身分與人格權
原文:Identity and Personhood
| 作者:E. Glen Weyl, Audrey Tang and ⿻ Community | 譯者:唐鳳 Audrey Tang, 周宜蔓 Gisele Chou
在快速移動的隊伍中,希望與焦慮交織。上方的大螢幕重申了疏散憑證的重要性。姆魯(Mulu)在她那瓦解中的社區裡備受尊敬,正處於人生中的轉折點。氣候變遷使得她的家鄉支離破碎,她寄望在新的土地上,為女兒們找到慰藉和晴朗的天空。
當姆魯隨著隊伍向前,她豐富而充滿活力的過去出現在她腦海中。她擔心不確定的未來,主要為了她的女兒們可能面臨停滯不前的局面。忖度之間,一位親切的政府職員請她掃碼,進入歐洲共同庇護系統的程序。
她用幾乎失靈的手機載入了頁面,上面有幾個簡單明瞭的問題。
"您是否同意授權共同庇護系統,確認您是否..."
- ... 符合我們支援專案的資格?
- ... 對我們的社群造成威脅?
- ... 能運用過去的經歷,來幫助我們的社群?
她迅速在螢幕上簽名。隨後,她的手機開始顯示相關資訊,來協助她準確回答問題。
- 在飽受戰爭蹂躪的村莊裡,您建造了臨時學校,為孩子們帶來了笑容。這座希望的燈塔得到了 76 個可信賴來源的迴響,這些讚美刻印在數位帳本上,得到了受歐盟認可機構的背書。
- 在一次記者會上,您堅決反對與對社區有害的人物聯繫,得到了 41 份證詞的認證,紀錄在安全的區塊鏈上,認證您是社會不屈不撓的保護者。
- 您努力在社區和 34 個政府機構之間建立對話的橋樑,為您周圍建立了安全可信的護盾,每一枚認證都證明了您的奉獻,永久銘刻在數位護盾憑證上。
- 您的創新專案,改善了許多人的生活,通過充滿活力的數位敘事,78% 的同儕讚賞你的成就,為你在工程領域的重要貢獻,編成一幅動態的織錦。
- 您支持的...
這份清單愈來愈長。她回憶起孩子們在校園裡嬉戲的熱鬧場景,回憶起激勵她自信地登上舞臺的導師們,回憶起無數個與認真負責的同事們一起合作的深夜。
職員的桌子亮起綠燈,根據這些彙集的肯定、對她相關經歷的證明,核准了她的申請。
同一份核准也庇護她的女兒們,歡迎她們邁向全新的開始。職員由衷地歡迎她們進入新世界。這個準備好真正了解和欣賞她們、充滿希望的世界,為姆魯和她的女兒們提供了再次茁壯成長的新起點。
正如最基本的權利是生命權、人格權和公民權一般,對於網路社會來說,建立和保護參與者的身分,也構成最基本的協定。如果不界定誰、何者具有身分資格,也就無法確保任何權利、提供任何服務。
舉例來說,如果沒有合理安全的身分基礎,任何投票系統都可被提供最多虛假憑證的人所捕獲,而淪為金權政治。有句英文諺語:「在網際網路上,沒有人知道你是一條狗。」這句話非常有名,甚至有自己的 維基百科頁面;但若果真如此,我們應該能夠預期,所謂線上民主實驗終將走向失敗。類似的悲劇常常發生在 "web3" 社群,因為它們很大程度上依賴於假名、甚至匿名,因此往往受到擁有物質、金融資源者的利益所俘虜。
因此,身分系統是數位生活的核心,也是存取大部分線上活動的通行證,如社交媒體帳號、電商平台、政府服務、就業和訂閱。每個系統能夠提供多深入的服務,完全取決於它能夠勾勒出使用者身分到多詳細的程度。比如說,如果某系統無法確定使用者是誰,那就無法提供任何優惠或福利,因為難以確保對方是否已經申請過了。而如果系統只能確認特定使用者,而不能確定其他任何相關資訊,那它就只能提供普遍性的服務,在法律和實質上都和地球上所有人一樣。鑒於現今網路攻擊如此頻繁,只有能夠確定一個人的資訊,才可以確保他在網路上的安全存在。
與此同時,如果建立身分的方式過度簡化,往往會破壞身分系統本身,尤其是在網路上。「密碼」通常被用來識別身分,但除非進行嚴格的身分驗證,否則密碼很容易洩露出去,使身分驗證無效化,因為攻擊者一旦取得密碼,就能夠冒充身分。「隱私」通常被視為「有的話很好,沒有也沒關係」,甚至被認為只對「有所隱瞞」的人來說才有意義。但在身分系統中,保護個人資料是核心功能。任何有用的身分系統,都必須同時基於「建立」與「保護」身分的能力來做評判。
要了解此一挑戰是如何展開的,相當重要的,就是牢記在身分系統中一些環環相扣的要素:
- 創建:身分系統的登記過程,包括建立帳號並分配識別符(Identifier)。不同類型的系統,對登記有不同的要求,這與系統擁有者對於使用者個人所提供的識別資料產生的信心程度有關(所謂的 保證等級)。國際民航組織(ICAO)為此制定了一份《身分證明指南》(Evidence of Identity)。
- 存取:為了持續登入帳戶使用服務,參與者使用比較簡單的程序,比如:出示密碼、金鑰或多重身分驗證。
- 關聯:當參與者使用其帳戶所能造訪的系統時,許多用戶的互動行為都會被系統記錄下來,這些可作為系統理解的、參與者身分記錄的一部分,這些資訊隨後可用於發展其他帳戶功能。
- 圖譜:在日積月累的使用者資料中,許多是與其他帳戶連動的。例如,兩個用戶可以藉由系統交換資訊或共同參與活動。這些都會生成多個帳戶的關聯數據,從而形成一個連接的「社交圖譜」。
- 復原:密碼和金鑰會遺失,兩步驟驗證系統也可能失靈。大多數身分系統都有某種辦法復原遺失、或被盜取的憑證,比如說透過保密機敏資訊、存取外部身分符記,或社交關係資訊驗證來復原。
- 聯盟:就像創建帳號時,參與者可以使用來自外部來源的資訊(通常經過查證),大多數帳號也允許其中至少某部的資訊,用於在其他系統中建立帳號。
在本文中,我們將討論現今數位身分系統的運行狀況,以及這些系統實行「識別」和「保護」這兩項要務時的限制。之後,我們將討論世界各地為了解決這些問題,而正在開展的一些相當重要、但成效有限的行動。接下來,我們將說明如何在這些重要工作的基礎上,進行更大膽、積極的拓展,以實現一個更加多元的未來。最後,我們思考由於身分的基本作用,它是如何和其他基礎協定、權利、特別是我們在下一章中重點討論的「結社權」,相互密切聯繫在一起。
現今的數位身分
當大多數公民提到他們的正式「身分」時,通常指的是政府簽發的證件。雖然這些因國家制度而有所不同,但常見的例子包括:
- 出生證明
- 公共性質專案的註冊證明,通常帶有相關的證號(如美國的社會安全福利、臺灣的全民健保)
- 汽車或槍支等潛在危害工具的許可證
- 部分國家有統一國家身分證/號碼/資料庫
- 用於國際旅行的護照,因其國際聯盟的特質,或許是最廣泛的身分識別系統
雖然這些系統因國家而異,不過它們都共同呈現出幾種特徵:
- 在各種場合,它們都是正統、高度受信任的,在各種場合都被視為 "法定" 甚至是 "正式" 的身分,所有其他形式的身分要不是 "假名",就是通過參照正式系統而獲得正當性。
- 部分由於 1)的原因,它們被廣泛應用在各式各樣的情境下(比如說在酒吧核對年齡、銀行開戶、納稅等),即使它們原本是基於對特定目的、特定計畫而設計的。一個聲名狼藉的例子是美國的社會安全號碼(SSN),它最初是在 1930 年代為了方便管理新的退休金制度而創建的[1]。到了 1960 年代,許多不同的政府和私營部門機構都經常要求使用該技術。這種廣泛的使用,意味著人們在許多不同場合的活動都可以被記錄下來。1960 年代末和 1970 年代初,人們開始關注這些做法[2],並制定了一系列法律,限制聯邦政府機構之間共享數據的能力,同時也限制私營部門使用 SSN [3]。此後,聯邦政府一直在努力減少 SSN 的使用,並積極尋找替代方案[4]。
- 這些證件一般來說,是根據非常狹隘且有限的身分資訊簽發的。它們通常可追溯至政府簽發的文件,一般常見的、最基本的是出生證明,而出生證明依賴單一醫生的簽名,偶爾有面對面出現的補充。然而,如果在身分問題上持續存在爭議,往往需要透過繁複的法律程序來解決。
這些特徵組合在一起,讓「身分」成了不太穩定的混合物。一方面,政府簽發的身分是現代生活的基礎,通常旨在避免侵害隱私。但另一方面,卻又在保護身分方面效益不彰,因為正式身分被廣泛應用在各種場合且難以保密,更是建立在一些單薄的訊號基礎上。除此之外,正如我們在下面將探討的,這些問題,目前正因為如生成式基礎模型(GFM)等技術進步而更為加劇,它們可以輕鬆地模仿、修改內容,也可以從公開訊號中導出複雜的推論。此外,創建社交身分證明的數位版本進度相當緩慢,各司法管轄區也並不一致。由於上述種種原因,現有政府所頒發的身分證件,地位越來越不穩定且危險,在識別和保護的二者權衡,相當缺乏可信度。
第二組被廣泛使用的身分系統是由 Meta、Alphabet 和 Apple 等領先技術平台管理的「單一登錄」(SSO)系統。這些系統允許使用者,可使用自己在平台建立的身分,來登錄平台的各項服務。這些服務也正是「使用 Amazon 登錄」(或類似)按鈕的基礎,這些按鈕經常出現在線上驗證的介面。
正如政府所發放的各種身分具有共同特徵一樣,單一登錄系統也是形式各異,但有著重要的共同特徵:
- 它們多數掌控在私人企業的手上。它們提供的便利程序、或其重度仰賴的資料(很快會談到),被最大化的利用在留住顧客,以及提高服務價值的功能開發上。
- 它們藉由關聯至使用者的各種訊號和屬性,來維護使用者身分的完整度,並汲取使用者身分的價值。雖然資料類型(如購買記錄、社交網絡連結、電子郵件往來、GPS 定位等)具體情況各自不同,但大體來說,系統維護者都能廣泛、詳細、深入地了解主體,即使用者的整體行為特徵,有時候甚至是跨多個領域的親密行為特徵。 引自 Zuboff。
- 也由於 2),這些身分被同盟廣泛地聚合起來,並可被一系列線上認證服務所接受,包括與 SSO 提供商有部份關聯的線上服務。
這裡還有兩種重要的身分提供者,具有上述大部分特徵,但不是數位平台 SSO 系統:信用評分和國家安全機構(用於發放安全許可和更廣泛的監控)。
它們同樣依賴於巨量、豐富樣態的訊號,具有較高程度的完整性、相當廣泛的使用範圍,但卻沒有更制式標準的政府身分的公共合法性。因此,這樣的身分系統,與政府身分系統在權衡利弊方面正好相反。它們在「識別」方面做得更好,而且在一某情形下更能保護身分不受攻擊者的惡意侵害,不過由於其「無所不知」的特性在社會上並不正當、且將大量權力賦予少數人手中,因此它們大部分都在暗處運作。
在多數國家,位於上述兩個極端的中間點的,是關鍵/基礎服務的帳戶,例如銀行帳戶和手機號碼。這些帳戶通常被私人企業管理、與用戶資料緊密關聯、亦可用於安全保護,也因此往往成為其他身分系統(如 SSO 系統)的關鍵輸入要素,更受到比 SSO 系統更嚴格的監管。因此,他們在私人供應商之間,往往具有更大的合法性和可攜性。許多時候,這些系統被視作既安全也合法的有用組合,通過多重要素驗證(MFA),為許多服務提供最終安全保障。然而,這些系統同時也受到企業監控、安全性的許多缺陷困擾,種種原因讓它們通常容易被盜,一旦被盜也很難追回,而且缺乏如同政府簽發的身分證般,強而有力的法律依據。
與此完全不同的是,不論在數位原生系統、或是較為傳統的脈絡下,都有一些規模較小、更為多樣、偏重在地性的身分系統,這些包括了:
- 教育機構與證書
- 與就業工作相關的證書和所屬機構
- 工會、專業協會和其他不由雇主驅動的工作相關活動的會員資格
- 政黨、慈善組織和其他集體行動組織
- 參與社區、宗教、興趣和社會性公民組織
- 與各種規模的產業領域建立的忠誠關係
- 醫療和保險關係
- 各種從線上社交和政治互動中使用的假名身分,比如暗網、論壇(4chan 或 Reddit)、連網遊戲和虛擬世界互動 (如 Steam)。
- 用於 web3 金融交易、分散式自治組織(DAO,在下文將詳細介紹)和其相關的互動討論
- 以機器或生物(心智)為基礎,記錄共同的個人/社交關係、通信來往等的個人數位和現實生活通訊/聯繫。
這些身分形式,正是我們討論中最為多樣化、卻也是共同特徵最少的一組。不過它們也有一些共同特質,這些特質恰好與分散性、異質性緊密關聯:
- 這些系統高度碎片化、互通性相對有限,很少形成同盟或彼此相互連接,因此應用範圍往往非常受局限。
- 與此同時,這些身分來源往往被認為是最自然、恰當、非侵入性的。它們似乎生成於人際互動的自然過程,而不是上對下的命令或權力結構。它們被視為高度合理,但又不是明確的 "合法" 身分或外部來源,因此往往被視為假名或私人身分。
- 它們傾向於記錄細緻又詳盡的個人資訊,但其脈絡或生活片段範圍較窄,也明確與其他脈絡分離。因此,作為基於人際關係的復原方式,它們具有較強的潛力。
- 它們的數位體驗往往不太好;要不沒有數位化、又或是數位化介面的流程與管理,對於非技術背景的用戶十分不友善。
雖然這些例子,可能是數位身分中最邊緣化的一群,不過它們或許最能顯示數位身分的系統狀態。數位身分系統是異質的,通常相當不安全,互通性弱且功能受限,同時允許權力集中的實體對其進行普遍監控,在許多情況下都破壞了它們本應該保護的隱私常規。這些問題,現在已經越來越被關注,也讓許多技術專案,將重點放在如何克服這些問題上。
[最好能有一個表格,舉例說明優缺點]
公共和分散式身分
與技術領域最突出的趨勢形成鮮明對比的是,在身分工具領域最具影響力的發展,一般是出現在開發中國家,或以其為目標市場,通常打著「數位公共建設」的旗號。這部分也是因為這些國家的身分系統特別不發達,因此對此類系統有強烈的需求。然而,或許正是因為這樣的出發點,這些系統選擇了基於生物識別技術,其高度一致性和集中化的結構,雖然令人印象深刻地展示了,數位原生身分基礎設施可以實現的目標,但卻難以用來細緻地識別身分,和有力地保護它。
最突出的例子是印度政府主導的 Aadhaar 身分系統,該系統是「India Stack」計劃的一部分。 Aadhaar 是一個多因素生物中心資料庫,以照片、指紋和虹膜掃描為基礎,並與身分識別管理局(Unique Identification Authority of India, UIDAI)簽發的單一身分號碼和身分證相連。即使印度最高法院在很大程度上,限制了該系統對於獲取公共服務和權利的強制性,但印度政府已實現讓持有 Aadhaar 的人能夠方便地獲取各種公共和商務服務,因此取得了令人驚訝的 99% 公民使用率。
此專案的成功,部分影響了包括 OpenAI 聯合創始人山繆·阿特曼(Sam Altman)在內的一群技術專家,於 2019 年推出了 Worldcoin 專案,目標是成為首個通用生物識別身分系統[5]。迄今為止,他們使用專利虹膜掃描儀「the Orb」掃描了數百萬人,這些人幾乎都生活在開發中國家。他們利用密碼學對這些掃描結果進行「雜湊」,這樣就無法查看或復原,但今後的任何掃描結果都可以與之比對,確保其獨特性。他們以此初始化一個帳戶,並將虛擬通貨存入其中。他們的任務是「確保」隨著生成基礎模型模仿人類的能力越來越強,身分的安全基礎仍然存在,例如:可以用來向地球上的每個人分配平等的 "全民基本收入",或允許參與投票和其他通用權利。
許多評論都指出,這些系統在規模化、納入邊緣化社群、安全性的方面,達到了世界上所有身分系統中最令人印象深刻的組合。因此,它們開始被廣泛地效仿。例如,亞洲(如菲律賓)和非洲(如烏干達),一些國家在印度發展的經驗基礎上,採用了開源模組化身分機制平台 MOSIP(The Modular Open Source Identity Platform, MOSIP),迄今已創建了近 1 億個身分。
與此同時,這些系統在識別和保護身分的能力方面,也面臨很大的局限性。將如此廣泛的互動,與單一的生物識別基礎聯繫起來,就必須進行極為嚴格的權衡考量。一方面,如果(比如:Aadhaar 系統中)程式管理員不斷驗證生物識別技術,並將相關的活動與它聯繫起來,他們就有可能獲得前所未有的能耐,來監視公民在廣泛領域參加的活動,並且也可能向弱勢群體的身分,進行破壞或具有針對性的活動。一些社運人士,曾多次就印度穆斯林少數民族的地位問題,提出過對此類問題的憂慮。
另一方面來看,如果像 Worldcoin 那般,只在初始化帳戶時使用生物識別技術來保護隱私,也容易讓系統弱化,以致帳戶被竊取或出售。人們想要獲得的大多數服務,都不僅僅需要證明他們是一個獨一無二的人(例如,他們是某個國家的公民、某家企業的員工等)。極端保護隱私的作法,也削弱了系統大部分功效。再者,生物識別系統的技術性能,在這樣的系統裡承受非常大的負擔。如果說,在未來的某個時候,AI 可結合先進的列印技術來欺騙這些系統,那麼將可能出現極端的「單點故障」(SPOF)。總而言之,儘管生物識別系統具備了包容和便利性,但其功能過於單一,無法建立和保護支持多元宇宙所需的身分細緻樣態與安全性。
從一個截然不同的角度上看,另一項關於身分的進程,也遇到了相似的權衡問題。「去中心化身分」(DID)的推展,源於我們前述文章中所強調的對數位身分的許多擔憂:碎片化、缺乏自生的數位基礎建設、隱私問題、監控和資本控制。Kim Cameron(微軟身分研究員)的「身分法則」是一份核心的奠基文件,其中強調了使用者控制/同意、向適當方披露最少資訊、多種使用方式、多元參與、與人類使用者整合,以及跨脈絡體驗一致性的重要性等[6]。為了實現、符合這些原則的系統,DID 倡議者制定了協定和開放標準,賦予個人對身分的 "所有權" ,將其根植於區塊鏈等「公開」資料儲存庫,並建立標準化格式,讓各種實體可向這些帳戶發放憑證。
這些系統通常都規劃一個人擁有多個帳戶/假名。它們還面臨著一個共通的實際挑戰,即是,如果要使個人真正的「擁有」自己的身分,他們必須控制一些最終的密鑰,使其能夠存取它,並可靠地復原密鑰,且不需要求助於更高一級的控制機構。除了可能的生物識別技術(我們在上面已經討論過其中的問題)之外,目前還沒有哪種受到廣泛認可的模式,能在沒有可信單位下復原身分,也沒有例子表明個人能夠在大規模、多樣化的社會中,可靠地自我管理密鑰。
儘管存在著共通挑戰,不過這些計劃的細節卻大相徑庭。一個極端是「可驗憑證」(VC)的倡議者,首先考慮隱私以及用戶可以控制在任何時候顯示關於他們的聲明的能耐。另一個極端是「靈魂綁定憑證」(SBT),或其他以區塊鏈為中心的身分系統的倡議者強調的:公開憑證的重要性。這些憑證是對於準時償還貸款,或承諾不再複製藝術品等行為的公開紀錄,要求這些權利主張與身分公開綁定。在這裡,我們又一次從復原方面的挑戰、DID-SBT 的辯論中看見,在識別和保護身分時,那些令人左右為難的權衡。
近期許多圍繞在身分的倡議,從為疫苗接種身分創建的「智慧健康卡」(Smart Health Cards),及歐盟所創建跨越全歐洲、彼此互通的數位身分等,這些都努力的在身分議題上發展。鑒於識別和保護身分二者的核心重要性,許多關於此類倡議的進展緩慢,也就不那麼奇怪了。
多元交織的身分
是否有一種方法,可以克服這些看似無法調和的衝突,確保在不被集中監控的情況下,安全識別且有力的保護身分?此問題的答案,自然可以依循《我們遺忘的道》裡描繪的多元宇宙思想:重視身分的多樣性、相互交織性和網路架構的潛質。正如封包交換可將分散性與效用調和並實際連結、超文本將速度與文本路徑的多樣性調和起來一樣,通過合適的實驗和標準建設,「交織式身分識別方法」似乎越來越有可能調和身分識別與保護並重的目標。
我們的基本概念,和生物識別技術相比較,也許最容易理解。生物識別技術(如虹膜掃描、指紋、基因資訊)是一套詳細的物理資訊,可以單一地識別某個人,原則上任何人只要能接觸到這個人,掌握適當的技術,就可以查明身分。然而,人不僅是生物,也是社會人。比生物特徵更為豐富的,是他們與其他人和社會群體的共同歷程和交織互動。這些也包括了生物特徵;畢竟,無論何時我們與某人見面,我們都至少、部分地感知到他們的生物識別特徵,而他們可能會留下其他人的痕跡。然而,社交互動遠不止這些生物特徵。相反地,它們涵蓋了過程中自然共同觀察到的所有行為和特徵,包括以下幾項:
- 位置:在某個地方聚集在一起 —— 這個行為本身就意味著共同知道其他人的位置(這也是犯罪鑑識中不在場證明的基礎),而且大多數人大部分時間都在其他人可探測到的附近活動。
- 溝通:一般來說,至少有兩個參與者。
- 行動:無論是在上班、遊戲還是作坊的行為,通常都是為群眾或在群眾在場的情況下進行的。
- 人格特質:通常表現在與他人的互動中。
事實上,我們對他人身分的認識,常常是從「社會計量學(sociometrics)」的角度出發:我們與某人一起做過的事情、一起去過的地方、他做過的事情以及他的行為方式,而不是主要從其外表或生物學角度出發。
這樣的社會身分,具有驚人的實用範圍:
全面性和冗餘性:進一步來說,這些資料聚合起來,幾乎涵蓋了關於一個人全部有意義的資訊:絕大多數關於我們的判定,都源自於和他人的各種互動和經歷。對於我們想向陌生人證明的大部分事情,都可透過他人和機構(通常很多)的組合來 "擔保",而不需要任何專門的監控方式。比如,一個人想要證明自己超過了某個特定年齡,可以求助於認識他很久的朋友、求學過的學校、在不同時期核實過其年齡的醫生,當然也可以求助於核實過他年齡的政府等等。這種多重驗證系統實際上已相當普遍:當申請某些形式的政府身分證明時,在許多管轄領域,都允許使用各種地址的查核模式,包括銀行對帳單、國營事業帳單、租約等等。
隱私:或許更有趣的是,所有這些「驗證者」都是從我們、多數人認為合乎「隱私」常規的互動中,得到這些資訊的:我們不會像被資本或政府監視一般,對這些社交事實的共同認知感到擔憂。
漸進式驗證:透過單一因素進行標準驗證,用戶可對某項事實/屬性的證明,獲得與他們對驗證方/系統的信心相當的信任。而「多元系統」則更能透過越來越多的可信驗證者,來實現更廣泛的信任範圍。這樣的機制,也更能適應不同使用情境下的安全需求。
安全:多元化避免了「單點故障」的一些問題。即使是某些個人和機構的腐敗,也只會影響到依賴這些節點的人,可能只佔社會中很小一部分。鑒於 AI 和列印技術的進步,對生物識別系統等帶來的潛存風險(如前所述),這點至關重要。上面其他驗證方法的基礎,更為多樣化(一系列溝通行為、實體接觸等),而這些多樣的驗證方式,因特定技術進步而全數失效的可能性,可說是微乎其微。
復原:這種方法,也自然解決了前述最具挑戰性的問題:復原遺失的憑證。如前所述,要復原身分,通常必須依賴與單一、強大的實體進行互動,這個實體可以調查某個帳戶主張的有效性;基於賦予個人完全「所有權」的替代方案,面對駭客等攻擊方式,通常極度不安全。然而,一個更自然的替代方案,是讓個人依賴一組關係,比如說允許 5 個朋友或機構中的任意 3 個,來復原密鑰。這種「社交復原」已然成為許多 web3 社群的黃金法則,甚至被 Apple 等大型平台接納。正如我們將在後續章節中探討的,可以運用更巧妙精密的投票方法,來使這種方法更加安全,即確保個人網絡中的組成部分,不太可能進行對此人不利的合作,從而共同復原其憑證,我們將它稱之為「社群復原」。
與前述的權衡相比,上述的優勢已然十分突出。但本質上,這只是我們在《我們遺忘的道》提到的多元化網路結構,比集中式結構所具有優勢的簡單延伸;這些優勢正是通訊網路轉向封包交換架構的初衷。這也是為什麼,某些在尋求實現此種未來的領先組織,如:Trust Over IP (ToIP) Foundation,會把網際網路協定自身的創建歷史,進行緊密類比(找尋相似點)的原因。當然,要實現如此「交織」的系統,還面臨許多技術和社會的挑戰:
互通性:要讓這樣的系統發揮作用,顯然需要現有身分和資訊系統,進行相當廣泛的相互協力運行,同時確保其各自的獨立性和完整性。要達成此一目標是極為艱鉅的協調任務;但從根本上來看,這與網際網路本身的基礎是相似的。
複雜性:管理和處理如此多樣化的個人、機構之間的信任和驗證關係,已遠超出了大多數人甚至機構的能力範圍。不過,有一些合乎常理的方法,可以解決這樣的複雜性。一種方法是憑藉著經過訓練、不斷增長能力的生成式基礎模型(GFM),透過訓練它們對於個人或機構的關聯和輪廓理解,在多樣的訊號中提取意義;我們將在後面篇章裡,廣泛討論這樣的可能性。另一種方法,則是限制任何個人或機構必須管理的關係數量,轉而仰賴中等規模的機構(比如中型企業、教會)讓其扮演中介作用(Jaron Lanier 和本書作者之一稱之為「個資仲介組織(MID)」,或者依靠「朋友的朋友」關係(我們稱之為 "信任遞移" )。眾所周知,在少量連結(大約六度),幾乎可相連地球上的任何兩個人。我們將在下文討論這兩種方法的特性、權衡和相容性。
遠距信任:另一個密切相關的問題則是,在許多陌生關係的自然驗證中,我們會遇到許多自己並不認識的人。在這種情況下,我們接著就會討論如何信任遞移和 MID 相互結合作用的議題。在本書後面的章節中,我們還將討論貨幣在此扮演的角色。
隱私:最後,雖然大多數人對於「記錄」上述社交活動中自然產生的資訊感到安心,但為了驗證而「分享」它們,就可能帶來重要的隱私問題。這樣的資訊本應「保留」在合乎常理的社交脈絡裡,因此需要非常謹慎,以確保將其用於身分驗證不會違反這些 "脈絡完整性" 規範。 正如我們在章尾所提到的,應對此一挑戰,正是下一章的重點。
多元身分
多元身分系統所涉及的複雜性和社會距離,我們該如何管理?我們將在往後的章節中,討論 GFM 可發揮的作用。現在,我們將焦點放在以網路為基礎的方法,這兩種自然性的發展策略,與《我們遺忘的道》中提及的網際網路先驅保羅·巴蘭(Paul Baran)其想像的兩種網絡類型相互對應:「去中心化」(也稱為「多中心主義」,我們將使用這種說法),即來自顯著規模的單位的驗證者,但數量不會多到造成壓倒性的複雜度;或「分佈式」,即:很少具有大型規模的驗證者,改以信任遞移來跨越社會距離。在完整考慮這種種可能性時,一個基本的啟發方式是「鄧巴數(dunbar number,或 150 定律)」。 它是人類學家羅賓·鄧巴(Robin Dunbar)認為,在沒有大量運用資訊技術的情況下,人們可以保持穩定關係的人數(通常約莫 150 人)。不論其精確數字為何,很明顯的,如果沒有大量技術的輔助,人們通常都無法處理超過幾百人的關係、聲望評價等。
多中心主義的方法,則試圖通過限制參與者的數量,來解決這個問題。如此顯然部分限制了多元性,不過只要參與者所屬單位足夠多元,這不會是個大問題。假設我們有 100 億人口,每個人與潛在的驗證機構(如政府、教會、雇主等)保持著 100 種關係。此時,若要使驗證工作有合理的機會運作,任何兩個見面的人,必須至少有 5 個重疊的社交關係。如果所屬單位是隨機分佈的,那麼可以同時存在 300 個驗證者,而且任何一對隨機的人驗證失敗的機率,依然只有幾百萬分之一。當然,相遇的個人很少是隨機的,從屬關係也不是隨機形成的,5 個重疊的資格也不可能是多數交流的絕對必要條件,尤其是在隨機相遇的人之間。但上述各項論點都表明了,更多驗證者可以在如此多元關係的環境中茁壯興盛。
然而驗證者的數量,顯然要比人口總數小得多,也許只有 10 萬左右,而這個數字的性質是,它是 100 億的 10 萬分之一。它將比我們現今的身分格局都更加多元化,可以在自主/控制,以及功能/安全之間,做出更好的權衡。不過,這有可能做到嗎?
定量社會學最重要的發現之一是,儘管存在著鄧巴限制,但只要跨越幾度的分離,大多數人就會彼此相連。為了理解這一點,假設我們每個人只能保持 100 種關係。 這意味著我們可能有 100^2=10,000 個二級關係,100^3=1,000,000 個三級關係,100^4=100,000,000 個四級關係,100^5=10,000,000,000 個五級關係,這比全球人口還要多。因此,我們每個人完全有可能與地球上的每一個人都相隔 5 度以內。考量到每個層次上都會有些重疊的關係,分離度數應該設的更大一些:許多社會學研究都發現,隨機選擇的兩個人之間的分離度數大約為 6 度。此外,至少在 7 級關係鏈中,任何兩個人之間,通常都有許多基本獨立的社會關係鏈。
再說,利用遞移關係鏈來建立關係、資訊和效度的想法,自古就經常出現,也是「引介」的概念、「傳話遊戲」(強調其中某些局限性)、熱門的商業社交網站 LinkedIn 等等的基礎。在原本彼此陌生的人們之間,要搜尋和管理許多條可能的介紹鏈,顯然需要一些技術支援,但資訊科學研究已經證實了這類運算的可行性。這個問題在實務上,與為網際網路提供動力的封包交換技術基礎非常相似。
更進一步說明,去中心化和分佈式策略可以相互結合、大大增強彼此的效用。舉一個簡單的例子,在我們上面的說明中,可能有 10 萬個驗證者。在擁有 100 億人口的世界裡,平均每個人都要管理與 10 萬名參與者的關係。如果他們也能管理與其他驗證者之間,類似數量的關係,這樣一來,每個驗證者都將和其他驗證者直接連結。二度分離則可以做得更多,讓數百萬個驗證組織,可在相同的邏輯下蓬勃發展。也因此,即使沒有我們將在下文中提及 GFM 的神奇魔法,遞移式信任和多中心主義的相互融合,也可以打造出高度多元且多樣化,既有效也保障隱私的身分景觀。
身分與結社權
那麼,最後的關鍵問題是:如此多元的社交驗證過程,最終是否有可能會破壞對身分的保護?歸根究柢,現在之所以會有如此不合時宜的身分格局的核心原因,正源自於自由民主政體對於這個問題的擔憂,而抵制身分系統的創建。如果我們想要建議更好的選擇方案,我們就必須確保在這個維度上,它是更加優秀的。然而為了達成目的,我們必須從多元化的視角,更深入地挖掘「隱私」和「控制」的確切意義。
如上所述,幾乎所有與我們有關的事情,都會被他人知道,而且他人與我們一樣了解我們。沒有什麼人會認為,這個赤裸裸的事實是對隱私的侵犯。事實上,從初吻對象的腦海中抹去關於那個吻的記憶、和我們二人中的一個人不適當地分享初吻資訊相同,都是對隱私的侵犯行為。因此我們所追求的價值,並不能完全用「隱私」一詞來形容,而是關於資訊是否可停留在其應該存在的社交脈絡中,也就是學者海倫·尼森鮑姆(Helen Nissenbaum)所說的「脈絡完整性」。事實上,這需要某種程度的公開:如果資訊沒有分享給原本想要傳達到的對象,並獲得理解,其損害並不亞於資訊被過度分享。此外,因為這些資訊本質上是社會性的,因此它們並不太與個人的選擇或保護相關,而更著重於如何保護群體,免受違反其集體資訊準則的行為傷害。簡單來說,核心問題涉及另一項基本權利:結社自由。在本質上,支持和普及人格權的制度,必須同時支持結社自由;促進與保障結社權的雙重挑戰,和身分背景下的挑戰極其相似。
參考文獻 1) 美國/社會安全局介紹的社會安全號碼系統的歷史。2)打開潘朵拉盒:1937-2018年的社會安全號碼,作者:Meiser、Kenneth Donaldson,UT 電子論文和學位論文。 ↩︎
參見《Computers, and the Rights of Citizens(計算機和公民權利)》(https://www.rand.org/content/dam/rand/pubs/papers/2008/P5077.pdf),1973 年,蘭德公司。 ↩︎
見 1)Social Security Numbers: 美國政府問責署(GAO)向眾議院籌款委員會社會保險小組委員會主席提交的報告:《私營部門實體經常獲取和使用社會安全號碼,法律限制該資訊的披露》。 2)社會安全號碼:美國政府問責局在紐約州議會消費者事務與保護委員會和政府運作委員會的證詞 ↩︎
新聞稿:美國/國土安全部獎勵 19.3 萬美元,以合乎標準的方式替代社會安全號碼。 ↩︎
https://www.reuters.com/technology/worldcoin-aims-set-up-global-id-network-akin-indias-aadhaar-2023-11-02/ ↩︎
Kim Cameron, Laws of Identities(部落格文章,2009 年 8 月) ↩︎