各國都有自己的公民身份系統(tǒng)，有的是統(tǒng)一身份證件，有的則是統(tǒng)一編碼。但世界上仍有許多人沒有“合法”身份，比如因戰(zhàn)亂、災(zāi)害失去家園者、難民、被拐賣的兒童等等。

全球范圍內(nèi)，他們是人道主義機構(gòu)的援助對象。但“難以識別”恰恰成為一大障礙，發(fā)放救援物資或現(xiàn)金時如何避免冒領(lǐng)、漏領(lǐng)，疫苗接種會不會出現(xiàn)打重或漏打……

許多人道主義機構(gòu)開始啟用生物識別技術(shù)，依靠指紋、虹膜或人臉等信息識別個人。紅十字會國際委員會（ICRC）也是其一，這也是他們數(shù)字化轉(zhuǎn)型的一步。ICRC采集服務(wù)對象的指紋信息，用于身份驗證。

但I(xiàn)CRC為自己劃定了一個“禁區(qū)”，不會將服務(wù)對象的原始生物特征信息納入一個中央數(shù)據(jù)庫。這是為什么？

本文節(jié)選自紐約大學(xué)AI Now研究中心報告“Regulating Biometrics: Global Approaches and Urgent Questions”（生物識別技術(shù)監(jiān)管：全球舉措及關(guān)鍵問題）的第五章。為便于理解，我們對原文進(jìn)行了必要的補充和修改。

一些情況下，國際紅十字會需要識別具體的人，以確保醫(yī)療服務(wù)的連續(xù)有效，比如需要分多次接種的疫苗。圖片來源：ICRC官網(wǎng)

紅十字國際委員會（ICRC）在全球九十多個國家開展工作，作為全球人道主義網(wǎng)絡(luò)的一部分，服務(wù)人群超過八千多萬。比如，它為羈押人員提供醫(yī)療保健、食物、基本住所、衣物、教育和工作的機會以及其他援助。此外，ICRC還會找尋失蹤人口，幫助失散家庭重聚。

援助中，后勤是一大挑戰(zhàn)，由于許多受助者缺乏有效的身份證件文件，一些人道主義組織使用了生物識別系統(tǒng)，可以在提供服務(wù)或援助時驗證受助者身份。

人們在何種情況下有被識別的“必要”？應(yīng)使用哪種識別技術(shù)？使用生物識別技術(shù)恰當(dāng)嗎？人道主義組織已就這些問題進(jìn)行了激烈辯論。

一些情況下，一些人道主義援助需要識別具體的人，以保證醫(yī)療服務(wù)的連續(xù)和有效（編者注：比如一些疫苗需要分多次接種，ICRC需要明確具體的人），他們會要求受助者提供旅行證件或財務(wù)服務(wù)。聯(lián)合國難民署（UNHCR）有權(quán)識別難民和尋求庇護(hù)者，并向他們提供有效的身份證件（盡管它們因使用生物識別技術(shù)屢遭批評）。但大多數(shù)人道主義組織并沒有正式權(quán)限向人們提供身份證明文件，他們主要使用了生物識別技術(shù)，可以提高效率，并保證一定的準(zhǔn)確性。

相較于傳統(tǒng)的身份證件、社保號碼和其他文件，生物識別ID可以更直接關(guān)聯(lián)到單個人。它還可以避免單個人重復(fù)認(rèn)領(lǐng)援助金或物資，對機構(gòu)而言，這是一大吸引力。

生物識別技術(shù)的應(yīng)用也推動了現(xiàn)金轉(zhuǎn)移計劃（cash-transfer programs）的發(fā)展壯大。金融服務(wù)提供商必須驗證賬戶持有人和現(xiàn)金接收者的身份，生物識別提供了一種簡單直接的方式，滿足多種運營和法律需求。

這對人道主義機構(gòu)的工作人員至關(guān)重要，他們希望運營盡可能高效，確保有限的服務(wù)和援助可以精準(zhǔn)投放給受益人。這些機構(gòu)的捐贈者也對“端到端的可審核性”（end-to-end auditability）提出了更高要求（提高透明度，要求人道主義資金從捐贈者到接收者全鏈條可追蹤），基于反欺詐和問責(zé)程序使用資金。

這一切都促使人道主義組織使用生物識別技術(shù)進(jìn)行受益人登記和救援物資分配。如果別人都在這樣做，為什么我們不呢？

風(fēng)險和擔(dān)憂

人們關(guān)注生物識別技術(shù)在人道主義工作中的應(yīng)用，但其風(fēng)險性常被忽視。生物識別數(shù)據(jù)是獨特的、不可改變的。對于那些身處惡劣境遇的人們，它提供了永久性、可識別的記錄。但或許他們并不想被永久性識別，如果他們逃離的政權(quán)或武裝力量獲得了這部分?jǐn)?shù)據(jù)（或有權(quán)訪問），相關(guān)人員可能遭受傷害。

生物識別的敏感性在于，它可能被反復(fù)使用、濫用或“功能潛變”（function creep），即數(shù)據(jù)可能背離原始目的，被用于其他目的上，且無需獲得數(shù)據(jù)主體的知情和同意。

例如，數(shù)據(jù)可能會與非人道主義組織或政府共享，用于安保和移民控制，這背離了采集數(shù)據(jù)的初衷——服務(wù)于人道主義救援。尤其在危機或緊急情況下，生物識別數(shù)據(jù)可能在被援助者不希望、不知情或不同意的情況下被挪用。

此外，出于人道主義目的建立的數(shù)據(jù)庫有可能與其他數(shù)據(jù)庫相匹配，比如由政府的合作伙伴開發(fā)或運行的其他社會登記系統(tǒng)或者公民身份證系統(tǒng)。技術(shù)在不斷進(jìn)步，未來，基于生物識別數(shù)據(jù)生成的用戶檔案還可能包含更多信息，例如健康狀況、種族或基因。

剛果民主共和國一處難民營，人們正進(jìn)行指紋識別。圖片來源：聯(lián)合國移民署

剛果民主共和國的一個難民營使用了指紋識別系統(tǒng)。圖片來源：ICRC官網(wǎng)

各國對生物識別技術(shù)的興趣漸濃，以此監(jiān)測人口流動，識別安全“威脅”。2017年12月，聯(lián)合國安理會呼吁加強生物識別系統(tǒng)的應(yīng)用，以識別恐怖分子嫌疑人，要求所有聯(lián)合國會員國“開發(fā)和使用系統(tǒng)，收集生物識別數(shù)據(jù)，包括指紋、照片、面部識別及其他相關(guān)的生物識別數(shù)據(jù)，在遵循各國法律和國際人權(quán)法的基礎(chǔ)上負(fù)責(zé)任地、適當(dāng)?shù)刈R別恐怖分子，包括外國恐怖分子”。

各國紛紛對人道主義機構(gòu)施壓，要求其開放生物識別數(shù)據(jù)，用于人道主義救援以外的目的。人道主義組織也容易受到來自國家和非國家實體網(wǎng)絡(luò)活動的攻擊，后者想要不經(jīng)授權(quán)進(jìn)行數(shù)據(jù)訪問。

2019年12月舉行的第33屆“紅十字會與紅新月國際聯(lián)合會”，生物識別數(shù)據(jù)的應(yīng)用就成為一個中心議題。為維護(hù)人道主義組織的獨立性、中立性和信譽度，大會通過了一項具有里程碑意義的決議，“在尊重隱私的同時幫助家庭恢復(fù)聯(lián)系”。該決議基于目的限制性（purpose limitation）原則，“敦促各國與此項運動合作，確保個人數(shù)據(jù)不被用于與人道主義精神不符的其他用途”。

ICRC版生物識別信息政策

2019年8月，ICRC推出了一套專門針對生物識別技術(shù)的政策。而在此之前，紅十字國際委員會已對生物識別技術(shù)的應(yīng)用提出了限制，例如，他們會在其簽發(fā)的旅行證件上加入指紋（但指紋信息未被存儲在任何數(shù)據(jù)庫中）。除了使用DNA譜圖分析來鑒定遺體，以確定失蹤者身份外，ICRC也在探索人臉識別技術(shù)，幫助離散家庭重聚。

生物識別技術(shù)是ICRC轉(zhuǎn)型戰(zhàn)略的一部分，試圖抓住新技術(shù)的契機，提高運營效率，進(jìn)而轉(zhuǎn)變并調(diào)整其人道主義的應(yīng)對措施。但隨之而來的問題是如何管理風(fēng)險。

早在2018年初，隨著人們對生物識別技術(shù)應(yīng)用的興趣漸濃，ICRC理事會要求評估相關(guān)的運營、倫理和聲譽風(fēng)險，同時研究政策，如何在引入創(chuàng)新的同時保護(hù)數(shù)據(jù)。

ICRC在18個月內(nèi)制定了該政策，前后歷經(jīng)研究、分析、咨詢和反思。ICRC審查了自身生物識別技術(shù)使用的所有場景，評估了“合法性依據(jù)”和具體處理目的，并確定了組織、技術(shù)和法律層面的保障措施。盡管ICRC不受國家或地區(qū)數(shù)據(jù)保護(hù)法的約束，但它采用了類似規(guī)則，要求所有數(shù)據(jù)處理和應(yīng)用需滿足合法性依據(jù)。

“合法性依據(jù)”包括，某些任務(wù)中必須使用生物識別，否則將無法識別特定目標(biāo)。例如，使用DNA確定失蹤者身份或下落，使用人臉識別來匹配和尋找失蹤者。ICRC將這些使用目的定義為“公共利益”。

另一些情況中，合法性依據(jù)更難界定。例如，當(dāng)生物識別技術(shù)應(yīng)用于受益人管理和援助物資發(fā)放，應(yīng)用的目的在于提高效率，并且此前，發(fā)放援助物資無需生物識別就可以完成。ICRC認(rèn)定，生物識別用于身份管理系統(tǒng)，其“合法性”不得損害人們的權(quán)利和自由。在目的和手段之間平衡，這也是數(shù)據(jù)保護(hù)法的基本準(zhǔn)則（比如GDPR）。

經(jīng)過綜合考慮，ICRC認(rèn)為，可以利用生物識別技術(shù)的效率和有效性，在援助物資分配中完善“端到端”的問責(zé)制，同時還需要最大程度地降低受益人風(fēng)險。這種平衡性體現(xiàn)在生物識別數(shù)據(jù)的采集、使用和存儲，ICRC設(shè)計了一套基于存儲卡的系統(tǒng)（token-based system）。

實踐中，ICRC援助對象的生物識別數(shù)據(jù)被存儲在一張卡中，由其本人持有，只有在需要時，ICRC才會使用這張卡片進(jìn)行身份驗證，而不會收集、保留或進(jìn)一步處理這部分?jǐn)?shù)據(jù)，也不會建立生物識別數(shù)據(jù)庫。

ICRC使用這種卡片，除了在發(fā)放援助物資時進(jìn)行身份驗證，不會被用于其他用途。如果受益人要撤回或刪除其生物識別數(shù)據(jù)，他們可以要求ICRC退還或銷毀卡片。如前所述，其他力量（比如國家政府或軍事力量）可能會強迫人道主義機構(gòu)交出生物識別數(shù)據(jù)，ICRC就不存在類似壓力，因為它壓根沒有存儲這些數(shù)據(jù)。

紅十字會生物識別信息政策的主要特點

ICRC生物識別政策由紅十字國際委員會大會于2019年8月通過，其中規(guī)定了工作人員、項目角色和職責(zé)、ICRC處理生物識別數(shù)據(jù)的合法性依據(jù)、特定使用目的和場景，以及ICRC可處理的生物識別數(shù)據(jù)的類型。

具體包括如下：

?    ICRC為缺失有效身份證件者出具旅行證件，其中附有證件持有者的指紋新聞，幫助他們返回其祖國、常居地或那些愿意接收他們的國家；

?    使用生物識別系統(tǒng)設(shè)置訪問權(quán)限，針對機密信息和/或關(guān)鍵任務(wù)資源，例如ICRC的服務(wù)器和控制室

?    使用指紋、面部掃描和DNA識別遺體身份，常用于災(zāi)區(qū)、沖突地區(qū)或其他暴裝沖突地區(qū)；

?    使用數(shù)碼照片以追蹤、查明失散或失蹤人員；

?    一些針對ICRC工作人員的綁架或襲擊案中，調(diào)查中需使用生物識別數(shù)據(jù)確定特定人員的身份或命運；

?    具體案例中，可使用DNA圖譜分析，幫助失散家庭團(tuán)聚或確定失蹤者命運；

?    向受益人提供存儲其生物識別數(shù)據(jù)的卡片，可用于驗證身份，卡片僅由受益人本人持有。

還有其他警告：

?    旅行證件上的指紋仍僅限于紙質(zhì)文件的油墨手印（不允許ICRC開展進(jìn)一步的生物識別處理）。

?    不得濫用生物識別技術(shù)對常規(guī)工作場所設(shè)置門禁（需要高級別安防地區(qū)、經(jīng)授權(quán)者才能進(jìn)出的特定場所除外）。

?    使用DNA圖譜確認(rèn)家屬關(guān)系，ICRC對其使用有著嚴(yán)格限制，需基于某個國家法律或政策，證明兩人確有實際親屬關(guān)系。

該政策還明確，ICRC不得建立生物識別數(shù)據(jù)庫。

如果ICRC項目組或代表希望使用生物識別數(shù)據(jù)，他們必須先進(jìn)行數(shù)據(jù)保護(hù)影響評估，并確保，在系統(tǒng)開發(fā)或流程啟動的最初，數(shù)據(jù)保護(hù)就已生效，無論是通過特別設(shè)計的數(shù)據(jù)保護(hù)條例，還是先有政策法規(guī)所框定的保護(hù)辦法。

ICRC的生物識別技術(shù)政策還解決了一些數(shù)據(jù)保護(hù)法案的常見問題，比如數(shù)據(jù)的采集和處理需要征得數(shù)據(jù)主體的“同意”。獲得同意是人道主義組織歷來的傳統(tǒng)，一些情況下，人們需簽署“同意書”或提供指紋，以證明其愿意接受援助或服務(wù)（比如，沒有書寫能力者可以使用指紋代替，但未避免生物識別數(shù)據(jù)的泄露和挪用，ICRC也不再使用指紋）。

ICRC對生物識別數(shù)據(jù)處理中的“知情同意”提出了更高標(biāo)準(zhǔn)：《ICRC個人數(shù)據(jù)保護(hù)規(guī)則》（ICRC Rules on Personal Data Protection）要求“對于個人數(shù)據(jù)的使用，數(shù)據(jù)主體自愿、明確且知情，并簽署同意”。

但I(xiàn)CRC認(rèn)為，“知情同意”并不等于生物識別數(shù)據(jù)的使用就擁有了絕對的合理性，即便在一些緊急狀況下。如果個人沒有真正的選擇，這種“同意”就是無效的。例如，只有在提供個人信息的前提下才發(fā)放援助（編者注：即個人一旦拒絕，就無法獲得援助或服務(wù)），“同意”不可能是出于“自愿”的。

此外，權(quán)力失衡可能意味著人們沒有真正的“選擇”，個人會被“誘導(dǎo)”，全盤接受人道主義組織的建議。

就生物識別而言，要確保真正“知情”極為困難，人們可能無法完全理解生物識別技術(shù)本身，也難以理解數(shù)據(jù)處理全過程中的數(shù)據(jù)流、風(fēng)險或收益。

“生物識別政策”要求ICRC向受益人解釋數(shù)據(jù)處理的基礎(chǔ)和目的，包括任何涉及數(shù)據(jù)共享的部分。ICRC還鼓勵受益人有機會提出問題或反對意見，特別是涉及第三方共享數(shù)據(jù)的方面。如果人們不想提供自己的生物識別數(shù)據(jù)或其他個人數(shù)據(jù)，或不愿與ICRC的合作伙伴共享數(shù)據(jù)，ICRC將尊重其意愿。

最后，任何情況下ICRC都不會出于人道主義以外的目的與第三方機構(gòu)（包括各國政府）共享生物識別數(shù)據(jù)。即使是明確出于完全人道主義目的，共享生物識別數(shù)據(jù)前ICRC也必須滿足嚴(yán)格限制條件。

ICRC將至少每三年審查一次“生物識別政策”，包括不能建立用于身份管理的生物識別數(shù)據(jù)庫的決策。ICRC將審查生物識別技術(shù)的實用性、安全性、成本、有效性和影響，并可能修訂該政策以擴大使用生物識別技術(shù)的范圍或者引入新的保障措施。

（本文作者Ben Hayes為紅十字國際委員會法律咨詢顧問，Massimo Marelli為紅十字國際委員會數(shù)據(jù)保護(hù)辦公室的負(fù)責(zé)人。本系列經(jīng)紐約大學(xué)AI Now研究中心授權(quán)翻譯發(fā)布，更多內(nèi)容可閱讀官網(wǎng)的報告全文。）

制圖：白浪