活体检测 vs 人脸匹配：隐私与政策风险解析

文章指出，在政府数字身份项目中，“活体检测（liveness detection）”与“人脸匹配（facial matching）”并非同一概念，二者混用会导致隐私风险与政策偏差。文中将活体检测定义为：在拍摄时确认面前是“真实在场的活人”（例如眨眼或动作验证），通常不需要识别“是谁”。相对地，人脸匹配会把摄像头采集的人脸与已存的证件照片进行比对，并给出“同一人的置信度分数”，其关键目标是身份对应。 结合 NIST 身份保证等级（IALs），文章称：在人脸匹配用于更高保证强度（如 IAL2）的场景中，活体检测起到支撑作用——通过降低回放照片或伪造视频造成的欺骗风险来提升比对可信度。文中也警告，如果在生物特征比对流程中省略活体检测，可能带来实质性的欺骗（spoofing）暴露。 在隐私层面，核心差异在于数据最小化。活体检测可通过在端侧运行、快速丢弃“在场验证”数据来减少传输与留存。人脸匹配则需要访问存储的参考图像（由政府或供应商持有），从而引出留存周期、访问权限与治理框架等问题。文章强调：即便是服务器端比对，如果能做到加密、严格的留存限制、可执行的合同约束与可审计控制，风险也可能被显著降低，但这些必须“被要求”，而不是“被假设”。 在监管审查中，文章建议立法与监督者重点追问：系统是否使用活体检测、是否使用人脸匹配、是否两者都用；比对发生在设备端还是服务器端；生物特征数据如何留存与审计；以及当生物识别无法完成时的替代路径。