在身份认证这件事上,不能再有黑产了

身份认证是为了增加不良行为的发生成本,从而从概率上降低人生财产损失的概率。

 |  万能的大叔

虽然滴滴顺风车司机是尸体找到了,但此案件暴露的问题和诸多细节,也随着这个略意外的结局,沉入水底。

确实,最近互联网行业暴露的悲情面太多,从央视曝光的“30元可购买实名认证”的黑产交易,到此次的空姐遇害事件,一下将我们对互联网工具的怀疑、焦虑和恐惧推向了高点。

坦率来讲,我们根本已经离不开互联网工具了,但极端事件的频频出现,又让人不得不将自己的焦虑转而变成对相关涉事平台的问责。

大叔看最近暴露出来的各类事件,比如婚恋网站认证乱象,滴滴司机审核问题,最终都指向了一个核心问题——互联网身份信息认证。

对于婚恋平台而言,媒体及公众认为平台应该强制实施身份、学历、婚姻甚至工作收入等维度的信息认证。

对网约车平台来说,用户希望平台确保自己的乘车安全,需要对平台司机的身份信息、驾驶信息、车辆信息、无犯罪记录等一系列资料进行审核和留存。

但现实情况呢?

没有交叉认证,信息审核其实是空谈

大叔了解到,当前的网络身份信息认证还处于比较浅的阶段,即依靠身份信息录入公关部授权的第三方核验系统,但如果你拿别人的身份证去系统核验系统是无法佐证的。于是现在诸多平台需要手持身份证拍照,再通过人工比对来进行审核。

这里有两个问题,一个是人工对于PS的图片是审核不了的;第二是就像央视曝光的那样,这样的制假成本低廉,已经形成了初步的黑色产业链条来专门贩卖这些资料。于是,不同认证信息的交叉比对显得尤为重要。

身份信息是我们的基础信息,手机号、银行卡、学历证、驾驶证等等一系列的资料都以身份证为基础。但手机号背后的身份信息在运营商,银行卡背后的身份信息在银行,学历证在学信网,而当遇到类似于出行、婚恋这类需要步入现实交往,需要多维度认证信息佐证时,这些关联认证信息就显得尤为重要。

但问题是,即便这些平台引导用户进行了不同纬度信息的上传,但他们也无法核实这些信息的真实性,比如你的手机号与银行卡背后的身份信息是不是一致的,芝麻信用分和注册认证手机是不是一致的,都无法进行交叉认证。

就像你在微信上,可以用你父亲的手机号注册,绑定你的身份证,上传你老婆的银行卡。然而,数据交叉认证的实现在于各个认证机构愿意将认证数据进行共享,这在当前环境下实现的可能性非常小,除非有一家共同认定的第三方机构可以整合不同认证渠道的信息交叉核验,否则我们希望看到的网络身份认证就谈不上所谓“真实性”。

刚刚所说的身份“真实性”认证仅仅是网络身份认证的第一步,更进一步的类似于学历、房产、央行征信等这类资料内容目前还处于半封闭式查证阶段,必须手动或人工进行审核查验。而涉及民政的婚姻状态更是处于全封闭状态,数据未进行全国打通,也无法开放给第三方进行核验。

对于出行、婚恋这类最终指向现实交互的工具,大众对认证审核的期待必然会更高,而打破这些认证难点,确实非一两家平台能够实现的。

认证到底有没有触犯到你的隐私?

“隐私”这事儿,对于用户与平台而言,其实多少有着“我之蜜糖,彼之砒霜”的意味。从用户角度而言,除了手机、邮箱这类已经通用的工具信息之外,个人的身份、婚姻、学历、征信等一些关联信息都被视为自己珍视的压箱底资料,而当平台需要此项认证时,大多都抱着怀疑、漠视甚至敌对的态度,原因无非担心自己的这些数据会被泄露,以及担心平台获取到自己的关联信息后,自己在平台的“行为自由度”会受到节制。

对于互联网平台来说,用户认证的这些资料并不会带来直接的数据价值,其最根本的作用在于保障用户风险防控的最后一环。也就是当认证用户在平台的行为已经需要司法介入时,这些认证资料才会被当做调查取证的材料向司法机关进行移交。平台上真正的用户“隐私”,实际是用户的每一个点击、浏览、沟通、购买等一系列的轨迹数据,这些才是互联网平台进行数据价值提炼的核心载体。

换而言之,你在公民身份上“是谁”对于互联网平台并没有太大价值,你是个什么样的“用户”才是互联网平台关注的根本。由此带来的矛盾是,用户坚守着自己基础的物理信息,平台记录着用户实际的数据化轨迹,而那些保障风险最后一环的“身份认证”的推进,都在用户和平台间的认知冲突中被打散了。

身份信息认证这件事儿,用户的认证意愿是其中的关键。

不论是出行、外卖、共享,还是婚恋、电商、金融,各个互联网细分领域都花费了以亿级美金为单位的成本进行了用户获取和市场培育。但在身份认证这件事上,产业上却无法形成统一的,自上而下的机制。

其中,不仅仅是用户认证成本的问题,更重要的是网民习惯了在无边界,即自由的网络世界中,对任何“强制性”、“可溯源”的信息认证要求都会产生本能的敌对,因为“强制”和“溯源”意味着对行为必须负责,而负责恰恰是大多数带着上帝视角的用户们不能承受之重。

最关键的是,大多数用户习惯于这样一种思维:我是你平台的用户,要满足我的要求,但不要给我提要求。导致身份认证也是一样,类似于滴滴这样主客体比较明确的服务来说,平台可以强制要求司机进行身份信息认证,但如果滴滴要求乘客必须强制实名,你会怎么做?有多少会因为这个“强制”而转向其他平台?

但其实从安全的逻辑上来讲,司机也是人,严格来说,司机和乘客面对安全风险是一致的,而像婚恋交友平台面临的情况则比滴滴这类出行平台更加艰难。

逃不过的黑产与可能到来的曙光

从央视此次曝光的婚恋认证信息售卖情况来看,一些婚恋交友网站的认证账号几乎呈半公开的形式进行售卖。

实际上,从电话卡强制实名制登记后,身份证信息便开始有了规模化的产业价值,由此产生的单一身份证信息数据、可用的他人身份证、绑定身份证的手机号、银行卡等形成了一个环环相扣的产业链。

有人曾在尝试购买身份信息,一套别人的身份证+银行卡+U盾+开户资料被明码标价800元,身份证可以畅通无阻地用来住酒店、上网、再次办理手机号。而黑产获取这些身份证和银行卡成本十分低廉,通过扒手盗窃来的身份证、清洁或收破烂从业者捡来的身份证等,以20-30元每个的价格回收。再通过运营商和银行关系大量开设手机卡和银行卡,最终通过隐形渠道销售出去。去年被广泛讨论“三和大神”,又让我们看到了那些自愿配合售卖个人信息的“真人”们,成为了黑产城池中的一片片砖瓦。

让人无法回避的是,制度与黑产存在着某种诡异的正向关系,制度越严,黑产的价值越高,黑产的需求也越精确。信息售卖虽然无法被完全杜绝,但通过行业及司法打击,和新的信息查验技术可以将当前猖獗的信息售卖产业进行有效打击。

当前,公安部正在研究推进“公安部公民网络身份识别系统”,简称eID。实际可以简单理解为网络身份证。它不是明文的身份信息,也不是像“居民身份证”那样的证件,而是搭载在一张银行卡安全智能芯片上的密码信息,看上去与普通的银行卡没什么区别。

当用户需要在网上自证身份时候,只凭姓名和eID,不需要其他个人隐私信息,就可以在实名的网站完成注册,而真实的个人信息保存在公安数据库中或是其托管的数据库中,网站是看不到的。网站将eID提交给公安数据库进行查询,返回结果仅是状态信息,即此人是否真实存在,以及eID是否有效,结果中并不带有任何姓名、身份证号等个人隐私信息。

这样既达到了实名的真实性要求,又达到了保护个人隐私的目的。eID对公民基础信息的网络核验带来了便利和保护,但依然无法满足多维度资料信息查验的诉求。

上面所说的这些身份信息核实难点,不仅仅是我们当前面临的问题,而且在未来相当长时间内的系统性难点。我们需要认清的是,身份认证是为了增加不良行为的发生成本,从而从概率上降低人生财产损失的概率。但光明和黑暗永远并存,学会自我保护,增强防患意识,所有风险防控的最后一关都是自己。

最后,为不幸遭遇伤害的年轻空姐默哀,并希望痛心的极端个案,能在喧嚣过后带给大众留下更多理性的思考。