這些關於數位身份認證系統設計的問題,自1990年代互聯網開始加速發展時就是科學家與法學家關注的重點,因為這觸及數位與類比世界資訊傳遞與解譯方式的根本差異。以類比世界中的駕駛執照為例,上面有汽車監理處官章、駕駛人姓名、地址、身分證字號、出生年月日、相片等個人資訊。如果僅僅是為了不違反未成年人不準購買煙酒的法律規定,商家的確認流程是:(1) 確認該駕照有效且非偽造,(2)透過相片確認消費者是持照人本尊,(3)憑駕照上的出生年月日確認消費者已達得購買煙酒的法定年齡。理論上,認證消費者是否成年,無需知道他的姓名、地址等資訊。我們放心把駕照給店員過目,是假設店員無法記得敏感個資,且缺乏圖利的誘因。但在數位世界中,所有這些資訊都會被翻譯成二進位代碼,這意味著用戶身分證明的資訊載體可以被分拆(unbundle)而且全部都可以側錄。消費者的相片、姓名、地址、年齡等資訊,在互聯網上都是一連串的0與1,如果沒有辦法就個別資訊流認證,理論上駭客可以將偽造的資訊混搭在一起矇混過關。倘若讓某一權威機構來經手所有消費者資訊的認證,一旦該機構超載或被癱瘓,整個交易流程就會停擺。若將所有資訊全部透過互聯網交由商家認證,消費者又會曝露在商家不當保管甚至濫用個資的風險之中。由此可見,所謂數位身分認證,絕對不是把類比身分證掃描成數位檔案就好,而是需要更深刻全面的系統思維。對電機工程師與電腦科學家而言,數位身分認證問題其實是通訊協定設計與資料庫動態存取問題,對法學家與監管機構而言,數位身份其實牽涉到基本人權與憲政法理,關鍵是如何在隱私(privacy)與問責(accountability)之間取得平衡。
要理解這個關鍵問題,可以參考點彩畫派(pointillism)創始人修拉(Georges Seurat)的作品。數位世界中的每個人都可以視為一張點彩畫,畫面中的每個彩點,都可視為畫中人身份的一部分,也是觀賞者認識畫中人的資訊子集合。單一彩點雖不足以讓他人精準辨識畫中人,但只要點夠多,拼湊出本尊並不困難。一旦加入時間因素,每張點彩畫就成為畫中人行為的時空斷面圖,觀賞者可以將點連成線,線連成面,勾勒出畫中人本尊的輪廓。這些點線面構成的「大數據」究竟屬於誰,在全球主流法律體系內尚未有定論。點、線、面都是畫中人身份的表徵,其證明力來自於畫中人獨一無二的人格身份,但畫中人並無就其身份享有排他性的所有權、商標權甚至專利權。人要行使政治權利與進行經濟活動,必須要能為他人辨識承認。如果個人能夠在姓名身份每次被辨識使用時都收取專利授權金,人類社會將難以為繼。亦即,人的身份有「公有品」(public goods)的特性。身份產權定義不清,給了有能力蒐集大數據的互聯網平台從用戶數位身份牟利的空間,亦讓用戶個資暴露在遭受誤用、濫用、盜用的風險之下。現行歐盟與北美法律雖然有規範企業蒐集與變現用戶數據的合法範圍,卻從未明文要求企業承認用戶對其個人大數據的「主權」,從而給了大型互聯網平台主張蒐集來的用戶大數據是營業秘密甚至企業私產的餘地,而這正是臉書、亞馬遜、谷歌、騰訊、阿里巴巴等公司市值能夠破千億美元的主因之一,這象徵著互聯網平台超凡的能力,亦隱含著巨大的責任。