IRS는 ID.me의 얼굴 인식 사용을 중단해야 한다고 개인 정보 보호 전문가들이 경고합니다.
IRS 와 27개 이상의 주에서 사용하는 생체 인식 신원 확인 시스템인 ID.me가 안면 인식 기술의 작동 방식을 완전히 투명하게 만드는 데 실패 했다는 소식에 개인 정보 보호 단체는 투명성을 요구하고 있습니다.
수요일에 게시된 링크드 인 게시물 에서 ID.me의 창립자이자 CEO인 Blake Hall은 ID 도용을 최소화하기 위해 회사가 얼굴 데이터베이스에 대해 신규 등록 사용자의 셀카를 확인한다고 말했습니다. 이는 ID.me가 과거에 생체 인식 제품을 내세웠던 개인 정보 보호 방식과 상반되며, 정부의 기본 업무에 ID.me를 사용하도록 강요받는 일반 대중이 정보가 불명확하다고 주장하는 옹호자들의 조사를 받았습니다.
회사 웹사이트와 Gizmodo와 공유된 백서에서 ID.me는 서비스가 사용자의 생체 인식을 단일 문서와 비교하는 1:1 얼굴 일치 시스템에 의존한다고 제안합니다. 이는 사용자를 (많은) 얼굴의 데이터베이스와 비교하는 소위 1:다수 안면 인식 시스템(Clearview AI와 같이 현재 악명 높은 회사에서 배포한 유형)과 반대입니다.
개인 정보 보호 전문가는 일반적으로 1:1이 더 많을수록 오류와 편견이 생기기 쉽다는 데 동의하는 경향이 있습니다(Electronic Frontier Foundation과 같은 그룹도 1:1에 대해 우려 를 표명했지만). 그러나 ID.me는 주로 1:1 얼굴 일치를 기반으로 자신을 내세웠지만 회사 설립자의 새로운 의견은 적어도 일부 시나리오에서 회사는 일부 사용자의 얼굴을 단일 문서가 아닌 데이터베이스와 비교한다는 것을 보여줍니다. . 이는 잠재적으로 수백만 명의 미국인이 연방 및 주 정부로부터 온라인으로 세금을 조회하거나 실업 수당을 신청하기 위해 사이트에 등록하라는 지시를 받고 있음을 의미합니다.
특히 ID.me는 사용자가 시스템에 처음 등록할 때 신원 도용을 방지하기 위해 1:many 얼굴 인식을 사용한다고 Gizmodo에 말했습니다. 이는 사용자가 누군가의 신원을 확인하기 위해 1:1로 확인하는 것입니다. 즉, ID.me는 1:1을 사용하여 본인인지 확인하고 1:다수를 사용하여 다른 사람이 아닌지 확인합니다.
ID.me가 일대다 얼굴 인식을 사용했다는 사실이 폭로되자 광범위한 개인정보 보호 단체로부터 즉각적인 비판을 받았습니다. 그 중 하나인 디지털 권리 비영리 단체인 파이트 포 퓨처(Fight For the Future) 는 회사가 "안면 인식 감시 범위에 대해 거짓말을 한다"고 비난 하는 성명 을 발표했습니다. 미래를 위한 투쟁(Fight for the Future) 캠페인 디렉터인 케이틀린 실리 조지(Caitlin Seeley George)는 이메일 성명에서 이번 폭로로 인해 정부 기관이 ID.me와의 파트너십을 재고해야 한다고 말했습니다.
Seeley George는 "IRS는 얼굴 인식 인증을 사용하려는 계획을 즉시 중단해야 하며 모든 정부 기관은 ID.me와의 계약을 종료해야 합니다."라고 썼습니다. "우리는 또한 의회가 이 회사가 어떻게 이러한 정부 계약을 따낼 수 있었는지, 또 어떤 거짓말을 조장하는지 조사해야 한다고 생각합니다."
그들은 혼자가 아니 었습니다. Gizmodo와의 인터뷰에서 ACLU의 선임 정책 분석가 Jay Stanley는 특히 정부 서비스와의 긴밀한 관계를 고려할 때 ID.me의 투명성 부족에 대해 깊은 우려를 표명했습니다.
Stanley는 “[ID.me]가 이에 대해 투명하지 않았다는 사실은 민간 기업이 비밀리에 일을 처리하도록 함으로써 미국인이 정부와 관계를 맺는 방식에 대한 중요한 정책을 만들고 있다는 또 다른 신호일 뿐입니다.”라고 말했습니다. 말했다. "이 회사가 정부 기관이라면 FOIA, 개인 정보 보호법 및 기타 발생할 수 있는 문제를 방지하기 위해 수십 년에 걸쳐 개발된 기타 견제와 균형의 적용을 받을 것입니다."
Stanley는 또한 사기를 방지하기 위해 유지 관리하는 데이터베이스 ID.me에 대해 우려를 표명했으며, 누구의 얼굴이 정보에 노출될 수 있으며 누구일 수 있습니다.
한편, IRS와 ID.me의 관계에 대해 이전에 우려를 제기한 감시 기술 감독 프로젝트(Surveillance Technology Oversight Project, STOP)가 Gizmodo에 보낸 이메일에서 투명성에 대한 Stanley의 우려를 반영하고 ID.me가 일대다 얼굴 인식을 사용한다는 소식을 경고했습니다. 시스템이 이전에 알려진 것보다 편향에 더 취약할 수 있음을 의미합니다.
알버트 폭스 칸(Albert Fox Cahn) STOP 전무이사는 기즈모도와의 인터뷰에서 "이는 플랫폼에서 인종 및 성별 편견의 위험을 극적으로 확대한다"고 말했다. “더 근본적으로, 미국인들이 우리 데이터가 어떻게 사용되는지에 대해 정직하지 않다면 왜 이 회사를 우리 데이터로 신뢰해야 하는지 물어야 합니다. IRS는 생체 인식 데이터가 저장되는 방식을 결정할 수 있는 권한을 어떤 회사에도 부여해서는 안 됩니다.”
후속 성명에서 ID.me는 "여러 ID를 훔치는 많은 공격자와 조직 범죄 구성원을 확인하기 위해" 자체 셀카 데이터베이스와 비교하여 신규 등록 사용자를 확인한다고 반복했습니다. 회사는 모든 사용자의 0.1% 미만이 잠재적인 신원 도용으로 분류된다고 말합니다. 사용자가 얼굴 인식 시스템에 의해 신고된 경우 사용자는 완전히 차단되지 않고 대신 회사 팀원 중 한 명과의 영상 채팅 확인으로 리디렉션됩니다.
ID.me는 "반복 공격자를 탐지하기 위한 이러한 통제가 없다면 범죄자들은 매일 수천 명의 무고한 사람들을 희생시킬 것"이라고 말했습니다. "위협 환경을 감안할 때 대안은 엄청난 양의 사기를 수용하거나 단순히 프로그램을 완전히 오프라인 상태로 만드는 것입니다."
ID.me의 안면 인식 데이터베이스에 대한 뉴스는 Gizmodo 및 기타 매체 가 IRS.com 계정에 액세스하려는 모든 사람에 대해 ID.me의 인증 절차를 의무화하기로 한 IRS의 결정에 대해 쓴 지 일주일 만에 나온 것입니다. 그 이후로 ACLU와 STOP을 포함한 수많은 활동가 그룹은 이 문제에 대해 공개적으로 목소리를 냈습니다.
이 문제는 또한 민주당 상원의원 Ron Wyden의 관심을 받았습니다. 트윗에서 Wyden은 일부 납세자가 안면 인식 장면에 제출해야 한다고 느낄 수 있다는 점에 "매우 당황스럽다"고 말했습니다. "전자신고 신고서에는 영향을 미치지 않지만 이 계획에 대한 투명성을 높이기 위해 IRS에 촉구하고 있습니다."
이 특정 사례는 ID에 협소하게 초점을 맞추고 있지만 ACLU의 Stanley 변호사는 강조된 투명성 문제는 위에서 아래로 검토가 필요한 전체 시스템의 증거라고 말했습니다.
"정부의 필수 기능인 [신원 확인]을 수행하는 영리 회사의 인프라는 이러한 종류의 신원 확인 시스템을 구축하는 잘못된 방법입니다."
