互联网身份交叉验证方法的法律效力

吴卫明 陈伟

近期，央行发布了《非银行支付机构网络支付业务管理办法(征求意见稿)》(简称《支付办法》)，对非银行支付机构从角色定位、业务范围、风险管理和客户权益保护等方面进行了严格的规范。

“一石激起千层浪”，《支付办法》也因手笔之大，引发了社会多方位关注，其中争议较大的是“开户身份验证”。

《支付办法》第九条、第十六条提到通过“三个”“五个”等外部渠道对客户的基本身份信息进行交叉验证。有观点认为，这种验证即通过公安机关、税务机关等不同部门开具多个证明文件。这种理解和《支付办法》的立法本意并不相符。事实上，只要验证方法是合法的，交叉验证完全可以通过网络便捷完成。

相对于传统的身份验证方式，互联网时代的身份验证更具多元性和复杂性，任何主体浏览网页等所产生的碎片化信息均有可能成为交叉验证的素材来源。

互联网上的交叉验证，也绝非前述观点中所理解的开具证明，而是利用有效、合法的外部信息通过网络完成的身份验证。虽然《支付办法》并没有说明交叉验证的具体手段，但是根据现有的技术手段，验证方法主要可以分为以下几种，而每一种方法的法律效力并不完全相同。

身份证号码验证：具较高法律效力

身份证号码验证可谓使用最普遍、认可度极高的验证方式。随着远程交易的不断升级，以非面对面方式进行的身份验证也变得愈加重要。这种验证对自然人而言，往往以身份证号码的验证为开端。有验证需求的机构，在用户输入身份证号码等信息后，便可以通过已有设置实现和公安部门身份识别系统及工商机关的营业执照验证系统的对接，验证用户的身份证号码或执照编号等是否能够和其姓名、名称等匹配。

根据我国现行法律规定，身份证号码验证具有较高的法律效力。依据《中华人民共和国居民身份证法》第三条，“公民身份号码是每个公民唯一的、终身不变的身份代码，由公安机关按照公民身份号码国家标准编制”。该条第一款同时明确“居民身份证登记的项目包括：姓名、性别、民族、出生日期、常住户口所在地住址、公民身份号码、本人相片、指纹信息、证件的有效期和签发机关”。

由此可见，身份证号码具有法定唯一性，其作为身份验证手段也具有权威性。通常，在兵役登记、婚姻登记、收养登记、申请办理出境手续的过程中，公民均被要求出示身份证件。这也进一步凸显了身份证件的强证明力，身份证号码验证有据可依。而我国刑法对于伪造、变造身份证件等行为的规范，在更大程度上保障了用于交叉验证的身份证号码的真实性。

手机验证：对身份证持有人的二次验证

用户使用互联网相关平台的服务时，通常会被要求输入手机号码，继而会收到系统发送的手机验证码，以验证用户登记信息和身份的真实有效性。这一方式，实则利用了电信营业机构开户时预留的客户身份证信息，与手机验证码形成匹配而实施的验证。电信部门的柜台人员，代替第三方支付机构或其他网络经营者完成身份证的审核。

手机号码验证，在通常情况下，主要用于证明两点内容：一是用户持有该手机号码；二是办理该手机号码时的预留号码与用户本人身份信息相匹配。对于第一点内容，因凡持有手机者均可使用该手机号码完成验证，故存在证明难度。

而对于上述第二点内容，在实名制要求越来越严格的情况下，通常能够实现。依据《电话用户真实身份信息登记规定》第六条第一款，“电信业务经营者为用户办理入网手续时，应当要求用户出示有效证件、提供真实身份信息，用户应当予以配合”。手机使用者在办理开户等过程中，均要出示有效证件以证明身份。而第七条对“有效证件”的范围进行了明确，其包括“居民身份证、临时居民身份证或者户口簿；中国人民解放军军人身份证件、中国人民武装警察身份证件”等。可见，对于绝大多数主体而言，基于手机验证码的验证方式最终仍是围绕着身份证件进行的，其实质是对身份证件持有人的二次验证。

银行卡验证：账户实名的强法律效力

大多数金融行业的互联网平台，通常会要求用户绑定其本人所持有的某张银行卡。有些支付机构会同时要求客户在注册完成时，象征性支付几元钱的款项至客户在支付机构开设的支付账户，以此确认银行卡的持卡人就是用户本人。银行卡验证方式实则利用了用户在银行开户时预留的身份证信息。银行柜台人员代替支付机构或者其他网络经营者，来完成身份证的审核。

银行卡之所以可以被用于互联网身份的交叉验证，主要源于银行卡办理过程中“实名”的要求。我国《个人存款账户实名制规定》要求，“个人在金融机构开立个人存款账户时，应当出示本人身份证件，使用实名”；“在金融机构开立个人存款账户的，金融机构应当要求其出示本人身份证件，进行核对，并登记其身份证件上的姓名和号码”。

这意味着，凡是金融机构出具的合法有效的银行卡，必定与该卡所有者的身份信息匹配。除银行卡信息泄露、被盗用等情形，以银行卡作为验证方式具有较强的法律效力。

生物识别方式：效力依赖于技术精准度

刷脸验证、虹膜验证以及其他生物识别等方式的应用，主要得益于技术的进步。刷脸验证主要由用户在摄像头前刷脸，互联网相关机构通过第三方服务机构(需要公安身份信息系统配套)以图形识别方式对客户的脸部扫面数据与身份信息系统中预留的照片比对，以辨别身份信息。而虹膜验证方法，在数据库足够丰富条件下，也可以尝试。

由于人脸本身的相似性和易变性，刷脸验证等方式的效力更多依赖于技术的精准度。其风险在于人脸信息是极易泄露的生物信息，在遍布监控、摄像头的环境中，人脸信息很容易被捕捉和复制，这在一定程度上会降低人脸识别的准确性。

当然，上述生物识别方式技术还在不断的发展中，其准确性也会随着技术的成熟日渐提高。

指纹验证：前提为指纹采集及数据库完备

指纹验证方式也是较为人熟知的一种方式。

用户通过终端设备按压输入指纹信息，需要验证方可通过第三方服务机构(需要公安身份信息系统配套)以图形识别方式对客户的指纹数据与身份信息系统中预留的指纹信息比对，以实现交叉验证。

目前拥有指纹验证需求的互联网相关机构或平台并不十分多见。实现指纹验证的前提是指纹的采集以及指纹数据库的完备。在实现这些前提的基础上，指纹验证作为交叉验证的方式具有较好的效果。

电子签名验证：法律效力较高

若用户拥有CA认证的证书并能够使用电子签名，则其可进行此项身份验证。实现路径为：第三方认证机构对用户核发数字证书，并验证用户身份。互联网相应机构通过证书，即可识别用户的真实身份。

电子签名主要依靠非对称加密技术以及报文摘要技术实现，在密码信息未泄露的情况下，该等验证方式安全性较好。

我国现行法规中对于“可靠的电子签名”有明确的认定标准。依据电子签名法规定，电子签名同时符合下列条件的，视为可靠的电子签名：“电子签名制作数据用于电子签名时，属于电子签名人专有；签署时电子签名制作数据仅由电子签名人控制；签署后对电子签名的任何改动能够被发现；签署后对数据电文内容和形式的任何改动能够被发现。当事人也可以选择使用符合其约定的可靠条件的电子签名。”

由此可见，同时具备上述条件的电子签名，具有较高的法律效力。

电子身份证验证：未来的高权威性电子验证方式

电子身份证，即公民的网络电子身份标识，能够在不泄露身份的前提下，在线远程识别身份。

今年6月，我国公安部已发布消息称，即将着手推广电子身份证，提高公民身份验证的安全性。

相对于其他验证方式而言，电子身份证具有很高的权威性，虽然当前尚未推广，但这种验证，毫无疑问将是最为直接的电子验证方式。

利用其他网站信息验证

除上述几种验证方式外，一些互联网相关机构或平台会要求用户同时登录或者绑定微信号码、QQ号或者淘宝注册号等进行验证。

由于微信、淘宝等用户在注册时，已经通过绑定银行卡、手机验证码等方式完成过一轮身份交叉验证。并且，在长期的消费、网络支付场景中，客户的身份已经被锁定。借用微信号码、QQ号、淘宝注册号等账号进行验证也可以成为一种辅助方法。

上述对于通过其他网站信息进行的验证，其证明能力的强弱主要依赖于其他网站信息本身的信息真实性以及整个网络系统的安全水平。

此外，还有电子邮箱(E-mail)验证，指的是互联网平台等给用户预留邮箱发送验证链接，用户进入该邮箱后以点击链接的方式继续注册。由于一般邮箱注册步骤较为简单，仅仅需要邮箱名、自己设置的密码等信息，并没有强制实行实名制，因此电子邮箱验证的法律效力较弱。

上述几种验证方法，实现身份交叉验证的路径不同，所呈现出的法律效力也相区别。互联网经营者需要根据法律、法规、规章对于身份验证强弱程度的不同要求，以及自身商业模式对于身份验证的不同需求，选择不同的验证方法，以实现“合理”的交叉验证。

(作者吴卫明为上海市锦天城律师事务所律师)

名医汇

网上挂号怎么取消

名医汇

网上挂号电话