生物识别技术的公众认知（二）

四、生物识别技术的理论基础，这里简单说指纹和人脸。

指纹应用有两大理论基础：终生不变，各不相同。而人脸是随着年龄增长而变化的，同时因为采集方式的不同，指纹是标准化的采集，而人脸比较容易受到一些环境、表情因素的影响，同一个人不同时期的人脸照片可能差异比较大，反而不同人在同一个环境下的人脸照片差异比较小，对识别造成了困难。因此，指纹可以作为直接的法律证据来使用，人脸更多是作为一种技术手段或者说辅助的证据。

既然人脸无法给出有法律证据效力的确定性结果，那人脸识别能否用于实名制核验？我给出的答案是肯定的。人脸肯定是Zui自然，Zui直观的生物特征，长期以来就是识别身份的手段，是被现有社会经验体系所包容并接受的。同时，人脸识别并不是单一的身份核验手段，大多是作为辅助的手段，总是结合身份证件使用。例如现在央行对于实名制账户的认证要求，Zui别的账户就要求有五种方式相互认证，用多重手段证明这个人的身份，而不是单独的靠人脸识别就可以确认。

人脸识别技术与肉眼判定相比，都存在误识率和拒识率，并不是说人肉眼的能力就是确定性的。随着技术的不断发展，这些不好的指标都在迅速的下降，也就是说人脸识别的技术能力在迅速提高，目前人脸识别技术能力已经好于我们肉眼的识别能力。同时，相比传统的肉眼判定，人脸识别技术带来了两个传统方式无法做到的：更低的风险和可量化的风险。比如银行等金融机构的贷款业务部门，或者信用卡业务部门，并不是说一定要求零风险，如果人脸识别实名制核验可以提供千分之一或者万分之一的误识，也就是说带来了千分之一或者万分之一的风险概率，那么可以通过风控部门的评估，很容易做出相应的风险预警并确定能否采用这样的技术，同时也表明了银行是否有承担这样风险的能力。

既然人脸识别技术一定会产生错误，谁为错误承担责任？首先，技术本身是没有原罪的，如果说起原罪，核能的争议可能是Zui大的，既是新能源，也是Zui厉害的杀人武器，但大家也普遍认为核能没有原罪。其次，生物识别企业自身有有限的责任，：1，对公众正确引导，不能为了市场宣传而夸大一些东西做负面或者说是偏离的引导；2，保证产品技术指标、适用范围描述的真实性；3，积极投入研发力量，不断提升技术水平，降低一切问题发生的可能性，这是我们的责任。Zui后，作为生物识别产品的用户，不应该把责任转移掉，他们一定要承担一些责任。今年3月份alphago与李世石的大战，标志着人工智能元年的开启。生物识别技术也是人工智能领域的一个重要分支。聊起人工智能，首先想到的就是机器人，着名的科幻作家阿西莫夫在自己的着作中描述了机器人三定律：第一定律，机器人不能伤害人类；第二定律，不违反第一定律的前提下服从人类的命令；第三定律，不违反前两个定律的情况下保护自己。当然，这样的机器人道德准则只存在于科幻小说中，在现实情况下很难有可执行性。今年，英国标准协会（bsi）制定类似于机器人三定律的标准型指导文件《机器人和机器系统的伦理设计和应用指南》，在现有技术能力下，对机器人，或者说人工智能的社会道德进行了引导和约束。这份指南的主要内容包括：1，机器人的设定目的不应该是专门用来伤害或者说杀死人类；2，人类是负责任的主体而不是机器人；3，确保找出某一个机器人的行为负责人的可能性。也就是说，人工智能做的每一个决定是应该有人来负责的，这个负责人到底是用户还应该是生产厂商？值得我们讨论，但用户不可能完全摆脱干系。指南同时建议，设计者应该关注机器人的透明性，知道它是如何运转并做出决策的，其实很多专家都提到，现在的人工智能技术，特别是深度学习技术，人们是无法了解机器是如何决策的，决策的过程和结果也无法评估。并且因为使用了各种各样的训练样本，样本本身就可能有一定的倾向性，所以ai的决策有可能有错误或偏见。既然错误与偏见必然存在，指南建议不能过度依赖机器人。 很多用户受到科幻电影熏陶比较多，对未来也有很多美好的幻想，更倾向于将人工智能看作是人的替代品而不是助手，所以就会出现这样一些案例，如赵薇家的司机卖别墅，在公证处进行人脸识别时，人脸识别系统出现了错误，没有发现他冒充赵薇老公的事实，作为公证处，在使用这样设备或者技术的同时，是否了解技术本身的能力和风险范围？能否将全部的责任推到设备身上？作为社会公众，在看到这样一条消息的时候，是否能够不以这单一案例否定技术的合理性和有效性？再如特斯拉自动驾驶发生车毁人亡事故的案例，驾驶员过于相信特斯拉自动驾驶功能，未能发现在极端情况下出现的货车，特斯拉未经减速直接撞上去导致车毁人亡。作为驾驶员的车主，在这起事故中虽然付出了惨重的代价，但他也同时承担了Zui主要的责任。

五、认证vs核验

前面提到，人脸识别技术是适合用于完成实名制核验的，这里有很多种说法，有的叫实名制认证、身份认证、身份核验等等。在我们看来，从严格意义上讲，认证和核验是两个不同的概念。认证是建立真实身份或者说法律身份的过程。核验是验证所宣称身份是否一致的过程。或者说，认证的作用是建立法律上的你，核验的作用是验证现在的你是过去的你。我们常说的实名制核验，其实包含了认证和核验两部分。

认证的意义在于其官方的确定性和可靠性，没有经过认证的核验是不可靠的。如我国违法犯罪嫌疑人采集指纹后首先要进行查重；印度的uid、美国的us visit在采集虹膜、指纹信息后第一步查重；我们国家的户籍人脸库在各省已经完成了查重，即将在全国库建设完成之后开展全国查重。这些工作都是为了确保官方数据源的正确性，从而能够为后续的身份核验或者实名制核验提供真正可靠的官方数据源。相反，本地注册、本地认证都是不可靠的，不能证明注册者的身份是谁。

认证的原则有以下几条：

1，基于互联网开放应用的认证，数据源必须是官方可信的。正面的例子是我们使用身份证芯片中的指纹信息和人脸信息进行核验；用官方采集的户籍、制证等官方数据源进行核验。反面的例子是如果注册过程不受控，则可能在注册阶段已经使用了虚假的身份，则后续的核验是没有意义的。

2，封闭应用，本地的应用不要求也无法确定数据源是可信的，苹果的touch id可以随意注册，在同一个手机上可以用老公、老婆、小孩甚至猫爪子都能同时注册，在使用移动支付的时候不论用哪个注册的指纹信息都可以完成支付，此时并无法确定支付的实名制。另一个例子：fido并不是真正意义上的远程身份认证，只是通过本地的生物特征核验，保证所使用证书的安全，而生物特征核验并没有采用中心官方认证的数据源。。

实名制核验的关键就是中心认证，如果没有官方的中心认证，这不是生物特征的实名制核验，如前面提到的fido模式，以及一些厂商在互联网金融远程实名制核验方案中提到的，第一次实名制核验使用官方认证的数据源进行核验，但第二次及后续的核验出于成本的考虑，可能使用的就是第一次核验过程保存的历史照片。这样的方案不是一个真正的实名制方案。除了远程调用中心服务器数据源的方式之外，在设备上利用身份证芯片中存储的生物特征进行核验，这也是标准的实名制核验，尽管没有通过网络调用中心数据源，但因为身份证件本身就可以看作是国家身份证库分布式存储的数据源，也是不折不扣、如假包换的国家库，因此也可看作是官方认证的实名制核验。

六、总结

1.人脸识别可以用于实名制核验，其识别率好于肉眼，风险可测，但要注意远程采集人脸图像进行实名制核验时，需要配合活体检测。2.生物识别天然不是用于授权，应慎重对待生物识别技术直接用于支付。不是说生物特征不能用于支付，但应该知道生物特征支付带来的更多是便利性而不是安全性，建议先从小额支付开始，同时要保存实时采集的生物特征。3.实名制核验必须经过官方中心认证，目前面向社会开发的国家官方可信数据源只有两个，公安部一所和全国公民身份证号码查询服务中心，这两个机构的数据来源都是官方来源，数据中心都是在的数据安全体系下，相对是有保障的。

七、关于海鑫科金

海鑫科金自主研发了一系列离线式的实名制核验设备，包括有智能闸机、立式、桌面式、壁挂式、手持式等多种产品形态，因应用场景的不同，有的还带有活体检测的功能，大部分的产品都是人脸与指纹双模认证的。海鑫的实名制核验设备，已经在大量行业开始了广泛应用，如公安治安检查站、g20期间的杭州酒店、教育考试、机场安检等等。得到了用户的广泛好评，充分证明了这一技术的有效性。

海鑫科金从1998年成立到现在已经走过了18年，在过去的十几年中，主要做的事情是公安信息化建设与生物识别技术。我们的工作始终秉承着专注和专业两种精神，专注指的是我们的工作始终关注人，研究怎么识人、找人的问题。专业指的是我们以技术为主导，创新为主导，希望可以做一些真正对社会有贡献的新东西。谢谢大家！