审计师要求 IRS 更好地进行生物识别身份验证

快速阅读: 《生物识别更新》消息，美国国税局（IRS）推进数字身份验证，依赖ID.me的生物识别技术，虽提升效率，但面临监管不足、AI透明度低及单一供应商依赖等挑战。GAO呼吁加强监督与数据共享。

美国国税局（IRS）在推进数字身份验证现代化方面的努力，正处于防范欺诈、人工智能治理和公众信任的交汇点，既显示出显著进展，也暴露出紧迫的监督挑战。在过去十年中，该机构一直在与身份盗窃和退税诈骗进行斗争，这些犯罪每年曾从财政部抽走了数十亿美元。作为回应，IRS通过其安全访问数字接口（SADI）以及与私人凭证提供商ID.me的合作，实施了一项以生物识别技术为核心的数字身份验证策略，特别是面部识别。

SADI采用符合国家标准与技术研究院（NIST）《特殊出版物800-63-3》的凭证服务提供商技术，使人们能够安全地访问和使用IRS的在线工具和应用程序。尽管自这一转变以来，验证通过率翻了一番，从过时的密码系统下的30%至40%，提升至70%以上，但该计划的不透明治理结构和对单一供应商的过度依赖引发了关注。

2020年后，IRS的数字身份格局发生了巨大变化。由于疫情期间的需求以及发放例如预付儿童税收抵免等福利的紧迫性，IRS加速了通过与ID.me现有财政部合同进行生物识别ID验证的部署。到2022年，该机构已在近四十个应用程序中要求达到NIST身份保证等级2的生物识别身份验证。用户提交自拍和驾照照片供面部识别算法进行比对，对于无法或不愿使用自动化路径的人，则提供备用的实时视频通话。结果是访问量大幅增加，尤其是对以前因依赖基于记忆的安全问题的旧系统而被排除在外的弱势群体而言。

政府问责局（GAO）战略问题负责人Jay McTigue在接受联邦新闻网络的一次访谈中指出，虽然性能有所改善，纳税人访问范围也扩大了，但IRS对该系统的监督仍然不足。六月的GAO审计证实了这一点。最严重的缺陷之一是IRS在其众多数字服务中没有建立可衡量的目标或基于成果的基准，这意味着该机构无法确定70%的成功率是否足够，也无法确定对弱势用户来说可用性差距在哪里。

“我们发现，尽管ID.me向IRS提供了大量数据，但IRS在实际管理和使用ID.me提供的数据方面可以做得更好，”McTigue说。“例如，这种身份验证被大约30个或三四十个不同的应用程序所使用，各种纳税人都可以使用这些应用。因此，尽管ID.me提供了数据，IRS需要分析不同的应用程序，并为每个交互设定目标，这样IRS才能确定70%的通过率是否合适。”

McTigue继续说道：“你知道，也许对于某个特定的应用程序来说这已足够，但对于其他一些应用程序可能应该接近95%，或者可能有其他合适的数字。所以，首先也是最重要的，IRS需要为不同的应用程序确定目标。然后，一旦他们有了这些数据，他们需要查看数据并评估或判断它是否满足IRS对特定应用程序、特定纳税人或其他使用服务的人想要的结果和成果。”

另一个结构性的弱点在于数据治理。尽管ID.me定期提交绩效数据——从真实的通过率到用户放弃点——但IRS缺乏记录明确的程序来评估或在相关办公室之间共享这些信息。因此，网络安全团队、采购人员和项目管理人员可能基于不完整或不一致的信息，阻碍了纠正措施的实施。GAO表示，他们没有发现内部数据分发的正式机制，进一步限制了监督能力。

第三个关注层面集中在AI的使用上。ID.me的身份验证过程严重依赖于AI驱动的面部识别。但IRS未能将其这些工具列入官方AI清单中，违反了《第13960号行政命令》和《推进美国AI法案》的透明度规定，后者作为2023财年国防授权法案的一部分实施。根据GAO的说法，IRS还忽略了通过其内部AI治理框架评估ID.me的AI工具。这不仅是程序上的疏忽。在高风险领域使用不透明的算法决策，会带来错误、偏见和用户被拒绝访问关键服务时缺乏救济的风险。

GAO的审计还质疑了IRS对单一供应商的依赖。虽然ID.me是唯一能够在2020年紧急时间表下满足联邦标准的供应商，但这种排他性现在造成了系统性脆弱性。任何故障、漏洞或未披露的问题都可能导致数百万用户无法访问。尽管ID.me宣传其合规性和自身的绩效成功，GAO表示，对结果的评估不能仅仅依赖供应商的自我评估。监督进一步受到合同缺陷的削弱。IRS与ID.me的安排是在财政部管理的空白采购协议下与软件经销商V3Gate进行的。虽然方便快捷，但这使得IRS跳过了制定自身绩效评估计划的一些步骤。尽管合同包括重要的隐私保护措施，例如要求在48小时内删除生物识别数据和在30天内删除聊天记录，但IRS严重依赖ID.me的自我声明来进行监督。GAO得出结论，如果没有审计或独立验证这些声明，IRS无法保证合规性。

这些风险并非空穴来风。截至2025年报税季，美国国税局（IRS）已将超过210万份报税表标记为潜在身份盗用，要求受影响的纳税人进行身份验证。在许多情况下，身份验证的延迟导致纳税人需等待数月甚至数年才能拿到退税。“在这种情况下，国税局会向纳税人发送信件，通知他们必须在获得退税前验证身份，”国家纳税人倡导者埃琳·M·科尔林斯对国会表示，并补充道，“国税局通常需要数月时间来解决这些问题。”根据最新统计，国税局身份盗用受害者援助（IDTVA）部门仍有近40万起案件待处理，平均解决时间为20个月。这些长期延误主要影响低收入纳税人，其中近70%的纳税人收入低于联邦贫困线的250倍。

尽管国税局承诺进行改进，但GAO和国税局的科尔林斯女士都呼吁紧急改革，包括将IDTVA案件处理时间缩短至四个月。这为整个联邦政府提供了一个更广泛的教训。正如麦蒂格所指出的，从社会保障署到管理拨款计划的机构，许多机构都依赖身份验证来安全地提供服务。国税局的经验为哪些做法值得效仿、哪些应避免提供了参考。一方面，数字化和AI支持的身份验证显著提高了使用效率；另一方面，未经监管的部署，特别是通过第三方供应商，可能会引入新的排斥、不透明和潜在滥用问题。

GAO提出了四项关键建议：为每个使用数字身份验证的国税局应用程序建立基于结果的绩效目标；系统评估项目的有效性；制定在国税局内部共享绩效数据的流程；并确保符合AI透明度和清单要求。国税局同意实施所有这些建议。当前面临的挑战是执行。技术现代化不能成为最终目的。如果国税局要履行其为纳税人服务和防止欺诈的双重使命，就必须将数字身份策略建立在透明度、监管和以用户为中心的设计之上。如果管理不当，生物识别工具如面部识别可能加剧或加深系统性不平等。但若设定明确目标、注重隐私保护并加强问责，它们也能提高政府服务的安全性和公平性。

国税局的数字身份计划，以及联邦政府其他类似举措的成功，最终取决于其使用是否得到良好管理，而非技术是否先进。

摩尔多瓦计划向其外交使团分发生物识别采集设备
2025年3月18日

Idemia赢得合同，向国税局供应多模态生物识别系统
2024年8月2日

亚美尼亚将在2026年前发放新的身份证和生物识别护照
2024年8月12日

美国国税局寻求用于刑事调查的多模态生物识别ID解决方案
2024年9月26日

美国退伍军人事务部启动生物识别访问试点
2025年5月6日

马尔代夫设定雇主注册外国工人生物识别数据的最后期限
2025年2月3日

最新生物识别新闻：

斯里兰卡数字身份项目招标文件发布
2025年6月29日，下午7:45 EDT

智能政府国家研究所（NISG）代表斯里兰卡政府发布了招标文件……

Tech5美国公司新任销售副总裁，Idex Biometrics首席财务官辞职
2025年6月29日，下午6:13 EDT

Tech5任命加里·纽林（Gary Newlin）为Tech5美国公司的销售副总裁。纽林预计会扩大公司的业务范围……