2022年6月29日,美国政府问责局(U.S. Government Accountability Office, GAO)发布了报告《人脸识别技术:联邦机构的使用和相关隐私保护》。
报告主要是有关“在联邦机构使用人脸识别技术(FRT)和相关隐私问题”的调查,调查发现24家机构中有18家称在2020年使用了这项技术,主要用于建筑和计算机访问以及执法。在另一项调查中,拥有执法人员的42家机构中有14家在刑事调查中使用了这项技术。GAO发现其中13家没有跟踪员工对非联邦(例如:州和商业)系统的使用,这可能会使机构面临违反隐私规则的风险。
摘译 | 林心雨/赛博研究院实习研究员
来源 | GAO
研究背景
人脸识别(FRT)是通过测量和分析身体和行为特征来识别个体的生物识别技术之一。FRT使用一张照片或一个视频资料中的静止人像,将其转换为模板或照片的数学表示。然后,匹配算法可以将该模板与另一张照片的模板进行比较,并计算出它们的相似性。
FRT的使用在政府和私营部门越来越普遍。随着FRT使用范围不断扩大,倡导组织和其他组织强调了FRT在联邦机构中的使用及其相关隐私风险的重要性。
联邦机构收集和使用个人信息,包括人脸图像,主要受美国1974的《隐私法案》和2002年《电子政府法》的隐私条款约束。《隐私法案》限制机构收集、披露和使用个人信息与保存在记录系统中的信息。此外,《电子政府法》要求各机构在适用的情况下进行隐私影响评估(PIA),分析个人信息在联邦系统中如何收集、存储、共享和管理。
该报告详细阐述了联邦机构对FRT的使用与FRT中的隐私保护,其相关内容是基于GAO近期关于FRT使用情况的报告,包括:2021年8月关于联邦机构当前正在使用和未来即将使用FRT的报告——对全国范围内24个最大机构的调查结果;2021年6月关于联邦执法机构使用FRT的报告——对42个雇佣执法人员的机构的调查结果;以及2020年关于机场和港口安全使用FRT的报告。
关键发现
2021年8月,GAO公布了FRT活动,发现24个机构中有18个出于一种或多种目的使用FRT,这些机构包括商务部、国防部、国土安全部、卫生和公共服务部、司法部、交通部、退伍军人事务部和各州州机构,美国国家航空航天局 (NASA) 和美国国家科学基金会 (NSF)。他们使用FRT的意图以数字化接入和国内执法为最常见。例如,有两个机构报告说,他们通过使用FRT来核实访问政府网站的人的身份,还有一些机构则利用FRT在刑事调查中获得线索。各机构还报告称,它们访问了其他实体的FRT系统,如其他联邦机构、州和地方政府以及私营部门拥有的系统。
此外,根据GAO对调查回复的分析,24 家机构中有10家正在进行或支持与FRT有关的研究和发展,计划以一种或多种方式扩大对FRT系统的使用。例如,美国司法部报告称,正在进行面部识别算法中肤色与假匹配率之间关系的应用研究以及其他一些研究工作。
联邦机构使用面部识别技术的示例
2021年6月,GAO报告了对42个雇用执法人员的联邦机构的另一项调查结果。14个机构报告使用FRT支持刑事调查,然而,GAO发现其中13个机构没有跟踪员工使用非联邦FRT系统。
例如,一家机构进行了一项民意调查,发现其员工使用非联邦系统进行了超过1000次面部护理识别搜索。而缺乏对员工使用非联邦FRT系统的关注可能会对个人隐私产生影响,其中包括违反隐私法的风险或系统所有者可能将共享敏感信息用于搜索。2020年9月,GAO还发现美国海关和边境保护局 (CBP)的生物识别信息出入境计划纳入了一些隐私保护措施,但具体实施仍有一定不足。例如,CBP只对其20多家商业航空合作伙伴中的一家进行了合规审查,并没有计划审查所有合作伙伴是否符合项目隐私要求。
人脸识别技术使用建议
在过去的报告中,GAO向13家机构提出建议,要求它们建立一种跟踪员工使用非联邦系统的情况的机制,并评估这些人脸识别系统的风险。各机构普遍赞成这些建议:3家机构已经实施了跟踪非联邦系统的机制,但尚未评估使用这种系统的风险。
此外,GAO在2020年9月还建议CBP:
(1)确保生物识别信息出入境项目的隐私通知包含完整、最新的信息,包括所有使用人脸识别的地点,以及旅客如何根据需要选择退出;
(2)确保生物识别信息出入境项目的隐私标识在CBP使用人脸识别的所有地点始终可用;
(3)指示生物识别信息出入境项目制定,对其商业合作伙伴、承包商和供应商使用个人身份信息的情况进行隐私审查。
美国国土安全部同意GAO提出的建议。自2022年2月起,CBP已经实施了关于确保生物识别信息出入境项目的隐私通知包含完整和最新信息的建议。CBP现已采取措施应对其余两项建议,但尚未全面实施。全面实施GAO提出的建议将有助于让旅行者有机会在合适的情况下拒绝对其生物识别信息的使用,并帮助CBP提高其使用个人身份信息的透明度。此外,CBP在两个入境口岸对其商业合作伙伴进行了评估,以确保他们遵守CBP制定的保护旅客隐私的要求。如果CBP制定并实施该计划——对所有接触到个人身份信息的合作伙伴进行合规审查,将更好地保护旅行者的个人信息。
声明:本文来自赛博研究院,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。