首页 > 互联网+

“裸奔”二十年:考拉征信被查背后的身份认证江湖

互联网+ 温泉 零壹财经 2019-12-03

关键词:考拉征信被查身份认证数据治理拉卡拉

背后黑产大揭秘。
11月21日,据央视报道,考拉征信涉嫌非法提供身份证返照查询9800多万次,获利3800万元,相关人员已被公安机关带走。

事件的突发令人惊诧。作为准牌照机构,考拉征信是第三方支付上市公司拉卡拉(300773.SZ)旗下公司,是中国为数不多的有资源、有能力做个人征信业务的机构之一。它是2015年1月接到央行通知做个人征信准备工作的八家机构之一,也是百行征信的股东之一。

考拉征信被曝光的“身份证返照查询”服务,追溯到源头,其实是身份信息查询服务。身份信息查询服务自2001年全国公民身份信息查询中心成立开始,在全国逐步推广,至今已将近二十年。

二十年间,围绕个人身份信息查询与隐私保护,曾经发生过民间诉讼、舆论风波。然而,二十年过去,我们为什么似乎还在原地?

上游庞杂

根据央视报道,经查北京考拉征信服务有限公司从上游公司获取接口后又违规将查询接口出卖,并非法缓存公民个人身份信息,供下游公司查询牟利,从而造成公民身份信息包括身份证照片的大量泄露。

报道中对“上游公司”没有再进行追溯。据零壹财经了解,公民身份证信息的来源十分庞杂。

中国公民身份证信息的最终源头在公安部。根据《中华人民共和国居民身份证法》,公民身份号码是每个公民唯一的、终身不变的身份代码,由公安机关按照公民身份号码国家标准编制。

不过,谁有权利授权核验公民身份证信息,这似乎是一笔糊涂账。这一点,连业内的资深人士也无法完全说清楚,零壹财经也没有找到公开的法律规定。比较一致的是,多位业内资深人士告诉零壹财经,实际上业内从公安部相关机构拿到数据接口的,最终接口的提供方主要是全国公民身份证号码查询服务中心。

根据官网信息,全国公民身份证号码查询服务中心成立于2001年,负责建设管理和运营全国公民身份信息系统,为政府部门及社会各界提供全国公民身份信息服务。有业内人士称,这是实际上有权利核验公民身份证信息的机构,但也有不同的说法,称公安部部分其他机构也有权利核验。

实际上,公安部的相关机构也并不是公民身份信息的唯一数据来源。一位在业内从业多年的资深人士告诉零壹财经,一些部委由于实际工作需要,会有从公安部同步的数据库。比如,国内银行在借记卡和存折开户时如需身份核验,就会直接到人民银行提供的核验平台进行校验,而不需要接入公安部的平台接口。

同时,一些大型企业和综合性机构,因为业务规模庞大,极易通过日常运营大规模获取用户信息,比如中国铁道科学研究院旗下的12306网站,由于一般人都需要从该网站购买火车票,几乎可以拥有全国公民身份证信息。

身份信息核验数据源头以下,是各级渠道商,也称“数据服务商”或者“数据代理商”。上述人士告诉零壹财经,单从公安部相关机构拿到身份核验数据接口的渠道商大致就有几十家,而从各种其他数据源接出来的一级渠道商有多少家,就不好说了。

可是,这些数据源头和一级渠道商,在很多情况下并不是所有最终对接市场商户的身份信息核验机构。在它们之下,还有为数众多的数据代理商。

N道贩子

市场上需要进行身份信息验证的商家非常多,几乎遍及各行各业。比如,电子商务、物流、网络游戏、外卖、门户/论坛社交网站、婚恋交友、房产中心、在线教育、电子票务、招聘、家政/上门服务、各类金融应用等等。

但是这些商家一般都不是直接从公安部相关机构接数据,大多也不是从一级渠道商处接,而是从一些其他数据代理商处接。一位行业资深人士告诉零壹财经,一般在最终使用的商家和公安系统之间有123456789级的“N道贩子”。

之所以有代理商存在,主要是因为公安部的相关机构作为政府机构或者事业单位,开发商业应用的精力有限,数据代理商可以帮助公民身份信息找到适合的应用场景,并且根据具体场景需求开发产品。

之所以有很多机构不与数据源或者一级数据代理商接数据,零壹财经从业内人士处获知的原因主要有三点:合作门槛、价格和方便程度。

首先是合作门槛。以公安部的相关机构为例,这些机构对合作伙伴有比较高的要求,这就使得很多机构不具备与公安部的相关机构直接接数据的资质。关于具体的资质要求,零壹财经未见相关文件明文规定,业内人士透露的相关要求有股东背景、是否各行业持牌机构等。因此,资质不够的商家只能通过其他代理商接数据。

其次是价格。理论上讲,各级代理商都是层层开接口,如果有身份信息验证的需求,最终都要与“全国人口信息社会应用平台”里的数据进行比对,各级代理商应该是层层加价,越接近数据源的代理商价格越低,越远离数据源的代理商价格越高。但是实际应用中并非如此,恰恰相反,远离数据源的代理商反而有可能价格更低。这是因为越接近数据源的代理商,一般受到的监督更多,经营更加规范,每调用一次数据都需要付钱给全国公民身份证号码查询服务中心。

而远离数据源的代理商,可以将用户上传的信息进行“缓存”,自己在本地建立一个数据库。之后再有用户要进行信息比对时,只要把用户上传的信息与自己数据库里的信息进行比对就可以,这样可以省掉给数据源的费用,从而给用户更低的价格。目前身份信息核查的价格,在市场上一般从几毛钱到一块多不等。但是缓存了数据的代理商,甚至可以将价格定在几分钱一条。

最后是实际使用场景的方便程度。直接比对姓名和身份证号,在很多实际应用中是不够的,需要结合其他的技术才能解决问题,因此商家需要接那些能够提供完整解决方案的数据接口。

一位头部互联网金融公司内部资深人士向零壹财经举例,以金融类APP的身份信息验证为例,“全国公民身份证号码查询服务中心——一级渠道商——人脸识别厂商——金融APP”,这是一个金融类APP接身份验证服务的最短路径。他解释,因为不管什么样的商家,最终要解决的问题是要验证来办理业务的真实用户的真实身份。全国公民身份证号码查询服务中心提供的服务是,用户提供姓名和身份证号,该中心将数据通过电信运营商的网络通道传送至公安部“全国人口信息社会应用平台”进行比对,返回“一致”或“不一致”的比对结果。但是对商家来说,只知道身份证的真假还不行,还需要知道前来办理业务的用户真人和身份证是否是同一个人。因此,这一步就必须要用到“活体识别”,即各类人脸识别厂商。

因此,在实际应用当中,大部分互联网金融类的APP是与人脸识别厂商接数据接口,人脸识别厂商在后台再与身份验证的渠道商接数据。同时,现在其实很少有人是将姓名和身份证一字一字输入进行验证,而是直接用仪器扫描身份证进行识别,在实际应用中这被称为“OCR识别”(即Optical Character Recognition,光学字符识别,是指电子设备(例如扫描仪或数码相机)检查纸上打印的字符,用字符识别方法将形状翻译成计算机文字的过程),也需要能提供相关技术的供应商。

祸起“缓存”

这样一个层层转接的金字塔,并不必然导致公民身份信息泄露。

须注意的是,全国公民身份证号码查询服务中心提供的服务是,用户提供姓名和身份证号,该中心将数据通过电信运营商的网络通道传送至公安部“全国人口信息社会应用平台”进行比对,返回“一致”或“不一致”的比对结果。这一过程并不会泄露公民身份信息。

“缓存”的存在,使得在数据源庞杂、数据代理商众多的环境下,公民身份证信息泄露成为广泛存在的事实。“缓存”在实际应用中,就是数据代理商将获得的身份证信息存储在本地,并且利用存储的信息提供相关服务。一位业内人士告诉零壹财经,在实际中,缓存是“两头缓”,就是对上下游的信息都可以缓存。

下游的信息,就是用户或者下游数据代理商上传请求核验的信息,可以缓存;上游的信息,就是数据代理商将需要核验的身份证信息传给上游代理商之后,上游代理商如果返回“一致”的比对结果,请求核验的代理商就相当于拥有了一条真实的信息,上游代理商如果返回用户的照片,请求核验的代理商也会直接缓存。对用户信息进行缓存的现象相当普遍,许多数据代理商就是赚缓存的钱(因为缓存可以节省数据成本)。“几乎没有一家敢说自己从未缓存过用户信息。”该人士坦言。

“缓存”的存在,也在相当程度上影响着数据代理商们的生存状态。一位公民身份信息的一级渠道商向零壹财经坦言,在今年9月份掀起的数据整治风暴之前,他们的一个很大的烦恼在于,很多客户被缓存了数据的代理商抢去。他们虽然真正拿到了公安部相关部门的授权,但是在市场上并不能说有多大竞争优势。作为一级渠道商,反而在很多方面的行为要受到监督。

有业内人士举例,比如一个一级渠道商,每天调用数据的次数是5000次,如果某一天查询次数突然上升到10000次,公安系统的相关部门会询问原因。这些,一个远离数据源的代理商,用自身缓存的数据来提供服务,是根本不用受到任何监督的。当然,一级渠道商在数据的质量、反应速度等方面有一定的优势,这也使得这些渠道商拥有各个行业更头部的客户。

一位征信行业资深人士告诉零壹财经,“缓存”这个普遍的小小的举动,实际上对行业的危害很大,会侵犯行业上下游的利益。对上下游来说,缓存都是在未获得用户授权的情况下,存储用户信息,侵犯了数据源的利益,也侵犯了用户的个人隐私。

具体到考拉征信被曝光的“身份证返照查询”这项服务,曾经非常普遍应用于电信运营商实名制、金融验真、智慧城市等领域。

2008年,法制日报曾经报道,有网站公开提供这样的服务:在网站上可以对任何一个人的身份证信息进行核查,输入某人的姓名和身份证号码,系统会显示这两个信息是否一致,如果一致,还可以看到与两个信息匹配的人的照片。

据业内人士回忆,这项服务大范围减少是在2017年之后。这一方面源于2016年11月7日《中华人民共和国网络安全法》(以下简称“网络安全法”)发布,并于2017年6月1日生效。其中规定,网络运营者不得泄露、篡改、毁损其收集的个人信息,未经被收集者同意,不得向他人提供个人信息。

该部法律规定了较为严格的法律责任,违反相关规定会被处以罚款,甚至可以被停业或者吊销营业执照;与网络安全法同时生效的还有《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》,其中规定,未经被收集者同意,将合法收集的公民个人信息向他人提供的,属于刑法第二百五十三条之一规定的“提供公民个人信息”,甚至可以被定性为“侵犯公民个人信息罪”。另一方面,由于“身份证返照查询”服务监管不严,导致诈骗等犯罪案件屡次发生,屡禁不绝,因此全国公民身份证号码查询服务中心关闭了“身份证返照查询”服务,改为身份核验+人脸识别服务。

不过这项服务在市场上并没有消失。有业内人士清晰地记得,就在2018年,市场上还有机构提供相关服务,现在提供这项服务的机构少了一些,但并不是完全没有。

考拉征信被曝光的案例恰恰发生在2018年4月。根据媒体公开报道,当时,考拉征信的经济状况并不好,2018年度净利润-1761.99万元。

在所有数据代理机构中,准牌照机构考拉征信是“N道贩子”中的一个,在金字塔中是较为接近顶端的机构。有资深业内人士认为,考拉征信之所以会涉嫌非法提供身份证返照查询,还是因为这项业务比较赚钱。该人士坦言,很多提供风控服务的金融科技公司,只有卖数据才真正赚钱,许多号称“金融科技”都是挂羊头卖狗肉。

数据治理陷“两难困境”

考拉征信涉嫌非法提供身份证返照查询,并非个人身份信息泄露问题第一次被发现。

事实上,在过去将近二十年的时间里,个人身份信息泄露多次引发媒体讨论或者诉讼。2008年,关于身份查询与隐私保护曾经有过舆论风波。当时南京一位市民发现,在网上随便什么人花5元钱就可以查到自己的个人身份信息,随后他将一家网站告上法庭。当年,此案例被众多媒体广泛报道讨论。

此后,2008年开始,有几届央视315晚会都曝光了个人隐私信息泄露问题。2016年8月,山东女孩徐玉玉因被诈骗电话骗走上大学的费用9900元,伤心欲绝,郁结于心,最终导致心脏骤停离世,这一案例被认为是个人身份信息泄露带来恶果的典型案例。

关于考拉征信事件,最深刻的拷问,莫过于个人身份信息泄露问题经过多年的讨论,为何仍在今天发生在一个行业头部公司身上。

前述行业资深人士告诉零壹财经,根据他的了解,事实上现在个人身份信息的保护难度非常大,数据治理陷入“两难困境”。

他解释,一方面,前述数据层层转接、缓存导致个人身份信息泄露的问题确实要治理;另一方面,如果完全取消众多的数据代理,又会导致正常的数据需求没法满足,需要数据的机构接不到数据。

11月28日,零壹财经在全国公民身份证号码查询服务中心的官网上发现一则通知——《关于查询中心调整服务模式的通知》,这则通知发布于2019年7月24日。

通知显示:为进一步落实国务院减税降费政策,贯彻国务院常务会议关于“取消公民身份信息认证收费”的指示精神,继续深化“放管服”改革,根据上级单位相关部署和通知要求,查询中心调整服务模式,取消公民身份信息认证服务收费,并取消通过合作伙伴提供公民身份信息认证服务的模式。原通过合作伙伴使用公民身份信息认证服务的用户,请直接与查询中心联系,由查询中心提供免费公民身份信息认证服务。

零壹财经致电该中心官网公布的“市场专线”,询问是否所有机构都可以直接从中心接数据。接电话的工作人员询问了零壹财经要应用的具体场景之后,答复可以记录需求,后续请相关业务条线的客户经理再进一步联系对接。

但是他透露,最终接入数据的话,中心有一定的要求,比如一个比较简单的要求是,接入机构得是各行各业的持牌机构,相关更多的申请材料需要与各行业条线的客户经理对接提交。此外,由于这个项目是从7月份开始的,现在很多机构在排队,目前不能确定什么时候可以真正接入。

多位业内人士向零壹财经表示,这样的情况,会导致实际上很多机构是无法直接享受到中心提供免费公民身份信息认证服务的。事实上,这也为前期已经接入中心的数据公司提供了权力寻租空间。

未来,技术与法律被认为是能够真正促进个人身份信息合理使用和保护的路径。多位业内人士告诉零壹财经,现在行业内在探讨通过“联邦学习”或者“区块链”技术来解决隐私保护的问题,但是目前的技术方案都还不成熟。在法律方面,经过多个实际案例的警示,行业内的操作也会越来越规范。

如果这个问题未来依然无法有效解决,在身份认证江湖上,各方瓜分利益、规避责任之后,承受最终恶果的将是像徐玉玉这样鲜活的生命。

12月20日,零壹财经·零壹智库年度峰会“2020数字科技年会暨零壹财经新金融年会”即将召开。本次峰会将打造50+银行与消金、100+媒体传播、2项榜单、1000+嘉宾的行业盛况。12月20日,北京东方君悦大酒店,期待您的莅临!报名通道:http://hdxu.cn/iqGSK

上一篇>线上旅游平台布局产业金融:三个动因与两大模式

下一篇>零售金融周报:蚂蚁金服拟募资10亿投资海外互金企业;平安消费金融公司获批筹建


相关文章


用户评论

游客

自律公约

所有评论

主编精选

more

专题推荐

more

2019年数字信用与风控年会(共15篇)


资讯排行

  • 48h
  • 7天



耗时 191ms