生物识别应用不断普及，生物密钥带来的副作用又该如何限制？

最近有学者撰文称，今年是生物特征识别技术在金融领域开启“实用化”的元年。以美国四大银行为例，美国银行和大通银行的用户可以通过扫描指纹登录其移动端应用；而富国银行的用户可以用手机核对眼纹登录银行账户。

这些“生物秘钥”的运用，是为了消除网络时代的人们被各种形形色色的密码搞得晕头转向的问题。显然，相对于一大串的用户名、密码、磁卡、U盾、芯片卡等，动动手指、刷刷眼虹膜就能把身份验证、移动支付等和互联网相关的事办了，既方便又炫酷。

的确，实现这样的目标是网络时代来临的重要标志。问题在于，前途是光明的，过程注定是曲折的。“生物秘钥”果真如专家们、互联网金融商们宣称的那样具有“独一无二”的安全性吗？从美国各大银行用户对这些新运用不到10%的采用率看，问题恐怕没这么简单。

“生物秘钥”是通过人类生物特征进行身份认证的一种技术。计算机对人的生物特征进行取样，提取其唯一的特征并且转化成数字代码，再进一步将这些代码组成特征模板。目前，人们已经研发出笔迹识别、手形识别、声音识别、步态识别、指纹识别、人脸识别、虹膜识别、静脉识别、脑电波识别、基因识别等多种生物识别技术。

这些技术的发明者宣称，由于人们的相关生理特性和行为特征是独一无二的，因此基于识别这些特征的技术在理论上来说也具有绝对安全性。笔者并不怀疑这些在实验室中得出的各项数据；但是，一旦运用到实践中，“生物秘钥”的很多问题并不是理论论证和实验室能解决的。

最大的问题是人的生物特征信息如何避免被盗用、被复制的问题。这个问题分两个方面，一方面是这些被各个互联网金融商采集的海量生物特征，谁能保证这些信息库不会被黑客窃取？一旦出事，这不仅严重危害个人信息安全，还会对国家安全造成挑战。这方面并非没有案例，两年前韩国就因在网上采用基于身份信息比对的身份认证措施，导致八成公民信息被黑客从银行和其他网络服务商的服务器中窃取。

另一方面是人的生物特征由于暴露在外、开放性高而导致的被窃取问题。例如，手指不经意触摸过的地方就会留下完整的指纹信息；人脸作为社会性标志，被复制的风险也很高。

而且从技术层面来说，很多生物特征识别技术缺乏唯一性的理论依据。例如，人脸识别技术一直以来被认为只是基于经验而不是科学。目前而言，并没有权威的实验证明是否任意两个人的脸是不同的。

更为需要引起重视的是，包括互联网金融在内的企业是否有权利对用户私人生物信息进行采集，并识别其法定身份。目前，国内对什么企业能采集公民生物信息缺乏足够监管措施，企业和用户愿意用什么技术就可以用什么技术。但是，一旦这些生物识别技术被大幅推广之后，如果出现大面积的个人隐私信息泄露，企业承担得了这种可能影响公共安全和国家安全的风险吗？

因此，应该由国家主导或授权、监督特定企业构建成熟、稳定的生物识别统一身份认证平台，并增加生物识别系统的复杂性，才能最大限度防止“生物秘钥”推广之后可能产生的副作用。毕竟，我们期待任何一项新技术为人类带来便利的同时，更要做到未雨绸缪、防患于未然。