強化生物特徵保護 官商民三方皆有責
網絡罪行氾濫,警方已多次提醒市民提防深偽技術詐騙,日前香港電腦事故協調中心也呼籲市民避免於社交平台分享個人生物特徵,防止黑客盜取。同日私隱公署就搜查涉嫌違規收集客戶虹膜資料的「世界幣」本港6間處所,呼籲市民切勿隨便參與收集個人敏感資料的活動,然而生物特徵應用在港漸趨廣泛,保障私隱除了是個人責任,企業以至執法當局同樣責無旁貸。
遭私隱公署搜查的「世界幣」,以送贈「世界幣」吸引客戶,到指定場所掃描虹膜,藉此獲取註冊身份。此涉嫌違規的舉動,很多市民並沒着意防範,但這些生物特徵若被不法分子蒐集販賣,甚或借此冒認身份,隨時帶來巨大風險。
除了虹膜,生物特徵還包括指紋、掌紋、面容、聲紋、DNA、步態、打字習慣等。無論政府或企業,皆有廣泛使用作辨識個人身份,上至維持國家安全、犯罪偵查、打擊恐怖主義、出入境審查,下至門禁管理、公務電腦登入解鎖、員工考勤打卡,以至智慧零售、顧客分析等都有使用。應用領域遍及製造及倉儲業、金融保險業、公共運輸和機場、智慧辦公室及零售業等等。
部分收集機構如政府機關、金融機構、企業、學校,要求蒐集民眾、職員、學生的臉部資料,幾乎是無法拒絕。惟令人擔憂的是,時常有企業被曝安全性漏洞和數據洩露,市民又如何可確保這些資料不被濫用作其他用途?
在人臉識別技術盛行的內地,人工智能測面相、刷臉繳費機相當普遍,中國消費者協會就曾發現逾百款App中,逾9成過度收集使用者個人資訊。當中1成對可識別生物特徵的收集未能向用戶明確重點告知,涉嫌過度收集。一旦這些生物特徵數據遭洩露,再加上數據可無限複製、難以消滅的特徵,危害性難以估量。
趨勢科技報告指,目前已有大量生物特徵資料,經由人們每天使用的社群媒體、即時訊息、新聞網站和公共部門及企業入口網站等所發布的照片和語音內容而曝露在網絡上,且精確度足以騙過認證系統。報告並警告,這些外洩的生物特徵資料,經過巧妙的運用,還可能被用來製作「深偽技術」深度變臉模型。
事實上,AI換臉、換聲的「深偽技術」被運用於詐騙正在全球蔓延。繼早前網絡出現「AI李家超」偽造影像介紹投資計劃騙案,警方上月又接報,指有騙徒利用偽冒影像與一間跨國公司香港分行的財務職員進行多人視像會議,前後騙去2億港元。也有詐騙分子利用AI換臉技術冒充報失身份證的市民,繞過面部識別系統申請貸款。
目前本港並沒針對生物特徵進行特別保障的法例,只靠《私隱條例》把關,未必能對違規收集和處理的機構起到阻嚇作用。不少地區對此已明訂法規,如美國和歐盟便立法規範生物辨識資料的收集和處理,甚至對不當處理資料的行為處以巨額罰款。
本港也必須加強私隱保護,確保個人生物特徵數據的收集、存儲和使用符合嚴格的私隱保護標準,包括制訂監管機制和法律框架,定期審查和更新私隱政策;設定使用生物特徵技術的各類標準。
針對商業應用,應設置從事生物辨識資料蒐集、管理和運用業務的合理門檻,並要求企業採取有效措施維護資料安全,包括僅收集與特定目的相關的最小數據量,並確定保留期限,一旦不再需要,應遵循安全的數據刪除程序。同時,要提供收集和使用數據的透明訊息,確保使用者在提供個人數據之前明確同意。
對於持有最多個人生物特徵的政府機構,應予以更嚴格的規範及審核,考量使用目的是否具有必要性及適當性。此外,也要加強公眾教育,提高使用者對私隱保護的意識和知識,才能防範潛在的威脅和濫用。
蔡晋