2009年，印度政府推出了一個名為Aadhaar的計劃，采集每個居民的指紋、虹膜信息，試圖建立一個龐大的居民生物識別數(shù)據(jù)庫。2019年，該計劃宣布，將補充納入人臉信息。

一經(jīng)推出，該計劃遭到多方質(zhì)疑：技術的準確性何以保證？誰有權訪問這一數(shù)據(jù)庫，使用應有哪些限制？它會不會帶來一個“過度監(jiān)控”的社會？我們真的需要這樣一套系統(tǒng)嗎？

法律層面的監(jiān)管一度缺位，直到7年后，印度才推出了Aadhaar法案。但它能回答以上問題嗎？

本文節(jié)選自紐約大學AI Now研究中心報告“Regulating Biometrics: Global Approaches and Urgent Questions”（生物識別技術監(jiān)管：全球舉措及關鍵問題）第三章，為便于理解，我們對原文進行了必要的補充和修改。

本文作者是印度律師Nayantara Ranganathan，她認為，這些法規(guī)并未挑戰(zhàn)這套系統(tǒng)的必要性，相反,它在回答另一個問題：生物識別信息應如何服務于印度的數(shù)據(jù)經(jīng)濟發(fā)展？但技術與監(jiān)管之間，一系列問題仍待解答。

2009年，印度政府開始推動一個名為Aadhaar的計劃，旨在將生物識別信息納入每個人的公民身份。該計劃通過一個中央數(shù)據(jù)庫存儲每個居民的生物識別信息（包括指紋、虹膜掃描和照片），匹配每個人的基本人口統(tǒng)計信息，以及一串由12位的唯一身份證明編號(Aadhaar number)。

印度前計劃委員會(Planning Commission)成立了印度身份認證管理局(Unique Identification Authority of India，UIDAI)，負責執(zhí)行和監(jiān)管該計劃。

推出后，Aadhaar計劃受到了經(jīng)濟學家、技術專家以及公民團體等多方質(zhì)疑——它會導致“過度監(jiān)控”嗎？如何解決技術缺陷造成的群體性排斥問題？印度需要怎樣的法律進行監(jiān)管？

值得注意的是，項目啟動后的7年中，印度沒有任何一部法律可以對其進行監(jiān)管，印度也尚未出臺專門的法律限制政府對個人數(shù)據(jù)的使用。直到2016年，印度政府通過了Aadhaar法案（法案內(nèi)容包括專項財政補貼、福利和服務），但這法案仍然忽略公眾及議會的討論意見。盡管法案中部分條目涉及生物識別信息的安全性和使用權限，實際上，它回應的是另一個更大的問題——如何讓生物識別信息服務于數(shù)據(jù)經(jīng)濟。

本文試圖探討如下問題：當數(shù)據(jù)被視作一種可提取價值的資源時（編者注：類似我國提出的，數(shù)據(jù)作為一種“生產(chǎn)要素”），法律應該如何完善，并實施監(jiān)管？

一名正在采集虹膜信息的印度女性。圖片來源：Wikimedia Commons

讓數(shù)據(jù)“市場化”

這部法案基于一種基本假定，生物識別信息絕對真實，它也是數(shù)據(jù)經(jīng)濟至關重要的基礎架構。

Aadhaar的早期計劃文本中，生物識別信息被視為最基本的身份認證，而傳統(tǒng)的人口統(tǒng)計信息被認為是“身份的替代品”。

實際上，生物識別信息代表的某個特定時刻、特定物質(zhì)條件下獲取的身體屬性，且受限于當時人們的認知和技術水平（編者注：技術存在偏誤，識別率存在差異）。但忽略可能存在的誤差，Aadhaar法案以法律的形式確認了生物識別信息與自然人的對等關系。

生物識別信息的更大作用體現(xiàn)在，人成為了數(shù)據(jù)庫中的一個數(shù)據(jù)點，通過與交易、交通等其他數(shù)據(jù)流匹配，真實的自然人被數(shù)據(jù)化了。

Aadhaar法案還確立了一系列程序，確保Aadhaar是印度唯一的身份認證系統(tǒng)，比如數(shù)據(jù)去重（deduplication），強制人們更新生物識別信息，并與其他人口統(tǒng)計信息綁定。

·數(shù)據(jù)去重：注冊Aadhaar時，每個人的生物識別信息都需要與數(shù)據(jù)庫中的其他條目進行核對，刪除重復數(shù)據(jù)。

·生物識別信息和技術的更新：刪除重復數(shù)據(jù)能確保身份認證信息的唯一性，但指紋和虹膜會隨著時間的推移而有所改變（編者注：比如老年人和藍領工人，由于手指表面干燥或角質(zhì)化嚴重，難以使用指紋識別），已經(jīng)出現(xiàn)了一些身份欺詐造假案，Aadhaar系統(tǒng)的準確性一直受到詬病。

印度身份認證管理局要求人們不時更新自己在Aadhaar系統(tǒng)登記的生物識別信息，以確保識別信息“持續(xù)有效”。法案本身并未采取任何手段解決技術的偏差問題，只是寄希望于未來，能出現(xiàn)更好的生物識別技術縮小偏差。

·匹配人口統(tǒng)計信息：生物識別數(shù)據(jù)與居民的基本人口統(tǒng)計信息（如姓名、性別、地址）匹配，組成了一個12位的身份證明編號（Aadhaar number）。但這些人口統(tǒng)計數(shù)據(jù)未經(jīng)審核，不同于生物識別信息，現(xiàn)有的數(shù)據(jù)保護法案也未能觸及這部分數(shù)據(jù)。

一些研究發(fā)現(xiàn)，老年人、體力勞動者和兒童的指紋識別率較低，這也影響了Aadhaar計劃的有效性。圖片來源：Wikimedia Commons

維持數(shù)據(jù)的市場屬性

最初，Aadhaar與社會福利緊密關聯(lián)，它被宣傳為，可以幫助邊緣群體進行身份認證，能夠更高效地發(fā)放社會福利（編者注：避免社會福利的冒領、漏領問題）。

但人們不應忽視它的市場屬性，Aadhaar是印度推動數(shù)據(jù)經(jīng)濟發(fā)展的基礎。

最初，各類使用Aadhaar進行認證的系統(tǒng)所采用的是應用程序接口API，供政府部門或第三方機構進行身份核驗。這降低了成本，銀行或電信運營商不再需要挨家挨戶進行身份核驗，更重要的是，它開啟了新的商業(yè)模式。

Aadhaar周圍出現(xiàn)了各種API，它們構成的軟件生態(tài)系統(tǒng)被稱為“印度棧堆”（India Stack）。其設計和開發(fā)者包括一些私人公司或行業(yè)團體，比如“印度軟件產(chǎn)品行業(yè)圓桌會議”（Indian Software Product Industry Roundtable，iSPIRT），他們既服務于政府，提供并改進技術，這些開發(fā)和應用活動也維持了數(shù)據(jù)的市場屬性。

最先啟用Aadhaar系統(tǒng)進行身份認證的是印度的金融業(yè)。與印度身份認證管理局以及iSPIRT合作，金融業(yè)也在打造自己的產(chǎn)品，將銀行賬戶與Aadhaar身份認證系統(tǒng)結合，實現(xiàn)無現(xiàn)金交易。

人們可以使用12位的Aadhaar身份編號匯款，允許銀行訪問Aadhaar數(shù)據(jù)庫對客戶身份進行識別和驗證，或授權關聯(lián)賬戶使用該身份編號進行交易。

隨著Aadhaar系統(tǒng)在傳統(tǒng)銀行業(yè)務應用的擴大，印度國家支付公司（NPCI）推出了一個支付系統(tǒng)，該系統(tǒng)能夠在不同的支付和結算系統(tǒng)之間利用Aadhaar生物認證系統(tǒng)進行交易。實操層面，私企如今可以開發(fā)與支付交易相關的產(chǎn)品，用戶也可以使用智能手機進行支付。這些產(chǎn)品和轉(zhuǎn)換器設置了一種技術平臺，可以讓Aadhaar系統(tǒng)與支付緊密結合，這使得金融數(shù)據(jù)流的創(chuàng)建、獲取和貨幣化成為可能。

印度身份認證管理局與私營伙伴一開始就計劃將Aadhaar系統(tǒng)與金融工具結合，這其中存在一些利益關系（編者注：這與印度鼓勵數(shù)字經(jīng)濟發(fā)展的大背景密不可分）：參與構建無現(xiàn)金交易系統(tǒng)的人們進一步創(chuàng)建了支付數(shù)據(jù)貨幣化的新型支付方式。參與無現(xiàn)金交易系統(tǒng)的風險投資者們繼續(xù)支持他們的創(chuàng)業(yè)項目。

印度政府和金融機構宣稱，生物識別系統(tǒng)可以讓金融業(yè)更具“包容性”。比如，企業(yè)家Nandan Nilekani就曾表示，如今申請貸款很簡單，銀行可以考察用戶更多的“數(shù)字足跡”。但事實遠非如此。

金融業(yè)入場后，很快Aadhaar系統(tǒng)也被應用于更多的領域，比如醫(yī)療、貸款、遠程就診和農(nóng)業(yè)等。

印度國家支付公司推動的與Aadhaar支付系統(tǒng)。圖片來源：Wikimedia Commons

隨著Aadhaar系統(tǒng)在私營企業(yè)中的大量應用，許多問題暴露出來，一些機構提交了請愿書，對Aadhaar法案提出質(zhì)疑。

2018年，印度最高法院出臺了政策，限制私營企業(yè)訪問Aadhaar生物識別數(shù)據(jù)庫。這打擊了部分企業(yè)，但相關政策并未完全禁止私企通過Aadhaar牟利。

最高法院的判決并未禁止私營企業(yè)使用Aadhaar，更像是一些程序性的“補救”措施，引入法令和其他金融法律對已有的Aadhaar法案進行修正。

這些補救措施引入了“離線驗證”和“虛擬身份證”，替代原有的12位身份識別碼，用戶可以使用系統(tǒng)生成的二維碼進行身份驗證，或通過印度身份認證管理局官網(wǎng)下載相關文件。企業(yè)對此提出反對，認為這提高了身份驗證的成本，操作也更為復雜。

不久，印度政府發(fā)布了一項通知，允許私營企業(yè)使用Aadhaar系統(tǒng)，但需滿足一定條件才能獲得資質(zhì)。

在Aadhaar項目啟動的前7年里，政府幾乎沒有采取任何措施對其進行監(jiān)管，其監(jiān)管機構印度身份認證管理局UIDAI只專注Aadhaar的市場價值。2016年的法案通過后，監(jiān)管和技術開發(fā)機構仍然攜手為私營企業(yè)訪問生物識數(shù)據(jù)庫創(chuàng)造條件，忽略已出現(xiàn)的諸多社會問題和質(zhì)疑。其后出現(xiàn)的諸多管理條例對Aadhaar項目的實際目標進行了修正（編者注：Aadhaar不再只服務于社會福利體系，而成為數(shù)據(jù)經(jīng)濟的基礎）。

設置法規(guī)的本來目的是為了提醒人們Aadhaar體系的風險性，但這些條文不加辨別地使用了“金融包容性”、“創(chuàng)新”和“效率”等術語。換言之，Aadhaar暴露出的各種問題并非法律法規(guī)的失敗，它們正是其產(chǎn)物。

（本文作者Nayantara Ranganathan是印度的一名律師，也是一名獨立研究員。本系列經(jīng)紐約大學AI Now研究中心授權翻譯發(fā)布，更多內(nèi)容可閱讀官網(wǎng)的報告全文。）

制圖：白浪