在工作場所中,資訊無處不在。但是保護和共用資料的傳統方式(從各種來源訪問受密碼保護的資訊)效率低下、繁瑣且風險大。隨著舊的身份驗證方法被生物識別和區塊鏈應用技術所取代,公司將享有更高的效率、更穩固的安全性和更低的成本。但在此之前,瞭解其中潛在的法律問題,是極為明智的做法。
- 問題
“用戶名”和“密碼”作為九十年代資料保護的基本設置盡人皆知。該設計是用於阻止未授權的第三方訪問系統所保護的使用者。通常,登錄密碼會被大幅簡化以提高可記憶度,或者是人們使用相同的憑證來同時訪問工作和家中的設備或系統。無論是採用哪種方式,為了提高效率,系統安全性都會受到影響。更糟的是,解決這個問題的典型方案更為死板:讓系統每90天強制性地更改密碼。
用戶名——密碼系統也是頗為昂貴的。據微軟公司程式管理總監埃裡克斯·西蒙稱,該公司每月花費超過200萬美元説明人們更改和恢復密碼。而IBM估計,一次資料洩露的平均成本為360萬美元。
- 基於生物識別和區塊鏈技術的解決方案
生物識別技術是指測量和分析個人的生物特徵,如個人的臉部、指紋、虹膜、步態、或耳腔(這種特徵比指紋更獨特)。您可以已經使用生物識別資料來解鎖您的手機或汽車。如果您打電話給銀行,銀行使用生物識別技術驗證您的聲音的可能性很高。而且,隨著技術更為普及,雇主可以使用生物識別資料來記錄員工工作時間,以防止欺詐行為,並限制對工作場所的未授權訪問。
儘管生物識別認證有望在降低成本的同時提高便利性,但它本身並不能為用戶名—— 密碼系統存在的難題提供一個靈丹妙藥。若是遭受盜竊或是被有意破壞,依靠用戶名、密碼、駕駛執照、和社會安全號碼的傳統身份驗證方式可以被更改或替換。但是生物識別資料是不可篡改的,因此,它在工作場所的使用,引發了大量關於隱私問題的討論,而這可能使員工身份資料被盜的風險增加。雖然生物特徵資料比用戶名——密碼更為安全,但生物特徵資料仍然是可以被複製、共用、洩露、和駭客入侵的。因此,如果將生物特徵資料存儲在錯位的快閃記憶體盤上,任何得到該快閃記憶體盤的人都可能將這些資料用於非法目的。這可能將公司的整個系統暴露於單一失誤。
對此的解決方案是何在?區塊鏈——分散的、數位化的、分散式的系統。與依賴單一訪問集中式資料庫的傳統身份驗證方法不同,區塊鏈通過將資訊分發到被加密連結的不相關電腦或伺服器(即“節點”)網路上的一系列數位化“塊”來保護資訊。用外行人的話來說,這意味著沒有因單一失誤,而全盤皆沒的可能。除非有人全數入侵這些數位化塊,而這極為困難。
當結合到一起時,生物識別技術與區塊鏈技術能夠解決價值數十億美元的用戶名——密碼資訊保護的難題。生物識別技術可以確保用戶是其所說的那個人,並且只要用手指或眨眼即可訪問她需要的資訊;而區塊鏈技術可確保她的個人資料安全且私密,並可以共用於可以信賴網路。而其中是一個不變的數字身份,使得公司能夠無縫、安全地與員工和客戶進行交流。
- 法律問題
在進入電子資料身份的新世界之前,公司需要考慮的法律問題並不少見。加州尚未頒佈立法專門管理生物識別資料。但是,《勞動法彙編》第1051條禁止雇主與第三方分享員工指紋和照片。《民法彙編》第3344條禁止在未事先征得同意的情況下使用某人的“姓名、聲音、簽名、照片、或肖像”獲得利潤。因此,加州的雇主需要確保他們掌握的任何生物識別資料都必須是安全的,而且未經員工同意,不得在公司以外分享。
同樣,聯邦政府亦尚未頒佈具體管理生物識別資料的立法。然而,在2012年,聯邦貿易委員會推薦了公司使用面部識別技術的細則。而在2016年,國家電信和資訊管理委員會也紛紛效仿。這些機構的報告表明,根據現行法律,不當使用生物特徵資料可能是違法行為的。
考慮到生物識別資訊高度個人化的特徵,公司還必須應對大量關於個人隱私法律,尤其是歐盟的“通用資料保護條例”(“GDPR”)。該條例適用於任何收集、處理、管理或存儲歐洲公民資料的行為,而無關於公司所在的位置。
公司在資訊安全事件發生時還必須瞭解其義務。美國所有50個州都制定了立法要求公司通知使用者有關個人身份資訊的安全性漏洞。在加州,隱私權受憲法保護,而且該州是第一個制定資料洩露通知法的州。根據民法彙編第1798.29(a)和1798.82(a)條,公司必須通知加州居民,包括公司雇員,其“個人資訊”曾被或已被合理地認為遭到破壞。
另外,在2015年,加州議會推出了A.B. 83法案,這將把“個人資訊”的定義擴大到包括生物識別資料。該法案還要求企業採取合理措施保護生物識別資料免遭未經授權的訪問,並允許個人提起民事訴訟,並獲得民事賠償。雖然該法案未獲得參議院通過,但這不會是在加州就資訊安全問題而制定法律的最後努力。
針對工作場所中資訊安全問題的解決方案,南加州知名商業勞工法審判出庭律師、前檢察官鄭博仁就表示,生物識別應用正在使工作場所更加高效和安全。但是,就像任何新技術一樣,隨著新法律的頒佈,以及監管機構將現有法律應用於新的商業實踐,生物識別技術將會引起一系列法規問題。