印度数字公共基建如何重构十亿人的身份、支付与数据主权
2026
先把规模摆出来,因为只有规模能说明这件事的量级。
截至 2026 年,印度的 Aadhaar 系统累计生成了约十四亿四千万个唯一身份号码,覆盖了几乎全部成年人口;按照印度唯一身份识别局(UIDAI)的官方表述,成年人口的登记率已经达到约百分之九十九点九1。这意味着,在一个曾经有数以亿计的人连一张能证明“我是我”的证件都没有的国家里,几乎每一个成年人现在都有了一个可以在线、实时验证的身份。
支付一侧的数字同样惊人。印度国家支付公司(NPCI)运营的统一支付接口(UPI),在 2026 年 1 月单月处理了约二百一十七亿笔交易,金额约二十八点三万亿卢比2。把时间拉长,从 2016 年 4 月上线到现在,UPI 的年交易笔数从最初一个财年的两千万笔,增长到 2025—26 财年的约两千四百亿笔;同期金额从约七百亿卢比增长到约三百一十四万亿卢比2。2025 年 6 月初,UPI 单日交易量一度超过六亿五千万笔,超过了 Visa 全球日均约六亿四千万笔的水平3。
这是世界上最大的实时支付系统,跑在世界上最大的生物识别身份系统之上。但如果故事到此为止,那它只是一篇关于“印度数字化很厉害”的报道。
真正值得讲的,是这两样东西底下的结构。
身份和支付,在大多数国家里,要么由国家垄断(比如发身份证、印钞票),要么由少数巨头垄断(比如 Visa、Mastercard 的支付网络,或者大科技公司的账号体系)。印度做的事情,是把这两种本属于“垄断”的职能,重写成了开放的、可编程的接口——任何一家银行、一个创业公司、一个政府部门,都可以通过标准化的 API 去调用身份验证、去发起一笔转账,而不需要向某个私有平台交“过路费”,也不需要被锁死在某个封闭生态里。
印度的技术圈给这套东西起了个名字,叫 India Stack——印度堆栈。这个词本身就泄露了它的野心:stack(堆栈)是软件工程师描述一套分层技术架构的词。把一个国家的基础设施叫做“堆栈”,意味着设计者从一开始就不是在造一个产品,而是在造一个操作系统——一个让其他人在上面盖楼的地基。
负责定义这套堆栈的非营利智库 iSPIRT 把它分成四层:无在场层(presence-less,即 Aadhaar 身份与认证)、无纸层(paperless,即电子 KYC、电子签名、数字文件柜 DigiLocker)、无现金层(cashless,即 UPI 等支付)、以及同意层(consent,即把个人数据的控制权交还本人的数据共享框架)4。前三层做的事是把“做一笔交易”的成本压到极低,第四层做的事,是重新分配“谁能使用你的数据”这个权力。
这套系统不是凭空冒出来的。它有一个清晰的起点:2009 年 1 月,印度政府成立了 UIDAI;同年 6 月,Infosys 的联合创始人南丹·尼勒卡尼(Nandan Nilekani)被时任总理曼莫汉·辛格请来出任首任主席,职级相当于内阁部长5。一个从私营软件巨头空降的工程师,带着一群志愿者,去给十亿人发身份——这个组合本身就不寻常,它也定义了这套基建后来的气质:技术官僚式的、产品思维的、把“扩展性”看得比“完备性”更重的。
而它最有意思的地方,恰恰在于它同时是一个巨大的成功故事和一个尚未结案的争议。
成功的一面:全球财务包容数据(Global Findex)显示,印度成年人的银行账户拥有率从 2011 年的约百分之三十五,涨到了 2025 年的约百分之八十九;其中百分之八十四的人是用 Aadhaar 作为身份证明开的户6。政府声称,通过把补贴直接打进账户、剔除冒领和中间环节,累计节省了约三点四八万亿卢比的财政资金7。
争议的一面:在贾坎德邦这样的地方,曾有十一岁的女孩因为家里的口粮卡没能和 Aadhaar 绑定、被系统注销,最终饿死8。批评者把同一套“打通数据”的能力,称为“三百六十度画像”的监控基础——同样的架构,在不同人眼里是普惠的地基,还是监控的地基9。
这本书想做的,是把这台国家机器拆开,一层一层看清楚。
它会回答几个问题:这套东西是怎么立项的,时代和政治背景是什么(第一、二章);身份层和支付层各自是怎么运作的,为什么能做到这个规模(第三、四章);它最终想达到什么目的——是普惠,是去现金,还是一本可审计的国家账本(第五章);它的边界在哪里,又是谁划下的(第六章);它让谁付出了代价(第七、八章);它对那些原本主宰着身份与支付的国际公司——谷歌、沃尔玛、Meta、Visa、万事达——意味着什么(第九章);以及,它最大的赌注其实压在哪儿——压在第四层,压在数据,压在人工智能时代印度能不能用这套公共基建喂养出自己的大模型(第十、十一章)。最后,它会回到一个更大的问题上:当印度把这套堆栈打包送给全球南方时,它在世界上到底想扮演什么角色(第十二章)。
贯穿全书的,是同一组追问:谁建了它,谁为它付钱,谁从中获益,谁承担风险。一套被反复称颂为“公共品”的基础设施,它的公共性到底落在了谁身上,又把代价转嫁给了谁。这些问题没有标准答案,但把结构排清楚之后,判断会自己浮现。
把两个 App 还原成一台国家机器——这是理解印度过去十五年最重要的一件事的起点。
UIDAI, Aadhaar Dashboard(截至 2026 年累计生成约 14.44 亿)及 UIDAI CEO 关于约 99.9% 成人登记率的表述。uidai.gov.in/aadhaar_dashboard;UIDAI 媒体资源(访问于 2026-06)。
NPCI, UPI Product Statistics;及印度新闻信息局(PIB)“UPI 十周年”通稿(FY2016-17 至 FY2025-26 笔数与金额增长曲线)。npci.org.in/product/upi/product-statistics;PIB PRID 2257087(访问于 2026-06)。
TechCrunch, “India’s RuPay-UPI payment push is cutting out Visa and Mastercard”(2025 年 1 月);UPI 单日交易超 Visa 全球日均的报道。techcrunch.com(访问于 2026-06)。
iSPIRT / ProductNation, India Stack 四层模型(presence-less / paperless / cashless / consent)。pn.ispirt.in(访问于 2026-06)。
UIDAI 成立时间与 Nilekani 任命,见 Cambridge Global Handbook of Financial Infrastructure 第 27 章 “India Stack”;Infosys 管理层简介。cambridge.org;infosys.com(访问于 2026-06)。
World Bank Global Findex(账户拥有率 2011 约 35%→2025 约 89%);CGAP、Brookings 相关分析(84% 用 Aadhaar 开户)。findevgateway.org;cgap.org(访问于 2026-06)。
印度新闻信息局(PIB),“India’s DBT: Boosting Welfare Efficiency”(累计节省约 3.48 万亿卢比,官方口径)。pib.gov.in PRID 2123192(访问于 2026-06)。
Scroll.in,贾坎德邦 Simdega 县 11 岁女孩因口粮卡未与 Aadhaar 绑定被注销后饿死的报道。scroll.in(访问于 2026-06)。
ACM Interactions, “MarginalizedAadhaar: India’s Aadhaar biometric ID and mass surveillance”;学者关于“360 度画像”的批评。interactions.acm.org(访问于 2026-06)。
要理解 Aadhaar 为什么会在 2009 年立项,得先理解它要解决的那个问题有多大。
在 21 世纪头十年的印度,没有一个全国统一的身份系统。一个印度人手里可能有选民卡、有 PAN 税号卡、有口粮卡、有驾照,但这些证件分属不同部门、互不通用,而且很大一部分人口什么都没有。世界银行后来的一份报告估算,在引入数字身份之前,在印度完成一次“身份信任”——也就是确认某人确实是他声称的那个人——的成本,高达每次十到二十美元;而 Aadhaar 把这个成本压到了约零点二七美元1。这个数字差,就是这道墙的高度。
身份的缺失直接转化为权利的缺失。印度有庞大的福利体系——补贴粮食的公共分配系统(PDS)、就业保障、养老金、燃气补贴——但这些福利的发放,长期被“幽灵受益人”和中间环节的层层抽水侵蚀。没有办法可靠地确认“领福利的人是不是本人、是不是还活着、是不是只领了一份”,财政的钱就在路上漏掉了一大半。对于一个想要兑现“普惠增长”承诺的政府来说,这是一个既是道德问题、又是财政问题的双重困境。
立项的直接思想来源,可以追溯到国家知识委员会(National Knowledge Commission)。这个在 2005 到 2009 年间运作的高层智囊机构,建议印度建立一套全国性的身份系统,作为提升治理效率的基础设施2。这个建议落地的方式,是 2009 年 1 月 28 日,印度政府正式成立印度唯一身份识别局(UIDAI),把“给每个居民一个唯一身份号码”作为它的使命3。
这里有一个容易被忽略的细节:UIDAI 一开始并不是作为一个发证机构来设计的,而是作为一个号码发放机构。它给每个人的,不是一张卡,而是一个十二位的数字——Aadhaar 号。这个区别至关重要。一张卡是一个实体,会丢、会被伪造、会过期;而一个号码加上一套可以在线验证的生物特征,是一种可以被远程、实时调用的服务。从立项的第一天起,设计者想的就不是“发一张证”,而是“建一个能被查询的身份数据库”。这个数据库被称为中央身份数据库(CIDR),存储着每个登记者的生物特征(指纹、虹膜)和人口学信息,登记包在客户端加密后传入,再用多重安全措施保护4。
首批 Aadhaar 号在 2010 年 9 月 29 日发放3。从那以后,登记的速度令人咋舌:在高峰期,系统每天新增超过一百万个登记5。
时代背景里,有几个条件缺一不可。
第一个条件是技术成本的临界点。Aadhaar 依赖大规模采集和比对生物特征——这在十年前是不可想象的工程量。但到了 2009 年前后,廉价的指纹和虹膜采集设备、足够便宜的存储和计算、以及可以下沉到村庄的登记网络,让“给十亿人采集生物特征”第一次从科幻变成了可执行的项目。后来支撑这一切的,是印度迅速普及的廉价智能手机和移动数据——没有手机在每个人口袋里,无在场、无纸、无现金的服务交付就无从谈起。
第二个条件是印度独特的人才结构。印度有一个全球罕见的、规模庞大的软件工程人才池,而且其中相当一部分人有在硅谷和跨国 IT 公司工作的经验。这个国家有能力组织起一支既懂大规模系统工程、又懂产品设计的队伍,去做一件政府部门通常做不好的事。把 Infosys 的联合创始人请来主持,本身就是对这个条件的利用——后面会专门讲这一点。
第三个条件是财政的紧迫感。印度的补贴体系每年要花掉财政支出中很大的一块,而其中相当一部分被漏损掉了。把这笔钱堵住,对任何一届政府都有巨大的吸引力。Aadhaar 的商业逻辑,从一开始就和“省钱”绑在一起——它要证明自己不是一笔开销,而是一项投资。事实上,它的开发成本低得惊人:据尼勒卡尼本人的说法,整套系统的开发花费略低于五亿美元,核心团队只有约五十名开发者5。用五亿美元撬动每年以百亿美元计的财政节省,这个杠杆率本身就是这套基建最有力的政治叙事。
但这里要小心。“省钱”的叙事,是这套系统最有力的政治资本,也是它最需要被审视的地方。
政府反复引用的数字是:通过把补贴直接打入账户、剔除冒领者和中间环节,累计节省了约三点四八万亿卢比,折合约三百九十亿到四百九十亿美元不等的口径6。咨询公司麦肯锡更进一步,估算 Aadhaar 及其上层的数字基础设施有可能解锁相当于印度 GDP 百分之三到百分之十三的经济价值7。
这些数字需要被放在引号里看。它们大多来自官方口径或咨询机构的估算,而非独立的实测。学界对这类“节省”数字有持续的质疑:所谓的“剔除幽灵受益人”,有多少是真的幽灵,有多少是因为认证失败而被错误地排除在外的真实的人?把“被系统拒绝”统统算成“省下的钱”,在道德和统计上都是有问题的。后面专门讨论排斥的章节会回到这个问题。这里只需要先记住:每一个“省下的钱”的数字背后,都站着一个无法回答的问题——这笔钱是省下来的,还是从某个本该领到它的人手里拿走的?
立项还有一个绕不开的政治维度:它诞生在一个特定的政府手里,又活过了政权更替。
2009 年成立 UIDAI 的,是以印度国大党为核心的团结进步联盟(UPA)政府,总理是曼莫汉·辛格8。这是一个中左翼的政府,它把 Aadhaar 包装成一项普惠工程——让穷人也能有身份、能进入金融体系、能拿到本该属于他们的福利。
2014 年,政治版图翻转。以纳伦德拉·莫迪为首的、偏右翼的印度人民党(BJP)赢得全国大选。在很多政策上,新政府和前任针锋相对,但在 Aadhaar 上,它选择了延续,甚至加速8。莫迪政府把 Aadhaar 接入了“JAM 三位一体”——银行账户(Jan Dhan)、Aadhaar、手机号——作为补贴直达的核心管道,并在 2016 年为它立了法。
这种跨党派的连续性,在印度高度极化的政治环境里相当罕见,而它恰恰是 Aadhaar 能够从一个“项目”长成一套“基建”的关键政治条件。一个只能活一届的项目,永远成不了基础设施;只有当对立的两个阵营都决定用它、都不舍得拆它的时候,它才真正变成了地基。一套基建的寿命,取决于它能不能跨过政权更替这道坎——Aadhaar 跨过去了,这是它和无数半途而废的政府信息化项目最大的区别。
不过,连续性不等于没有争议。事实上,正是莫迪政府在 2016 年为 Aadhaar 立法的方式,埋下了它后来最大的宪法争议。
2016 年 3 月,时任财长阿伦·贾特利把《Aadhaar 法案》作为一项“金钱法案”(Money Bill)提交议会9。这是一个技术性但极其重要的操作:根据印度宪法,金钱法案只需下院(人民院,执政党占多数)通过即可,可以绕过上院(联邦院,当时反对党占多数)的实质性否决。反对党指责执政党借此规避上院的审查;这个“是不是金钱法案”的程序问题,后来一路打到最高法院,并在 2018 年的判决里以多数对少数的方式被认定为合法——但有法官提出了强烈异议9。这条程序上的裂缝,会在讲司法边界的那一章里重新出现。
把这些条件叠在一起看,Aadhaar 的立项就不再是一个“印度搞了个身份证”的简单故事。它是技术成本临界点、人才结构、财政紧迫感、特定政治意志和跨党派延续这几个条件罕见地凑齐之后的产物。这些条件里少一个,这套基建可能都建不起来,或者建起来也活不长。理解了这一点,才能理解为什么这套东西会被反复称为“奇迹”——以及,为什么奇迹这个词,本身就值得警惕。
World Bank, Digital Dividends Report 相关估算(身份信任成本由每次约 10–20 美元降至约 0.27 美元);转引自 McKinsey 关于印度数字化的分析。mckinsey.com(访问于 2026-06)。
国家知识委员会(2005–2009)关于建立国民身份系统的建议,见 India Stack 起源叙述,Cambridge Global Handbook of Financial Infrastructure, Ch.27。cambridge.org(访问于 2026-06)。
UIDAI 成立于 2009 年 1 月 28 日,首批 Aadhaar 号于 2010 年 9 月 29 日发放,见 UIDAI 官方资料与维基百科 Aadhaar 条目所引一手来源。uidai.gov.in(访问于 2026-06)。
UIDAI, “Security in UIDAI system”,中央身份数据库(CIDR)架构与加密措施说明。uidai.gov.in(访问于 2026-06)。
MIT Technology Review, “The man who made India digital isn’t done yet”(2026 年 1 月,含开发成本约 5 亿美元、约 50 名开发者、高峰期日增逾百万登记等 Nilekani 口径数据)。technologyreview.com(访问于 2026-06)。
印度新闻信息局(PIB),DBT 累计节省约 3.48 万亿卢比(官方口径);MIT Technology Review 转述政府称节省约 392 亿美元。pib.gov.in PRID 2123192;technologyreview.com(访问于 2026-06)。
McKinsey 估算 Aadhaar 及数字基础设施可解锁相当于印度 GDP 3%–13% 的价值(估算,非实测);另见 NCAER “Impact of Aadhaar on GDP” 研究。mckinsey.com;ncaer.org(访问于 2026-06)。
Aadhaar 立项于 UPA(曼莫汉·辛格)政府,2014 年后由 BJP(莫迪)政府延续,见 India Stack 政治背景叙述,Cambridge Handbook Ch.27 及维基百科 India Stack 条目所引来源。cambridge.org(访问于 2026-06)。
《Aadhaar 法案》于 2016 年 3 月作为金钱法案(Money Bill)提交,相关程序争议,见 Bar & Bench 与 SFLC.in 分析。barandbench.com;sflc.in(访问于 2026-06)。
先说那位教父。
南丹·尼勒卡尼 1955 年生于班加罗尔,在印度理工学院(IIT)读电气工程,1981 年与他人共同创立了 Infosys——这家公司后来成为印度 IT 外包行业的旗舰,也把一代印度工程师送进了全球软件产业1。2008 年,他出版了一本叫《想象印度》(Imagining India)的书,与其说是回忆录,不如说是一份关于“如何用技术和制度重塑一个国家”的宣言1。
第二年,曼莫汉·辛格总理把他从私营部门请进了政府,让他出任新成立的 UIDAI 首任主席,职级相当于内阁部长2。尼勒卡尼为此在 2009 年离开了亲手创办的 Infosys。这是一次不寻常的跨界:一个国家把发放十亿人身份这件最具主权色彩的事,交给了一个企业家,而且给了他足够高的位阶去调动资源。
这个安排定义了整套基建的气质。尼勒卡尼带进政府的,不是官僚的思维,而是产品经理和系统架构师的思维。他后来对 MIT 科技评论描述这个项目的演化时说:“我们建了越来越多层能力,然后这就变成了一个更宏大的想法,更有野心了。”3 这句话泄露了方法论:不是先画好一张完整蓝图再施工,而是先搭一个最小可用的身份层,再在上面一层层加东西。先有身份,再有支付,再有数据——这正是 India Stack 后来分层堆栈的来历。
但仅有一个教父不够。真正把“身份”长成“堆栈”的,是一群没有政府编制的志愿者。
这群人的组织叫 iSPIRT——印度软件产品行业圆桌会,一个 2013 年前后成立的非营利智库,由志愿者驱动4。它的核心人物,很多就是当年在 UIDAI 工作过、后来转为志愿者的工程师。其中两个名字值得记住:普拉莫德·瓦尔马(Pramod Varma),Aadhaar 和 India Stack 的首席架构师;桑贾伊·贾因(Sanjay Jain),UIDAI 的首任首席产品经理5。
iSPIRT 做的事很特别。它不是承包商,不靠政府合同赚钱;它做的是定义标准、写开放 API 的规范、游说监管者、培训生态里的开发者——用一篇报道的话说,是“安静地为印度的数字革命供能”4。这种“志愿者写国家标准”的模式,在世界上几乎找不到第二个。它的好处是灵活、快、不被官僚程序拖累;它的代价,是一群没有经过选举授权、也不直接对公众负责的技术精英,事实上参与定义了影响十亿人的基础设施规则。这个张力——技术精英的效率,和民主问责的缺位——会贯穿整套基建的争议。
iSPIRT 自己的口号,是把 India Stack 描述成通往“无在场、无纸、无现金的服务交付”的工具6。后来又加上了第四个词:同意(consent)。这四个词,就是这套堆栈的四层。
承建这套基建的,还有几个关键机构,各管一摊。
UIDAI 管身份层,是 Aadhaar 的主管机构。NPCI——印度国家支付公司——管支付层,运营着 UPI、RuPay 卡组织、以及 Aadhaar 支付系统(AePS)。值得一提的是,NPCI 的成立其实早于这套基建的成型:它在 2008 年 12 月由印度储备银行(RBI,即央行)和印度银行业协会(IBA)发起设立,由十家核心发起银行支持,定位是一个搭建全国支付清算系统的“伞形机构”7。它是一个不以营利为目的的公司——这个产权安排后来深刻影响了 UPI“零手续费”的逻辑。
支付层之上的监管者是 RBI,它既监管支付,也负责后来数据层里账户聚合机构(Account Aggregator)的牌照发放。再往上,电子信息技术部(MeitY)统管“数字印度”(Digital India)这个总品牌,而政府智库 NITI Aayog 则负责更靠前的政策设计,比如数据层的框架文件8。
把这些机构摆在一起,会发现一个清晰的分工:政府机构提供合法性、监管和强制力,志愿者智库提供标准和敏捷,教父提供愿景和跨部门的协调能力。三者缺一不可。这也是为什么这套基建很难被简单复制——它依赖的不只是技术,还有一套特定的组织生态。
UPI 的诞生,是这套组织生态协作的最好例子。
2016 年 4 月 11 日,UPI 在孟买进行试点上线,由时任 RBI 行长拉古拉姆·拉詹(Raghuram Rajan)启动,首批有二十一家成员银行参与9。它的设计目标,是让任何两个银行账户之间可以即时转账,而不需要知道对方的账号——只需要一个虚拟支付地址。这件事的技术含量不在于“扫码付钱”这个表象,而在于它是一个开放的、所有银行和应用都能接入的互操作协议。
这里要点出 UPI 设计哲学里最关键的一点:它是协议,不是平台。Visa 是一个平台,所有交易都要走它的网络、交它的费;而 UPI 是一套谁都能接入的公共协议,NPCI 作为非营利机构运营它,不靠它牟利。这个区别,是后面理解“为什么外企既能在 UPI 上拿到巨大份额、又被它边缘化”的钥匙——它们是在一条别人铺的公共轨道上跑车,而不是自己拥有铁路。
最后回到那个跨党派的默契。
尼勒卡尼本人是国大党背景——他甚至在 2014 年以国大党候选人身份竞选过议员席位并落败2。按常理,一个有明确党派色彩的人主持的项目,在政权更替后很容易被新政府当成“前朝遗产”清算掉。但 Aadhaar 没有。莫迪政府不仅保留了它,还把它接进了自己的旗舰福利改革,并在 2017 年请尼勒卡尼回到 Infosys 担任非执行董事长去救一场公司治理危机——这是另一段故事,但也侧面说明,这个人和他代表的那套技术官僚能力,被两个阵营共同认可10。
为什么对立的两党都不舍得拆它?因为它对双方都有用,只是用法不同。对中左翼的 UPA,它是普惠叙事——让穷人有身份、进金融。对偏右翼的 BJP,它是效率叙事——堵住补贴漏损、强化国家对资源分配的掌控,外加一层“自立印度”的技术民族主义光环。同一套基建,被装进了两套不同的政治话语,于是它活了下来。
这是理解整套基建的一把钥匙:它之所以能成为基建而非项目,不是因为它技术上无懈可击,而是因为它在政治上具备一种罕见的延展性——它能同时服务于普惠和控制这两个看似矛盾的目标,因而被光谱两端同时需要。这种延展性是它最大的政治资产,也是它最深的争议之源。一套既能用来普惠、也能用来控制的工具,它最终往哪个方向走,取决于使用它的人,而不取决于工具本身。后面几章,就是在追问:它正在往哪个方向走。
Nandan Nilekani 生平、Infosys 联合创始人身份、《Imagining India》(2008)出版信息,见 MIT Technology Review 人物报道及维基百科 Nandan Nilekani 条目所引来源。technologyreview.com(访问于 2026-06)。
Nilekani 2009 年出任 UIDAI 首任主席(内阁部长级)、2009 年离开 Infosys、2014 年以国大党身份竞选议员,见 Cambridge Handbook Ch.27 及 Infosys 官方简介。cambridge.org;infosys.com(访问于 2026-06)。
Nilekani 关于“建越来越多层能力……变得更宏大”的自述,引自 MIT Technology Review(2026 年 1 月)。technologyreview.com(访问于 2026-06)。
ThePrint, “‘All about helping Rajni’ — tech gurus at iSPIRT quietly power India’s digital revolution”(iSPIRT 性质、志愿者模式)。theprint.in(访问于 2026-06)。
Pramod Varma(Aadhaar 与 India Stack 首席架构师)、Sanjay Jain(UIDAI 首任首席产品经理)背景,见 ThePrint 报道及维基百科 India Stack 条目所引来源。theprint.in(访问于 2026-06)。
iSPIRT / ProductNation,India Stack 四层(presence-less / paperless / cashless / consent)框架与口号。pn.ispirt.in(访问于 2026-06)。
NPCI 于 2008 年 12 月由 RBI 与印度银行业协会(IBA)发起设立,十家核心发起银行,非营利伞形机构,见 NPCI 官方资料与维基百科 NPCI 条目所引来源。npci.org.in(访问于 2026-06)。
NITI Aayog, “Data Empowerment and Protection Architecture: A Secure Consent-Based Data Sharing Framework”(政策框架文件);MeitY 统管 Digital India。niti.gov.in(访问于 2026-06)。
UPI 于 2016 年 4 月 11 日在孟买试点,由 RBI 行长 Raghuram Rajan 启动,首批 21 家成员银行,见维基百科 Unified Payments Interface 条目所引来源及 Britannica。britannica.com(访问于 2026-06)。
Nilekani 于 2017 年 8 月 24 日重返 Infosys 出任非执行董事长,见 Infosys 官方管理层简介。infosys.com(访问于 2026-06)。
先看这个信任根有多大。
截至 2026 年,Aadhaar 累计生成了约十四亿四千万个号码,覆盖了几乎全部印度成年人口1。支撑这个规模的,是一张铺到村庄的物理网络:约二十三万九千个登记站、约二十四万二千名认证操作员、九百多家登记机构、三百多家注册商1。这套网络在高峰期每天能新增超过一百万个登记,把一个十亿人级的国家在几年内基本登记完毕2。
但 Aadhaar 真正的产品不是那个号码,而是认证这个动作。India Stack 官网披露的累计数字很说明问题:超过六百三十六亿次电子认证(e-authentication)、超过一百零四亿次电子 KYC(eKYC)3。每一次认证,都是某个银行、某个电信商、某个政府窗口在问系统:“这个出示 Aadhaar 号的人,真的是号码主人吗?”系统在几秒内回答是或否。这个“问—答”的动作被调用了六百多亿次,才是 Aadhaar 作为基础设施的本体。
理解它最好的方式,是算一笔成本账。
在 Aadhaar 之前,确认一个印度人的身份要花多少钱?世界银行的估算是每次约十到二十美元——需要纸质证件、需要人工核验、需要在不同系统之间反复折腾4。对一家想给穷人开户的银行来说,这个成本高到让“服务穷人”在商业上不成立:一个只会存几百卢比的账户,光是开户的合规成本就把利润吃光了。身份的昂贵,直接造成了金融的排斥。
Aadhaar 把这个数字压到了约零点二七美元4。当确认身份的成本下降两个数量级,原本在商业上不成立的事突然成立了:给穷人开户变得有利可图,于是几亿个此前被排斥的人涌入了金融体系。这就是为什么印度的银行账户拥有率能在十几年里从约百分之三十五涨到约百分之八十九,而其中百分之八十四的人是用 Aadhaar 作身份证明开的户5。身份层不是孤立的,它是后面所有普惠故事的前提——把信任的成本砍掉,才有了支付层和补贴直达的可能。
这就是尼勒卡尼反复讲的那个逻辑的硬核:Aadhaar 不是一笔花在身份证上的开销,而是一项能撬动整个金融体系扩张的基础设施投资。它的杠杆,来自把一件高频、必要、昂贵的事变得几乎免费。
技术上,Aadhaar 把身份拆成了三个可以分别调用的能力。
第一个是 presence-less,无在场——你不需要本人到场。系统存有你的生物特征(指纹、虹膜)和人口学信息,远程比对就能确认身份。第二个是 paperless,无纸——基于身份的电子 KYC、电子签名(eSign)、以及数字文件柜 DigiLocker,让一个人可以完全不靠纸质文件就完成开户、签约、出示证件6。第三个,是把这两者都封装成开放 API,让任何被授权的机构都能调用。
所有这些能力,最终都汇聚到一个地方:中央身份数据库(CIDR)。这是一个集中存储所有登记者生物和人口信息的核心数据库,用 256 位加密、防火墙、严格的访问控制保护;登记包在客户端就被加密,传到 CIDR 后只有特定的服务器能解密7。
这里出现了这套基建最深的一个内在张力,值得停下来看清楚。设计哲学上,India Stack 强调开放、分层、避免任何单一主体垄断;但在物理实现上,整个十四亿人的身份信任,最终锚定在一个集中的数据库上。开放的接口,集中的核心。这个结构在效率上是优越的——一个查询点,全国通用;但在风险上,它把所有的鸡蛋放进了一个篮子,而这个篮子的钥匙握在国家手里。这个张力不是 bug,它是这套设计的固有属性,后面讲隐私和监控的章节会反复回到它。
集中的核心,意味着集中的脆弱性。
2018 年,有调查记者发现,一个匿名团伙在 WhatsApp 群里以小额费用出售 UIDAI 门户的“代理”访问权限——花一点钱,就能拿到一个能查询任意 Aadhaar 号关联个人信息的账号8。UIDAI 最初的反应是防御性的:否认发生了数据泄露,把它定性为“对申诉查询设施的滥用”,并对揭露此事的记者报了警8。
更大的一次曝光发生在 2023 年。据 MIT 科技评论的报道,一次事件中,超过八亿印度人的记录出现在了暗网上9。
需要对这些事件做精确的区分,避免夸大。这些泄露的,多是关联在 Aadhaar 号上的人口学信息(姓名、地址、电话等),而非最核心的生物特征模板——后者据称仍被加密保护在 CIDR 里。但即便如此,人口学信息的泄露已经足以支撑身份盗用、钓鱼诈骗和其他欺诈9。
官方的反驳一直是同一句话。前 UIDAI 局长 RS 夏尔马公开说:“我没有任何一个例子能说明,某人的 Aadhaar 信息被披露,会伤害到这个人。”10 这句话在逻辑上很难证伪——很难追踪某次具体的诈骗究竟是不是源于某次特定的泄露。但它也回避了问题的实质:当十四亿人的身份信息集中在一处,泄露的可能性本身就是一种系统性风险,而不是一个可以靠“举不出具体受害者”就打发掉的问题。这种“举证责任倒置”——要求批评者举出具体受害者,否则就当作没有风险——本身就是集中化系统在治理上的一个盲点。
身份层还植入了另一个更隐蔽的风险:当一个号码成了进入一切的钥匙,那么这把钥匙失灵,就等于一切的门都关上了。
Aadhaar 设计上是要做“信任的地基”,但地基的另一面是依赖。一旦银行、补贴、电话卡、社保都要求 Aadhaar 认证,那么任何一次认证失败——指纹磨损了、虹膜识别不出来、网络断了、数据库里的信息和现实对不上——都会把一个真实的人挡在他应得的服务之外。
有一个数字很能说明这个依赖有多深,又有多脆弱。据引用过的预算文件,在贾坎德邦这样的地方,生物识别认证的失败率一度高达约百分之四十九11。也就是说,差不多每两次认证里就有一次失败。对一个体力劳动者来说,常年的体力劳动会磨平指纹;对一个老人来说,虹膜会因为白内障识别困难。这些不是边缘的意外,而是系统性地落在最脆弱人群身上的失败。
这就是为什么同一个身份层,可以同时是普惠的引擎和排斥的机器。它把几亿人拉进了金融体系,也把另一些人——往往是最穷、最老、最边缘的那些——更彻底地关在了门外,而且关得比纸质时代更严,因为现在“系统说你不是你”,比一个窗口办事员说“我不认识你”更难申诉。专门讲排斥的那一章,会把这个机制讲透。这里只需要先记住:信任根的强大和它的残酷,是同一件事的两面。把信任压缩成一次生物识别查询,效率极高,但也意味着,当查询失败时,一个人会在系统眼里凭空消失。
UIDAI Aadhaar Dashboard(累计生成约 14.44 亿;登记站约 23.9 万、操作员约 24.2 万、登记机构 965 家、注册商 302 家)。uidai.gov.in/aadhaar_dashboard(访问于 2026-06)。
高峰期每日新增逾百万登记,见 MIT Technology Review(2026 年 1 月)。technologyreview.com(访问于 2026-06)。
India Stack 官网披露累计逾 636 亿次电子认证、逾 104 亿次 eKYC。indiastack.org(访问于 2026-06)。
World Bank Digital Dividends 估算身份信任成本由每次约 10–20 美元降至约 0.27 美元,转引自 McKinsey 分析。mckinsey.com(访问于 2026-06)。
World Bank Global Findex(账户拥有率 2011 约 35%→2025 约 89%,84% 用 Aadhaar 开户),及 CGAP 分析。findevgateway.org;cgap.org(访问于 2026-06)。
India Stack 四层之无在场层与无纸层(eKYC / eSign / DigiLocker),见 iSPIRT / ProductNation 说明。pn.ispirt.in(访问于 2026-06)。
UIDAI, “Security in UIDAI system”,CIDR 架构、256 位加密、客户端加密登记包等。uidai.gov.in(访问于 2026-06)。
2018 年 UIDAI 门户“代理”访问出售事件及 UIDAI 的“搜索设施滥用”定性、对记者报警,见相关报道与维基百科 Aadhaar 条目所引来源。outlookindia.com(访问于 2026-06)。
2023 年逾 8 亿印度人记录出现于暗网,见 MIT Technology Review(2026 年 1 月)。technologyreview.com(访问于 2026-06)。
前 UIDAI 局长 RS Sharma 关于“没有任何例子说明 Aadhaar 披露伤害了某人”的表述,引自 MIT Technology Review(2026 年 1 月)。technologyreview.com(访问于 2026-06)。
贾坎德邦生物识别认证失败率一度约 49%(引自预算文件),见 Business Standard 相关报道。business-standard.com(访问于 2026-06)。
先看规模,因为 UPI 的规模已经到了重新定义全球支付格局的程度。
2026 年 1 月,UPI 单月处理了约二百一十七亿笔交易,金额约二十八点三万亿卢比1。把时间轴拉满:2016—17 财年,UPI 一整年只处理了约两千万笔;到 2025—26 财年,这个数字增长到约两千四百亿笔。同期年交易金额从约七百亿卢比,增长到约三百一十四万亿卢比2。这不是线性增长,是指数级的爆发。
更有标志性的,是它和全球支付巨头的对比。2025 年 6 月初,UPI 单日交易量一度突破六亿五千万笔,超过了 Visa 全球日均约六亿四千万笔、万事达约四亿五千万笔的处理量3。一个只在一个国家运行的支付系统,单日交易量超过了在全球两百多个国家运营的卡组织——这在十年前是不可想象的。而且增速悬殊:UPI 的年增长率约百分之四十,Visa 只有约百分之十3。
理解 UPI,关键是理解它“是协议,不是平台”。
传统的卡支付是平台逻辑。Visa、万事达拥有一张全球网络,每一笔走这张网络的交易,商户都要交一笔手续费(MDR,商户折扣率),这笔费用在发卡行、收单行、卡组织之间分配。这是一个封闭的、有产权的系统,谁要用就得交过路费。
UPI 是协议逻辑。它由非营利的 NPCI 运营,定义的是一套所有银行和应用都能接入的标准——任何一家银行可以让自己的账户支持 UPI,任何一个开发者可以做一个 UPI 应用,他们之间通过统一的协议互联互通4。一个用谷歌支付(Google Pay)的人,可以无缝地给一个用 PhonePe 的人转账,因为他们跑在同一条轨道上。这种互操作性是强制的、设计进去的,而不是企业之间谈出来的。
这个区别有深远的后果。在平台逻辑下,支付的价值最终归于拥有平台的那家公司;在协议逻辑下,支付变成了像打电话、寄信一样的公共服务,价值分散到整个生态里。NPCI 不靠 UPI 牟利,它只是维护这条公共轨道的运转。这正是为什么印度政府敢于、也愿意推动 UPI“对商户免费”——因为它从一开始就不是一门要赚商户钱的生意。
但“免费”从来不是真的免费,只是有人替你付了钱。
从 2020 年 1 月起,印度对 BHIM-UPI 和 RuPay 借记卡交易实行零 MDR——商户收款不付任何手续费5。这对普及功不可没:一个卖菜的小贩之所以愿意贴上二维码,正因为收款不被抽成。但支付系统本身是有成本的——服务器、网络安全、反欺诈、争议处理、合规、客服,每一样都要花钱,而且成本随交易量上升而上升。
那么这些钱谁出?答案是财政和银行。政府用补贴来填补一部分窟窿:2023—24 财年,印度政府花了约三百六十三亿卢比来“激励”低值 BHIM-UPI 和 RuPay 借记卡交易6;2024—25 财年又批了约一百五十亿卢比的激励方案7。但根据印度金融服务部向议会委员会提供的数据,这些激励只覆盖了行业实际成本的约百分之十一8。剩下的部分,主要由银行自己扛——它们承担着每笔交易的技术服务成本和运营成本,却被监管禁止把这些费用转嫁给消费者或小商户8。
这就构成了 UPI 模式最深的结构性张力。一个每月处理两百多亿笔交易的系统,不能只靠每年不确定的财政拨款维持;而一个无法向使用者收费的系统,又找不到自己的收入模型。议会委员会的建议是一个折中:保护个人用户和小商户继续免费,但对大型商业实体——连锁零售、电商平台、高交易量的机构用户——开始收取 MDR9。这意味着 UPI“完全免费”的黄金时代可能正在走向尾声,而这场关于“免费支付到底该谁买单”的辩论,本质上是在问:一条公共轨道的维护费,该由全民财政承担,还是由轨道上跑得最多的那些重型卡车承担?
UPI 的爆发,还重塑了支付层内部的权力结构,而这里出现了一个意味深长的反讽。
按理说,一条由国家铺设的公共轨道,应该让本土的、众多的小玩家百花齐放。但实际上,UPI 上的流量高度集中在两家应用手里:PhonePe(沃尔玛控股)约占百分之四十五,谷歌支付约占百分之三十五,两家加起来拿走了百分之八十10。一条印度国家铺的公共轨道,最大的两个受益者是美国的沃尔玛和谷歌——这是理解外企影响那一章的伏笔。
监管者意识到了这种集中的风险,提出要给单一应用设一个百分之三十的交易量上限,但因为执行难度,这个上限的生效时间从 2024 年底一再推迟到了 2026 年底10。这个上限定不定得下来、执行不执行得了,是观察“国家对自己铺的轨道到底有多少控制力”的一个关键窗口。
把视野放回到那块印着二维码的硬纸板上。
UPI 做成的,是一件在大多数发展中国家都没能做成的事:让一个深度依赖现金的、有十四亿人的经济体,在不到十年里大规模转向数字支付,而且这个转向是普惠的——它没有把穷人排除在外,反而因为零手续费和极低的使用门槛,把街边小贩、菜农、人力车夫都拉了进来。这是它和“高大上但只服务城市中产”的那些金融科技最大的不同。
但这条开放轨也带着它的未解之题。它的免费建立在一个还没找到出路的财政补贴上;它的开放最终长出了高度集中的市场结构;它的成功让外国巨头成了最大的食利者,也让国家面临“要不要、能不能动手干预”的两难。这些问题没有一个是技术问题——它们都是关于“一条公共基础设施的成本和收益,最终该如何在国家、银行、平台、用户之间分配”的政治经济问题。一条让现金退场的轨道铺好了,但谁来为这条轨道的长期运转买单、谁有资格在上面收租,这些账还远远没有算清。支付层把现金赶下了场,却把一个更难的分配问题请上了台。
NPCI UPI Product Statistics 及 PIB 通稿,2026 年 1 月单月约 217 亿笔、约 28.33 万亿卢比。npci.org.in(访问于 2026-06)。
PIB,“UPI 十周年”通稿,FY2016-17 至 FY2025-26 笔数(约 2000 万→约 2400 亿)与金额(约 700 亿→约 314 万亿卢比)增长。pib.gov.in PRID 2257087(访问于 2026-06)。
2025 年 6 月 UPI 单日逾 6.5 亿笔超 Visa 全球日均约 6.4 亿、Mastercard 约 4.5 亿;UPI 年增约 40% vs Visa 约 10%,见 TechCrunch 及相关报道。techcrunch.com(访问于 2026-06)。
UPI 由非营利的 NPCI 运营、互操作开放协议设计,见 NPCI 资料与 Britannica。britannica.com(访问于 2026-06)。
自 2020 年 1 月起 BHIM-UPI 与 RuPay 借记卡交易实行零 MDR,见 PIB 及 Policy Circle 分析。policycircle.org(访问于 2026-06)。
2023–24 财年政府约 363 亿卢比激励低值 BHIM-UPI 与 RuPay 借记卡交易,见 PIB 与 Policy Circle。policycircle.org(访问于 2026-06)。
PIB,2024–25 财年约 150 亿卢比低值 BHIM-UPI(P2M)激励方案。pib.gov.in PRID 2112771(访问于 2026-06)。
金融服务部数据:激励仅覆盖行业成本约 11%;银行承担交易服务与运营成本却被禁止向用户/小商户转嫁,见 Policy Circle。policycircle.org(访问于 2026-06)。
议会委员会建议对大型商业实体收取 MDR、保护个人与小商户,见 Policy Circle 及 Medianama 报道。policycircle.org(访问于 2026-06)。
PhonePe(沃尔玛)约 45%、Google Pay 约 35% 市场份额;30% 单一应用上限延至 2026 年底,见 Business Standard。business-standard.com(访问于 2026-06)。
最核心、也最常被引用的目的,是补贴直达——DBT(Direct Benefit Transfer)。
印度有一个庞大的福利体系,但它长期被两个问题困扰:一是“幽灵受益人”,即冒领、重复领、已故者仍在册;二是中间环节层层抽水,钱从中央财政出发,到真正的受益人手里时已经被吃掉一大块。DBT 的思路,是把福利的钱绕过所有中间环节,直接打进受益人的银行账户,而账户的真实性由 Aadhaar 来保证。
这套机制的技术底座,被称为“JAM 三位一体”——Jan Dhan(普惠银行账户)、Aadhaar(身份)、Mobile(手机)1。三者缺一不可:要有账户来收钱,要有身份来确认收钱的人是本人,要有手机来通知和验证。这三样东西,恰好对应了前面讲的支付层、身份层和它们所依赖的移动基础设施。DBT 是这套基建第一个真正大规模兑现的“应用”。
政府公布的成绩单很亮眼。
按官方口径,DBT 累计帮政府节省了约三点四八万亿卢比,主要来自剔除重复和虚假受益人、消除中间环节、提高实物补贴的发放效率2。补贴占财政总支出的比例据称从约百分之十六降到了约百分之九,而受益人覆盖据称从约一点一亿扩大到了以十亿计的规模2。在公共分配系统(PDS,即补贴粮食)这一块,官方称节省了约一点八五万亿卢比,占 DBT 总节省的一半以上,主要归功于 Aadhaar 关联的口粮卡认证2。世界银行等国际机构也对 DBT 触达民众的规模给予过肯定3。
但这些数字需要被谨慎对待,这一点必须讲清楚。
这些“节省”绝大多数是官方或与官方关系密切的机构的口径,而非独立的、可复核的实测。其中最大的统计陷阱在于:所谓“剔除幽灵受益人”省下来的钱,里面有多少是真的幽灵,有多少是因为认证失败、信息不匹配而被错误地从名单上划掉的真实的人?把“系统拒绝的人”统统记成“省下的钱”,在统计上是站不住的,在道德上更是危险的——它把一部分排斥的代价,伪装成了效率的成果。学界对这类节省数字一直有持续的质疑。所以更准确的说法是:DBT 确实堵住了一部分真实的漏损,但“节省 X 万亿”这个数字里,混入了一部分本不该被算作节省的、被错误排除的真实需求。这本国家账本的“盈余”,有一部分是用别人的损失记出来的。
第二个目的,是金融普惠——把被遗忘的人拉进金融体系。
这里的成绩相对扎实,因为它有独立的国际数据支撑。世界银行的全球财务包容数据(Global Findex)显示,印度成年人的银行账户拥有率从 2011 年的约百分之三十五,涨到了 2025 年的约百分之八十九4。2011 到 2017 年间,这个比例就从百分之三十五翻倍到了百分之八十,主要驱动力是政府的 Jan Dhan 普惠账户计划5。更值得注意的是分布:传统上被排斥的群体也分享了增长——女性的账户拥有率提高了约百分之三十,最穷的家庭提高了约百分之四十5。而其中百分之八十四的人,是用 Aadhaar 作为身份证明开的户4。
这是这套基建最经得起检验的成就。它不是把蛋糕做大给已经富的人,而是把几亿原本在金融体系之外的人——尤其是女性和穷人——第一次接进了正规金融。一个有账户的人,才能收到直达补贴、才能存钱、才能逐步获得信贷。普惠不是终点,而是其他一切的起点。
不过也要诚实地指出一个细节:账户的“拥有”和账户的“活跃使用”是两回事。在普惠的高歌猛进中,一部分新开的账户长期处于零余额或不活跃状态——开户是一回事,让账户真正成为一个人经济生活的一部分是另一回事。2017 到 2021 年间,账户拥有率甚至一度微降4。普惠的深度,比普惠的广度更难达成。
值得再补一笔的,是 DBT 触达的“广”和它机制的“巧”。按官方口径,DBT 的受益人覆盖从约一点一亿扩大到了以十亿计的规模,覆盖的方案数以千计——从燃气补贴、化肥补贴,到奖学金、养老金、就业保障工资6。其中燃气补贴(PAHAL 计划)是最早、也最常被引为成功范例的一个:把补贴直接打进账户、再按市价买气,既切断了倒卖黑市气的套利空间,也让“自愿放弃补贴”成为可能——一批中产用户在号召下主动退出了补贴,这在补贴靠实物或票证发放的时代是无法想象的。这类机制创新说明,DBT 不只是把发钱的方式数字化,它还改变了补贴这件事本身的政治经济学——补贴第一次变得可计量、可追溯、可调整。
但“广”的另一面是“匀”的缺失。直达账户的前提,是受益人有一个能正常使用的账户、账户和 Aadhaar 正确链接、且链接信息没有错漏。在这条链路的每一个环节,都可能掉队——账户休眠、链接错误、姓名拼写不一致,都会让“钱打过去了”变成“钱没到手”。一笔被系统记为“已发放”的补贴,未必等于一笔被受益人“已收到”的补贴。这个“发放”与“收到”之间的缝隙有多大,同样是公开数据难以精确回答的。
第三个目的,是去现金化,以及它背后更深的东西——经济的可见性。
UPI 的爆发让印度的日常交易大规模脱离现金。现金的问题,从国家治理的角度看,是它不可追踪:现金交易不留痕迹,难以征税,也是地下经济、逃税、黑钱的温床。当交易转移到 UPI 这条数字轨道上,每一笔都留下了可追溯的记录。这对国家有巨大的吸引力:它意味着税基的扩大、地下经济的收缩、以及对经济活动前所未有的可见度。
这套可见性还有一个常被忽略的制度搭档:商品与服务税(GST)的全国统一电子化征管系统。GST 在 2017 年取代了印度此前支离破碎的邦级间接税,把全国的商业交易纳入了一个统一的、电子化的申报与抵扣链条。当 UPI 把消费端的现金交易数字化,GST 把商业端的交易数字化,两者合起来,国家对经济活动的可见度就从“个人”延伸到了“企业”。一个曾经以现金、以非正式部门为主、以逃税为常态的经济体,正在被一层层地拉进可追踪、可征税的数字账本里。
把这三个目的——补贴直达、金融普惠、去现金化——叠在一起,会浮现出那个更大的东西:一本国家账本。Aadhaar 让国家知道“每个人是谁”,UPI 和 DBT 让国家知道“钱怎么在他们之间流动”,账户让国家知道“钱停在哪里”,GST 让国家知道“商业如何运转”。这几样合起来,是一套覆盖十四亿人、可以实时查询的国家级经济可见度系统。这本账本的完整程度,在人类历史上是没有先例的——没有哪个十亿人级别的国家,曾经如此清晰地“看见”过自己每一个公民的经济生活。
而这正是“最终目的”这个问题真正的难处所在:同一套能力,从两个方向看,是两个完全不同的故事。
从普惠的方向看:一个穷人有了身份、有了账户、能直接收到本该属于他的补贴、能用手机付钱买东西——这是赋权,是把被排斥者接入现代经济的善政。从可见性的方向看:国家第一次能够实时地知道每个公民是谁、有多少钱、钱花在哪、领了什么补贴——这是一种集中的、前所未有的对个体经济生活的掌握能力。
这两个故事不是互相矛盾的,它们是同一套基础设施在不同光线下的两张面孔。一个想做善事的国家,会用它来普惠;一个想加强控制的国家,会用它来监视;而大多数时候,一个真实的国家会同时做这两件事,因为这两件事用的是同一套工具、走的是同一条管道。区分它们的,不是技术,而是制度的约束——有没有独立的司法去画边界,有没有数据保护法去限制用途,有没有问责机制去阻止滥用。
所以“最终目的”的答案,与其说是某个固定的终点,不如说是一个开放的赌注:这本国家账本最终会被用来做什么,取决于谁在使用它、以及有什么东西在约束他们。下一章要讲的,正是印度社会试图给这本账本画边界的那场斗争——它打到了最高法院。
JAM 三位一体(Jan Dhan + Aadhaar + Mobile)作为 DBT 技术底座,见印度政府 DBT 资料与 IMPRI 分析。digitalindia.gov.in(访问于 2026-06)。
印度新闻信息局(PIB),“India’s DBT: Boosting Welfare Efficiency”:累计节省约 3.48 万亿卢比、补贴占比由约 16% 降至约 9%、PDS 节省约 1.85 万亿卢比(均为官方口径)。pib.gov.in PRID 2123192(访问于 2026-06)。
世界银行对 DBT 触达规模的肯定,见 Global Alliance against Hunger and Poverty 的 India DBT 案例与 PIB 引述。globalallianceagainsthungerandpoverty.org(访问于 2026-06)。
World Bank Global Findex(账户拥有率 2011 约 35%→2025 约 89%,84% 用 Aadhaar 开户,2017–21 一度微降)。findevgateway.org(访问于 2026-06)。
2011–17 账户拥有率由 35% 翻倍至 80%(PMJDY 驱动);女性 +30%、最穷家庭 +40%,见 CGAP 与 Brookings 分析。cgap.org;brookings.edu(访问于 2026-06)。
DBT 受益人覆盖由约 1.1 亿扩大到以十亿计、覆盖数以千计方案(含燃气补贴 PAHAL 等),见印度政府 DBT 资料与 IMPRI、Wikipedia Direct Benefit Transfer 条目所引来源。digitalindia.gov.in(访问于 2026-06)。
故事的引线,是一个看似程序性、实则根本性的问题:印度人到底有没有“隐私权”这项基本权利?
这个问题之所以会被提出,是因为 Aadhaar 在扩张过程中,越来越多的服务开始强制要求 Aadhaar——开银行账户要、办手机卡要、领补贴要、报税要。批评者认为,这种把一个人的方方面面都和一个中央号码绑定的做法,侵犯了个人隐私。但政府的一个反驳让所有人愣住了:印度宪法里,从来没有明文写过“隐私权”是一项基本权利。
于是问题被推到了最高法院。2017 年 8 月,一个由九位大法官组成的宪法法庭就此作出了一致裁决:隐私权是印度宪法保障的基本权利的一部分,可以追溯到宪法第 14、19、21 条1。法庭明确表示,隐私是人格尊严的内在属性,它保障一个人自主作出个人选择、掌控自己生活重要方面的自由2。
这份判决的意义远超 Aadhaar 本身。它第一次在印度宪法层面确立了隐私是基本权利——而这恰恰是被 Aadhaar 的扩张逼出来的。一套基建在扩张中,意外地催生了一项约束它自己的宪法权利。这是这个故事里最深的反讽之一:正是因为有了一个足够大、足够具有侵入性的系统,社会才被迫去定义“什么是不能被侵犯的”。
确立了隐私是基本权利,还只是搭好了审判的舞台。真正的判决在一年之后。
2018 年 9 月 26 日,最高法院就 Aadhaar 本身的合宪性作出判决。这是一份复杂的、四比一的多数判决——它既没有全盘肯定,也没有全盘否定,而是做了一件更微妙的事:在确认 Aadhaar 总体合宪的同时,逐条审查了它的具体应用,砍掉了其中违宪的部分3。
法院给出了一个判断国家行为是否侵犯隐私的“三重检验”:合法性(legality,必须有法律依据)、必要性(need,必须服务于正当的国家目标)、相称性(proportionality,手段与目的必须相称,不能用大炮打蚊子)4。这个三重检验,成了此后衡量一切涉及隐私的国家行为的标尺。
用这把尺子去量,法院砍掉了 Aadhaar 几只伸得过长的手。最关键的是:强制把 Aadhaar 与银行账户、与手机卡绑定,被判违宪——因为这种强制绑定通不过相称性检验,而且缺乏立法授权5。法院还限制了私营公司利用 Aadhaar 认证的权限。换句话说,法院承认国家可以用 Aadhaar 来发福利(这是它的正当目的),但不能把它变成一把万能钥匙、强迫公民在生活的每个角落都出示它。
这条线划得很有讲究,值得停下来体会它的逻辑。
法院没有否定这套基建的核心目的——把补贴直达给穷人,确认受益人身份,这些被认为是正当的、相称的国家目标,所以 Aadhaar 用于福利发放是合宪的。法院否定的,是这套基建的蔓延——当一个为发福利设计的系统,开始要求你用它来办手机卡、开账户、用各种私营服务时,它就从一个有限目的的工具,变成了一个无所不在的追踪网络,而这个蔓延通不过相称性检验。
这个区分抓住了问题的要害:危险不在于身份系统本身,而在于它的“功能蔓延”(function creep)——一个为 A 目的建立的系统,被不断地用于 B、C、D 目的,每一步看起来都合理,但累加起来,就变成了一张能把一个人所有数据串联起来的网。法院做的,是用相称性原则给这种蔓延踩了刹车:你可以为穷人发福利而用它,但你不能为了“方便”就把它绑定到一切。
但这条线也有它的裂缝,而且裂缝就在判决本身。
还记得前面讲过的吗——《Aadhaar 法案》当年是作为“金钱法案”通过的,以此绕过反对党占多数的上院6。在 2018 年的判决里,多数意见认定它确实属于金钱法案,因而这个程序是合法的。但有一位大法官——钱德拉楚德(Chandrachud)——提出了强烈的异议,认为它根本不是金钱法案,把它当金钱法案通过是“对宪法的欺诈”,因为这架空了上院的立法审查权6。
这个异议很重要,因为它指向了一个比 Aadhaar 更大的问题:当一个政府可以通过把任何法案贴上“金钱法案”的标签来绕过上院,议会的两院制制衡就被掏空了。这条裂缝后来一直没有被真正弥合,“是不是金钱法案”的宪法问题,在之后的诉讼里被反复重新打开6。这提醒我们,法院画的那条线,本身也是在一个有瑕疵的立法程序之上画的——边界划定了,但划定边界的那支笔,握得并不完全干净。
判决之后,还有一个常被忽略的后续:法律的配套是怎么跟上的。
2018 年的判决留下了一个明确的任务——印度需要一部专门的数据保护法,来落实那项刚被确立的隐私基本权利。这部法的难产本身就是一个值得观察的过程:它经历了多版草案、反复的争论、撤回又重提,直到 2023 年才以《数字个人数据保护法》(DPDP Act)的形式通过。一部姗姗来迟的数据保护法,意味着在判决和立法之间那几年里,隐私权在很大程度上停留在原则层面,缺乏具体的执行工具。而这部法最终的形态——它给国家机关留了多大的豁免空间、它的执行机构有多独立、它对违规的惩罚有多大牙齿——直接决定了法院画的那条线,在现实中是有约束力的边界,还是仅供宣示的纸面承诺。这部分内容会在讲隐私与监控的那一章里展开,这里只需要点出一个结构性的事实:司法划界和立法落地之间,存在着一个漫长的、充满博弈的时间差,而这个时间差里,基建一直在继续扩张。
把这场司法斗争放回整套基建的脉络里,它的意义就清楚了。
前面几章讲的,是一套效率惊人、规模空前的国家基建怎么被建起来;这一章讲的,是这个社会如何试图给它套上缰绳。而套缰绳的,不是建它的人,也不是用它的政府,而是一个相对独立的司法系统。这一点是印度的这套基建和某些其他国家的同类系统最重要的区别之一——它的扩张,受到了一个外部力量的实质性约束。法院不是在为这套基建背书,而是在为它划界;不是设计者的自我克制,而是制度的外部刹车。
当然,缰绳套上了,不等于野马就被驯服了。法院的判决要靠执行才有意义,而执行的状况——比如那些被判违宪的强制绑定,在现实中是不是真的都停止了——是另一个需要田野和持续监督才能回答的问题。但至少,在制度的层面,印度为这套基建确立了一个原则:它不是无边界的,它的每一次扩张都要经得起合法、必要、相称这三重检验。
这条线脆弱、有裂缝、执行起来折扣重重,但它存在。一套能监控一切的基础设施,和一套被允许去监控一切的基础设施,是两回事——前者是技术问题,后者是制度问题。印度的故事之所以不能简单地等同于“老大哥”,恰恰是因为有这条线。它能不能守得住,是后面所有关于隐私与监控的争论的真正战场。而守住这条线的难度有多大,下一章讲的那些“认证失败的人”,会用最沉重的方式告诉我们。
2017 年 8 月九位大法官一致裁决隐私权为宪法基本权利(可追溯至第 14、19、21 条),见 Supreme Court Observer 与判决原文(indiankanoon)。scobserver.in;indiankanoon.org(访问于 2026-06)。
法庭关于“隐私是人格尊严内在属性”“保障自主作出个人选择”的表述,见 Supreme Court Observer 判决解读。scobserver.in(访问于 2026-06)。
2018 年 9 月 26 日最高法院以 4:1 多数判 Aadhaar Act 总体合宪、同时逐条审查并否定部分条款,见 Supreme Court Observer 与判决原文。indiankanoon.org(访问于 2026-06)。
合法性、必要性、相称性的“三重检验”标准,见 Supreme Court Observer 判决解读。scobserver.in(访问于 2026-06)。
强制 Aadhaar 与银行账户、手机卡绑定被判违宪(不通过相称性检验、缺乏立法授权),见 Supreme Court Observer。scobserver.in(访问于 2026-06)。
Aadhaar Act 作为金钱法案通过的争议,多数意见认定合法、Chandrachud 法官异议称“对宪法的欺诈”,见 Bar & Bench 与 Scroll.in 分析。barandbench.com;scroll.in(访问于 2026-06)。
先把那个最锋利的事实摆在最前面:在印度,曾经有人因为认证失败而饿死。
最为人所知的,是 2017 年 9 月发生在贾坎德邦辛姆德加县的一起。一个十一岁的女孩,因为家里的口粮卡没能和 Aadhaar 绑定而被注销,全家失去了领取补贴粮食的资格;据报道,这个女孩在去世前已经断粮近八天1。同年 10 月,同在贾坎德邦的德奥加尔县,一位六十岁的阿迪瓦西(原住民)老人,因为生物识别认证失败、连续两个月被拒发口粮后去世2。
这些个案的因果,需要被精确地表述。一个人的死亡,往往是贫困、疾病、行政失能等多重因素叠加的结果,把它单一地归因于“Aadhaar 杀了人”,既不准确,也不公正。但反过来,把这些死亡和认证失败之间的关联完全否认,同样是不诚实的。更稳妥的说法是:这些案例中,Aadhaar 关联的认证失败或口粮卡注销,是导致他们失去基本生存保障的直接环节之一。“权利的粮食运动”(Right to Food Campaign)对 2015 到 2018 年间的五十七起饿死案例做了调查,发现其中至少十九起与 Aadhaar 相关的问题有关,至少十三起是直接因为认证失败或缺少 Aadhaar 而被拒发口粮或养老金3。
要理解这些死亡是怎么发生的,得理解一个技术性的失败是如何变成一个生存性的灾难的。
机制是这样的:当一个邦决定把领取补贴粮食的资格和 Aadhaar 认证强制绑定,那么领粮食的那一刻,受益人就必须在配给点的设备上完成一次生物识别——通常是按指纹。如果这次认证失败,系统就拒绝发粮。而认证失败的原因多种多样:长期从事体力劳动的人指纹被磨平;老人的指纹和虹膜随年龄退化;配给点的网络信号不稳,连不上中央数据库;或者数据库里登记的信息和现实对不上。
这些失败率有多高?据引用过的预算文件,在贾坎德邦,生物识别认证的失败率一度高达约百分之四十九4。差不多每两次就有一次失败。对一个城市中产来说,认证失败只是个麻烦,重试一次或者换个方式就行;但对一个住在偏远村庄、靠每月那点补贴粮食活命、又没有其他申诉渠道的穷人来说,认证失败意味着这个月没饭吃。同一个技术故障,落在不同的人身上,后果天差地别。系统的失败不是随机分布的,它精确地、系统性地落在了最没有能力承受它的那群人身上。
更结构性的问题,是大规模的口粮卡注销。
在推行 Aadhaar 绑定的过程中,那些没能及时完成绑定的口粮卡,被大批量地注销。仅在贾坎德邦,那一年就有约一百一十万张口粮卡因为未与 Aadhaar 关联而被注销5。官方的逻辑是:这些注销掉的卡,是冒领的、重复的、虚假的“幽灵卡”,注销它们正是 DBT 节省财政的来源。
但这里就回到了前面讲 DBT 时埋下的那个问题:这一百一十万张被注销的卡里,有多少是真的幽灵,有多少是真实存在、只是因为种种原因没能完成绑定的人?一个不会用智能手机的老人、一个常年在外打工的劳动者、一个住在没有网络覆盖村庄里的家庭——他们的卡被注销,不是因为他们是幽灵,而是因为他们没能跨过那道技术门槛。把他们统统算作“省下的钱”,是把排斥伪装成了效率。前面那个十一岁女孩家的卡,就是这一百一十万分之一。
这就是为什么“省下 X 万亿”这个数字必须打上引号。它的分子里,混入了真实的人被排除后省下的“成本”;而这些被排除的人,恰恰是这套基建最初宣称要服务的那些人。一套为穷人设计的系统,在执行中把一部分最穷的人挤了出去,再把挤出去省下的钱,记成了自己的功绩。
这里还有一层更隐蔽的不公平,值得专门点出。生物识别的失败,不是在人群里均匀分布的——它系统性地偏向那些本就最脆弱的人。指纹磨损,最严重的是常年从事体力劳动的人,也就是最穷的那一批;虹膜退化,最严重的是老人;网络信号最差的地方,是最偏远、最贫困的村庄。也就是说,认证失败的概率,和一个人的贫困程度、年龄、地理边缘程度高度正相关。这套系统在技术上对所有人一视同仁,但它的失败却精确地、不成比例地砸在那些最经不起砸的人头上。一个为穷人设计的普惠系统,它的故障恰恰最常发生在最穷的人身上——这不是一个可以靠“优化算法”解决的技术问题,而是生物识别这种认证方式与贫困、衰老、劳损之间,存在的一种结构性的不兼容。
还要看到一个时间维度上的残酷。在纸质时代,一个人即使没有完美的证件,也还有人情、有熟人社会、有基层办事员的酌情空间——配给点的人认识你,知道你家什么情况,会通融。而当认证被交给一台机器、一个中央数据库,这种酌情的空间就被抹掉了。机器说“认证失败”,就是失败,没有商量,也没有一个能看着你的眼睛、知道你快饿死了的人来网开一面。数字化在提高效率的同时,也抽走了系统里那一点点本可以救命的人情弹性。把这一点和“省下万亿”的叙事放在一起,残酷之处就清楚了:被抹掉的人情弹性,在账面上恰恰表现为“减少了漏损”。
面对这些,需要做两个方向上的克制,两个都不能省。
第一个克制,是不要否认。这套基建的支持者有一种倾向,把这些死亡说成是地方执行不力、是个别意外、是任何大系统都难免的边缘成本,从而把问题从“系统设计”转移到“个别失误”。但当失败率高达一半、当注销以百万计、当饿死的案例在同一个邦反复出现,这就不再是边缘的意外,而是系统性的特征。否认这一点,是对那些死去的人的二次抹除。
第二个克制,是不要夸大。把 Aadhaar 描述成一台蓄意杀人的机器,同样是不诚实的。这套系统的设计初衷不是要饿死谁,它的大规模普惠效果也是真实的。这些死亡,是一套追求效率的系统,在缺乏足够的失败兜底机制、又被地方政府层层加码强制绑定的情况下,必然会产生的代价。问题不在于有没有恶意,而在于这套系统在设计时,把“认证失败”当成了一个可以接受的技术误差,而没有把它当成一个可能致命的、需要无条件兜底的生存风险。
真正该追问的是:当一个系统明知道认证会以一半的概率失败、明知道失败会落在最脆弱的人身上,它为什么没有一个“认证失败也绝不让人饿死”的强制兜底?答案藏在那个被反复颂扬的效率叙事里——兜底意味着漏损,意味着“省下的钱”变少,而省钱正是这套系统最重要的政治卖点。于是在效率和兜底之间,系统一次次选择了效率。这不是恶意,是一种被激励结构塑造出来的、对边缘人群苦难的系统性钝感。
这一章不打算给出一个煽情的结尾,因为这些人的处境,配不上一个被修饰过的结论。
只把事实留在这里:一套被国际机构称赞、被两个对立政党共同维护、被视为全球南方样板的基础设施,它的运转,在最末端,是以一部分最穷、最老、最边缘的人被挡在生存线之外为代价的。这个代价,大部分时候是不可见的——它不出现在交易量的图表里,不出现在“省下万亿”的通稿里,只在偶尔有记者或民间组织追下去时,才以一个具体的名字、一个具体的死亡浮现出来。
至于这些案例之外,到底有多少人在更安静地承受着排斥——多少人放弃了申诉,多少人在系统的拒绝面前默默退回了贫困——这是公开数据无法回答的。UIDAI 至今拒绝公开认证失败的具体数字6。信息差本身,就是这套治理结构的一部分:看不见的失败,比看得见的失败更安全——对系统而言,但不是对人而言。这恰恰是为什么“认证失败的人”这一章,必须被写下来。
Scroll.in,贾坎德邦 Simdega 县 11 岁女孩因口粮卡未与 Aadhaar 绑定被注销、断粮近八天后饿死的报道(2017 年)。scroll.in(访问于 2026-06)。
贾坎德邦 Deoghar 县 60 岁阿迪瓦西老人因生物识别失败被拒粮两月后去世,见 Business Standard 调查报道(2018 年)。business-standard.com(访问于 2026-06)。
“权利的粮食运动”(Right to Food Campaign)对 2015–2018 年 57 起饿死案例的调查,至少 19 起涉 Aadhaar 相关问题、至少 13 起直接因认证失败或缺少 Aadhaar 被拒粮拒养老金,见 Business Standard 与 Scroll.in 综合报道。business-standard.com(访问于 2026-06)。
贾坎德邦生物识别认证失败率一度约 49%(引自预算文件),见 Business Standard 报道。business-standard.com(访问于 2026-06)。
贾坎德邦约 110 万张口粮卡因未与 Aadhaar 关联被注销,见 The Wire 与 Business Standard 报道。m.thewire.in(访问于 2026-06)。
UIDAI 拒绝公开认证失败具体数字,及对“更诚实地承认、记录、检视排斥”的呼吁,见 MIT Technology Review(2026 年 1 月,引 Internet Freedom Foundation 的 Apar Gupta)。technologyreview.com(访问于 2026-06)。
先听设计者这一边,因为这是理解整套架构意图的钥匙。
尼勒卡尼反复强调,India Stack 的设计哲学是开放标准加开放 API,目的是避免任何单一主体——无论是国家还是私营企业——对这套基础设施形成垄断1。他把印度的模式明确地放在两个反面参照之间:一边是中国,国家控制一切数据;另一边是美国,少数大科技公司主导一切数据。印度想走的,是第三条路——数据既不归国家独占,也不归企业独占,而是通过开放协议让它流动,并最终把控制权交还给数据的主人1。
这个意图在第四层(同意层)体现得最清楚。这一层的整个设计,就是要让个人成为自己数据的闸门——任何机构想用你的数据,都要经过你的、有时限有目的限定的明确同意。从这个角度看,India Stack 不是一个监控工具,反而是一个反监控的工具:它把原本被各个机构各自圈占的数据,重新置于个人的控制之下。这是设计者最有力的辩护:监控的前提是数据被某个中心独占,而我们做的恰恰是打破独占。
官方还有一个更直接的反驳。前 UIDAI 局长 RS 夏尔马公开挑战批评者:“我没有任何一个例子能说明,某人的 Aadhaar 信息被披露,会伤害到这个人。”2 这句话的潜台词是:你们担心的监控是抽象的、假设的,而我要的是具体的受害者——拿不出来,就说明这种担心是杞人忧天。
再听批评者这一边,因为他们指出的风险同样真实。
批评者的核心论点不是“某次泄露伤害了某个人”,而是“这套架构使一种系统性的监控成为可能”。法律研究者乌莎·拉马纳坦(Usha Ramanathan)、经济学家瑞蒂卡·凯拉(Reetika Khera)等人长期论证,Aadhaar 作为一个贯穿一切的统一标识符,使得把一个人散落在银行、电信、税务、福利、医疗等各个“数据孤岛”里的信息串联起来、拼成一幅完整画像,变得技术上可行3。
这个担忧不是空穴来风。曾经有一位特伦甘纳邦的税务官员做过一个基于 Aadhaar 号对公民进行“三百六十度画像”的演示——把不同来源的数据按 Aadhaar 号归集,拼出一个人的全貌。凯拉对此的评论很直接:“如果这都不算监控,那我不知道什么才算监控。”4 资深律师在 Aadhaar 诉讼中也指出,通过打通数据孤岛,这套系统具备实现“三百六十度监控”的能力5。
批评者对官方“拿不出具体受害者”那个反驳,有一个有力的回应:监控的危害,本来就不主要表现为“某人被某次具体的数据披露伤害”,而表现为一种寒蝉效应和权力的不对称——当一个人知道自己的一切都可能被串联、被观看时,他的行为会改变;而掌握这种串联能力的一方,相对于被观看的个体,获得了一种结构性的权力优势。要求批评者举出具体受害者,本身就误解了监控危害的性质——它是弥散的、预防性的、关乎权力结构的,而不是逐案发生的伤害事件。
现在把两边放到一起,会看到一个关键的事实:他们说的是同一套技术。
让数据流动起来的能力,既可以用于“经你同意、把你的数据共享给你选择的机构”(赋权),也可以用于“未经你充分知情、把你的数据串联起来供某个中心观看”(监控)。统一标识符既是普惠的前提(没有它,就没法可靠地给穷人发福利),也是画像的前提(有了它,串联数据才成为可能)。开放的 API 既可以打破垄断,也可以成为数据汇聚的通道。技术本身是中性的,或者更准确地说,技术本身同时包含了通向两个方向的可能。
所以“开放还是监控”这个问题,问错了。正确的问题是:是什么决定了这套技术最终更多地走向开放,还是更多地走向监控? 答案不在技术里——技术两个方向都能走。答案在制度里。
决定方向的,是三样东西,缺一不可。
第一样是司法约束。前一章讲过,2018 年的判决砍掉了 Aadhaar 与银行、手机的强制绑定,并确立了相称性原则。这条线的意义,正在于它从制度上限制了数据串联的范围——强制绑定越少,能被串联到一个标识符上的数据孤岛就越少,“三百六十度画像”的拼图就越不完整。司法画的那条线,本质上是在限制这套技术向监控方向滑动的速度。
第二样是数据保护立法。印度在 2023 年通过了数字个人数据保护法(DPDP Act),试图为个人数据的收集和使用建立规则。一部有牙齿的数据保护法,能限制国家和企业在多大程度上、为什么目的去使用这套基础设施;一部没有牙齿、给国家机关留了大量豁免的法,则可能让那条线形同虚设。这部法的实际执行力度,是观察方向的关键指标。
而批评者对这部法恰恰有具体的担忧:它给了政府机关在“国家安全”等名义下相当宽的豁免空间,而负责执法的数据保护委员会的独立性也受到质疑——如果监管者本身受制于它要监管的那个国家机器,那么“用数据保护法约束国家使用基建”这件事,就可能从设计上被架空。这正是监控之争最微妙的地方:它最终不取决于法律写了什么,而取决于法律在面对国家自身时,到底敢不敢、能不能真的说“不”。一部主要用来约束企业、却对国家网开一面的数据保护法,挡得住商业滥用,却挡不住它最该挡的那个方向。
第三样是透明与问责。这一点最微妙,也最薄弱。前一章提到,UIDAI 至今拒绝公开认证失败的数字6;面对 2018 年的门户访问出售事件,它最初的反应是否认、并对揭露的记者报警7。一个不愿意公开自己失败数据、对外部监督抱有敌意的机构,无论它的初始设计多么强调开放,都在事实上向不透明、因而向监控的那一端倾斜。透明不是技术属性,是机构选择;而 UIDAI 的选择,至今偏向了不透明。
所以,对“开放还是监控”这个问题,诚实的回答是:取决于那三样东西守不守得住。
India Stack 的设计,确实在技术架构上为“开放”和“赋权”留了余地——这一点不应被否认,它和一个从设计上就为监控服务的系统(比如某些国家的社会评分体系)有本质区别。但技术上的余地,不等于现实中的方向。一套同时具备赋权和监控两种可能的系统,最终走向哪一边,取决于约束它的制度——司法的线划得牢不牢,数据保护法有没有牙齿,运营机构愿不愿意接受监督。
这就是为什么不能简单地说印度建了一个“老大哥”,也不能天真地说它建了一个“还权于民”的乌托邦。它建的,是一套两可的基础设施——它的最终性质,不由它的代码决定,而由印度的制度博弈决定。而这场博弈还远未结束:司法的线在被反复测试,数据保护法的执行刚刚起步,运营机构的透明度令人担忧。开放还是监控,不是一个已经有答案的事实判断,而是一个正在进行的、关于制度能不能管住技术的较量。
这场较量的赌注,会随着这套基建进入下一个阶段而急剧升高——因为接下来要讲的第四层,数据层,正是把这台机器从“身份和支付”推向“数据和人工智能”的那一层。当数据本身成为最有价值的东西时,开放与监控之间的那条线,会变得比现在重要得多。
Nilekani 关于开放标准/开放 API 避免国家或企业垄断、印度“第三条路”区别于中美两种模式的设计哲学,引自 MIT Technology Review(2026 年 1 月)。technologyreview.com(访问于 2026-06)。
前 UIDAI 局长 RS Sharma “没有任何例子说明 Aadhaar 披露伤害了某人”的表述,引自 MIT Technology Review(2026 年 1 月)。technologyreview.com(访问于 2026-06)。
Usha Ramanathan、Reetika Khera 等关于 Aadhaar 作为统一标识符使数据孤岛串联、形成画像成为可能的批评,见 ACM Interactions “MarginalizedAadhaar”。interactions.acm.org(访问于 2026-06)。
特伦甘纳邦税务官员“360 度画像”演示及 Reetika Khera “如果这都不算监控……”的评论,见相关报道与 ACM Interactions。interactions.acm.org(访问于 2026-06)。
资深律师在 Aadhaar 诉讼中关于打通数据孤岛实现“360 度监控”能力的陈述,见 Rethink Aadhaar 人民法庭报告。rethinkaadhaar.in(访问于 2026-06)。
UIDAI 拒绝公开认证失败数字,见 MIT Technology Review(2026 年 1 月,引 Internet Freedom Foundation 的 Apar Gupta)。technologyreview.com(访问于 2026-06)。
2018 年 UIDAI 门户“代理”访问出售事件中 UIDAI 否认泄露、对记者报警的反应,见相关报道与维基百科 Aadhaar 条目所引来源。outlookindia.com(访问于 2026-06)。
先看一个反直觉的事实:UPI 这条印度国家铺的公共轨道,最大的两个受益者是美国公司。
按交易量计,到 2025 年底,PhonePe 占据了印度 UPI 市场约百分之四十五的份额,谷歌支付约占百分之三十五,两家加起来拿走了约百分之八十1。而 PhonePe 的控股股东是美国零售巨头沃尔玛,谷歌支付背后是谷歌。也就是说,印度政府花了巨大的政治和财政资源铺成的这条普惠支付轨道,跑得最快、装得最满的两辆车,都挂着美国牌照。
这个事实本身就很说明问题。开放的轨道,并不天然导向本土化的市场结构。恰恰相反,因为轨道是开放的、互操作的、不收过路费的,资本最雄厚、产品最好、补贴最狠的玩家反而更容易赢家通吃——而在全球范围里,这样的玩家往往是美国巨头。开放,在这里意外地成了集中的温床。
但赢得份额,不等于掌握权力。这正是“租户”这个比喻的要害。
谷歌和沃尔玛在 UPI 上拿到了百分之八十的份额,却必须接受一个它们无法掌控的事实:轨道的规则,由印度的 NPCI 和监管者定,而不是由它们定。最直接的体现,是那个百分之三十的市场份额上限——监管者提出,任何单一应用在 UPI 上的交易量份额不得超过百分之三十,以防止过度集中2。这个上限一旦执行,意味着谷歌支付和 PhonePe 都必须主动把自己的份额降下来。虽然因为执行难度,这个上限的生效时间被一再推迟到 2026 年底2,但它的存在本身就是一个信号:在这条轨道上,再大的玩家也只是租户,房东随时可以改租约。
Meta 旗下的 WhatsApp Pay 是另一个例子。WhatsApp 在印度有数亿用户,本可以凭借这个体量迅速主导支付,但监管者曾给它的支付服务设了一个用户数上限——最初被限制在一亿用户以内,直到这个上限被解除,它才重新回到 UPI 交易量的前列3。一个在母国市场所向披靡的巨头,在印度的支付轨道上,连能服务多少用户都要看监管者的脸色。这就是租户和房东的关系——你可以很大,但你不拥有这个地方。
如果说谷歌、沃尔玛、Meta 是“赢了份额但没有权力”的租户,那么 Visa 和万事达,则是被这条轨道实实在在挤到边上的输家。
数字很说明问题。信用卡在印度数字支付中的占比,从 2018 年的约百分之四十三,跌到了 2024 年的约百分之二十一4。在 UPI 出现之前,印度新兴的数字支付增量本该是 Visa 和万事达的天下——每一笔卡交易,它们都能从商户手续费里分一杯羹。但 UPI 用零手续费的开放协议,把这块增量几乎整个截走了。一个买东西的印度人,现在的默认选项不是刷卡,而是扫 UPI 码;而 UPI 走的是银行账户直连,根本不经过卡组织的网络。
更釜底抽薪的,是印度自己的卡组织 RuPay。RuPay 是 NPCI 旗下的本土卡品牌,而印度监管者做了几件事来扶持它、削弱国际卡组织:央行下令银行必须让消费者自己选择卡组织,禁止与国际网络签订独家协议;NPCI 要求 RuPay 持卡人享受与其他网络同等的权益5。结果是,RuPay 信用卡被接入了 UPI——你可以用绑定了 RuPay 信用卡的手机直接扫 UPI 码消费。这一招打通之后,RuPay-on-UPI 的信用卡交易在 2025 财年前七个月就达到约六千三百八十亿卢比,占到了印度信用卡交易的约百分之二十八,比上一年的约百分之十翻了近三倍6。本土卡组织借着公共轨道,正在从国际巨头手里夺回信用卡这块阵地。
把支付之外的部分也放进来,会看到同样的“开放轨道挤压外企”的逻辑在别处重演。
在电商领域,印度推出了 ONDC——开放数字商务网络,思路和 UPI 如出一辙:与其让亚马逊、Flipkart 这样的平台把买家和卖家锁死在自己的封闭生态里,不如建一个开放的协议层,让任何买家应用都能连接任何卖家。到 2025 年初,ONDC 已经接入了约三十五万个卖家,月交易量超过一千二百万笔7。它的矛头明确指向亚马逊和 Flipkart 的平台垄断——用一条开放协议,去拆掉平台的护城河。
不过 ONDC 也揭示了这套打法的边界。和 UPI 的摧枯拉朽不同,ONDC 的推进要艰难得多:它的采用高度集中在德里、班加罗尔、孟买这些大城市,在二三线城市,很多消费者甚至不知道自己常用的 Paytm、PhonePe 应用里已经接入了 ONDC;而它的零售交易额自 2024 年以来还出现了下滑8。这说明“开放协议挤压平台巨头”这套打法,在身份和支付这种标准化程度高、网络效应强的领域威力巨大,但在电商这种需要复杂供应链、物流、信任和商品发现的领域,开放协议未必能轻易复制同样的成功。开放轨道是一件强大的武器,但它不是万能的。
把这一章的线索收拢,会得到一个关于全球科技权力的清晰图景。
印度对国际互联网公司做的事,不是简单的“把它们赶出去”——那是保护主义的老办法。它做的是一件更巧妙的事:把支付、身份、电商这些原本由私营平台主导、并能从中攫取垄断利润的领域,改造成开放的公共协议层,从而把价值从“拥有平台的巨头”那里,重新分配回整个生态。在这套新规则下,国际巨头依然可以进来、可以做很大,但它们只能作为轨道上的租户存在,既无法拥有轨道,也无法把它变成自己的封闭花园来收租。同时,公共轨道还为本土玩家——RuPay、ONDC 上的小卖家——提供了一个不必从零对抗巨头资本的竞争场域。
对谷歌、沃尔玛、Meta 来说,这意味着一个它们在其他市场很少遇到的处境:巨大的市场,微小的控制权。对 Visa、万事达来说,这意味着它们赖以为生的“私有支付网络收手续费”的商业模式,在世界第一人口大国被一条免费的公共轨道系统性地架空。而对印度来说,这是一套把“数字主权”落到实处的方法论——不靠关门,而靠改写规则,让外企在自己的地盘上,永远只能当租户。这种“开放却主权”的姿态,正是下一章要讲的数据层和人工智能层的序曲:当印度准备把同样的逻辑从支付推向数据时,它要争夺的,就不再只是支付的过路费,而是 AI 时代最值钱的那样东西——数据本身。
PhonePe(沃尔玛控股)约 45%、Google Pay 约 35% UPI 市场份额,见 Business Standard 报道。business-standard.com(访问于 2026-06)。
单一应用 30% 交易量上限及其从 2024 年底推迟至 2026 年底,见 Business Standard 报道。business-standard.com(访问于 2026-06)。
WhatsApp Pay 曾被限于 1 亿用户上限、解除后重回 UPI 交易量前列,见 NPCI 相关公告报道。business-standard.com(访问于 2026-06)。
信用卡在印度数字支付占比由 2018 年约 43% 降至 2024 年约 21%,见 TechCrunch。techcrunch.com(访问于 2026-06)。
RBI 令银行允许消费者自选卡组织、禁止与国际网络独家协议;NPCI 令 RuPay 持卡人享同等权益,见 TechCrunch。techcrunch.com(访问于 2026-06)。
RuPay-on-UPI 信用卡交易 FY25 前七月约 6380 亿卢比、占信用卡交易约 28%(上年约 10%),见 TechCrunch。techcrunch.com(访问于 2026-06)。
ONDC 截至 2025 年初接入约 35 万卖家、月交易逾 1200 万笔,见 ONDC 官方与 IBEF。ondc.org;ibef.org(访问于 2026-06)。
ONDC 采用集中于大城市、二三线认知不足、零售交易额自 2024 年下滑,见 MIT Technology Review 与相关报道。technologyreview.com(访问于 2026-06)。
先理解第四层要解决的那个问题。
一个普通印度人的数据,散落在无数个互不相通的地方:银行有他的流水,税务系统有他的报税记录,电信商有他的通话数据,保险公司有他的保单。这些数据的价值,对这个人自己来说,常常是被锁死的——比如,一个小商贩想申请一笔贷款,他明明有稳定的现金流(都在银行流水和 UPI 交易记录里),但他没有办法方便、安全、可信地把这些证据出示给放贷的机构。数据在那里,但他用不上;而机构想要这些数据,又往往只能通过粗暴的、过度索取的方式去拿。
第四层的思路,是建一个“同意层”来解决这个困局。它的核心是一套电子数据同意机制:数据的主人——也就是你——可以通过一个标准化的、有时限和目的限定的“同意凭证”,授权某个机构在特定时间内、为特定目的、调取你在另一个机构那里的特定数据1。整个过程你是闸门:你决定谁能看、看什么、看多久。
在金融领域,这套机制已经落地,叫账户聚合器(AA)。它由印度央行 RBI 监管,本身是一类特殊的非银行金融公司,但它有一个关键的设计——它只是数据流动的“管道”,自己不存储、不查看数据内容2。它做的,是在数据提供方(比如你的银行)和数据使用方(比如想给你放贷的机构)之间,传递一份你签署的同意凭证,然后促成一次受控的、点对点的数据传输。
这套同意机制的设计原则,被概括成一个英文缩写 ORGANS——开放(Open)、可撤销(Revocable)、细粒度(Granular)、可审计(Auditable)、有通知(Notice)、默认安全(Security by design)3。
把这几个词拆开看,能看出设计者想达到的理想状态。可撤销,意味着你授权之后随时可以收回。细粒度,意味着你可以只授权“我最近六个月的银行流水”,而不是“我的全部账户信息”。可审计,意味着每一次数据调取都留下记录,事后可查。有通知,意味着每次有人调你的数据,你都会被告知。这套原则的雄心,是把数据共享从一个“要么全给、要么不给”的粗暴选择,变成一个由数据主人精确控制的、可追溯的过程。
从落地情况看,它已经初具规模。自 2021 年 9 月在 RBI 监管框架下启动以来,到 2025 年,账户聚合器生态已经有约七千万个人同意共享他们的数据,每月新增约一千万份同意4。从 2025 年 6 月起,账户聚合器开始实时地把每一次同意和数据调取请求,与这套标准模板进行校验5。
如果这套机制真的按设计运转,它确实是一种赋权——它把原本被各个机构圈占、个人无从置喙的数据,重新置于个人的同意之下。一个小商贩第一次能够主动地、安全地用自己的数据去换一笔贷款;一个普通人第一次对“谁在用我的数据”有了实际的控制权。这是设计者最理直气壮的地方:第四层不是来拿你数据的,是来帮你管你数据的。
但同一套机制,从另一个角度看,是另一回事。
把“同意层”放回整套堆栈的脉络里:身份层让国家和机构知道“你是谁”,支付层让它们知道“你的钱怎么流动”,而同意层做的,是把所有这些数据——以及银行、税务、电信、保险里的数据——变成可以被合法、合规、大规模地调取和聚合的资源。关键词是“合法合规”:在第四层出现之前,机构想大规模获取个人数据,要么违法,要么靠用户稀里糊涂地点了“同意”按钮;而第四层做的,是给数据的流动建了一条合规的高速公路。
这条高速公路上跑的是什么,取决于谁在用它、为什么用它。它可以跑“普惠信贷”——帮小商贩拿贷款;也可以跑别的东西。而在 2025 年之后的语境里,那个“别的东西”有了一个越来越清晰的名字:人工智能的训练数据。
这就是为什么这一章的标题里有“数据飞轮”这个词。数据飞轮,指的是这样一个自我强化的循环:你有越多的数据,就能训练越好的模型;越好的模型吸引越多的用户;越多的用户产生越多的数据。在这个循环里,能够合法、大规模、结构化地获取数据的能力,是飞轮转动的起点。而印度的第四层,恰恰提供了这种能力——一套覆盖十四亿人、有同意背书、因而在法律和伦理上“干净”的数据获取基础设施。
这里有一个值得专门拆开的概念问题:什么是真正的“同意”?
第四层的全部正当性,都建立在“个人同意”这个支点上。但“同意”在数字世界里,是一个被反复掏空的词。任何一个点过无数次“我已阅读并同意用户协议”的人都知道,那种同意往往是形式化的、无奈的、根本没读过的。一套依赖“点击同意”的机制,如果用户面对的是密密麻麻的条款、是“不同意就不给服务”的胁迫式选择、是一天几十次的授权请求,那么这种“同意”在多大程度上还是真正的自主决定,是存疑的。
DEPA 的设计者显然意识到了这个问题,ORGANS 原则里的“细粒度”“可撤销”“有通知”,正是试图让同意变得更真实——让你能精确地知道授权了什么、随时能收回、每次被调取都被告知。这些设计在纸面上确实比“一揽子点击同意”前进了一大步。但设计和现实之间永远有距离:一个被海量授权请求疲劳轰炸的用户,会不会最终又退回到“闭眼点同意”的老路?一个急需贷款、被告知“不授权就批不了”的人,他的同意还算不算自由?这些问题,决定了第四层到底是把控制权真的还给了个人,还是只是给数据采集套上了一层更精致、更合规的外衣。同意机制设计得再好,也敌不过一个根本性的权力不对称——当一方急需服务、另一方掌握服务,“同意”很容易退化成“别无选择”。
把尼勒卡尼自己的那句名言放到这里,意味就变了。
2017 年,他在印度理工学院马德拉斯分校的毕业典礼上说:“数据已经成为新的石油。就像石油是 20 世纪转型的基础,数据是 21 世纪的基础。”6 但他紧接着加了一句限定,这句限定常被忽略,却是他整套思想的关键:“如果数据是新的石油,那么数据应当被民主化——让数据能被所有人使用。”6
这句限定,正是第四层的意识形态内核。它试图回答一个问题:当数据成为最有价值的资源时,谁该拥有它、谁该从中获益?硅谷的答案是:拥有平台的大科技公司。中国的答案被描述为:国家。而尼勒卡尼想给出的第三个答案是:数据应该“民主化”——既不被企业独占,也不被国家独占,而是在个人同意的前提下流动,让整个社会都能从中创造价值,包括那些想用印度数据训练印度模型的本土玩家。
这个理想很有吸引力。但它也带着一个尚未解决的问题:在一个“民主化”的数据生态里,那些技术能力最强、资本最雄厚、最擅长把数据转化为模型和利润的玩家,会不会又一次赢家通吃?把数据从机构的孤岛里解放出来,让它“流动”,究竟是让普通人受益,还是只是为那些有能力消化海量数据的人,铺好了一条更顺畅的获取通道?前面讲支付层时已经见过一次这样的反讽——开放的轨道,最后跑得最快的是资本最雄厚的玩家。第四层会不会重演同样的故事,是它最大的悬念。
所以,对第四层,需要同时持有两个判断,不能只取其一。
一方面,它在设计上确实是这套基建里最“亲个人”的一层。前三层更多是国家和机构的工具(发身份、收支付),而第四层第一次把个人放到了数据流动的控制位上。ORGANS 原则、可撤销的同意、细粒度的授权,这些都是真实的、值得肯定的制度设计,它们让印度的数据治理在纸面上比很多国家都更尊重个人。
另一方面,它也是这套基建从“身份和支付”跃向“数据和人工智能”的那道闸门。当这道闸门打开,前面三层积累起来的、关于十四亿人的海量数据,第一次有了一条合规的、可规模化的出口。这道出口通向哪里,取决于谁站在出口的另一端,以及那个“个人同意”在现实中到底有多大的实际控制力——一个被海量“同意按钮”训练得习惯性点击的用户,他的“同意”是真正的赋权,还是又一次形式化的橡皮图章?
第四层是这套国家级 API 的最后一块拼图,也是它面向未来的赌注所在。它已经搭好了,但它通向的那个未来——一个印度用自己的公共数据基础设施,喂养出自己的人工智能的未来——才刚刚开始。下一章,就去看这个未来正在长成什么样子。
NITI Aayog,“Data Empowerment and Protection Architecture”:电子数据同意、时限与目的限定的同意凭证机制。niti.gov.in(访问于 2026-06)。
账户聚合器(AA)由 RBI 监管、作为不存储不查看数据内容的“管道”,连接数据提供方(FIP)与数据使用方,见 ORF 与 Sahamati。orfonline.org;sahamati.org.in(访问于 2026-06)。
同意凭证的 ORGANS 原则(Open / Revocable / Granular / Auditable / Notice / Security by design),见 Sahamati 与 DEPA 文件。sahamati.org.in(访问于 2026-06)。
AA 生态自 2021 年 9 月启动,至 2025 年约 7000 万个人同意、月新增约 1000 万份同意,见 Sahamati 与 Medium 分析。sahamati.org.in(访问于 2026-06)。
自 2025 年 6 月 1 日起 AA 实时校验同意与数据调取请求,见 Sahamati。sahamati.org.in(访问于 2026-06)。
Nilekani 在 IIT Madras(2017)关于“数据是新石油……数据应当被民主化”的演讲,见 Asian Age / Deccan Chronicle 报道。asianage.com(访问于 2026-06)。
先看印度手里握着的那张牌:语言。
印度有 22 种宪法承认的官方语言,加上方言,是一个语言极度多样的国家。对全球主流的大语言模型来说,这种多样性是一个盲区——它们绝大多数是用英语和少数几种主要语言训练的,对印度本土语言的覆盖既不全也不深。而对印度来说,这个盲区恰恰是一个战略机会:谁能掌握印度本土语言的高质量数据,谁就能在印度市场建立一个全球巨头难以逾越的护城河。
印度押注这个机会的第一个抓手,是 Bhashini。这是一个 2022 年启动的国家级语言 AI 平台,提供 22 种以上印度语言的开源语音转文字、文字转语音和翻译 API1。它的逻辑和 India Stack 一脉相承——不是做一个产品,而是做一层开放的、谁都能调用的公共能力。Bhashini 有一个明确的数据目标:到 2025 年第四季度,建成一个超过 15000 小时的、跨 22 种印度语言的标注语音语料库2。这个语料库,就是喂养印度本土语言 AI 的“燃料”。
这里值得点出一个关键点:Bhashini 本质上是把 India Stack 那套“DPI 方法论”从身份和支付,复制到了人工智能领域。它要做的,是一层“AI 的公共基础设施”——把高质量数据集、模型能力变成开放的公共品,让创业公司、学术界、企业都能在上面开发,而不必各自从零去采集印度语言数据3。
第二个抓手,是国家级的算力和模型计划。
2024 年,印度启动了 IndiaAI 使命,配套约 1037 亿卢比(约 12.5 亿美元)的预算4。这笔钱的核心用途之一,是建国家级的 AI 算力——到 2025 年中,印度已经把可调用的高端 GPU 规模扩到了 34000 张以上4。算力是训练大模型的硬门槛,由国家出面集中采购、再以补贴价开放给本土玩家,是印度避免在 AI 竞赛中因算力受制于人的办法。
模型层面,印度本土的大模型已经开始出现。班加罗尔的 Sarvam AI 是其中最受瞩目的一家,它借助 IndiaAI 使命提供的算力,发布了一个 30 亿参数的模型和一个 1050 亿参数的旗舰模型5。此外还有 BharatGen、Sarvam-1、Everest 等一批针对印度语言和情境训练的本土模型6。它们共同的口号,可以概括成一句被反复使用的话:“在印度造 AI,让 AI 为印度服务”——核心诉求是数据留在印度境内、模型理解印度情境3。
需要诚实地标注:这些模型大多还处于早期阶段,参数规模、实际能力、商业化程度都还远不能和全球前沿模型相比,相关的宏大目标里有相当一部分是规划和宣称,而非已经兑现的成果。把印度本土大模型说成已经能与全球巨头分庭抗礼,是夸大的。但方向是清晰的:印度不打算只做全球 AI 巨头的市场,它要建自己的。
把语料、算力、模型这三样放进 India Stack 的脉络里,那个“数据飞轮”就转起来了。
逻辑链条是这样的:Aadhaar 和 UPI 让十四亿人进入了数字系统,产生了海量的、带本国情境的交互数据;第四层的同意架构(上一章讲的 DEPA / 账户聚合器)为这些数据提供了合规的、可规模化的获取通道;Bhashini 把印度语言变成结构化的语料;IndiaAI 提供算力;本土模型把这些数据和算力转化为能力。每一环都扣着前一环,而每一环都建立在过去十五年那套公共基建之上。
这就是为什么说 India Stack 有潜力成为印度 AI 的数据基建——它不是临时为 AI 现搭的,而是早在 AI 浪潮到来之前,就已经把“让十四亿人数字化、让数据可流动”这件最难的基础工作做完了。当全球都在抢数据时,印度发现自己手里已经有了一座金矿,以及一套挖矿和运矿的现成基础设施。咨询机构和政策圈把这条路线称为“DPI for AI”——用数字公共基础设施的方法论去建人工智能,把数据集、算力、训练工具都变成开放的公共品7。
尼勒卡尼本人,已经把目光投向了比模型更远的地方。
据 MIT 科技评论 2026 年的报道,这位七十岁的教父正在推动一个叫“金融互联网”(Finternet)的构想——把金融工具和实物资产都变成数字代币,让它们能像信息一样在网络上自由流动,目标是把金融服务扩展到那些至今仍被排斥在外的人群。这个项目据称已经有横跨四大洲的约三十个合作伙伴,计划在 2026 年上线8。与此同时,他还在推动一个“印度能源栈”(India Energy Stack)——给发电厂、屋顶光伏、电动车都分配数字身份,用来实时监测和稳定电网9。
这两个项目,是同一套方法论的延伸。把它和前面所有章节连起来看,会发现一个一以贯之的模式:给万物分配可识别的数字身份(先是人,后是钱,再是资产、是电厂),然后建一层开放的协议让它们流动,再在流动中积累数据。从人的身份,到钱的流动,到资产的代币化,到电网的数字化——这是同一个“国家级 API”思路在不断地向新领域复制。被问到七十岁为什么还在折腾,尼勒卡尼的回答带着一种工程师式的执拗:“也许我是个上瘾的人……我想保持好奇、保持活力、一直看着未来。”10
那么,回到那个前瞻的问题:这套基建真的能托起印度的 AI 主权吗?
诚实的答案是:它提供了一个别人难以复制的起点,但起点不等于终点。
印度的优势是真实的。它有十四亿人产生的数据,有覆盖到村庄的数字基础设施,有一套已经验证过的“建公共数字平台”的方法论,有庞大的工程师人才池,还有把语言多样性从劣势转为护城河的战略空间。这些加起来,是一个比绝大多数发展中国家都更扎实的 AI 起跑线。
但前面几章揭示的那些张力,也会一并被带进 AI 时代,而且会被放大。开放的轨道最后被资本最雄厚的玩家主导——这个在支付层出现过的反讽,在数据和 AI 层可能重演,只不过这次的玩家不只是谷歌和沃尔玛,还可能是任何最擅长把印度公共数据转化为模型能力的力量。“个人同意”在海量数据采集面前的实际控制力有多强,决定了这条飞轮转的是“赋权”还是“攫取”。而那个贯穿全书的根本问题——这套能力最终服务于普惠还是服务于控制——在 AI 这个更强大的工具面前,只会变得更尖锐,而不会自动消解。
所以这套基建在 AI 时代的命运,和它在身份、支付时代的命运是同构的:它创造了巨大的可能性,但可能性朝哪个方向兑现,不由技术决定,而由制度、由博弈、由那条法院画下又不断被测试的边界线决定。印度握着一手别人羡慕的牌,但牌怎么打、最后谁赢,还远没有定数。它已经为 AI 时代备好了燃料和管道,但点火之后火往哪烧,是一个比建基础设施更难、也更重要的问题。
Bhashini 2022 年启动,提供 22 种以上印度语言的开源语音/翻译 API,见 Stimson Center 与 IndiaAI 资料。stimson.org(访问于 2026-06)。
Bhashini 目标到 2025 年 Q4 建成逾 15000 小时、跨 22 种语言的标注语音语料库,见 Stimson Center。stimson.org(访问于 2026-06)。
“DPI for AI” 方法论与“在印度造 AI、让 AI 为印度服务”“数据留在境内”的诉求,见 EY 与 IBEF 分析。ey.com;ibef.org(访问于 2026-06)。
IndiaAI 使命(2024)约 1037 亿卢比/约 12.5 亿美元预算;至 2025 年中算力扩至逾 34000 张高端 GPU,见 Stimson Center。stimson.org(访问于 2026-06)。
Sarvam AI 借 IndiaAI 算力发布 30 亿与 1050 亿参数模型,见 Stimson Center 与相关报道。stimson.org(访问于 2026-06)。
BharatGen、Sarvam-1、Everest 等本土模型,见 BharatGen 官网与 IBEF。bharatgen.com;ibef.org(访问于 2026-06)。
“DPI for AI”——把数据集、算力、训练工具变为开放公共品,见 EY 分析。ey.com(访问于 2026-06)。
Nilekani 推动的 Finternet(资产代币化、约 30 个跨四大洲合作伙伴、计划 2026 上线),见 MIT Technology Review(2026 年 1 月)。technologyreview.com(访问于 2026-06)。
India Energy Stack(给电厂/屋顶光伏/电动车分配数字身份、实时监测电网),见 MIT Technology Review(2026 年 1 月)。technologyreview.com(访问于 2026-06)。
Nilekani 关于“也许我是个上瘾的人……保持好奇、一直看着未来”的自述,引自 MIT Technology Review(2026 年 1 月)。technologyreview.com(访问于 2026-06)。
先看出海的几条具体路径,因为它们共同勾勒出一个清晰的战略。
第一条是身份的出海。早在 2018 年,印度就设立了模块化开源身份平台(MOSIP)——把 Aadhaar 背后的那套技术能力,开源出来,供其他国家用来建自己的国民身份系统1。它的定位很明确:为那些 IT 能力有限、又想建数字身份的中低收入国家,提供一个低成本的起点。到目前,已经有 11 个发展中国家采用了 MOSIP,惠及超过 9500 万公民1。
第二条是支付的出海。UPI 正在一个国家一个国家地接通——目前在阿联酋、新加坡、不丹、尼泊尔、马尔代夫、毛里求斯、法国、斯里兰卡等七八个国家可用2。其中最有代表性的是 2023 年 2 月上线、2025 年扩展的 UPI 与新加坡 PayNow 的对接,实现了两国支付系统的实时跨境互通3。跨境交易的增长很陡峭:从 2022 财年的区区 180 笔,到 2024 财年的约 37000 笔,再到 2025 财年的超过 75 万笔,一年翻了 20 倍4。
第三条是整套方法论的出海。2023 年印度担任 G20 主席国期间,把“数字公共基础设施”正式推上了全球议程。当年 11 月的 G20 领导人虚拟峰会上,莫迪宣布建立“全球数字公共基础设施库”(GDPIR)和一个“社会影响基金”,专门用于推动全球南方发展 DPI5。作为主席国,印度还和八个发展中国家签了谅解备忘录,免费向它们提供 India Stack 架构的使用权6。
把这三条路径放在一起,会看到印度出海的姿态有一个很不一样的地方:它卖的不是产品,是“方法”。
印度反复强调,DPI 不是某种专有技术,而是“普惠增长的数字轨道”,尤其是为全球南方准备的7。官方的措辞很讲究——它说这不是在卖产品、不是在输出影响力,而是在帮助各国“在自己的土地上、按自己的方式”建自己的系统7。开源、免费、不锁定,是这套出海叙事的核心卖点。
这个姿态和两个对照组形成了鲜明的对比,而这个对比正是理解印度战略的关键。一个对照组是中国的“数字丝绸之路”——批评者认为它倾向于输出一套以国家监控为底色的、可能让接受国对中国技术产生依赖的体系。另一个对照组是美国大科技公司主导的模式——一套商业驱动的、把接受国市场变成硅谷巨头利润来源的体系。印度把自己放在这两者之间,定位成一个“民主的、伦理的替代方案”,一个“第三条路”8。
“第三条路”这个说法,不只是外交辞令,它有清晰的意识形态内核,而且这个内核贯穿了整本书。
回顾前面所有章节:身份层强调开放 API、避免单一主体垄断;支付层是协议而非平台、非营利运营;数据层把控制权交还个人。这些设计选择背后,是同一个意图——在“国家独占”和“企业独占”这两种数据权力的集中模式之间,走一条让数据分散、流动、并接受制度约束的路。尼勒卡尼把这描述为一种“数字社会契约的潜在重构”——重新平衡公民、国家、私营部门之间的代理权9。
这套话语,在印度国内还有一个更民族主义的版本。政策圈把它和“自立印度”(Atmanirbhar Bharat)、“数字自主”(Digital Swadeshi)、“技术主权”这些口号绑在一起,再加上对殖民历史的引用,为数据本地化法规、本土数字公共品提供正当性10。换句话说,这套基建对内是技术民族主义的载体——它让印度不必在数字时代依赖中国或西方;对外则是“数字非结盟”的工具——它给全球南方提供了一个不必在中美两套体系间二选一的第三选项。
但要给这个“第三条路”的叙事,保留一份清醒的审视,否则就成了替它做宣传。
第一个需要审视的,是理想和现实的距离。这套基建在设计哲学上确实强调开放、分权、还权于民,但前面十一章反复揭示,它在现实中的运转,常常和这套理想有出入:身份层集中在一个数据库上,支付层的开放最后长成了外企主导的集中市场,数据层的“个人同意”在海量采集面前的实际控制力存疑,而最末端的排斥代价被系统性地低估和隐藏。一个对外推销“伦理替代方案”的国家,首先要面对的是它自己的系统在国内是否真的兑现了那份伦理。出海叙事讲得越漂亮,国内那些没被解决的张力就越需要被诚实地摆出来。
第二个需要审视的,是出海本身的地缘含义。印度说它不输出影响力,但一套被广泛采用的技术标准,本身就是一种影响力——它塑造接受国的数据治理方式、创造技术依赖、并在全球数字规则的制定中为印度争取话语权。这不一定是坏事,但把它说成纯粹的、不带任何自利的“帮助”,是天真的。任何基础设施的输出,都同时是能力的输出和规则的输出;印度在做一件所有大国都会做的事——通过让别人用自己的标准,来扩展自己的影响半径。诚实地承认这一点,并不削弱这套基建的价值,反而让对它的判断更准确。
第三个需要审视的,是“模板可复制性”的边界。前面讲过,ONDC 在电商领域的推进远不如 UPI 在支付领域顺利11;同样,India Stack 在印度的成功,依赖一系列特定的条件——庞大的工程师人才、跨党派的政治延续、特定的人口和市场规模、一个虽不完美但实质存在的司法约束。这些条件未必能在每一个接受国复制。把 India Stack 当成一个可以无差别移植的“灵药”,可能会忽略它成功背后那些不可移植的本地条件。一套基建能在印度长成,不代表它能在任何土壤里长成。
写到这里,可以把整本书的线索收拢了。
这本书一开始说,要把“两个 App”还原成“一台国家机器”。走完十二章,那台机器的轮廓应该已经清晰:它是一套把身份、支付、数据三种公共职能 API 化的国家操作系统;它由一个罕见的组合建成——技术官僚的教父、志愿者的智库、跨党派的政治默契;它的成就是真实的——把几亿人接进了金融体系,把现金赶下了日常交易的舞台,把补贴的漏损堵住了一部分;它的代价也是真实的——最末端的人以排斥和隐私让渡的形式,为这套效率买了单;它的边界由一个外部的司法系统划下,脆弱但存在;它正在把同样的逻辑从身份和支付,推向数据和人工智能,推向能源和资产,推向全球南方。
而贯穿始终的那个问题——这套能力最终服务于普惠还是控制——在书的结尾,依然是开放的。这不是因为没找到答案,而是因为答案还没有被写定。它会被司法的线守不守得住、被数据保护法有没有牙齿、被运营机构愿不愿意透明、被那一手好牌怎么打,一点一点地写出来。印度建了一台前所未有的国家机器,给了世界一个前所未有的样本:一个民主国家,能不能既享受到这套基建的巨大效率,又守住不让它滑向监控、不让它碾过最弱者的那条线。
这个问题的答案,不在印度的代码里,在印度的政治里。而它最终给出什么答案,关系的不只是十四亿印度人,还有所有正在看着这个样本、思考自己要不要、以及如何走上这条路的国家。第三条路通向哪里,现在下结论还太早。但有一件事是确定的:印度已经把这条路修到了一个别人不得不认真打量的地方。
MOSIP(模块化开源身份平台)2018 年设立、11 国采用、惠及逾 9500 万公民,见 CSIS 与 ORF 分析。csis.org(访问于 2026-06)。
UPI 在阿联酋、新加坡、不丹、尼泊尔、马尔代夫、毛里求斯、法国、斯里兰卡等国可用,见 IBEF 与 NIPL。ibef.org(访问于 2026-06)。
UPI 与新加坡 PayNow 对接(2023 年 2 月上线、2025 年扩展)实现实时跨境互通,见 IBEF。ibef.org(访问于 2026-06)。
跨境交易笔数 FY22 约 180 笔→FY24 约 37000 笔→FY25 逾 75 万笔(一年约 20 倍),见 IBEF。ibef.org(访问于 2026-06)。
2023 年 11 月 G20 领导人虚拟峰会,莫迪宣布建立全球数字公共基础设施库(GDPIR)与社会影响基金,见 PIB。pib.gov.in PRID 1979113(访问于 2026-06)。
印度作为 G20 主席国与 8 个发展中国家签 MoU、免费提供 India Stack 架构使用权,见 ORF。orfonline.org(访问于 2026-06)。
印度官方将 DPI 定位为“普惠增长的数字轨道”“帮助各国按自己的方式建系统”,见 ORF 与 PIB。orfonline.org;pib.gov.in PRID 2235812(访问于 2026-06)。
India DPI 定位为对中国监控式数字丝路与西方大科技商业主导的“民主、伦理替代方案”“第三条路”,见 TechPolicy.Press 与 CFR。techpolicy.press;cfr.org(访问于 2026-06)。
Nilekani 关于 DPI 带来“数字社会契约的潜在重构”、公民/国家/私企间代理权再平衡的论述,见 TechPolicy.Press。techpolicy.press(访问于 2026-06)。
“自立印度”(Atmanirbhar Bharat)、“数字自主”(Digital Swadeshi)、“技术主权”与数据本地化的技术民族主义话语,见 Policy Circle 与 StratInk 分析。policycircle.org(访问于 2026-06)。
ONDC 在电商领域推进远不及 UPI 顺利(采用集中、零售额下滑),见 MIT Technology Review。technologyreview.com(访问于 2026-06)。
这本书的全部材料,来自对公开资料的系统性搜集与综合:印度政府机构(UIDAI、NPCI、RBI、PIB、MeitY、NITI Aayog)的官方数据与文件;国际组织(世界银行、其全球财务包容数据)的报告;学术来源(剑桥金融基础设施手册、ACM Interactions 等);主流媒体的深度报道(MIT 科技评论、The Wire、Scroll.in、Business Standard、TechCrunch 等);智库分析(ORF、CSIS、Brookings、CGAP、Stimson);以及批评性来源(Rethink Aadhaar、相关学者的论述)。
写作中坚持了几条纪律。其一,区分事实、解释和推断——“UPI 在 2026 年 1 月处理了约 217 亿笔交易”是事实,“这套基建是数字主权的工具”是解释,“数据层是 AI 飞轮的入口”是结构性推断,三者在文中尽量保持可辨。其二,对官方口径的数字保持警惕——尤其是“节省万亿”这类政治性极强的数字,一律标注其来源和争议。其三,对涉及人命和声誉的判断保持克制——排斥章节里的死亡案例都来自公开报道,但因果归属用了审慎的措辞,不做超出证据的指控。
这本书也有它清晰的边界,需要坦率承认。
最大的边界,是关于“排斥”的真实规模。UIDAI 至今不公开认证失败的具体数字,关于排斥的认识,主要来自媒体和民间组织对个案的抽样调查。这意味着,书里呈现的排斥,几乎肯定只是冰山露出水面的部分——有多少人在更安静地承受着系统的拒绝,公开数据无法回答。
第二个边界,是关于数据的实际流向。第四层(数据层)的同意架构在纸面上的设计是清楚的,但这些被授权的数据在现实中究竟流向了谁、被用于什么,缺乏公开的、可追溯的记录。书里关于“数据飞轮”的判断,更多是基于结构和趋势的推断,而非对实际数据流的实测。
第三个边界,是关于 AI 前瞻的不确定性。第十一章讨论的本土大模型、Finternet、能源栈,相当一部分还处于规划和早期阶段,它们的宏大目标和实际进展之间有距离。书里已尽量标注哪些是已兑现的、哪些是宣称的,但这个领域变化极快,任何前瞻都有被现实修正的风险。
承认这些边界,不是为了削弱这本书的判断,而是为了让判断落在它该落的地方——它能让你对这套基建形成研究者级别的结构性理解,但它不能替代那些只有走进现场、走进数据、走进私域才能获得的更细的真相。那些更细的真相该怎么去找,写在最后一章里1。
排斥的真实规模(关联第七章)——现有证据等级:B/C(个案为主)。现有判断依赖媒体与民间组织对个案的抽样。田野能提供的是系统性的样本:在高排斥邦(如贾坎德、拉贾斯坦的部分地区)对配给点、受益人做结构化的入户调查,量化“认证失败导致的实际断粮天数”和“被注销卡中真实需求者的比例”。预计成本高、伦理风险中(涉及脆弱人群,需严格知情同意)。
DBT“节省”数字的真伪(关联第五章)——现有证据等级:B(官方口径)。田野与数据工作能提供的是独立核算:通过信息公开申请(RTI)获取邦级的口粮卡注销与恢复明细,交叉比对“被注销卡”与“事后申诉恢复卡”的比例,估算“节省”中混入的错误排除部分。
数据层的实际流向(关联第十章)——现有证据等级:C(结构推断)。田野能提供的是对账户聚合器生态中数据使用方的实证追踪:被授权的数据实际流向哪些机构、用于信贷之外的什么用途。
本书能告诉读者的,是这套基建的结构、历史、组织、规模、目的、张力,以及它在身份/支付/数据/AI 各层的运作逻辑与争议——这些基于公开资料可以做到研究者级别的扎实。本书不能告诉读者的,是排斥的真实总量、数据的真实流向、以及那些被记者和数据偶然照亮之外的、更广大的沉默地带。这些边界,源于运营机构的不透明和私域信息的不可公开复核,而非研究的疏漏。把它们如实标出,是为了让这本书成为一个可被衔接、可被审计、可被后续研究继续往下挖的起点,而不是一个封闭的论断。