隱私計算:數據安全可信流通助力商業銀行數字化轉型
2022年12月25日,由中國人民大學國際貨幣研究所(IMI)和中國人民大學金融科技研究所聯合主辦的“華瑞金融科技沙龍”系列活動第5期“隱私計算:數據安全可信流通助力商業銀行數字化轉型”線上研討會成功舉辦。交通銀行金融科技創新研究院院長、網絡金融部總經理李肇寧做主題報告,上海金融與發展實驗室主任曾剛,螞蟻集團副總裁、首席技術安全官韋韜,以及中國銀行業協會研究部主任李健就這一話題先后展開研討。本次會議由IMI特約研究員、中國人民大學財政金融學院教授邱志剛主持。
交通銀行金融科技創新研究院院長、網絡金融部總經理李肇寧于會上作了《隱私計算:數據安全可信流通助力商業銀行數字化轉型》的主題報告。他從黨中央對數據要素與數據安全的高度重視與規劃要求、立法層面、金融發展與數字化轉型的需要等方面講述了隱私計算的時代背景,梳理了隱私計算技術的特點及優勢,分析了隱私計算在金融領域的應用現狀并提出了相應發展建議,最后,從產業角度對數據安全可信流通進行了總結和展望。
隱私保護時代背景
(一)習近平總書記高度重視數據要素與數據安全
習近平總書記多次提及要發揮數據要素作用與保障數據安全。2016年,總書記參加網絡安全與信息化工作座談會就提到,要依法加強對大數據的管理,一些涉及國家利益、國家安全的數據,很多掌握在互聯網企業手里,企業要保證這些數據安全。
2017年,總書記分別在中央政治局先后兩次集體學習中提出,要加快建設數字中國,構建以數據為關鍵要素的數字經濟,推動實體經濟和數據經濟融合發展;要切實保障國家數據安全,要加強關鍵信息基礎設施安全保護,強化國家關鍵數據資源保護能力,增強數據安全預警和溯源能力。今年,總書記在中央全面深化改革委員會會議上強調,數據基礎制度建設事關國家發展和安全大局,要維護國家數據安全。因此,在保障安全的前提下,發展以數據為關鍵要素的數字經濟,既是總書記對國家發展的規劃,也是對全黨的要求,同時也是對國際合作所提出的呼吁與倡議。
從發展視角來看,數據是數字經濟的關鍵要素,數據要素是數字經濟深化發展的核心引擎,數字經濟的發展需要保障核心引擎的安全運轉;同時,規范、健康、可持續是數字經濟高質量發展的迫切要求,這需要一定的制度保障來實現對數據的安全開發利用。從安全視角來看,數據安全是國家安全的重要部分,貫穿了數據治理的全過程,其中,數據要素的流通是數據安全需要保障的關鍵環節,如何規范有序地開發數據要素、實現數據安全有序的流通均需要數據制度保障。
(二)黨中央、國務院對數據要素和數據安全的規劃和要求從平面走向立體
無論是國民經濟的發展還是金融業的數字化轉型,都需要發揮數據要素價值,保障數據安全,實現數據安全的可信流通。從黨中央、國務院下發的一系列文件中可以看到,對數據要素和數據安全的規劃和要求已經從平面走向立體,從局部的推進發展走向體系化的全局統籌,從特定方向的探索走向深度的基礎制度的制定。
2020年3月,中共中央、國務院印發了《關于構建更加完善的要素市場化配置體制機制的意見》,其中明確提出:要加快培育數據要素市場,提升社會數據的資源價值、加強數據資源的整合和安全保護。2022年1月,國務院印發《“十四五”數字經濟發展規劃》強調,創新數據要素開發利用機制,適應不同類型數據特點,以實際應用需求為導向,探索建立多樣化的數據開發利用技術,鼓勵重點行業創新數據開發利用模式,在確保數據安全、保障用戶隱私的前提下,調動行業協會、科研院所、企業等多方參與數據價值開發。2022年10月,人大常委會專門審議了《國務院關于數字經濟發展情況的報告》,提出下一步要加快出臺數據要素的基礎制度及配套政策,推動公共數據、企業數據、個人數據分類分級確權授權使用,構建數據產權、流通交易、收益分配、安全治理制度規則,統籌推進全國數據要素的市場體系。毋庸置疑,最新出臺的重磅級文件就是《關于構建數據基礎制度更好發揮數據要素作用的意見》。該《意見》在今年6月份由中央全面深化改革委員會會議審議通過,12月19日面向全社會正式發布,全文20條,所以也被稱為“數據二十條”。
(三)我國已在立法層面強化數據安全、隱私保護
我國這些年也在立法層面上不斷強化數據的安全和隱私的保護,依托全國性法律法規和部門規章制度等逐步推動形成了數據安全的協同治理機制。在全國性法律層面,《民法典》在總則中明確自然人的個人信息受法律保護,為個人信息保護提供了基礎依托,《網絡安全法》、《數據安全法》、《個人信息保護法》等都對數據使用、保護提出了細化要求。在地方層面上,深圳、上海、重慶出臺了相應的數據條例,浙江省出臺了公共數據條例,其他像貴州、天津、吉林、遼寧等省份也出臺了大數據發展的條例。此外,我國也發布了一系列信息安全技術、金融數據安全等系列標準作為數據安全使用的規范和指引,比如在金融領域需要特別關注的有:《金融數據安全分級指南》、《個人金融信息保護技術規范》、《金融數據生命周期安全規范》、《金融業數據能力建設指引》等,特別是在《金融業數據能力建設指引》中要求,確保金融數據在全生命周期各環節的保密性、完整性和可用性,這對金融數據的安全和可用性都提出了明確的要求。
(四)金融發展、數字化轉型需要數據安全可信流通
1. 數據安全可信流通是金融機構服務國家重大戰略的必經之路
金融業是數據密集型行業,當代金融服務離不開數據要素。金融業的數字化轉型依賴數據的支撐,金融業的安全發展也離不開數據安全。進一步來講,金融服務的開放創新離不開數據的流通共享,無論是提高風險防范的能力,還是實現高水平的開放,服務高質量的發展,都需要依賴于數據的流通共享,單靠金融機構能夠獲取的信息很難支撐高水平的現代化金融服務需求,這就必然要求,既要有數據的流通共享又要做到安全可信,如此金融業才能守正創新,更好地服務國家的戰略。
2. 數據安全可信流通是金融機構業務合規發展的內在要求
一方面,法律法規層面已經形成了數據安全的協同治理機制,反復強調并要求數據使用必須審慎合規;另一方面,隨著相關法律法規及隱私保護知識的普及,人民群眾的數字素養和網絡安全意識逐步提升,信息安全隔離意識已經顯現,對于隱私數據的提供變得謹慎,對于作為數據被提供方的金融機構提出了更細致的要求。
對于金融機構來說,安全可信既是對數據流通全流程的要求,也是對數據全生命周期的要求:需要可信的數據源,安全可控的處理能力,受約束的使用范圍。這些要求多位一體,既是外部合規的約束,也是內在發展的需要。
3. 數據安全可信流通是金融機構服務實體經濟、發展惠民服務的高效手段
中央交給金融工作的三大任務中,第一件就是服務實體經濟。在服務實體經濟的過程中,只有提高銷售的服務水平,才能有效地觸達實體經濟,只有提高業務的分析能力,才能觸達有效的實體經濟,這其中數據安全可信流通可以發揮巨大的作用;只有了解人民群眾的“急難愁盼”,才可以精準地定位服務短板,響應群眾需求,改善服務質量;只有了解客戶對于金融服務的實際需求,知曉了金融服務的實際標的、運營情況、資金走向,才能夠對風險早識別、早預警、早發現、早處置,遏制風險的傳染外溢。進而在精準服務實體經濟,提升服務質量,防范化解風險的基礎之上,利用數字化轉型契機,降本增效,實現高質量發展。
(五)《關于構建數據基礎制度更好發揮數據要素作用的意見》:學習與解讀
《意見》以習近平新時代中國特色社會主義思想為指導,以維護國家數據安全、保護個人信息和商業秘密為前提,以促進數據合規高效流通使用、賦能實體經濟為主線,構建適應數據特征、符合數字經濟發展的規律、保障國家數據安全、彰顯創新引領的數據基礎制度。《意見》的重點工作是《意見》構成的四個制度,也是意見的主體部分。
數據要素不同于其他的生產要素,具有無形性、非消耗性的特點,可以接近零成本、無限地復制,這些都是其他生產要素所不具備的。傳統的生產關系中內含的傳統生產要素的特點,對數據這種新型生產要素未必能完全適用。所以,新的制度要“適應數據特征”;同時,數字經濟的發展也需要對數據要素進行價值實現,構建與數字生產力發展需求相適應的,“符合數字經濟發展規律”的新型生產關系。
《意見》總共20條,提出5個方面的基本原則,4項制度建設,包括數據產權制度、數據要素流通和交易制度、數據要素收益分配制度,以及數據要素治理制度。
第一個原則是遵循發展規律,創新制度安排。
《意見》要求對數據安全、數據利用和數據流通三個方面進行有利探索,并指出“在實踐中完善,在探索中發展”,辯證地提出了當下發展階段,制度建設和實踐探索的相互促進、相互合作關系。
《意見》創新性地提出了三權分置,“建立數據資源持有權、數據加工使用權和數據產品經營權等分置的產權運行機制”,淡化了數據的所有權。同時,《意見》提出要“促進數據的使用權交換和市場化流通”,交換數據的使用權而非持有權是一種新的模式,不同于以往的概念和實踐。因為數據是可以接近零成本復制的,使用過程中就可以留存復制一份,所以對于數據來說,不存在“借了要還”的概念,使用就伴隨著持有。現在提出可以僅交易使用權,比如A到B處使用數據,使用后只得到結果,但不帶走原始數據,或者由B告訴A數據使用的結果,但是不告知具體的數據內容。交換數據的使用權而不是所有權,這無疑能夠更充分地保護數據要素各參與方的利益,有效地避免數據無序流轉,助力提升數據安全治理水平。
圍繞著“數據合規高效流通使用、賦能實體經濟”的主線,《意見》對公共數據、企業數據、個人信息數據進行了單獨的討論。對于數據要素各參與方,提到了數據來源者和數據處理者,這也是從數據流通使用的角度出發,而不是從權益角度進行劃分。
第二個原則是堅持共享共用,釋放價值紅利。
從物理層面來說,數據本身只是特定結構的字符,它的意義不大,真正有意義的是數據承載的信息以及這些信息可以開發出的新信息,這是數據的價值。所以,在整個《意見》中反復提及對待原始數據的態度“審慎對待原始數據的流轉交易行為”“嚴格管控未依法依規公開的原始公共數據直接進入市場”,也告知了原始數據的使用方式“推動數據處理者依法依規對原始數據進行開發利用”“公共數據按照‘原始數據不出區域,數據可用不可見‘的要求,以模型、核驗等產品和服務的形式向社會提供”,這就是“數據使用價值的復用與充分利用”,而不是簡單的數據復制使用。
各取所需,共享紅利。一方面是說各自獲取所需要的價值信息,因為每一方所需要的信息是不同的,一條數據可以有多個信息維度,各方只需獲取必要信息,而不必獲取原始數據,比如一條身份證數據涵蓋了許多信息,但并不是所有信息都要被使用。另一方面是指數據鏈條各方獲取所需要的服務,在采集、加工、流通、分析、形成產品應用等上下游環節協同發展,共同享受數據帶來的紅利,這就能“推動數據要素的收益向數據價值和使用價值的創造者合理傾斜,確保在開發挖掘數據價值各環節的投入都能得到相應的回報”。
第三個原則是強化優質供給,促進合規流通。
《意見》全文中“可信”出現了7次,“可信流通”出現了4次,“安全可信”出現了3次,“安全可信流通”出現了1次。可信流通包括四方面:
1、對于數據使用方,要保證數據的來源依法合規,這樣才敢用;
2、保障數據真實準確,因為數據會影響后續的經營決策,所以數據的真實性、準確性,數據的質量很重要,這樣的數據才能用。“敢用”和“能用”加起來就是“可用”。
3、對于數據的持有方或數據產品服務方,希望保證數據的使用在嚴格授權范圍內,要避免數據的誤用和濫用。
4、實現數據全流程動態管理,監督到位,有效防范數據各類風險。
具體措施方面,對于數據來源合法性,《意見》提出“研究數據產權登記新方式”,對于數據質量,“支持第三方機構、中介服務組織加強數據采集和質量評估標準的制定,推動數據產品標準化”“圍繞數據來源、數據產權、數據質量、數據使用等,推行面向數據商及第三方專業服務機構的數據流通交易聲明和承諾制”“建立數據要素市場信用體系,逐步完善數據交易失信行為認定、守信激勵、失信懲戒、信用修復、異議處理等機制”“有序培育數據集成、數據經紀、合規認證、安全審計、數據公證、數據保險、數據托管、資產評估、爭議仲裁、風險評估、人才培訓等第三方專業服務機構,提升數據流通和交易全流程的服務能力”。
數據可信的另一方面保障措施是場內交易。《意見》明確要“統籌優化數據交易場所的規劃布局”,提出了三級交易場所,包括國家級的數據交易場所、區域性數據交易場所和行業性數據交易平臺,并且鼓勵互聯互通,構建多層次市場交易體系;同時,也提出了嚴格控制交易場所的數量。
第四個原則是完善治理體系,保障安全發展。
安全是重點方向,《意見》全文出現“安全”48次,比“流通”少了1次(49次),相比較而言,“數據要素”出現54次,由此可以看到全文對安全的重視程度。
一是“貫徹總體國家安全觀,強化數據安全保障體系的建設”,這要求我們要站在國之大者的角度去考慮數據安全。數據安全不只是商業行為和個人行為,也關系到國家安全利益。
二是“要把安全貫穿在數據供給、流通、使用的全過程”。要時刻保障安全,將數據安全作用到數據的整個生命周期,防范數據風險。
三是“加強數據的分級分類管理”。一方面對數據進行分級分類,根據數據的類型級別對應不同的確權授權;另一方面要對確權、授權進行分級分類,實現不同類型、不同級別的授權。進而“結合數據流通范圍、影響程度、潛在風險,區分使用場景和用途用量,建立數據分類分級授權使用規范”。
第五個原則是深化開放合作,實現互利共贏。
總書記已經在G20峰會、冬奧會、進博會、世界互聯網大會等多個場合向國際社會提出協同發展數字經濟的倡議,我國也發起了《全球數據安全倡議》、《中阿數據安全合作倡議》,正在積極加入《數字經濟伙伴關系協定》等,推進跨境數字貿易基礎設施建設,推動形成公平競爭的國際化市場,實現數字合作互利共贏,推動全球數字化發展。
隱私計算技術特點及發展
(一)隱私計算技術及分類
1.隱私計算的定義
隱私計算是面向隱私信息全生命周期保護的計算理論和方法,是隱私信息的所有權、管理權和使用權分離時隱私度量、隱私泄漏代價、隱私保護與隱私分析復雜性的可計算模型與公理化系統。從技術角度上看,隱私保護研究主要集中在信息處理中的隱私保護、隱私度量與評估。從應用角度上看,隱私計算領域主要是關注數據在進行隱私保護的前提下,實現數據價值的流通與共享。
2. 隱私計算技術發展時間線
隱私計算相關技術于1978年開始出現,首先是1978年Rivest提出同態加密,隨后是秘密分享(1979年)、不經意傳輸(1981年)、混淆電路(1986年)、聯邦學習(2016年、2018年)等陸續出現。可以說,隱私計算的發展歷程是以現代密碼學為主線,協同了信息論、統計學、數論、計算機體系結構等學科融合漸進發展的過程。
值得一提的是,在隱私計算發展歷程中,華人科學家有很大的貢獻,比如,姚期智院士在1982年提出“多方安全計算協議”,并在1986年提出“混淆電路”的設想,楊強教授在2018年提出“縱向聯邦學習和遷移學習”等等。
3. 隱私計算技術分類與對比
在發展過程中,隱私計算基于不同的理念出現了不同的技術分支。
多方安全計算(MPC)是一種基于多方數據協同完成計算目標,實現除計算結果及其可推導出的信息之外,不泄漏各方隱私數據的密碼技術。多方安全計算是由一系列密碼學安全計算協議組成的協議棧,常采用的技術有秘密分享、不經意傳輸、混淆電路、同態加密等。
聯邦學習(FL)是一種多個參與方在保證各自原始私有數據不出數據方定義的私有邊界的前提下,協作完成某項機器學習任務的機器學習模式,分為橫向聯邦學習、縱向聯邦學習和聯邦遷移學習三類。
可信執行環境(TEE)是數據計算平臺上由軟硬件方法構建的一個安全區域,可保證在安全區域內部加載的代碼和數據在機密性和完整性方面得到保護,其完整性包括數據的完整性和代碼的完整性。目前主流CPU廠商都提供了TEE實現,比如英特爾的SGX、ARM的Trust Zone等。
差分隱私(DP)通過引入噪聲對數據集的單個個體進行安全擾動,并要求輸出結果對數據集中任何特定記錄都不敏感,使得攻擊者無法推斷由哪一個個體影響從而導致的結果。
這幾個技術分支的出發點不完全相同,多方安全計算起源于密碼學領域,對于安全性有嚴格的要求和完整的證明,是一個從安全到使用的范式;聯邦學習起源于人工智能領域多方合作建模時對數據保護的需求,對人工智能的原生支持比較好,是一個從人工智能到安全的范式;可信執行環境在數據的使用過程中提供安全環境,是一個數據隔離的范式;差分隱私是以統計學進行數據擾動,保持整體的統計性計算規律,是一個統計學出發的范式。
由于技術思路、技術出發點不同,不同分支各有特點、各具優勢。多方安全計算是基于密碼學的安全機制,整體而言其安全性較高、計算精度有保障,但是計算性能有待突破;相比于多方安全計算,聯邦學習的計算性能有所提高,并原生支持分布式機器學習,但安全性有所降低;可信執行環境具備有較高的計算性能和計算精度,但方案多基于硬件芯片,需要硬件廠商的支持,并且對硬件廠商需要可信;差分隱私基于統計概率學,無需可信第三方,計算性能較高,但主要用于統計性的計算中,通用性有待提高,同時由于加入了相關的擾動,計算精度有所降低。
實際應用過程中,可以根據不同場景需求選擇對應的技術方案。需要注意的是,在應用這些方案時并不是必須單一選擇的,可以對技術進行融合使用。融合使用既包括隱私計算的細分技術領域的融合,也包括將隱私計算同區塊鏈、人工智能、云計算、分布式身份等技術融合,可以對不同的場景需求研制出彈性的方案,綜合化解決。
(二)隱私計算受到國內外廣泛關注
1.隱私計算技術的特點與優勢
隱私計算技術具有三個特點:
(1)隱私計算基于數據價值流通而非原始數據流通,實現數據“可用不可見”。和傳統合作模式相比,隱私計算為數據流通中難以規避的敏感信息泄漏問題提供了技術實現的路徑,它可以支持多個機構在滿足用戶隱私保護和數據安全的要求下進行數據使用和機器學習建模,實現原始數據不動而數據價值流通。
(2)對于數據價值流通的可控性,隱私計算也有很好的解決。多方安全計算、聯邦學習可以對原始數據按用途與用量進行授權使用,并在使用過程中不被泄露。機密計算可以在安全環境內進行運算,保證原始數據不出管理域,這些典型的隱私計算技術可以避免數據二次流傳,并使得數據可控使用,即“可用并可控”。
(3)隱私計算是加密計算,相比傳統數據運算的安全性更高;同時,隱私計算通過與分布式賬本、可信身份認證、零知識證明等技術融合,將過程可追溯、身份可信任、數據去標識等技術信任特性融入到隱私保護方案中,將實現數據使用的可監督、可審計,并進一步增加違約成本,提升信息安全,在安全可控的前提下,實現全流程“可控可計量”。
這三個特點也引申出了隱私計算技術在數據流通中的兩大優勢。
首先,隱私計算技術可以保護數據使用的隱私。隱私保護有兩個方面,一是保護原始數據的隱私,在聯合運算、建模的過程中,原始數據可以不出域,從數據保護角度優于傳統的將數據放在一起進行融合計算的方式,因為傳統方式中無論融合過程是在哪一方都會有數據出去;二是保護查詢的行為,例如匿蹤查詢,可以讓被查詢方無法獲知真實的查詢條目,防范數據共享過程中數據被逆向追蹤,同時防范查詢的內容被惡意利用,也就保護了數據使用的隱私。
其次,隱私計算技術可以擴大數據融合范圍。一些出于合規性要求無法明文出離管理域的數據、或者出于商業利益考慮不愿意明文提供的數據,可以通過隱私計算實現聯合運算,這樣就擴大了數據融合使用的范圍,在數據不出域的前提下,實現了數據價值的有序流轉和規范共享。
2. 隱私計算技術受到國外關注,各地政府支持隱私計算發展
基于以上特點和優勢,隱私計算受到了國內外的廣泛關注。Gartner在2020-2021年連續兩年將隱私增強計算列為重要的戰略趨勢之一,并且預測到2025年,60%的大型企業機構將應用一種或多種隱私增強計算技術。麥肯錫在2021年6月,將其列入金融機構應關注的首要技術趨勢。今年,IDC將隱私保護計算列為6項“變革型”的技術之一。
在國內,各地政府紛紛關注隱私計算。北京、上海、海南均提出了相應的規劃和政策支持。2021年8月16日,時任上海市委書記李強指出,要持續推進數據聯通共享,加快應用隱私計算、數據沙盒等可信開放技術,加快數據應用,鼓勵生物醫藥、物流、金融、貿易等數據密集型行業先行先試,強化對行業數字化轉型的數據賦能。上海市在2021年11月24日發布《上海市全面推進城市數字化轉型“十四五”規劃》,提出依托隱私計算、區塊鏈等技術構建可信數據開發利用環境。2021年8月31日,珠海市發布了國內首個以隱私計算命名的政策文件《珠海市關于加強隱私計算在城市數字化轉型中應用的指導意見》,提出力爭到2023年,珠海市隱私計算應用水平走在全國前列。
(三)隱私計算技術面向產業化快速發展
1. 隱私計算成為熱點技術
從隱私計算自身發展來看,我國隱私計算產品正在逐步走向成熟,產品配套逐步完善,已經形成了一定競爭優勢,并有望在國際競爭中占據有利地位。
在技術發展層面,隱私計算專利申請呈現快速增長趨勢,2019年起,國內的隱私計算專利已經超過國外。部分廠商、高校、研究機構、開源社區已經開源了隱私計算相關項目,為隱私計算廣泛研究和技術發展提供了技術思路,降低了技術應用的門檻,特別是近三年,微眾、百度、字節、螞蟻等互聯網公司都開源了隱私計算框架,依托其業務特點和生態優勢推進隱私計算合作。
2. 多種參與主體協同,產業及配套快速發展
在產業發展層面上,當前多種參與主體協同推進,產業及配套快速發展。在標準制定方面,金標委出臺了《多方安全計算技術金融應用規范》,目前《聯邦學習技術金融應用規范》也正在立項編制制定中。在產品評測方面配套的開發也非常迅速,并且定期會發布通過檢測的產品清單。一些團體也關注隱私計算技術,比如中國信通院牽頭的“隱私計算聯盟”、北京金融科技產業聯盟數據專業委員會、上海金融科技產業聯盟數據產業化專委會等等,這些聯盟吸引了產學研用各方,并且以聯盟的形式開展產業協同推進工作,在項目的合作、標準制定方面起到了十分積極的作用。
隱私計算金融應用現狀
從隱私計算金融應用視角來看,一方面產業的逐步成熟為隱私計算在金融場景中的應用提供了必要條件,另一方面商業銀行的數字化轉型離不開數據安全可信流通,而隱私計算技術是數據安全可信流通的一個關鍵技術方案。當前,隱私計算技術在金融領域已經進行了試點應用并在不斷向前發展之中。
(一)監管要求
《金融科技發展規劃(2022-2025年)》重點任務的第二節強調,要充分釋放數據要素的潛能。這一節一共有四段,其中三段都涉及到隱私計算相關技術,并特別強調要“探索建立跨主體數據安全共享隱私計算平臺”。可以說,隱私計算在金融科技的頂層設計中已經處在十分重要的地位。
相關的一些技術標準在國內的金融行業也在逐步出臺,2020年央行率先發布《多方安全計算金融應用技術規范》,包括多方安全計算技術金融應用的基礎要求、安全要求、性能要求等;中國支付清算協會發布了《多方安全計算金融應用評估規范》;今年金標委啟動了《聯邦學習技術金融應用規范》的立項流程。這些標準工作的推進將會對實踐層面進一步規范指導,促進隱私計算在金融業健康合理應用。
(二)隱私計算在國內金融應用現狀
目前各地金融科技創新監管試點中,應用隱私計算技術的項目一共有16項,涉及到的金融相關機構共有18家,參與的主體包括多種類型的金融機構,如國有大行、中國銀聯、股份制銀行、城市農商行、征信公司等等。在當前的應用場景中,以普惠金融和聯合風控應用案例最多,絕大多數機構都在這兩個領域有所應用,這是因為普惠金融對于風險控制較為敏感,因此,較多的案例同時涉及到普惠金融和風險控制。在精準營銷方面也存在較多的案例,一方面可以通過隱私計算技術提供多維度的數據,用于精準營銷中的客戶畫像;另一方面也可以通過隱私求交實現特定客群的匹配,進而實現特定客群推薦。部分機構還采用隱私計算技術來實現信貸業務黑名單共享、多頭借貸查詢、反電信詐騙等場景功能。
(三)隱私計算金融應用典型場景
1.基于多方安全知識圖譜計算的中小微企業融資服務項目
這是央行金融科技監管沙盒中第一個采用多方安全計算技術的項目,項目的背景是中小微企業融資過程中金融欺詐的問題日益嚴重,需要獲知企業間的關聯關系。但關聯關系團伙一般不會集中在一家機構,任何一家銀行很難拿到所有的數據,一個團伙可能有幾個實體在銀行,有幾個實體在運營商,再通過復雜的嵌套,就對欺詐行為進行了非常強的隱蔽,下圖展示了最簡單的模式。
這種情況下,A和D應該是具有相關性的,可能有風險的傳導;A、B、D應該被發現可能是一個團體,需要警惕出現洗錢、團伙欺詐的風險。這種情況下,數據分別在銀行和運營商,需要雙方進行合作。但在企業內部,客戶和誰有關聯關系,這是客戶的核心資產也是客戶的重要隱私,共享時就會遇到很大的壁壘。其實對于銀行而言,由于只有A、B、D是銀行的客戶,在多數情況下,只需要獲知A和D是否有關系,關系有多大就夠了,而對于B和C,C和D是否有關系,銀行并不那么關心。
假設每條邊的權重是0.5,只需要知道A和D的關系是0.25就行了,并不需要知道什么樣的網絡結構計算出這個0.25,對于運營商而言只需要輸出出0.25的結果,是不是有點C或點E導致這樣的結果出現,也不必告訴銀行,這樣就保護了雙方的網絡結構,滿足了數據源方的訴求,也真正體現了“最小夠用”的原則。
具體實踐上,首先需要通過隱私求交實現客戶的對齊。隱私求交技術實現雙方交集的客戶能夠被標記,但是單方客戶對方無法獲知。通過隱私求交就可以把雙方的圖融在一起,構建了虛擬融合的網絡。在例子中,從A到D的關系權重計算再通過一系列的加密運算就可以對整個虛擬圖進行分析,可以分析自然特征、局部網絡特征、全局網絡特征以及復雜的高階特征。基于這樣的方法,在該項目中,交通銀行和中國移動合作,實現在數據不出庫的前提下聯合建模,構建了虛擬的聯合關系圖譜,用于識別更復雜、更全面的關系鏈條以及欺詐風險,從而提高了普惠金融的精準度。
2. 基于多方安全計算的圖像隱私保護產品
這是第一個將隱私計算用于圖像分析、非結構化數據的公開案例。案例的背景是:現在的人臉識別容易將生物特征隱私暴露在相應的場景,而生物特征產品往往伴隨人的一生,一旦泄漏造成的危害極大。在這個案例當中,交通銀行和中國銀聯合作,首先對手機POS采集到的圖像進行特征提取,然后將提取到的特征信息進行隨機切片,分別傳輸并存儲至交通銀行和中國銀聯,這種隨機切片和分別傳輸存儲,使得任何一方都不保留用戶的生物特征,只有將雙方的特征數據進行聯合運算時,才能夠得到完整的生物特征信息。
在進行生物特征信息比對時,將需要識別的圖像特征也進行隨機切片,將識別的信息與在交通銀行和中國銀聯存儲的數據通過多方安全計算進行比對,由于采集存儲時的切片和比對時的切片這兩種切片的方式不同且都是隨機的,這樣不管是交通銀行還是中國銀聯都無法回推全量的生物特征信息,從而實現了在不泄漏原始信息的前提下實現身份識別,保護用戶的生物特征信息安全。
該案例將圖像的特征數據進行隨機切片后分別存儲在多個獨立主體,有效地避免了金融機構由于存儲海量圖像隱私信息帶來的單點隱患,緩解了運營壓力,既保證了信息的安全,也確保不會因為某一家機構被攻破而導致全量數據的泄漏。
3. 云閃付客群精準推薦
金融應用中常見的人工智能聯合建模和預測,隱私計算也同樣支持,比如交通銀行和中國銀聯聯合開展的“云閃付客群精準推薦”項目。云閃付是銀聯聯合商業銀行推出的一款產品,銀聯在APP中向各家商業銀行進行引流和推薦,由商業銀行根據內部的授信模型自主決策是否進行授信及放款。在這個過程中,銀聯APP向商業銀行引流客戶的精度就比較重要,因為引流的質量會影響下游業務開展。問題是,如何能夠在銀聯并不知道客戶歷史授信結果的前提下,卻能夠提升引流客戶的授信水平。這種情況下隱私計算技術就派上了用場。
首先,項目把云閃付的客戶和交通銀行客戶進行安全求交,將求交的結果分為正負樣本,以在交通銀行的人群標簽為結果值,銀聯的特征標簽為特征值進行模型的構建,最后利用模型篩選出銀聯用戶群中符合銀行標準的優質客群進行推薦,并進行后續的審批、放款等業務,由于在模型構建及結果過程中,雙方只是交互中間過程值,而無法獲知任何原始信息,這樣就實現了用戶隱私的保護,也保護了數據源方的利益。
4. 惠民就醫
隱私計算對于政務數據也是適用的。“惠民就醫”是本地平臺用戶在就醫場景下的信用無感支付,其中醫療費用和醫保費用實時結算,個人自付和自費部分是通過惠民就醫專項額度墊付,用以解決市民的救急的需求。但這個業務遇到的困境是,能夠獲取的客戶信息不多,支撐授信業務的數據存在局限,很多數據源不可信,而可信的數據源能提供的數據比較單一,很難通過數據進行大額授信。另一方面,公共數據具備可信、高價值的特點,但出于對隱私保護和安全性顧慮,公共數據的開發利用受到一定的限制。在這種情況下,可以搭建可信可追溯的多方安全計算系統環境,將公共數據資源提供方,比如大數據中心或者政數局提供的公共數據資源,同企業數據進行安全融合,確保不存在隱私泄漏;然后對這些融合的數據進行特征處理、模型訓練等操作,形成人工智能的模型并用于預測。這樣就實現了公共數據資源的安全可信開發利用,通過發揮公共數據價值提升大眾就醫授信額度,滿足市民救急救難的需求。公共數據資源通過多方安全計算駕駛艙進行全流程管理,由管理機構實現用戶密碼數據存證管理、數據資源的發布、數據應用的審批、運算結果的審批等職能,并可以進行事前、事后監督審計,達到“可用不可見”、“可用并可控”、“可控可計量”的效果。
從隱私計算在實際應用中的案例中可以看到,隱私計算具有很大的發展潛力和優勢。從合作方角度來看,有金融機構、運營商、政務大數據中心、金融同業等合作,既可以有可信第三方也可以沒有可信第三方,可以是多方聯盟、也可以是雙方交互。從數據使用角度來看,既有從不同數據源進行聯合運算向應用輸出結果的,又有從同一應用向不同數據源分發數據進行數據保護的;數據格式既有結構化數據也有圖譜結構、圖像數據等等。從運算方式角度來看,既有數據挖掘也有人工智能建模,還有多方聯合運算。
總之,隱私計算使用方式靈活,也可以彈性地適配各種場景,再加上隱私計算本身就具有的保障隱私、保障數據安全、促進數據價值流通的特點,可以有效緩解商業銀行在數字化轉型過程中面臨的信息不充分、數據不完善、數據價值發揮不足的陣痛,并且可以以隱私計算合作為紐帶,輔助商業銀行進一步擴大業務合作范圍,擴展業務服務的空間,同時提升服務質量。因此,在數字化轉型過程中,各家金融機構都在大力地進行隱私計算方面的探索。
(四)隱私計算金融應用建議
1. 建立企業級或機構級隱私計算平臺
充分關注數據治理與數據分級分類,強化自身的數據保護能力。按照國家法律法規及金融行業有關標準制度綜合考量國家安全、公眾權益、個人隱私、企業合法利益等因素,健全自身數據要素安全治理機制,選擇不同的技術方案、不同的合作方式適配場景需求,在最小可用的前提下實現大數據融合,客觀評估、主動防范,實現對數據的精細化管理。
2. 隱私計算技術并不會完全取代明文計算方式
雖然隱私保護逐漸增強,數據共享的壁壘越來越高,但短期內隱私計算技術并不會完全取代明文計算方式,更多是在明文運算不可行的情況下由隱私計算來提供新的解決方案。因為隱私計算技術在技術復雜性、性能效率上相比較明文計算還有很大差距,技術復雜性也比較高,而且目前階段,技術知識的普及以及技術信任也需要時間來進一步推行、建立。所以相當長時期內,仍會以明文計算為主,隱私計算為輔。
3. 隱私計算技術合作需合法依規
當前,國家和各個地方都出臺了相關的法律法規,都對數據采集、處理、存儲等全流程進行了要求。隱私計算作為一項技術或解決方案,并不能夠豁免各參與方對原始數據本身的保護義務,各機構在使用隱私計算時應當堅持合法依規,嚴格執行監管要求,避免使用“數據保護手段”做“突破數據保護”之事。
總結與展望
商業銀行的數據安全可信流通需要依托整個數據要素市場,商業銀行的數字化轉型是社會數字化轉型的一部分,也需要依賴數據安全可信流通產業的發展提供助力。
(一)面向大規模應用,實現快速發展
以隱私計算為代表的新型數據安全可信流通方式以及它形成的綜合解決方案可以實現“可用不可見、可用并可控、可控可計量”,有了這些特點就可以應用到各種金融場景中去。面向未來,在宏觀時代背景以及微觀發展需要的雙重驅動下,新型的數據安全可信流通技術將向大規模應用并快速發展,彌合數據鴻溝,緩解行業間、區域間的不平衡、不充分的數字化發展矛盾。
在發展過程中,技術層面上會從通訊的效率、任務的處理能力等方面實現計算效率的突破,達到規模化的要求。在便捷化方面,實現配置化的資源連接服務,對數據的資源、數據的請求、合作關系的建立、任務的建設等實現快速的配置化和參數化的操作。在廣泛連接方面將實現云端協同的數據安全融通,支持低性能設備的安全計算需求,也會支持多合作方接入,滿足高并發場景的需要。
(二)強化制度建設,明確權責分工
產業發展離不開制度建設,新型的數據安全可信流通的廣泛應用需要進一步明確職責分工。
一是在數據價值融合過程中,涉及到數據收集方、數據持有方、技術提供方、算力提供方、結果使用方、監管方等多種參與主體,在實際應用場景中同一參與機構又可能具備一種或多種身份,因此,合作過程中各方之間的權利、義務、責任等法律邊界,仍然需要進一步統籌協調,逐步明晰;二是要逐步理清楚不同合作模式,甚至不同場景模式下安全治理的規則要求;三是要在授權層面形成公眾容易理解的、能夠適應隱私計算框架的、相比傳統數據授權更加豐富、符合隱私計算理念的用戶數據隱私計算授權機制。
在實踐落地層面,由于數據安全可信流通技術往往基于復雜的密碼學、統計學、信息論等技術,大部分用戶對于其底層技術難以理解,很多時候呈現黑盒化的特征。所以在進行多方安全計算時,合作伙伴、數據授權主體容易對適用范圍、適用場景、安全性方面把握不足,難以有效實現快速對接。因此,數據安全的可信流通發展以及推廣需要實踐性的指引,以進一步地提高公眾對技術的了解、信任及信心,進而形成比較準確的預期,才能更好地應用。對于隱私計算這種新型的數據融通方式的數據授權、適用范圍、安全防范也都缺乏規則要求,這些都需要逐步地探索形成,正如“數據二十條”所說,需要在實踐中完善,在探索中發展。
(三)建立基礎設施,形成融合貫通的格局
數據安全可信流通需要建設基礎設施,進一步激發應用活力,形成融合貫通的格局。因為數據作為信息載體,可以實現交叉驗證,交叉推理,對于數據價值而言,1+1+1可能大于3,1+1+1+1也就可能大于5。所以,既要建立數據交易所,形成場內的數據流轉樞紐,也要實現行業內、區域內的數據融通生態,進而實現跨行業、跨區域的打通,在數據維度層面實現網絡效應,實現邊際效用遞增,最終利用這些融合價值發揮出的能量,激發應用前景和創新活力,實現一片數據紅利的藍海。
“數據二十條”指出,要促進區域性數據交易市場和行業性數據交易平臺與國家級數據交易場所互聯互通。其中,技術上的互聯互通將起到關鍵作用,因為技術是應用和生態最底層的支撐,只有技術上能夠打通合作的壁壘,應用上才能夠激發活力。
隱私計算領域的互聯互通是指不同的隱私計算產品或技術路線之間進行數據安全運算的能力。目前,多數隱私計算平臺尚無法有效互聯互通,而且出于數據安全、合規、成本等多方面因素考量,各參與方在基于隱私計算技術合作時,優先考慮使用本機構的既有方案,給數據可信安全流通形成了一道潛在壁壘。目前產業各方都在推進互聯互通,但還沒有形成實質性的技術產品或成熟方案,主要難點集中在四個方面:
1、從應用角度看,不同平臺在使用流程、底層算法、功能分類、資源對齊等方面存在差異。異構的平臺難以實現標準化的業務流程串接。
2、從技術實施角度看,產業各方缺乏明確完善的標準及規范指引,不同機構、不同團體、不同行業之間的互聯互通缺乏統一的標準支持。
3、從技術理論角度看,異構平臺采用不同底層密碼學算法協議,實現互通需要理論層面進一步研究。
4、不同隱私計算產品的廠商出于商業利益、未來發展等考慮,對互聯互通的態度不完全相同。
在這種情況下,產業各方應該形成共識、合作共贏,快速協同建立起廣泛的應用生態,形成規范化、可實施、面向未來的互聯互通標準,以及通用的業務處理規則,加強互聯互通的技術理論研究,在底層協議中實現理論突破;同時,各產品應構建跨接平臺或跨接異構技術路線的適配能力,抽象出必要的步驟和功能,屏蔽底層的算法邏輯,讓技術的應用真正回歸到服務業務發展,發揮數據融通價值的本源。
(四)關注科技倫理,實現數據平權
最后,在數據安全可信流通過程中,要關注科技倫理。一方面,希望各方能夠堅持科技向善、數據平權的原則,以科技之力打造數字安全能力體系,加強金融科技倫理治理,防止不公平歧視、消除數據代表性不足、模型偏差等負面因素,既實現服務的平權,也做到安全的平權,充分保障各方合法權益,尊重和維護市場公平競爭秩序,強化對弱勢群體的保障幫扶,讓大中小微企業、個人都能平等、高效、便捷地獲得信息化服務,都能夠享受高水平的隱私安全保護,切實感受到數字經濟發展帶來的獲得感、幸福感、安全感;另一方面,呼吁各方能夠做國之大者,在產業建設和發展中堅持助力數字經濟發展,保障國家數據安全的初心,回歸到服務國民經濟、提升服務質效的本源,在產業協同中求同存異,進而充分發揮數據要素的價值,為發展國民經濟、維護國家安全貢獻力量。
嘉賓探討
沙龍第二單元,與會嘉賓圍繞商業銀行數字化轉型的難點和挑戰、隱私計算未來的發展和主要技術需求等方面展開了深入探討。
上海金融與發展實驗室主任曾剛探討了《中共中央國務院關于構建數據基礎制度更好發揮數據要素作用的意見》(以下簡稱《意見》)的重要性以及商業銀行數字化轉型的挑戰和難點。
他指出,《意見》一方面,系統地描述未來中國要素市場或數據要素體系的發展方向,對金融機構數字化,對銀行業,甚至對產業數字化都產生深遠的影響;另一方面,對要素資源配置效率的提升是中國在數字經濟時代進一步提升經濟發展的質量,以及釋放未來增長空間一個非常重要的動能。要進一步地發揮數據要素配置的效率,完善數據要素市場體系,未來可能會面臨幾個方面的挑戰和難點:
第一,來自制度層面的限制或法律層面的限制。倫理層面的考量是自己的自我約束,法律的約束是來自外部的強制約束。這是需要去關注的。
第二,確權/權屬/受益權分配的問題。權屬確權在一定程度上,可以用持有權概念替代所有權的概念。持有權基礎之上是使用權。使用權會產生收益,受益權的分配取決于不同的權屬關系,數據權屬和受益權之間的對等促進要素準確配置。
第三,隱私計算技術難點突破。隱私計算實際是為保證數據在交換使用過程中能符合法律的要求、安全的要求或隱私保護的要求等。其中,最大的問題是合作博弈中的問題。
第四,定價難點問題。不同的數據在不同的人手里價值是不同的。在公開拍賣市場中,對數據本身進行定價是比較困難的。
螞蟻集團副總裁、首席技術安全官韋韜探討了隱私計算的意義并展望了其未來發展。第一,數據要素與其他生產要素的顯著區別在于容易被復制,“你有我有他也有”的情況會造成數據商業價值的崩塌。這意味以后數據要素市場流通的主體不是持有權,而是使用權。隱私計算的出現可以實現在不喪失數據持有權的前提下,有效實現數據使用權的跨域管控。反過來,這個又可以作為隱私計算技術的核心要求。對于多方安全計算和聯邦學習,需要數據持有者的參與發起才能對數據進行融合計算,這是通過隱性的控制來實現使用權的管控;而對于TEE可信執行環境,其本身并不為數據持有者提供數據使用權的跨域管控能力,這需要在TEE環境內的隱私計算平臺或應用對其進行保障。
第二,如今已經有許多行業隱私計算的應用案例,但隱私計算技術仍然處于早期,不少應用案例中能處理的數據規模、復雜性以及計算模式依然有明顯限制。業界初期普遍認為“數據不出域所以安全”,但實際上這種模糊的“數據不出域”概念既不是隱私計算安全保障的充分條件也不是它的必要條件(都能舉出反例),甚至因為強調所有計算都需要數據持有方的跨網絡參與,這會成為未來行業發展的嚴重瓶頸。我們很高興“數據二十條”中再次明確了“原始數據不出域,數據可用不可見”是重要原則和要求,消除了模糊語義。在此原則基礎上業界有廣闊的技術發展空間,既可以真正確保數據的安全,又能夠突破現有技術應用瓶頸。這需要未來整個行業共同突破。
第三,隱私計算技術現在有很多相對獨立發展的技術路線,在未來,各個技術融合是大勢所趨。這不僅僅是性能、場景適用性上的迫切需求,甚至在安全性上也有強烈需求。現有的各條技術線,包括多方安全計算(半誠實模型安全問題)、聯邦學習(信息熵泄露問題)、TEE(供應鏈攻擊與應用攻擊)都有實際應用中的安全挑戰需要相互之間的技術融合來做補位增強,從而成為未來行業大規模安全可用的隱私計算技術基礎設施。隱私計算技術不是免費的午餐,但它的成本會隨著基礎設施的規模效應而逐步降低。行業里的頭部企業應該在監管機構指導之下共同引導融合,擴大應用規模,從而降低邊際成本,普惠全行業。
第四,隱私計算技術的使用要有平衡,過度強調單點技術的應用走到極限都會出現問題。比如我們在打擊黑產時,在關鍵案例分析上是需要對黑產涉及的原始數據做深入挖掘分析的。如果沒有這個通道,行業的AI安全應用面臨著被黑產打穿而無法有效響應的嚴峻風險。對于這種特殊應用場景,對數據使用應留有專數專用的通道,避免一刀切。
中國銀行業協會研究部主任李健分析了銀行業應用隱私計算技術的主要需求與銀行業應用隱私計算技術的痛點。他認為,銀行業應用隱私計算技術的主要需求有四個方面:
一是聯合風控,是指金融機構之間數據合作風控,金融機構同政務數據的合作風控,金融機構同運營商的數據合作風控,以及金融機構同互聯網公司的數據合作風控。二是聯合營銷,是指金融機構間數據合作用于精準營銷、金融機構同政務數據合作,同運營商數據合作,也同部分的互聯網公司合作用于客戶的精準營銷。三是應用隱私計算技術開展智能運營,是指銀行母集團內不同子公司之間不同執行智能的運營。四是反欺詐,通過銀行與不同合作單位之間共同構建黑名單共享。
銀行業應用隱私計算技術的痛點也有三個方面的體現:
一是由于數據保護的加密算法的復雜性,造成數據處理效率還比較低,在數據實時查詢場景方面,效率和性能仍然需要提升。二是在法律層面,關于應用隱私計算技術是否滿足了匿名化在上位法的角度還暫未明確,導致一些機構使用這個技術時缺乏更為有效的法律背書,實際通過近期出臺的相關意見,下一步值得各類市場參與主體對法律解釋方面進行更多的研究。三是由于各類市場主體技術路線不同,現在多方隱私計算平臺在互聯互通層面仍然需要行業層面以共同的指引和共同的推進,特別是在行業主管部門的牽頭統籌下,針對隱私計算的標準和技術產品統一的問題。
