挑战

如何利用人脸和图像识别算法加强公民登记和远程身份识别,使过程变得更简单、更安全、更可信?

有问题

自2016年以来,加泰罗尼亚地区一直使用名为“数字身份”的系统。 idCAT 移动端基于面对面或远程注册流程,使用数字证书(占远程注册总量的 2%),或者基于只有行政部门和公民自己知道的信息进行注册(98%)。

公民高度重视数字身份识别服务。 idCAT 移动端支持在线注册,因为它方便快捷、易于使用,注册后即可立即办理相关手续,无需记忆任何内容。近400.000万用户已在使用,完成的操作超过百万次,且用户满意度调查结果优异,无论是在使用体验还是初始在线注册流程方面,都获得了高度评价,这些都印证了这一点。

但是,这种数字身份有一些需要改进的地方:

  • 根据欧洲身份识别和电子签名标准以及国家安全方案,该系统被认为是低级别的,有一些不推荐的操作。 例如,访问公用文件夹。 由于这个原因,一些加泰罗尼亚语管理服务不使用它。 
  • 最初实施的在线注册过程仅要求根据相应的官方记录验证身份证和健康卡信息。 但是有些公民要么没有身份证,要么没有健康卡(有 Muface 互助保险的公职人员或在国外的加泰罗尼亚人)

基于这些原因,我们考虑了 探索新的机制,使在线注册流程能够……idCAT 移动端具备更高的安全性、稳健性和可靠性,目的是扩大无需移动即可获得它的用户数量,并扩大加泰罗尼亚政府的使用范围。

此次探索的结果,自2020年5月起,注册系统……idCAT 移动互联网:

  • 采用与实际存在相当的可靠性条款的公认识别方法,这将服务提高到相当大的安全水平;
  • 允许使用 DNI、TIE 甚至 NIE 访问在线注册过程,这扩大了可以访问该服务的公民数量。

在进行探索的过程中发现:

私营部门在这方面取得了长足进步 使用人工智能算法实施安全的远程识别过程, 特别是面部和图像识别。 推动的主要领域是银行业,遵循欧洲议会和理事会 2015 年 849 月 20 日关于防止利用金融系统洗钱和融资的指令 (EU) 2015/XNUMX恐怖主义。 此外,SEBLAC(防止洗钱和洗钱委员会执行局)已经批准了几项关于如何通过视频识别和视频会议机制对用户进行数字识别的指令。 欧洲主要银行目前正在实施使用面部和图像识别算法促进远程注册的服务。

一个关键问题是 面部识别算法的可靠性 在我们发现自己所处的不同情况和条件下,这可能会影响所捕获图像的质量。 幸运的是,美国国家标准技术研究院 (NIST) 对市场上主要面部识别算法在不同情况和条件下的稳健性进行了出色的研究,这为我们确定面部识别质量提供了非常有价值的信息算法和每个算法的风险级别,以便提出缓解措施。

尽管与往常一样,公共部门在采用这些人工智能技术方面总体上落后,但最近因 COVID-19 的突发卫生事件而加速,但部长级经济和转型数字发布了“465 月 2021 日的 ETD / 6/XNUMX 订单,其中规定了用于颁发合格电子证书的远程视频识别方法”,其中考虑了远程验证身份的可能性。
值得注意的是,AOC联盟此前已分析了国际经验,以确定适用于加泰罗尼亚公共部门的最佳实践,并且自2020年5月以来,该联盟已拥有该系统。 idCAT 移动设备,能够适应并满足本订单中规定的要求。

应用解决方案

注册系统idCAT 通过互联网移动应用面部和图像识别解决方案,在注册过程中提供证据,使注册过程更加稳健,并遵循国家制定的法规指南(ETD/465/2021 号令)。

埃尔斯 实施的主要控制措施 是:

  • 面部识别将进行注册过程(自拍)的人的照片与该人扫描的官方文件照片进行比较。
  • 面部识别将从注册过程的视频记录中拍摄的人的照片与该人扫描的官方文件照片进行比较。
  • 图像识别允许您扫描官方文件并验证它是原始文件且未被篡改。
  • 对经历这个过程的人进行生命测试,要求一个手势或动作
  • 经验证(如果此人居住在西班牙),文件中的数据与警察总局的官方记录相符。
  • 人工操作员验证整个过程以实现相当程度的注册保证。

过程示例:

同时,已经实施了几个 满足法律要求和建立信任的保障措施:

  • 隐私:公民可以通过其他方式获得数字身份 (eID),而无需共享其生物识别数据。
  • 一般数据保护条例 (RGPD):用户同意是强制性的,个人信息根据 RGPD 进行管理。 不存储生物识别数据:生成一个生物识别向量(一长串数字),并且不可能从该向量重建人脸。
  • 认证:该系统符合西班牙法规的要求,并具有必要的合规认证。
  • 无偏见的算法:定期质量检查可确保准确性并避免偏差。
  • 监督:所有交易均由公职人员监督。
  • 影响:已开展数据保护影响评估,以保障用户的基本权利。

应用方案要求

在议会和理事会于 2015 年 849 月 20 日批准有关预防的指令 (EU) 2015/XNUMX 之后,可以在欧盟金融部门找到使用人工智能算法的安全远程识别过程的起源利用金融系统洗钱或资助恐怖主义; SEBLAC关于如何通过视频识别和视频会议机制对用户进行数字识别的说明。

欧洲议会和理事会于 910 年 2014 月 23 日颁布的 (EU) 2014/XNUMX 条例,涉及内部市场电子交易的电子身份识别和信任服务,已经提供了验证身份的可能性申请合格证书的人,使用的识别方法保证在物理存在的可靠性方面具有同等的安全性。

当今市场上有许多面部和图像识别解决方案。 AOC 联盟选择的解决方案是由 DELOITTE ADVISORY SL 提供的解决方案,它是 VERIDAS 解决方案系列的一部分(请参阅 远程识别服务招标)

埃尔斯 其他要求 我们要求确保公共部门适用性的要求如下:

  • 它可以通过响应式 Web 应用程序或高度可用的移动 APP 来完成。
  • 该服务必须接受来自主要欧洲和全球国家的最常见的数字身份证明文件。
  • 官方文档的扫描过程将通过机制来控制MZ文档、水印等的真实性,并最大限度地减少冒充、操纵和提取用户照片的风险。
  • 拍摄用户自拍照片的过程将包括寿命测试(面部手势:闭眼、转头、微笑……)和拍摄照片质量的检测器。 如果质量低,将建议拍摄新照片。
  • 美国国家标准与技术研究院 (NIST) 在其关于“正在进行的人脸识别供应商测试 (FRVT) 第 2 部分:识别“。
  • 部分或全部过程将被录像作为证据,以促进监控、验证和控制任务。 不得将预先录制的视频上传或存储在防篡改位置。
  • 将验证发送到用户手机的一次性代码是否已正确输入到注册解决方案中。
  • 将添加有关注册过程和所用设备的地理位置的信息,以便应用自适应安全措施。
  • 记录的文件和过程的证据将被保存,并用数字证书和 AOC 时间戳正式签署,至少一年。
  • 公职人员(后台)管理申请将有助于监督和/或验证公民所做的记录。
    • 操作员注册过程的有效期最长不得超过 10 分钟(从扫描和视频过程结束算起)。
    • 验证服务将至少在以下时间段提供:从上午 9 点到下午 17 点。
    • 执行验证的操作员将接受适当的培训。
  • 在非接触式操作、打击恐怖主义和防止洗钱领域,将遵守 SEPBLAC 规定的客户视频识别程序。
  • 与此服务相关的信息系统将托管在欧盟。

此外,以下内容受到重视 高级要求:

  • 与 DNI-e 3.0 SDK 集成,通过 NFC 提取存储在 DNI 芯片上的照片。 此功能只能通过 APP 使用。
  • 验证扫描的官方身份证件是否具有全息图。
  • 与以下相关的监管合规:
    • 关于遵守 eIDA - ENS 的外部审计报告及其相应的符合性证书。
    • 解决方案作为合格产品纳入 CCNCERT ICT 安全产品目录,或者是根据 ENS 认证的组件。

应用解决方案的主要优势

  1. 更高的安全性: VERIDAS提供的面部和图像识别算法已被证明具有很高的准确性。 拒绝率非常低 (5%),主要是由于录音和室内照明的技术问题。
  2. 方便:用户在家几分钟内即可完成整个流程,省时省力。
  3. 包容:我们在用户体验方面投入了大量资金,以使任何用户的流程都非常简单,无论他们的数字技能如何。
  4. 储蓄:通过自动化管理任务和减少错误来提高效率,从而显着节省成本:与面对面的方法相比,每笔交易最多可节省 80%。

其他用例

尽管视频识别的第一个潜在应用案例是获取……idCat 移动端方面,未来的目标是研究这些视频识别机制的可行性,看它们能否提供一些要素,从而为身份识别提供更高水平的安全性。 idCAT 移动设备目前的安全性较低。因此,人脸和图像识别算法的应用未来可以扩展到许多其他场景,例如:

  • 执行程序和操作,无需生成任何先前的数字身份。
  • 参与过程中的电子投票或由国外公民进行的电子投票。 目前的程序非常繁琐,导致一小部分有投票权的公民无法行使。

项目状态

  • 生产中 自2020年XNUMX月
  • 指标(数据更新至2023年XNUMX月):
    • 超过 110.000 个视频识别
    • 95% 的请求被接受,5% 被拒绝

更多信息