印度:为13亿人建立生物识别数据库
2009年,印度政府推出了一个名为Aadhaar的计划,采集每个居民的指纹、虹膜信息,试图建立一个庞大的居民生物识别数据库。2019年,该计划宣布,将补充纳入人脸信息。
一经推出,该计划遭到多方质疑:技术的准确性何以保证?谁有权访问这一数据库,使用应有哪些限制?它会不会带来一个“过度监控”的社会?我们真的需要这样一套系统吗?
法律层面的监管一度缺位,直到7年后,印度才推出了Aadhaar法案。但它能回答以上问题吗?
本文节选自纽约大学AI Now研究中心报告“Regulating Biometrics: Global Approaches and Urgent Questions”(生物识别技术监管:全球举措及关键问题)第三章,为便于理解,我们对原文进行了必要的补充和修改。
本文作者是印度律师Nayantara Ranganathan,她认为,这些法规并未挑战这套系统的必要性,相反,它在回答另一个问题:生物识别信息应如何服务于印度的数据经济发展?但技术与监管之间,一系列问题仍待解答。
2009年,印度政府开始推动一个名为Aadhaar的计划,旨在将生物识别信息纳入每个人的公民身份。该计划通过一个中央数据库存储每个居民的生物识别信息(包括指纹、虹膜扫描和照片),匹配每个人的基本人口统计信息,以及一串由12位的唯一身份证明编号(Aadhaar number)。
印度前计划委员会(Planning Commission)成立了印度身份认证管理局(Unique Identification Authority of India,UIDAI),负责执行和监管该计划。
推出后,Aadhaar计划受到了经济学家、技术专家以及公民团体等多方质疑——它会导致“过度监控”吗?如何解决技术缺陷造成的群体性排斥问题?印度需要怎样的法律进行监管?
值得注意的是,项目启动后的7年中,印度没有任何一部法律可以对其进行监管,印度也尚未出台专门的法律限制政府对个人数据的使用。直到2016年,印度政府通过了Aadhaar法案(法案内容包括专项财政补贴、福利和服务),但这法案仍然忽略公众及议会的讨论意见。尽管法案中部分条目涉及生物识别信息的安全性和使用权限,实际上,它回应的是另一个更大的问题——如何让生物识别信息服务于数据经济。
本文试图探讨如下问题:当数据被视作一种可提取价值的资源时(编者注:类似我国提出的,数据作为一种“生产要素”),法律应该如何完善,并实施监管?
一名正在采集虹膜信息的印度女性。图片来源:Wikimedia Commons
让数据“市场化”这部法案基于一种基本假定,生物识别信息绝对真实,它也是数据经济至关重要的基础架构。
Aadhaar的早期计划文本中,生物识别信息被视为最基本的身份认证,而传统的人口统计信息被认为是“身份的替代品”。
实际上,生物识别信息代表的某个特定时刻、特定物质条件下获取的身体属性,且受限于当时人们的认知和技术水平(编者注:技术存在偏误,识别率存在差异)。但忽略可能存在的误差,Aadhaar法案以法律的形式确认了生物识别信息与自然人的对等关系。
生物识别信息的更大作用体现在,人成为了数据库中的一个数据点,通过与交易、交通等其他数据流匹配,真实的自然人被数据化了。
Aadhaar法案还确立了一系列程序,确保Aadhaar是印度唯一的身份认证系统,比如数据去重(deduplication),强制人们更新生物识别信息,并与其他人口统计信息绑定。
·数据去重:注册Aadhaar时,每个人的生物识别信息都需要与数据库中的其他条目进行核对,删除重复数据。
·生物识别信息和技术的更新:删除重复数据能确保身份认证信息的唯一性,但指纹和虹膜会随着时间的推移而有所改变(编者注:比如老年人和蓝领工人,由于手指表面干燥或角质化严重,难以使用指纹识别),已经出现了一些身份欺诈造假案,Aadhaar系统的准确性一直受到诟病。
印度身份认证管理局要求人们不时更新自己在Aadhaar系统登记的生物识别信息,以确保识别信息“持续有效”。法案本身并未采取任何手段解决技术的偏差问题,只是寄希望于未来,能出现更好的生物识别技术缩小偏差。
·匹配人口统计信息:生物识别数据与居民的基本人口统计信息(如姓名、性别、地址)匹配,组成了一个12位的身份证明编号(Aadhaar number)。但这些人口统计数据未经审核,不同于生物识别信息,现有的数据保护法案也未能触及这部分数据。
一些研究发现,老年人、体力劳动者和儿童的指纹识别率较低,这也影响了Aadhaar计划的有效性。图片来源:Wikimedia Commons
维持数据的市场属性最初,Aadhaar与社会福利紧密关联,它被宣传为,可以帮助边缘群体进行身份认证,能够更高效地发放社会福利(编者注:避免社会福利的冒领、漏领问题)。
但人们不应忽视它的市场属性,Aadhaar是印度推动数据经济发展的基础。
最初,各类使用Aadhaar进行认证的系统所采用的是应用程序接口API,供政府部门或第三方机构进行身份核验。这降低了成本,银行或电信运营商不再需要挨家挨户进行身份核验,更重要的是,它开启了新的商业模式。
Aadhaar周围出现了各种API,它们构成的软件生态系统被称为“印度栈堆”(India Stack)。其设计和开发者包括一些私人公司或行业团体,比如“印度软件产品行业圆桌会议”(Indian Software Product Industry Roundtable,iSPIRT),他们既服务于政府,提供并改进技术,这些开发和应用活动也维持了数据的市场属性。
最先启用Aadhaar系统进行身份认证的是印度的金融业。与印度身份认证管理局以及iSPIRT合作,金融业也在打造自己的产品,将银行账户与Aadhaar身份认证系统结合,实现无现金交易。
人们可以使用12位的Aadhaar身份编号汇款,允许银行访问Aadhaar数据库对客户身份进行识别和验证,或授权关联账户使用该身份编号进行交易。
随着Aadhaar系统在传统银行业务应用的扩大,印度国家支付公司(NPCI)推出了一个支付系统,该系统能够在不同的支付和结算系统之间利用Aadhaar生物认证系统进行交易。实操层面,私企如今可以开发与支付交易相关的产品,用户也可以使用智能手机进行支付。这些产品和转换器设置了一种技术平台,可以让Aadhaar系统与支付紧密结合,这使得金融数据流的创建、获取和货币化成为可能。
印度身份认证管理局与私营伙伴一开始就计划将Aadhaar系统与金融工具结合,这其中存在一些利益关系(编者注:这与印度鼓励数字经济发展的大背景密不可分):参与构建无现金交易系统的人们进一步创建了支付数据货币化的新型支付方式。参与无现金交易系统的风险投资者们继续支持他们的创业项目。
印度政府和金融机构宣称,生物识别系统可以让金融业更具“包容性”。比如,企业家Nandan Nilekani就曾表示,如今申请贷款很简单,银行可以考察用户更多的“数字足迹”。但事实远非如此。
金融业入场后,很快Aadhaar系统也被应用于更多的领域,比如医疗、贷款、远程就诊和农业等。
印度国家支付公司推动的与Aadhaar支付系统。图片来源:Wikimedia Commons
随着Aadhaar系统在私营企业中的大量应用,许多问题暴露出来,一些机构提交了请愿书,对Aadhaar法案提出质疑。2018年,印度最高法院出台了政策,限制私营企业访问Aadhaar生物识别数据库。这打击了部分企业,但相关政策并未完全禁止私企通过Aadhaar牟利。
最高法院的判决并未禁止私营企业使用Aadhaar,更像是一些程序性的“补救”措施,引入法令和其他金融法律对已有的Aadhaar法案进行修正。
这些补救措施引入了“离线验证”和“虚拟身份证”,替代原有的12位身份识别码,用户可以使用系统生成的二维码进行身份验证,或通过印度身份认证管理局官网下载相关文件。企业对此提出反对,认为这提高了身份验证的成本,操作也更为复杂。
不久,印度政府发布了一项通知,允许私营企业使用Aadhaar系统,但需满足一定条件才能获得资质。
在Aadhaar项目启动的前7年里,政府几乎没有采取任何措施对其进行监管,其监管机构印度身份认证管理局UIDAI只专注Aadhaar的市场价值。2016年的法案通过后,监管和技术开发机构仍然携手为私营企业访问生物识数据库创造条件,忽略已出现的诸多社会问题和质疑。其后出现的诸多管理条例对Aadhaar项目的实际目标进行了修正(编者注:Aadhaar不再只服务于社会福利体系,而成为数据经济的基础)。
设置法规的本来目的是为了提醒人们Aadhaar体系的风险性,但这些条文不加辨别地使用了“金融包容性”、“创新”和“效率”等术语。换言之,Aadhaar暴露出的各种问题并非法律法规的失败,它们正是其产物。
(本文作者Nayantara Ranganathan是印度的一名律师,也是一名独立研究员。本系列经纽约大学AI Now研究中心授权翻译发布,更多内容可阅读官网的报告全文。)(本文来自澎湃新闻,更多原创资讯请下载“澎湃新闻”APP)
新闻推荐
比11.11更超值! 唯品会12.8特卖大会来袭,省钱秘诀全在这!
新快报讯11.11刚过去不久,有人在活动期间铆足劲儿做计算题,薅到了羊毛乘兴而归;有人却意犹未尽,熬夜0点抢券付款最后发现...