3個關鍵點,理解信貸產品的身份核驗設計

1 評論 7424 瀏覽 74 收藏 21 分鐘

信貸產品中,開展實名認證是第一步步驟。本文主要介紹信貸產品的產品流程設計——基于實名信息、身份證上傳、人臉識別三者進行身份核驗。

一、實名認證

信貸產品開展的第一步基本都是實名認證,后續所有的行為都是圍繞客戶身份信息識別和資料驗證等來展開,是建立客戶檔案的第一步。在信貸產品做實名認證的操作設計通常有三種方法:

1. 實名二要素認證

顧名思義,由用戶主動輸入姓名和身份證號提交,然后調用第三方的數據接口,驗證是否是有效的實名信息。如圖所示,這是支付寶的實名二要素操作認證:

實名認證

目前,實名認證的驗證終端的底層接口數據,都是來自公安部下轄的事業單位——全國公民身份證號碼查詢服務中心提供的“全國人口信息社會應用平臺”。服務介紹如下:

公民個人在進行社會和經濟活動(例如到電信、銀行辦理相關業務)時,向有關機構主動出示居民身份證件;有關機構工作人員(稱為“認證人”或“用戶”)獲得公民(稱為“被認證人”)授權后,將被認證人的“公民身份號碼”、“姓名”等數據通過電信運營商的網絡通道傳送至公安部“全國人口信息社會應用平臺”進行比對,返回“一致”或“不一致”的比對結果。

但一般的平臺無法直接進行對接,僅有少部分平臺直接同該平臺直接進行接口對接,然后對外提供封裝的接口。

因此絕大多數都是對接的第三方提供的聚合接口進行校驗,如調用第三方支付公司的二要素認證接口。

2. OCR身份證識別認證

本質上也屬于實名二要素認證,只是不需要用戶手動輸入姓名身份證信息,而是需要用戶上傳身份證正反面圖片,根據OCR識別信息進行認證。

本質上是將實名認證和身份證上傳兩個步驟合二為一,目前絕大多數信貸產品的實名認證采用的是這類方式。

OCR實名認證

關于OCR,百度百科的定義是OCR (Optical Character Recognition),光學字符識別是指電子設備(例如掃描儀或數碼相機)檢查紙上打印的字符,通過檢測暗、亮的模式確定其形狀,然后用字符識別方法將形狀翻譯成計算機文字的過程。

簡單點來說就是圖片輸入后,輸出圖片上文字的加工處理過程。

以身份證上傳說明OCR的處理流程:

(1)身份證圖片輸入。用戶調用手機的相機權限或者相冊權限,將身份證圖片進行上傳。

(2)圖片預處理。主要是針對身份證圖片進行二值化、圖像降噪處理。二值化的大概意思就是將彩色圖片分為黑色前景和白色背景信息,以提高識別處理的效率和準確度。(注:二值化和降噪是百科說的,我也不太懂。整體而言是對圖片拍攝質量進行判斷,是否曝光過度或者圖片反光無法正確識別信息)。

(3)傾斜矯正。拍攝身份證時每個用戶上傳的圖片方向可能有差異,因此需要對圖形方向進行矯正。

(4)文字特征抽取和識別。識別身份證上的字段信息,包括姓名、性別、民族、出生日期、住址、身份證號、簽發機關、有效期限。

(5)對比識別和人工校正。OCR識別的準確率無法達到百分百,尤其是某些生僻字類型,可能在識別的算法過程中會存在偏差,因此還需要由人工在根據OCR識別的信息來判斷實名信息是否準確。

目前針對身份證OCR識別的服務已經比較成熟,如百度、依圖、商湯等都有提供這類產品。

目前的OCR身份證識別除了簡化實名操作以外,一般還可以進行一定的圖像風險和質量檢測,可識別圖片是否為復印件或臨時身份證,是否被翻拍或編輯,是否存在正反顛倒、模糊、欠曝、過曝等質量問題,對于欺詐判斷有比較重要的意義。

感興趣的可以擴展閱讀下百度身份證OCR接口文檔,了解下百度身份證識別接口文檔。

3. 實名綁卡認證

有的產品在設計過程中,可能直接使用銀行卡三要素或者四要素同時進行實名認證和銀行卡鑒權認證。

如金融類產品的開戶可能會采用這類設計。一般適合需要綁卡強場景的環節,非講優點的話可以降低數據調用成本。不過現階段的金融產品應該很少在此用該種設計方式,我認為主要有以下幾點原因(不一定準確,大家可以自己思考下為什么):

(1)當認證異常時,難以準確返回錯誤原因引導用戶進行相應修改,一般可能第三方支付渠道返回的結果是身份信息不正確或卡號不正確,對用戶的錯誤引導是不清晰的。

(2)身份證號和卡號一般用戶是不太記得住的,如果需要全部一個頁面完成,整體的產品流失率也會比較高?;诋a品轉化和召回的考慮,實名會比綁卡的優先級更高,當用戶完成實名后,可以結合運營手段等去召回用戶進行綁卡操作。

(3)另外目前的主流產品設計在綁卡環節會默認代入用戶的實名要素,讓用戶無法編輯。通常在于引導用戶需要&僅能綁定用戶自己本人的儲蓄卡,目前基于反洗錢等的規定,要求各類證券賬戶的出入金需要用戶本人所綁定的借記卡。

實名綁卡認證

4. 實名認證的作用

實名認證成功后,除了第一步進行客戶身份的建立以外,還具有如下作用:

(1)建立客戶的基本身份,并作為后續資料核身的基礎。例如判斷用戶的綁定銀行卡是否本人所有,用戶提交的相關材料是否是本人所有。

(2)基于身份證號碼識別生成衍生字段。國家質量技術監督局發布的《公民身份號碼》中對身份證號碼的編碼規則做了明確的規定,因此可以基于編碼規則得出不少字段信息。公民身份號碼是特征組合碼,由十七位數字本體碼和一位校驗碼組成。排列順序從左至右依次為:六位數字地址碼,八位數字出生日期碼,三位數字順序碼和一位數字校驗碼。

  • 根據地址碼我們可以得到用戶的常住戶口所在地,銀行的一些風控可能會對特定地區的戶口所在地的申請人進行限制等;
  • 根據出生日期碼可以計算得出用戶的年齡信息;
  • 根據順序碼可以識別用戶的性別,第十七位奇數則為男性,偶數則為女性。

(3)實名信息基本上是調用一切第三方數據的基礎,一般常見的貸超類API合作對接的撞庫、黑名單庫判斷等,基本都是以實名信息進行入參查詢;

二、信貸產品的身份證上傳

一般而言,銀行開戶、辦理信用卡或者證券卡戶等,都需要進行身份信息核驗,上傳身份證影像資料。

衍生到互聯網金融領域場景,也會發現線上信貸場景需要做身份證上傳的操作。

網上查詢了下資料,主要是2007年6月,人行、證監、保監、銀監等部門基于發洗錢法的規定聯合發布了《金融機構客戶身份識別和客戶身份資料及交易記錄保存管理辦法》,對用戶身份識別、客戶身份和交易資料的保存行為進行了規范。

第十六條 金融資產管理公司、財務公司、金融租賃公司、汽車金融公司、貨幣經紀公司、保險資產管理公司以及中國人民銀行確定的其他金融機構在與客戶簽訂金融業務合同時,應當核對客戶的有效身份證件或者其他身份證明文件,登記客戶身份基本信息,并留存有效身份證件或者其他身份證明文件的復印件或者影印件。

如上所示,雖然目前的網貸業務開展暫時不屬于規定的相關金融業務;但目前線上信貸的資金來源尤其是頭部消費信貸平臺,其資金來源主要以銀行資金、消費金融資金、網絡小貸等金融資金為主。

因而,這些金融機構在開展金融業務(實質的放貸業務)需要按照辦法規定,等級客戶的身份基本信息同時留存相關的影響資料。這就是為什么現在的消費信貸產品都需要進行身份證上傳的原因。

另外采集身份證影像資料,還有另外的作用,下面會提及。

身份證上傳一般可以結合實名認證一起進行,也可以單獨作為一個流程,具體是否合并或拆分取決于各自產品的實際情況。

如授信環節需要查詢征信的產品流程設計,則通??梢允褂肙CR身份認證,不過一般基于OCR實名可能會導致初始轉化下降。

產品層面關于身份證上傳流程示意,大致分為三層,具體可見如下圖的業務流程示意:

  • 判斷層:即當前用戶是否需要上傳身份證
  • 操作層:即用戶進行身份證上傳及識別
  • 校驗層:進行身份OCR識別校驗以及是否本人證件的規則校驗

身份證上傳流程

(1)身份證上傳的判斷層主要是判斷用戶當前是否需要上傳身份證,一般兩種情況下需要進行上傳:

  • 用戶尚未上傳身份證;
  • 用戶的身份證已過期。

(2)如果用戶需要進行身份證上傳,則需要判斷當前是否已具有相機權限(或者相冊權限),如果沒有相應的權限需要提示用戶進行開啟。

(3)上傳身份證可以接入第三方的OCR識別SDK,也可以僅進行API的識別接口對接。但是一般客戶端SDK組件可以提供身份證圖片質量的檢測以及包括額外的身份證風險類型的識別,如圖所示的幾種異常身份證:

身份證識別五類-From:百度AI開放平臺身份核驗接口文檔

(4)OCR上傳識別成功后,與用戶的實名信息進行比對,校驗OCR識別信息是否準確。

三、人臉識別

目前人臉識別已經被廣泛應用于各類生活場景,比如手機的人臉解鎖、線下支付寶推出的人臉支付、機場和火車站的人臉識別等。另外目前在金融信貸場景也會采用人臉識別來作為反欺詐、申貸身份的核驗。

基于信貸場景而言,完整的人臉識別一般是包含如下幾個過程:活體檢測、人臉采集、比對三個過程,而其目的一般在于確保申貸人為【真人】操作,避免黑產等通過機器批量操作等模式攻擊。

另外在于確認為【本人】操作,防止中介代辦、身份冒用等情況。

一般現在人臉識別都是使用的專門的第三方提供的SDK集成服務,集成SDK后,通過客戶端本地離線活體檢測和人臉采集,然后調用第三方API服務接口進行身份核驗判斷。具體示意可參考如下流程:

人臉識別SDK流程-From:百度AI開放平臺接口文檔

1. 活體檢測

活體檢測是驗證當前操作的人是一個活物,主要防止靜態活體(如照片)的攻擊。打比方說,比如人臉考勤,直接拿照片可能也可以完成打卡。

目前活體檢測大致有如下幾種方法(聲明,這部分描述是來自基于百度SDK文檔概述):

(1)有動作交互活體檢測:通過要求用戶配合做出一些面部動作,驗證是否為身份偽造攻擊,此方式往往結合靜默圖片活體檢測一起使用。

(2)靜默圖片活體檢測:通過提交圖片,檢測圖片中的屏幕邊框、反光、摩爾紋、成像畸變等線索,來區分是否為二次翻拍攻擊(舉例:如用戶A用手機拍攝了一張包含人臉的圖片一,用戶B翻拍了圖片一得到了圖片二,并用圖片二偽造成用戶A去進行識別操作,這種情況普遍發生在金融開戶、實名認證等環節)。

(3)H5視頻活體檢測:通過上傳一段視頻,進行視頻隨機抽幀分析,對隨機圖片進行靜默圖片活體檢測,得出綜合攻擊情況分析結果。為確保視頻唯一性,可以結合語音校驗碼接口使用。

目前主流信貸產品絕大多數都采用的是基于Native app的人臉識別SDK,一般會內置動作交互活體檢測功能。但如果信貸場景是通過第三方H5實現,且需要人臉識別的話,一般需要考慮H5視頻活體檢測。

2. 人臉采集

在活體檢測的同時,會進行人臉圖片的獲取和采集,可以根據需要定制需要采集存儲的活體底照數量。

基于人臉采集后的人證比對分析的準確性,對于采集的圖像質量有很高的要求。百度將人臉的質量檢測概括為五方面,一般如果集成了第三方人臉識別SDK,都會內置這部分質量檢測,不符合時可以中斷操作,提示用戶重新進行人臉識別。

  1. 遮擋:指人臉各部位的遮擋比例;
  2. 模糊度:指人臉的清晰程度;
  3. 光照:指人臉的光照強度;
  4. 完整性:指圖片中的人臉是否完整;
  5. 姿態:指人臉在三維空間的角度分布。

3. 身份核驗

人臉識別的最后一步是進行身份核驗,也就是判斷是否是用戶本人操作,是否允許用戶完成該行為。一般被應用于應用異常操作風險安全攔截,如設備異常登錄或銀行卡交易操作異常等。

類似目前手機移動支付的人臉驗證也可以歸屬為人臉比對的過程。身份核驗的常規核驗流程是使用用戶當前采集的人臉同注冊人臉進行比對。

所謂的注冊人臉是用戶首次進行識別輸入存儲的圖片或者其他方式存儲的用于作為基準對比的圖片。人臉比對是將兩張照片進行比對,得到一個比對分數結果,根據設定的閾值分數,判斷是否通過。

另外關于身份核驗一般有3種對比場景:

(1)活體vs活體 即剛所說的當前采集的人臉同注冊人臉進行比對。主要用于判斷當前操作人是否為本人進行操作;

(2)活體vs身份證芯片照 將采集到的人臉及用戶身份證影響件的圖片照片進行比對,判斷是否人證一致;

(3)活體vs公安部網紋照 將采集到的活體同公安部網紋照進行比對,公安部網紋照對接是公安部身份系統,調用比對的花費成本較高,但一般被認為是最可靠的核驗方式。

綜上,基于以上三點的描述,我們基本可以知道信貸產品針對借款人的身份核驗及欺詐判斷基本上是結合用戶的實名信息(姓名+身份證號)、身份證照片、活體照片(或公安部網紋照)等進行相互驗證和識別。不過這無法完全杜絕團伙欺詐騙貸的防范,比如花幾千塊全額雇人進行操作。

敲黑板,劃重點:

(1)信貸產品流程中實名、身份證、銀行卡是核心要素,不論流程如何設計,最終一定是包含了這三者。

(2)信貸產品基于反欺詐的風險防范要求,一般需要進行完整的身份核驗,通過實名+身份證照+活體等聯動來進行判斷,可以杜絕大多數的欺詐騙貸情況。

(3)身份證OCR除了基本的OCR信息識別,一般還可以進行圖片質量檢測和風險檢測,識別上傳的身份證件是否有效證件。

(4)人臉識別的完整一般包含活體檢測、人臉采集、人臉比對三個方面;活體檢測主要是通過動作式活體檢測隨機采集底照,根據算法對圖片是否活體進行判斷;人臉采集則是采集人像的一個過程,人臉比對則是通過當前活體底照和其他來源存儲照片進行比對,判斷是否為同一個人。

#專欄作家#

作者:可飛,公眾號:@可飛(ID:abckefei),非正規出身,野蠻生長的不入流產品經理。
本文原創發布于人人都是產品經理。未經許可,禁止轉載。
題圖來自Unsplash,基于 CC0 協議

更多精彩內容,請關注人人都是產品經理微信公眾號或下載App
可飛
公眾號:可飛(ID:abckefei) 非正規出身,野蠻生長的不入流產品經理。
13篇作品 281900總閱讀量
11-013716 瀏覽
當虛擬人學會玩“狼人殺”:一次由大模型帶來的智能體變革
12-193322 瀏覽
年銷售額超百億,TOP級保健品牌,Swisse斯維詩是如何做好私域運營的?
01-132532 瀏覽
騰訊“全廠的希望”,站上微信C位
09-141473 瀏覽
SRM尋源競價:競價的使用場景和優勢
08-181789 瀏覽
6倍溢價,虧損百萬,珠寶直播誰在暴富?
評論
評論請登錄

  1. ?? 首先謝謝分享,人臉識別的流程圖最后的結束那里是不是復制的哈(結束,上面的操作寫錯了,兩個不符合?)

    來自廣東 回復