工作場所中資訊無處不在,但保護和共享資料的傳統密碼方式卻低效、繁瑣且風險很大。隨著舊的身份驗證方法被“生物識別和區塊鏈應用技術”所取代,企業將能以更低的成本,享受高效且穩固的安全性。但在此之前事,先了解該新技術潛在的法律問題則是明智之舉。
傳統“使用者名稱/密碼”的問題
人們已熟知90年代的資料保護基本設定:“使用者名稱”和“密碼”,這項設計可用於阻止未經授權的第三方訪問系統,可以保護使用者。但為了幫助記憶,大家常會大幅簡化登入密碼,或共用工作和家庭裝置密碼;為提高效率,企業也採用種種舉措;這些都會影響系統的安全性。而死板地強制使用者每90天就更改密碼,尤其令人困擾。
使用者名稱/密碼系統也頗為昂貴。據微軟公司程式管理總監埃裡克斯·西蒙說,他們公司每月花費超過200萬美元幫助人們更改和恢復密碼。而IBM估計,一次資料洩露的平均成本為360萬美元。
“生物識別和區塊鏈技術”的解決方案
“生物識別”技術是指測量和分析個人的生物特徵,如個人的臉部、指紋、虹膜、步態、或耳腔(這種特徵比指紋更獨特)。您可能已經使用生物識別資料來解鎖您的手機或汽車;如果您打電話給銀行,銀行很可以經使用生物識別技術來驗證您聲音。隨著技術普及,僱主已能使用生物識別資料來記錄員工出勤、預防詐騙,或限制對工作場所的未授權訪問。
儘管生物識別認證有望降低成本、提高便利性,但它本身還不足以成為防盜的靈丹妙藥。倘若遭受盜竊或被有意破壞,傳統身份驗證(使用者名稱、密碼、駕駛執照、社安號等)還能更改替換,但生物識別資料卻是不可篡改的,這就引發了其在工作場所使用的大量隱私討論,員工身份被盜用的風險也可能增加。對企業來說,雖然生物特徵資料比使用者名稱/密碼更安全,但其仍然可以被複制、共享、洩露、和駭客入侵。因此,若將生物特徵資料儲存在錯位的快閃記憶體盤上,任何得到該快閃記憶體盤的人都可能將這些資料用於非法目的。這可能將公司的整個系統暴露於單一失誤。
對此的解決方案何在?那就是“區塊鏈”——分散的、數字化的、分散式的系統。與依賴單一訪問集中式資料庫的傳統身份驗證方法不同,區塊鏈透過將資訊分發到被加密連結的不相關計算機或伺服器(即“節點”)網路上的一系列數字化“區塊”來保護資訊。用外行人的話來說,這意味著避免了因單一失誤而全盤皆沒的可能。除非有人全面入侵這些數字化塊,而這極為困難。
結合“生物識別技術”與“區塊鏈技術”就能夠解決“使用者名稱/密碼”系統需耗資數十億美元來保護資訊的難題。生物識別技術可以確保使用者是特定的那個人,而且這個人只需伸手指或眨眼睛即可訪問所需資訊,且該人的資料還能確保安全與私密,在所信賴網路上共享。這其中,恆久不變的數字身份將讓企業能夠無縫、安全地與員工和客戶進行交流。
法律問題
在進入電子資料身份的新世界之前,企業要考慮的法律問題不少。加州尚未頒佈專門法律來管理生物識別資料。但是,《勞動法彙編》第1051條禁止僱主與第三方分享員工指紋和照片。《民法彙編》第3344條禁止在未事先徵得同意的情況下使用某人的“姓名、聲音、簽名、照片、或肖像”獲得利潤。因此,加州的僱主需要確保他們掌握的任何生物識別資料都必須是合法的,而且未經員工同意,不得在公司以外分享。
同樣,聯邦政府亦尚未頒佈具體管理生物識別資料的法律。然而,在2012年,聯邦貿易委員會推薦了企業使用面部識別技術的細則。而在2016年,國家電信和資訊管理委員會也紛紛效仿。這些機構的報告表明,根據現行法律,不當使用生物特徵資料有可能違法。
考慮到生物識別資訊高度個人化的特徵,商家還須應對大量關於個人隱私法律,尤其是歐盟的“通用資料保護條例”(GDPR)。該條例適用於任何收集、處理、管理或儲存歐洲公民資料的行為,而無關於商家所在的位置。
企業在資訊保安事件發生時還必須瞭解其義務。美國所有50個州都制定了法律要求企業通知使用者有關個人身份資訊的安全漏洞。在加州,隱私權受憲法保護,而且該州是第一個制定資料洩露通知法的州。根據民法彙編第1798.29(a)和1798.82(a)條,企業必須通知加州居民(包括僱員),其“個人資訊”曾經或剛被合理地認定遭受破壞了。
加州議會2015年曾推出A.B. 83法案,把“個人資訊”的定義擴大到涵蓋生物識別資料。該法案還要求企業採取合理措施,保護生物識別資料免遭未經授權者訪問,並允許個人提起民事訴訟以獲得民事賠償。雖然該法案未獲得參議院透過,但預期會有後續努力。
南加州商業勞工法審判出庭律師、前檢察官鄭博仁表示,生物識別應用正在使工作場所更加高效和安全。但是,就像任何新技術一樣,隨著新法律的頒佈以及監管機構將現有法律應用於新的商業模式時,生物識別技術將會引起一系列的法規問題。
