你不知道在网上和你聊得津津有味的“人”,到底是一只狗还是一只猫。基于网络空间的开放性虚拟性,相信不少网民对这句话深信不疑。
然而,随着互联网深入渗透人们的日常生活,当其不再仅仅局限为人们获取信息的渠道后,很多用户发现,很多情形下,自己必须知道网络另一端到底是“狗”还是“猫”,而且在有交易、资金往来的场景下,还必须确保对方是“人”,而且必须就是其宣称的“那个人”。
于是,如何在一些特定领域,确保交易相对人身份的真实性,防范虚假信息、交易欺诈,也对互联网服务提供者的身份认证机制提出了挑战。
识别用户身份为部分网络服务提供者的义务
网上交易保障中心副主任乔聪军对法治周末记者介绍,互联网发展初期,对于网民身份的真实性并没有非常迫切的需求,验证用户身份,主要通过用户名和密码的方式来实现。
随着电子商务的快速兴起,人们开始通过互联网进行交易。乔聪军介绍,防范交易欺诈,起初,一些平台要求卖家必须提供身份证复印件来确认身份。
道高一尺,魔高一丈。为了防范卖家伪造复印件、欺诈买家,不少平台的身份认证要求也有了升级:卖家必须上传手持身份证照片、绑定银行卡……
随着互联网行业的快速发展,网络社会和现实社会的边界越来越模糊,在一些特定的网络服务领域,准确识别用户身份开始成为一种社会需要。
2012年底,全国人大常委会颁布了《关于加强网络信息保护的决定》,要求网络服务提供者在为用户办理网站接入服务、办理固话、移动电话入网手续,或者为用户提供信息发布服务时,应当要求用户提供真实身份信息。
2013年颁布实施的新消法也规定,消费者通过网络交易平台购买商品或者接受服务,其合法权益受到损害的,可以向销售者或者服务者要求赔偿。如果网络交易平台提供者不能提供销售者或者服务者的真实名称、地址和有效联系方式的,消费者也可以向网络交易平台提供者要求赔偿。
于是,对于网络用户身份进行识别和认证成为一些网络服务提供者的重要义务。
近两年来,随着网络支付、P2P、众筹等互联网金融的快速发展,网络已经不再单单是获取信息、进行交易的渠道,从事相关服务的互联网企业能否确保用户身份的真实性,更是直接关乎到当事人的重大财产利益。
出于识别用户身份的需要,严谨的银行卡的身份认证技术,时髦的大数据技术,更为炫酷的人脸、指纹、虹膜等生物技术……相继被研发和投入使用。
不同认证方式各有利弊
中国金融认证中心技术支持部总经理马春旺对法治周末记者介绍,目前包括互联网金融企业在内的互联网公司,在解决用户身份认证问题上,主要采用四种技术手段:基于身份证信息的认证、基于银行卡的身份认证、生物识别身份认证、基于数字证书的身份认证。
不过,上述任何一种认证方式并不能完全解决身份认证问题。马春旺举例说,身份证验证是最基本的验证方式,互联网企业可以通过与公安部门联网核查公民身份信息系统的对接,来验证用户的身份证号码与其姓名是否匹配。“不过一旦用户身份信息泄露后,该验证的真实性将大打折扣。”马春旺说。
马春旺介绍,银行卡身份认证是目前使用较为广泛的身份认证技术,这主要源于银行卡办理过程中“实名”的要求。
我国《个人存款账户实名制规定》要求,“个人在金融机构开立个人存款账户时,应当出示本人身份证件,使用实名”;“在金融机构开立个人存款账户的,金融机构应当要求其出示本人身份证件,进行核对,并登记其身份证件上的姓名和号码”。
“这意味着,凡是金融机构出具的合法有效的银行卡,必定与该卡所有者的身份信息匹配。大多数互联网金融平台,通常会要求用户绑定其本人所持有的某张银行卡,同时要求客户在注册完成时,象征性地支付小额的款项至客户的结算账户,以此确认银行卡的持卡人就是用户本人。”马春旺说。
中国电子商务协会政策法律委员会副主任刘春泉对法治周末记者介绍,同电信行业对手机号的实名认证一样,银行卡的实名认证相当于基础设施,但如果不法分子利用购买、盗用的成套资料办理手机号或者银行卡,未在面签环节被识别出来并加以拦截,那么在网络上再严密的交叉验证也会被绕过,这样就很难保证网络行为的可追溯、可追究。
多重交叉验证仍是主流
随着人脸、指纹、虹膜等生物技术的快速发展,很多互联网企业也在尝试使用生物识别技术来破解用户的身份识别难题。
不过,马春旺对记者介绍,生物识别技术的发展需要克服两大障碍:公民生物信息库的建立、生物识别精准度的提高。
“生物信息库的建立需要配套的法律支持和社会系统性工程建设;由于人脸本身的相似性和易变性,刷脸验证等方式的效力更多依赖于技术的精准度,这还需要打破目前的技术瓶颈。”马春旺说。
此前,有媒体报道,演员赵薇的丈夫黄有龙,其司机就冒充黄有龙本人,骗过了公证处的人脸识别系统,私自处置了黄的房产——这也让公众对人脸识别系统的精准度有了疑虑。
此外,马春旺表示,由于人脸信息是极易泄露的生物信息,在遍布监控、摄像头的环境中,人脸信息很容易被捕捉和复制,这在一定程度上会降低人脸识别的准确性。因此,生物识别方式技术还需要不断提高才能满足互联网身份认证的要求。
相比较而言,马春旺认为,从使用成本、身份认证的安全可靠性上讲,利用已有的数字证书,进行在线身份认证是一种非常好的选择。
“用户在办理数字证书时,需要经过面签,验证用户证件真伪、人证是否相符、是否是本人真实意愿,证书用户身份真实可靠。”马春旺介绍,互联网相关服务商通过电子认证服务机构验证数字证书的真实性,并获取用户的身份认证信息,即可识别用户的真实身份,安全可靠,简单易行。
对于上述几种方式,马春旺表示,互联网金融企业可根据业务需求、安全性要求,选择不同的身份认证方式,也可综合使用多种身份认证方式相结合。
在现有技术条件下,乔聪军认为,通过多重交叉验证方式就能提高用户身份识别的成功率。不过他表示,“安全、成本、效率之间往往也存在着矛盾,互联网企业追求的是方便、快捷、低成本,在验证成本、用户体验以及减少验证方式带来的损失方面,很多企业不免要做一些权衡”。
