开放还是监控

一

先听设计者这一边，因为这是理解整套架构意图的钥匙。

尼勒卡尼反复强调，India Stack 的设计哲学是开放标准加开放 API，目的是避免任何单一主体——无论是国家还是私营企业——对这套基础设施形成垄断1。他把印度的模式明确地放在两个反面参照之间：一边是中国，国家控制一切数据；另一边是美国，少数大科技公司主导一切数据。印度想走的，是第三条路——数据既不归国家独占，也不归企业独占，而是通过开放协议让它流动，并最终把控制权交还给数据的主人1。

这个意图在第四层（同意层）体现得最清楚。这一层的整个设计，就是要让个人成为自己数据的闸门——任何机构想用你的数据，都要经过你的、有时限有目的限定的明确同意。从这个角度看，India Stack 不是一个监控工具，反而是一个反监控的工具：它把原本被各个机构各自圈占的数据，重新置于个人的控制之下。这是设计者最有力的辩护：监控的前提是数据被某个中心独占，而我们做的恰恰是打破独占。

官方还有一个更直接的反驳。前 UIDAI 局长 RS 夏尔马公开挑战批评者：“我没有任何一个例子能说明，某人的 Aadhaar 信息被披露，会伤害到这个人。”2 这句话的潜台词是：你们担心的监控是抽象的、假设的，而我要的是具体的受害者——拿不出来，就说明这种担心是杞人忧天。

二

再听批评者这一边，因为他们指出的风险同样真实。

批评者的核心论点不是“某次泄露伤害了某个人”，而是“这套架构使一种系统性的监控成为可能”。法律研究者乌莎·拉马纳坦（Usha Ramanathan）、经济学家瑞蒂卡·凯拉（Reetika Khera）等人长期论证，Aadhaar 作为一个贯穿一切的统一标识符，使得把一个人散落在银行、电信、税务、福利、医疗等各个“数据孤岛”里的信息串联起来、拼成一幅完整画像，变得技术上可行3。

这个担忧不是空穴来风。曾经有一位特伦甘纳邦的税务官员做过一个基于 Aadhaar 号对公民进行“三百六十度画像”的演示——把不同来源的数据按 Aadhaar 号归集，拼出一个人的全貌。凯拉对此的评论很直接：“如果这都不算监控，那我不知道什么才算监控。”4 资深律师在 Aadhaar 诉讼中也指出，通过打通数据孤岛，这套系统具备实现“三百六十度监控”的能力5。

批评者对官方“拿不出具体受害者”那个反驳，有一个有力的回应：监控的危害，本来就不主要表现为“某人被某次具体的数据披露伤害”，而表现为一种寒蝉效应和权力的不对称——当一个人知道自己的一切都可能被串联、被观看时，他的行为会改变；而掌握这种串联能力的一方，相对于被观看的个体，获得了一种结构性的权力优势。要求批评者举出具体受害者，本身就误解了监控危害的性质——它是弥散的、预防性的、关乎权力结构的，而不是逐案发生的伤害事件。

三

现在把两边放到一起，会看到一个关键的事实：他们说的是同一套技术。

让数据流动起来的能力，既可以用于“经你同意、把你的数据共享给你选择的机构”（赋权），也可以用于“未经你充分知情、把你的数据串联起来供某个中心观看”（监控）。统一标识符既是普惠的前提（没有它，就没法可靠地给穷人发福利），也是画像的前提（有了它，串联数据才成为可能）。开放的 API 既可以打破垄断，也可以成为数据汇聚的通道。技术本身是中性的，或者更准确地说，技术本身同时包含了通向两个方向的可能。

所以“开放还是监控”这个问题，问错了。正确的问题是：是什么决定了这套技术最终更多地走向开放，还是更多地走向监控？ 答案不在技术里——技术两个方向都能走。答案在制度里。

四

决定方向的，是三样东西，缺一不可。

第一样是司法约束。前一章讲过，2018 年的判决砍掉了 Aadhaar 与银行、手机的强制绑定，并确立了相称性原则。这条线的意义，正在于它从制度上限制了数据串联的范围——强制绑定越少，能被串联到一个标识符上的数据孤岛就越少，“三百六十度画像”的拼图就越不完整。司法画的那条线，本质上是在限制这套技术向监控方向滑动的速度。

第二样是数据保护立法。印度在 2023 年通过了数字个人数据保护法（DPDP Act），试图为个人数据的收集和使用建立规则。一部有牙齿的数据保护法，能限制国家和企业在多大程度上、为什么目的去使用这套基础设施；一部没有牙齿、给国家机关留了大量豁免的法，则可能让那条线形同虚设。这部法的实际执行力度，是观察方向的关键指标。

而批评者对这部法恰恰有具体的担忧：它给了政府机关在“国家安全”等名义下相当宽的豁免空间，而负责执法的数据保护委员会的独立性也受到质疑——如果监管者本身受制于它要监管的那个国家机器，那么“用数据保护法约束国家使用基建”这件事，就可能从设计上被架空。这正是监控之争最微妙的地方：它最终不取决于法律写了什么，而取决于法律在面对国家自身时，到底敢不敢、能不能真的说“不”。一部主要用来约束企业、却对国家网开一面的数据保护法，挡得住商业滥用，却挡不住它最该挡的那个方向。

第三样是透明与问责。这一点最微妙，也最薄弱。前一章提到，UIDAI 至今拒绝公开认证失败的数字6；面对 2018 年的门户访问出售事件，它最初的反应是否认、并对揭露的记者报警7。一个不愿意公开自己失败数据、对外部监督抱有敌意的机构，无论它的初始设计多么强调开放，都在事实上向不透明、因而向监控的那一端倾斜。透明不是技术属性，是机构选择；而 UIDAI 的选择，至今偏向了不透明。

五

所以，对“开放还是监控”这个问题，诚实的回答是：取决于那三样东西守不守得住。

India Stack 的设计，确实在技术架构上为“开放”和“赋权”留了余地——这一点不应被否认，它和一个从设计上就为监控服务的系统（比如某些国家的社会评分体系）有本质区别。但技术上的余地，不等于现实中的方向。一套同时具备赋权和监控两种可能的系统，最终走向哪一边，取决于约束它的制度——司法的线划得牢不牢，数据保护法有没有牙齿，运营机构愿不愿意接受监督。

这就是为什么不能简单地说印度建了一个“老大哥”，也不能天真地说它建了一个“还权于民”的乌托邦。它建的，是一套两可的基础设施——它的最终性质，不由它的代码决定，而由印度的制度博弈决定。而这场博弈还远未结束：司法的线在被反复测试，数据保护法的执行刚刚起步，运营机构的透明度令人担忧。开放还是监控，不是一个已经有答案的事实判断，而是一个正在进行的、关于制度能不能管住技术的较量。

这场较量的赌注，会随着这套基建进入下一个阶段而急剧升高——因为接下来要讲的第四层，数据层，正是把这台机器从“身份和支付”推向“数据和人工智能”的那一层。当数据本身成为最有价值的东西时，开放与监控之间的那条线，会变得比现在重要得多。

---

参考文献

1. Nilekani 关于开放标准/开放 API 避免国家或企业垄断、印度“第三条路”区别于中美两种模式的设计哲学，引自 MIT Technology Review（2026 年 1 月）。technologyreview.com（访问于 2026-06）。

2. 前 UIDAI 局长 RS Sharma “没有任何例子说明 Aadhaar 披露伤害了某人”的表述，引自 MIT Technology Review（2026 年 1 月）。technologyreview.com（访问于 2026-06）。

3. Usha Ramanathan、Reetika Khera 等关于 Aadhaar 作为统一标识符使数据孤岛串联、形成画像成为可能的批评，见 ACM Interactions “MarginalizedAadhaar”。interactions.acm.org（访问于 2026-06）。

4. 特伦甘纳邦税务官员“360 度画像”演示及 Reetika Khera “如果这都不算监控……”的评论，见相关报道与 ACM Interactions。interactions.acm.org（访问于 2026-06）。

5. 资深律师在 Aadhaar 诉讼中关于打通数据孤岛实现“360 度监控”能力的陈述，见 Rethink Aadhaar 人民法庭报告。rethinkaadhaar.in（访问于 2026-06）。

6. UIDAI 拒绝公开认证失败数字，见 MIT Technology Review（2026 年 1 月，引 Internet Freedom Foundation 的 Apar Gupta）。technologyreview.com（访问于 2026-06）。

7. 2018 年 UIDAI 门户“代理”访问出售事件中 UIDAI 否认泄露、对记者报警的反应，见相关报道与维基百科 Aadhaar 条目所引来源。outlookindia.com（访问于 2026-06）。