編輯導(dǎo)語：“個(gè)人信息保護(hù)法”的實(shí)施在很大程度上保護(hù)了用戶的信息，而這也對(duì)企業(yè)產(chǎn)生了很大影響，尤其是對(duì)以信貸業(yè)務(wù)為主的相關(guān)產(chǎn)品。本篇文章里，作者調(diào)研了多款A(yù)PP后，對(duì)當(dāng)下信貸業(yè)務(wù)中與身份認(rèn)證相關(guān)的條款、以及信貸產(chǎn)品的身份認(rèn)證流程進(jìn)行了拆解和總結(jié)，不妨來看一下。

假如你身處互聯(lián)網(wǎng)公司，最近有時(shí)間應(yīng)該多去合規(guī)或法務(wù)部門走走，帶上愛與關(guān)懷，陪他們說說話，聊聊天，看有沒有人理你。每天門庭若市，大會(huì)小會(huì)不斷，這是法務(wù)、合規(guī)或者再加上產(chǎn)品部門最近這段時(shí)間的真實(shí)寫照。

受“雙減”政策影響，在線教育行業(yè)重新洗牌，VIPKID等頭部企業(yè)紛紛轉(zhuǎn)型并大力拓展成人培訓(xùn)業(yè)務(wù)?！胺莱撩浴毙乱?guī)發(fā)布，網(wǎng)絡(luò)游戲只允許在規(guī)定的一小時(shí)中向未成年人開放，新規(guī)落地的第一個(gè)周六，王者榮耀服務(wù)器就在這“1小時(shí)”內(nèi)被孩子們沖到宕機(jī)。

再加上今年頒布的“數(shù)據(jù)安全法”，種種政策表明，長痛不如短痛，放任過去粗獷的發(fā)展模式不管，并不利于行業(yè)乃至經(jīng)濟(jì)的長期穩(wěn)定發(fā)展。但在這過程中，對(duì)企業(yè)未來影響最大的，毋庸置疑一定是《個(gè)人信息保護(hù)法》。

“個(gè)保法”下，將非常嚴(yán)格地限制對(duì)用戶個(gè)人信息的收集與使用。各大互聯(lián)網(wǎng)公司都在拉著合規(guī)與法務(wù)自查APP，發(fā)現(xiàn)問題趕緊讓產(chǎn)品部門整改。但業(yè)務(wù)層面最直接的影響則是在于對(duì)用戶的身份認(rèn)證，這就導(dǎo)致以信貸業(yè)務(wù)為首的APP們，將面對(duì)非常大的生存挑戰(zhàn)。

信貸業(yè)務(wù)因?yàn)镵YC的存在，需要對(duì)用戶的身份進(jìn)行有效核驗(yàn)。在“個(gè)保法”之下，現(xiàn)有的KYC身份認(rèn)證及部分反欺詐手段，或?qū)⒊蔀闅v史。

身份認(rèn)證影響各行各業(yè)，因篇幅有限，今天我會(huì)先以信貸領(lǐng)域?yàn)槔?，結(jié)合“個(gè)保法”進(jìn)行解讀。

一、《個(gè)人信息保護(hù)法》在現(xiàn)行業(yè)務(wù)中與身份認(rèn)證相關(guān)的條款

1. 用戶確權(quán)將是所有“處理個(gè)人信息”的前提

“個(gè)保法”第十三條規(guī)定，符合 “信息主體的同意”、“訂立或者履行個(gè)人作為一方當(dāng)事人的合同所必需”、“為履行法定職責(zé)或者法定義務(wù)所必需”情形之一的，個(gè)人信息處理者才可以處理個(gè)人信息。

并且，這個(gè)“確權(quán)”等同于用戶真實(shí)自愿，有明確證據(jù)表示充分知情。

2. 對(duì)于這些需要用戶確權(quán)的信息類型，也有非常明確的定義

1. 向他人提供個(gè)人信息；
2. 公開處理的個(gè)人信息；
3. 所收集的個(gè)人圖像、身份識(shí)別信息用于維護(hù)公共安全以外的目的；
4. 處理敏感個(gè)人信息；
5. 向境外提供個(gè)人信息。

可以看出需要用戶確權(quán)的信息類型非常廣泛，這也是近期合規(guī)法務(wù)們拉著產(chǎn)品進(jìn)行自查的重點(diǎn)。不論是對(duì)外提供還是企業(yè)內(nèi)部自行處理的個(gè)人信息，都需要得到用戶明確同意，并且可隨時(shí)收回。

3. 關(guān)于收集個(gè)人信息時(shí)用戶的知情權(quán)

個(gè)人信息處理者在處理個(gè)人信息前，應(yīng)當(dāng)以顯著方式、清晰易懂的語言真實(shí)、準(zhǔn)確、完整地向個(gè)人告知下列事項(xiàng)：

1. 內(nèi)容：個(gè)人信息處理者的名稱或者姓名和聯(lián)系方式、處理目的、處理方式，個(gè)人信息種類、保存期限、個(gè)人行使權(quán)力的方式和程序、其他事項(xiàng)等；
2. 方式：顯著方式、清晰易懂的語言；
3. 時(shí)間：個(gè)人信息處理者在處理個(gè)人信息前；
4. 要求披露到個(gè)人信息處理者的具體姓名/名稱和聯(lián)系方式。

可以預(yù)見到各大互聯(lián)網(wǎng)產(chǎn)品的UI界面會(huì)做出巨大改變，這對(duì)于用戶轉(zhuǎn)化率又是個(gè)不小的挑戰(zhàn)：產(chǎn)品交互中將不可避免的加入醒目彈窗來告訴用戶，“你的個(gè)人信息要被我收集啦！”

總結(jié)以上三點(diǎn)可以得出結(jié)論“處理個(gè)人信息前需要明確提醒用戶并得到用戶確權(quán)后才可繼續(xù)進(jìn)行”。

記住這句話，我們?cè)賮砜匆幌卢F(xiàn)有信貸產(chǎn)品的身份認(rèn)證流程。

二、現(xiàn)有信貸產(chǎn)品身份認(rèn)證流程拆分

我們建立了3人小組，花了6天時(shí)間，調(diào)研了239款信貸APP產(chǎn)品，形成了一份總結(jié)報(bào)告，我們毫不介意將這些工作成果進(jìn)行分享，有需要的同學(xué)可以找我領(lǐng)取。

在這些產(chǎn)品中，絕大多數(shù)身份認(rèn)證流程，幾乎都需要用戶拍照或者上傳身份證照片，再通過OCR技術(shù)將照片中的信息轉(zhuǎn)換成文字，提交至供應(yīng)商數(shù)據(jù)庫進(jìn)行核驗(yàn)，最后進(jìn)行人臉比對(duì)確認(rèn)本人。

逐步拆解后我們發(fā)現(xiàn)各個(gè)環(huán)節(jié)都存在一定問題，隨著“個(gè)保法”落地，這種基于要素驗(yàn)證模式下的身份認(rèn)證還有多大可用性呢？

1. 用戶拍照/上傳身份證

“個(gè)保法”中明確規(guī)定向他人提供個(gè)人信息時(shí)，需要得到用戶單獨(dú)同意，并且不能以用戶不同意為由，拒絕提供產(chǎn)品或服務(wù)。而拍照或者上傳身份證都是為了后續(xù)的OCR識(shí)別，這些身份證圖片也會(huì)提供給OCR技術(shù)供應(yīng)商。也就是說在一開始，我們就需要彈窗提醒用戶了。

2. OCR識(shí)別/手動(dòng)校準(zhǔn)

OCR技術(shù)能夠?qū)D片中的文字提取出來，用于進(jìn)一步的身份核驗(yàn)。提取出的姓名和身份證號(hào)等信息，還將繼續(xù)傳給下一方供應(yīng)商的做數(shù)據(jù)源核驗(yàn)，驗(yàn)證準(zhǔn)確性。

繼續(xù)加彈窗。

也有些供應(yīng)商會(huì)將OCR技術(shù)與個(gè)人身份數(shù)據(jù)庫進(jìn)行整合，看上去好像不需要額外彈窗了，這部分我們留到下一點(diǎn)講。拋開合規(guī)層面，其實(shí)近兩年OCR技術(shù)應(yīng)用在身份認(rèn)證領(lǐng)域的弊端早就開始顯現(xiàn)，比如：無法有效識(shí)別證照頭像、住址、有效期等相關(guān)信息。

OCR無法1比1還原證照頭像，拍照必然會(huì)造成扭曲，并且光線問題還會(huì)影響用戶體驗(yàn)。住址、有效期等身份信息，本質(zhì)是對(duì)圖片進(jìn)行的文字識(shí)別，真實(shí)性沒有相關(guān)數(shù)據(jù)源能夠校驗(yàn)。

從風(fēng)控角度來說，近兩年已經(jīng)由信用風(fēng)險(xiǎn)轉(zhuǎn)變成欺詐風(fēng)險(xiǎn)為主，而手動(dòng)校準(zhǔn)環(huán)節(jié)一直都是反欺詐場景中的常見問題：懂得18位身份證編碼規(guī)則的欺詐用戶，會(huì)利用漏洞躲避這一層的風(fēng)控。

3. 提交供應(yīng)商比對(duì)

個(gè)人的身份信息，應(yīng)該通過國家認(rèn)證平臺(tái)進(jìn)行核查。

國家身份認(rèn)證的平臺(tái)，源頭在公安，而市面上99%的供應(yīng)商都沒有拿到公安授權(quán)的許可資質(zhì)，這已經(jīng)不是加個(gè)彈窗就能夠解決的問題，而是這些供應(yīng)商們，將不在有權(quán)利去向企業(yè)提供服務(wù)。

同理，除了身份領(lǐng)域之外，各方違規(guī)收集用戶個(gè)人信息并私自生成數(shù)據(jù)源的供應(yīng)商們，又還能活多久呢？一旦失去了數(shù)據(jù)源，站在風(fēng)控層面看，我們又該怎么完成對(duì)用戶的授信/用信？怎么識(shí)別欺詐用戶？

4. 人臉/活體

在人臉環(huán)節(jié)的調(diào)用過程中，首先用戶可以拒絕使用人臉，并且APP不能因此終止后續(xù)流程。

其次采集的人臉照片依然會(huì)傳給供應(yīng)商做兩照比對(duì)。人臉與數(shù)據(jù)源校驗(yàn)，本來是互相驗(yàn)證的一環(huán)，當(dāng)人臉不能作為可隨意調(diào)用的服務(wù)時(shí)，還怎么判斷用戶是本人在申請(qǐng)借款呢？至于僅剩的OCR技術(shù)，甚至連身份證的真假都無法驗(yàn)證。

以上種種，都將給現(xiàn)階段整個(gè)金融行業(yè)的風(fēng)控體系帶來不小的挑戰(zhàn)，喪失對(duì)用戶身份的有效識(shí)別能力，勢(shì)必會(huì)引發(fā)壞賬成本的提高。身在局中的我們，必須要提前開始尋找替代方案了。

我拉上幾個(gè)業(yè)內(nèi)的朋友專門組建了一個(gè)群，本意是為了一起發(fā)掘、探索未來的身份認(rèn)證方向和可行方案，但僅憑我們幾個(gè)人遠(yuǎn)遠(yuǎn)不夠，我希望有更多的人能夠參與進(jìn)來，群策群力，并且這絕不應(yīng)該局限在金融信貸行業(yè)。

本文由 @子午 原創(chuàng)發(fā)布于人人都是產(chǎn)品經(jīng)理。未經(jīng)許可，禁止轉(zhuǎn)載

題圖來自Pexels，基于CC0協(xié)議