如今,在中国用户看来,指纹识别、刷脸,甚至声纹、虹膜等先进的识别认证方式,已经不再是那么令人惊艳的“黑科技”了——“生物识别认证”在中国已实现了广泛的应用普及。这种全球领先的应用规模优势,也使得中国在该领域的标准化探索,成为了ISO国际标准制定的主要参考。
日前,在挪威约维克召开的“ISO/IEC JTC1 SC27(信息安全分技术委员会)工作组会议”上,23国代表投票支持由来自中国的互联网企业“蚂蚁金服”牵头推动的ISO/IEC 27553《移动设备生物特征识别身份认证安全要求》,无国家反对。
这是中国TOP互联网企业在生物识别认证领域首次牵头制定ISO国际标准,同时也填补了在该领域国际标准的空白。
由“蚂蚁金服”牵头推动的这一ISO国际标准,涉及了大众熟悉的指纹和人脸识别等身份认证技术——因广泛应用在如手机等终端的登录权限和移动支付领域,而在过去几年的市场应用中迅速普及。中国庞大的移动用户群体为相关技术在中国市场的快速发展提供了得天独厚的环境优势。
这项标准一旦制定完成,将成为行业内通行的国际标准,深刻影响全球相关技术的发展和应用:包括推动产业有序高效运行、促进产业内各类角色的合作等,尤其是将提升全球生物特征识别及身份认证的安全水平。
填补国际标准空白
国际标准化组织(International Organization for Standardization)简称ISO,是全球性的非政府组织,通过促进标准化发展,服务于商品和服务的国际交换。在一定意义上,它是全球科学技术合作与博弈的最高舞台。
我们今天的生活早已离不开ISO标准,通过它制定的国际标准就像一根指挥棒,指挥着全球相关产业有序和高效运作。
然而,针对移动设备上生物特征识别和身份认证的安全,到目前为止国内外还没有统一标准。由蚂蚁金服牵头制定的这项国际标准,将会给全球生物识别认证产业带来多重积极的影响:
首先,该标准的制定将规范生物特征识别及身份认证产业的发展。
通过国际标准的制定,可以进一步促进包括中国在内各国相关标准的制定和完善,有利于明确产业中所涉及到的相关角色的产品定位、安全要求和产品准入资质等,是确保生物特征识别及身份认证产业安全、有序运行的重要手段。
其次,该标准的制定将在新的水平上促进产业内分工合作。
产业发展的规律告诉我们,制定合理、统一的标准,有利于促进产业生态链的开放合作。生物特征识别身份认证领域确立国际标准,不仅可以降低产业发展边际成本,还能吸引更多企业不断加入,形成正向反馈的良性发展机制;同时,通过产业链内各角色的合作互补,形成覆盖生物特征识别和身份认证产业内全链条的整体技术安全解决方案,并最终提升整个产业及产品、服务的用户体验和安全水平。
更重要的是,该标准的制定将提升中国生物特征识别身份认证产业的影响力。通过参与这项国际标准的制定,中国的行业企业可以充分考虑并提前布局,鼓励在更广阔的范围内采用甚至推广国内的技术、算法、解决方案等,从而提升相关产业“走出去”的能力。
“平衡的艺术”:基于技术?还是立足安全?
为了在全球范围内实现广泛的适配,任何一条ISO标准的制定都要经历严苛的流程——从初步立项时,就必须通过各国代表投票同意;之后才能分配ISO标准编号并继续标准的后续研制进程。
《移动设备生物特征识别身份认证安全要求》在立项之初,并非一帆风顺;事实上,甚至遭受到了不小的阻力。主要的反对意见来自“SC37”——ISO中专注于生物特征识别标准建设的分技术委会。
由于提案直接关涉生物识别,SC37的专家认为,它理所应当在SC37下立项,而不是立项于SC27之下。后者是ISO中关注信息安全的分技术委员会。
没有人能改变游戏规则。ISO下的每个分委会都有来自不同国家的代表,如果SC37的专家反对,他们就有能力通过各自国内的协同,直接影响本国进入SC27分委会的成员的投票。那么,来自中国的提案,将无法推进。
蚂蚁金服之所以积极推动这项标准立项在SC27,即“信息安全”的主题下展开,主要原因在于研制该标准的初衷——聚焦在“保障广大用户在移动设备上的安全体验”这个目标,而满足“安全”这个诉求究竟是通过指纹还是人脸,抑或其他生物识别技术,其实都只是手段问题。
正是源于对移动支付的金融级安全的追求,在蚂蚁金服体系内,对用户安全的认知优先级高于任何一项具体技术。这也是蚂蚁金服认为该标准的制定需要落地在SC27之下的原因。
“安全”已经成为今天蚂蚁金服整体“BASIC”战略布局的组成部分,它们分别是区块链(Blockchain)、人工智能(AI)、安全(Security)、物联网(IoT)和云计算(Computing)——由此已不难看出标准立项于SC27之下对于蚂蚁金服的重要性。
这里充满了古希腊戏剧式的“善”与“善”的矛盾冲突。从SC37分委会视角出发,提出反对意见同样合情合理——由于同时关涉生物识别和认证安全,该项标准本身就呈现着鲜明的跨领域特征。考虑到每个分委会都希望有更加饱满的课题内容和更广阔的业务边界,SC37中出现反对声音并不足为奇。
换而言之,这种对标准立项逻辑归属的争夺,也正印证了ISO下的分委会对该标准全方位价值的充分重视。
好消息是,矛盾并非不可调和。只不过,问题是全新的,蚂蚁金服需要探索新的解决方式。
不止“隔壁”的SC37,SC27内部各国专家也不全部支持蚂蚁金服。其间原因纷繁复杂,有学术的,也有技术的;一些国家代表考虑到国内产业也已起步,这些利益同样需要在这项标准的推进中得到平衡。
标准的制定本就是一种平衡的艺术。这次,蚂蚁金服要做的,是成为那位艺术家。
23国支持,无人反对
把时间线拉回到2017年4月,蚂蚁金服在ISO/IEC JTC1 SC27新西兰汉密尔顿会议上正式开展该项标准的研究课题项目。按照SC27的工作流程规定,研究课题项目需要至少半年的研究期。这半年是艺术家挥洒魅力的舞台。
一对一的交流随即在SC27的专家中展开。蚂蚁金服尝试去了解每一条不同的意见,分析意见背后的原因,并寻找平衡之道。
“对于每一个问题和挑战,我们最终都找到了‘既……又……’的解决方案。”参与了这项标准立项沟通的蚂蚁金服高级标准化专家孙曦说。
孙曦在标准立项答辩现场
在这之后,蚂蚁金服把沟通经验复制到了SC37——去研判不同意见背后的意愿,并最终再去为每一种意愿找到平衡的解决方案。
2017年10月至2018年4月间,在充分考虑其他国家专家建议的基础上,为了更能顺利达成在SC27立项的共识,蚂蚁金服主动地对标准研究课题的范围进行了连续调整。这些努力,让课题变得更加偏向信息安全部分。
2018年7月,SC37的全球年会在深圳举办。这是集中与各国专家深度沟通的大好机会。蚂蚁金服干脆主动出击,向SC37申请了一场演讲。
演讲后,有备而来的蚂蚁金服集中回答了所有SC37专家的关键问题。SC37的专家们终于有机会全面地了解项目的定位和内容,以及该标准可以放在SC27之下推进的原因。
沟通的“艺术价值”是巨大的,它几乎消弭了全部质疑,并最终促使SC37响应了此前蚂蚁金服极具开放和创新的建议:委派了一位SC37的专家作为副编辑参与到该项标准的制定中去。
最终,在ISO/IEC JTC1 SC27(信息安全分技术委员会)工作组会议相关投票表决中,共23个国家投票支持,没有国家反对。美国、英国、法国、日本、韩国和芬兰等国代表,还同时在投票表决单中表示,愿意派出专家参与该项标准的制定——中国“标准”至此真正走向全球市场,实现了在该领域的首次突破。