假如你身处互联网公司,最近有时间应该多去合规或法务部门走走,带上爱与关怀,陪他们说说话,聊聊天,看有没有人理你。每天门庭若市,大会小会不断,这是法务、合规或者再加上产品部门最近这段时间的真实写照。
受“双减”政策影响,在线教育行业重新洗牌,VIPKID等头部企业纷纷转型并大力拓展成人培训业务。“防沉迷”新规发布,网络游戏只允许在规定的一小时中向未成年人开放,新规落地的第一个周六,王者荣耀服务器就在这“1小时”内被孩子们冲到宕机。
再加上今年颁布的“数据安全法”,种种政策表明,长痛不如短痛,放任过去粗犷的发展模式不管,并不利于行业乃至经济的长期稳定发展。但在这过程中,对企业未来影响最大的,毋庸置疑一定是《个人信息保护法》。
“个保法”下,将非常严格地限制对用户个人信息的收集与使用。各大互联网公司都在拉着合规与法务自查APP,发现问题赶紧让产品部门整改。但业务层面最直接的影响则是在于对用户的身份认证,这就导致以信贷业务为首的APP们,将面对非常大的生存挑战。
信贷业务因为KYC的存在,需要对用户的身份进行有效核验。在“个保法”之下,现有的KYC身份认证及部分反欺诈手段,或将成为历史。
身份认证影响各行各业,因篇幅有限,今天我会先以信贷领域为例,结合“个保法”进行解读。
一、《个人信息保护法》在现行业务中与身份认证相关的条款
1. 用户确权将是所有“处理个人信息”的前提
“个保法”第十三条规定,符合 “信息主体的同意”、“订立或者履行个人作为一方当事人的合同所必需”、“为履行法定职责或者法定义务所必需”情形之一的,个人信息处理者才可以处理个人信息。
并且,这个“确权”等同于用户真实自愿,有明确证据表示充分知情。
2. 对于这些需要用户确权的信息类型,也有非常明确的定义
- 向他人提供个人信息;
- 公开处理的个人信息;
- 所收集的个人图像、身份识别信息用于维护公共安全以外的目的;
- 处理敏感个人信息;
- 向境外提供个人信息。
可以看出需要用户确权的信息类型非常广泛,这也是近期合规法务们拉着产品进行自查的重点。不论是对外提供还是企业内部自行处理的个人信息,都需要得到用户明确同意,并且可随时收回。
3. 关于收集个人信息时用户的知情权
个人信息处理者在处理个人信息前,应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项:
- 内容:个人信息处理者的名称或者姓名和联系方式、处理目的、处理方式,个人信息种类、保存期限、个人行使权力的方式和程序、其他事项等;
- 方式:显著方式、清晰易懂的语言;
- 时间:个人信息处理者在处理个人信息前;
- 要求披露到个人信息处理者的具体姓名/名称和联系方式。
可以预见到各大互联网产品的UI界面会做出巨大改变,这对于用户转化率又是个不小的挑战:产品交互中将不可避免的加入醒目弹窗来告诉用户,“你的个人信息要被我收集啦!”
总结以上三点可以得出结论“处理个人信息前需要明确提醒用户并得到用户确权后才可继续进行”。
记住这句话,我们再来看一下现有信贷产品的身份认证流程。
二、现有信贷产品身份认证流程拆分
我们建立了3人小组,花了6天时间,调研了239款信贷APP产品,形成了一份总结报告,我们毫不介意将这些工作成果进行分享,有需要的同学可以找我领取。
在这些产品中,绝大多数身份认证流程,几乎都需要用户拍照或者上传身份证照片,再通过OCR技术将照片中的信息转换成文字,提交至供应商数据库进行核验,最后进行人脸比对确认本人。
逐步拆解后我们发现各个环节都存在一定问题,随着“个保法”落地,这种基于要素验证模式下的身份认证还有多大可用性呢?
1. 用户拍照/上传身份证
“个保法”中明确规定向他人提供个人信息时,需要得到用户单独同意,并且不能以用户不同意为由,拒绝提供产品或服务。而拍照或者上传身份证都是为了后续的OCR识别,这些身份证图片也会提供给OCR技术供应商。也就是说在一开始,我们就需要弹窗提醒用户了。
2. OCR识别/手动校准
OCR技术能够将图片中的文字提取出来,用于进一步的身份核验。提取出的姓名和身份证号等信息,还将继续传给下一方供应商的做数据源核验,验证准确性。
继续加弹窗。
也有些供应商会将OCR技术与个人身份数据库进行整合,看上去好像不需要额外弹窗了,这部分我们留到下一点讲。抛开合规层面,其实近两年OCR技术应用在身份认证领域的弊端早就开始显现,比如:无法有效识别证照头像、住址、有效期等相关信息。
OCR无法1比1还原证照头像,拍照必然会造成扭曲,并且光线问题还会影响用户体验。住址、有效期等身份信息,本质是对图片进行的文字识别,真实性没有相关数据源能够校验。
从风控角度来说,近两年已经由信用风险转变成欺诈风险为主,而手动校准环节一直都是反欺诈场景中的常见问题:懂得18位身份证编码规则的欺诈用户,会利用漏洞躲避这一层的风控。
3. 提交供应商比对
个人的身份信息,应该通过国家认证平台进行核查。
国家身份认证的平台,源头在公安,而市面上99%的供应商都没有拿到公安授权的许可资质,这已经不是加个弹窗就能够解决的问题,而是这些供应商们,将不在有权利去向企业提供服务。
同理,除了身份领域之外,各方违规收集用户个人信息并私自生成数据源的供应商们,又还能活多久呢?一旦失去了数据源,站在风控层面看,我们又该怎么完成对用户的授信/用信?怎么识别欺诈用户?
4. 人脸/活体
在人脸环节的调用过程中,首先用户可以拒绝使用人脸,并且APP不能因此终止后续流程。
其次采集的人脸照片依然会传给供应商做两照比对。人脸与数据源校验,本来是互相验证的一环,当人脸不能作为可随意调用的服务时,还怎么判断用户是本人在申请借款呢?至于仅剩的OCR技术,甚至连身份证的真假都无法验证。
以上种种,都将给现阶段整个金融行业的风控体系带来不小的挑战,丧失对用户身份的有效识别能力,势必会引发坏账成本的提高。身在局中的我们,必须要提前开始寻找替代方案了。
我拉上几个业内的朋友专门组建了一个群,本意是为了一起发掘、探索未来的身份认证方向和可行方案,但仅凭我们几个人远远不够,我希望有更多的人能够参与进来,群策群力,并且这绝不应该局限在金融信贷行业。
