2024年4月26日 星期五

★ 在登機口進行臉部掃描,還沒準備好起飛

 
臉部辨識如何讓你更快到達登機口




GEORGETOWN LAW

CENTER ON PRIVACY & TECHNOLOGY

一、內容提要

在波士頓的洛根國際機場,一個國際登機口的旅客會驚訝地發現,他們被告知要在看似精密的攝影機之前停下來。但它不僅僅是一個攝影機 —— 該設備將每位旅客的面部與國土安全部 (DHS) 的生物特徵數據庫進行比較,以驗證她的身份,並標記多達 25 名旅客中的 1 人以進行進一步審查。這些臉部掃描也已佈署在其他八個機場。

在亞特蘭大、芝加哥、拉斯維加斯、邁阿密、紐約市、休斯頓和華盛頓特區,乘坐某些國際航班起飛的旅客的部會被國土安全部掃描。如果國土安全部目前的計劃得到執行,作為「生物特徵出口」計劃的一部分,每一位飛往海外的旅客,無論是美國人還是外國人,都將很快接受部辨識掃描(見側邊欄 1)。 

男子正在接受面部掃描

圖1:  在登上飛往阿魯巴島的航班之前,一名男子在波士頓洛根機場等待臉部掃描。(照片:波士頓環球報,保留所有權利)

這種複雜的生物辨識篩查系統可能耗資高達 10 億美元。美國國會已經創建了一個「9-11 響應和生物辨識退出賬戶」,以資助該金額的生物辨識退出計劃。然而,奇怪的是,國會和國土安全部都沒有證明該計劃的必要性。國會從未為此提供理由。國土安全部表示,機場臉部掃描目的在驗證旅客離開該國時的身份,並阻止冒名頂替者以他人身份旅行。但國土安全部本身一再質疑「生物辨識空氣出口將提供的附加價值」與現狀和「生物辨識空氣出口能力的整體價值和成本」相比,即使它已經努力建立它。

國土安全部不應該在美國人乘坐國際航班時掃描他們的臉 —— 但無論如何,國土安全部正在這樣做。  

國土安全部的生物辨識退出計劃,也存在著搖搖欲墜的法律基礎。國會一再下令在邊境收集外國人的生物特徵,但從未明確授權使用面部識別技術從美國公民的邊境收集生物特徵。在沒有明確授權的情況下,國土安全部不應該在美國人乘坐國際航班時掃描他們的臉部 —— 但無論如何,國土安全部都會這樣做。國土安全部也未能遵守一項聯邦法律,該法律要求其制訂規則,以實施機場臉部掃描計劃 —— 國土安全部甚至還沒有開始這一流程。

更糟糕的是,國土安全部使用的臉部掃描技術,可能會經常出錯。根據國土安全部自己的數據,國土安全部的人臉辨識系統錯誤地拒絕了多達 25 名使用有效證件的旅行者。 僅在紐約約翰· 甘迺迪 (JFK) 國際機場,每天就有 1,632 名乘客被錯誤地延誤或拒絕登機。更重要的是,國土安全部似乎並沒有意識到,其系統在實際捕捉冒名頂替者方面的有效性 —— 該系統的主要目標。

生物辨識退出所涉及的隱私問題,至少與系統的法律和技術問題一樣令人不安。正如目前所設想的那樣,該計劃代表了對美國人生物特徵掃描的嚴重升級,並且沒有任何成文規則對其進行限制。它還可能導致更大、更侵犯隱私的政府監控系統。此外,該計劃可能會加速參與生物辨識退出的航空公司和技術供應商,開發和佈署侵犯隱私的商業技術。 

目前,國土安全部正在推進這項昂貴的計劃。但美國人應該考慮放棄國土安全部的機場臉部掃描計劃,並將這些資金投資於其他地方是否更明智。但是,如果要繼續執行該程序,則至少:

國土安全部應該透過提供據稱解決的問題的證據,來證明其在臉部掃描方面的投資是合理的。  


國土安全部應停止掃描旅客的臉部,直到完成聯邦要求的規則制訂程序。  

當美國公民離開美國時,國土安全部應該停止掃描他們的臉部。  


國土安全部應該證明機場臉部掃描能夠辨識冒名頂替者,而不會給其他人帶來不便。  


國土安全部應採取公共政策,禁止對其機場面部掃描程序收集的數據進行二次使用。  


國土安全部應向與其合作的航空公司提供公平和隱私保證。  


此外,在為客戶服務的過程中,航空公司未來不應與國土安全部合作,在未首先確保國土安全部完成上述所有工作,並且未獲得透明和可執行的隱私、準確性和反偏見的情況下,對其乘客進行生物特徵篩查國土安全部的保證。

CBP 官員幫助旅客進行掃描
圖 2:  一名旅行者在海關和邊境保護局人員提供指導時進行臉部掃描。(照片:美聯社,保留所有權利)

側邊欄 1:什麼是生物 辨識退出?

「生物特徵出境」是國土安全部營運的一項計劃,它使用生物特徵數據(關於一個人的身體的數據)來驗證旅行者離開該國時的身份。DHS 最初嘗試使用基於指紋的驗證系統。然而,這些擾亂了通過機場航站樓的旅客流動,並且對於管理人員來說既費時又費力。在程序的最新迭代下,國土安全部已轉向人臉識別。

在出境國際航班起飛之前,國土安全部會在其「旅客驗證服務」(TVS) 中預先填充預計搭乘該航班的所有旅客的生物特徵模板。到達機場登機口登機後,每位旅客都被要求站在相機前拍照。相機將旅行者的親身照片傳輸到 TVS,TVS 將其與文件中的生物特徵模板進行比較。然後,TVS 要么確認旅行者的臉部與預期旅行者的存檔生物特徵模板相匹配,並為她創建「生物特徵驗證的退出記錄」,要嘛將旅行者的臉部視為「不吻合」而拒絕。5

如果旅客被系統拒絕,她的證件將由海關和邊境保護局 (CBP) 代理人手動檢查,或者她將接受另一次生物特徵檢查,例如指紋比較。6

二、發現


A. 生物辨識退出是尋找問題的解決方案

對生物辨識退出計劃歷史的回顧顯示,國會從未為其提供理由。國土安全部現在聲稱該程序目的在檢測本報告中,定義為「簽證逾期旅行詐欺」的特定類型的詐欺但有關簽證逾期逗留旅行詐欺的現有數據,並未表明問題嚴重到需要大規模和資源密集型解決方案,例如生物辨識退出。 

側邊欄 2:什麼是簽證逾期旅遊詐欺?

「簽證逾期旅行詐欺」是指外國人希望在簽證到期後,留在美國而不被發現,並為此安排同謀者使用簽證持有人的身份離開美國。證書。這會以簽證持有人的名義創建「出境記錄」,欺騙性地導致政府認為簽證持有人已離開該國,而實際上他已超過簽證到期或「逾期逗留」。 

例如,如果 John Doe 的簽證即將過期,他可以要求同謀者 John Roe 使用他的護照離開該國。如果成功,國土安全部的離境跟踪系統會認為 Doe 已經離開了這個國家,而實際上只有 Roe 離開了。 

DHS 將面部掃描後生成的出口記錄,描述為「經過生物特徵驗證的出口記錄」。詐欺。性的生物特徵驗證出境記錄,是指冒名頂替者的臉部被掃描並在登機口被錯誤接受的出境記錄。 

9/11 委員會於 2004 年首次建議,在該國邊境採用「基於生物特徵的出入境系統」。國會聽取了委員會的呼籲,並在不久之後下令國土安全部「包括收集生物特徵的要求」。出境數據」來自邊境的外國人。9/11 委員會和國會都明確表示,應該從進入該國的外國公民那裡收集生物辨識資訊,以幫助在犯罪分子和恐怖分子踏上美國領土之前發現他們。然而,他們都沒有解釋為什麼有必要從離開該國 的外國人那裡收集生物特徵。

國土安全部方面,從未研究過是否存在需要改變其跟蹤旅客離境的方法的問題。國土安全部聲稱,該計劃的目的是檢測簽證逾期逗留的旅行欺詐行為,並通過「生物特徵驗證」它已經為那些離開該國的人創建的出境記錄來改進國土安全部關於外國公民離境的數據。

從理論上講,簽證逾期旅行詐欺可能是一個值得解決的問題。希望在簽證到期後留在該國,而不被發現的外國國民,可能會使用詐欺性證件安排其他人離開該國。但國土安全部只發表過有限的軼事證據。例如,據報導,一名移民和海關執法局 (ICE) 代理人稱,一名外國人的兄弟以其身份旅行,以生成虛假的出境記錄。

由於生物辨識退出計劃的理由尚不清楚,國土安全部一再表示對生物辨識退出的基本保留。2012 年,國土安全部的科學技術 (S&T) 理事會對過去失敗的基於指紋的計劃,進行了內部分析,並對邊境生物辨識追蹤的想法持懷疑態度。S&T 得出結論,與現狀和「生物辨識空氣出口能力的總體價值和成本」相比,「生物辨識空氣出口將提供的額外價值」「仍然存在重大問題」。 四年後,也就是 2016 年 1 月,國土安全部告訴政府問責局,它仍在編寫一份報告 —— 並且無法估計何時完成 —— 回答這兩個基本的基本問題。截至本文發表時,國土安全部尚未發布任何此類報告。

國土安全部關於生物特徵退出的不確定性,延伸到當前基於臉部掃描的程序。在 2017 年 9 月的國土安全部數據隱私和完整性諮詢委員會會議上,一名委員會成員詢問國土安全部的臉部掃描系統,將如何使國家的移民系統受益。國土安全部的一位高級官員沒有確定這些好處,而是停頓了一下,然後明確地回答說:「質疑通過了哪些法律不是行政機構的職責。執行國會正式通過的法律是我們的工作。」 


B. DHS 的機場面部掃描計劃可能違反聯邦法律

DHS 目前基於臉部掃描的計劃,也可能不符合聯邦法律。該計劃可能會超出國會授予國土安全部的權力,因為國會從未明確授權在邊境收集美國人的生物特徵。即使國土安全部對該計劃有足夠的法律權力,國土安全部也未能按照聯邦法律的規定,完成該計劃的先決條件公共規則制訂過程。

如果國會想告訴國土安全部在邊境收集美國人的生物特徵,它很容易做到。它從來沒有。  


國會至少通過了九次關於授權從外國人那裡收集生物特徵數據的立法,但沒有法律直接授權國土安全部在邊境收集美國人的生物特徵。國會已授權在邊境收集「每個離開美國的外國人」、「需要提供生物辨識入境數據的所有類別的個人」、和「每一個參與免簽證的外國人」的生物識別信息。計劃」,30 但在過去的 14 年中,美國公民明顯沒有出現在該計劃下的每項法律的法定文本中。 如果國會想告訴國土安全部在邊境收集美國人的生物特徵,它很容易做到。它從來沒有。在沒有明確授權的情況下,國土安全部不能也不應該在美國人乘坐國際航班時,掃描他們的臉部,就像目前所做的那樣。

即使獲得了國會的必要授權,國土安全部的生物辨識退出計劃,仍然存在法律問題,因為國土安全部未能完成聯邦行政程序法 (APA) 要求的規則制訂過程。在「通知和評論規則制定」中,機構在通過一項重要的新政策之前徵求並考慮感興趣的公眾的反饋。規則制訂為公眾提供了參與機構政策制定的機會,但它也有助於讓公眾瞭解機構正在做什麼、為什麼以及哪些規則適用於機構的新政策。7 月,川普政府命令國土安全部在 2017 年 10 月之前啟動該計劃的規則制訂。但國土安全部甚至還沒有開始所需的程序,儘管國土安全部已經掃描了美國九個機場的數萬名旅客的臉 —— 僅亞特蘭大就有超過 36,000 人。

這不是國土安全部第一次在沒有進行必要的規則制訂過程的情況下,佈署新的侵犯隱私的工具。事實上,幾年前,在類似的情況下,聯邦上訴法院認為,國土安全部在運輸安全管理局 (TSA) 檢查站使用人體掃描儀之前必須經過規則制定程序。35

國土安全部必須制定規則,因為強制性生物特徵篩查,如身體掃描儀計劃,構成具有法律效力的政策。正如法院在幾年前的人體掃描儀案中所發現的那樣,即使要求乘客通過現有檢查站「並不新鮮」,在現有檢查站採用新的檢查技術可能仍會構成實質性改變,需要當它引起重大的隱私利益時制訂規則。與身體掃描儀一樣,隱私權倡導者對機場生物識別技術表達了深切關注,而國土安全部本身也一再提出與其臉部掃描系統相關的隱私利益。國土安全部顯然意識到其有義務制訂生物辨識退出規則;幾年前,它啟動了一項現已失效的基於指紋的生物辨識退出程序的規則制訂。

到目前為止,國土安全部的機場面部掃描程序,僅在九個機場運行這一事實,並不能免除國土安全部進行規則制訂過程的義務。正如法院在人體掃描儀案中發現的那樣,規則制定要求適用於機構的聲明「具有當前約束力」的時間點。在該案中,儘管身體掃描儀僅在某些機場使用,但法院認為掃描儀仍然對乘客「具有約束力」,因為任何個人乘客仍將「必須遵守 TSA 正在使用的任何篩查程序,在他將在他的航班起飛的機場飛行的日期。」特定出口大門的面部掃描,同樣對通過這些大門的旅客具有約束力。外國人必須進行 臉部。掃描,儘管國土安全部表示,對於某些美國公民來說,臉部掃描可能是可選的,但尚不清楚美國旅行者是否知道這一點。 因此,制訂規則是遲到的。


C. DHS 的機場人臉掃描程序可能存在技術缺陷

國土安全部基於臉部掃描的生物特徵退出計劃,也可能因技術問題而失敗:國土安全部從未測量過機場臉部掃描,在抓獲攜帶詐欺證件旅行的冒名頂替者方面的功效。43 有充分的理由對該系統的有效性持懷疑態度。由於人臉辨識固有的挑戰,國土安全部很難開發一種系統,既能有效地捕捉每一個冒名頂替者,又不會給所有其他旅行者帶來嚴重不便。

有問題的是,國土安全部使用錯誤的指標,來評估系統的成功。DHS 目前根據系統正確接受使用真實憑證的旅行者的頻率來衡量績效。但是,如果該系統的目的是檢測和阻止簽證過期旅行欺詐——正如國土安全部所建議的那樣 —— 那麼評估它在正確拒絕使用欺詐性憑證的旅行者方面的表現非常重要,也許更重要。然而,國土安全部並沒有衡量這一點。45

國土安全部似乎不知道其係統是否能有效實現其主要技術目標。  

打個比方,考慮聘請一名保鏢在酒吧檢查身份證。酒吧老闆可能會對不小心使用真實 ID 拒絕顧客的保鏢感到惱火。但店主幾乎肯定會解僱一名保鏢,他一直允許使用假身份證進入未成年顧客。就像酒吧老闆甚至沒有詢問保鏢如何識別假身份證一樣,國土安全部似乎不知道其係統是否能有效實現其主要技術目標。 

事實上,考慮到人臉辨識技術的現狀,在這兩個方面都取得成功可能是不可能的。這兩個指標之間存在不可避免的權衡:經過校準以減少使用有效憑證拒絕旅行者的系統,將提高冒名頂替者的接受率。 因此,對於生物識別出口,國土安全部可能不得不在以下兩種系統之間做出選擇:既能以高比率抓獲冒名頂替者,又能以高比率錯誤地拒絕有效證件 —— 將無辜旅客分流到額外的檢查中並造成延誤 —— 以及拒絕有效證件的系統。率低得多,但在捕捉冒名頂替者方面也表現不佳。

一種人臉識別設備
圖 3:  休斯頓喬治布什洲際機場聯合航空公司登機口的人臉識別設備。(照片:美聯社,保留所有權利)

側邊欄 3:了解人臉識別錯誤

人臉識別技術並不完美。如果是這樣,它將始終正確地接受並允許登機——每位旅客使用她自己的有效證件(“真正接受”),並始終正確拒絕任何使用欺詐證件的旅客,例如,其他人的身份證明文件(“真正的拒絕”)。 

實際上,人臉識別系統在這兩個方面都犯了錯誤。在“虛假拒絕”的情況下,系統無法將旅客面部的機場照片與旅客自己的有效身份證件上的照片相匹配。例如,系統可能會錯誤地拒絕以自己身份飛行的旅行者,因為他存檔的照片是四年前拍攝的,並且從那時起他的外貌發生了變化。 

相比之下,在“錯誤接受”的情況下,系統錯誤地將旅行者面部的機場照片與其他人的照片相匹配。例如,面部掃描系統可能會錯誤地接受冒名頂替者以欺詐方式將其他人的旅行憑證作為自己的憑證。

國土安全部顯然正致力於將其面部掃描系統對使用有效憑證的旅行者的不便程度降至最低。國土安全部對該系統的唯一準確度要求是,96%(或至少 25 人中的 24 人)以自己的身份飛行的旅客被系統正確接受並允許登機。48 但由於上述權衡取捨,強調系統在驗證有效憑證方面的成功——也許可以最大限度地減少已經繁忙的國際機場不必要的麻煩和延誤——可能會增加冒名頂替者未被發現的風險。

事實上,對人臉識別算法的分析表明,一些可能的可比系統在篩選系統可能遇到的冒名頂替者類型方面表現不佳:欺詐性使用同一年齡、性別和性別的不同人的登機文件的人。原籍國或種族。根據美國國家標準與技術研究院 (NIST) 進行的研究,人臉識別系統和人類一樣,很難區分長相相似的人。49  NIST 測試的算法更有可能錯誤地匹配外表相似的個人,NIST 指出這一事實「存在安全漏洞,例如護照門」。50

由於膚色或性別的原因,無辜的人可能會被從登機口的隊伍中拉出並以更高的比率進行手動指紋識別。  

國土安全部還承認,它無法確定其機場面部掃描的準確性是否因旅客的人口特徵而異——儘管最新研究表明,國土安全部的系統可能會因旅客的種族和性別而有所不同(見邊欄 4) . 國土安全部表示,它一直在測試其面部掃描系統是否存在偏差。51  DHS 甚至委託 DHS 數據隱私和完整性諮詢委員會調查此類問題的解決方案。52 但國土安全部承認,由於樣本量有限,其內部測試仍無定論。53 因此,國土安全部很可能正在部署一個系統,該系統將表現出種族或性別偏見的決定。 

不同的錯誤率可能意味著無辜的人將因膚色或性別而被從登機口的隊伍中拉出並以更高的比率進行手動指紋識別。但由於國土安全部已將其評估過程納入一種看似中立的計算機算法,因此這種偏見可能不會被發現。 

側邊欄 4:人臉識別和偏見

自 2017 年 2 月以來,NIST 已經測試了超過 35 種不同的人臉識別算法,旨在驗證身份。54 許多測試的算法顯示出不同的錯誤率,具體取決於被掃描人的種族和性別。 

大多數人臉掃描算法的功能是首先計算兩幅圖像的近似相似度以進行比較,然後如果相似度計算大於預定匹配閾值則接受呈現的圖像,如果計算值低於閾值則拒絕呈現的圖像。55 根據 NIST 的研究,在使用這種方法測試的算法中,發現大多數算法更容易錯誤地拒絕男性,尤其是白人男性。同時,被測試的算法更容易錯誤地接受女性,尤其是黑人女性。56

這些結果不同於早期的研究表明某些人臉識別系統可能更經常無法識別非洲裔美國人和女性,57 但這兩個研究機構有一個共同的、令人擔憂的結論:人臉識別可能由於變化而表現不同在種族或性別。58 這是國土安全部必須測試和解決的一種可能性。

D. 國土安全部的機場面部掃描計劃引發了對擴大政府監控範圍的更廣泛關注

繼 2017 年 1 月「穆斯林禁令」行政命令禁止來自七個穆斯林佔多數的國家的人進入美國之後,示威者自發聚集在全國各地的機場抗議該政策。59 如果目前在登機口使用的相同技術也用於識別抗議者會怎樣?如果它不僅驗證個人身份,還將他們的臉與犯罪嫌疑人或恐怖分子的臉進行比較怎麼辦?

機場抗議穆斯林禁令和隔離牆
圖 4:  人群聚集在舊金山國際機場,抗議 2017 年 1 月的“穆斯林禁令”。(照片:Peg Hunter,CC BY-NC 2.0)

國土安全部的機場面部掃描引發了有關在公共場所擴大政府跟踪工具的重要問題。正如目前設想的那樣,生物識別出口僅限於特定機場的某些區域,但該程序可能會擴展到其他侵犯隱私的應用程序,並且可以與州、地方或聯邦一級的其他執法機構系統互操作。這些政策對言論和結社自由的影響可能很大。

國土安全部打算讓每一位前往國際目的地的旅客——無論是美國人還是外國人——都要接受生物識別出口。正如該計劃的隱私影響評估所指出的那樣,在國際旅行時,“個人確保他或她不受生物特徵信息收集的唯一途徑。. . 是避免旅行。”  每年有60名美國公民乘坐飛機進行近 5000 萬次國際旅行。61 隨著每年從美國出發的外籍人士增加數百萬次旅行,每年進行面部掃描的總次數將甚至更多。62

目前,掃描通常在國際登機口進行,並在旅客登機時進行,可以說是在被掃描人的意識下進行的。但國土安全部已經在探索向機場的其他區域擴張。在紐約肯尼迪機場,最近前往國際航班的旅客被要求在 TSA 檢查站接受 CBP 人員的面部掃描,而不是在登機口。63 根據國土安全部的新聞稿,“CBP 正在評估生物識別技術的使用,作為未來端到端流程的一部分,從辦理登機手續到離開,旅客在整個旅程中使用生物識別技術代替登機牌或身份證。安檢和登機流程。” 64

覆蓋範圍越廣,面部掃描越持續,它們就越有可能使言論自由變得冷漠,並阻礙機場的自由結社。  

隨著國土安全部投資數億美元擴大其面部掃描能力,機場面部掃描甚至可以擴展到包括整個美國機場的被動掃描——包括國內機場的國內旅客。國會提出的一項提案——TSA 現代化法案——將授權 TSA 使用生物識別技術來識別和跟踪“此類部署將增強安全性並促進乘客流動”的任何區域的旅客。65 這可能意味著“檢查站、安檢通道、行李托運和登機區”的實時人臉識別監控攝像頭。66

該技術還可以適用於與航空旅行無關的目的,包括一般執法和反恐舉措。例如,國會一項備受矚目的法案《美國邊境安全法案》將要求國土安全部開始使用機場面部掃描來查找與 FBI 恐怖分子篩查數據庫的匹配項。67 這種擴展將激勵國土安全部使其係統可與其他 FBI 或州刑法執法數據庫鏈接和互操作。由於面部識別技術會出錯,反恐和執法面部掃描可能會導致對無辜者未犯下的罪行進行調查。這些錯誤也可能因這些人的種族或性別而異。

覆蓋範圍越廣,面部掃描越持續,它們就越有可能使言論自由變得冷漠,並阻礙機場的自由結社。被監視的感覺鼓勵人們審查他們所說的話,特別是當他們持有少數或不同觀點時。68 由於機場日益成為政治言論的重要場所,因此在這些空間中加強生物識別監控——尤其是在沒有數據使用限制的情況下——可能會嚴重影響言論自由和結社。69


E. DHS 的機場面部掃描計劃還增加了私人實體對敏感旅客數據的訪問

到目前為止,本文的重點是政府在其生物識別退出計劃的運作中引起的擔憂。但該計劃也使旅行者容易受到私營公司增加且不受限制的跟踪的影響。這是因為國土安全部嚴重依賴航空公司和技術供應商來提供機場面部掃描程序的核心組件,從軟件和硬件的提供到數據的收集和傳輸,再到乘客照片的處理等等。通過依賴私人實體,國土安全部促進與擁有自己商業利益的外部公司共享敏感的旅行者信息。70 然而,儘管航空公司有可能將生物識別數據和技術用於自己的跟踪目的,71 DHS 沒有發布任何關於其私人合作夥伴的指導方針或協議。72

在生物識別退出過程的每一步,私人實體都參與其中。例如,國土安全部正在與捷藍航空以及航空旅行 IT 和通信供應商 SITA 合作,為選定的捷藍航空航班建造和運營生物識別出口。73  Delta 一直與供應商 Vision-Box 和 NEC 合作。74

一些航空公司很可能會開始探索將其開發的技術進一步貨幣化的方法,例如通過增強機場的定向廣告能力。事實上,最近在加利福尼亞州門洛帕克舉行的一次活動中,JetBlue Technology Ventures 的一位投資合夥人表示,該公司的航空公司有興趣開發或使用面部掃描或其他生物識別技術來“超目標”客戶以進行廣告宣傳。75

很少有保護措施可以確保生物識別出口數據和技術不會被濫用。  

航空公司和技術合作夥伴可能對他們通過參與生物識別退出而獲得的任何數據或技術進行的一些(如果不是全部)可能會受到與 DHS 協議的限制。例如,國土安全部披露,它已與捷藍航空達成諒解備忘錄,其中包括捷藍航空對生物識別出口數據的處理。76但截至本文發表時,該諒解備忘錄或任何其他管理私營實體使用生物特徵退出數據的協議均未公開。如果此類私人協議沒有更大的透明度,也沒有關於私人實體在生物識別退出過程中的作用的實質性規則,那麼幾乎沒有保護措施來確保生物識別退出數據和技術不會被濫用。


三、建議

建議一:

DHS 應該通過識別它試圖解決的問題、量化該問題的範圍並解釋為什麼需要這個程序來解決它來證明基於面部掃描的生物識別退出程序是合理的。  

就目前而言,生物識別退出計劃是不合理的。如果該計劃確實旨在解決簽證逾期旅行欺詐,那麼國土安全部應該研究這種類型的欺詐發生的頻率,公佈結果,並證明這是一個值得解決的問題。這可以使用該機構已有的數據來完成。例如,儘管 DHS 的現有存儲庫中包含有關旅客到達和離開的數據、到達和離開信息系統的傳記退出記錄,但 DHS 可以審查有關簽證逾期停留進入美國執法部門或 DHS 監管的發生率的歷史數據(ADIS)。77 這樣的研究將提供急需的洞察力,以了解簽證逾期旅行欺詐是否普遍,從而了解是否有必要以十億美元的價格解決該問題。

建議 2:

國土安全部應暫停機場面部掃描,等待聯邦政府要求的規則制定程序完成。  

國土安全部應暫停在登機口進行所有機場面部掃描,直到符合聯邦行政法為止。如上所述,法律要求國土安全部在採用強制性生物特徵掃描等具有重大影響的新計劃之前徵求並考慮公眾的意見。國土安全部必鬚髮布擬議規則制定通知,回應公眾意見,並發布最終規則,讓公眾了解機場面部掃描和適用於他們的規則。

建議 3:

當美國公民離開美國時,國土安全部應該停止掃描他們的面部。  

國土安全部應將美國人排除在任何生物識別退出計劃之外。國會從未明確授權國土安全部在機場定期掃描美國公民的面部。除非並且直到它收到國會授權恢復對美國人進行機場面部掃描,否則國土安全部應該努力維護和改進由 TSA 特工在 TSA 安全檢查站和登機口特工在登機口進行的手動護照面部比較。

建議 4:

國土安全部應該證明其機場面部掃描技術足夠先進,可以阻止冒名頂替者,而不會給其他人帶來不便。  

國土安全部應該研究其人臉識別技術的工作情況並公佈結果。國土安全部應持續評估其係統在操作條件下檢測冒名頂替者的有效性,以及其係統錯誤拒絕出示自己有效證件的個人的比率。國土安全部還應評估其係統在不同人群中的表現。任何表明算法根據旅行者的種族或性別執行不同的結果都是不可接受的,必須在部署之前進行更正。

建議 5:

國土安全部應採取公共政策,確保任何機場面部掃描程序收集的數據不會用於其他目的。  

為了保護旅行者的隱私,國土安全部應採取公共政策,嚴格限制面部掃描系統收集的數據的使用,以達到收集目的——在外國旅行者離開美國時驗證他們的身份。適用於任何機場面部掃描程序收集的數據的使用限制應包括明確禁止在沒有搜查令或合法發布的法院命令的情況下與州、地方或聯邦執法部門共享收集的數據。

建議 6

航空公司應以公平和隱私保證為條件與國土安全部建立夥伴關係。  

在為客戶服務的過程中,航空公司未來不應與國土安全部合作,在未首先獲得可執行的隱私、錯誤率和不存在偏見的保證的情況下對旅客進行生物特徵篩查。航空公司還應要求國土安全部採取一項政策,如上所述,將任何機場面部掃描程序收集的數據的使用限制在收集目的範圍內。航空公司應確保所有適用於機場人臉掃描的政策都公開並方便旅客獲取。航空公司應要求對這些政策的任何更新或修訂都附有變更的公開通知。這些要求應與國土安全部的承諾相結合,以研究和糾正系統偏差並提高系統準確率。

航空公司股東可能有責任告知公司董事會未經緩解的機場生物識別技術的風險。為此,股東可能希望通過股東決議建議公司董事會採用禁止自願參與國土安全生物識別項目的政策。 


四。結論

國土安全部開始在全國各地的國際機場部署基於面部掃描的生物識別出口計劃,該計劃非常耗費資源。但是,儘管標價 10 億美元,該計劃還是充滿了問題。這是不合理的。它在法律上是虛弱的。它可能在技術上存在缺陷。它可能會牽涉到嚴重的隱私問題。

由於上述所有原因,美國人應該考慮放棄國土安全部基於面部掃描的生物識別退出計劃是否更明智,該計劃成本高昂,但沒有提供切實的好處和許多擔憂。如果國土安全部堅持該計劃,那麼重大改革是至關重要的。


五、致謝

電子隱私信息中心就機場人體掃描儀的隱私影響提起訴訟的重要工作(在本報告中多次引用)在許多方面都是本報告的基礎,政府問責辦公室的監督行動和報告也是如此國土安全部的利益相關者會議。這份報告還得益於隱私與技術中心常駐人臉識別專家 Clare Garvie 的研究,以及負責該中心運營和通信的 Katie Evans 的警惕和溫和指導。

保羅·歐姆教授和大衛·弗拉德克教授提供了批判性指導和仔細閱讀,他們都是中心的教員。我們的其他專家評審員將保持匿名,但我們非常感謝他們的時間和對這項工作的關注。我們還要感謝中心的研究助理、我們的文案編輯 Joy Metcalf、我們的通訊公司 Spitfire 以及我們的設計和網絡開發公司 Rootid。

喬治城法律隱私與技術中心得到福特基金會、麥克阿瑟基金會、媒體民主基金、奧米迪亞網絡、開放社會基金會和喬治城大學法律中心的支持。我們特別感謝麥克阿瑟基金會的額外支持,使我們能夠成功完成本報告。


六、關於作者

Harrison Rudolph是喬治城法律隱私與技術中心的一名助理。哈里森在喬治華盛頓大學獲得學士學位,在喬治城法學院獲得法學博士學位。在上法學院之前,哈里森曾在一家律師事務所擔任律師助理,專注於影響消費者信用報告機構的問題。

Laura M. Moy是喬治城法律隱私與技術中心的副主任。在加入該中心之前,勞拉是喬治城法律公共代表研究所通信與技術診所的代理主任。在此之前,她曾在 New America 的 Open Technology Institute 和 Public Knowledge 工作。勞拉在紐約大學法學院完成了法學博士學位和法學碩士學位。在喬治敦。

Alvaro M. Bedoya是喬治城法律隱私與技術中心的創始執行董事,也是該中心 2016 年報告《永久陣容:美國不受監管的警察面部識別》的合著者。此前,他是參議院司法機構隱私、技術和法律小組委員會的首席顧問。他畢業於哈佛大學和耶魯法學院。



沒有留言:

張貼留言