编辑导语:目前网上身份认证主要依靠OCR技术，即光学字符识别。然而，在基于该技术的在线认证服务过程中，用户的流失可能会非常严重。为什么？在本文中，笔者分析了OCR技术应用于网上身份认证的运行效果，一起来看看吧。

我们在银行柜台办理金融业务，在酒店办理入住，使用高铁，在营业厅购买手机的SIM卡号，都不可避免的需要现场身份认证，也就是验证你的身份证和你的个人信息。我们只需要把身份证拿出来，放在指定的身份证读取设备上感受一下，非常方便安全。

2004年，我国推出二代身份证，并大力推广普及。到现在，所有公民应该已经被统一替换了。二代身份证内嵌有国家秘密智能芯片，加密存储公民所有基本信息(姓名、性别、民族、出生日期、身份证号、证件照片、家庭住址、签发机关、有效期限，统称为“身份九要素”)。加密后的信息需要通过专门的身份证读取设备进行解码读取，从而同时保证公民信息的安全性和有效性。

随着二代身份证和身份证读取设备的普及和发展，我们在各种需要实名认证的场合享受到了极大的便利。与世界其他国家相比，中国持有高密度安全证书的方式极为先进，是我们今天享受世界领先的便捷生活的坚实基础。

试想，即使有世界首创的高铁技术，如果没有“刷身份证就能通过”的配套保障，大家还是需要在柜台排队买票，然后在闸机检票才能上车，那效率怎么提高？经历过痛苦排队经历的人都不想回到那个时代吧？

从技术底层来说，我们的二代身份证是国家制造的高密度安全芯片，在发给每个人的时候赋予了公民“证明身份”的权利。

在这方面，中国的管理理念和技术是非常先进的。拿现在流行的话来说，就是很早就采用了去中心化的思维和技术，把信任和便利最大程度的放到了每个人的手里。只要持有合法身份证，就可以完全代表自己，不需要其他集中数据库来验证。

相比之下，美国等老牌西方国家仍然使用基于社会安全号(SSN)的政府数据库验证方式，也就是说，你无法独立验证你是谁。你能做的只是记住你的名字和SSN号码，然后询问政府数据库来核实这些信息是否正确。如果网络不好，或者中间过程出了问题(比如警察作恶，数据库临时故障等。

(左:国内身份证结构；右:美国SSN)

这两种方式并不能说谁比谁好，只是在不同的场景下各有利弊。所以中国其实有集中数据库验证的公民管理方式。而我们相对独特的“安全证书”方式，在国家经济场景中发挥了越来越重要的作用，构成了中国特有的便民生活服务。

近年来，国外实际上已经注意到了这种差异。例如，法国等欧洲国家已经在加快发放国民身份证，而美国实际上正在实施和使用带芯片的护照，以补充传统SSN机制在许多服务场景中的不足。

第二，在线身份认证:和世界其他国家一样，我们还处于发展初期，主要依靠OCR技术。

OCR(光学字符识别)是指电子设备(如扫描仪或数码相机)检查印在纸上的字符，通过检测明暗图案确定其形状，然后通过字符识别将形状翻译成计算机文字的过程。它主要用于将纸质文档中的印刷文字转换成计算机可以处理的文本格式，然后由文字处理软件进一步编辑处理。

身份证虽然好，但是我们在生活中越来越多的网上服务过程中遇到了阻碍:手机不是专门的身份证读取设备，那么如何读取身份证中的安全芯片信息，从而完成实时的身份认证呢？显然，这里需要一种全新的技术，但时间不等人。如何才能服务于已经如火如荼的数字经济？

目前主流的方式是OCR。

用手机摄像头拍摄身份证照片，然后用OCR技术提取身份证表面印刷的文字信息。最后通过政府集中数据库验证信息是否正确，如果成功，则留存用户身份证复印件，以备后续审核。

这些过程拼接在一起，形成一个完整的OCR身份认证服务。如有特殊需要，还会增加人脸识别和比对。这构成了我们在“手机不能直接读取ID芯片”过渡期的标准解决方案，也是我们开展各种需要身份认证的在线服务的基础。

从技术底层来说，我们暂时放弃了国内“分散式公民自证”这一相对独特的特征，改用“集中式政府数据库”的验证方式。所以在这个领域，我们和西方国家的很多公司形成了同频，可以互相学习，共同提高技术，但是我们也分担了这项技术带来的缺陷和管理风险，比如OCR技术的识别精度，人脸识别技术的准确性，个人隐私数据的保护等等。

客观来说，中国在技术上一点也不落后，但在数据管理和保护上却差得很远，事实上造成了国内身份数据满天飞的乱象。随着近期我国《数据安全法》、《个人信息保护法》、《网络数据安全管理条例》的颁布实施，这方面应该会有明显的改善。

接下来，本文不再关注OCR认证服务中的技术和管理问题，而是转向这项服务的运营效率，即OCR认证服务在业务流程中的用户留存和转化效果。

下面我们来详细拆解OCR认证服务中的关键步骤:

1)从用户处获取身份证图片，可能是从相册中获取，也可能是直接调用手机摄像头实时拍摄。由于将身份证照片存储在相册中的个人安全风险太大，而且这种方式极易被造假，现在以手机银行为代表的业务方已经禁止了。本文只分析第二种采集方式:调用手机摄像头实时拍摄身份证。

2)从身份证图片中解析身份元素信息；如果无法解决，请返回步骤1。

3)发送到后台某供应商提供的“政府数据库”云认证接口进行信息认证。如果没有，请返回步骤1。

相应的转换漏斗图如下:

第一步用户流失率最严重，约40%:

1)如果用户身份证不在身边，这个过程无法完成。这类用户占20%左右。要想彻底解决，需要全新的技术方案，比如几年前公安部试点创新的eID和CTID。但是，目前我们还远远没有完全实用化，可以简单地认为短期内没有解决方案。

2)如果拍摄效果不好，这个过程就完成不了。这部分用户也达到了20%。一方面是由于光线、拍摄角度、拍摄稳定性、相机质量等外界客观影响。，相机无法一直锁定和聚焦在身份证上；另一方面，用户在过程中因为页面设计的可用性、软件bug或者网络不稳定而放弃。这方面应该可以有很大的提升空。

第二步的用户流失率很灵活，大概在10% ~ 30%:

简单来说，这一步的用户流失率几乎等于OCR识别结果的错误率。因为根据风控原则，这一步是不能由用户手动更正的，否则身份认证的意义就失去了，所以一旦信息识别错误，就只能回到上一步重新开始。

流失率弹性的关键主要看是否需要识别地址信息。

如果只需要识别姓名、身份证号甚至身份证有效期，现在业内成熟的OCR算法可以达到85%以上的准确率，最好的据说可以达到90%。但如果要准确识别身份证上的地址，OCR的技术难度会呈几何级数增加，往往会识别出非法字符。好在目前除了金融、旅游、就业等少数场景之外。，识别地址的需求并不普遍。

(地址被识别为非法字符)

第三步用户流失率，约5%-10%:

一般来说，只要第二步OCR正确识别身份证信息，就一定能通过“政府数据库”的验证。

但实际上由于自身业务风控规则(如对未成年人、特殊年龄段人群、黑名单用户等的限制。，一般在5%左右)，第三方供应商的数据来源和服务稳定性(一般低于5%)，部分用户会通不过。

其中，业务风控规则导致的用户流失不可避免，但第三方供应商的质量控制可以做到最好。

综上所述，如果完成OCR认证服务，极端优化后用户流失率可能高达60%(1-0.6*0.7*0.9)和30%(1-0.8*0.9*0.95)。是不是很神奇？

生意还没有真正开始。三分之一的用户已经去了火星。他们怎么生活？

虽然可以通过其他方式把用户拉回来再试一次，但这毕竟是运营中一个可怕的黑洞。它必须被解决。

从关键因素来看，要解决的重点是:优化拍摄身份证照片过程的不确定性和OCR识别信息(尤其是大块地址信息)的准确性。如果这两个过程能够完好无损，整个服务过程的用户流失率可以降到75%(1-0.8*1*0.95)，而且都是纯客观因素造成的，不会引起用户的不满，或者对有价值的用户造成不必要的损失。

这两个过程有多难解决？我现在还在咨询专业人士，但据我所知，并不乐观。

当然，做生意不可能完全没有风险。但是，我们需要了解可能的风险来源，提前做好一定的准备，尤其是与合规相关的风险。在大多数公司的OCR认证过程的实际设计和使用中，存在如下两个潜在风险:

1.OCR的识别是用SaaS公有云服务吗？

如果购买OCR软件并进行本地化，就不会存在本文提到的隐患。然而，由于价格昂贵，大多数公司仍然倾向于选择第三方供应商提供的SaaS云服务和按次付费服务，这就带来了“个人信息保护”的潜在风险。

用户的身份证图片是否应该在用户明确同意的情况下传输给这些第三方供应商？但如果在流程中加入提示，等待用户选择，留存转化率会更低吗？其实把用户信息提交给某供应商提供的“政府数据库”进行验证也是一样的问题。

2.有没有考虑过验证身份证图片？

毕竟OCR技术只是对图片的识别和计算。如果图片本身是恶意伪造的，那么OCR认证过程是完全不设防的(这里我们不考虑加入人脸识别技术作为辅助认证手段，一方面必然会带来更高的成本和更低的用户转化率，人脸识别有其自身的适用场景和安全隐患，会扭曲本文的主题)。

但是，如何在整个流程中加入防骗？不幸的是，这非常困难。如果是恶意人士伪造身份证，单纯使用OCR认证过程是无法辨别的，而且这种伪造的成本极低，比如通过覆膜的方式更改身份证上的地址和有效期，或者更改头像。

所以金融、政务、租赁、旅游、就业等领域的公司。需要仔细考虑被恶意分子盯上的风险。

注意，以上两个潜在风险是由“身份认证”业务本身的特殊性造成的，而非OCR技术。

然而，随着数字经济的盛行，国际国内对传统业务的合规监管也将延伸到网上业务。例如，KYC(Know Your Customer)是通行的标准，它不仅需要识别和认证正常用户，还需要防御少数恶意分子造成的巨大损害。

在这种情况下，OCR认证服务需要考虑的不仅仅是平滑的过程。

在本文的最后，我们可以大胆地做一些“必然”的预测和相关的问题:

1)在未来的数字经济中，在线身份认证的重要性和必要性只会越来越强，所以目前的用户转化效果是绝对无法满足业务需求的，必须大幅提升。但是OCR身份认证会负责这个重任吗？

2)监管要求的提升如2)KYC其实与近年来国内外网络诈骗事件的大幅增加有直接关系，所以目前看来只会进一步提升。有没有一款合适的产品可以防止伪造身份让各方都满意？

3)中国独有的二代身份证安全芯片，在移动互联网已经如此普及的时代，真的无法发挥优势？我们相信这一定会解决突破。届时，中国的网络身份认证应该可以找到另一种更新更好的方式！

如果你有更好的想法，可以在评论区告诉我。

本文由@鲸鱼原创发布。每个人都是产品经理。未经许可，禁止转载。

图片来自Unsplash，基于CC0协议。