基于隱私計算的數據流通平臺互聯互通思考
在國家數據要素化戰略影響下,金融業積極探索隱私計算應用。不少金融機構已部署隱私計算平臺,促進了一定范圍內的數據融合使用。但不同平臺往往存在較大技術差異,很難進行互聯互通。目前行業對平臺間互聯互通的探索還是小規模、個性化的“抱團”現象,其模式能否真正實現更廣泛的互聯互通尚值得推敲。
本文著眼于整個金融行業的數據要素流通,基于當前熱度比較高的多方安全計算、聯邦學習等隱私計算技術應用現狀和互聯互通情況,借鑒成熟的互聯網體系架構,提出了隱私計算平臺互聯互通的一些基本設計思路和建議。
隱私計算平臺互聯互通的內涵
一個通過隱私計算技術實現的數據流通平臺(簡稱隱私計算平臺)一般基于某種信任機制被組織起來,且具有一定的自治權利。這些權利經常包括:自主選擇、管理成員;制定適合平臺內的數據流通規則;接受某一個或多個監管方的監管;根據業務選擇某一種或多種隱私計算技術。
要實現不同隱私計算平臺間的互聯互通,首先應該保證每個平臺的自治權利。但目前業界對跨平臺互聯互通存在一些誤解,例如:(1)數據源在多個平臺上注冊。這與數據跨平臺流通沒有關系。(2)平臺收編。這不符合自治的原則。(3)平臺上的原始數據直接流通到另一個平臺上去。這等同于第一種理解。
因此,可定義平臺之間的互聯互通是把一個平臺上數據融合的中間結果(也稱計算因子,參考JR/T 0196《多方安全計算金融應用技術規范》)跟另一個平臺上數據融合的中間結果進行再次計算,從而獲得進一步結果的過程。類似于隱私計算在單平臺上實現了“數據可用不可見,使用可控可計量”,在這個過程中,需要保證每個平臺上的原始數據不外泄,且平臺自身仍然對各自的數據源保持控制權。此時,平臺相當于數據提供方,提供的計算因子反映了對數據的某種特定使用方法,也應遵循數據提供的“最小化”原則。不同平臺間的互聯互通應該能夠通過建立鏈接,讓數據源有機快速增長,并通過分散式協作,降低數據中心化匯聚造成的額外安全風險,推動隱私計算技術的百花齊放。
當前,平臺間互聯互通的難點在于各平臺的異構性。如各平臺的信任基礎不一樣,包括對管理的信任和對技術的信任,或平臺之間的身份認證體系不統一,以及各平臺使用的技術方案和技術原理不相同等。另外,考慮到市面上已有眾多不同的隱私計算產品和應用成果,達成了管理、技術和商業模式上的信任共識,互聯互通不應是改變已部署平臺的信任共識,更不是平臺替換,而是在已有平臺上疊加可管可控的跨平臺功能,實現數據跨平臺流通時的“可用不可見”和“可控可計量”。從技術角度看,互聯互通實際上可認為是隱私計算平臺的一種遞歸式擴展。
隱私計算平臺互聯互通設計思路
從信息科技發展歷程來看,互聯網(Internet)可以說是當今世界上最成功的技術架構之一。其使用一組體系化的協議將設備與設備、網絡與網絡連接起來,造就了世界上跨度范圍最廣的應用案例。筆者認為,互聯網相關設計理念與本文討論的互聯互通問題高度契合,主要包含了控制面和數據面兩大類協議的設計思路。
1.控制面:自治系統與邊界網關協議
互聯網發展初期面臨不同類型設備或獨立網絡之間的互聯問題,與隱私計算平臺的異構性類似。在互聯網路由協議中,對于被統一管理、采用相同通訊策略的集合,視為一個自治系統(Autonomous System,AS)。自治系統可自主決定其內部允許連接哪些設備、采用哪種網絡技術和路由策略,而對于自治系統之間的連接則可采用外部路由協議——邊界網關協議(Border Gateway Protocol,BGP)。BGP是一種提供AS間路由選擇的協議,其本身不主動發現AS內部路由,而是在確定最佳路徑時側重于根據不同屬性控制數據流的傳輸。
參考這一設計思路,每個隱私計算平臺內部各方依據自治原則協同執行內部計算任務,也可視為一個AS。平臺間通過統一的、兼容并包的外部接口(可將其稱為跨域數據交換Inter-DomainDataExchange,IDDE)實現相互連接,既保證了每個平臺的內部自治,又統籌各個平臺的資源,協調完成計算任務。
2.數據面:層次化設計與“沙漏”模型
層次化設計是互聯網協議中最常用的思路,其典型案例是TCP/IP協議(Transmission Control Protocol/Internet Protocol)。TCP/IP協議的核心在于中間的傳輸層和網絡層,即通過TCP、UDP和IP等一組輕量、精巧的協議,向上服務HTTP、FTP、SNMP、DNS等多種多樣的互聯網應用協議,向下將IP包通過路由器處理、轉換和重新封裝到各種底層網絡的物理幀中,并支持光纖、電纜、無線、衛星等不同的通信傳輸方式,整體呈現為一個“沙漏”狀結構。
圖1 “沙漏”模型
隱私計算平臺在實現上一般也采用層次化結構,不同平臺在頂層應用和底層技術的選擇上都是多樣化的。其中,頂層覆蓋金融行業常見的隱匿查詢、聯合統計、聯合建模等豐富的應用層算法,并用于智能風控、精準營銷、信用認證等多種場景。而底層則包括各類隱私計算技術,例如沙箱、多方安全計算、聯邦學習等,其目的都是為了流通數據特定使用方式(計算因子)。因此,可以在“沙漏”的瓶頸處設計和構建“隱私路由”,完成計算因子在多樣的應用場景和豐富的技術類型間的相互轉換。
3.控制面與數據面解耦
綜上所述,從控制和數據兩個切面來設計、實現隱私計算平臺間的互聯互通,控制面負責資源管理、安全管理以及任務管理等工作,包括資源目錄同步、計算合約達成、跨平臺身份認證、密鑰管理、任務執行調度與流程管控等;而數據面則依照計算合約,執行數據、算法等資源的接入、同步和格式轉換,協同、高效地完成計算任務。數據面和控制面協議之間在技術實現上可以是完全解耦的,在保證互聯互通的情況下,允許采用不同的設計思路和實現架構,從而降低實踐難度,避免技術壟斷,促進技術多樣發展和高速創新。
圖2 控制面與數據面
結論及建議
1.循序漸進推動標準化與檢測認證體系
基于上述思路,推動互聯互通落地需要統一的標準化和檢測認證體系。首先,標準化工作應該依據技術研發和監管要求的發展,循序漸進地向前推進,建議先定義關鍵核心層技術要求,積極研究開源開放的跨域數據交換協議(IDDE)技術框架,再根據實際情況向頂層和底層拓展,逐步構建一整套互聯互通標準體系。其次,建議依據相關標準要求建立檢測平臺和認證體系,明確平臺互聯互通能力評估方法,為金融機構提供選型依據,不斷提高行業內數據流通水平。
2.建設數據流通網
《全國一體化大數據中心協同創新體系算力樞紐實施方案》指出“加強跨部門、跨區域、跨層級的數據流通與治理”,并把“加快網絡互聯互通”作為建設國家樞紐節點的重點任務之一。因此,互聯互通的目標不是構建幾個平臺或者幾個機構間的“局域網絡”,而是要成為面向全行業、全國,建設“數據流通網”的基礎設施。依據本文設計思路,隱私計算平臺(自治系統AS)間可通過統一的IDDE相互連接、組成隱私計算網絡,而每個網絡自身又構成了一個自治系統AS,網絡與網絡間也可以通過IDDE再組合起來。由此可見,金融行業各隱私計算平臺之間能夠相互組合、不斷擴展,支持隱私計算網絡持續迭代、有機生長,為響應國家政策號召、建設國家級數據流通網邁出標志性一步。
