这篇内容主张,要建立一个安全且保障用户权利的数字身份系统,必须满足三项制度化要求。首先,应摒弃传统的“识别本人”思维,转向资格证明而非身份识别。其次,通过建立“脉络完整性”和“不可链接性”机制,确保数据仅在预设场景内使用,并防止用户行为被追踪串联,从而将风险从用户同意转移到制度保障上。最后,系统必须接受独立、开放的稽核,以确保其设计与实际部署一致。结论是,应将这些原则直接写入法律,为数字身份系统设定明确的边界。
一、停止“识别本人”的传统思维
数字身份系统要避免沦为监控工具,首要任务是改变观念,不再执着于“识别你是谁”。
以常见的“年龄验证”为例,系统要求用户提供姓名、手机号甚至自拍,这是沿袭自纸本时代的做法。这种方式收集了过多不必要的个人资料,且并未带来更高的安全性。
真正需要的东西只有一个:你有没有满某一个岁数。
整个过程实际上是一种资格验证,只需要一个简单的“是”或“否”的答案,而不需要知道用户的具体身份。
有人担心,资格凭证(如 18 岁证明)可能被借给他人使用。但这个问题在技术上已有成熟的解决方案,即 Authentication(身分验证)。
- 核心目标:确保凭证或设备始终绑定在用户本人手上。
- 实现技术:包括身份验证器(Authenticator)、Passkey 或生物辨识(Biometrics)等商业上已广泛应用的方法。
- 最终效果:系统只需确认“操作者是你”,而不需要知道“你是谁”。
因此,未来的规范应将“识别本人”视为例外,原则上一律禁止。只有在法律明确规定且有正当理由的情况下,才允许进行身份识别。
二、建立制度保障,而非依赖用户同意
许多人担心数字身份系统会让用户陷入“不同意就不要用”的困境,这在学生证等半强制性场景中尤为明显。当一张卡片或 App 绑定了门禁、交通、图书借阅甚至家长追踪等多种功能时,就构成了事实上的数字监控。
你从图书馆出来,然后上个车,系统就知道你家在哪里了。
问题根源在于,将不同场景的记录串联了起来。单纯依靠“用户同意”和“选择性揭露”无法解决此问题,因为用户在基础建设面前几乎没有拒绝的权利。
真正的解决方案在于建立制度层面的保障,防止数据被随意串联。这需要两个关键机制:
脉络完整性 (Contextual Integrity) 这个概念由法学家 Helen Nissenbaum 提出,她主张隐私取决于信息流动的脉络,而非当事人的同意。例如,急诊医生调阅你的病历是合理的(医疗脉络),但调阅你的财力记录则不合理。要实现这一点,可以建立一个名为 Relying Party Registry 的机制。
- 这是一个公开的清单,记录了服务提供者是谁。
- 它明确了服务提供者属于哪个脉络(如医疗、交通、金融)。
- 它要求服务提供者说明索取哪些资料,以及索取理由是否符合其脉络。
- 这形成了一种“原则禁止,例外许可”的模式,将把关的责任从用户转移到制度上。
不可链接性 (Unlinkability) 即使不泄露身份证号,系统也能通过交易指纹(Transaction Footprint)将用户的不同行为记录关联起来,形成完整的用户档案。不可链接性旨在解决此问题。
- 简单定义:系统无法判断两笔独立的互动记录是否来自同一个人。
- 最终效果:由于每次互动都是独立的,系统将难以聚合数据,从而从源头上大大降低了监控和用户画像的风险。
三、强制要求独立、开放的稽核
如何确保系统真正按宣称的方式运行?答案是独立稽核。
近期发生的户政资料外泄争议,以及早年爱沙尼亚 eID 因加密算法漏洞而被迫大规模停用的事件,都凸显了缺乏独立审查的巨大风险。
如果我们的身分证不能使用半年,会怎么样?所以數位身分系統要能夠安全上線,第三方甚至半公開的稽核是一定需要的。
有效的稽核需要满足以下条件:
- 超越表面认证:仅仅获得资安标章是远远不够的。稽核必须深入到代码、系统架构和实际部署,通过红队演练等方式检查系统是否存在预期之外的行为。
- 开源不是万能药:单纯开源代码无法解决所有问题。
- 如果没有明确的规范(Spec),开源项目可能产生多种实现,无法保证哪个是安全的。
- 开源代码不等于线上实际部署(On-production)的版本。公众无法确定实际运行的系统是否与公开的代码一致。
- 需要对实际部署进行稽核 (On-production Audit):必须建立机制,让第三方能够独立检查线上系统的物料清单、数据流和处理节点,从而在问题发生前识别风险。
总而言之,要建立可信的数字身份系统,必须将上述三个核心要件——停止识别本人、建立脉络完整性和实施独立稽核——直接写入法律,为其划定清晰且不可逾越的红线。