【明報專訊】每個人雙眼的虹膜獨一無二,你可知自己的虹膜長什麼樣子?近年興起虹膜攝影,有商家為客戶拍攝高清虹膜寫真,並製成藝術品,就連前南非總統曼德拉也影過。由於虹膜特徵因人而異,每個人都不同,它被用於過境或銀行提款的生物認證方法。高解像度的虹膜相片會否被不法之徒利用,造成私隱外泄問題?
客製虹膜藝術品
店舖稱相片保存一月
來自法國巴黎的畫廊Iris Galerie去年末在香港插旗,設立亞洲第一間分店,它以高解析度微距攝影拍攝客戶的虹膜,讓客戶選擇購買其高清相片,或是將之製成項鏈、印刷品和燈箱等藝術創作。記者到訪香港分店,店員向客人身分的記者講解他們會在虹膜外圍加上特效製成藝術圖片,「我們加effect只在外圍,裏面是你自己的(虹膜),不會改你的(虹膜)顏色,因為虹膜的花紋要保持獨一無二」。店員着記者體驗一下,先看看拍攝效果再決定是否購物。
記者把臉架在一部類似配眼鏡用的電腦驗光儀的機器,機器左右上側各設一盞閃光燈,眼睛離鏡頭大約15厘米遠,店員說:「閃光燈只閃一兩秒,不加閃光燈無法清楚看見虹膜的花紋和顏色。」那閃光燈強度多少?店員沒明說,但記者有想滮眼水的感覺,「所以要(影得)好快」。店員續稱,5歲以上人士均可做這種虹膜攝影,然後吩咐記者輸入簡單個人資料——隨便一個名字和電郵地址,用於辨認相片主人,「每張相都會分編號,我們會即時處理,不會搞混」。
客戶的虹膜相片大約會保存多久?「你預大概一個月吧,相片隔太久會全刪掉,因為我們是法國公司,很尊重私隱。」假如客人未能即時下決定,之後才想用其虹膜相片另製藝術品呢?店員則說要客人親自到店內重新再拍一次,「一兩個月內都可以,我們不會保存你的虹膜相片太久」。
記者以電郵向Iris Galerie作進一步查詢,惟截稿前未獲回應。不過按其網站所述,他們根據歐盟的「RGPD標準」(即《一般資料保護規則》,General Data Protection Regulation,又稱GDPR)保存客戶資料兩年,亦稱虹膜照片是藝術圖片,「絕對不會對個人身分構成危機。同時,我們的資料儲存系統沒連結你(客戶)的個人資料」。
學者:AI可將相片轉化成識別用途
究竟虹膜識別是怎樣一回事?商業藝術用途的虹膜相片能用於生物認證嗎?記者請教研究生物認證10多年的香港理工大學數據科學與人工智能系教授Ajay Kumar。他說簡單而言,虹膜識別主要由獲取虹膜圖像、檢測並擷取虹膜特徵,以及對比虹膜特徵數據庫的資料3部分組成。近紅外線(NIR)攝影機會掃描人眼成像,經影像處理分離虹膜部分並擷取其紋理特徵作分析,最後對比數據庫的資料判斷虹膜相似程度。Kumar說商業藝術用途的虹膜相片或可用於虹膜識別,他解釋,虹膜藝術圖片是從可見光中拍攝的高解像度彩色相片,「一般人無法輕易轉化(translate)這些相片,但先進的AI可以」。他說AI可將高解像度的虹膜藝術圖片轉換成生物識別用的近紅外線影像。
Kumar說AI的深度學習(deep learning)有助捕捉人類虹膜更全面的特徵,若要獲取可高度檢測和分割(detection and segmentation)虹膜的圖像,識別對象雙眼必須對準鏡頭,「一般人只會看一眼就趕忙離開,虹膜成像質素參差」,但AI可捕捉低解像度虹膜影像中的虹膜紋理,亦可分析虹膜紋理和其特徵之間的複雜關係。
「反電子欺騙」技術加強安全
不過,Kumar稱現時的虹膜識別技術的反電子欺騙(anti-spoofing)做得不俗,例如活體偵測技術(liveness detection)感應眼睛的微跳視(microsaccades)和眨眼,以及瞳孔的光感反射等;多光譜成像(multispectral imaging)利用多種波長(可見光和近紅外線)來捕捉虹膜圖案和檢測人工物料如印刷品;3D結構認證(3D structure verification)用立體成像(stereoscopic imaging)或結構光(structured light)來驗證虹膜或眼睛的3D曲度,防止平面影像欺騙;亦會用高速攝影機實時監測生物的動態反應等,「這些技術能辨認出那虹膜不是來自活人,而是手機或電腦上的影像」,倘再混合其他生物識別方法使用,可加強其安全和穩健程度。
若使用像電影《職業特工隊》般作身分辨認的隱形眼鏡能瞞天過海,冒認他人身分嗎?「那已經是10年前的舊電影了」,Kumar笑言阿聯酋早在10多年前就發現不法分子利用虹膜鏡片偽造身分,政府決定掃描所有出境者的虹膜來識別,以防著名的恐怖分子離境,「(虹膜識別技術)可分辨出那是否隱形眼鏡」,而且真實採集的人類虹膜相片,其虹膜紋理較自然圓潤,虹膜假體在相片中則出現較粗糙的紋理。Kumar亦稱,要偽造出能通過生物識別的虹膜假體成本極高,甚少人會這樣做。
虹膜獨一無二 關乎黑色素
倘按可辨度排名,Kumar說6種生物識別方法(DNA、視網膜、虹膜、指紋、人臉、聲紋)中虹膜排第3,比指紋識別更精準。虹膜何以別樹一幟?虹膜圖像有超過240個特徵點可識別,比指紋40個特徵點還要多。
虹膜顏色受黑色素(melanin)影響,黑色素是由虹膜裏的黑素細胞(melanocytes)產生的色素,分為兩種:使人類眼睛看起來啡黑色的真黑素(eumelanin)和導致眼睛呈綠或黃褐色調的棕黑色素(pheomelanin)。Kumar稱特定的基因如OCA2和HERC2負責調節黑色素的製造和分佈,這些基因的遺傳變異引致黑色素濃度不同,令人類擁有各種眼睛顏色,譬如虹膜基質(stroma)較少黑色素的話會形成藍眼睛。
Kumar指出,在少黑色素的眼睛中,短波長光例如藍光會覆蓋基質,類似天空看起來是藍色,是因為瑞利散射(Rayleigh scattering)的原理,短波長的藍光在微小的空氣分子散射得最多,這種在結構上的「上色」令眼睛即使沒有藍色色素,也能呈現藍色。此外,基質擁有纖維和黑色素顆粒,它們的排列也會散射光線,造成虹膜伸縮並出現紋理,增強虹膜結構的可見度。
虹膜特徵受基質結構和色素層的相互作用影響,在人類的胚胎發育階段,膠原蛋白和黑色素的隨機分佈造就虹膜與眾不同的放射紋(radial furrows)和隱窩(crypts)等,虹膜的後色素上皮層則讓光無法從虹膜溜走,讓基質的圖案對比更強烈。此外,不同角度和波長的光散射和吸收會改變虹膜外觀顏色。這些特徵造成人類之間明顯的虹膜差異,使虹膜適用於生物認證。
存虹膜照宜加密 商家須慎待
因為虹膜之獨特,Kumar說其生物識別數據更為敏感,尤其虹膜一旦登記作識別特徵,便無法逆轉,「它不像密碼,假如被盜取和濫用,也無法重置」。他指未經授權存取虹膜資料或會引致私隱永久泄露。隨着愈來愈多國家出入境和銀行認證採用虹膜識別,如有人惡意盜用虹膜資料,Kumar說他們或可冒充身分繞過安全檢驗。因此,Kumar強調應避免儲存原始虹膜相片,任何虹膜數據都必須編碼加密,並在存檔前剝離個人識別資訊(personally identifiable information,PII)。
雖然虹膜攝影看似無害,但Kumar促商家必須極其謹慎對待當中或涉及的生物辨認數據,以強而有力的法律框架、道德實踐和技術保障及防止濫用客戶的個人私隱,例如明確向客戶表明資料用途並允許他們選擇退出(right to opt-out),確保客戶充分了解其資料存放和分享形式,「獲得許可時任何模糊不清或強制性的做法屬違反私隱原則」,並尋找第三方審核,定期評估其資料保安程度,以及訂立清晰的資料刪除協議,不無限期保存客戶的生物識別資料,Kumar認為商戶最長只可保存生物識別資料兩至三星期。
