AD
近日,不可思议的事情接连发生在二十多位学生的身上。据媒体报道,四川工商职业技术学院共有二十多名学生,在一家名为“趣分期”的
打开网站进行注册,却发现身份证已被陌生手机号码绑定进行了注册,更为诡异的是,这个账号已有消费产生的欠款。
近日,不可思议的事情接连发生在二十多位学生的身上。据媒体报道,四川工商职业技术学院共有二十多名学生,在一家名为“趣分期”的网站遭遇了“被注册”,其中7名同学的账户还被恶意消费,共计三千余元。
在被媒体曝出学生“被注册”“被欠款”的事件后,趣分期线下业务负责人何洪佳在接受法治周末记者采访时表示,公司会承担此次事件中当事人的所有损失。
业内人士认为,趣分期的表态体现了一个负责任企业的形象。不过,用户“被注册”“被欠款”事件的发生,也凸显了互联网金融行业在快速发展的同时,单凭线上审核用户身份还面临不少困境。
二十余位学生遭遇“被注册”
公开资料显示,趣分期是一家为大学生群体提供分期购物的商城,2014年初成立,由北京快乐时代科技发展有限公司运营。根据其官网介绍,大学生凭借自己的学生证既可以享受手机电脑、平板相机等分期服务。
记者在采访中了解到,成都理工大学、南京艺术学院也有学生反映,在趣分期上遭遇了身份证号被陌生手机号码绑定的情形。
四川工商职业技术学院学生张棉(化名)告诉法治周末记者,事件发生后,有两位学生代表去当地派出所进行了报案,警方已经介入调查,不过截至目前,警方尚未公布调查结果。
在11月13日,何洪佳对法治周末记者表示,媒体报道后,公司在第一时间联系同学进行核实,目前,出现这种情况只是少数。
何洪佳表示,趣分期在上学期,曾举办让大学生体验信用消费的营销活动,在活动初期,在未上传手持身份证正反面照片和面签的情况下,用户可以获得800元的信用额度;不过随后公司很快就发现了这一漏洞,便调整额度降低为100元,并且开始技术跟进,对此次活动的参与者加强风控。
何洪佳说,部分学生在向趣分期客服人员反映了情况后,客服人员已经为其解除了身份证绑定。“公司将全面配合相关部门的调查,直至将不法分子绳之以法。面对极个别用户的个人信息被不法分子窃取,同时在趣分期平台盗用的情况,尽管波及面很小,我们仍然建议已经注册的大学生们立即修改登录及支付密码,消除隐患。”何洪佳说。
互联网金融安全专家林鹏告诉法治周末记者,趣分期用户“被注册”事件,很可能是学生信息泄露、而被他人注册所致。林鹏坦言,目前互联网企业不断被爆出撞库、拖库事件,用户信息泄露频繁发生,现实中也有很多泄露用户信息的可能,因此使用他人身份信息在网站上进行注册并不罕见。
林鹏分析,活动期间,申请借款的学生只要800元额度以下,不需要用户手持身份证进行验证,也不用进行面签,正是这一疏漏被一些不法分子所利用,钻了空子。
单一线上身份认证有疏漏
随着P2P等互联网金融企业的快速发展,通过网络参与借贷和投资的用户群体逐渐庞大,但是如何确保用户身份的真实性,也是互联网金融行业所面临的重大挑战。
记者注意到,一般情况下,按普通互联网金融网站的规矩,如果没有实质的资金投资或者借款行为,一般只需要用户名和密码就可以申请注册一个账户,这时并不需要交叉验证用户身份。
不过,一旦要有投资或者进行借款,则必须完善自己的身份资料信息。一般互联网金融网站都要求用户提供真实姓名、身份证号、银行卡号、与银行卡相关联的手机号,进行身份识别和认证。
“目前,互联网金融行业进行用户身份认证,主要是基于商业银行的认证体系,一般通过四要素的认证,基本可以确认用户为自己本人。”林鹏对法治周末记者说。
不过,林鹏表示,如果有不法分子通过购买或偷盗等方式获得用户的成套资料,也会通过银行这一关审核,那么其利用这套身份在网贷平台进行借贷,单凭平台的线上审核,很难识别出来。
因此,一些平台为了确认借款人身份,或者审核借款人的资质,还会进行实地走访。何洪佳也强调,趣分期的用户并非注册即可消费,公司会通过不同的审核标准,确认用户等级进而确认用户授信额度。
趣分期官网显示,趣分期用户认证共分为四个等级:未认证、V1认证、V2认证、V3认证。其中未认证的等级,其授信额度为零;V1等级的授信额度为100元,只需线上完成学籍认证,或者通过芝麻信用授权认证(如果芝麻信用授权失败,可以选择上传手持身份证)。
而要获得V2、V3等级认证,则必须线上申请面签,并通过学信网认证拍照,趣分期的BD会上门签约,趣分期运营审核后,方可获得超过6000元的授信额度。
张棉提供给记者的一份《趣分期商城授信合约》显示,学生要想获得趣分期的授信,必须填写电话、身份证、学校、宿舍、家庭地址、授信额度,还需提供信用担保所需验证资料:身份证正反面原件拍照、学生证拍照、校园一卡通拍照、寝室实拍照片(手持本合同)、学信网认证拍照等。
林鹏对记者说,在线上提交了相关材料的基础上,再辅以当面验证环节,借款者冒用他人身份、当事人“被欠款”的可能性就会被大大降低。
专家建议参照支付机构认证方式
中国金融认证中心技术支持部总经理马春旺在接受法治周末记者采访时表示,金融监管部门对金融企业有一个基本要求就是“了解你的客户”,前提条件就是实名制,所以首先要在身份认证的源头环节——“开户”环节严把关。
记者了解到,传统金融(如银行、证券、基金等)在开户时,一般采用面对面身份认证的方式,即“面签”,柜员会鉴别用户证件的真伪、人证是否相符、是否是用户本人的真实意愿。
今年5月,央行下发了《关于银行业金融机构远程开立人民币银行账户的指导意见(征求意见稿)》,强调不论是柜台开户还是远程开户,必须以实名制为基础。马春旺表示,互联网金融企业没有网点和柜面资源,无法做到和传统金融企业一样进行面对面的实名认证,在身份认证环节面临很大的挑战。
在这种情形下,中国银行(601988,股吧)法学会副会长、中国政法大学金融研究中心主任刘少军教授认为,作为新兴的互联网金融企业,如果单纯在线上开展业务,只能通过第三方验证的方式来确保客户身份的真实性,降低自身业务风险。
在客户身份的第三方验证方面,刘少军和上海锦天城律师事务所合伙人吴卫明都向记者表示,互联网金融企业可以参照央行对非银行支付机构(以下简称“支付机构”)网络支付业务的要求。
今年7月,央行颁发了《非银行支付机构网络支付业务管理办法(征求意见稿)》,要求支付机构根据客户身份核实方式,对个人支付账户余额的付款功能和交易功能进行分类管理。如开设综合支付账户(支付账户余额可用于消费、转账以及购买投资理财产品或服务)须进行现场实名认证,即以面对面的方式进行身份核实;如果非面对面方式即线上开户,要通过五个(含)以上合法安全的外部渠道,对用户身份基本信息进行多重交叉验证。
征求意见稿规定,开设消费类支付账户(支付账户余额仅可用于消费以及转账至客户本人同名银行账户),央行设定的门槛则相对较低:如果支付机构仅通过线上方式核实身份,通过三个(含)以上合法安全的外部渠道,对用户身份进行多重交叉验证。
“如果用户注册账户只是为了获取信息,可以不进行实名认证,或者弱实名认证;一旦账户直接关系到当事人的重大财产利益,那么作为平台应该穷尽现有的认证方式和手段,尽到更高的注意义务。”吴卫明对法治周末记者说。
何洪佳向记者坦言,此次事件也给公司敲响了警钟,为了杜绝滥用他人信息消费的可能,目前趣分期和芝麻信用开展深度合作,通过芝麻分和支付宝实名制,配合线下团队的前置面签,并通过风控中心对学生提供的信息进行认证和进行二次审核。
平台负有确认交易双方身份义务
吴卫明在接受法治周末记者采访时表示,P2P机构作为提供居间服务的平台,确认交易双方身份的真实,是居间人必须履行的义务。
刘少军也认为,一旦出现损失,平台需举证借款者为身份证持有者本人,如果不能举证,则无法要求该学生承担还款责任,因此造成的损失则要由平台承担。
刘少军表示,该笔借款的最终偿还者是冒用他人身份者,如果冒用他人身份借款金额巨大,甚至还会构成刑法上的诈骗罪;平台在承担了这笔欠款损失后,有权向真实的借款人进行追偿。
11月13日,何洪佳回复法治周末记者,趣分期会承担此次事件带来当事人的所有损失。“存在被注册及被消费欠款的大学生可以致电客服,公司会安排专人在线受理,并安排处置,包括减免被消费款项,更新正确注册信息等。”
“趣分期会加强提醒用户注意对个人信息的保护,也希望广大学生能够加强保护意识,防止自己的个人信息被违法窃取和用于不良目的。”何洪佳表示。
记者了解到,目前部分“被注册”“被欠款”学生的身份证号已经解除了绑定,学生也不必偿还这笔欠款。
不过,也有不少学生担心,此次经历会成为其信用污点,影响其将来在银行等机构的信用。对此何洪佳表示,由于涉及学生的损失公司会全部承担,不会对学生的信用造成影响。
刘少军也对记者表示,正是考虑到P2P等互联网金融企业的信用记录尚不够准确,截至目前,P2P等在内的互联网金融企业的用户借贷情况,并未接入央行的征信系统,因此暂时不会对学生的个人信用记录产生负面影响。
鉴于用户信息泄露是此次“被注册”“被欠款”事件的源头,趣分期也呼吁,全行业都应加强风控,共同维护互联网金融的安全环境。“有条件的情况下,甚至可以联手配合有关部门打击非法盗用个人信息,并且恶意消费的不法分子。”
