胡海明，翟曉梅

(北京協(xié)和醫(yī)學院人文和社會科學學院，北京 100730，hhm0501@163.com)

隨著社會的發(fā)展，在日常生活中，經(jīng)常需要驗證人的身份，或者去確認某個人是誰，這就涉及身份的認證，也就是身份識別。傳統(tǒng)的身份識別方式主要包括兩類：一是通過實物對個體的身份進行識別，比如身份證、智能卡、護照、鑰匙等；二是通過約定相關的口令進行身份識別，比如驗證碼、暗號、用戶名和密碼等。由于是借助體外物，傳統(tǒng)的身份識別方式存在記憶繁瑣、易于遺忘、被盜、丟失等缺點，易發(fā)生個人信息的泄露、身份盜竊、詐騙等，在身份識別方面存在很大的安全隱患。特別是“9·11”事件以來，傳統(tǒng)身份識別方式的弊端更加凸顯，人們迫切需要更加安全便捷的身份識別方式。在這種背景下，智能的生物識別技術迅速發(fā)展[1]。

生物識別技術(biometric identification technology)，是一類基于個體獨特的生理或行為特征對個體身份進行自動辨識或認證的技術[2]。一個完整的生物識別系統(tǒng)通常由四部分組成：讀取器或采集儀、特征提取器、存儲生物識別信息(biometric information)的數(shù)據(jù)庫和匹配器。

一般來說，生物識別技術有兩個方面的作用[3]。其一是“辨識”(這個人是誰)，是“1對多”的比對，即通過比對被測模板與集中式數(shù)據(jù)庫(central database)中存儲的多個模板來辨識身份；另外一個是“認證”，是“1對1”的比對，即通過比對被測模板與預存在(集中與否均可)數(shù)據(jù)庫中的特定模板，以確定“該人是否是其所自稱的人”。

用于生物識別技術的生物特征元素(生理的或行為的)，至少需要滿足以下三個基本條件：①普遍性，生物特征元素存在于所有人；②唯一性，生物特征元素必須是獨一無二的；③永久性，生物特征元素隨著時間的推移不發(fā)生變化。此外，在實際應用中，生物識別系統(tǒng)還必須考慮[4]：①性能，即識別的準確性、速度以及為達到所要求的準確性和速度所需要的資源；②可接受性，人們對于一種特定的生物特征識別在日常生活中的接受程度；③可欺騙性，用欺詐的方法騙過系統(tǒng)的難易程度。因此，根據(jù)以上條件，目前為人們比較普遍接受的生物識別方法包括指紋識別、視網(wǎng)膜和虹膜掃描識別、人臉識別、手形識別、聲音識別、簽名識別等。未來的生物識別將會包括DNA分析、神經(jīng)波分析等。多模式的系統(tǒng)，整合不同的識別方法，也會是未來生物識別發(fā)展的趨勢。

近年來，隨著計算機技術的不斷發(fā)展、成本的持續(xù)降低以及性能的穩(wěn)步提高，生物識別技術變得更加具有實用性，應用范圍也更加廣泛：金融支付、上班打卡、邊境控制以及對訪問受控用戶的辨識和/或認證等。

然而，在生物識別技術取得廣泛社會應用的同時，人們正面臨著諸如隱私保護(privacy protection)、功能僭變(function creep)、身體信息化(the informatization of the body)、知情同意(informed consent)以及社會排斥(social exclusion)等諸多倫理、管理和規(guī)范政策的挑戰(zhàn)。限于篇幅，本文將著重探討生物識別技術應用中所涉及的身體信息化問題。

1 身體信息化的概念、產(chǎn)生原因及其特殊性

1.1 身體信息化的概念

大數(shù)據(jù)和生物識別背景下，身體信息化是指從生物識別信息中挖掘出大量有關個體/用戶的信息[5]。換句話說，身體信息化其實就是根據(jù)生物識別信息進行數(shù)據(jù)挖掘。生物識別信息，如指紋信息、面部特征等，不僅僅可以用來識別身份，很多情況下，還可以成為其他個人信息的來源。例如，人臉識別通過面部特征可以識別出男同性戀者。一般來說，這些從生物識別信息中進一步挖掘出來的信息非常豐富，往往與個體的遺傳相關[5]。

1.2 身體信息化產(chǎn)生的原因

身體信息化的產(chǎn)生并非偶然。之所以能夠根據(jù)生物識別信息進行數(shù)據(jù)挖掘，原因很多。首先，身體本身就含有大量的信息，身體就是個人信息的“金山礦”。例如，面部表情可以反映心情狀況，某些內心想法可以通過肢體語言表現(xiàn)出來等。這是身體信息化的內在基礎。其次，個體/用戶在注冊、登錄生物識別系統(tǒng)時，采集(提供)的信息愈多，愈容易根據(jù)這些已提供的信息進行深度挖掘。生物識別系統(tǒng)在采集生物識別信息進行個體/用戶識別時，為了防止虛假身份的欺騙，不只是單純采集指紋、面部特征等圖像信息，同時還可能會采集個體/用戶更多的信息，如體表溫度、脈搏、血壓、生物電、活體檢測等，以便更加準確無誤的確定個體/用戶的身份。可以說，采集的信息越多越豐富，從這些采集(提供的)信息中進一步挖掘的其他的個人信息也就越多越深。這是身體信息化的外在條件。再次，大數(shù)據(jù)、人工智能(深度學習)技術的發(fā)展使得身體信息化、對生物識別信息的數(shù)據(jù)挖掘“如虎添翼”。如今，大數(shù)據(jù)技術發(fā)展迅速，數(shù)據(jù)挖掘的技術手段更加多樣，這將成為身體信息化的“有力武器”。最后，相關學科或研究的發(fā)展為身體信息化提供了有力的證據(jù)。例如，通過研究發(fā)現(xiàn)某些指紋特征與某疾病有關，某種類型的面部特征可以反映出是否是同性戀等。這是身體信息化的理論支撐。

1.3 身體信息化的特殊性

身體信息化問題是生物識別技術特有的，相比傳統(tǒng)的身份識別方式(如用戶名和密碼)，其特殊性在于：

挖掘出的信息含量更加豐富。根據(jù)傳統(tǒng)的身份識別方式挖掘出的信息往往是有限的，而從生物識別信息中挖掘的信息含量巨大，例如人臉識別可以識別出個體/用戶的年齡、性別等，以及可以判斷出個體/用戶的心情、性格等，通過指紋比對可以識別出是否有犯罪記錄等。

挖掘出的信息與遺傳高度相關、高度敏感。生物識別信息與遺傳高度相關，是敏感的個人信息，從生物識別信息中挖掘出的信息往往也具有高度敏感性，例如指紋識別能夠識別出某些染色體異常疾病[6]，虹膜識別能夠識別出是否患有艾滋病等[7]。

2 身體信息化在醫(yī)學中的應用及風險

身體信息化還包括，從生物識別信息中挖掘有關個體/用戶的醫(yī)學信息(包括現(xiàn)在的身心狀態(tài)及潛在的患病風險等)，這被稱為生物識別技術應用所引發(fā)的間接醫(yī)學影響(Indirect Medical Implication)[5-8]。目前，已經(jīng)有證據(jù)或研究表明，某些疾病與某些特殊類型的生物特征有關，可以從這些特殊的生物特征了解個體/用戶是否患有某些疾病或將來患病的概率或趨勢。例如，研究發(fā)現(xiàn)：某些特殊類型的掌形與某些疾病有關，如痛風和關節(jié)炎[9]；某些特殊類型的指紋跟某些染色體異常(如唐氏綜合征、特納綜合征和克氏綜合征等)有關[6]；眼睛也能揭露很多健康狀況，包括艾滋病、萊姆病、充血性心力衰竭和膽固醇水平，甚至白血病、淋巴瘤、強身癥候群以及鐮刀形細胞貧血等[7]；喝酒、吸毒或懷孕者的瞳孔反應與正常人的也會不一樣[10]；視網(wǎng)膜微血管的變化可能與2型糖尿病和高血壓有關，也與腦中風和心血管病死亡有關[11]。

因此，根據(jù)身體某些生物特征與某些疾病/健康狀況之間的關系，身體信息化可以輔助醫(yī)生進行疾病的診斷[12-13]。這是身體信息化的積極作用。但同時，身體信息化也會帶來諸多風險：

歧視與污名化。通過生物識別信息挖掘個體/用戶的醫(yī)學信息，使得生物識別信息不僅僅是一個標識符，還是個體/用戶醫(yī)學信息的來源。在個體/用戶使用生物識別的過程中，可以從個體/用戶的生物特征中挖掘有關他們的醫(yī)療狀況。這些有關個體/用戶身心健康狀況/疾病的信息是敏感的，是可以用來區(qū)別對待個體/用戶的[14]。一般來說，出于很多原因，對基于個體/用戶身體或感知殘疾的任何歧視，都是很難發(fā)現(xiàn)的，更不用說去證明。

不安與恐懼。當個體/用戶了解到自己的生物識別信息能夠被用來挖掘與自己有關的醫(yī)學信息，或將這些挖掘出的醫(yī)學信息泄露給他人，甚至發(fā)生個人信息買賣時，個體/用戶往往會感到不安或恐懼。尤其是當這些醫(yī)學信息(現(xiàn)在身心狀況及未來患病風險)泄露給第三方(雇主、保險公司等)時，個體/用戶會面臨解雇、失去保險，更會感到不安與恐懼。

分類與社會排斥。受傷或疾病，可能會阻礙個體的注冊或登錄，如眼部疾病可能阻礙虹膜掃描，關節(jié)炎可能影響掌形的測量，手指燒傷可能影響指紋識別[15]。根據(jù)生物識別的結果和挖掘信息的豐富程度，可以將人們進一步分為不同的群體，如能識別者與不能識別者、殘疾的與正常的、有病的與無病的、犯罪者與表現(xiàn)良好者等。不能被識別者往往被社會排斥在外，導致有限資源的分配不公[16]。

因此，從生物識別信息中挖掘的額外的有關健康狀況/疾病的敏感的個人信息需要給予特別的關注，減少或消除生物識別技術身體信息化產(chǎn)生的消極后果，將對有關個體/用戶產(chǎn)生深遠的影響[17]。

3 倫理治理

授權的或未授權的使用生物識別信息進行數(shù)據(jù)挖掘所引發(fā)的隱私問題在歐洲學者的研究和著作中早有討論。2003年，歐盟委員會工作組織的生物識別數(shù)據(jù)保護工作報告(Working Paper of the data protection working party of the European Commission: biometrics)[18]主要解決隱私問題，為生物識別信息的收集、存儲和使用設置了基本原則：目的性原則，即生物識別信息的收集要有明確的合理的目的；均衡性原則，即收集的信息要足夠、相關，但不過量。最后，該報告也考慮了生物識別系統(tǒng)包含更多個人信息的潛在風險，提出需要隱私增強技術，同時降低不必要信息的獲取，如名字、地址等。

有關生物識別技術應用引起的身體信息化的管理問題，我們推薦“倫理治理(ethical governance)”這一概念。治理(governance)與管理不同，管理(management, regulation)是治理的一個方面，治理的意義是決策和決策實施過程，并包括公司、地方、國家以及國際多個層面[19]。生物識別技術應用的倫理治理，不僅僅需要政府的參與，同時還需要其他利益攸關者的密切協(xié)作，包括生物識別技術領域的科研人員、服務商、用戶以及相關的非政府組織(NGO)等。這就意味著治理需要多方面的協(xié)調參與。在參考了相關學者[19-21]的理論研究后，我們提出四條規(guī)范生物識別技術應用的倫理原則。這些倫理原則是我們應盡的義務，也是評價我們在生物識別技術方面采取行動的倫理框架。其具體內容如下：

原則1：效用(utility)。效用原則是以后果論或效用論為理論依據(jù)，要求生物識別技術創(chuàng)新、研發(fā)和應用的目的是鑒定身份、保障安全、增進人民福祉。這是生物識別技術領域首先要遵循的原則。

與受益(行動的正面效應)不同，效用是對生物識別技術應用所帶來的受益和風險的全面評價，強調受益-風險比，比值越高，則效用越大。在生物識別技術方面采取的行動，必須使其給目標人群帶來的受益盡可能大地超過可能的風險，即效用越大越好。目前看來，生物識別技術應用引發(fā)的身體信息化的受益主要是輔助醫(yī)生進行疾病診斷，風險主要是信息泄露后導致的歧視和污名化、不安與恐懼及社會排斥等。為了使目標人群傷害最小化及受益最大化，生物識別技術的研發(fā)及其應用應該承諾維護個人權益，承諾最高標準的數(shù)據(jù)庫安全[22]。

原則2：尊重(respect)。在生物識別技術追求效用最大化的同時，有可能導致對人的不尊重。尊重原則有利于恰當處理個體與集體之間的關系，它不僅要求我們保護個體/用戶隱私，盡力防止生物識別信息的不當使用，防止其泄露和買賣等，還要求我們要尊重人的自我決定權，在收集、存儲和使用/共享生物識別信息時必須堅持知情同意或知情選擇原則。當收集個人生物識別信息、將個人生物識別信息再使用于另一目的時，必須獲得個體/用戶的同意。根據(jù)不同的情境，可以采用“廣同意”(例如同意將個人生物識別信息用于一類，而不是某一情況下)的辦法，同意也可采取opt-in(選擇同意)或opt-out(選擇拒絕)兩種方式[19]。

在生物識別技術方面采取行動的相關信息要公開透明，確保公眾的知情權，這種透明性要求也是我們平等對待公民，尊重他們的體現(xiàn)。當生物識別技術的實施人員相信他們的政策、做法或行動侵犯某一類人群的權益時，例如根據(jù)面部特征尋找同性戀，他們有責任向有關各方，包括受這種侵犯的那些人說明這種侵犯是必要的理由。這是建立和維持公眾對生物識別技術研發(fā)應用的信任和我們樹立責任心所不可缺少的。

原則3：相稱(proportionality)。根據(jù)生物識別信息進行數(shù)據(jù)挖掘，有時可能甚至不可避免地侵犯個人自由和隱私，甚至給個人增加一些不必要的負擔。相稱原則要求：生物識別系統(tǒng)采集個體/用戶的個人信息的范圍應當與識別身份的目的相稱，信息收集有所限制，不能任意擴大信息的收集范圍；生物識別信息隱私保護的力度應當與其敏感度相稱，防止個體/用戶隱私得不到應有的保護或導致不必要的過強保護；生物識別信息使用的目的應與收集時的目的相稱，不能任意擴大生物識別信息的使用范圍，防止不當使用；泄露或侵犯個體/用戶生物識別信息導致的傷害應與防止泄露或侵犯個體/用戶生物識別信息導致的傷害相稱。

原則4：公正(justice)。生物識別技術方面的公正主要是指程序公正和回報公正。程序公正要求我們在生物識別技術方面采取的政策或措施、有關信息要透明，確保公眾的積極參與、信任和支持。例如，成為出租車司機(還有保安)需要上傳照片和錄入指紋信息進行背景審核，審核的程序要公正以獲得公眾理解和支持，防止歧視和污名化。回報公正是指受影響各方在承擔巨大風險的同時，要獲得一定的補償。例如，2014年，黑客入侵美國聯(lián)邦人事管理局的計算機系統(tǒng)，導致超過2200萬美國人的敏感的個人信息被盜，其中包括560萬人的指紋信息，美國民眾在承擔信息泄露巨大風險的同時，國家/政府要給予一定的補償，這是回報公正。

公正不僅攸關生物識別等人工智能的誠信和效用，而且攸關社會正義。如果存在不公正，將難以實現(xiàn)生物識別鑒定身份、保障安全和增進人民福祉的效用。

生物識別技術的應用應當符合以上倫理原則。我國權威管理部門也應該根據(jù)倫理原則，結合我國生物識別技術的發(fā)展應用現(xiàn)狀以及應用中存在的問題，盡快研究并制定法律法規(guī)，為生物識別技術的健康有序發(fā)展提供倫理管理和法律保障。

〔參考文獻〕

[1] CSSS Policy Brief NO 1. Biometric Identifi cation technologg Ethics[EB/OL]. (2003-11-03)[2017-12-20].https://danishbiometrics.files.wordpress.com/2009/08/news_2.pdf.

[2] Association for Biometrics(AfB), International Computer Security Association(ICSA).1998 Glossary of biometric terms[J]. Information Security Technical Report, 1998, 3(1): 98-108.

[3] Mordini E, Petrini C. Ethical and social implications of biometric identification technology[J]. Ann Ist Super Sanita, 2007, 43(1): 5-11.

[4] 孫冬梅, 裘正定. 生物特征識別技術綜述[J]. 電子學報, 2001, 29(12A): 1744-1748.

[5] Van Der Ploeg I. Genetics, biometrics and the informatization of the body[J]. Ann Ist Super Sanita, 2007, 43(1): 44-50.

[6] Hunter H. Finger and palm prints in chromatin-positive males[J]. Journal of medical genetics, 1968, 5(2): 112-117.

[7] Select Committee on Science and Technology.Select Committee on Science and Technology Written Evidence[EB/OL].(2006-08-04)[2017-12-20].https://www.publications.parliament.uk/pa/cm200506/cmselect/cmsctech/1032/1032we 03.htm.

[8] Biovision. Roadmap to successful deployments from the user and system integrator perspective[R]. Amsterdam: Biovision, 2004.

[9] Future of Identity in the Information Society(FIDIS). Additional and in some cases health nelated information in biometrics[EB/OL]. (2007-12-28)[2017-12-20].http://www.fidis.net/resources/fidis-deliverables/hightechid/int-d37001/doc/21/.

[10] Courtney O. Retinal Scans Do More Than Let You In The Door[EB/OL]. (2005-08-31)[2017-12-20].https://phys.org/news/2005-08-retinal-scans-door.html.

[11] Nguyen T T, Wong T Y. Retinal vascular manifestations of metabolic disorders[J]. Trends Endocrinol Metab, 2006, 17(7): 262-268.

[12] 蘇高福. 虹膜診斷學在婦科臨床應用的研究[D].南京：南京中醫(yī)藥大學, 2005.

[13] 戴宗順, 陳柯竹, 彭清華. 虹膜診斷研究述評[J]. 湖南中醫(yī)藥大學學報, 2016(2): 81-84.

[14] Jain A K, Kumar A. Biometrics of next generation: An overview[J]. Second Generation Biometrics, 2010, 12(1): 2-3.

[15] Mordini E, Massari S. Body, biometrics and identity[J]. Bioethics, 2008, 22(9): 488-498.

[16] Wickins J. The ethics of biometrics: the risk of social exclusion from the widespread use of electronic identification[J]. Sci Eng Ethics, 2007, 13(1): 45-54.

[17] Irish Council for Bioethics.Biometrics,Enhancing Security,or Invading Privacy[M]. Dublin: Irish Council for Bioethics, 2009.

[18] EC. Working Paper of the data protection working party of the European Commission: biometrics[R]. Brussels: EC, 2003.

[19] 邱仁宗, 黃雯, 翟曉梅. 大數(shù)據(jù)技術的倫理問題[J]. 科學與社會, 2014(1): 36-48.

[20] Zhai X, Renzong Q. The Status Quo and Ethical Governance in Biometric in Mainland China[A]//In Kumar Ajay, Zhang David(eds.). Ethics and Policy of Biometrics: Third International Conference on Ethics and Policy of Biometrics and International Data Sharing. Berlin: Springer Berlin Heidelberg, 2010:127-137.

[21] European Union.Ethics of Security and Surveillance Technologies[EB/OL]. (2014-05-20)[2017-12-20].http://grundrechte.ch/2014/opinion_28_securityandsurveillancetechnologies.pdf.

[22] European Union. Towards responsible research and innovation in the information and communication technologies and security technologies fields[M]. France: European Union, 2011.