技术贴:如何向央妈证明你是你?吴卫明博士总结互联网身份交叉验证九大真经
作者:吴卫明 2015-08-20如何证明你妈是你妈?这是个深奥的哲学命题,如同如何证明你是你一样。当然你可以从法律角度的出生证来证明,也可以用刑侦科学的DNA来证明,还可以通过亲族的证明来达到目标。但在社会生活的绝大多数场景下,这只是一个常识问题。
话说央妈有多个孩子,其中一个孩子是非银行支付机构(也就是通常所说的“第三方支付机构”),出生于2010年,卒年无法预测。按照中国人的传统,老幺总是最受宠爱。偏偏支付机构却不是亲生的,而是央行根据市场发展情况,对支付宝等机构进行规范才收编到央行旗下的。这一背景下,央行对非银行支付机构的规范始终没有找到感觉,要么放的太松,要么管的太紧。
近期,央行发布了《非银行支付机构网络支付业务管理办法(征求意见稿)》(简称《支付办法》),对非银行支付机构进行了严格的规范。引发社会关注的有多个焦点,其中争议较大的是“开户身份验证”。
《支付办法》第九条规定:“支付机构为客户开立支付账户的,应当对客户实行实名制管理…按规定留存有效身份证件复印件或者影印件,并通过三个(含)以上合法安全的外部渠道对客户身份基本信息进行多重交叉验证。”
《支付办法》第十六条规定:“支付机构为个人客户开立支付账户并基于支付账户余额办理网络支付业务的,应按照下列要求根据客户身份核实方式对个人支付账户余额的付款功能和交易限额进行分类管理:(一)对于支付机构自主或委托合作机构以面对面方式完成身份核实的个人客户,以及支付机构仅以非面对面方式核实身份,但通过五个(含)以上合法安全的外部渠道对身份基本信息完成多重交叉验证的个人客户,支付机构可为其开立综合类支付账户。”
上述规定被社会误读为办理支付,需要有关部门开具五个证明,甚至有观点认为,需要通过居委会、公安、税务等部门盖章开具文件。
吴卫明博士认为,对于开具五种证明的说法,完全是误解了央行规定身份验证的初衷和认可的方法。事实上,只要验证方法是合法的,交叉验证完全可以通过网络便捷完成。
互联网上的交叉验证,绝非我们所理解的开具证明,而是利用有效、合法外部信息通过网络完成的身份验证。在《支付办法》中,央行没有说明交叉验证的手段。吴卫明博士理解,交叉验证是一个法律上的证据判定规则,央行没有规定,是把交叉验证留给了第三方支付机构去创新和尝试。按照现有的技术手段,验证方法有以下九大门类:
1、身份证号码验证
这种方法由客户输入身份证号码,非银行支付机构通过公安的身份证识别系统验证身份证号码与客户的姓名能够匹配。
2、手机验证码验证
支付机构发送手机短信验证码,并由注册用户填写验证码。吴卫明博士认为:这一方式,其实是利用了电信营业机构开户时预留的客户身份证信息,与手机验证码形成匹配而实施的验证。电信部门的柜台人员,代替支付机构完成身份证的审核。
3、电子邮箱验证
通过给预留邮箱发送验证链接,并以点击链接方式继续注册。由于邮箱注册没有强制实行实名制,电子邮箱验证的法律效力较弱。
4、银行卡验证
注册时,支付机构要求客户绑定某张银行卡。并要求客户在注册完成时,象征性支付几元钱的款项至客户在支付机构开设的支付账户,以此确认银行卡的持卡人就是客户本人。这一方式,其实是利用了客户在银行开户时预留的客户身份证信息。银行的柜台人员,代替支付机构完成身份证的审核。
5、刷脸验证、虹膜验证及其他生物识别方式
客户在摄像头前刷脸,支付机构通过第三方服务机构(需要公安身份信息系统配套)以图形识别方式对客户的脸部扫面数据与身份信息系统中预留的照片比对。虹膜验证方法,在数据库足够丰富条件下,也可以尝试。
6、指纹验证
客户通过终端设备按压输入指纹信息,支付机构通过第三方服务机构(需要公安身份信息系统配套)以图形识别方式对客户的指纹数据与身份信息系统中预留的指纹信息比对。
7、电子签名及数字证书验证
支付机构要求客户使用其认可的第三方电子认证机构发放的数字证书,并在注册过程中作出电子签名,以此完成身份的验证。第三方认证机构,通过核发数字证书的方式,已经验证了客户身份。支付机构通过证书,即可识别客户的真实身份。
8、利用其他网站信息验证
比如通过微信号码、QQ号、淘宝注册号等进行验证。吴卫明博士认为:由于微信、淘宝等用户在注册时,已经通过绑定银行卡、手机验证码等方式完成过一轮身份交叉验证。并且,在长期的消费、网络支付场景中,客户的身份已经被锁定。借用微信号码、QQ号、淘宝注册号等账号进行验证也可以成为一种辅助方法。
9、利用电子身份证验证
即公民的数字身份证,虽然当前尚未推广,但这种验证,毫无疑问将是最为直接的电子验证方式。
掌握了上述九大验证方法,向央妈证明你是你,也就变得轻松易行了。