胡凌：《数字身份的未来》

Original SIAL 法大网络与智能法研究会 2023-01-13

具体引用请参见纸质版：王立梅、郭旨龙主编：《网络法学研究》，中国政法大学2022年版。

✦ +

《数字身份的未来》

+ + + + + + + + + + +

胡凌

北京大学法学院副教授。本文是国家社科基金重大项目《大数据时代个人数据保护与数据权利体系研究》（批准号：18ZDA146）的阶段性成果。

+ + + + +

✦ +

一、引言

身份依赖于社会建构，社会主体多元的身份处于不同的权力关系当中，其运转的有效性和特定身份技术息息相关。身份也是一项社会制度，法律主体之所以能顺畅地在特定法律关系中行使权利、承担义务，依赖于身份制度的有效运转。可以说，身份制度是维系从传统低流动性的乡土社会到当代高流动性的市场经济社会的相关秩序的基础设施，它确保特定社会网络中人际关系的可预期性，具备信任感和安全性，也通过声誉和其他信息机制对社会主体进行约束。在现代社会，政府或企业雇主为公民或雇员创设在一定范围内的独一无二的身份，并在行政管理或劳动管理过程中加以使用。在互联网上，数字平台同样为用户创设数字身份，用于提供虚拟服务，并通过数据的收集分析来追踪用户行为偏好。和传统身份相比，数字身份展示出碎裂化、关联性强、依赖多元且分散的技术、以数据处理为核心等特点，为法律实践和研究带来了诸多新问题。

笔者在一系列文章中对早期实名制^[1]、数字身份的形成^[2]、作为基础身份标识符的人脸^[3]与疫情期间二维码的使用^[4]进行了讨论，尝试追溯身份数字化的转变过程，以及相关权力主体如何推动身份认证与识别进程。数字身份与认证、识别、账户、个人信息、基础设施、网格/网络治理模式等诸问题都息息相关，从这一角度入手可以帮助我们更好地理解一些热门争议问题的实质。本文尝试在现有讨论的基础上，进一步总结未来的数字身份形态演进的原理和相关配套法律制度的完善。第一节说明数字身份形态如何因技术和需求而变化，第二节讨论看似虚拟的数字身份的“物质性”特征，第三节尝试归纳宽泛的数字身份制度，最后进行总结。

二、数字身份形态的变化

数字身份之所以在当下成为问题，不是因为身份本身（身份一直都存在），而是因为塑造数字身份的技术成本降低，使在各种不同场合通过多元身份进行的活动变得更加可见，这表现为越来越多的活动都要求注册账户并积累相关行为数据，从而使社会主体产生数据滥用的担忧。要缓解这一问题带来的社会心理和认知负担（不大可能予以彻底解决），可以从简化账户入手，即在前台通过一个统一账户登入，将基础身份关联至后台多项服务，甚至第三方服务，从而降低对大量用户名/密码的记忆成本。这一过程实际上也重塑了身份体系，目前我们看到两条路径：一是地方政府进行的一网通办政务改革，让办事主体最多跑一次，将不同办事窗口的身份查验过程合并，通过单一政务APP提供服务，甚至逐渐跨省协同、整合数据资源；一是大型平台企业通过推动使用自身账号登录其他第三方服务、开发小程序或者通过企业并购来合并服务账户等，使自己成为大量互联网服务的入口。

这意味着，数字身份不是一种固定不变的事物，而是本身在不断整合各种服务的生成过程。它由两个层面组成，一是表露在外的标识符，可以被权力主体或其他社会主体识别出来，一是通过与标识符关联的账户之内的行为数据，这些数据经过分析后作为一个整体可以被贴上多元标签。这个过程将散落在线下的各种身份功能逐渐打通融合，如成员资质、权利义务、通行证、服务改进等，将其直观地体现为某种使用或访问（access）权限。这类权限之前是同一社会主体在不同的时间和空间内享有的，它们之间缺乏关联，现在则可能通过技术和商业手段关联起来。其不仅在同一个数字平台上使用不同的服务，也可以用同一个身份标识登入不同的平台。关联一切是互联网时代的特点，也是诸多问题产生的根源。人们有时会质疑为何某些事物会被关联在一起（例如在讨论社会信用时认为其是不当联结，或担心账户失窃或身份冒用风险），有时则对关联视而不见，反而希望增加便利、降低账户使用成本。社会若想对此过程达成共识还为时尚早，而在此之前，我们看到的趋势似乎是通过基础账号不断打通各类服务，同时尽力确保此类账户的安全性。

基础账号催生出对基础身份的需求，这在互联网产生初期并非如此。早期互联网无政府主义意识形态主张，在赛博空间中可以并且应当存在多个（伪装的或匿名的）身份，真实身份需要隐匿，最好与虚拟身份彻底切割，无须为后者的任何行为在物理空间中负责，也不受线下法律的约束。历史经验表明，线上与线下的界分仅限于某种科幻式想象，实际上二者是相互影响的，且往往被平台企业用来当做减轻责任的说辞。逐渐兴起的网络主权本身就蕴含着将现代国家的治理方案进一步延伸至赛博空间。一旦以基础身份打通不同领域的身份活动，次级身份之间也就可以相互作用和影响，更多行为数据与评分就会被归集到唯一社会主体身上。数字身份的内涵在这个意义上逐渐从空间维度转向技术维度，所谓的赛博空间无非是某种推动各类关联性的技术创造而已，只要特定技术成熟就可以创造推广一种新的身份标识，用以带动新的服务和社会功能。

这不意味着线上只能和线下一样，存在唯一的基础身份（如身份证的广泛使用）。我们已经看到数字基础身份一直在发生变化，从身份证、电话号码、CTID到人脸乃至二维码（未来还可能有皮下芯片），都是在前一批基础身份的使用过程中不断根据实际需要进行改变和互认，而且每一批都整合了之前的基础身份信息，以确保认证的真实准确。例如，之前还可能有在逃通缉犯通过伪造身份证持续脱逃，但刷脸使其在公共场所无处遁形。整合基础身份信息的意义还在于防止单一身份信息泄露所造成的身份失窃，其在认证过程中推动多重因子认证，特别是在金融服务这类需要高安全标准的领域中发挥作用。

将基础身份信息广泛地作为标识符以打通不同的活动领域，也不意味着所有的身份都必然混同。人们仍然只关心在各个领域不同身份带来的资质和权利义务关系，只是如果它们都能关联到一个基础身份，那么基础身份本身的效能会受到影响。例如，如果各处都用身份证或人脸识别认证，那么一些不安全的私人服务认证过程就会传导至公共服务认证或其他私人服务，带来连锁身份冒用。相应地，随着2020年公众舆论对人脸识别应用的负面评价不断升级，不少原来使用刷脸认证的单位退回到使用身份证或其他证件，同时也增加了身份证丢失补办的概率。这说明在接受国家认证权力的前提下，作为认证的基础身份信息越来越需要独立出来，成为确保唯一性的安全标识符，同时在公共和私人服务领域保留既有的次级身份体系。

作为标识符的基础身份信息与账户中的其他行为数据（或称为隐私）越来越紧密结合在一起。前者仅仅用于机读，无法在表面上展示身份，其只有和后者结合起来，才能在具体场合中判断社会主体是谁。即是说，在当下，隐私或私密的个人信息在事实上也构成了身份的一部分，数据积累得越多，越能凸显出多元化的身份和行为特质。在传统熟人社会中，较少需要对日常行为的追踪和记录技术，人的身份镶嵌在伦理和社会网络中，并需要按照这一身份行事，人们只要认脸（或者服饰）就可以判断对方的社会身份，从而按照相应规范做出回应。在传统熟人社会中，低头不见抬头见，身份之外的具体活动和数据本身就隐藏在社会网络的集体记忆中，帮助确保合作和交易安全，因此个人隐私问题并不突出。身份与隐私的分离在现代社会无法持续，高度的社会流动性冲破了熟人社会中的身份关系和规范，使身份变得更加平等且私密，人的身份不再可能通过外表进行判断，而需要了解更多个人信息以确保交易与合作安全，即公共信息。现代国家需要不断地将隐私或私密的个人信息以某种方式转化为社会和市场主体可以利用的公共信息或数据产品，并进行实时监控追踪和计算，才能更好地维护大规模交易秩序，实现各类公共政策目标和技术治理，特别是在公共卫生事件当中尤为如此。^[5]其前提就是先制造新的超越具体社会网络的一般基础身份，然后通过标识符对其进行精准定位，这样就会把隐私整合进身份当中，从而随着公共利益的需求加以调整，而非像自由主义意识形态宣称的那样不可侵犯。在这一整合过程中，数字身份表现出一个不断生成的状态，社会主体的一些行为往往反映其人格的某个侧面和特质，而另一些行为则不会作出反映，由此对数据挖掘的权力的争夺、控制和约束，就形成了数字身份的政治经济学——国家需要借此提升认证能力，企业需要借此加强劳动管理和消费者偏好预测，个人则希望控制自身的数据使用。

三、数字身份的物质性

数字化的身份核心在于围绕特定身份信息的生产、收集和使用行为展开，这体现在从发放令牌证件到核验认证到追踪分析到跨区域系统进行评分等一系列活动中。围绕信息行使的权力过程是传统线下身份制度所无法比拟的，信息总量的不断增加超越了单个社会主体能够自我管理和想象的限度，并使得被遗忘成为不可能。从表面上看，数字身份更多地在后台通过机器进行比对验证与计算，从而使载体发生了相当的变化，体现不同身份的证件展示功能似乎变得不再重要，认证过程从前台转向后台。但作为一种制度，此处借用文化研究的一个术语，即它仍然具备相当程度的“物质性”。这里所说的“物质性”更多地反映在四个主要方面：①依赖特定技术；②成为基础设施；③回应社会需求；④嵌入生产关系。

第一，辅助身份认证与识别的物理设备和装置（证件、摄像头、传感器、服务器）仍然是必需的，且会根据实际推广和应用的物理成本而不断变化。身份证依赖于读卡器，CTID或eID依赖于（特定型号的）智能手机和识别终端，刷脸依赖于摄像头，电话号码和二维码依赖于智能手机，这都说明随着无处不在的认证需求的增加，可能无法在短时间内统一各类基础身份标识符，而是根据实际需要和社会成本决定在特定范围内使用何种身份标识，这是动态多变的。

第二，数字身份已经成为连接诸多领域的必不可少的要素，成为一种基础设施。如前所述，这种数字基础设施既是市场的，又是社会的；既是政治的，又是经济的；既是历史的，又是当下的；既是公共的，又是私人的。基础数字身份的这种混合与模糊不清的状态对习惯于在边界清晰的法律关系内讨论问题的法律研究者提出了挑战。它不断连接万物，使社会主体的身份与其他物的身份相互感知进而发生持续联系、交换数据，使我们熟悉的身份实际上难以和其他事物完全割裂开来，而是融为一体。但无论数字身份如何变化，认证本身不会消失，其功能已经成为可信互联网的基础架构的一部分。

第三，数字身份，特别是基础身份，伴随着社会需求的变化而变化。无论是身份标识符还是行为数据，都可以被纳入个人信息范畴加以讨论。但大多数分析止步于此，似乎只需要讨论现存的个人信息即可，而未看到个人信息的创设过程，特别是无法在整体制度上回应一个不断生成的动态身份网络。如前所述，认证功能在当下流动性治理过程中起到关键作用，像实名制这样的认证制度由社会需求推动，而且所谓的实名不一定需要社会主体披露姓名，而可能是任何其他基础身份信息标识符（如生物信息）。从经验上看，基础身份标识符往往和敏感个人信息联系在一起，这是因为后者代表了较大概率的独一无二性，可以用在大范围内的认证和追踪。从这个意义上说，不是敏感个人信息本身的特性决定了个人身份的使用边界，而是身份技术及其制度决定了何种信息能够成为敏感个人信息，在确保统一认证功能的同时防止在不相干领域中的使用，以免冲击和影响认证权力。例如，并非所有的生物信息都必然会成为基础身份信息，只有伴随着DNA信息检测成本降低、技术普及，且广泛存在认证终端设备的时候，这类有价值的信息才值得予以特殊保护，否则为了保护而保护只会增加社会成本。类似地，人脸也是一种被列为敏感个人信息的生物信息，被一些专家呼吁予以限制使用、严格保护。人脸信息之所有具有价值恰好是因为它具有成为通用基础身份标识符的潜力，如果看不到这一点，就会认为一切生物信息都因为其具有人身属性，本身就值得保护，从而增加无谓的社会成本。

流动性的社会需求催生了安全认证，而一整套认证系统与思维方式也会进一步推动各类新的身份标识符出现，甚至应用至社会主体以外的各类事物，进而在事物交互连接中产生价值，控制风险，不断打破和维持秩序。从这个意义上讲，从账户到区块链都试图使用某种技术方式对涉及的主客体进行追踪，防止记录伪造，并通过披露信息或者数据产品的方式进行公开使用。不论是对虚拟物品（如网络出版物、短视频）还是对AI（如无人驾驶汽车、无人机）都可以赋予独一无二的标识，这将是未来某些AI率先成为法律主体的技术和制度基础。

随着行为数据的累积，身份从一个看上去相对固定不变的状态变成了可以经由其他行为数据进行推导关联的状态。个人信息的法律概念大致被各国立法分为“关联说”和“识别说”两种体例，前者看上去范围较广，但实际上隐含了一种确定信息主体固定身份的方法，而后者则隐含了针对不特定身份状态的保护，即承认即使是去标识化或匿名化的数据，仍然有可能与其他数据相结合以识别特定信息主体。一个疑问是，我们究竟需要何种程度的认证？以及在哪里需要认证？不难看到，在高度流动性的数字社会，基础身份标识符与次级身份行为数据都在不断变动当中，确定使用何种身份数据，取决于对特定场合下的成本收益衡量。

第四，数字身份的价值不仅反映在政府的管理过程中，也嵌套在企业和平台的生产和劳动管理过程中，成为信息资本主义生产方式的一部分。事实上，控制和生产从来都是赛博空间中微观权力机制的两面。一方面，分享经济平台赋予用户的特定标识（哪怕是在去标识化以后）可以追踪到唯一账户，通过柔性的平台活动规则和评分机制对劳动者的账户行为进行影响和管控。另一方面，用户的身份也更加商品化了，自己的行为数据被卖给广告商或第三方服务提供者，虽然技术能够确保基础身份信息得到去标识化或匿名化处理，但最终仍无法摆脱这一生产方式。只有通过这一过程才能理解私人平台如何像政府一样开发独一无二的身份标识并对其开展流动性治理，数字身份因此得到生产和再生产，也由此产生基于不同身份/数据的劳动者/消费者歧视等问题。

四、数字身份的制度构成

身份从来都是一项社会制度，而不单纯关乎个人。从历史看，基础身份的功能不断发生改变，例如从公民意识的政治整合到管理经济导向的流动性，其表现形态也更加形式化和理性化，即使用抽象的证件、号码、符号代表社会主体进行治理，而与具体的人格无关。在现代社会，虽然有像《居民身份证法》这样的法律对基础身份标识符进行规定，但其很难跟上现实的变化，身份证已经被证明无法适应高速流动性的需求。因此，笔者认为，有必要将身份放在一个更加广阔的视野下，抽象出围绕基础数字身份展开的身份制度。基于经验，我们可以稍微归纳出有关数字身份制度的相关内容，至少包括：①标识符与基础身份；②作为连接点的账户；③个人信息处理的一般规则；④次级身份的行为规范；⑤身份利益保护；等等。

第一，如前所述，标识符是身份认证与识别过程中的重要环节，它既可能是人为赋予的符号，也可能是生物性信息。只有一个权威事先赋予其以特定身份（“你是谁”的问题，即合法性），才存在后面的认证与识别（“你是你”的问题，即操作性）。作为基础身份标识符的敏感个人信息并非是一成不变的，它伴随着对技术成本和社会收益的综合判断而决定是否采用，然而这种判断目前还处于多元标准和系统并存的局面，往往通过外部竞争被社会逐渐接受和采纳。例如，在决定使用身份证作为数字身份标识符时，存在着CTID与eID的竞争，但它们都只能通过特定终端或软件发挥作用；随着人脸识别技术的发展，从公共到私人服务迅速布置了刷脸认证；而在疫情期间，由于无法对佩戴口罩的人进行精准识别，于是又出现了健康码的广泛使用，尽管这距离二维码的发明已经有将近30年。又如，每一个平台企业都有自己的账号系统，但用户更倾向于使用大型平台的账号进行登录，这就逐渐形成了少数平台账号的优势地位。这些能够定位到具体个人的基础身份标识符决定了敏感个人信息的范围，并最终服务于社会需求。因此，这很难通过立法确定何种信息会成为永久不变的标识符，尽管可能存在担忧，即认为生物信息因为其不可更改的特性，一旦泄露会带来不可预知的风险，但风险永远无法预知，而社会总是能根据需求找到安全和风险的平衡点。

第二，账户作为两个空间的连结点往往被研究者忽略。更精确地说，账户并不是单纯连接线上与线下世界，而是连接着固定不变的单一主体和多元身份，即固定的标识符后面隐藏着变动的大数据。账户的功能是将一切在线行为都关联起来，并获取因人而异的服务。账户的出现在网络法上具有相当的意义。它改变了数字身份和资质的展示功能，例如，传统票据和证件为了降低交易成本而强调当场查验时的无因性，但账户内的电子票据和证件在维持了低查验成本的同时能够自动将历史行为数据关联起来，在后台确保可追踪性和安全性。甚至一切虚拟服务都能够与购买或支付账户关联在一起，且无需转让给他人，因为在线的服务成本足够低廉，不需要通过转让产生次级价值，如电子书或数字音乐的二手市场。它还能间接地帮助解决那些在特定场合中无法识别当事人身份的困境（如家庭账户，类似于传统户口本的数字升级版），如：未成年人偷用父母银行卡购买游戏装备或直播打赏的行为，没有智能手机的老年人无法使用健康码出行，贫困村的农民无法通过特定行为数据证明自己是扶贫对象，等等。这些问题实际上又回到了根本点：不同领域中的认证及其社会功能。

一旦一个账户能够关联大量应用、服务和数据库，就成为了基础账户，会影响用户的日常行为，并因此超越了简单的金融、证券等专门化的账户。数字时代的精神并不是永久删除或遗忘，而是确保数据的完整性，不因特定处罚而注销账户。私人平台对特定账户的处理行为尤其值得关注。例如，如果微信账户因不当内容被封，应当仅限于限制即时通信功能，而不应波及支付、健康码、其他公共服务等功能；即使是限制其通信功能，也需要采取慎重态度，否则有可能将当事人排除在社会关系网络之外，从而形成新的数字鸿沟，除非能够将过往数据转移至新账号继续使用。在未来，还可能出现更加智能化的账户，依托行为数据成为用户的代理人，进而产生更多有关账户控制权的争议。

第三，个人信息处理的一般规则是身份制度的应有之义，不仅需要讨论认证与识别环节相关的操作问题，也需要和一些更为次级的身份场合联系起来加以讨论分析，例如处理信息究竟处于何种法律关系中，是否可以将其看做是一种数字基础设施，其是通用标识符还是特定标识符，使用的方式是前台展示还是后台分析，使用的环境是在网格下还是在网络中，等等。控制权的边界往往是人们在谈论身份和数据时争议的焦点，例如数据主体希望控制何种信息和身份；究竟是控制全部数据，还是在不同场合下共同控制某些数据；等等。

第四，数字身份带来了围绕身份利益的新问题。其核心要点在于如何有效区分一个账号涉及的人格利益、财产利益和公共利益。例如，虚拟身份也可能存在类似于商誉的名誉问题，即使没有人知道一个公众号背后的主体是谁，仍然不能对其进行诋毁，针对其产生的社会危害行为也可以提起诉讼。如果放在生产关系的维度予以观察，还涉及对特定行业身份的约束管理问题。例如，某个主播因严重行为失范被平台拉黑以后，在各大平台都会被除名，这相当于一种行业禁令。又如，在数字劳动研究中，一个较为务实的提议是，希望平台能够为灵活就业者积累用工数据（包括培训、评分等），以便成为类似工龄一样的档案，从而更加科学地评估其工作技能。

五、结语

数字身份伴随着互联网的扩展，其在形成过程中，出现了截然相反的双向趋势。一方面，数字身份的碎裂化局面还将持续，随着对身份认证需求的增加，出现了大量商业创新，很多科技企业都在为不同的社会主体开发身份认证服务；另一方面，在确保交易安全的同时，地方性身份系统和行为数据的不兼容也带来了新的交易成本，更广阔的社会和市场需要统合、兼容和互认数字身份，降低交易成本。在逐级统合的过程中，大型平台企业与地方政府可能是较为突出的权力主体，它们在智慧城市的建设过程中会进一步推动基础身份信息的集中，这有可能与一些积分落户或购房、社会信用账户等措施共同协助强化地方公民的身份意识，使公民意识到资质的重要性；也能激励地方政府通过一网通办提升公共服务质量，吸引更多企业入驻，提升其在全国城市竞争中的地位。从健康码和社会信用账户的逐级统合经验来看，这一过程实际上越来越快速，形成了从地方城市实验、邻省协同到全国统一标准化部署的路径，但其也遇到地方数据归集受阻的问题。本文已经说明，身份认证的过程是一个不断从静态到动态的过程，传统静态认证是以相对不变的地址、单位、网格等治理要素为核心，而动态认证则是以社会主体为中心，强调网络化的流动性和动态追踪。这就需要最庞大的认证主体——国家——保持体制创新，依靠地方区域协同、互联互通。未来的数字身份体系究竟会成为何种样态，还需要持续观察。

[1] 胡凌：“中国网络实名制管理：由来、实践与反思”，载《中国网络传播研究》2010年辑。

[2] 胡凌：“塑造数字身份：通过账户的认证与识别”，载《北航法律评论》2020年第1辑，即出。

[3] 胡凌：“刷脸：身份制度、个人信息与法律规制”，载《法学家》2021年第2期。

[4] 胡凌：“扫码：流动性治理的技术与法律”，载杨明主编：《网络法律评论（第23卷）》，中信出版社2021年版，第180-185页。

[5] 参见胡凌：“私密个人信息如何转化为公共信息”，载《探索与争鸣》2020年第11期；彭亚平：“照看社会：技术治理的思想素描”，载《社会学研究》2020年第6期；戴昕：“‘防疫国家’的信息治理：实践及其理念”，载《文化纵横》2020年第5期。

✦+

稿约

本号诚挚欢迎各类投稿，包括主题相关的书籍介绍、学位论文介绍、书评、时评、图片、音视频等。来稿请发送至邮箱dp123321@qq.com

✦+

作者往期附录

《拥挤的太空呼唤新规则》

《互联网的开放与封闭及其法律回应》