本文主要介绍信贷产品设计中基于实名信息、身份证上传、人脸识别三者进行身份核验的产品流程设计。
因为16年写过的一篇人脸识别文章自觉写的太过“辣鸡”,所以重新写一篇,一雪前耻一下。至于早期的那边文章,感兴趣的可以自己找出来对比一下。
信贷产品开展的第一步基本都是实名认证,后续所有的行为都是围绕客户身份信息识别和资料验证等来展开,是建立客户档案的第一步。在信贷产品做实名认证的操作设计通常有三种方法:
1.1 实名二要素认证
顾名思义,由用户主动输入姓名和身份证号提交,然后调用第三方的数据接口,验证是否是有效的实名信息,如图所示,这是支付宝的实名二要素操作认证
目前实名认证的验证终端的底层接口数据都是来自公安部下辖的事业单位全国公民身份证号码查询服务中心提供的的“全国人口信息社会应用平台”。
“ 公民个人在进行社会和经济活动(例如到电信、银行办理相关业务)时,向有关机构主动出示居民身份证件,有关机构工作人员(称为“认证人”或“用户”)获得公民(称为“被认证人”)授权后,将被认证人的“公民身份号码”、“姓名”等数据通过电信运营商的网络通道传送至公安部“全国人口信息社会应用平台”进行比对,返回“一致”或“不一致”的比对结果。”
但一般的平台无法直接进行对接,仅有少部分平台直接同该平台直接进行接口对接,然后对外提供封装的接口。因此绝大多数都是对接的第三方提供的聚合接口进行校验,如调用第三方支付公司的二要素认证接口。
1.2 OCR身份证识别认证
本质上也属于实名二要素认证,只是不需要用户手动输入姓名身份证信息,而是需要用户上传身份证正反面图片,根据OCR识别信息进行认证,本质上是将实名认证和身份证上传两个步骤合二为一,目前绝大多数信贷产品的实名认证采用的是这类方式。
关于OCR,百度百科的定义是OCR (Optical Character Recognition,光学字符识别是指电子设备(例如扫描仪或数码相机)检查纸上打印的字符,通过检测暗、亮的模式确定其形状,然后用字符识别方法将形状翻译成计算机文字的过程“。简单点来说就是图片输入后,输出图片上文章的加工处理过程。OCR的处理流程一般为:
1. 身份证图片输入。用户调用手机的相机权限或者相册权限,将身份证图片进行上传;
2. 图片预处理。主要是针对身份证图片进行二值化、图像降噪处理。二值化的大概意思就是将彩色图片分为黑色前景和白色背景信息,以提高识别处理的效率和准确度。[注:二值化和降噪是百科说的,我也不太懂],整体而言是对图片拍摄质量进行判断,是否曝光过度或者图片反光无法正确识别信息];
3. 倾斜矫正。拍摄身份证时每个用户上传的图片方向可能有差异,因此需要对图形方向进行矫正;
4. 文字特征抽取和识别。识别身份证上的字段信息,包括姓名、性别、民族、出生日期、住址、身份证号、签发机关、有效期限;
5. 对比识别和人工校正。OCR识别的准确率无法达到百分百,尤其是某些生僻字类型,可能在识别的算法过程中会存在偏差,因此还需要由人工在根据OCR识别的信息来判断实名信息是否准确。
目前针对身份证OCR识别的服务已经比较成熟,如百度、依图、商汤等都有提供这类产品,目前的OCR身份证识别除了简化实名操作以外,一般还可以进行一定的图像风险和质量检测,可识别图片是否为复印件或临时身份证,是否被翻拍或编辑,是否存在正反颠倒、模糊、欠曝、过曝等质量问题,对于欺诈判断有比较重要的意义,。感兴趣的可以扩展阅读下百度身份证OCR接口文档了解下:百度身份证识别接口文档
1.3 实名绑卡认证
有的产品在设计过程中,可能直接使用银行卡三要素或者四要素同时进行实名认证和银行卡鉴权认证。如金融类产品的开户可能会采用这类设计。一般适合需要绑卡强场景的环节,非讲优点的话可以降低数据调用成本。不过现阶段的金融产品应该很少在此用该种设计方式,可人认为主要有以下几点原因,不一定准确,大家可以自己思考下为什么
1. 当认证异常时,难以准确返回错误原因引导用户进行相应修改,一般可能第三方支付渠道返回的结果是身份信息不正确或卡号不正确,对用户的错误引导是不清晰的;
2. 身份证号和卡号一般用户是不太记得住的,如果需要全部一个页面完成,整体的产品流失率也会比较高。基于产品转化和召回的考虑,实名会比绑卡的优先级更高,当用户完成实名后,可以结合运营手段等去召回用户进行绑卡操作;
3. 另外目前的主流产品设计在绑卡环节会默认代入用户的实名要素,让用户无法编辑,通常在于引导用户需要&仅能绑定用户自己本人的储蓄卡,目前基于反洗钱等的规定,要求各类证券账户的出入金需要用户本人所绑定的借记卡
1.4 实名认证的作用
实名认证成功后,除了第一步进行客户身份的建立以外,还具有如下作用:
1. 建立客户的基本身份,并作为后续资料核身的基础。例如判断用户的绑定银行卡是否本人所有,用户提交的相关材料是否是本人所有;
2. 基于身份证号码识别生成衍生字段。国家质量技术监督局发布的《公民身份号码》中对身份证号码的编码规则做了明确的规定,因此可以基于编码规则得出不少字段信息。公民身份号码是特征组合码,由十七位数字本体码和一位校验码组成。排列顺序从左至右依次为:六位数字地址码,八位数字出生日期码,三位数字顺序码和一位数字校验码。
3. 实名信息基本上是调用一切第三方数据的基础,一般常见的贷超类API合作对接的撞库、黑名单库判断等,基本都是以实名信息进行入参查询;
一般而言,银行开户、办理信用卡或者证券卡户等,都需要进行身份信息核验,上传身份证影像资料。衍生到互联网金融领域场景,也会发现线上信贷场景也都需要做身份证上传的操作。网上查询了下资料,主要是2007年6月,人行、证监、保监、银监等部门基于发洗钱法的规定联合发布了《金融机构客户身份识别和客户身份资料及交易记录保存管理办法》,对用户身份识别、客户身份和交易资料的保存行为进行了规范。
“ 第十六条 金融资产管理公司、财务公司、金融租赁公司、汽车金融公司、货币经纪公司、保险资产管理公司以及中国人民银行确定的其他金融机构在与客户签订金融业务合同时,应当核对客户的有效身份证件或者其他身份证明文件,登记客户身份基本信息,并留存有效身份证件或者其他身份证明文件的复印件或者影印件。”
如上所示,虽然目前的网贷业务开展暂时不属于规定的相关金融业务,但目前线上信贷的资金来源尤其是头部消费信贷平台,其资金来源主要以银行资金、消费金融资金、网络小贷等金融资金为主。因而,这些金融机构在开展金融业务(实质的放贷业务)需要按照办法规定,等级客户的身份基本信息同时留存相关的影响资料。这就是为什么现在的消费信贷产品都需要进行身份证上传的原因。另外采集身份证影像资料,还有另外的作用,下面会提及。
身份证上传一般可以结合实名认证一起进行,也可以单独作为一个流程,具体是否合并或拆分取决于各自产品的实际情况。如授信环节需要查询征信的产品流程设计,则通常可以使用OCR身份认证,不过一般基于OCR实名可能会导致初始转化下降。产品层面关于身份证上传流程示意,大致分为三层,具体可见如下图的业务流程示意
1. 身份证上传的判断层主要是判断用户当前是否需要上传身份证,一般两种情况下需要进行上传:a)用户尚未上传身份证;b)用户的身份证已过期。
2. 如果用户需要进行身份证上传,则需要判断当前是否已具有相机权限(或者相册权限),如果没有相应的权限需要提示用户进行开启;
3. 上传身份证可以接入第三方的OCR识别SDK,也可以仅进行API的识别接口对接。但是一般客户端SDK组件可以提供身份证图片质量的检测以及包括额外的身份证风险类型的识别,如图所示的几种异常身份证
目前人脸识别已经被广泛应用于各类生活场景,比如手机的人脸解锁、线下支付宝推出的人脸支付、机场和火车站的人脸识别等。另外目前在金融信贷场景也会采用人脸识别来作为反欺诈、申贷身份的核验。
基于信贷场景而言,完整的人脸识别一般是包含如下几个过程:活体检测、人脸采集、比对三个过程,而其目的一般在于确保申贷人为【真人】操作,避免黑产等通过机器批量操作等模式攻击,另外在于确认为【本人】操作,防止中介代办、身份冒用等情况。
一般现在人脸识别都是使用的专门的第三方提供的SDK集成服务,集成SDK后,通过客户端本地离线活体检测和人脸采集,然后调用第三方API服务接口进行身份核验判断。具体示意可参考如下流程
3.1 活体检测
活体检测是验证当前操作的人是一个活物,主要防止静态活体(如照片)的攻击,打个简单的比方来说比如人脸考勤,直接拿照片可能也可以完成打卡。
目前活体检测大致有如下几种方法:(声明,这部分描述是来自基于百度SDK文档概述)
