苗争鸣
摘 要:目前生物识别技术已成为鉴别身份的重要手段。美国联邦调查局依托科学与技术处(STB)下属的刑事司法信息服务司(CJIS)、实验室司(LD)和运营技术司(OTD)三个部门,开展了生物识别的数据共享、试验测试和运营工作。信息技术处(ITB),也为联邦调查局的生物识别工作,提供了软件和硬件技术支持。联邦调查局拥有海量数据库,构建了国内外共享的数据平台,其部分技术依赖商业公司的外包,并以服务执法实践为目的。文章分析了美国应用生物识别技术应用存在的问题,对中国发展生物识别技术具有借鉴意义。
关键词:美国;联邦调查局;生物识别;应用;反思
中图分类号:D815.5 文献标识码:A
Abstract: Biometrics has become an important tool for identification in the data age. The United States applies the most advanced biometrics to the law enforcement in FBI, The Department of Criminal Justice Information Services (CJIS), the Laboratory Division (LD), and the Operations Technology Division (OTD), are under the leadership of Science and Technology Branch (STB), conduct data sharing and testing programs of biometrics. The Information Technology Branch (ITB) provides software and hardware to support biometrics in FBI. we can conclude that the FBI has a massive database and has built a shared data mechanism at home and abroad. Some technologies rely on the commercial companies. Analyze the problems and challenges faced by the United States, like the infringement of personal privacy, will inspire the application of biometrics in China.
Key words: United States; FBI biometrics; application; introspection
1 引言
生物識别技术已成为数据化时代身份鉴别的重要工具。生物识别是基于个人指纹、面部轮廓、虹膜、声音、掌纹、步态、静脉以及基因信息的特征,进行生物身份匹配和识别的技术。当前生物识别已在国家安防、交通出行、商业交易授权、移动设备身份确认及电子支付等领域普及。相比传统的认证手段,生物识别具有不可篡改的唯一性特征,成为各国重点关注的技术领域。生物识别并非新技术,但是随着计算机网络、大数据以及人工智能的发展,生物识别技术正在被大规模地使用。美国将最先进的生物识别技术运用到联邦调查局实践执法中,其借助生物识别技术,保障了美国免受恐怖分子、别国情报部门、网络科技公司和跨国机构的入侵。但是,其也面临公民隐私受到侵犯,政府过度收集生物信息,数据泄露风险剧增等问题。通过总结和反思联邦调查局生物识别技术的部门架构、适用范围及存在问题,反思数据化时代,如何建构生物识别体系和数据保护制度,对中国等国家发展生物识别技术有借鉴意义,并思考生物识别技术发展趋势及面临的挑战。
2 联邦调查局生物识别机构
美国联邦调查局于1908年成立,是美国司法部主要犯罪执法和调查机构。1921年其成立身份识别部门,1924年承担国家罪犯指纹的收集工作,1967年与美国标准与技术研究院(NIST)共同研究指纹自动识别技术[1]。1994年联邦调查局开发了综合指纹自动识别系统(IAFIS)模型,同年建立国家基因数据库和虹膜生物识别系统[2]。2007年联邦调查局创建生物识别卓越中心(BCOE),以整合和共享生物识别信息。
如图1所示,为联邦调查局生物识别相关机构。联邦调查局科学与技术处(STB)下属的刑事司法信息服务司(CJIS)、实验室司(LD)和运营技术司(OTD)三个部门,开展生物识别的数据共享、试验测试和运营工作,信息技术处(ITB)提供软件和硬件技术,支持联邦调查局生物识别技术的应用。2006年成立的科学与技术处(STB),管理着世界上最大的存储生物识别数据的犯罪资料库,包含7260万个犯罪记录。STB的CJIS部门拥有庞大的指纹和个人历史记录数据库,LD部门负责开展基因等生物数据检测工作,OTD部门进行视频、语音和面部识别工作。借助电子监视等技术对目标进行隐蔽监视、跟踪和定位,通过视频、图像和便携设备收集存储数字证据。STB在生物识别、法医鉴定、情报分析和技术支持等领域,拥有6200名专业人员,其依靠先进的技术手段收集、分析和共享包括生物信息在内的多类数据,增强执法部门情报搜集能力,为联邦调查局提供数据和技术支持。
2.1 刑事司法信息服务司(CJIS)
刑事司法信息服务司(CJIS)是联邦调查局最大的部门。CJIS是美国政府的身份识别数据的联络点和共享资料库,管理着国家犯罪信息中心(NCIC)和国家事件报告系统(NIBRS)。CJIS汇集1.8万个城市、大学和政府机构自愿提供的罪犯统计数据,定时发布统一犯罪报告(UCR);依靠国家即时犯罪背景调查系统(NICS),能够鉴定购枪人员的生物信息,确定其是否具有犯罪记录;借助国家犯罪信息中心(NCIC),为美国各地刑事司法机构提供生物数据,以此追踪逃犯,鉴别恐怖分子,最高单日达到1750万次数据交换访问记录[3]。CJIS提供包括对个体可测量的生理、身体及行为特征进行识别,或借助遗留的生物特征,确定人员身份等服务。CJIS还整合了联邦调查局庞大的基因、虹膜、声音、掌纹和面部轮廓等生物数据库,开发了下一代生物识别系统(NGI),取代综合指纹自动识别系统(IAFIS),成为世界最大的生物识别和犯罪历史信息数据库,提高了生物识别的效率和准确性[4]。CJIS管理的国家数据交换系统(N-DEx),为刑事司法机构提供跨区域全天候的信息共享、搜索和分析平台,聚集了全国提交的刑事司法犯罪资料[5]。N-DEx将人员、地点和事件通过可视化工具关联,帮助生物数据分析师、案件调查人员和巡逻警察侦破案件。随着技术迭代,CJIS不断完善传统生物识别方式,提高指纹检测和基因分析的准确率,不断扩充掌纹、虹膜、声音和面部轮廓等生物识别数据库。
2.2 实验室司(LD)
联邦调查局试验室司是世界上最大的犯罪物品分析实验室,主要提供基因等生物数据检测,基因信息检索和发布相关结果报告等服务。其建立联合基因索引系统(CODIS),服务于联邦、地方政府和法医试验室,通过比对基因图谱,鉴定和识别提交的生物数据,确定失踪和不明人员身份信息。CODIS作为试点软件出现在1990年,初期服务14个州及地方实验室,1994年出台基因识别法,促使联邦调查局正式建立国家基因索引系统(NDIS),服务联邦政府、州和地方执法机构[6]。CODIS中的比对基因数据样本,也依托NDIS中的数据。实验室司得到大量资金、技术和法律的支持来完善CODIS功能。此外,实验室司的基因案例小组(DCU),负责基因项目的研究,并培训人员使用生物信息技术。DCU为联邦调查局等执法机构提供检查报告,如提供刑事鉴定和情报威胁报告:鉴别犯罪人员和失踪人员身份,报告结果和失踪人口数据将会被上传到NDIS。
2.3 运营技术司(OTD)
运营技术司(OTD)加强联邦调查人员收集情报,维护安全和快捷执法的能力,通过技术应对新出现的威胁[7]。其可通过视频、照片和聲音等数据,帮助联邦调查局识别犯罪分子。OTD开发并部署技术和网络设备,如拦截电话信息或互联网通信,可以通过自动截屏视频摄像头,分析通话人员身份,服务于联邦调查局的执法行动。OTD汇集了工程师,电子技术人员和分析师等多学科人才。OTD为联邦执法机构提供运营技术服务。一是,计算机数字取证:包括对计算机,音频,视频,图像等数字证据的调查和分析;二是,电子监控和搜索:OTD提供专业工具和解决方案,被合法授权进行信息监控和数据收集。2013年波士顿马拉松爆炸案中,OTD分析师通过分析监控系统,电视摄像记录和手机视频片段,将关键视频拼接,最终识别和确定恐怖袭击者。OTD通过计算机取证、电子监控及技术培训等手段,保障联邦调查机构快速鉴定身份和安全执法。
2.4 信息技术处(ITB)
信息技术处运营和维护联邦调查局的计算机系统、网络、数据库和应用程序,促进联邦政府计算机和网络系统的现代化。ITB主要有三部分组成:信息技术事业服务部、信息技术应用数据部和信息技术基础设施部。ITB保障整个联邦调查局的行政服务,超过70个应用程序正在使用或被开发中。ITB提供的技术支持,帮助联邦调查局的执法人员与合作伙伴,开展反恐执法,信息共享和情报收集工作[8]。联邦调查局的指纹识别系统、恐怖分子筛查中心、基因检索系统、虹膜数据库和照片识别系统能够高效运转,离不开ITB提供的硬件和软件支持。
3 联邦调查局生物识别应用的特点
3.1 海量生物数据支撑
联邦调查局管理的国家基因索引系统(NDIS),目前存储了1700万个数据文件和超过85万个犯罪现场的基因文件,是已知的最大罪犯基因数据库,在成立的二十年里,已协助超过45万次调查[9]。 NDIS数据由50个州的200多个基因实验室提供。在国际上57个国家的98个机构,使用CODIS系统软件运行本国的生物数据[10]。联邦调查局下一代生物识别系统(NGI)包含了7700万套指纹,每天可以处理超过16万个指纹鉴定的请求[11]。2013年联邦调查局建立国家掌纹痕迹系统(NPPS),存储超过1500万个独立掌纹信息,并且执法人员可检索和更新数据库中数据,以此提升系统识别的精准性[12]。联邦调查局部署的州际照片共享系统(IPS),含有1690万人的照片数据。同时,联邦调查局可访问国务院签证和护照数据库、国防部生物识别数据库以及16个州的驾驶执照数据库,可搜索到的面部图片数据达4.11亿个[13]。仅在2019年3月,就有约26262个地方、州、联邦及国际合作单位向NGI提交数据材料[14]。海量数据是联邦调查局快速鉴定生物身份的重要保障。
3.2 生物数据平台共享
联邦调查局在生物识别领域,与国内外机构建立了合作关系。联邦调查局的生物识别卓越中心(BCOE)与国防部的身份识别管理局(BIMA),国土安全部的自动生物识别系统(IDENT),国家司法研究所(NIJ)和美国国务院签证护照中心,都建立了生物识别数据共享机制[15]。联邦调查局与开发生物识别技术标准的美国标准与技术研究院(NIST)合作,协调推广标准化的虹膜生物识别技术和制定统一的数据交换接口标准,如联合开发能够互相兼容的设备,其提供的指纹扫描设备,设置每英寸1000像素标准,但是可兼容500像素的旧设备[16]。BCOE还与州政府、地方机构和高校建立合作,如与西弗吉尼亚大学开展生物识别技术研发合作[17]。CJIS是美国执法部门、国防安全部门以及情报部门生物识别信息服务的中转站,是联邦调查局信息共享机制的代表。首先,CJIS咨询委员为系统使用者提供反馈建议渠道,完善系统的运行;其次,CJIS为美国50个州,联邦特区以及自治区和加拿大等地的司法机构,提供设备和访问渠道,为当地刑事司法机构和经授权的非刑事司法机构,提供生物数据搜索服务[18]。可以看出,美国政府重视多部门间的信息协作机制和共享平台的建设[19]。
3.3 商业公司技术辅助
联邦调查局依赖商业公司在技术和设备研发上的支持。由于经费等限制,联邦调查局自身研发设备不是其首要选项,其首先寻找当前市场是否有可用的技术。若无此类设备,联邦调查局通过向合作伙伴寻求技术支持。如在2008年将10亿美元的合同授予给洛克希德·马丁公司,用于设计、开发和部署下一代生物识别系统(NGI)[20]。莱多斯(Leidos)公司参与改进NGI系统,使其更快捷和精准地识别犯罪分子,其提供的新算法,提升了处理数据的能力[21]。为了应对每年超过百万个人犯罪记录查询的需求。联邦调查局将采集指纹和获取个人犯罪信息记录的渠道下放。在法律和规则框架下,允许供应商承担该部分工作,供应商成为公众与联邦调查局之间的连接渠道[22]。目前,联邦调查局有15家供应商为其提供技术和设备服务[23]。其中如身份确认公司(SureID)提供数据收集和鉴定的服务。奥尼普莱公司(Omniplex)能够提供海外背景调查服务的供应商[24]。 2018年家庭树基因检测公司(FamilyTreeDNA),在用户不知情的情况下,同意向联邦调查局开放包含200多万条基因记录的数据库,以检测犯罪嫌疑人,引发舆论谴责[25]。
3.4 服务实践执法导向
联邦调查局以实践执法为出发点,研发和推广生物识别技术。其扩大数据库,建立信息分享機制,并积极与商业公司开展技术落地合作,目的都是为了在执法中获得更快的识别速度,更大的数据量和更便捷的识别鉴定服务[26]。联邦调查局正准备与NIST合作举行虹膜识别供应商测试,以此完善街头执法的数据种类。其计划未来将虹膜识别逐步融入到NGI中,并将虹膜识别逐步提升到商业应用领域[27]。预防恐怖主义是联邦调查局的首要目标,从2001年9·11恐怖袭击发生后,总统和国会要求联邦行政部门间共享恐怖分子信息[28]。2003年,美国设立由联邦调查局负责的恐怖主义筛查中心(TSC),为执法者提供监视和筛选名单。生物识别卓越中心(BCOE)促进生物识别技术,从实验室快速转换到执法应用中,提升联邦调查局打击犯罪和恐怖分子的能力[29]。政府、学术界和工业界的技术协作,保障了联邦调查局在现实执法中规模化部署生物识别设备。联邦调查局通过四种方式加快生物识别技术满足现实需求。首先,与实践执法部门合作,部署优先发展的技术战略;其次,将生物识别等新兴技术与工业界紧密结合;再者,建设层级间生物识别数据的协作和共享机制;最后,培训和提高一线执法人员使用生物识别工具的能力。为此,BCOE专门开发了免费生物识别培训课程。
4 启示及反思
4.1 联邦调查局生物识别存在的问题
联邦调查局的生物识别技术是美国生物识别应用的缩影,当前面临着一系列问题。联邦调查局与高校、科研机构、地方政府及商业公司合作,构建了美国生物识别技术的体系,但是其缺乏公众监管,未能及时提交隐私影响报告,即使是国会议员也很难获得其面部识别等政策信息[30]。同时,也存在种族和肤色识别率差异,导致实践中出现误判的情况。美国1974年的《隐私法》和2002年的《电子政务法》要求各执法机构,解决可识别信息的隐私安全问题。1974年的《隐私法》规定各机构在运行新系统时发布公报,对收集人提供使用信息的正式通知[31]。即信息记录通知系统(SORN),其必须准确描述收集的数据类型,及如何使用和保护这些数据,并予以公布。2002年的《电子政务法》要求各机构对收集公众信息的计划进行隐私影响评估(PIA),并向公众通报收集信息原因及预期用途[32]。但是,美国联邦调查局并未遵守法律发布隐私评估报告,引发大众对其滥用生物识别数据的担忧。同时联邦调查局还面临数据存储安全,侵犯个人生物数据隐私以及过度依赖商业公司技术等问题,机构之间数据交换环节和次数频繁,增加了数据泄露风险。
4.2 对中国发展生物识别技术的启示
中国生物识别技术的应用,可从美国的生物识别技术中吸取经验和教训。随着生物识别及相关生物技术的广泛商业化使用,中国政府已开始重视如何规范生物识别技术的管理机制。2019年10月,在十三届全国人大常委会第十四次会议上,生物安全法草案被首次提请审议[33]。可以看出当前中国政府,对生物安全的关注,以及建立法律和制度体系的决心。中国政府应从三点完善国家综合生物识别数据系统。
(1)政府要意识到生物识别数据唯一性和不可篡改的特征,需要统一管理设备运行和信息收集,并要以服务实践执法为目的。商业公司使用个人生物身份数据,如电子支付交易、身份信息鉴定等服务,需在政府的监管下执行。
(2)出台生物识别数据保护条例,制定数据使用的规范流程,将个人基本信息和生物识别信息分开存储,最大限度防止生物识别数据的泄露。
(3)需要整合生物识别数据的种类,打通政府内部生物识别数据的壁垒,构建适应国情的生物识别技术标准,与高校、科研单位及商业公司协同研发生物识别技术。在国际上与生物识别技术组织合作制定规范,尝试构建生物识别技术与数据共享机制。
4.3 反思未来生物识别技术的应用
人类进入数据化和代码化时代,生物识别技术已被广泛应用。在安全领域提供电子许可证和边境出入验证的服务;在商业领域提供智能刷脸支付,移动银行指纹认证等服务。但是,其也存在诸多隐患。首先,生物识别技术与人工智能及大数据结合,在武器研发等领域可能会引发生物识别相关武器的军备竞赛。面对生物武器,国家如头悬“达摩克里斯之剑”,若不能合理管控,可能会引发国家开展智能生物识别武器,乃至基因武器的研发竞赛;其次,黑客通过攻击数据库系统,可伪造生物识别数据或窃取数。黑客甚至操控公共摄像头,直接获取公众面部隐私数据;再者,当前生物识别技术已被滥用,大规模远程地捕获生物识别数据已成常态,个人特质被数据化后存储在计算机系统中,成为一行代码,且公众多数情况下并不知情。
生物识别技术保障了国家安全,但也引发公众担忧,政府需要平衡隐私与安全的关系。识别个人生物身份并非引发担忧的根源,将其与个人活动关联才是关键:监督部门能轻易将家庭住址、社会关系、交通记录关联,建立个人社会关系网络,个人隐私面临威胁。导致“寒蝉”效应和“沉默的螺旋”效应——个体因惧怕生物识别技术的审查,不愿公开观点,或只附会他人意见,导致社会创新性缺乏。大众呼吁获得生物数据的“被删除权”,即公民有权将自己的生物识别数据,从生物识别系统、商业公司的数据库和公共网络中抹去。由于法律监管落后于技术发展,各国尚未有完备的法律和策略,来应对大数据时代迅猛发展的生物识别技术。各国需提前做好预防措施,在国际层面加强合作,任何使用个人生物数据,构建生物追踪和监控系统,都需要法律管控。
5 结束语
美国联邦调查局内,涉及生物识别的各个机构,分工明确且相互支持。其依靠海量数据库、商业公司和数据共享平台的支持,协助美国政府执法者,在实践中快速识别和鉴定人员身份。但是,也存在隐私数据泄露、缺乏监管等问题。中国在发展生物识别技术时,应在政府的统一管控下,收集和存储个人生物数据。同时政府应加快制定生物数据保护法的进程,确保在法律框架体系内,合理地使用个人的生物数据。
[18] FBI,National Crime Information Center (NCIC)[EB/OL]. [2019-05-30]. https://www.fbi.gov/services/cjis/ncic.
[19] 魏波,周荣增.美国信息安全立法及其启示与分析[J].网络空间安全,2019,10(05):1-6
[20] Alice Lipowicz, Ben Bain. FBI awards NGI contract to Lockheed Martin[EB/OL]. [2019-02-12]. https://fcw.com/articles/2008/02/12/fbi-awards-ngi-contract-to-lockheed-martin.aspx.
[21] Leidos. Improving criminal identification[EB/OL]. [2016-07-01]. https://www.leidos.com/insights/improving-criminal-identification.
[22] SureID. What is an FBI Approved Channeler?[EB/OL]. [2018-07-09]. https://www.sureid.com/learning/what-is-an-fbi-approved-channeler/.
[23] FBI. List of Approved Channelers[EB/OL]. [2018-10-23]. https://www.fbi.gov/services/cjis/compact-council/list-of-approved-channelers.
[24] OMNIPLEX. Investigative Services[EB/OL]. [2019-05-30]. http://www.omniplex.com/solutions/solutions/view/investigative-services#white-paper-form.
[25] Matthew Haag. FamilyTreeDNA Admits to Sharing Genetic Data With F.B.I.[EB/OL]. [2019-02-04]. https://www.nytimes.com/2019/02/04/business/family-tree-dna-fbi.html.
[26] Nakashima E. FBI prepares vast database of biometrics[N]. Washington Post. 2007-12-22(A01).
[27] Chris Burt. FBI not following GAO recommendations for face biometrics but expanding iris recognition work[EB/OL]. [2019-04-22]. https://www.biometricupdate.com/201904/fbi-not-following-gao-recommendations-for-face-biometrics-but-expanding-iris-recognition-work.
[28] FBI. Terrorist Screening Center - FAQs[EB/OL]. [2017-01-31]. https://www.fbi.gov/file-repository/terrorist-screening-center-frequently-asked-questions.pdf/view.
[29] https://www.fbi.gov/services/cjis/fingerprints-and-other-biometrics/biometric-center-of-excellence/about-the-biometric-center-of-excellence.
[30] Harrison Cramer. The Face of Surveillance[EB/OL]. [2017-10-27]. https://tcf.org/content/commentary/the-face-of-surveillance/?session=1.
[31] DOJ. PRIVACY ACT OF 1974[EB/OL]. [2015-07-17]. https://www.justice.gov/opcl/privacy-act-1974.
[32] DOJ. E-GOVERNMENT ACT OF 2002[EB/OL]. [2019-02-13]. https://www.justice.gov/opcl/e-government-act-2002.
[33] 新華网. 生物安全法草案首次提请最高立法机关审议[EB/OL]. [2019-10-21]. http://www.xinhuanet.com//2019-10/21/c_1125133606.htm.