以色列無意間建立了一個侵犯隱私的臉部識別數據庫,但卻不想關閉它

以色列人口和移民局有一個工作失誤:無意中創建了一個秘密的生物特徵數據庫,與官方生物特徵數據庫一起運行,其中包括大多數以色列公民的面部圖像。然而,現在這種疏忽已經被發現,但政府辦公室並沒有為其錯誤道歉或努力糾正它。相反,它試圖將其合法化並創建第二個大型生物識別數據庫,其保護措施明顯少於官方數據庫的保護措施。

以色列國家網路局身份和生物識別應用部門執行主任的一份報告揭示了秘密數據庫的存在,該報告於 6 月發送給內政部長 Ayelet Shaked,並由以色列媒體Calcalist 獨家取得。除了秘密數據庫,該報告還揭示了生物識別數據庫和智能 ID 項目活動中的許多重大缺陷。從主任辦公室與生物識別機構之間的糾紛阻止對數據庫的監督,到各個機構之間缺乏協調,這阻礙了項目實現其目標:打擊身份盜用。

“在過去的 12 年裡,政府在我們周圍建造了一堵透明的監獄。生物識別數據庫、電話三角測量、駕照數據庫、Ein HaNatz(車牌識別系統),現在還有人口管理局的數據庫,”數位人權運動組織的尼爾・赫什曼說。“我們都看到墮落為獨裁政權是多麼容易。新政府要求的部分變革也是在這種情況下掌舵,讓我們重新走上自由民主的道路。監視足夠了,隱私被破壞就足夠了。如果有非法創建的數據庫,應立即刪除,並追究其創建者的責任。任何此類數據庫都是潛在的髒彈,可能會洩漏到敵對分子手中。

該報告引發的最大問題是,人口管理局完全沒有意識的創建了另一個臉部圖像生物識別數據庫,沒有官方生物識別數據庫的所有限制和保護。這是怎麼發生的?法律允許人口管理局在其計算機上保留為官方數據庫拍攝的低質量面部圖像,以進行“視覺展示”。法律將此類圖像定義為允許對其主體進行視覺識別的圖像,但可以從中提取的生物特徵數據,在過去的技術並不足以進行計算機化身份驗證。而這正是當局所做的。但是,應該預料到的事情發生了:技術發展。

報告寫道:“近年來,臉部識別演算法取得了重大進展,與起草法律時存在的技術能力相比,現在已經先進得多。” “執行主任單位使用最新算法進行的一項測試表明,低質量圖像的比較準確率與原始圖像的準確率相似。存儲在低質量圖像中的低質量面部圖像人口管理局的系統構成了一個“生物識別手段”和一個用於所有意圖和目的的生物識別數據庫。

目前的情況,您可能希望當局對這種情況承擔責任並努力補救,但事實並非如此。“這個問題具有許多實際和操作意義,將影響當局實現其目的的能力,將影響其日常工作,將直接影響為公民提供的服務及其在其職責範圍內履行職責的能力。角色,”人口局回應。

“當局的立場是,必須進行立法改革,以允許其繼續保留照片。人口管理局將在政府成立後啟動立法改革。”這意味著在無意中建立了一個非法的面部圖像生物識別數據庫並被曝光後,管理局現在試圖追溯性地使該數據庫的存在合法化。但是,與官方的生物識別數據庫不同,沒有任何保護措施,例如將生物識別信息與識別信息分開、與外部網絡完全隔離、以及嚴格的訪問限制。

這是侵犯個人自由和公民權利的明顯例子。有時它是通過立法創建的,例如警方試圖建立的人臉識別攝像系統。但有時我們只是通過慣性來經歷它,這是看似無意和無關的事件的結果,這裡就是這種情況。

真正令人不安的是,這兩個滑坡可能會合二為一:一旦警察擁有他們的面部識別生物識別攝像系統,他們可能希望訪問公民的生物識別數據庫以識別他們。在這裡,它有一個用於所有意圖和目的的生物識別數據庫,不需要克服複雜的立法防禦來訪問它。甚至可以通過向某些文員發送禮貌請求來湊合。

另一個重大失敗與當局在簽發生物識別文件時處理冒充企圖有關。報告中寫道:“根據程序,涉嫌冒名頂替的該局人口局官員向當地派出所投訴。” “但因為警方是根據舉報人的身份證號碼進行投訴的,所以每個投訴都是單獨處理的,而不是作為人口局所有投訴的一部分。這種做法導致大多數投訴被駁回,原因是: “缺乏公共利益。” 因此,儘管智能文檔項目的主要目標之一是防止欺騙,但在實踐中,並未調查偽造和冒充的嫌疑。

該報告還揭示了執行主任辦監督生物識別數據庫能力的失敗。“執行主任辦公室在對數據庫進行監督方面經常遇到持續的困難,表現為文件共享的一再拖延以及任務和討論的拖延,”它說。“這種情況使專員難以依法履行職責。因此,執行主任尋求內政部相關機構的干預,以便立即解決這些問題。”

作為回應,身份和生物識別應用部門將責任推給了執行主任本人:“不透明的監督和提供的摘要未能忠實反映討論中所說的內容,會給當局成功執行任務造成困難根據法律規定。此外,分配給當局的任務並不總是在當局的責任和法律之下(例如從數據庫中分析和分割數據和/或改變要執行的任務)給當局帶來了不合理的負擔,這已經限制了其人力和技術資源,並導致其日常活動及其工作計劃受到損害。” 在回應中提到的一個例子中,當局檢查了不在工作計劃中的機密事項。之後,“從執行主任那裡收到了進一步檢查的要求,儘管這些要求與數據庫無關。儘管已經澄清,由於資源有限,這些任務將削弱執行其他任務的能力。”

主任不同意這些指控,在他的報告中寫道:“定期聽證會的日期在年初協調,每兩個月一次。討論摘要將發送給當局,如果它認為摘要沒有反映所說的內容,它會發送評論。必要時,發布修改後的摘要。”

報告還說,數據庫中的生物特徵比較系統在過去四年中沒有經過校準。該系統對於生物識別數據庫至關重要,沒有它,存儲在其中的圖像和指紋將毫無意義。當局在回應中表示,如果供應商不參與該過程,則無法進行校準,該過程應該親自到場,但是,由於 Covid-19 的限制,無法從國外引進專家進行非緊急需要。

編譯:hsiang,核稿:William Lin,新聞來源:cTech

延伸閱讀:又忘記密碼?以色列科技公司打造無密碼身份認證世界