发明创造名称:用于基于风险的验证的系统和方法
外观设计名称:
决定号:182558
决定日:2019-07-02
委内编号:1F256073
优先权日:2003-09-12
申请(专利)号:201410407394.2
申请日:2004-09-13
复审请求人:EMC公司
无效请求人:
授权公告日:
审定公告日:
专利权人:
主审员:富瑶
合议组组长:杨洁
参审员:吴广平
国际分类号:G06F21/40,G06F21/57,G06Q20/04,G06Q20/40
外观设计分类号:
法律依据:专利法第33条,专利法第22条第3款
决定要点:如果一项权利要求的修改是根据原说明书和权利要求书文字记载的内容和根据原说明书和权利要求书文字记载的内容以及说明书附图能直接地、毫无疑义地确定的内容作出的修改,那么对上述权利要求的修改没有超出原说明书和权利要求书记载的范围,符合专利法第33条的规定。
全文:
本复审请求涉及申请号为201410407394.2,名称为“用于基于风险的验证的系统和方法”的发明专利申请(下称本申请)。申请人为EMC公司。本申请的申请日为2004年09月13日,优先权日为2003年09月12日,公开日为2015年09月30日。
经实质审查,国家知识产权局原审查部门于2018年04月20日发出驳回决定,驳回了本申请,其理由是:权利要求1-2、4-30、32-39不具备专利法第22条第3款规定的创造性。驳回决定中引用了一篇对比文件:对比文件1:CN1524245A,公开日为2004年08月25日。驳回决定中指出:权利要求1与对比文件1的区别特征为:权利要求1评估事务处理的风险级别包括基于所请求事务处理的环境来至少评价请求事务处理的所述当事人不是由用户标识所识别的人的可能性;在事务处理验证正在进行的时候,在提交初始验证信息之后对事务处理的风险级别进行再评估;通过附加的验证信息进行再评估。基于上述区别特征,权利要求1实际解决的问题是如何根据人为的规定针对不同风险级别的给定类型的事务处理进行风险级别的评估,进而根据风险级别设置验证级别,以及要求用户提供进一步附加细节进行二次风险评估和验证的规则。然而,上述问题不属于技术问题,属于金融性风险评估的商业问题,针对此问题所采取的上述区别的手段属于人为规定的规则,规定了风险评估与验证以及基于前一次的结果进行风险级别再评估与验证的调整规则,这不属于技术手段,获得的效果仅仅是对不同风险的事务处理的过程制定不同级别的验证管理和控制规则,是对风险评估以及设置风险级别的相关人为设定规则的管理效果,不是技术效果,因此,权利要求1不具有突出的实质性特点和显著进步,不具备专利法第22条第3款规定的创造性。独立权利要求23与对比文件1的区别特征为:权利要求23基于所请求的事务处理的环境评价事务处理的风险级别,其中所述风险级别至少包括用户不是由用户标识所识别的人的可能性;如果风险级别超出阈值,则由所述服务器要求该用户提供安全细节;在事务处理期间由所述服务器利用用户输入的安全细节对风险级别进行再评估;以及基于再评估的风险级别,由所述服务器要求用户提供附加的安全细节,基于安全细节进行验证操作。此区别实质上是根据人为规定进行评估,将事务处理设置成某种风险级别,当风险级别大于人为设定的阈值时要求用户提供安全细节的验证,以及二次风险评估与安全细节的提供;基于上述区别特征,权利要求23实际解决的问题是如何根据人为的规定针对不同风险级别的给定类型的事务处理进行风险级别的评估,进而根据风险级别的大小要求用户提供进一步细节的验证进行二次评估。然而,上述问题不属于技术问题,属于金融性风险评估的商业问题,针对此问题所采取的上述区别的手段属于人为规定的规则,规定了风险评估与验证以及基于前一次的结果进行风险级别再评估与验证的调整规则,这不属于技术手段,获得的效果仅仅是对不同风险的事务处理的过程制定不同级别的验证管理和控制规则,是对风险评估以及设置风险级别的相关人为设定规则的管理效果,不是技术效果,因此,上述区别并不会给方案带来技术上的贡献。因此,权利要求23不具有突出的实质性特点和显著进步,不具备专利法第22条第3款规定的创造性。独立权利要求29是实现权利要求1所述方法的一一对应的系统,基于相同的理由,权利要求29也不具备专利法第22条第3款规定的创造性。独立权利要求35是实现权利要求23所述方法的一一对应的系统,基于相同的理由,权利要求35也不具备专利法第22条第3款规定的创造性。从属权利要求2、4-22直接或间接引用权利要求1,对比文件1公开了数据库以及配置文件;其它附加特征依然是事务处理风险级别评估的人为设定的相关规则与定义,其解决的问题、采取的手段以及获得的效果依然都是非技术性的,所述的附加特征对权利要求的方案依然不会带来技术上的贡献,因此,在其引用的权利要求不具备创造性的情况下,权利要求2、4-22也不符合专利法第22条第3款有关创造性的规定。从属权利要求24-28直接或间接引用权利要求23,它们的附加特征依然是事务处理风险级别评估的人为设定的相关规则与定义,其解决的问题、采取的手段以及获得的效果依然都是非技术性的,所述的附加特征对权利要求的方案依然不会带来技术上的贡献,因此,在其引用的权利要求不具备创造性的情况下,权利要求24-28也不符合专利法第22条第3款有关创造性的规定。从属权利要求30、32-34、36-39的附加特征依然是事务处理风险级别评估的人为设定的相关规则与定义,其解决的问题、采取的手段以及获得的效果依然都是非技术性的,所述的附加特征对权利要求的方案依然不会带来技术上的贡献,因此,在其引用的权利要求不具备创造性的情况下,权利要求30、32-34、36-39也不具备专利法第22条第3款规定的创造性。另外,在其他说明部分也指出:权利要求3、31的附加特征是非技术性的,在其引用的权利要求不具备创造性的情况下,权利要求3、31也不具备专利法第22条第3款规定的创造性。
驳回决定所依据的文本为:2014年08月19日递交分案申请时提交的说明书第1-96段、说明书附图图1-5、说明书摘要、摘要附图;以及2017年12月25日提交的权利要求第1-39项。
驳回决定所针对的权利要求书如下:
“1. 一种方法,包括:
由验证服务器的处理器从当事人接收用户标识;
由所述处理器从所述当事人接收进行给定类型的事务处理的请求;
由所述处理器评估事务处理的风险级别;
其中评估事务处理的风险级别包括基于所请求事务处理的环境来至少评价请求事务处理的所述当事人不是由用户标识所识别的人的可能性;
在事务处理正在进行的时候,在提交初始验证信息之后由所述处理器对事务处理的风险级别进行再评估;
其中创建基于用户的或基于帐户的事务处理配置文件,以便比较具体事务处理与基于用户的或基于帐户的事务处理配置文件,从而评估事务处理的风险级别,其中具体事务处理的配置文件与基于用户的或基于帐户的事务配置文件的偏差能够指出较高的风险级别;
基于事务处理的再评估的风险级别来从当事人要求附加的验证信息,所述附加的验证信息与用户标识不同;和
基于由当事人提供的所述附加的验证信息,由验证服务器的处理器执行验证操作,并由在线事务处理服务根据验证结果执行事务处理。
2. 如权利要求1所述的方法,其中,用户在评估事务处理的风险级别之前已被验证。
3. 如权利要求1所述的方法,其中,所述附加的验证信息包括共享私密、时敏私密、随机安全问题、以及动态PIN中的至少一个。
4. 如权利要求1所述的方法,还包括:基于风险级别在所述事务处理的登录安全级别组中做出选择。
5. 如权利要求1所述的方法,还包括:在事务处理已经开始之后设置验证级别。
6. 如权利要求1所述的方法,其中,事务处理是金融事务处理。
7. 如权利要求1所述的方法,其中,评价请求事务处理的所述当事人不是由用户标识所识别的人的可能性的步骤包括:评价该当事人是否满足某个准则。
8. 如权利要求1所述的方法,其中,评估事务处理的风险级别的步骤包括:至少评价该事务处理。
9. 如权利要求1所述的方法,其中,评估事务处理的风险级别的步骤包括:至少评价该事务处理的规模。
10. 如权利要求1所述的方法,包括:将风险级别评估基于被存储的数据组之上,并且基于事务处理来修改该被存储的数据组。
11. 如权利要求5所述的方法,包括:使用验证级别来确定请求事务处理的当事人被要求的验证类型。
12. 如权利要求1所述的方法,包括:在初始验证步骤之后响应于某个风险级别而要求进一步的验证步骤。
13. 如权利要求1所述的方法,包括:响应于某个风险级别而使得某个验证步骤是强制性的而非可选择的。
14. 如权利要求1所述的方法,其中,事务处理是口令恢复。
15. 如权利要求1所述的方法,包括:不考虑设置该事务处理的验证级别。
16. 如权利要求1所述的方法,包括:如果用户在预定义的用户组中,或者事务处理满足某个准则,则不考虑设置事务处理的验证级别。
17. 如权利要求1所述的方法,包括:收集用户或事务处理数据并且存储该数据以用于未来的风险评估。
18. 如权利要求1所述的方法,包括:收集用户数据并且存储该数据以用于未来的验证。
19. 如权利要求1所述的方法,包括:收集事务处理数据并且存储该事务处理数据以用于未来的风险评估。
20. 如权利要求18所述的方法,包括:验证事务处理当事人。
21. 如权利要求1所述的方法,其中,用户活动数据库包括一组用户活动配置文件。
22. 如权利要求21所述的方法,其中,所述评估事务处理的风险级别还包括基于IP地理位置是否与邮政编码相匹配的准则的风险评估。
23. 一种方法,包括:
由验证服务器的处理器从用户接受用户标识以及开始给定类型的事务处理的请求;
由所述处理器基于所请求的事务处理的环境评价事务处理的风 险级别,其中所述风险级别至少包括用户不是由用户标识所识别的人的可能性;
如果风险级别超出阈值,则由所述处理器要求该用户提供安全细节;
在事务处理期间由所述处理器利用用户输入的安全细节对风险级别进行再评估;以及
基于再评估的风险级别,由所述处理器要求用户提供附加的安全细节,
其中创建基于用户的或基于帐户的事务处理配置文件,以便比较具体事务处理与基于用户的或基于帐户的事务处理配置文件,从而评估事务处理的风险级别,其中具体事务处理的配置文件与基于用户的或基于帐户的事务处理配置文件的偏差能够指出较高的风险级别;和基于由用户提供的附加的安全细节,由验证服务器的处理器执行验证操作,并由在线事务处理服务根据验证结果执行事务处理。
24. 如权利要求23所述的方法,其中,接受该请求的步骤包括:至少接受初始的验证细节组。
25. 如权利要求23所述的方法,其中,在接受该请求之前从用户接受验证细节。
26. 如权利要求23所述的方法,其中,至少评价用户不是由用户标识所识别的人的可能性的步骤包括:至少评价由用户标识识别的人的过去的事务处理历史。
27. 如权利要求23所述的方法,包括:如果用户在预定义的用户组中,则不考虑要求用户提供安全细节。
28. 如权利要求23所述的方法,还包括评价事务处理以确定风险 级别。
29. 一种包括处理器的系统,所述处理器被配置并布置为用于:
从当事人接收用户标识;
从所述当事人接收进行给定类型的事务处理的请求;
评估事务处理的风险级别;
其中所述处理器评估事务处理的风险级别,包括基于所请求事务处理的环境来至少评价请求事务处理的所述当事人不是由用户标识所识别的人的可能性;
在事务处理正在进行的时候,在提交初始验证信息之后对事务处理的风险级别进行再评估;以及
其中创建基于用户的或基于帐户的事务处理配置文件,以便比较具体事务处理与基于用户的或基于帐户的事务处理配置文件,从而评估事务处理的风险级别,其中具体事务处理的配置文件与基于用户的或基于帐户的事务处理配置文件的偏差能够指出较高的风险级别;
基于事务处理的再评估的风险级别来从当事人要求附加的验证信息,所述附加的验证信息与用户标识不同;和
基于由当事人提供的所述附加的验证信息,由验证服务器的处理器执行验证操作,并由在线事务处理服务根据验证结果执行事务处理。
30. 如权利要求29所述的系统,其中,所述处理器将会验证当事人。
31. 如权利要求29所述的系统,其中,所述附加的验证信息包括共享私密、时敏私密、随机安全问题、以及动态PIN中的至少一个。
32. 如权利要求29所述的系统,其中,所述处理器将会基于风险级别从该事务处理的登录安全级别组中做出选择。
33. 如权利要求29所述的系统,其中,所述处理器将在初始验证步骤之后响应于某个风险级别而要求进一步的验证步骤。
34. 如权利要求29所述的系统,其中,所述事务处理是口令恢复。
35. 一种包括处理器的系统,所述处理器被配置并布置为用于:
从用户接受用户标识以及开始给定类型的事务处理的请求;
基于所请求的事务处理的环境评价事务处理的风险级别,其中所述风险级别至少包括用户不是由用户标识所识别的人的可能性;
如果风险级别超出阈值,则要求该用户提供安全细节;
在事务处理期间利用用户输入的安全细节对风险级别进行再评估;以及
基于再评估的风险级别,要求用户提供附加的安全细节,
其中创建基于用户的或基于帐户的事务处理配置文件,以便比较具体事务处理与基于用户的或基于帐户的事务处理配置文件,从而评估事务处理的风险级别,其中具体事务处理的配置文件与基于用户的或基于帐户的事务处理配置文件的偏差能够指出较高的风险级别;和基于由用户提供的附加的安全细节,由验证服务器的处理器执行验证操作,并由在线事务处理服务根据验证结果执行事务处理。
36. 如权利要求35所述的系统,其中,接受该请求包括至少接受初始的安全细节组。
37. 如权利要求35所述的系统,其中,评价事务处理的风险级别包括:至少评价该用户的过去的事务处理历史。
38. 如权利要求35所述的系统,其中,如果用户在优选用户组中,所述处理器将不考虑要求该用户提供安全细节。
39. 如权利要求35所述的系统,其中,所述处理器还将评价事务 处理以确定风险级别。”
申请人(下称复审请求人)对上述驳回决定不服,于2018年07月16日向国家知识产权局提出了复审请求,同时修改了权利要求书。复审请求人认为:(1)对比文件1 CN1524245A的公开日为2004年08月25日,在本申请优先权日2003年09月12日之后,使用对比文件1不适合;(2)对比文件1未提出过“风险级别可能在事务处理中变化”这一现象;对比文件1中的系统基于初始接收的来自用户的识别号码来进行服务验证,其对于“在事务处理正在进行的时候,在提交初始验证信息之后……对事务处理的风险级别进行再次评估”没有给出任何教导或建议。
复审请求时新修改的权利要求书如下:
“1. 一种方法,包括:
由验证服务器的处理器从当事人接收用户标识;
由所述处理器从所述当事人接收进行给定类型的事务处理的请求;
由所述处理器评估事务处理的风险级别,其中用户在评估事务处理的风险级别之前被验证;
其中评估事务处理的风险级别包括基于所请求事务处理的环境来至少评价请求事务处理的所述当事人不是由用户标识所识别的人的可能性;
在事务处理正在进行的时候,在提交初始验证信息之后由所述处理器对事务处理的风险级别进行再次评估;
其中根据基于用户的或基于帐户的事务处理配置文件的创建来评估事务处理的风险级别,其中基于用户的或基于帐户的事务处理配置文件的创建是为了比较具体事务处理与基于用户的或基于帐户的事务处理配置文件,其中具体事务处理的配置文件与基于用户的或基于帐户的事务配置文件的偏差能够指出较高的风险级别;
基于事务处理的再次评估的风险级别来从当事人要求附加的验证信息,所述附加的验证信息与用户标识不同;和
基于由当事人提供的所述附加的验证信息,由验证服务器的处理器执行验证操作,并由在线事务处理服务根据验证结果执行事务处理。
2. 如权利要求1所述的方法,其中,所述附加的验证信息包括共享私密、时敏私密、随机安全问题、以及动态PIN中的至少一个。
3. 如权利要求1所述的方法,还包括:基于风险级别在所述事务处理的登录安全级别组中做出选择。
4. 如权利要求1所述的方法,还包括:在事务处理已经开始之后设置验证级别。
5. 如权利要求1所述的方法,其中,事务处理是金融事务处理。
6. 如权利要求1所述的方法,其中,评价请求事务处理的所述当事人不是由用户标识所识别的人的可能性的步骤包括:评价该当事人是否满足某个准则。
7. 如权利要求1所述的方法,其中,评估事务处理的风险级别的步骤包括:至少评价该事务处理。
8. 如权利要求1所述的方法,其中,评估事务处理的风险级别的步骤包括:至少评价该事务处理的规模。
9. 如权利要求1所述的方法,包括:将风险级别评估基于被存储的数据组之上,并且基于事务处理来修改该被存储的数据组。
10. 如权利要求4所述的方法,包括:使用验证级别来确定请求事务处理的当事人被要求的验证类型。
11. 如权利要求1所述的方法,包括:在初始验证步骤之后响应于某个风险级别而要求进一步的验证步骤。
12. 如权利要求1所述的方法,包括:响应于某个风险级别而使得某个验证步骤是强制性的而非可选择的。
13. 如权利要求1所述的方法,其中,事务处理是口令恢复。
14. 如权利要求1所述的方法,包括:不考虑设置该事务处理的验证级别。
15. 如权利要求1所述的方法,包括:如果用户在预定义的用户组中,或者事务处理满足某个准则,则不考虑设置事务处理的验证级别。
16. 如权利要求1所述的方法,包括:收集用户或事务处理数据并且存储该数据以用于未来的风险评估。
17. 如权利要求1所述的方法,包括:收集用户数据并且存储该数据以用于未来的验证。
18. 如权利要求1所述的方法,包括:收集事务处理数据并且存储该事务处理数据以用于未来的风险评估。
19. 如权利要求17所述的方法,包括:验证事务处理当事人。
20. 如权利要求1所述的方法,其中,用户活动数据库包括一组用户活动配置文件。
21. 如权利要求20所述的方法,其中,所述评估事务处理的风险级别还包括基于IP地理位置是否与邮政编码相匹配的准则的风险评估。
22. 一种方法,包括:
由验证服务器的处理器从用户接受用户标识以及开始给定类型的事务处理的请求;
由所述处理器基于所请求的事务处理的环境评价事务处理的风险级别,其中所述风险级别至少包括用户不是由用户标识所识别的人 的可能性,其中用户在评价事务处理的风险级别之前被验证;
如果风险级别超出阈值,则由所述处理器要求该用户提供安全细节;
在事务处理期间由所述处理器利用用户输入的安全细节对风险级别进行再次评估;以及
基于再次评估的风险级别,由所述处理器要求用户提供附加的安全细节,
其中根据基于用户的或基于帐户的事务处理配置文件的创建来评估事务处理的风险级别,其中基于用户的或基于帐户的事务处理配置文件的创建是为了比较具体事务处理与基于用户的或基于帐户的事务处理配置文件,其中具体事务处理的配置文件与基于用户的或基于帐户的事务处理配置文件的偏差能够指出较高的风险级别;和
基于由用户提供的附加的安全细节,由验证服务器的处理器执行验证操作,并由在线事务处理服务根据验证结果执行事务处理。
23. 如权利要求22所述的方法,其中,接受该请求的步骤包括:至少接受初始的验证细节组。
24. 如权利要求22所述的方法,其中,在接受该请求之前从用户接受验证细节。
25. 如权利要求22所述的方法,其中,至少评价用户不是由用户标识所识别的人的可能性的步骤包括:至少评价由用户标识识别的人的过去的事务处理历史。
26. 如权利要求22所述的方法,包括:如果用户在预定义的用户组中,则不考虑要求用户提供安全细节。
27. 如权利要求22所述的方法,还包括评价事务处理以确定风险 级别。
28. 一种包括处理器的系统,所述处理器被配置并布置为用于:
从当事人接收用户标识;
从所述当事人接收进行给定类型的事务处理的请求;
评估事务处理的风险级别,其中用户在评估事务处理的风险级别之前被验证;
其中所述处理器评估事务处理的风险级别,包括基于所请求事务处理的环境来至少评价请求事务处理的所述当事人不是由用户标识所识别的人的可能性;
在事务处理正在进行的时候,在提交初始验证信息之后对事务处理的风险级别进行再次评估;以及
其中根据基于用户的或基于帐户的事务处理配置文件的创建来评估事务处理的风险级别,其中基于用户的或基于帐户的事务处理配置文件的创建是为了比较具体事务处理与基于用户的或基于帐户的事务处理配置文件,其中具体事务处理的配置文件与基于用户的或基于帐户的事务处理配置文件的偏差能够指出较高的风险级别;
基于事务处理的再次评估的风险级别来从当事人要求附加的验证信息,所述附加的验证信息与用户标识不同;和
基于由当事人提供的所述附加的验证信息,由验证服务器的处理器执行验证操作,并由在线事务处理服务根据验证结果执行事务处理。
29. 如权利要求28所述的系统,其中,所述处理器将会验证当事人。
30. 如权利要求28所述的系统,其中,所述附加的验证信息包括共享私密、时敏私密、随机安全问题、以及动态PIN中的至少一个。
31. 如权利要求28所述的系统,其中,所述处理器将会基于风险 级别从该事务处理的登录安全级别组中做出选择。
32. 如权利要求28所述的系统,其中,所述处理器将在初始验证步骤之后响应于某个风险级别而要求进一步的验证步骤。
33. 如权利要求28所述的系统,其中,所述事务处理是口令恢复。
34. 一种包括处理器的系统,所述处理器被配置并布置为用于:
从用户接受用户标识以及开始给定类型的事务处理的请求;
基于所请求的事务处理的环境评价事务处理的风险级别,其中所述风险级别至少包括用户不是由用户标识所识别的人的可能性,其中用户在评价事务处理的风险级别之前被验证;
如果风险级别超出阈值,则要求该用户提供安全细节;
在事务处理期间利用用户输入的安全细节对风险级别进行再次评估;以及
基于再次评估的风险级别,要求用户提供附加的安全细节,
其中根据基于用户的或基于帐户的事务处理配置文件的创建来评估事务处理的风险级别,其中基于用户的或基于帐户的事务处理配置文件的创建是为了比较具体事务处理与基于用户的或基于帐户的事务处理配置文件,其中具体事务处理的配置文件与基于用户的或基于帐户的事务处理配置文件的偏差能够指出较高的风险级别;和
基于由用户提供的附加的安全细节,由验证服务器的处理器执行验证操作,并由在线事务处理服务根据验证结果执行事务处理。
35. 如权利要求34所述的系统,其中,接受该请求包括至少接受初始的安全细节组。
36. 如权利要求34所述的系统,其中,评价事务处理的风险级别包括:至少评价该用户的过去的事务处理历史。
37. 如权利要求34所述的系统,其中,如果用户在优选用户组中,所述处理器将不考虑要求该用户提供安全细节。
38. 如权利要求34所述的系统,其中,所述处理器还将评价事务处理以确定风险级别。”
经形式审查合格,国家知识产权局于2018年07月24日依法受理了该复审请求,并将其转送至原审查部门进行前置审查。
原审查部门在前置审查意见书中认为:1、修改的内容“根据基于用户的或基于帐户的事务处理配置文件的创建来评估事务处理的风险级别......为了比较具体事务处理与基于用户的或基于帐户的事务处理配置文件”修改超范围。与原内容含义不一致,无法直接毫无疑义确定通过配置文件的创建来评估风险级别,原含义应当是比较具体事务处理与配置文件来评估;2、D1同样关注风险级别在事务处理中的变化,参见摘要,D1实时地验证用户账号的有效性,用户账户是否拥有足够的价值,在对账号的价值的验证上更体现了实时性,变化性,给出风险级别的再评估启示;3、二者的区别依然是验证规则的不同,这些验证规则依然是人为定义的规则,不具有技术上的贡献。因而坚持原驳回决定。
随后,国家知识产权局成立合议组对本案进行审理。
合议组于2018 年11 月09 日向复审请求人发出复审通知书,指出:权利要求1-38不具备专利法第22条第3款规定的创造性。本次复审通知书引入对比文件1的同族WO03/003704A2,将其编号为对比文件2,替代对比文件1作为最接近的现有技术,该证据的变更与使用方式没有超出复审请求人对卷内证据的合理预期。复审通知书引用的对比文件为:对比文件2:WO03/003704A2,公开日为2003年01月09日。复审通知书中指出:独立权利要求1、28与对比文件2的区别特征在于:权利要求1、28评估事务处理的风险级别包括基于所请求事务处理的环境来至少评价请求事务处理的所述当事人不是由用户标识所识别的人的可能性;在事务处理验证正在进行的时候,在提交初始验证信息之后对事务处理的风险级别进行再次评估;基于再次评估的风险级别提供附加的验证信息,所述附加的验证信息与用户标识不同。基于上述特征可以确定,其实际要解决的技术问题是:如何提高风险评估的准确性及效率。当面临上述问题时,对于本领域技术人员来说,能够操作针对不同风险级别的事务处理设置不同的信息验证标准,并在事务处理过程中进行与当前事务处理相匹配的风险级别的再次评估,为了提高风险评估的准确性及效率,根据风险级别的再次评估结果而要求提供验证信息的细节进行附加验证并没有技术上的任何难度,其是本领域中的常用手段,属于公知常识。因此,在对比文件1的基础上结合本领域的公知常识得到权利要求1、28的方案对本领域技术人员来说是显而易见的,权利要求1、28不具备专利法第22条第3款规定的创造性。独立权利要求22、34与对比文件2的区别特征在于:权利要求22、34基于所请求的事务处理的环境评价事务处理的风险级别,其中所述风险级别至少包括用户不是由用户标识所识别的人的可能性;如果风险级别超出阈值,则由所述服务器要求该用户提供安全细节;在事务处理期间由所述服务器利用用户输入的安全细节对风险级别进行再评估;以及基于再评估的风险级别,由所述服务器要求用户提供附加的安全细节,基于安全细节进行验证操作。基于上述特征可以确定,其实际要解决的技术问题是:如何提高风险评估的准确性及效率。当面临上述问题时,对于本领域技术人员来说,能够操作针对不同风险级别的事务处理设置不同的信息验证标准,并在事务处理过程中进行与当前事务处理相匹配的风险级别的再次评估,为了提高风险评估的准确性及效率,根据风险级别的再次评估结果而要求提供验证信息的细节等附加安全细节并没有技术上的任何难度,其是本领域中的常用手段,属于公知常识。因此,在对比文件1的基础上结合本领域的公知常识得到该权利要求的方案对本领域技术人员来说是显而易见的,权利要求22、34不具备专利法第22条第3款规定的创造性。从属权利要求2-21、23-27、29-33、35-38的附加特征或被对比文件2公开,或属于本领域中的公知常识,它们也不具备专利法第22条第3款规定的创造性。对于复审请求人的意见,合议组认为:对于意见(1):虽然驳回决定中引用的对比文件1:CN1524245A的公开日晚于本申请的优先权日,但是对比文件1的同族文件WO03/003704A2的公开日为2003年01月09日,在本申请的优先权日2003年09月12日之前,并且该同族文件与对比文件1的内容完全一致,技术实质没有差别。因此,本次复审通知书引入对比文件1的同族WO03/003704A2,将其编号为对比文件2,替代对比文件1作为最接近的现有技术,该证据的变更与使用方式没有超出复审请求人对卷内证据的合理预期。对于意见(2):对比文件1中虽没有提出“风险级别可能在事务处理中变化”,但是为了提高风险评估的准确性及效率,对于本领域技术人员来说,能够操作针对不同风险级别的事务处理设置不同的信息验证标准,并在事务处理过程中进行与当前事务处理相匹配的风险级别的再次评估,而且,根据风险级别的再次评估结果而要求提供验证信息的细节等附加安全细节并没有技术上的任何难度,其是本领域中的常用手段,属于本领域中的公知常识。
复审请求人于2018 年12 月07 日提交了意见陈述书,同时修改了权利要求书,其中修改了独立权利要求,删除了从属权利要求21。复审请求人认为:(1)权利要求1的方法只针对同一事务处理,在现有技术没有提出“风险级别可能在事务处理中变化”的情况下,即使本领域技术人员能够操作针对不同风险级别的事务处理设置不同的信息验证标准,也不可能针对同一事务处理设置不同的信息验证标准。在现有技术没有提出“风险级别可能仔事务处理中变化”的情况下,本领域技术人员没有动机在事务处理过程中对事务处理的风险级别进行再次评估。(2)权利要求1中明确限定了在事务处理开始之前对事务处理进行风险级别评估的方法(基于所述请求的IP地理位置是否与所述用户标识所标识的人的配置文件中的邮政编码相匹配的准则来评估事务处理的风险级别)以及在事务处理进行中对事务处理进行风险级别再次评估的方法(根据基于用户的或基于帐户的事务处理配置文件的创建来再次评估事务处理的风险级别)。而现有技术中并未公开上述具体的风险评估方法,也没有给出任何教导或启示,这些风险评估方法也不是本领域的惯用技术手段,不属于本领域的公知常识。
此次答复复审通知书时新提交的权利要求为:
“1. 一种计算机可执行的方法,包括:
由验证服务器的处理器从当事人接收用户标识;
由所述处理器从所述当事人接收进行给定类型的事务处理的请求;
在用户通过验证之后,由所述处理器评估事务处理的风险级别,其中评估事务处理的风险级别包括基于所述请求的IP地理位置是否与所述用户标识所标识的人的配置文件中的邮政编码相匹配的准则的风险评估,其中IP地理位置与邮政编码匹配指示较低的风险级别,不匹配指示较高的风险级别;
若评估出的风险级别较低,则由在线事务处理服务开始所述事务处理;
在事务处理正在进行的时候,在提交初始验证信息之后由所述处理器对事务处理的风险级别进行再次评估,其中根据基于用户的或基于帐户的事务处理配置文件的创建来再次评估事务处理的风险级别,其中基于用户的或基于帐户的事务处理配置文件的创建是为了比较具体事务处理与基于用户的或基于帐户的事务处理配置文件,其中具体事务处理的配置文件与基于用户的或基于帐户的事务配置文件的偏差指示较高的风险级别,无偏差指示较低的风险级别;
若再次评估出的风险级别较低,则由在线事务处理服务继续进行所述事务处理,否则进行以下操作;
由所述处理器从当事人要求附加的验证信息,所述附加的验证信息与用户标识不同;和
基于由当事人提供的所述附加的验证信息,由验证服务器的处理器执行验证操作,并由在线事务处理服务根据验证结果执行事务处理。
2. 如权利要求1所述的方法,其中,所述附加的验证信息包括共享私密、时敏私密、随机安全问题、以及动态PIN中的至少一个。
3. 如权利要求1所述的方法,还包括:基于风险级别在所述事务处理的登录安全级别组中做出选择。
4. 如权利要求1所述的方法,还包括:在事务处理已经开始之后设置验证级别。
5. 如权利要求1所述的方法,其中,事务处理是金融事务处理。
6. 如权利要求1所述的方法,其中,评价请求事务处理的所述当事人不是由用户标识所识别的人的可能性的步骤包括:评价该当事人是否满足某个准则。
7. 如权利要求1所述的方法,其中,评估事务处理的风险级别的步骤包括:至少评价该事务处理。
8. 如权利要求1所述的方法,其中,评估事务处理的风险级别的步骤包括:至少评价该事务处理的规模。
9. 如权利要求1所述的方法,包括:将风险级别评估基于被存储的数据组之上,并且基于事务处理来修改该被存储的数据组。
10. 如权利要求4所述的方法,包括:使用验证级别来确定请求事务处理的当事人被要求的验证类型。
11. 如权利要求1所述的方法,包括:在初始验证步骤之后响应于某个风险级别而要求进一步的验证步骤。
12. 如权利要求1所述的方法,包括:响应于某个风险级别而使 得某个验证步骤是强制性的而非可选择的。
13. 如权利要求1所述的方法,其中,事务处理是口令恢复。
14. 如权利要求1所述的方法,包括:不考虑设置该事务处理的验证级别。
15. 如权利要求1所述的方法,包括:如果用户在预定义的用户组中,或者事务处理满足某个准则,则不考虑设置事务处理的验证级别。
16. 如权利要求1所述的方法,包括:收集用户或事务处理数据并且存储该数据以用于未来的风险评估。
17. 如权利要求1所述的方法,包括:收集用户数据并且存储该数据以用于未来的验证。
18. 如权利要求1所述的方法,包括:收集事务处理数据并且存储该事务处理数据以用于未来的风险评估。
19. 如权利要求17所述的方法,包括:验证事务处理当事人。
20. 如权利要求1所述的方法,其中,用户活动数据库包括一组用户活动配置文件。
21. 一种计算机可执行的方法,包括:
由验证服务器的处理器从用户接受用户标识以及开始给定类型的事务处理的请求;
在用户通过验证之后,由所述处理器评价事务处理的风险级别,其中所述事务处理的风险级别基于包括所述请求的IP地理位置是否与所述用户标识所标识的人的配置文件中的邮政编码相匹配的准则被评价;
如果风险级别超出阈值,则由所述处理器要求该用户提供安全细节;
在事务处理期间由所述处理器利用用户输入的安全细节对风险级别进行再次评估,其中根据基于用户的或基于帐户的事务处理配置文件的创建来再次评估事务处理的风险级别,其中基于用户的或基于帐户的事务处理配置文件的创建是为了比较具体事务处理与基于用户的或基于帐户的事务处理配置文件,其中具体事务处理的配置文件与基于用户的或基于帐户的事务配置文件的偏差指示较高的风险级别,无偏差指示较低的风险级别;
若再次评估的风险级别较高,由所述处理器要求用户提供附加的安全细节;和
基于由用户提供的附加的安全细节,由验证服务器的处理器执行验证操作,并由在线事务处理服务根据验证结果执行事务处理。
22. 如权利要求21所述的方法,其中,接受该请求的步骤包括:至少接受初始的验证细节组。
23. 如权利要求21所述的方法,其中,在接受该请求之前从用户接受验证细节。
24. 如权利要求21所述的方法,其中,至少评价用户不是由用户标识所识别的人的可能性的步骤包括:至少评价由用户标识识别的人的过去的事务处理历史。
25. 如权利要求21所述的方法,包括:如果用户在预定义的用户组中,则不考虑要求用户提供安全细节。
26. 如权利要求21所述的方法,还包括评价事务处理以确定风险级别。
27. 一种包括处理器的系统,所述处理器被配置并布置为用于:
从当事人接收用户标识;
从所述当事人接收进行给定类型的事务处理的请求;
在用户通过验证之后,评估事务处理的风险级别,其中评估事务处理的风险级别包括基于所述请求的IP地理位置是否与所述用户标识所标识的人的配置文件中的邮政编码相匹配的准则的风险评估,其中IP地理位置与邮政编码匹配指示较低的风险级别,不匹配指示较高的风险级别;
在响应于评估出的风险级别较低而正在进行事务处理的时候,在提交初始验证信息之后对事务处理的风险级别进行再次评估,其中根据基于用户的或基于帐户的事务处理配置文件的创建来再次评估事务处理的风险级别,其中基于用户的或基于帐户的事务处理配置文件的创建是为了比较具体事务处理与基于用户的或基于帐户的事务处理配置文件,其中具体事务处理的配置文件与基于用户的或基于帐户的事务处理配置文件的偏差指示较高的风险级别,无偏差指示较低的风险级别;
响应于事务处理的再次评估的风险级别较高,从当事人要求附加的验证信息,所述附加的验证信息与用户标识不同;和
基于由当事人提供的所述附加的验证信息,由验证服务器的处理器执行验证操作,并由在线事务处理服务根据验证结果执行事务处理。
28. 如权利要求27所述的系统,其中,所述处理器将会验证当事人。
29. 如权利要求27所述的系统,其中,所述附加的验证信息包括共享私密、时敏私密、随机安全问题、以及动态PIN中的至少一个。
30. 如权利要求27所述的系统,其中,所述处理器将会基于风险级别从该事务处理的登录安全级别组中做出选择。
31. 如权利要求27所述的系统,其中,所述处理器将在初始验证步骤之后响应于某个风险级别而要求进一步的验证步骤。
32. 如权利要求27所述的系统,其中,所述事务处理是口令恢复。
33. 一种包括处理器的系统,所述处理器被配置并布置为用于:
从用户接受用户标识以及开始给定类型的事务处理的请求;
在用户通过验证之后,基于所述请求的IP地理位置是否与所述用户标识所标识的人的配置文件中的邮政编码相匹配的准则来评价事务处理的风险级别;
如果风险级别超出阈值,则要求该用户提供安全细节;
在事务处理期间利用用户输入的安全细节对风险级别进行再次评估,其中根据基于用户的或基于帐户的事务处理配置文件的创建来再次评估事务处理的风险级别,其中基于用户的或基于帐户的事务处理配置文件的创建是为了比较具体事务处理与基于用户的或基于帐户的事务处理配置文件,其中具体事务处理的配置文件与基于用户的或基于帐户的事务配置文件的偏差指示较高的风险级别,无偏差指示较低的风险级别;
若再次评估的风险级别较高,要求用户提供附加的安全细节;和
基于由用户提供的附加的安全细节,由验证服务器的处理器执行验证操作,并由在线事务处理服务根据验证结果执行事务处理。
34. 如权利要求33所述的系统,其中,接受该请求包括至少接受初始的安全细节组。
35. 如权利要求33所述的系统,其中,评价事务处理的风险级别 包括:至少评价该用户的过去的事务处理历史。
36. 如权利要求33所述的系统,其中,如果用户在优选用户组中,所述处理器将不考虑要求该用户提供安全细节。
37. 如权利要求33所述的系统,其中,所述处理器还将评价事务处理以确定风险级别。”
合议组于2019年03月14日再次向复审请求人发出复审通知书,其中指出在2008年12月07日提交的修改文本中,复审请求人将独立权利要求1、21、27、33中的特征“其中评估事务处理的风险级别包括基于所请求事务处理的环境来至少评价请求事务处理的所述当事人不是由用户标识所识别的人的可能性”修改为“其中评估事务处理的风险级别包括基于所述请求的IP地理位置是否与所述用户标识所标识的人的配置文件中的邮政编码相匹配的准则的风险评估,其中IP地理位置与邮政编码匹配指示较低的风险级别,不匹配指示较高的风险级别”。上述修改没有记载在原申请说明书和权利要求书中,也无法从原说明书和权利要求书中直接地、毫无疑义地确定。因此上述权利要求1、21、27、33的修改超出了原申请文件的记载范围,不符合专利法第33条的规定。
复审请求人于2019年04月16日提交了意见陈述书,同时修改了权利要求书,其中修改了独立权利要求,将特征“用户标识所标识的人的配置文件”修改为“基于用户的或基于帐户的事务处理配置文件”。复审请求人认为:此次修改已经克服了上述复审通知书中所指出的修改超范围的问题。
此次答复复审通知书时新修改的独立权利要求1、21、27、33如下:
“1. 一种计算机可执行的方法,包括:
由验证服务器的处理器从当事人接收用户标识;
由所述处理器从所述当事人接收进行给定类型的事务处理的请求;
在用户通过验证之后,由所述处理器评估事务处理的风险级别,其中评估事务处理的风险级别包括基于所述请求的IP地理位置是否与基于用户的或基于帐户的事务处理配置文件中的邮政编码相匹配的准则的风险评估,其中IP地理位置与邮政编码匹配指示较低的风险级别,不匹配指示较高的风险级别;
若评估出的风险级别较低,则由在线事务处理服务开始所述事务处理;
在事务处理正在进行的时候,在提交初始验证信息之后由所述处理器对事务处理的风险级别进行再次评估,其中根据基于用户的或基于帐户的事务处理配置文件的创建来再次评估事务处理的风险级别,其中基于用户的或基于帐户的事务处理配置文件的创建是为了比较具体事务处理与基于用户的或基于帐户的事务处理配置文件,其中具体事务处理的配置文件与基于用户的或基于帐户的事务配置文件的偏差指示较高的风险级别,无偏差指示较低的风险级别;
若再次评估出的风险级别较低,则由在线事务处理服务继续进行所述事务处理,否则进行以下操作;
由所述处理器从当事人要求附加的验证信息,所述附加的验证信息与用户标识不同;和
基于由当事人提供的所述附加的验证信息,由验证服务器的处理器执行验证操作,并由在线事务处理服务根据验证结果执行事务处理。
2. 如权利要求1所述的方法,其中,所述附加的验证信息包括共享私密、时敏私密、随机安全问题、以及动态PIN中的至少一个。
21. 一种计算机可执行的方法,包括:
由验证服务器的处理器从用户接受用户标识以及开始给定类型的事务处理的请求;
在用户通过验证之后,由所述处理器评价事务处理的风险级别,其中所述事务处理的风险级别基于包括所述请求的IP地理位置是否与基于用户的或基于帐户的事务处理配置文件中的邮政编码相匹配的准则被评价;
如果风险级别超出阈值,则由所述处理器要求该用户提供安全细节;
在事务处理期间由所述处理器利用用户输入的安全细节对风险级别进行再次评估,其中根据基于用户的或基于帐户的事务处理配置文件的创建来再次评估事务处理的风险级别,其中基于用户的或基于帐户的事务处理配置文件的创建是为了比较具体事务处理与基于用户的或基于帐户的事务处理配置文件,其中具体事务处理的配置文件与基于用户的或基于帐户的事务配置文件的偏差指示较高的风险级别,无偏差指示较低的风险级别;
若再次评估的风险级别较高,由所述处理器要求用户提供附加的安全细节;和
基于由用户提供的附加的安全细节,由验证服务器的处理器执行验证操作,并由在线事务处理服务根据验证结果执行事务处理。
27. 一种包括处理器的系统,所述处理器被配置并布置为用于:
从当事人接收用户标识;
从所述当事人接收进行给定类型的事务处理的请求;
在用户通过验证之后,评估事务处理的风险级别,其中评估事务处理的风险级别包括基于所述请求的IP地理位置是否与基于用户的或基于帐户的事务处理配置文件中的邮政编码相匹配的准则的风险评估,其中IP地理位置与邮政编码匹配指示较低的风险级别,不匹配指示较高的风险级别;
在响应于评估出的风险级别较低而正在进行事务处理的时候,在提交初始验证信息之后对事务处理的风险级别进行再次评估,其中根据基于用户的或基于帐户的事务处理配置文件的创建来再次评估事务处理的风险级别,其中基于用户的或基于帐户的事务处理配置文件的创建是为了比较具体事务处理与基于用户的或基于帐户的事务处理配置文件,其中具体事务处理的配置文件与基于用户的或基于帐户的事务处理配置文件的偏差指示较高的风险级别,无偏差指示较低的风险级别;
响应于事务处理的再次评估的风险级别较高,从当事人要求附加的验证信息,所述附加的验证信息与用户标识不同;和
基于由当事人提供的所述附加的验证信息,由验证服务器的处理器执行验证操作,并由在线事务处理服务根据验证结果执行事务处理。
33. 一种包括处理器的系统,所述处理器被配置并布置为用于:
从用户接受用户标识以及开始给定类型的事务处理的请求;
在用户通过验证之后,基于所述请求的IP地理位置是否与基于用户的或基于帐户的事务处理配置文件中的邮政编码相匹配的准则来评价事务处理的风险级别;
如果风险级别超出阈值,则要求该用户提供安全细节;
在事务处理期间利用用户输入的安全细节对风险级别进行再次评估,其中根据基于用户的或基于帐户的事务处理配置文件的创建来再次评估事务处理的风险级别,其中基于用户的或基于帐户的事务处理配置文件的创建是为了比较具体事务处理与基于用户的或基于帐户的事务处理配置文件,其中具体事务处理的配置文件与基于用户的或基于帐户的事务配置文件的偏差指示较高的风险级别,无偏差指示较低的风险级别;
若再次评估的风险级别较高,要求用户提供附加的安全细节;和
基于由用户提供的附加的安全细节,由验证服务器的处理器执行验证操作,并由在线事务处理服务根据验证结果执行事务处理。”
在上述程序的基础上,合议组认为本案事实已经清楚,可以作出审查决定。
二、决定的理由
审查文本的认定
复审请求人在答复复审通知书时,提交了权利要求书的全文修改替换页。经审查,所作修改符合专利法第33条和专利法实施细则第61条第1款的规定。因此,本复审决定所针对的审查文本为:2019年04月16日提交的权利要求第1-37项;2014年08月19日递交分案申请时提交的说明书第1-96段、说明书附图图1-5、说明书摘要以及摘要附图。
具体理由的阐述
(2.1)专利法第33条规定:申请人可以对其专利申请文件进行修改,但是,对发明和实用新型专利申请文件的修改不得超出原说明书和权利要求书记载的范围,对外观设计专利申请文件的修改不得超出原图片或者照片表示的范围。
如果一项权利要求的修改是根据原说明书和权利要求书文字记载的内容和根据原说明书和权利要求书文字记载的内容以及说明书附图能直接地、毫无疑义地确定的内容作出的修改,那么对上述权利要求的修改没有超出原说明书和权利要求书记载的范围,符合专利法第33条的规定。
复审请求人于2019年04月16日提交的新修改的权利要求书中,将上次复审通知书中所指出的权利要求1、21、27、33中超范围的特征“用户标识所标识的人的配置文件”删除,修改为“基于用户的或基于帐户的事务处理配置文件”,上述修改的依据为:原说明书第[0039]段中记载了:用户的配置文件。原说明书第[0050]段中记载了:(2)为了比较具体事务处理与基于用户的或基于帐户的事务处理配置文件而创建基于用户的或基于帐户的事务处理配置文件(其中,这类配置文件可以例如非限制性地包括以下相关的信息:IP地址、来源、地址、用户、事务处理的典型时间(钟点和/或日期))。具体事务处理的配置文件与所述配置文件的偏差能够指出较高的风险级别。(3)创建批发商或服务提供商的事务处理配置文件,以及比较具体的事务处理与所述配置文件。并且本申请的原权利要求1中也记载了“其中创建基于用户的或基于帐户的事务处理配置文件,以便比较具体事务处理与基于用户的或基于帐户的事务处理配置文件”。即权利要求1、21、27、33中对上述特征的修改是根据原说明书文字记载的内容,其没有超出原说明书和权利要求书记载的范围,符合专利法第33条的规定。
(2.2)专利法第22条第3款规定:创造性,是指与现有技术相比,该发明具有突出的实质性特点和显著的进步,该实用新型具有实质性特点和进步。
如果一项权利要求所要求保护的技术方案与作为最接近的现有技术的对比文件相比存在区别技术特征,现有技术没有给出将所述区别技术特征应用到上述对比文件中以得到该项权利要求所要求保护的技术方案的启示,并且所述区别技术特征的引入使得该权利要求的技术方案具有有益的技术效果,则该权利要求的技术方案具有创造性。
本次复审决定引用的对比文件与2018年11月09日发出的复审通知书中引用的对比文件相同,即:
对比文件2:WO03/003704A2,公开日为2003年01月09日。
(2.2.1)权利要求1具备专利法第22条第3款规定的创造性。
权利要求1请求保护一种计算机可执行的方法,对比文件2公开了一种实现聚合式通信平台的方法,并具体公开如下内容(参见说明书第[0003]-[0282]段,附图1-37):由聚合式服务管理器的处理器从用户接收用户个人识别号码(相当于用户标识);由聚合式服务管理器的处理器从用户设备1130接收进行给定类型(例如移动商务交易)的事务处理的请求;由聚合式服务管理器的处理器评估事务处理的诸如验证识别号码是否有效用户账户、用户设备是否被授权、以及账户拥有足够加载(价值)等风险;其中基于用户或账户建立家庭表、请求信息表、授权信息表等(相当于事务处理配置文件),以便比较具体事务处理与基于用户或账户的事务处理配置文件,进而进行所述风险评估;并由服务提供商(相当于在线事务处理服务)根据验证结果执行事务处理。其中,从用户接收用户个人识别号码相当于隐含公开了由所述处理器评估事务处理的风险级别、在用户通过验证之后,由所述处理器评估事务处理的风险级别。
权利要求1与对比文件2相比,区别特征在于:评估事务处理的风险级别包括基于所述请求的IP地理位置是否与基于用户的或基于帐户的事务处理配置文件中的邮政编码相匹配的准则的风险评估,其中IP地理位置与邮政编码匹配指示较低的风险级别,不匹配指示较高的风险级别。在事务处理验证正在进行的时候,在提交初始验证信息之后对事务处理的风险级别进行再次评估;若再次评估出风险级别较低,则由在线事务处理服务继续进行所述事务处理,否则进行以下操作:由所述处理器从当事人要求附加的验证信息,所述附加的验证信息与用户标识不同。基于上述区别特征可以确定权利要求1相对于对比文件2实际要解决的技术问题是:如何提高风险评估的准确性及效率。
对于上述区别特征:对比文件2中虽然公开了由聚合式服务管理器从用户接收用户个人识别号码,从用户设备1130接收给定类型例如移动商务交易的事务处理请求,相当于隐含公开了在用户通过验证之后,由处理器评估事务处理的风险级别。但是对比文件2并没有公开评估事务处理的风险级别是基于所请求的IP地理位置是否与基于用户的或基于帐户的事务处理配置文件中的邮政编码相匹配的准则的风险评估,也没有公开在事务处理验证正在进行的时候,在初始验证信息之后对风险级别进行再次评估,也未公开当再次评估的风险较高时对与用户标识不同的附加验证信息进行再次验证的内容。而上述内容采用了用户具体的位置来评估风险,并进一步限定了在风险评估级别较高时,提供再次评估以及在再次评估的风险级别较高时,提供附加的验证信息进行验证,从而提高了风险评估的准确性,并且根据之前的风险级别高低来确定是否再次评估及进行附加验证,也提高了风险评估的效率。另外,由于对比文件2中没有公开“风险级别可能在事务处理中变化”,因而当面对上述要解决的技术问题时,本领域技术人员没有动机从对比文件2公开的内容中获得在事务处理过程中对事务处理的风险级别进行再次评估和附加验证的启示,上述区别特征也不是所属领域的公知常识。同时上述区别特征的存在使得权利要求1的方案具有在事务处理的风险评估中更准确、有效的有益效果。
综上,权利要求1的方案相对于对比文件2和本领域的公知常识的结合是非显而易见的。因此,权利要求1的技术方案具有突出的实质性特点和显著的进步,具备专利法第22条第3款规定的创造性。
(2.2.2)权利要求21具备专利法第22条第3款规定的创造性。
权利要求21请求保护一种计算机可执行的方法,对比文件2(WO03/003704A2)公开了一种实现聚合式通信平台的方法,并具体公开如下内容(参见说明书第[0003]-[0282]段,附图1-37):由聚合式服务管理器的处理器从用户接收用户个人识别号码(相当于用户标识);由聚合式服务管理器的处理器从用户设备1130接收进行给定类型(例如移动商务交易)的事务处理的请求;由聚合式服务管理器的处理器评估事务处理的诸如验证识别号码是否有效用户账户、用户设备是否被授权、以及账户拥有足够加载(价值)等风险;其中基于用户或账户建立家庭表、请求信息表、授权信息表等(相当于事务处理配置文件),以便比较具体事务处理与基于用户或账户的事务处理配置文件,进而进行所述风险评估;并由服务提供商(相当于在线事务处理服务)根据验证结果执行事务处理。其中,从用户接收用户个人识别号码相当于隐含公开了在评估事务处理的风险级别之前验证用户。
权利要求21与对比文件2相比,区别特征在于:事务处理的风险级别基于包括所述请求的IP地理位置是否与基于用户的或基于帐户的事务处理配置文件中的邮政编码相匹配的准则被评价;如果风险级别超出阈值,则由所述服务器要求该用户提供安全细节;在事务处理期间由所述服务器利用用户输入的安全细节对风险级别进行再评估;以及基于再评估的风险级别,由所述服务器要求用户提供附加的安全细节,基于安全细节进行验证操作。基于上述区别可以确定权利要求21相对于对比文件2实际要解决的技术问题是:如何提高风险评估的准确性及效率。
对于上述区别特征:对比文件2中虽然公开了由聚合式服务管理器从用户接收用户个人识别号码,从用户设备1130接收给定类型例如移动商务交易的事务处理请求,相当于隐含公开了在用户通过验证之后,由处理器评估事务处理的风险级别。但是对比文件2并没有公开评估事务处理的风险级别是基于所请求的IP地理位置是否与基于用户的或基于帐户的事务处理配置文件中的邮政编码相匹配的准则的风险评估,也没有公开在事务处理验证正在进行的时候,在初始验证信息之后对风险级别进行再次评估,也未公开当再次评估的风险较高时对与用户标识不同的附加验证信息进行再次验证的内容。而上述内容采用了用户具体的位置来评估风险,并进一步限定了在风险评估级别较高时,提供再次评估以及在再次评估的风险级别较高时,提供附加的验证信息进行验证,从而提高了风险评估的准确性,并且根据之前的风险级别高低来确定是否再次评估及进行附加验证,也提高了风险评估的效率。另外,由于对比文件2中没有提出“风险级别可能在事务处理中变化”,因而当面对上述要解决的技术问题时,本领域技术人员没有动机从对比文件2公开的内容中获得在事务处理过程中对事务处理的风险级别进行再次评估和附加验证的启示,上述区别特征也不是所属领域的公知常识。同时上述区别特征的存在使得权利要求21的方案具有在事务处理的风险评估中更准确、有效的有益效果。
综上,权利要求21的方案相对于对比文件2和本领域的公知常识的结合是非显而易见的。因此,权利要求21的技术方案具有突出的实质性特点和显著的进步,具备专利法第22条第3款规定的创造性。
(2.2.3)权利要求27具备专利法第22条第3款规定的创造性。
独立权利要求27是与独立权利要求1一一对应的产品权利要求,基于上述权利要求1具有创造性的相同的理由,权利要求27相对于对比文件2及本领域的公知常识具有突出的实质性特点和显著的进步,具备专利法第22条第3款规定的创造性。
(2.2.4)权利要求33具备专利法第22条第3款规定的创造性。
独立权利要求33是与独立权利要求21一一对应的产品权利要求,基于上述权利要求21具有创造性的相同的理由,权利要求33相对于对比文件2及本领域的公知常识具有突出的实质性特点和显著的进步,具备专利法第22条第3款规定的创造性。
(2.2.5)权利要求2-20、22-26、28-32、34-37具备专利法第22条第3款规定的创造性。
从属权利要求2-20、22-26、28-32、34-37分别直接或间接引用独立权利要求1、21、27、33,在其引用的独立权利要求相对于对比文件2和本领域的公知常识的结合具备创造性的情况下,从属权利要求2-20、22-26、28-32、34-37请求保护的方案相对于对比文件2及本领域的公知常识也具备专利法第22条第3款规定的创造性。
对驳回理由和前置审查意见的评述
由于在复审阶段复审请求人已经修改了独立权利要求,复审请求人将说明书的具体实施例部分内容加入到独立权利要求中,其中具体增加了在用户通过验证之后,评估事务处理的风险级别,其中评估事务处理的风险级别包括基于所述请求的IP地理位置是否与所述用户标识所标识的人的配置文件中的邮政编码相匹配的准则的风险评估,其中IP地理位置与邮政编码匹配指示较低的风险级别,不匹配指示较高的风险级别。这些特征未被对比文件2公开,其也不属于本领域中的公知常识,正是由于在独立权利要求中加入了上述区别特征,使得独立权利要求1、21、27、33已经克服了驳回决定及复审通知书中所指出它们不具备创造性的缺陷,修改后的权利要求已经具备专利法第22条第3款规定的创造性(具体关于权利要求具有创造性的意见请参见上述关于权利要求具有创造性的评述)。另外,对比文件1中摘要中公开的内容是:验证所述识别号码涉及的是有效用户账户、用户设备被授权接收服务、以及所述有效用户账户拥有足够的价值,提供授权给服务提供商,并实时地对有效用户账户收费。对比文件1中公开的是实时地对有效用户账户进行收费,这与风险级别在事务处理中有变化是不同的,其并没有给出对风险级别进行再评估的启示。
基于上述事实和理由,合议组作出如下决定,至于本申请中是否还存在其他不符合专利法及其实施细则的缺陷,均留待原审查部门继续审查。
三、决定
撤销国家知识产权局于2018 年04 月20 日对本申请作出的驳回决定。由国家知识产权局原审查部门以复审请求人于2019年04月16日提交的权利要求第1-37项;分案申请递交日2014年08月19日递交的说明书第1-96段、说明书附图图1-5、说明书摘要以及摘要附图的基础上对本申请继续进行审查。
如对本复审决定不服,根据专利法第41条第2款的规定,复审请求人可自收到本复审决定之日起三个月内向北京知识产权法院起诉。
郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。
