先看这个信任根有多大。

截至 2026 年,Aadhaar 累计生成了约十四亿四千万个号码,覆盖了几乎全部印度成年人口1。支撑这个规模的,是一张铺到村庄的物理网络:约二十三万九千个登记站、约二十四万二千名认证操作员、九百多家登记机构、三百多家注册商1。这套网络在高峰期每天能新增超过一百万个登记,把一个十亿人级的国家在几年内基本登记完毕2

但 Aadhaar 真正的产品不是那个号码,而是认证这个动作。India Stack 官网披露的累计数字很说明问题:超过六百三十六亿次电子认证(e-authentication)、超过一百零四亿次电子 KYC(eKYC)3。每一次认证,都是某个银行、某个电信商、某个政府窗口在问系统:“这个出示 Aadhaar 号的人,真的是号码主人吗?”系统在几秒内回答是或否。这个“问—答”的动作被调用了六百多亿次,才是 Aadhaar 作为基础设施的本体。

理解它最好的方式,是算一笔成本账。

在 Aadhaar 之前,确认一个印度人的身份要花多少钱?世界银行的估算是每次约十到二十美元——需要纸质证件、需要人工核验、需要在不同系统之间反复折腾4。对一家想给穷人开户的银行来说,这个成本高到让“服务穷人”在商业上不成立:一个只会存几百卢比的账户,光是开户的合规成本就把利润吃光了。身份的昂贵,直接造成了金融的排斥。

Aadhaar 把这个数字压到了约零点二七美元4。当确认身份的成本下降两个数量级,原本在商业上不成立的事突然成立了:给穷人开户变得有利可图,于是几亿个此前被排斥的人涌入了金融体系。这就是为什么印度的银行账户拥有率能在十几年里从约百分之三十五涨到约百分之八十九,而其中百分之八十四的人是用 Aadhaar 作身份证明开的户5。身份层不是孤立的,它是后面所有普惠故事的前提——把信任的成本砍掉,才有了支付层和补贴直达的可能。

这就是尼勒卡尼反复讲的那个逻辑的硬核:Aadhaar 不是一笔花在身份证上的开销,而是一项能撬动整个金融体系扩张的基础设施投资。它的杠杆,来自把一件高频、必要、昂贵的事变得几乎免费。

技术上,Aadhaar 把身份拆成了三个可以分别调用的能力。

第一个是 presence-less,无在场——你不需要本人到场。系统存有你的生物特征(指纹、虹膜)和人口学信息,远程比对就能确认身份。第二个是 paperless,无纸——基于身份的电子 KYC、电子签名(eSign)、以及数字文件柜 DigiLocker,让一个人可以完全不靠纸质文件就完成开户、签约、出示证件6。第三个,是把这两者都封装成开放 API,让任何被授权的机构都能调用。

所有这些能力,最终都汇聚到一个地方:中央身份数据库(CIDR)。这是一个集中存储所有登记者生物和人口信息的核心数据库,用 256 位加密、防火墙、严格的访问控制保护;登记包在客户端就被加密,传到 CIDR 后只有特定的服务器能解密7

这里出现了这套基建最深的一个内在张力,值得停下来看清楚。设计哲学上,India Stack 强调开放、分层、避免任何单一主体垄断;但在物理实现上,整个十四亿人的身份信任,最终锚定在一个集中的数据库上。开放的接口,集中的核心。这个结构在效率上是优越的——一个查询点,全国通用;但在风险上,它把所有的鸡蛋放进了一个篮子,而这个篮子的钥匙握在国家手里。这个张力不是 bug,它是这套设计的固有属性,后面讲隐私和监控的章节会反复回到它。

集中的核心,意味着集中的脆弱性。

2018 年,有调查记者发现,一个匿名团伙在 WhatsApp 群里以小额费用出售 UIDAI 门户的“代理”访问权限——花一点钱,就能拿到一个能查询任意 Aadhaar 号关联个人信息的账号8。UIDAI 最初的反应是防御性的:否认发生了数据泄露,把它定性为“对申诉查询设施的滥用”,并对揭露此事的记者报了警8

更大的一次曝光发生在 2023 年。据 MIT 科技评论的报道,一次事件中,超过八亿印度人的记录出现在了暗网上9

需要对这些事件做精确的区分,避免夸大。这些泄露的,多是关联在 Aadhaar 号上的人口学信息(姓名、地址、电话等),而非最核心的生物特征模板——后者据称仍被加密保护在 CIDR 里。但即便如此,人口学信息的泄露已经足以支撑身份盗用、钓鱼诈骗和其他欺诈9

官方的反驳一直是同一句话。前 UIDAI 局长 RS 夏尔马公开说:“我没有任何一个例子能说明,某人的 Aadhaar 信息被披露,会伤害到这个人。”10 这句话在逻辑上很难证伪——很难追踪某次具体的诈骗究竟是不是源于某次特定的泄露。但它也回避了问题的实质:当十四亿人的身份信息集中在一处,泄露的可能性本身就是一种系统性风险,而不是一个可以靠“举不出具体受害者”就打发掉的问题。这种“举证责任倒置”——要求批评者举出具体受害者,否则就当作没有风险——本身就是集中化系统在治理上的一个盲点。

身份层还植入了另一个更隐蔽的风险:当一个号码成了进入一切的钥匙,那么这把钥匙失灵,就等于一切的门都关上了。

Aadhaar 设计上是要做“信任的地基”,但地基的另一面是依赖。一旦银行、补贴、电话卡、社保都要求 Aadhaar 认证,那么任何一次认证失败——指纹磨损了、虹膜识别不出来、网络断了、数据库里的信息和现实对不上——都会把一个真实的人挡在他应得的服务之外。

有一个数字很能说明这个依赖有多深,又有多脆弱。据引用过的预算文件,在贾坎德邦这样的地方,生物识别认证的失败率一度高达约百分之四十九11。也就是说,差不多每两次认证里就有一次失败。对一个体力劳动者来说,常年的体力劳动会磨平指纹;对一个老人来说,虹膜会因为白内障识别困难。这些不是边缘的意外,而是系统性地落在最脆弱人群身上的失败。

这就是为什么同一个身份层,可以同时是普惠的引擎和排斥的机器。它把几亿人拉进了金融体系,也把另一些人——往往是最穷、最老、最边缘的那些——更彻底地关在了门外,而且关得比纸质时代更严,因为现在“系统说你不是你”,比一个窗口办事员说“我不认识你”更难申诉。专门讲排斥的那一章,会把这个机制讲透。这里只需要先记住:信任根的强大和它的残酷,是同一件事的两面。把信任压缩成一次生物识别查询,效率极高,但也意味着,当查询失败时,一个人会在系统眼里凭空消失

参考文献

  1. UIDAI Aadhaar Dashboard(累计生成约 14.44 亿;登记站约 23.9 万、操作员约 24.2 万、登记机构 965 家、注册商 302 家)。uidai.gov.in/aadhaar_dashboard(访问于 2026-06)。

  2. 高峰期每日新增逾百万登记,见 MIT Technology Review(2026 年 1 月)。technologyreview.com(访问于 2026-06)。

  3. India Stack 官网披露累计逾 636 亿次电子认证、逾 104 亿次 eKYC。indiastack.org(访问于 2026-06)。

  4. World Bank Digital Dividends 估算身份信任成本由每次约 10–20 美元降至约 0.27 美元,转引自 McKinsey 分析。mckinsey.com(访问于 2026-06)。

  5. World Bank Global Findex(账户拥有率 2011 约 35%→2025 约 89%,84% 用 Aadhaar 开户),及 CGAP 分析。findevgateway.orgcgap.org(访问于 2026-06)。

  6. India Stack 四层之无在场层与无纸层(eKYC / eSign / DigiLocker),见 iSPIRT / ProductNation 说明。pn.ispirt.in(访问于 2026-06)。

  7. UIDAI, “Security in UIDAI system”,CIDR 架构、256 位加密、客户端加密登记包等。uidai.gov.in(访问于 2026-06)。

  8. 2018 年 UIDAI 门户“代理”访问出售事件及 UIDAI 的“搜索设施滥用”定性、对记者报警,见相关报道与维基百科 Aadhaar 条目所引来源。outlookindia.com(访问于 2026-06)。

  9. 2023 年逾 8 亿印度人记录出现于暗网,见 MIT Technology Review(2026 年 1 月)。technologyreview.com(访问于 2026-06)。

  10. 前 UIDAI 局长 RS Sharma 关于“没有任何例子说明 Aadhaar 披露伤害了某人”的表述,引自 MIT Technology Review(2026 年 1 月)。technologyreview.com(访问于 2026-06)。

  11. 贾坎德邦生物识别认证失败率一度约 49%(引自预算文件),见 Business Standard 相关报道。business-standard.com(访问于 2026-06)。