,他们是人道主义机构的援助对象。但“难以识别”恰恰成为一大障碍,发放救援物资或现金时如何避免冒领、漏领,疫苗接种会不会出现打重或漏打……

许多人道主义机构开始启用生物识别技术,依靠指纹、虹膜或人脸等信息识别个人。红十字会国际委员会(ICRC)也是其一,这也是他们数字化转型的一步。ICRC采集服务对象的指纹信息,用于身份验证。

但ICRC为自己划定了一个“禁区”,不会将服务对象的原始生物特征信息纳入一个中央数据库。这是为什么?

本文节选自纽约大学AI Now研究中心报告“Regulating Biometrics: Global Approaches and Urgent Questions”(生物识别技术监管:全球举措及关键问题)的第五章。为便于理解,我们对原文进行了必要的补充和修改。

一些情况下,国际红十字会需要识别具体的人,以确保医疗服务的连续有效,比如需要分多次接种的疫苗。图片来源:ICRC官网

红十字国际委员会(ICRC)在全球九十多个国家开展工作,作为全球人道主义网络的一部分,服务人群超过八千多万。比如,它为羁押人员提供医疗保健、食物、基本住所、衣物、教育和工作的机会以及其他援助。此外,ICRC还会找寻失踪人口,帮助失散家庭重聚。

援助中,后勤是一大挑战,由于许多受助者缺乏有效的身份证件文件,一些人道主义组织使用了生物识别系统,可以在提供服务或援助时验证受助者身份。

人们在何种情况下有被识别的“必要”?应使用哪种识别技术?使用生物识别技术恰当吗?人道主义组织已就这些问题进行了激烈辩论。

一些情况下,一些人道主义援助需要识别具体的人,以保证医疗服务的连续和有效(编者注:比如一些疫苗需要分多次接种,ICRC需要明确具体的人),他们会要求受助者提供旅行证件或财务服务。联合国难民署(UNHCR)有权识别难民和寻求庇护者,并向他们提供有效的身份证件(尽管它们因使用生物识别技术屡遭批评)。但大多数人道主义组织并没有正式权限向人们提供身份证明文件,他们主要使用了生物识别技术,可以提高效率,并保证一定的准确性。

相较于传统的身份证件、社保号码和其他文件,生物识别ID可以更直接关联到单个人。它还可以避免单个人重复认领援助金或物资,对机构而言,这是一大吸引力。

生物识别技术的应用也推动了现金转移计划(cash-transfer programs)的发展壮大。金融服务提供商必须验证账户持有人和现金接收者的身份,生物识别提供了一种简单直接的方式,满足多种运营和法律需求。

这对人道主义机构的工作人员至关重要,他们希望运营尽可能高效,确保有限的服务和援助可以精准投放给受益人。这些机构的捐赠者也对“端到端的可审核性”(end-to-end auditability)提出了更高要求(提高透明度,要求人道主义资金从捐赠者到接收者全链条可追踪),基于反欺诈和问责程序使用资金。

这一切都促使人道主义组织使用生物识别技术进行受益人登记和救援物资分配。如果别人都在这样做,为什么我们不呢?

风险和担忧

人们关注生物识别技术在人道主义工作中的应用,但其风险性常被忽视。生物识别数据是独特的、不可改变的。对于那些身处恶劣境遇的人们,它提供了永久性、可识别的记录。但或许他们并不想被永久性识别,如果他们逃离的政权或武装力量获得了这部分数据(或有权访问),相关人员可能遭受伤害。

生物识别的敏感性在于,它可能被反复使用、滥用或“功能潜变”(function creep),即数据可能背离原始目的,被用于其他目的上,且无需获得数据主体的知情和同意。

例如,数据可能会与非人道主义组织或政府共享,用于安保和移民控制,这背离了采集数据的初衷——服务于人道主义救援。尤其在危机或紧急情况下,生物识别数据可能在被援助者不希望、不知情或不同意的情况下被挪用。

此外,出于人道主义目的建立的数据库有可能与其他数据库相匹配,比如由政府的合作伙伴开发或运行的其他社会登记系统或者公民身份证系统。技术在不断进步,未来,基于生物识别数据生成的用户档案还可能包含更多信息,例如健康状况、种族或基因。

刚果民主共和国一处难民营,人们正进行指纹识别。图片来源:联合国移民署

刚果民主共和国的一个难民营使用了指纹识别系统。图片来源:ICRC官网

各国对生物识别技术的兴趣渐浓,以此监测人口流动,识别安全“威胁”。2017年12月,联合国安理会呼吁加强生物识别系统的应用,以识别恐怖分子嫌疑人,要求所有联合国会员国“开发和使用系统,收集生物识别数据,包括指纹、照片、面部识别及其他相关的生物识别数据,在遵循各国法律和国际人权法的基础上负责任地、适当地识别恐怖分子,包括外国恐怖分子”。

各国纷纷对人道主义机构施压,要求其开放生物识别数据,用于人道主义救援以外的目的。人道主义组织也容易受到来自国家和非国家实体网络活动的攻击,后者想要不经授权进行数据访问。

2019年12月举行的第33届“红十字会与红新月国际联合会”,生物识别数据的应用就成为一个中心议题。为维护人道主义组织的独立性、中立性和信誉度,大会通过了一项具有里程碑意义的决议,“在尊重隐私的同时帮助家庭恢复联系”。该决议基于目的限制性(purpose limitation)原则,“敦促各国与此项运动合作,确保个人数据不被用于与人道主义精神不符的其他用途”。

ICRC版生物识别信息政策

2019年8月,ICRC推出了一套专门针对生物识别技术的政策。而在此之前,红十字国际委员会已对生物识别技术的应用提出了限制,例如,他们会在其签发的旅行证件上加入指纹(但指纹信息未被存储在任何数据库中)。除了使用DNA谱图分析来鉴定遗体,以确定失踪者身份外,ICRC也在探索人脸识别技术,帮助离散家庭重聚。

生物识别技术是ICRC转型战略的一部分,试图抓住新技术的契机,提高运营效率,进而转变并调整其人道主义的应对措施。但随之而来的问题是如何管理风险。

早在2018年初,随着人们对生物识别技术应用的兴趣渐浓,ICRC理事会要求评估相关的运营、伦理和声誉风险,同时研究政策,如何在引入创新的同时保护数据。

ICRC在18个月内制定了该政策,前后历经研究、分析、咨询和反思。ICRC审查了自身生物识别技术使用的所有场景,评估了“合法性依据”和具体处理目的,并确定了组织、技术和法律层面的保障措施。尽管ICRC不受国家或地区数据保护法的约束,但它采用了类似规则,要求所有数据处理和应用需满足合法性依据。

“合法性依据”包括,某些任务中必须使用生物识别,否则将无法识别特定目标。例如,使用DNA确定失踪者身份或下落,使用人脸识别来匹配和寻找失踪者。ICRC将这些使用目的定义为“公共利益”。

另一些情况中,合法性依据更难界定。例如,当生物识别技术应用于受益人管理和援助物资发放,应用的目的在于提高效率,并且此前,发放援助物资无需生物识别就可以完成。ICRC认定,生物识别用于身份管理系统,其“合法性”不得损害人们的权利和自由。在目的和手段之间平衡,这也是数据保护法的基本准则(比如GDPR)。

经过综合考虑,ICRC认为,可以利用生物识别技术的效率和有效性,在援助物资分配中完善“端到端”的问责制,同时还需要最大程度地降低受益人风险。这种平衡性体现在生物识别数据的采集、使用和存储,ICRC设计了一套基于存储卡的系统(token-based system)。

实践中,ICRC援助对象的生物识别数据被存储在一张卡中,由其本人持有,只有在需要时,ICRC才会使用这张卡片进行身份验证,而不会收集、保留或进一步处理这部分数据,也不会建立生物识别数据库。

ICRC使用这种卡片,除了在发放援助物资时进行身份验证,不会被用于其他用途。如果受益人要撤回或删除其生物识别数据,他们可以要求ICRC退还或销毁卡片。如前所述,其他力量(比如国家政府或军事力量)可能会强迫人道主义机构交出生物识别数据,ICRC就不存在类似压力,因为它压根没有存储这些数据。

红十字会生物识别信息政策的主要特点

ICRC生物识别政策由红十字国际委员会大会于2019年8月通过,其中规定了工作人员、项目角色和职责、ICRC处理生物识别数据的合法性依据、特定使用目的和场景,以及ICRC可处理的生物识别数据的类型。

具体包括如下:

•    ICRC为缺失有效身份证件者出具旅行证件,其中附有证件持有者的指纹新闻,帮助他们返回其祖国、常居地或那些愿意接收他们的国家;

•    使用生物识别系统设置访问权限,针对机密信息和/或关键任务资源,例如ICRC的服务器和控制室

•    使用指纹、面部扫描和DNA识别遗体身份,常用于灾区、冲突地区或其他暴装冲突地区;

•    使用数码照片以追踪、查明失散或失踪人员;

•    一些针对ICRC工作人员的绑架或袭击案中,调查中需使用生物识别数据确定特定人员的身份或命运;

•    具体案例中,可使用DNA图谱分析,帮助失散家庭团聚或确定失踪者命运;

•    向受益人提供存储其生物识别数据的卡片,可用于验证身份,卡片仅由受益人本人持有。

还有其他警告:

•    旅行证件上的指纹仍仅限于纸质文件的油墨手印(不允许ICRC开展进一步的生物识别处理)。

•    不得滥用生物识别技术对常规工作场所设置门禁(需要高级别安防地区、经授权者才能进出的特定场所除外)。

•    使用DNA图谱确认家属关系,ICRC对其使用有着严格限制,需基于某个国家法律或政策,证明两人确有实际亲属关系。

该政策还明确,ICRC不得建立生物识别数据库

如果ICRC项目组或代表希望使用生物识别数据,他们必须先进行数据保护影响评估,并确保,在系统开发或流程启动的最初,数据保护就已生效,无论是通过特别设计的数据保护条例,还是先有政策法规所框定的保护办法。

ICRC的生物识别技术政策还解决了一些数据保护法案的常见问题,比如数据的采集和处理需要征得数据主体的“同意”。获得同意是人道主义组织历来的传统,一些情况下,人们需签署“同意书”或提供指纹,以证明其愿意接受援助或服务(比如,没有书写能力者可以使用指纹代替,但未避免生物识别数据的泄露和挪用,ICRC也不再使用指纹)。

ICRC对生物识别数据处理中的“知情同意”提出了更高标准:《ICRC个人数据保护规则》(ICRC Rules on Personal Data Protection)要求“对于个人数据的使用,数据主体自愿、明确且知情,并签署同意”。

但ICRC认为,“知情同意”并不等于生物识别数据的使用就拥有了绝对的合理性,即便在一些紧急状况下。如果个人没有真正的选择,这种“同意”就是无效的。例如,只有在提供个人信息的前提下才发放援助(编者注:即个人一旦拒绝,就无法获得援助或服务),“同意”不可能是出于“自愿”的。

此外,权力失衡可能意味着人们没有真正的“选择”,个人会被“诱导”,全盘接受人道主义组织的建议。

就生物识别而言,要确保真正“知情”极为困难,人们可能无法完全理解生物识别技术本身,也难以理解数据处理全过程中的数据流、风险或收益。

“生物识别政策”要求ICRC向受益人解释数据处理的基础和目的,包括任何涉及数据共享的部分。ICRC还鼓励受益人有机会提出问题或反对意见,特别是涉及第三方共享数据的方面。如果人们不想提供自己的生物识别数据或其他个人数据,或不愿与ICRC的合作伙伴共享数据,ICRC将尊重其意愿。

最后,任何情况下ICRC都不会出于人道主义以外的目的与第三方机构(包括各国政府)共享生物识别数据。即使是明确出于完全人道主义目的,共享生物识别数据前ICRC也必须满足严格限制条件。

ICRC将至少每三年审查一次“生物识别政策”,包括不能建立用于身份管理的生物识别数据库的决策。ICRC将审查生物识别技术的实用性、安全性、成本、有效性和影响,并可能修订该政策以扩大使用生物识别技术的范围或者引入新的保障措施。

(本文作者Ben Hayes为红十字国际委员会法律咨询顾问,Massimo Marelli为红十字国际委员会数据保护办公室的负责人。本系列经纽约大学AI Now研究中心授权翻译发布,更多内容可阅读官网的报告全文。)

制图:白浪

    责任编辑:李麑
    校对:丁晓