小令觀點｜需要留存使用者的身份證照片？想清楚這三點了再做……

一些線上業務因為監管或風控的要求，必須做嚴格的強實名認證，並留存使用者的身份證照作為證明，比如銀行開戶、手機借錢、線上考試、自媒體主播、招募網約司機等。

與只需要填寫姓名+身份證號的簡單認證不同，使用者要完成強實名認證的全部操作可不容易，一套完整流程大致

由如下

幾個步驟組成，任何一步失敗都得重新來過。

比使用者更心累的，當然是業務的設計和管理人員了。

這裡不僅僅有使用者體驗問題，還有事關身份資料的安全問題和個人隱私的合規問題，整套流程其實是比較複雜的

。

特別是如下三點，企業一定要謀定而後動，找到最適合自身的解決方案。

01

拍照環節的失敗和流失率，超出你的想象

使用手機攝像頭拍攝合適的身份證照片，其實是不容易的，而且需要進行兩次！受限於光線、角度、背景、攝像頭質量、手的穩定度等不可控的外界因素，這裡的失敗率遠超想象。

從業界頭部的 APP 如支付寶、招商銀行等獲知，單次成功率

僅為65%不到

，感到不滿而直接離開的使用者流失率其實是很驚人的。

而另外一些公司在統計內部運營資料時卻會發現，自家的拍照識別環節成功率好像很高，甚至能到 90% 以上，兩

個數值

對照起來就很奇怪了，這是為何呢？

真實的情況往往是，這是“已經成功上傳”的身份證照、進一步被後臺系統演算法識別成功的比例，而忽略了前臺步驟中，無法拍攝出客戶端 APP 認可標準的照片的這部分受眾。

APP 客戶端在拍攝照片時會進行前臺的“基礎規則檢測”，比如身份證數字號碼是否排成一

行等

，對於手抖的老年人、光線過於昏暗或過於明亮等情況下拍出的照片，客戶端往往就直接拒絕了，會提示使用者繼續操作，而後臺系統對此並不知曉。

當然了，也有產品經理會認為，這是個自然篩選過程，幫助系統過濾了並不合適的使用者受眾，而真正特別需要自家產品服務的使用者一定會堅持多試幾次、直到拍攝成功的。這種判斷就見仁見智了。

總體來說，拍照識別身份證這個步驟，需要注意平衡使用者的操作難度和前臺系統的識別精度，否則會把過多的使用者拒之門外，而業務人員可能還不知道問題出在哪裡。

另一種方式是允許使用者從手機相簿中直接選取身份證照片。這種情況下因為避免了使用者實時拍照，成功率確實會大幅提升。

但通常來說，業界並不鼓勵使用者將自己的身份證照片儲存在手機中，這種不良習慣會帶來很多後患，而且下文中我們也可以看到這種方式還會滋生額外的安全風險，所以主流的銀行 APP 們已經率先禁止了這一方式。

02

識別照片的真偽，避免壞人鑽漏洞

在上一步驟完成後，後臺系統需要清晰識別出身份證照片中的有效資訊。目前受限於演算法能力，通常只能比較準確地提取出照片中的“姓名”和“身份證號碼”資訊，並透過對接公安資料庫等方式來校驗確認。

然而，其他資訊則很難保障提取準確，而且也沒有權威的資料來源來校驗其真偽。

很多企業認為，有了姓名+身份證號就足以開展業務了。但是這裡有個非常大的前提假設，那就是“沒有壞人作惡”。

可惜，真實世界並不如此。

壞人至少可以從如下兩個方面來作惡，而後臺系統都很難防禦：

使用假冒的身份證國徽面

由於身份證的兩面是分別拍照上傳的，因此無法保障兩張照片都來自於同一張身份證。最典型的欺詐之一就是“身份證有效期作假”，只要使用另一張身份證的國徽面來拍照提交，系統就無能為力了。

使用 PS 偽造後的身份證照片

如下圖所示，人眼看起來有很明顯的PS痕跡，但系統往往很難識別，會採納為合法的圖片。

壞人使用這些虛假照片成功騙過系統，一方面可以透過虛假資訊不正當謀利，另一方面在產生糾紛時還可以反咬系統一口，指責企業沒有盡到 KYC 義務，違反了監管要求。由於作案成本很低，這種團伙式的詐騙是很讓人頭疼的，一不小心就會中招。

上述問題在當前技術手段下，是很難直接解決的，企業往往會透過“人臉識別”來間接消除這個風險，其邏輯是：如果當前操作人就是上傳證件資訊的主人（即：人臉照片與姓名+身份證號匹配，公安等國家權威資料系統可以提供這樣的匹配校驗），那上述風險就很小了。

可惜，隨著人臉識別技術也正在被黑產們快速攻克、低成本破解，這種方法也已經不再可靠了。所以，還是需要找到正面解決的方法，確保使用者提交的身份照片是真實的才行。

03

保護使用者的身份資料，從對供應商嚴格要求做起

上述過程對系統的科技能力還是有較高要求的：

需要前臺演算法攔截低質量的照片、需要後臺演算法識別和提取照片中的資訊、需要對接權威機構的系統驗證身份資訊，等等。

極少數大型企業會選擇自行研發這些能力；但是其他絕大多數企業，包括銀行，往往還是會選擇技術供應商來提供這些服務。

然而，畢竟這裡處理的是個人身份資訊，如何保障這些技術供應商不會作惡呢？

特別是，

他們會不會截留使用者的身份證照片，以及其中的姓名、身份證號等敏感資訊呢？

可以說，企業其實是無能為力的，往往只能聽任這些供應商作出道德承諾。

隨著 2021 年我國

《資料安全法》《個人資訊保護法》

的正式出臺，企業已經不能再做若無其事的鴕鳥了，因為不規範的技術供應商，很可能會反向牽連企業導致受罰。

《個人資訊保護法》節選

第九條

：個人資訊處理者應當對其個人資訊處理活動負責，並採取必要措施保障所處理的個人資訊的安全。

第二十條

：兩個以上的個人資訊處理者共同決定個人資訊的處理目的和處理方式的，應當約定各自的權利和義務。但是，該約定不影響個人向其中任何一個個人資訊處理者要求行使本法規定的權利。個人資訊處理者共同處理個人資訊，侵害個人資訊權益造成損害的，應當依法承擔連帶責任。

在上述三個攔路虎的影響下，想要把“留存使用者的身份證照”做好，真是相當不容易。然而，這又是很多業務的必備環節，該怎麼辦才好呢？

透過現象看本質，會發現

根本問題出在“圖片”這種特殊形式的檔案上

。企業系統需要身份證照，因此要求使用者“自行提供”，再來核驗這些圖片是否合格。

然而，圖片作為一種通用性的普通檔案，是無法匹配企業對身份資訊採集的高效、安全、隱私保護等高規格要求的。因此，侷限在

“使用者上傳-系統核驗”

這種方式裡，就必然擺脫不了上述的問題和風險。

需要一種全新的方式打破這個僵局，讓使用者“無需提供圖片”，企業也能完成“留存身份證照、核驗身份真偽”的目標。

我們需要摒棄傳統的OCR 光學識別方式，透過現代化的數字加密技術和身份證內建晶片的 NFC 識別能力，無需使用者拍照提交就可以滿足企業留存身份證照的需求，同時還完美兼顧了個人使用者的操作體驗，和監管機構的資料合規要求。

在個人身份資訊傳輸的過程中，需要為企業與權威資料來源實時搭建一條“隱私專線通道”，讓個人資訊端到端直達，完全不觸碰通道中的資料，也就不可能存在快取問題了。

這樣，不僅可以幫助企業完美解決留存身份證照的問題，還能在使用者實名註冊的總體流程轉化率上給企業帶來額外驚喜，在這個獲客拉新越來越難的時代，為企業帶來可觀的直接收益。