虹膜獨特難偽冒 「World」已掌握千萬人「特種個資」
虹膜驗證的獨特與難以偽造,成為新一代數位身份新趨勢,讓OpenAI執行長奧特曼(Sam Altman)共同創辦的Tools for Humanity(TFH)公司,推出「World APP」服務,看準虹膜的唯一性與高安全性,已在全球各地掃描超過1200萬人的眼球,透過專屬裝置Orb擷取虹膜資訊,建立數位身分「World ID」,有效確保「你是真人不是AI」而且無法再申請第二個帳號,聲稱可協助使用者匿名驗證身分、AI偽造帳號,特別是防範類似深度偽造(deepfake)的詐騙行為。
TFH公司更在台北市設置三處可以掃虹膜的地點,推廣「掃眼球換幣」活動,完成虹膜掃描並通過驗證後,將獲得WLD加密貨幣(Worldcoin)與一組匿名的 World ID,可用於Minecraft、Reddit與Discord等平台登入,即使不懂虛擬貨幣,也可以兌換超商或百貨禮券,甚至連發邀請碼就可以先領錢,讓網友甚至網紅都大力推薦。
不過,這樣賣虹膜換錢的活動,已引起數位發展部警示,可能違反《個人資料保護法》中「特種個資」的處理規定。因為根據個資法第6條,虹膜屬於敏感性極高的「特種個人資料」,其蒐集與利用受到更嚴格的限制。專家也提醒,即便業者宣稱不保留原圖,若演算法不公開、設備與傳輸機制不透明,仍有資安風險存在。
指紋、人臉、虹膜三大辨識技術優劣一次看
從技術特性來看,指紋辨識是目前最普及的生物辨識方式,優點是成本低、感應快速,但容易因手指濕潤、磨損或沾有異物而影響辨識準確度。此外,指紋圖樣相對容易被複製,已有不少研究證實可透過3D列印或矽膠模仿破解。
人臉辨識則因為可遠距感測與相容於手機鏡頭,應用愈來愈廣,但同樣也存在照片偽造、深偽技術(deepfake)等風險,且辨識準確度會受光線、角度與化妝等因素影響。
相較之下,虹膜辨識紋理密度高,具有唯一性、穩定性、不易偽造性,不但終生不變甚至同時必須活體才能檢測虹膜資訊,理論上具備最高的安全性與準確性,也是目前僅次DNA為最難仿冒的技術之一。
而且,根據日本研究,虹膜辨識準確率是指紋識別的1200倍,也是人臉識別的12000倍,更是聲音識別的40000倍。英國國家物理實驗室更研究發現,虹膜防偽冒性最強,不像指紋、聲音、人臉容易偽造模仿,更需要透過專用設備近距掃描,才能擷取資訊,更提升遭盜取仿冒的安全性。
虹膜比指紋更精密 也成最難保護的生物特徵
正因為每個人的虹膜圖案皆獨一無二,即使是同卵雙胞胎也不相同,而且出生數月後即定型、終生不變,虹膜被視為最穩定也最難偽造的身分識別方式。
因此虹膜辨識技術最早已被用在三星手機上,作為生物辨識解鎖方式之一;虹膜也常用在金融和證券的門禁裝置,或是機場、海關等需要精確身份驗證的地方,讓旅客透過人臉與虹膜辨識系統,幾秒內完成身分與護照資訊的核對,快速完成機場通關,新加坡就是最早實施虹膜通關的國家、澳門也在部分口岸實施虹膜自助過關。
更因為虹膜比人臉辨識更精準,不但能防止對方做過整容手術,更可以在半導體等工作環境中,配合佩戴防護裝備的操作員,僅露出雙眼驗證身分;當然也可以與VR設備結合,像蘋果的Apple Vision Pro搭載Optic ID的虹膜識別技術,可以在VR遊戲或工作中驗證身份。
然而,正因虹膜獨特性,一旦遺失就無法重設、無法替換,若資料遭竊將難以補救,也成為資訊安全上的最大風險。
從加密幣轉向數位身分驗證 World公司改名再出發
而OpenAI執行長奧特曼也看上虹膜識別的特性,聲稱可用來解決數位身分安全,因此2023年就推出「World App」,透過球體裝置Orb掃描虹膜後,就能取得真人驗證服務,還會給你一份虛擬幣的獎勵,而根據TFH統計,已有超過160個國家、逾1200萬人通過Orb驗證並取得World ID。
現在,TFH五月份登台上市「World」公司,還設了3處球體裝置Orb,讓台灣人開心掃描虹膜換虛擬幣或消費禮券,不過,TFH沒說的是,「World」前身為「Worldcoin」,原本主打掃描虹膜換加密貨幣,但是遭質疑不合法收集未成年人隱私資料,並且缺乏說明資料處理方式,遭到西班牙、肯亞、印尼、香港等國家或地區禁止掃描及蒐集虹膜,甚至要求刪除資料,引發國際信任危機,近來才一再強調數位身分驗證的重要,但是在台灣上市記者會上,仍無法清楚說明資料監管與應用,再度遭到質疑。
掃眼球換虛擬幣?推廣手法引爆隱私疑慮
而在台灣引發的隱私與資安爭議,則是「World」透過Orb裝置掃描虹膜,聲稱系統會將生物特徵資料掃描的圖像經過高強度加密,即時轉換為唯一的數位驗證碼,原始掃描資料會在生成數位身份後立即刪除,不會儲存原始圖像,讓使用者完成註冊後,即可獲得一組World ID作為數位世界的身分憑證,同時領取加密貨幣WLD作為獎勵。
根據TFH官方說法,領取加密貨幣是一種去中心化的Web3網路環境概念下的「基本收入」實驗,使用者不需投入資金,每月仍可免費領幣作為激勵。
以目前WLD在多個加密貨幣交易所上架,單價約為29.77元台幣,初次掃描後可獲得約40枚WLD,若持續領取,一年最高可累積約台幣1600元等值的加密貨幣。此外,若透過推薦碼註冊,每邀請一人完成驗證,雙方可獲得300元左右的獎勵。
雖然這類「掃描換虛擬幣」機制頗具吸引力,也讓部分使用者視為一種無成本賺錢方式,但外界也擔憂其是否過度誘導、削弱對資料安全的警覺,特別是涉及高度敏感的生物特徵如虹膜時,數發部也建議民眾在註冊前,應謹慎評估其資料使用條款與風險。
趨勢科技示警:虹膜一旦外洩無法補救
對於虹膜可能遭盜用的風險,趨勢科技研發資深經理黃彥穎指出,虹膜屬於高度敏感的個人生物特徵,不同於密碼可重設,一旦外洩將難以挽回。他認為,即便TFH官方聲稱不保留原圖,但是演算法未公開、傳輸過程或設備管理不透明,仍可能存在資安風險。黃彥穎說,雖然目前尚未發生大規模虹膜資料外洩,但他提醒,主要是因應用尚未普及,並不代表風險不存在。
3C達人廖阿輝親測 流程簡單但信任是關鍵
親身參與虹膜掃描與驗證的3C達人廖阿輝,也在接受《壹蘋》採訪時指出,「World APP」整體流程簡單快速,App本身並未要求過多個資,掃描眼球後即可取得身分代碼與代幣。他表示,從技術原理來看,「World 」系統是將虹膜影像即時轉為驗證碼,並不保留原始圖像。不過,他也坦言:「大家最擔心的隱憂,還是『掃描過程會不會被偷偷備份』,而這又是回歸到最原始的『對對方有沒有足夠信任』的問題。」
各國紛紛出手監管 虹膜技術蒐集引發全球關注
隨著World ID全球推廣,西班牙已限制針對未成年者掃描,南韓更以資訊揭露不足為由開罰約2,400萬元,肯亞則全面禁止此技術。葡萄牙、法國與香港也已啟動調查。
而主管數位網路的數位發展部則示警,虹膜屬「特種個資」,除非有法律明文授權,否則不得任意蒐集與使用。民眾參與前應詳閱相關條款與資料用途,理解風險再決定是否提供。