調研239款APP后我們發現,新規之下,身份認證要變天? | 人人都是產品經理

/ 產業新聞 / 作者:

編輯導語:「個人信息保護法」的實施在很大程度上保護了用戶的信息,而這也對企業產生了很大影響,尤其是對以信貸業務為主的相關產品。本篇文章里,作者調研了多款APP后,對當下信貸業務中與身份認證相關的條款、以及信貸產品的身份認證流程進行了拆解和總結,不妨來看一下。

假如你身處互聯網公司,最近有時間應該多去合規或法務部門走走,帶上愛與關懷,陪他們說說話,聊聊天,看有沒有人理你。每天門庭若市,大會小會不斷,這是法務、合規或者再加上產品部門最近這段時間的真實寫照。

受「雙減」政策影響,在線教育行業重新洗牌,VIPKID等頭部企業紛紛轉型並大力拓展成人培訓業務。「防沉迷」新規發布,網路遊戲只允許在規定的一小時中向未成年人開放,新規落地的第一個周六,王者榮耀伺服器就在這「1小時」內被孩子們衝到宕機。

再加上今年頒布的「數據安全法」,種種政策表明,長痛不如短痛,放任過去粗獷的發展模式不管,並不利於行業乃至經濟的長期穩定發展。但在這過程中,對企業未來影響最大的,毋庸置疑一定是《個人信息保護法》。

「個保法」下,將非常嚴格地限制對用戶個人信息的收集與使用。各大互聯網公司都在拉著合規與法務自查APP,發現問題趕緊讓產品部門整改。但業務層面最直接的影響則是在於對用戶的身份認證,這就導致以信貸業務為首的APP們,將面對非常大的生存挑戰。

信貸業務因為KYC的存在,需要對用戶的身份進行有效核驗。在「個保法」之下,現有的KYC身份認證及部分反欺詐手段,或將成為歷史。

身份認證影響各行各業,因篇幅有限,今天我會先以信貸領域為例,結合「個保法」進行解讀。

一、《個人信息保護法》在現行業務中與身份認證相關的條款

1. 用戶確權將是所有「處理個人信息」的前提

「個保法」第十三條規定,符合 「信息主體的同意」、「訂立或者履行個人作為一方當事人的合同所必需」、「為履行法定職責或者法定義務所必需」情形之一的,個人信息處理者才可以處理個人信息。

並且,這個「確權」等同於用戶真實自願,有明確證據表示充分知情。

2. 對於這些需要用戶確權的信息類型,也有非常明確的定義

  1. 向他人提供個人信息;
  2. 公開處理的個人信息;
  3. 所收集的個人圖像、身份識別信息用於維護公共安全以外的目的;
  4. 處理敏感個人信息;
  5. 向境外提供個人信息。

可以看出需要用戶確權的信息類型非常廣泛,這也是近期合規法務們拉著產品進行自查的重點。不論是對外提供還是企業內部自行處理的個人信息,都需要得到用戶明確同意,並且可隨時收回。

3. 關於收集個人信息時用戶的知情權

個人信息處理者在處理個人信息前,應當以顯著方式、清晰易懂的語言真實、準確、完整地向個人告知下列事項:

  1. 內容:個人信息處理者的名稱或者姓名和聯繫方式、處理目的、處理方式,個人信息種類、保存期限、個人行使權力的方式和程序、其他事項等;
  2. 方式:顯著方式、清晰易懂的語言;
  3. 時間:個人信息處理者在處理個人信息前;
  4. 要求披露到個人信息處理者的具體姓名/名稱和聯繫方式。

可以預見到各大互聯網產品的UI界面會做出巨大改變,這對於用戶轉化率又是個不小的挑戰:產品交互中將不可避免的加入醒目彈窗來告訴用戶,「你的個人信息要被我收集啦!」

總結以上三點可以得出結論「處理個人信息前需要明確提醒用戶並得到用戶確權后才可繼續進行」。

記住這句話,我們再來看一下現有信貸產品的身份認證流程。

二、現有信貸產品身份認證流程拆分

我們建立了3人小組,花了6天時間,調研了239款信貸APP產品,形成了一份總結報告,我們毫不介意將這些工作成果進行分享,有需要的同學可以找我領取

在這些產品中,絕大多數身份認證流程,幾乎都需要用戶拍照或者上傳身份證照片,再通過OCR技術將照片中的信息轉換成文字,提交至供應商資料庫進行核驗,最後進行人臉比對確認本人。

逐步拆解后我們發現各個環節都存在一定問題,隨著「個保法」落地,這種基於要素驗證模式下的身份認證還有多大可用性呢?

1. 用戶拍照/上傳身份證

「個保法」中明確規定向他人提供個人信息時,需要得到用戶單獨同意,並且不能以用戶不同意為由,拒絕提供產品或服務。而拍照或者上傳身份證都是為了後續的OCR識別,這些身份證圖片也會提供給OCR技術供應商。也就是說在一開始,我們就需要彈窗提醒用戶了。

2. OCR識別/手動校準

OCR技術能夠將圖片中的文字提取出來,用於進一步的身份核驗。提取出的姓名和身份證號等信息,還將繼續傳給下一方供應商的做數據源核驗,驗證準確性。

繼續加彈窗。

也有些供應商會將OCR技術與個人身份資料庫進行整合,看上去好像不需要額外彈窗了,這部分我們留到下一點講。拋開合規層面,其實近兩年OCR技術應用在身份認證領域的弊端早就開始顯現,比如:無法有效識別證照頭像、住址、有效期等相關信息。

OCR無法1比1還原證照頭像,拍照必然會造成扭曲,並且光線問題還會影響用戶體驗。住址、有效期等身份信息,本質是對圖片進行的文字識別,真實性沒有相關數據源能夠校驗。

從風控角度來說,近兩年已經由信用風險轉變成欺詐風險為主,而手動校準環節一直都是反欺詐場景中的常見問題:懂得18位身份證編碼規則的欺詐用戶,會利用漏洞躲避這一層的風控。

3. 提交供應商比對

個人的身份信息,應該通過國家認證平台進行核查。

國家身份認證的平台,源頭在公安,而市面上99%的供應商都沒有拿到公安授權的許可資質,這已經不是加個彈窗就能夠解決的問題,而是這些供應商們,將不在有權利去向企業提供服務。

同理,除了身份領域之外,各方違規收集用戶個人信息並私自生成數據源的供應商們,又還能活多久呢?一旦失去了數據源,站在風控層面看,我們又該怎麼完成對用戶的授信/用信?怎麼識別欺詐用戶?

4. 人臉/活體

在人臉環節的調用過程中,首先用戶可以拒絕使用人臉,並且APP不能因此終止後續流程。

其次採集的人臉照片依然會傳給供應商做兩照比對。人臉與數據源校驗,本來是互相驗證的一環,當人臉不能作為可隨意調用的服務時,還怎麼判斷用戶是本人在申請借款呢?至於僅剩的OCR技術,甚至連身份證的真假都無法驗證。

以上種種,都將給現階段整個金融行業的風控體系帶來不小的挑戰,喪失對用戶身份的有效識別能力,勢必會引發壞賬成本的提高。身在局中的我們,必須要提前開始尋找替代方案了。

我拉上幾個業內的朋友專門組建了一個群,本意是為了一起發掘、探索未來的身份認證方向和可行方案,但僅憑我們幾個人遠遠不夠,我希望有更多的人能夠參與進來,群策群力,並且這絕不應該局限在金融信貸行業。