胡海明，翟晓梅

(北京协和医学院人文和社会科学学院，北京 100730，hhm0501@163.com)

随着社会的发展，在日常生活中，经常需要验证人的身份，或者去确认某个人是谁，这就涉及身份的认证，也就是身份识别。传统的身份识别方式主要包括两类：一是通过实物对个体的身份进行识别，比如身份证、智能卡、护照、钥匙等；二是通过约定相关的口令进行身份识别，比如验证码、暗号、用户名和密码等。由于是借助体外物，传统的身份识别方式存在记忆繁琐、易于遗忘、被盗、丢失等缺点，易发生个人信息的泄露、身份盗窃、诈骗等，在身份识别方面存在很大的安全隐患。特别是“9·11”事件以来，传统身份识别方式的弊端更加凸显，人们迫切需要更加安全便捷的身份识别方式。在这种背景下，智能的生物识别技术迅速发展[1]。

生物识别技术(biometric identification technology)，是一类基于个体独特的生理或行为特征对个体身份进行自动辨识或认证的技术[2]。一个完整的生物识别系统通常由四部分组成：读取器或采集仪、特征提取器、存储生物识别信息(biometric information)的数据库和匹配器。

一般来说，生物识别技术有两个方面的作用[3]。其一是“辨识”(这个人是谁)，是“1对多”的比对，即通过比对被测模板与集中式数据库(central database)中存储的多个模板来辨识身份；另外一个是“认证”，是“1对1”的比对，即通过比对被测模板与预存在(集中与否均可)数据库中的特定模板，以确定“该人是否是其所自称的人”。

用于生物识别技术的生物特征元素(生理的或行为的)，至少需要满足以下三个基本条件：①普遍性，生物特征元素存在于所有人；②唯一性，生物特征元素必须是独一无二的；③永久性，生物特征元素随着时间的推移不发生变化。此外，在实际应用中，生物识别系统还必须考虑[4]：①性能，即识别的准确性、速度以及为达到所要求的准确性和速度所需要的资源；②可接受性，人们对于一种特定的生物特征识别在日常生活中的接受程度；③可欺骗性，用欺诈的方法骗过系统的难易程度。因此，根据以上条件，目前为人们比较普遍接受的生物识别方法包括指纹识别、视网膜和虹膜扫描识别、人脸识别、手形识别、声音识别、签名识别等。未来的生物识别将会包括DNA分析、神经波分析等。多模式的系统，整合不同的识别方法，也会是未来生物识别发展的趋势。

近年来，随着计算机技术的不断发展、成本的持续降低以及性能的稳步提高，生物识别技术变得更加具有实用性，应用范围也更加广泛：金融支付、上班打卡、边境控制以及对访问受控用户的辨识和/或认证等。

然而，在生物识别技术取得广泛社会应用的同时，人们正面临着诸如隐私保护(privacy protection)、功能僭变(function creep)、身体信息化(the informatization of the body)、知情同意(informed consent)以及社会排斥(social exclusion)等诸多伦理、管理和规范政策的挑战。限于篇幅，本文将着重探讨生物识别技术应用中所涉及的身体信息化问题。

1 身体信息化的概念、产生原因及其特殊性

1.1 身体信息化的概念

大数据和生物识别背景下，身体信息化是指从生物识别信息中挖掘出大量有关个体/用户的信息[5]。换句话说，身体信息化其实就是根据生物识别信息进行数据挖掘。生物识别信息，如指纹信息、面部特征等，不仅仅可以用来识别身份，很多情况下，还可以成为其他个人信息的来源。例如，人脸识别通过面部特征可以识别出男同性恋者。一般来说，这些从生物识别信息中进一步挖掘出来的信息非常丰富，往往与个体的遗传相关[5]。

1.2 身体信息化产生的原因

身体信息化的产生并非偶然。之所以能够根据生物识别信息进行数据挖掘，原因很多。首先，身体本身就含有大量的信息，身体就是个人信息的“金山矿”。例如，面部表情可以反映心情状况，某些内心想法可以通过肢体语言表现出来等。这是身体信息化的内在基础。其次，个体/用户在注册、登录生物识别系统时，采集(提供)的信息愈多，愈容易根据这些已提供的信息进行深度挖掘。生物识别系统在采集生物识别信息进行个体/用户识别时，为了防止虚假身份的欺骗，不只是单纯采集指纹、面部特征等图像信息，同时还可能会采集个体/用户更多的信息，如体表温度、脉搏、血压、生物电、活体检测等，以便更加准确无误的确定个体/用户的身份。可以说，采集的信息越多越丰富，从这些采集(提供的)信息中进一步挖掘的其他的个人信息也就越多越深。这是身体信息化的外在条件。再次，大数据、人工智能(深度学习)技术的发展使得身体信息化、对生物识别信息的数据挖掘“如虎添翼”。如今，大数据技术发展迅速，数据挖掘的技术手段更加多样，这将成为身体信息化的“有力武器”。最后，相关学科或研究的发展为身体信息化提供了有力的证据。例如，通过研究发现某些指纹特征与某疾病有关，某种类型的面部特征可以反映出是否是同性恋等。这是身体信息化的理论支撑。

1.3 身体信息化的特殊性

身体信息化问题是生物识别技术特有的，相比传统的身份识别方式(如用户名和密码)，其特殊性在于：

挖掘出的信息含量更加丰富。根据传统的身份识别方式挖掘出的信息往往是有限的，而从生物识别信息中挖掘的信息含量巨大，例如人脸识别可以识别出个体/用户的年龄、性别等，以及可以判断出个体/用户的心情、性格等，通过指纹比对可以识别出是否有犯罪记录等。

挖掘出的信息与遗传高度相关、高度敏感。生物识别信息与遗传高度相关，是敏感的个人信息，从生物识别信息中挖掘出的信息往往也具有高度敏感性，例如指纹识别能够识别出某些染色体异常疾病[6]，虹膜识别能够识别出是否患有艾滋病等[7]。

2 身体信息化在医学中的应用及风险

身体信息化还包括，从生物识别信息中挖掘有关个体/用户的医学信息(包括现在的身心状态及潜在的患病风险等)，这被称为生物识别技术应用所引发的间接医学影响(Indirect Medical Implication)[5-8]。目前，已经有证据或研究表明，某些疾病与某些特殊类型的生物特征有关，可以从这些特殊的生物特征了解个体/用户是否患有某些疾病或将来患病的概率或趋势。例如，研究发现：某些特殊类型的掌形与某些疾病有关，如痛风和关节炎[9]；某些特殊类型的指纹跟某些染色体异常(如唐氏综合征、特纳综合征和克氏综合征等)有关[6]；眼睛也能揭露很多健康状况，包括艾滋病、莱姆病、充血性心力衰竭和胆固醇水平，甚至白血病、淋巴瘤、强身症候群以及镰刀形细胞贫血等[7]；喝酒、吸毒或怀孕者的瞳孔反应与正常人的也会不一样[10]；视网膜微血管的变化可能与2型糖尿病和高血压有关，也与脑中风和心血管病死亡有关[11]。

因此，根据身体某些生物特征与某些疾病/健康状况之间的关系，身体信息化可以辅助医生进行疾病的诊断[12-13]。这是身体信息化的积极作用。但同时，身体信息化也会带来诸多风险：

歧视与污名化。通过生物识别信息挖掘个体/用户的医学信息，使得生物识别信息不仅仅是一个标识符，还是个体/用户医学信息的来源。在个体/用户使用生物识别的过程中，可以从个体/用户的生物特征中挖掘有关他们的医疗状况。这些有关个体/用户身心健康状况/疾病的信息是敏感的，是可以用来区别对待个体/用户的[14]。一般来说，出于很多原因，对基于个体/用户身体或感知残疾的任何歧视，都是很难发现的，更不用说去证明。

不安与恐惧。当个体/用户了解到自己的生物识别信息能够被用来挖掘与自己有关的医学信息，或将这些挖掘出的医学信息泄露给他人，甚至发生个人信息买卖时，个体/用户往往会感到不安或恐惧。尤其是当这些医学信息(现在身心状况及未来患病风险)泄露给第三方(雇主、保险公司等)时，个体/用户会面临解雇、失去保险，更会感到不安与恐惧。

分类与社会排斥。受伤或疾病，可能会阻碍个体的注册或登录，如眼部疾病可能阻碍虹膜扫描，关节炎可能影响掌形的测量，手指烧伤可能影响指纹识别[15]。根据生物识别的结果和挖掘信息的丰富程度，可以将人们进一步分为不同的群体，如能识别者与不能识别者、残疾的与正常的、有病的与无病的、犯罪者与表现良好者等。不能被识别者往往被社会排斥在外，导致有限资源的分配不公[16]。

因此，从生物识别信息中挖掘的额外的有关健康状况/疾病的敏感的个人信息需要给予特别的关注，减少或消除生物识别技术身体信息化产生的消极后果，将对有关个体/用户产生深远的影响[17]。

3 伦理治理

授权的或未授权的使用生物识别信息进行数据挖掘所引发的隐私问题在欧洲学者的研究和著作中早有讨论。2003年，欧盟委员会工作组织的生物识别数据保护工作报告(Working Paper of the data protection working party of the European Commission: biometrics)[18]主要解决隐私问题，为生物识别信息的收集、存储和使用设置了基本原则：目的性原则，即生物识别信息的收集要有明确的合理的目的；均衡性原则，即收集的信息要足够、相关，但不过量。最后，该报告也考虑了生物识别系统包含更多个人信息的潜在风险，提出需要隐私增强技术，同时降低不必要信息的获取，如名字、地址等。

有关生物识别技术应用引起的身体信息化的管理问题，我们推荐“伦理治理(ethical governance)”这一概念。治理(governance)与管理不同，管理(management, regulation)是治理的一个方面，治理的意义是决策和决策实施过程，并包括公司、地方、国家以及国际多个层面[19]。生物识别技术应用的伦理治理，不仅仅需要政府的参与，同时还需要其他利益攸关者的密切协作，包括生物识别技术领域的科研人员、服务商、用户以及相关的非政府组织(NGO)等。这就意味着治理需要多方面的协调参与。在参考了相关学者[19-21]的理论研究后，我们提出四条规范生物识别技术应用的伦理原则。这些伦理原则是我们应尽的义务，也是评价我们在生物识别技术方面采取行动的伦理框架。其具体内容如下：

原则1：效用(utility)。效用原则是以后果论或效用论为理论依据，要求生物识别技术创新、研发和应用的目的是鉴定身份、保障安全、增进人民福祉。这是生物识别技术领域首先要遵循的原则。

与受益(行动的正面效应)不同，效用是对生物识别技术应用所带来的受益和风险的全面评价，强调受益-风险比，比值越高，则效用越大。在生物识别技术方面采取的行动，必须使其给目标人群带来的受益尽可能大地超过可能的风险，即效用越大越好。目前看来，生物识别技术应用引发的身体信息化的受益主要是辅助医生进行疾病诊断，风险主要是信息泄露后导致的歧视和污名化、不安与恐惧及社会排斥等。为了使目标人群伤害最小化及受益最大化，生物识别技术的研发及其应用应该承诺维护个人权益，承诺最高标准的数据库安全[22]。

原则2：尊重(respect)。在生物识别技术追求效用最大化的同时，有可能导致对人的不尊重。尊重原则有利于恰当处理个体与集体之间的关系，它不仅要求我们保护个体/用户隐私，尽力防止生物识别信息的不当使用，防止其泄露和买卖等，还要求我们要尊重人的自我决定权，在收集、存储和使用/共享生物识别信息时必须坚持知情同意或知情选择原则。当收集个人生物识别信息、将个人生物识别信息再使用于另一目的时，必须获得个体/用户的同意。根据不同的情境，可以采用“广同意”(例如同意将个人生物识别信息用于一类，而不是某一情况下)的办法，同意也可采取opt-in(选择同意)或opt-out(选择拒绝)两种方式[19]。

在生物识别技术方面采取行动的相关信息要公开透明，确保公众的知情权，这种透明性要求也是我们平等对待公民，尊重他们的体现。当生物识别技术的实施人员相信他们的政策、做法或行动侵犯某一类人群的权益时，例如根据面部特征寻找同性恋，他们有责任向有关各方，包括受这种侵犯的那些人说明这种侵犯是必要的理由。这是建立和维持公众对生物识别技术研发应用的信任和我们树立责任心所不可缺少的。

原则3：相称(proportionality)。根据生物识别信息进行数据挖掘，有时可能甚至不可避免地侵犯个人自由和隐私，甚至给个人增加一些不必要的负担。相称原则要求：生物识别系统采集个体/用户的个人信息的范围应当与识别身份的目的相称，信息收集有所限制，不能任意扩大信息的收集范围；生物识别信息隐私保护的力度应当与其敏感度相称，防止个体/用户隐私得不到应有的保护或导致不必要的过强保护；生物识别信息使用的目的应与收集时的目的相称，不能任意扩大生物识别信息的使用范围，防止不当使用；泄露或侵犯个体/用户生物识别信息导致的伤害应与防止泄露或侵犯个体/用户生物识别信息导致的伤害相称。

原则4：公正(justice)。生物识别技术方面的公正主要是指程序公正和回报公正。程序公正要求我们在生物识别技术方面采取的政策或措施、有关信息要透明，确保公众的积极参与、信任和支持。例如，成为出租车司机(还有保安)需要上传照片和录入指纹信息进行背景审核，审核的程序要公正以获得公众理解和支持，防止歧视和污名化。回报公正是指受影响各方在承担巨大风险的同时，要获得一定的补偿。例如，2014年，黑客入侵美国联邦人事管理局的计算机系统，导致超过2200万美国人的敏感的个人信息被盗，其中包括560万人的指纹信息，美国民众在承担信息泄露巨大风险的同时，国家/政府要给予一定的补偿，这是回报公正。

公正不仅攸关生物识别等人工智能的诚信和效用，而且攸关社会正义。如果存在不公正，将难以实现生物识别鉴定身份、保障安全和增进人民福祉的效用。

生物识别技术的应用应当符合以上伦理原则。我国权威管理部门也应该根据伦理原则，结合我国生物识别技术的发展应用现状以及应用中存在的问题，尽快研究并制定法律法规，为生物识别技术的健康有序发展提供伦理管理和法律保障。

〔参考文献〕

[1] CSSS Policy Brief NO 1. Biometric Identifi cation technologg Ethics[EB/OL]. (2003-11-03)[2017-12-20].https://danishbiometrics.files.wordpress.com/2009/08/news_2.pdf.

[2] Association for Biometrics(AfB), International Computer Security Association(ICSA).1998 Glossary of biometric terms[J]. Information Security Technical Report, 1998, 3(1): 98-108.

[3] Mordini E, Petrini C. Ethical and social implications of biometric identification technology[J]. Ann Ist Super Sanita, 2007, 43(1): 5-11.

[4] 孙冬梅, 裘正定. 生物特征识别技术综述[J]. 电子学报, 2001, 29(12A): 1744-1748.

[5] Van Der Ploeg I. Genetics, biometrics and the informatization of the body[J]. Ann Ist Super Sanita, 2007, 43(1): 44-50.

[6] Hunter H. Finger and palm prints in chromatin-positive males[J]. Journal of medical genetics, 1968, 5(2): 112-117.

[7] Select Committee on Science and Technology.Select Committee on Science and Technology Written Evidence[EB/OL].(2006-08-04)[2017-12-20].https://www.publications.parliament.uk/pa/cm200506/cmselect/cmsctech/1032/1032we 03.htm.

[8] Biovision. Roadmap to successful deployments from the user and system integrator perspective[R]. Amsterdam: Biovision, 2004.

[9] Future of Identity in the Information Society(FIDIS). Additional and in some cases health nelated information in biometrics[EB/OL]. (2007-12-28)[2017-12-20].http://www.fidis.net/resources/fidis-deliverables/hightechid/int-d37001/doc/21/.

[10] Courtney O. Retinal Scans Do More Than Let You In The Door[EB/OL]. (2005-08-31)[2017-12-20].https://phys.org/news/2005-08-retinal-scans-door.html.

[11] Nguyen T T, Wong T Y. Retinal vascular manifestations of metabolic disorders[J]. Trends Endocrinol Metab, 2006, 17(7): 262-268.

[12] 苏高福. 虹膜诊断学在妇科临床应用的研究[D].南京：南京中医药大学, 2005.

[13] 戴宗顺, 陈柯竹, 彭清华. 虹膜诊断研究述评[J]. 湖南中医药大学学报, 2016(2): 81-84.

[14] Jain A K, Kumar A. Biometrics of next generation: An overview[J]. Second Generation Biometrics, 2010, 12(1): 2-3.

[15] Mordini E, Massari S. Body, biometrics and identity[J]. Bioethics, 2008, 22(9): 488-498.

[16] Wickins J. The ethics of biometrics: the risk of social exclusion from the widespread use of electronic identification[J]. Sci Eng Ethics, 2007, 13(1): 45-54.

[17] Irish Council for Bioethics.Biometrics,Enhancing Security,or Invading Privacy[M]. Dublin: Irish Council for Bioethics, 2009.

[18] EC. Working Paper of the data protection working party of the European Commission: biometrics[R]. Brussels: EC, 2003.

[19] 邱仁宗, 黄雯, 翟晓梅. 大数据技术的伦理问题[J]. 科学与社会, 2014(1): 36-48.

[20] Zhai X, Renzong Q. The Status Quo and Ethical Governance in Biometric in Mainland China[A]//In Kumar Ajay, Zhang David(eds.). Ethics and Policy of Biometrics: Third International Conference on Ethics and Policy of Biometrics and International Data Sharing. Berlin: Springer Berlin Heidelberg, 2010:127-137.

[21] European Union.Ethics of Security and Surveillance Technologies[EB/OL]. (2014-05-20)[2017-12-20].http://grundrechte.ch/2014/opinion_28_securityandsurveillancetechnologies.pdf.

[22] European Union. Towards responsible research and innovation in the information and communication technologies and security technologies fields[M]. France: European Union, 2011.