身份盗窃（identity theft）被认为是世界上增长速度最快的犯罪，也被称为“世纪之罪”“千禧年之罪”，引起了许多国家、区域性和全球性国际组织的高度关注。但它们却不是一种新的犯罪形态，而是一项很古老的不法行为。我国四大名著之一《西游记》中，唐僧的父亲陈光蕊考中状元，但在赴任途中被水贼刘洪所杀。刘洪其后冒充陈光蕊，霸占唐僧之母，并顶替其赴任江州刺史，以陈光蕊的名义生活和为官18年，直到玄奘报信京城，丞相发兵六万，方才受法伏诛。我国古代律法中也有相关对诈假官、诈冒官员姓名等行为的惩处性规定。

而在域外，根据澳大利亚政策咨询和研究机构Caslon的研究，早在公元1世纪前，就出现了身份盗窃行为。Jennine Hurl-Eamon也曾指出，17世纪和18世纪的英国，冒用他人身份的行为十分常见，因此冒充他人也成了一个非常常见的文学主题，故事和戏剧中充满了采用不同伪装和身份的人，传单和小册子上也描述了那些非常有名的假冒者，为了掩盖贫穷的出身而冒充有钱人，也有女人冒充男人并设法骗了数以百计的人直到最后方才被揭穿。司法机关也曾明确身份盗窃这一行为由来已久。在加拿大不列颠哥伦比亚省R. v. Harris案中，Ball法官指出：“控方检察官和辩方律师都认为本案关涉身份盗窃，好像身份盗窃是一个很重要的最近才出现的新问题。我虽然是一个历史学的外行，但我书架上有一本我经常阅读的书《那些走向绞刑架的臭名昭著者》（Some Notorious Visitors to the Gallows）就是关于17世纪和18世纪的身份盗窃案件的，彼时身份盗窃案件可以判处死刑。”

此时我们不禁会产生一个疑问，为什么与身份相关的犯罪行为由来已久，最近40年才开始引发国际社会和普通公众的大量关注和担忧，引发国际组织、各国立法机关、司法工作者、理论研究者的热烈讨论？最直接的原因当然是，20世纪末期至今的这几十年间，身份盗窃相关的违法犯罪行为在数量上激增，给个人、社会和国家都造成了巨大的经济和非经济损失。那么接下来的问题就是，为什么从20世纪末期起身份盗窃相关的违法犯罪行为会大量激增？针对这种自古就存在的犯罪行为，为什么之前不集中以“身份盗窃”“身份犯罪”的概念予以描述和在法律上予以应对，而是在新千年前后频繁开始使用这样一个新的犯罪术语和法律术语？或者更准确地说，为什么从20世纪末期开始“身份”开始具有了法律上的独立保护价值，尤其是刑法独立保护的价值？这就涉及对“身份”的理解、身份在信息化时代的表现形式和识别认证方式的转变以及身份在数字时代的价值体现。

一、“身份”的法律内涵

“身份”是一个内涵非常广泛的概念，关涉众多学科，历史学、人类学、政治学、社会学、哲学、心理学、法学等都有以“身份”为主题的学术专著，而“身份”一词的前后也有诸多的限定修饰词，例如性别身份、文化身份、民族身份、政治身份、法律身份、个人身份、社会身份、国家身份、身份认同、身份构建等。不同的学科从不同的角度去理解和塑造“身份”的内涵，构成了“身份”的最广义含义。

（一）“身份”的多重语义

“身份”一词在汉语中由来已久。在古代，“身份”通“身分”，例如《左传·僖公二十三年》中的“固宜退省身分，诚恩之厚，不知报答，当在何期”，以及《庄子·外物篇》中的“吾自南及北，未当一言与时人论身分也。”《辞源》将其含义界定为，人在社会上的地位、资历等的统称。《现代汉语规范词典》则将“身份”解释为：（1）人的出身、地位和资格；（2）特指受人尊敬的地位。可见，我国的“身份”一词在起源时与英文的“status”等同，而非“identity”。

随着社会经济的发展以及国际文化交流互动，“身份”一词开始发展出多种语义，并成为多学科的研究对象。首先，“身份”可以指个人在社会、家庭、组织等群体中的地位或角色，用来描述一个人在社会中的身份特征，包括职业、社会角色等。例如，“他的身份是老师。”“她的身份比较特殊，是公司的创始人。”其次，“身份”可以指个体在某些特定场合下的认同和归属，包括文化、民族、性别、宗教等身份特征。例如，“身份认同在跨文化交流中起着重要作用。”最后，“身份”可以指确认或识别某人或某物的一系列特征的总和，是其区别于其他人或物的存在本身，或某人或某物在社会中的唯一性和同一性。例如，“身份证是确认个人身份的主要凭证。”身份的内涵还可以从不同学科不同角度作更细致的挖掘和界定，但整体上可以看出，我国“身份”一词的语义具备了英文中的“status”“role”“occupation”“qualification”“identity”的多重内涵。

本文的研究主题“身份盗窃”一词对应的英文为“identity theft”。然而，“identity”一词在英文中也是具有多重语义的。《布莱克法律词典》（Blacks Law Dictionary）并没有单独对“identity”一词给出定义，而是对identity所组成的词组予以解释，例如identity of evidence，identity of invention, and identity of design。由此可以看出，这些意义上的identity都与“身份盗窃”意义上的identity不是同一范畴。根据《韦氏在线词典》（Merriam-Webster online Dictionary），“身份”是指“与描述或提到的某事或某物完全一样或完全符合所描述或提到的某事或某物”；《牛津英语字典》给出了多个有关“identity”的定义，其中之一为“在任何时间的任何情境下人或事的同一性；人或物是其自身而非其他人或其他物的事实”。有学者认为，这是“身份”在词源学上的古老之意，指的是特定姓名与特定人之间的（通常是法律上的）关联性，与某个特定的人的同一性。

（二）“身份”的法律内涵

如上所述，“身份”可以从不同学科不同角度加以理解，其内涵丰富多样，语义各不相同。即便从法学学科加以理解，“身份”一词亦有以下三种内涵。

1.传统刑法理论上“身份犯”中的“身份”

传统刑法理论上，身份犯是指，以特殊身份作为主体构成要件要素或者刑罚加重、减轻根据的犯罪，前者称为真正（纯正）身份犯，没有法条规定的特殊身份则犯罪不成立，例如《刑法》第253条私自开拆、隐匿、毁弃邮件、电报罪的主体必须是邮政工作人员，如果实施行为的主体不是邮政部门的营业员、分拣员、投递员、押运员以及其他邮政工作人员，其行为就不构成私自开拆、隐匿、毁弃邮件、电报罪；后者称为不真正（不纯正）身份犯，是指特殊身份不影响定罪但影响量刑，例如《刑法》第177条之一第2款窃取、收买、非法提供信用卡信息罪规定，银行或者其他金融机构的工作人员利用职务上的便利实施本罪的，从重处罚。由此可见，“身份犯”中的“身份”，是针对特殊的犯罪主体而言，是指刑法所规定的影响行为人刑事责任的人身方面特定的资格、地位或状态，如国家机关工作人员、司法工作人员、军人、辩护人、诉讼代理人、证人、依法被关押的罪犯等。

2.传统民法理论中身份权中的“身份”

“民法上身份云者，谓基于亲属法上相对关系之身份，有一定身份后得享有之权利也。例如家长权为家长对于其家属之身份，夫权为夫对于其妻之身份，亲权为父母对于其子女之身份，是也。亦可谓亲属权。”亦有学者认为，在民法理论上，身份权有广义和狭义之分：前者泛指一切基于身份关系而享有的权利；后者仅指亲属法上基于亲属身份而享有的权利。这种身份关系是一种此人与彼人之间得到法律承认和保护的人际关系，并且基于这种人与人之间的关系而产生一定的受到法律承认和保护的权利和利益。我国《民法典》中共出现9次“身份”表述，其中第464条、第1001条中的“身份”是属于传统民法理论中亲权（身份权）意义上的身份；第764条中的“身份”则是主体在社会上和法律上的地位和角色，而第15条、第25条、第1034条、第1195条和第1196条里面的“身份”，则是身份识别与人身同一认定意义上的“身份”。

3.现代“身份识别”意义上的“身份”

所谓“身份识别”，是指将某人从群体中挑选出来，并将其作为唯一存在与其他人区分开来的过程。身份是确认或识别某人的一系列特征的总和，是作为“人”区别于其他人的存在。但它并不是指其深层次含义上的“我是谁”或“什么让我成为我”的自我认知和哲学探索，而是指记录在相应证件、文书、系统中的主体的身份，该身份决定了其被正确认出（身份识别）和作为唯一的个体与他人和社会发生交互（办理业务或进行交易）的能力。加拿大发布的《身份管理指令》（Directive on Identity Management）将“身份”定义为“用于将唯一的、特定的个人、组织或设备辨认出来的指代或称谓”。

有学者将其定义为“所谓身份，是一个人在法律上的主体地位和资格”。此处所指的主体地位和资格，是指一个人在法律上表现为作为唯一之人的主体本身，而非该主体在社会上作为一个人的存在之外而承担的角色、获取的资格、享有的地位。其与传统刑法理论中身份犯的身份的区别正在于此。后者的“身份”恰恰是作为一个人的主体之外承担的角色、获取的资格和享有的地位，也就是犯罪主体的特殊身份、作为主体之外的身份。

身份识别意义上的“身份”强调主体作为独一无二的存在，在不同时空下的同一性。这是其与传统民法理论上身份权中的“身份”的本质不同。后者意义上的身份关系是一种此人与彼人之间得到法律承认和保护的人际关系，并且基于这种人与人之间的关系而产生一定的受到法律承认和保护的权利和利益。身份识别意义上的“身份”，并不需要与他人发生关系，或者说，身份识别意义上的“身份”，发生在与人产生关系之前，先作为社会中独一无二的存在拥有了一个作为“人”这个主体的身份，然后再与人与社会发生关系，进行互动。这是一种属于“人格权”范畴的内容，其讨论的核心和根本所在仅关涉“自己是谁”，自己作为“人”或法律“主体”区别于其他人的存在本身。

身份识别意义上的“身份”已经得到了我国立法的认可。如上所述，我国《民法典》第15条、第25条、第1034条、第1195条和第1196条里面的“身份”，以及我国《刑法》第177条之一妨害信用卡管理罪、第196条信用卡诈骗罪中出现的“虚假的身份证明”，第280条伪造、变造、买卖身份证件罪、第280条之一使用虚假身份证件、盗用身份证件罪中出现的“居民身份证”“用于证明身份的证件”，第280条之二冒名顶替罪中出现的“盗用、冒用他人身份”都是此内涵意义上的“身份”。

我国学者们也开始对这一意义上的“身份”开展研究，例如有学者指出，身份是自然人升学、就业、财产确权、工作、继承等几乎所有事情的必备条件，现代科技条件便利了侵犯他人身份行为的实施，且后果更为严重，因此有必要尽快立法确立区别于传统侵权意义上的身份权概念和保护制度，以遏制侵犯身份权行为大量发生可能会带来的社会失序。亦有学者从身份法律制度对人脸识别（刷脸）技术予以解读，揭示了其身份认证权利从分布式向集中化的转变以及刷脸背后可能存在的风险，并就其法律规制提出了相应完善建议，针对数字人身同一认定（身份的确认）的法律规制存在的问题提出相应完善意见，面对数字化生存的身份变革，就数字公民的身份确认及权利保障，指出要坚持“以人为本”的数字法治原则，消解数字公民的机制性游离，实现数字公民身份的合法化确认等。

作为本文主题的身份盗窃中的“身份”正是身份识别意义上的“身份”。这一意义上的身份内涵，随着民众个性意识的增强、国家对人权保护的推进、科学技术进步带来的数字主体等新型法律概念的兴起，而逐渐得到更大程度更广范围的认可，并进一步衍生出作为身份识别意义上的“身份”的子概念的法定身份和数字身份。

所谓法定身份，是指个人的正式（官方认可的）身份，与非正式目的、宽泛概念意义上的个人或社会身份（例如不受规制/管理的商业或社交意义上的点对点线下或线上接触）相区分开来。它是基于构建个人在群体中或特定情境下的唯一性的个人特征（标志或标识符），且在管理和其他官方正式目的意义上被国家认可的对某一特定自然人的描述（specification）。法定身份（legal identity）作为个人唯一的独特的一组特征，从而提供了此人区别于他人的方式。法定身份提供了有关个人作为一个人有权根据国家法律获得保护的地位的证明。

法定身份很大程度上是固定不变的，记载于官方签发和认可的官方证件上，这些证件中包含证明持有该证件的个人的身份和地位的基本信息，从出生登记证书开始，接着是结婚证书、护照，等等。法定身份更鲜明地关涉身份识别性（identifiability），因为法律身份寻求的是在一组事实中，与这些事实所关联的人直接的联系。尽管没有“有形的实体存在”，法定身份可以通过出示证件和知晓可以证实其是其所声称之人的信息而证明。联合国亦明确，社会、政治和经济活动的每个方面都依赖于组织、机构和政府对个人作为唯一个体的法定身份的确认。要想这些社会、政治和经济活动具有意义，就必须为具体的个人创设和关联一个法定身份，因此与个人其他数据所关联的身份信息必须被创设、移转、存储和检索。身份在人类交往中的关键之处在于改变或伪造身份信息或经由未经授权的接触破坏身份识别系统，能够摧毁政府、金融和社会关系的基本结构。

随着信息化、网络化、人工智能化的深度发展，人类迈入“万物数字化、一切可计算”的数字时代，人们的物理生活与数字生活密切交织，线上线下融为一体，物理身份和数字身份交替运用。所谓数字身份，是指以数字化方式呈现的身份，是个体在数字空间中的唯一标识，具有唯一性与可验证性、动态性与跨界性、私有性与匿名性的特征，亦是数字化时代对个体传统身份的突破和超越的产物。在数字化时代，数字身份作为在数字社会中生存主体的重要表征，是了解个体与数字世界互动的关键，同时也是主体进入网络社交和数字经济的基本门槛和准入凭证。更有学者断言，个人信息之上所承载的数字身份，才是真正连接着人类物理世界和虚拟世界的唯一沟通桥梁。

此外，从“身份”与数字身份的关系上看，身份的概念主要关涉用于区分人（将此人与彼人区分开来）的证件和信息。科技的进步和发展进一步将身份的概念扩展至网络世界并且引入了“数字身份”这一概念。信息系统用于身份认证，因此数字时代身份的概念也能涵盖私主体分配的用户名、登录信息、个人身份识别号码（PINs）、用户名或密码。换言之，数字身份不仅包含“个人的身份本身”（who an individual is），也包含构成其身份属性特征（attributes）的“凭证”（credentials）。

（三）“身份”法律内涵的哲学影响

如前所述，身份是一个复杂的概念，拥有多重含义和多个面向，并且不同学科的“身份”的内涵会产生相互影响，尤其是哲学意义上的“身份”对法律意义上的“身份”的影响更应值得关注。有学者认为，欧盟对身份的理解是建立在黑格尔思想的基础上。对黑格尔而言，个人只有在她/他被认出（recognized）时才存在，这种认出来自一系列持续性指向或指代特定个人的信息。受黑格尔思想影响，欧洲法学界倾向于认为，个人对其个人信息享有财产利益（propertyinterest）。黑格尔认为，财产性是人的存在（personhood）的一个特征属性，故给予个人对其个人信息的控制权。因此，欧洲法学理论也都认可，个人在政府帮助下有控制个人信息的能力。

而美国对身份的理解则更多受洛克思想的影响。洛克从意识（consciousness）的角度探讨了身份的概念，即个人有意识地知晓他/她在不同时期，无论在何种场景或环境下，都是同一个存在。个人在其影响的私领域享有控制权，并享有对抗他人的防御性自由（defensive liberties）。美国个人身份的法学理论涉及的是预防他人干扰其私领域，法律保护个人信息不受他人的干扰。在美国，禁止或限制个人对其身份的控制权，包括自由改变身份信息的权利，否则构成犯罪。这种哲学思想的差异导致了欧盟与美国在身份上的理解偏差，也进一步决定了欧盟与美国在身份制度构建、个人信息保护以及身份盗窃的刑法惩治上的路径不同。

二、身份的识别与认证

身份识别意义上的身份是人在社会上的存在，自己与任何他人作为主体的区分。基于此种身份，个人享有在社会中作为主体被认出并享有相应主体利益的权利，即个人享有正确、具备功能性的、唯一的身份的权利及其排他性使用该身份的权利。那么身份如何表现？什么构成了身份？身份经由什么来识别，又如何得以认证？

（一）身份的表现形式

身份体现在各种标识上，通过这些标识将特定的人认出并与其他人区分，换言之，是该特定的人的特征或对其本人而言是独一无二的其人格的面向（facets of his personality），例如生平历史、性格、名字、信誉、声音、笔迹、外表（实体影像）等。不同的法律制度、身份系统以及理论学说对这些标识的筛选标准不同，从而构成了身份的不同表现形式。例如，英国《2006年身份证法》（Identity Act 2006）第1条第（7）款规定，提到某个人的身份就是提到他/她的全名、其他的曾用名、性别、出生日期和地点、死亡日期（如果去世了）以及他/她的外在特征。根据该条法律规定，个人的身份是一组信息，包含姓名、性别、出生日期和地点以及外在的身份识别特征（手写签名，13个生物识别特征—脸部扫描、2个虹膜纹、10个指纹，以及脸部照片）。有学者基于该法，提出了数据库身份（dataidentity）与通证身份（token identity）的区分：前者是身份系统项下数据中可以访问的有关于某个个体的记录的所有数据和信息[除了前述第1条第（7）款中规定的那些信息，还包括地址、居留和公民身份，以及驾驶证号码、护照号码等其他信息]；后者是可以确认个体在交易/业务中的身份的一组有限的信息（正是具体数字身份系统项下被选择的一组结合起来用于对业务和交易进行认证的身份标识符集合，创设了一种身份的形式）。组成数据库身份的信息量更大，而组成其他通证身份的信息属于一组更小含量的合集。此外，该学者还进一步提炼出了身份辨认信息（identifying information）的内容，其仅指第1条第（7）款能辨认身份的个人的外在特征，具体而言，个人的生物识别特征、脸部和虹膜扫描、照片以及签名，比通证身份的信息范围更窄。

还有学者将作为身份标识符的个人身份识别信息分为三类：知晓类（knowledge-based），包括姓和名、曾用名、父亲姓名、母亲姓名、出生日期和地点、地址、婚姻状态、宗教和职业、密码和个人身份识别号码等；通证类（token-based），个人所持有的东西，特别是证件类，包括出生证、结婚证、护照、驾照、信用卡、会员卡、推荐信等和生物识别特征类（biometrics）。英国内政办公室则将身份的三大因素总结为：生物识别特征属性、出生时赋予个人的特征属性（全名、出生日期和地点、父母姓名和地址）以及传记生平式特征属性（包括出生和婚姻登记、教育和资格证书信息、缴税记录、就业经历、房产抵押贷款账户信息、保险单、与金融机构和公共设施机构交往历史等）。澳大利亚官方报告则建议，身份可以通过各种身份识别符的使用而认定，这些身份识别符可以是身体的和生物上的，例如虹膜扫描、指纹、声纹，也可以是书面证件，例如护照和驾照，还可以通过金融识别符，例如银行账号或信用卡号等。

但需要注意的是，身份和进行身份识别的身份标识符或身份识别信息是不同的两个概念。例如，1998年澳大利亚《执法和国家安全（虚假身份）法》[Law Enforcement and National Security (Assumed Identities) Act 1998]规定了“特定执法部门和国家安全部门的工作人员未执行公务而获取或使用虚假身份”，其第3条将“身份”定义为“姓名、出生地址或日期、或其他法律规定所给出的有关个人身份的其他方面”。第5条将“个人身份识别符”定义为“人的指纹或手纹（包括使用纸张和墨水所获取的或使用数字现场扫描技术所获取的）、身高和体重、个人照片或其他影像（从头到肩）、个人音频或视频录像、虹膜扫描、个人签名”中的任何一种（包括其数字形式）。身份识别涉及“有优先权的”或确定的特征属性子集的挑选以确保足以确定身份。身份概念与个人的本质属性及个体认知不可分割，它关涉个人对“自我”和“个体”的认知，同时让其他人能够将其辨认出来或将其与其他人区分开来。身份的概念宽于知晓个人的姓名或认出个人的面容。在许多场合下，获知或确认某个人的身份涉及一整套制度性的或社会公认的用于认证此人不同于其他人的唯一性的身份标识符。换言之，身份是通过“用于识别个人并将其与其他人区分开来的个人信息的集合”来表现的。尤其是在数字化系统中，信息构成身份，而非实物（身份证、其他身份证明文件）。但身份并不等于信息本身，信息的集合也不等于某个具体的信息本身。个人对身份的使用有排他性权利，但对身份的构成因素例如姓名、出生日期或照片并没有排他性权利，行为人对这些信息中的部分信息的错误使用有时并不是对个人身份的使用，不构成对他人身份的侵犯。信息的集合可以识别具体的个人，但具体的某个信息本身，例如姓名有时却不能做到这一点，因为会有重名的现象。

因此，在身份和个人信息的关系中，作为身份的表现形式的身份识别符并不一定构成法律认可的个人信息，例如英国上诉法院在Durant v. Financial Services Authority案中认定，单纯在文件中提及姓名并不必然使它成为“个人信息”。法院认为，作为数据主体的个人必须是信息的焦点，信息必须给出足够的生平描述，具有关联到具体个人的能力，才构成对个人隐私的侵犯。而反过来，个人信息不一定要具有身份识别功能，它可以是已识别自然人有关的各种信息，这一点也已经得到了我国《个人信息保护法》的确认，而这也是我国《民法典》和《个人信息保护法》对“个人信息”定义的最大不同。

英国也是同样经过了这样一个从识别性要求到已识别的关联性的转变。英国《1998年数据保护法》（Data Protection Act 1998）将“个人数据”（personal data）定义为“与活着的个人有关的数据，该人能通过这些数据被识别或者综合这些数据与数据控制者掌握（in the possession）或可能被数据控制者（data controller）掌握的其他信息（包括对该个人的任何看法性表达和数据控制者或其他任何人涉及该个人的任何意图性表明）予以身份识别，与他人区分开来”。为回应《欧盟通用数据保护条例》（European Unions General Data Protection Regulation, GDPR），2018年英国通过《2018年数据保护法》（DataProtectionAct2018）取代了《1998年数据保护法》。根据《欧盟通用数据保护条例》，“个人数据”是指“与已经被识别身份（identified）或可被识别身份（identifiable）的自然人或数据主体（data subject）有关的任何信息”。在R. v. Rooney案中，一审法院认为被告人在没有得到数据控制者同意的情况下披露了个体的个人信息。上诉过程中，被告人辩称，披露一群个体居住在某个特定的城镇的信息并不构成披露个人信息，因为这并不足以身份识别出这群个体或他们的地址。但上诉法院维持了原判，认定“上述信息包含了法律规定的个人数据，被告人披露的上述信息不一定要对这群个体进行身份识别，因为信息的接收者已经知道这些个体的身份了。”因此，居住地址可以像姓名、性别、出生日期和地址等一样归类为个人信息，但地址和有些信息却并不能称为身份。

（二）身份的识别与认证

身份是识别自我和其他主体的特定标识。身份识别（identification）是指，“认定某人或某物的身份，或‘认可某人或某物与某人或某物（两者之间存在一个参照物，而并非指存在两个人或两个物）的同一性’或‘将某人或某物当作某人某物（两者之间存在一个参照物，而并非指存在两个人或两个物）看待’的行为或过程”。简言之，身份识别就是认定或接受某个人是他/她所声称的那个人。在信息系统场景下，身份识别的目的就是要将一系列数据与现实世界中的主体关联起来。也有学者指出，身份识别就是要将某个时间点观察到的人认定为另一个时间点观察到的同一人，换言之，身份识别的最终目的不是将数据与特定的人联系起来，而是要将人与人（不同时空的同一个人）联系在一起。我国也有学者将此过程称为“人身同一认定”。

在传统的熟人社会，人们通过认脸（认人）相互识别，从而进行社会交往和合作。随着现代社会人口的高度流动性和陌生化发展，人脸的识别性作用和社会性意义开始减弱，其所代表的对小规模熟悉社会成员的认证职能，逐渐被国家和单位组织提供的大规模认证职能取代，身份法律制度也由此兴起。例如，我国《居民身份证法》规定了作为“每个公民唯一的、终身不变的身份代码”“由公安机关按照公民身份号码国家标准编制”的身份证号码。身份法律制度是国家的核心法律制度之一，通过为公民创设唯一的权威身份、颁发身份证件，并通过这一证件对人口、税收、公共服务等方面的统计调查，国家能够实现有效治理。法定身份的证明通常依赖于政府提供或签发的登记、文件或证书的某种形式，这些登记、文件或证书构成构建和验证正式身份的核心标志（例如姓名、出生日期和出生地点）的证据。证明“正式身份”的标准各地不同。政府行使其主权而确立证明正式身份所需的标志、证据和程序。这些因素可以改变。随着技术和身份的文化概念发生演变，政府可以授权批准各种标志。在确立正式身份的标准上，政府可以使用固定的、描述性的、基于规则的路径，也可以使用基于原则、绩效和或结果的路径。

随着信息化、网络化和数字化的发展，人们的生活场景和社会关系已经逐步迁移到信息网络和数字化场域，数字身份应运而生，数字身份的可识别性特征变得更多维、更复杂，其识别和认证方式也经历从初始阶段的用户名和密码组合的简单认证到发展阶段的多因素和整合身份管理的复杂认证，从传统的中心化认证到转型阶段的以区块链技术、智能合约为代表的去中心化认证的转变。换言之，数字身份的出现改变了身份识别和认证的方式。法定身份的证明由政府或代表政府来提供，在数字时代，我们开始见证新的模式，数字身份及其认证在政府之外，亦由私营部门或与政府合作提供，甚至主要是由私营部门或公私合作来提供。

数字时代法定身份的识别和认证以及数字身份本身的识别和认证都离不开数字身份系统的构建和运作。数字身份系统的构成主要包括身份登记和身份认证。身份登记亦称为最初绑定或凭证提供。这一步主要解决在数字身份系统中身份创设的问题，设立身份账号（登记）以及将个人的唯一身份绑定至该人所持有或掌控的认证物（authenticators）上。在实名制或以法定身份为基础的数字身份构建的情况下，这一步还涉及实名验证和法定身份确认（从法定身份到数字身份）的问题，涉及有关个人身份证据和身份信息的收集、确认（validate）和验证。具体内容为收集核心特征属性和特征属性证据（例如，通过填写线上表格，发送自拍照片，上传护照或驾照等证件的照片等），解析出群体内或场景中的唯一身份；认定身份证据的真实性（authenticity）和身份信息的准确性（accuracy），并通过去重复性或唯一性确认（de-dpulication）关联到一个物理世界中的人（例如，通过重复记录搜索、生物特征识别或去重复性算法）；验证已确认的法定身份（已关联到的个人）与申请登记注册数字身份之人之间的关联性[例如，使用人脸识别和活体检测（liveness detection）等生物特征方案]；为已经证明了身份的申请人登记，设立身份账户，发布一个或多个认证物，并将身份账户绑定至用户所控制的认证物上。身份认证是用来确认“你是否是识别和验证的这个人？”这个问题的。基于对认证物的持有和控制，“认证”认定主张该身份（登记的顾客或权利人）的人与身份证明和登记的这个人是同一个人。

根据金融行动特别工作组的指南，常见的身份认证要素可以分为三类，一为所有权要素，亦即个人所有的东西，包括卡、证书、安全通证（securitytoken）、移动应用程序（mobileapp）、通行证/访问卡（accessbadge）等；二为知晓要素，亦即个人所知道的东西，包括密码、口令（passphrase）、个人身份确认码（Personal Identification Number, PIN）、质询应答（challenge-response）、其他秘密等；三为固有要素，亦即个人固有的东西，包括生物识别特征中的指纹、虹膜、脸部扫描和传记性数据等。认证依赖各种不同种类的认证要素和协议或过程。这些认证要素的安全等级各不相同。单一的认证要素通常被认为不够可信。采用多种认证要素的认证通常被认为更为稳健。

严格意义上来说，广义的身份识别包含身份认证，而狭义的身份识别，则是指从一个系统或群体里找出或挑出一个人来，将出示身份识别符或身份识别信息的人对应或关联到某个唯一的人。身份认证，则是证明声称是这个人的人真的是这个人，通过一定的证明途径，将待认证身份的人关联到从系统或群体中识别出的这个唯一的人，证明他们的同一性。通常情况下，输入用户名对应的是身份识别，输入密码则是身份认证，用以证明此时输入用户名和密码的这个人是当时登记注册为这个用户名并知晓这个密码的那个人。但实际操作中，狭义的身份识别与身份认证有时候合二为一了，识别经常融入认证环节，通过认证来识别。例如，提交法定身份证件，就同时具备身份识别和认证过程中的功能，包括展示特定身份信息和通过对比查验以证明特定身份。其中的差异和区别实际上也影响了身份信息、身份认证信息和身份识别信息的内涵和对其的理解。广义的身份识别信息包含身份信息和身份认证信息。狭义的身份识别信息仅指身份信息，是指这个人是谁（who an individual is）；身份认证信息是证明你是你声称的那个人的信息。

三、数字时代的身份价值及其法益证成

如前所述，近40年来身份犯罪案件数量大幅上升，引发了社会公众、新闻媒体、金融机构、司法机关、政府部门的大量关注和担忧。《联合国打击网络犯罪公约（草案）》在2022年提交磋商和谈判版本中亦曾明确要求各国立法或采取其他措施打击与身份有关的犯罪。身份的价值及其保护在数字时代成为各国乃至国际社会面临的一个十分重要的议题。

身份是作为独立个体被识别和对待的权利，个人对其存在的唯一性具有明确的利益。国际社会已然承认这种权利和利益。1989年《联合国儿童权利公约》（United Nations Convention on the Rights of the Child）系与身份权（the right to identity）有关的国际法。其第8条特别规定了身份权以及个人身份权的要素，尽管该条没有对“身份”定义，但第8条第1款规定：成员国承诺尊重儿童保持法律认可的身份，包括国籍、姓名和家庭关系，不受非法侵犯。第8条第2款进一步规定，如果儿童的身份的一些或全部要素被非法剥夺时，成员国应当提供适当的帮助和保护，以快速重新构建其身份（reestablishing his or her identity）。虽然《联合国儿童权利公约》只针对儿童，但法理是一样的。所有人的身份权都应该得到保护，尤其是随着数字时代的到来和数字经济的发展，较之传统社会，身份有了更多的保护价值和保护必要性，对身份的保护路径也具有了不同于传统社会的需求。

首先是身份作为人格利益本身的价值。有学者指出，身份是一个人的唯一性或个体性，从而将其界定为或个体化为某个特定的人并将其与其他人区分开来，这在法律上是一种利益，是一种人格利益（an interest in personality）。个人对其存在的唯一性具有明确的利益，这种利益深藏在它本身的存在性，关系个人的名誉、声誉、信用和社会交往。如果说，从正面不大容易理解这种价值，那么反过来举例说明对此种价值的侵犯或许更有利于说明这种人格利益的价值所在。例如，违法犯罪分子在相关工作人员盘问身份时故意给出其他人的姓名，股东故意使用别人的姓名和身份证号注册公司，结婚登记时使用别人的姓名予以登记，看病买药时使用别人的姓名等。这些社会生活中的行为必定都是有责任主体来承担相应的后果的，尽管有的是法律后果，有的并不是通常意义上的法理后果，但行为必须由主体实施，后果由主体承担，行为人不想让自己这个主体名义实施，也不想让自己这个主体去承担相应后果，于是盗用或冒用别人的身份，借他人名义实施这些行为，让他人承担相应的风险和后果。

其次是身份上附着利益的价值。随着社会经济的发展，身份作为某个普通主体的存在，其上也附着了越来越多的利益。例如，随着社会福利政策的加强，普通老百姓享有了医保利益、老年人享有的领取养老金利益和公交车免票利益等、转业军人享有的工作安置利益、学生的接受义务教育资格、享有某些补助的资格等；又如，社会金融制度和公共服务制度的构建和完善，个人享有的信用贷款资格、享有公共服务的资格，等等；再如，高等学历教育入学资格、公务员录取资格、年卡会员享有的年卡利益、出入境资格、职业资格等也都是身份上附着的利益，更不用说数字时代的网红经济中身份上所附着的流量和影响力等价值。通过冒用、盗用他人身份，就可以享受到这些身份上所附着的利益。

最后是身份在数字时代中交易和业务功能上的价值。数字时代表现在自然人、社会和政府的数字化，人们的生存方式和生活方式都发生的革命性变化，交易行为越来越多地以在线方式实施，社会关系也越来越多地通过在线方式展开，政府的业务办理也越来越多地以在线方式进行，而身份信息就成为自然人之间、自然人与他人以及政府之间在线开展交易和办理业务的钥匙和凭证。这些交易和业务功能的价值毋庸多说，当交易表现为银行转账、业务表现为房产过户时，巨大的经济利益蕴含其中；当交易和业务表现为对特定商业秘密、技术秘密或资讯或数据的访问处理权限，则市场经济秩序、数据安全乃至人身安全的巨大利益蕴含其中；当业务表现为在线行政审批或其他涉及社会国家安全事宜，则社会安全利益和国家安全利益蕴含其中。

身份权益虽然由身份主体享有，但与身份有关的违法犯罪行为也同时扰乱了基于身份识别唯一性的社会信任机制和建立在真实信息基础上的社会秩序，因此身份的刑法保护价值上不仅体现了个人法益，也蕴含超个人法益。正是由于身份的价值在数字化时代越发显现，辅以信息网络的便捷性、非实体性和跨国性，使得身份相关的犯罪具有低风险高回报的特点；而作为身份的表现形式的信息，由于政府和非政府组织对个人数据的过多收集和储存、信息和通信技术的发展以及互联网向公众开放使用等原因，其获取非常便利；再加上数字身份认证系统的内在脆弱性和认证技术和认证程序的缺陷性，近40年来身份盗窃犯罪层出不穷，屡见报端，给国家、社会和公民都带来了巨大的损失。刑法作为维护社会秩序、经济秩序，保障公民人身权利和财产权利的重要部门立法，应当予以相应的回应，以对侵犯身份权益的行为形成有效威慑和预防。