周末去買條褲子，在收銀臺，不掏錢包也不掏手機，僅僅是撥開頭發露出耳朵。收銀員把攝像頭湊近你的耳朵，系統確認耳朵圖像與你留在銀行數據庫中的耳朵照片相符，交易完成。

　　這一幕充滿未來科幻感的場景，其實距離我們已經不遠了，而且可能到來得比你想象的還要快。生物識別技術的研究如今被炒得火熱，眾多手機App都能讀取特定于你身體的一部分以核實你的身份，但也將各種各樣的安全和隱私問題推上了臺面。而政府和廠商將如何解決這些問題，目前仍懸而未決。

　　說回耳朵掃描。笛卡爾生物識別(DescartesBiometrics)是一家專精于手機耳朵檢測安全App的公司，其總裁兼首席執行官邁克爾·波杰克(MichaelBoczek)說：“耳朵是唯一的，人的一生中，耳朵的形狀幾乎不會改變。指紋也一樣，一生不變。但面部特征就未必了。”

　　不過，可以用耳朵付款，并不意味著這一幕會很快發生。“生物識別技術很微妙。”桑佛德大學法學副教授伍德羅·哈佐格(WoodrowHartzog)解釋道，“這門技術可以成就卓著，因為實在是非常安全保險。人們的耳朵、眼球、步態或者其他任何可識別個人身份的唯一標識都很難偽造。但是，一旦你的生物特征被破壞，你就玩完了。這世上可沒有另一只一模一樣的備用耳朵給你。”

　　數據庫也經常被黑，從美國國稅局(IRS)到塔吉特百貨，到醫院，到銀行，沒被黑客染指的系統屈指可數。除非生物識別技術使用上的一些非常現實的安全問題能得到更好的解決，否則對將身體數據關聯進網上賬戶的擔心就絕不多余。

　　生物識別背景知識

　　生物識別驗證涉及到兩方面的技術：識別你，或者驗證你的身份。識別，就是將一幅特征圖像與數據庫里的圖像進行比對。驗證，則是從設備中取出圖像來確認匹配。后者通常用于解鎖計算機、手機和應用。

　　自2013年蘋果在其主頁鍵指紋傳感器中引入了非常有用的生物識別，生物識別技術的需求便大幅暴漲了起來。現在，萬事達卡(MasterCard)想用心跳數據來確認付款。谷歌的Abicus項目計劃監測個人語言模式、走路和輸入方式，用以確認智能手機另一端的你真的是你本人。其他App則著眼于眼球血管分布模式，甚或個人特殊的步態來進行身份驗證。

　　生物識別的創意其實不是特別新。警方使用指紋的歷史就超過了100年，上世紀80年代就建立起了數字生物特征數據庫。但直到2013年iPhone的橫空出世，消費級別的生物識別驗證才不僅僅局限于用指紋解鎖設備。之前，這些傳感器一般都安置在比較尷尬的地方，比如手機背后，或者緊挨著筆記本電腦觸控板。

　　手機生物識別同樣激起了投資人的興趣。有報告揭秘，為大多數安卓設備提供指紋識別的瑞典生物識別公司FingerprintCardAB，僅去年一年，其股票就增長了1600%，成為2015年歐洲股市表現最好的公司之一。

　　保護公開特征

　　雖然很多專家認為生物識別從本質上來說是絕對安全的(因為再沒有人擁有和你一樣的耳朵或眼睛)，但喬治城大學法學教授阿爾瓦羅·貝多亞(AlvaroBedoya)對此持反對意見。“口令才是先天私人的東西。口令的全部意義就在于，你不會告訴其他任何人這個東西。信用卡的內在私人性，存在于一家銀行只會為你辦理一張信用卡。”

　　生物特征則不同，天生就是公開的。“你的耳朵長什么樣子，看到你就知道了，而且完全可以從遠處就給你照一張高清照片。而指紋，一起喝一杯，你的指紋就留在玻璃杯上了。”要取得一個人的生物特征，真的太容易了。黑掉你，或者追蹤你，都是分分鐘的事。

　　執法機構尤其清楚你的身體部分是有多么公開。像耳朵掃描這樣的技術，一方面可以用來讓購物更便捷;另一方面，警察會怎么用可就得打個問號了。聯邦調查局(FBI)正在建設一個生物特征識別數據庫，希望到2015年時能錄入5200萬個面部特征圖像，每個月還新增數千個進去。國土安全部在和美國海關及邊境保衛局合作，往FBI的國家數據庫里添加紅膜掃描和1.7億個外國人指紋信息。地區警察部門也參與進了生物識別游戲中。《洛杉磯時報》報道，洛杉磯警局2015年投入了數百萬美元，用以將生物特征識別裝備擴展到外勤警察手中。而據電子前線基金會的研究報告稱，其他很多警察局已經部署了手機指紋識別系統。

　　波杰克也說，警方對他的耳朵驗證軟件很感興趣。他解釋道，這個軟件能讓警官們在接近駕駛員車窗的時候，用佩戴在胸前的隨身攝像頭捕捉到里面人耳朵的圖像。事實上，華盛頓州的警察部門正在測試這項技術。

　　制定規則

　　目前，身體數據的使用在很大程度上缺乏監管。

　　去年夏天，美國國家電信和信息管理局舉辦了一個研討會，制定面部特征識別技術運作的自愿行為準則。多個行業協會也蒞臨現場，代表著谷歌、微軟之類的公司，以及生物識別技術倡導者和專家們。但研討會成效不大。在會議結束之前，來自公共利益團體的參會者就已經全部離場了。

　　“沒有一個行業協會會同意你用面部識別確認某人姓名，即使你與那個人毫無聯系，也需要取得他們的同意。”貝多亞說，“這些行業協會的立場已經遠遠超出了慣例。”

　　在取得同意和監管生物識別的問題上，美國政府持回避態度，看起來華府所有的機構似乎都有份參與解決。國家標準與技術研究所已經就生物識別驗證的有效性評估了好幾年了，主要集中在人臉識別、指紋、聲紋和虹膜掃描上。聯邦貿易委員會則在主導數據安全問題。食品及藥物管理局(FDA)負責手術植入物安全，衛生及公共服務部處理個人健康信息。

　　目前為止，美國48個州的法律允許軟件不經你的同意就用你在公共場合被拍下的圖像識別你。得克薩斯和伊利諾伊兩個州不允許用作商業用途，但全國的執法部門都能合法使用。而且，即使取得了同意，通常也是在你不注意的情況下：打印得非常細小的服務條款協議中——人們一般都不看這玩意兒。

　　“法律就是這么定的，這些協議通常都被認為有效，是公司企業用來取得收集、使用、共享你的個人信息的手段。”哈佐格說。

　　不過，公司企業已經自行監管了一段時間了。貝多亞在其為美國知名的網絡雜志《Slate》中寫道，谷歌執行主席埃里克·施密特(EricSchmidt)甚至曾經說過：人臉識別是唯一一項谷歌已經做了，但在仔細研究后又決定終止的技術。微軟的Xbox和蘋果的iPhoto也對這類軟件做了使用限制，只有用戶同意了才開啟功能。微軟稱，人臉識別被設定為選擇性開啟，是因為公司認為個性化和控制你的Xbox體驗的功能是十分重要的。

　　然后，每天都有超過3.5億張照片上傳的Facebook。該公司的研究實驗室表明，Facebook擁有迄今為止最大的面部數據集——由Facebook深度學習人臉識別系統DeepFace支撐。但是，Facebook與聯邦貿易委員會達成了一項協議，在做超出用戶特定隱私設置的事之前，必須先取得“明確的同意”。

　　貝多亞說，采用這種系統，我們不難想象，有朝一日，當顧客走進一家汽車賣場，代理商馬上就知道顧客的身份、住址、收入水平和信用評分——真是多虧了Facebook了。畢竟，已經出現了可供實體店用以識別“有潛在價值的回頭客”，預警“冒充顧客進店行竊的扒手”的人臉識別軟件。

　　恐懼、公開、不安全？

　　就像可以購買軟件暴力破解個人識別碼(PIN)和口令一樣，黑客正在研究玩弄生物識別身份驗證的方法。我們目前沒有全面應用身體來確認付款的一個重要原因，恐怕就在于安全措施尚未到位。

　　當去年美國人事管理局被黑，560萬人的指紋被泄露。大學也每年都被黑個幾次。醫療記錄、國稅局、銀行、交友網站……你能想到的個人信息集中地，基本都是黑客的目標。生物特征數據對這些攻擊不免疫。事實上，上個月舉行的全球移動通信大會上，手機安全公司Vkansee的研究人員就成功利用一塊小小的橡皮泥，破解了蘋果的指紋識別系統TouchID——就像十年前日本安全研究員松本勉用小熊軟糖騙過另一種指紋傳感器一樣。而密歇根州立大學的研究人員上個月才剛剛發表了一篇論文，描述了一種利用噴墨打印機打印出導電油墨指紋，在15分鐘之內騙過指紋讀取器的方法。

　　除了安全問題，這項技術中還存在著單純令人毛骨悚然的東西。舉個例子：萬事達卡(MasterCard)與生物識別公司Nymi合作，試驗用心跳模式作為信用卡支付的身份驗證手段。(還要加上全球移動通信大會上展示的自拍和指紋支付驗證App。)或者EyeVerify，掃描手機自拍照中眼白的血管分布模式進身份驗證。其他手機公司還利用紅外攝像頭掃描虹膜的設備。

　　哈佐格說：“人們內心上對生物識別技術的接受度到底有多高還是個問題。指紋讀取器目前看來接受良好，因為它實用又簡單。但當人們覺得驚悚的時候，他們就不太熱心采用某些生物識別技術了。”

　　而且，即使你能越過心理障礙，隱私問題也還橫亙在眼前。你愿意把你獨特的身體識別信息連接進消費記錄里去嗎?仔細想想你有多經常購買那些想保持私密的東西吧：小黃書、酒、藥品、套套……

　　哈佐格說：“我們喜歡相對低調地消費。某些消費上我們可以接受生物識別技術付款，但成為美國的標準消費慣例，我覺得還有很長的一段路要走。”如果你知道每個賣家的政治思維，那你可能會有些迷惑。正如華盛頓大學法學教授雷恩·卡羅(RyanCalo)在最近的一篇論文中所說，一定程度上的隱私，能讓我們彼此做成生意;這是市場互動的一部分。

　　“在不確定生物識別技術會怎樣運作之前，我們可能還沒準備好將我們的生物密鑰交付給整個生物識別技術王國。”也許，最終，我們會愿意用隱私換取方便——但還不是現在。