基于联盟链技术的隐私保护金融应用研究报告（水印版）_83页_4mb.pdf

基于联盟链技术的隐私保护 金融 应用研究报告 北京金融科技产业联盟 2022 年 7 月 版权声明 本报告版权属于北京金融科技产业联盟，并受法律保护。转载、编摘或利用其他方式使用本报告文字或观点的，应注明来源。违反上述声明者，将被追究相关法律责任。 编制委员会 主 编： 潘润红 编委会成员： 何 军 刘承岩 聂丽琴 编写组成员： 强 锋 魏博言 昌文婷 姚 明 彭宇翔 李 力 裴 磊 钟 亮 杨文玉 张晓蒙 何 浩 靳 新 李 博 郑华祥 曾钰涵 孟 丹 唐仕豪 卞 阳 黄翠婷 杨天雅 李琦睿 王顺业 周 超 张子怡 张姗姗 高志民 王云河 时 代 何东杰 于雅楠 杨 彪 贾 澜 金银玉 单进勇 蔡超超 邵 兵 苏庆慧 刘 江 刘 姝 龚自洪 王光中 傅跃兵 薛瑞东 陈 剑 王朝阳 李辉忠 张海鹏 李瑞男 陈 凯 张骏雪 王 寰 毛小利 董 朦 铁 力 赵 红 纪崇廉 宋鑫磊 臧 铖 陈嘉俊 张敬之 徐 静 李 伟 汪小益 郭 栋 赵 伟 车春雷 王 东 邓飞 飏 王 雪 李武璐 霍昱光 郭 林 陈 俊 王健宗 黄章成 卢春曦 艾轶博 陈 佳 主 审： 黄本涛 刘宝龙 统 稿： 郭 栋 魏博言 参编单位： 北京金融科技产业联盟秘书处 中国工商银行股份有限公司 成方金融信息技术服务有限公司 深圳市洞见智慧科技有限公司 同盾科技有限公司 蚂蚁科技集团股份有限公司 北京竞天公诚律师事务所 上海富数科技有限公司 深圳长亮科技股份有限公司 华为技术有限公司 华控清交信息科技（北京）有限公司 中国银联股份有限公司 北京百度网讯科技有限公司 北京数牍科技有限公司 腾讯云计算（北京）有限责任公司 矩阵元 技术（深圳）有限公司 交通银行股份有限公司 北京融数联智科技有限公司 深圳前海微众银行股份有限公司 中国银行股份有限公司 深圳致星科技有限公司 光大科技有限公司 中金金融认证中心有限公司 浙商银行股份有限公司 杭州趣链科技有限公司 建信金融科技有限责任公司 网联清算有限公司 深圳壹账通智能科技有限公司 北京科技大学目 录 一、 数据要素在金融业的价值与隐私保护 . 1（一） 数据要素价值 . 1（二） 数据要素隐私保护 . 5二、 数据共享在金融业应用的问题 . 13（一）数据要素确权问题 . 14（二）数据交易定价问题 . 16（三）数据交易存证问题 . 18（四）数据交易监管问题 . 18（五）数据交易恶意节点问题 . 20（六）可信第三方的 “ 权责利 ” 界定问题 . 22三、 隐私计算技术与区块链结合的探索 . 23（一）区块链技术概述 . 23（二）区块链技术金融应用现状 . 32（三）隐私计算与区块链结合可行性分析 . 35四、 基于联盟链的隐私保护数据共享架构 . 41（一）参与方角色 . 41（二）双层框架 . 42（三）运作机制 . 45五、 应用案例 . 56（一）联合风控建模 . 56 （二）反洗钱 . 61 （三）智能选址 . 66 （四）白名单共享 . 69 六、 总结与展望 . 72 （一）遵循知情同意原则，维护个人信息安全 . 72 （二）落实断直连等要求，推动征信信息共享 . 73 （三）坚持良法善治道路，完善监管标准体系 . 74 （四）加快市场主体培育，推进场景应用落地 . 75 1 一、 数据要素在金融业的价值与 隐私保护 （一） 数据要素价值 1.数据生产要素背景 21 世纪以来，信息技术的飞速发展彻底地改变了人类的生活习惯和社交方式。作为消费者，人们衣食住行的各个方面都在不断地向线上迁移，网络购物、网络订餐、网络订房、网络约车、网络购票、即时通讯、社交平台等人们日常生活中几乎每一个动作都会留下数字化的行为轨迹。 与之相适应，作为商品和服务的供应方，企业也紧跟着消费者习惯的改变而不断调整着自身的经营模式、获客方法和销售渠道。同时，随着财务电算化、 ERP 系统 、 OA 系统等现代化办公系统的普及 ，企业的管理行为也日益变得信息化、数字化。两者相结合，共同形成越来越多数字化的企业管理记 录和商业活动记录。 作为公共管理和服务机构，各级政府的窗口部门也不断推动网上报税、网上报关、网上备案、行政许可公示、行政处罚公示、企业信用公示等电子政务系统的发展；作为司法审判机关，各级法院也在不断推动法院公告、审判文书、执行信息、破产重整信息的公开公示系统。行政机关和司法机关的信息化建设，形成越来越多的政务数据和司法数据，而这些政务信息、司法信息无疑 2 对评估商业主体的经营管理能力、商业信用水平具有举足轻重的作用和价值。 作为经济活动的润滑剂和助推剂，以第三方支付、网络消费贷、网络理财为代表的互联网金融活动也 快速地走向前台。一方面，互联网特别是移动互联网技术快速提高了金融服务的便利性和可获得性，推动了金融普惠性的发展。无论身处何处，无论是支付、借款还是投资，人们都可以很方便地从手机 App 上获得金融服务的支持。另一方面，货币资金的存款余额、清分结算、债券市场的簿记交割、股票市场的竞价撮合等几乎所有的金融资产簿记、金融交易活动也都实现了信息化和数字化。 事实上，人类社会已经进入了一个现实社会生活与数字化活动记录同步并存且紧密融合的时代。数据记录，一方面记录和映射着人们的行为轨迹和状态变迁，另一方面也日益成为生产经营活动的计划指引和决策依据。数字化时代的商业竞争，越来越依赖于对数据记录的获取控制能力和分析处理能力。 用户画像 、智能 营销 、 智能风控 、 智能投顾 、 高频交易 等这一系列 “时尚”的技术名称背后，无不晃动着数据的身影，深层次里都指向人工智能对数据记录的分析和处理。 数据，逐步进入了人们社会生产活动领域，成为与土地、劳动力、资本、技术并列的第五大生产要素，深刻影响着人们的日常生活和商业竞争。 3 2.数据要素在金融业的重要性 金融 ， 表面上体现为借贷 、投资、融资等以交换资金的“时间价值”为核心内容的经济活动，而实质 上 是以“风险 ”为对象的管理活动。 信用水平越低的主体 ， 融资利率越高 ， 因为借贷违约的风险更大 ；越是初创阶段的公司，股权估值越低，因为投资人需要承担更大的市场风险和经营风险；投决会上，需要对目标项目进行风险评估、信用评级，从而权衡项目的风险和收益是否匹配；投后管理，需要实时追踪市场信息、新闻资讯，紧密关注为标的项目设置的救济措施是否被触发，以便及时行权以阻断风险蔓延。 站在金融机构的视角，从信用评估、风险控制到产品研发、风险定价，从资产配置、投资决策到投后管理、贷后管理，几乎每一个流程和步骤都需要对风险进行评估和衡量，而风 险评估衡量的基本依据则直接指向信息和数据。 所以，数据必然是金融业不可或缺的战略资源和生产要素 。 （ 1） 横向机构间数据要素融合价值 金融业是典型的数据密集型行业 ，运营过程中会积累大量的数据信息。微观上看，这些信息往往以自然人、法人、其他组织等用户为权利主体，以各金融机构内设的账户为核心对象，按金融资产、金融交易的不同类别分别记录、跟踪和管理。一方面，这些微观的金融运营数据可以体现相关用户的身份特征、财产状 4 况、收入能力和信用水平；另一方面，微观运营数据的汇聚、统计和分析则可以推演出某地区、某行业产业布局、生产 规模 、金融资源流转趋势、就业状况等关系国计民生的经济金融情报。 网络技术的发展推动了金融便利化和普惠性的提升，同时也使得金融用户的信用水平下沉、金融风险传播速度 和危害范围大大增加，从而对金融机构之间的横向信息交换和数据融合提出了迫切的要求。 一方面，这种横向的数据融合可以提高对同一主体或同类主体信用风险的识别能力和风险管理水平；另一方面， 横向的数据汇聚与融合也有利于宏观经济金融政策的制定和 监管。 （ 2） 纵向行业间数据要素融合价值 金融业作为社会经济活动的润滑剂和助推剂，与国民经济各实体经济部门、各行业、各领域都存在广泛且深刻 的业务联系。或者说，金融行业的客户来源和服务对象，广泛地覆盖了全社会各个行业领域的各种层级的主体。因此，金融行业对于数据要素的需求，其实并不局限于金融业内部的横向融合，而是广泛地指向全社会各行各业，覆盖了从政务数据、市场数据、企业数据到个人数据的各个层面。 另一方面，金融行业非常重视对未来情况的前瞻性预测，这就决定了金融行业对数据要素的需求不但包括对静态数据的横向关联性分析，还包括对动态数据的纵向关联性分析，对状态数 5 据变迁过程的规则和规律分析等等。 不同于土地 、 资本等传统生产要素 ， 数据要素并没有 “竞争性”属 性。就是说，一方主体对数据要素的占有和使用，并不会减损其他主体对同一数据占有使用的效用。同时，数据要素价值的汇聚、分享，反而能创造出统计、模型分析等方向上更大的价值。数据越多，边际价值越大；数据越分享，总和价值量越大；数据越跨行业、区域、国界，越多样化，综合价值越大。 所以 ， 对于金融行业来说 ，充分 融合 跨 行业 、跨 领域 、跨 层级 的动态 数据 ，不但有利于金融行业本身的数字化转型和业务创新，而且有利于全社会数据要素的质量提升和价值增长。 （二） 数据要素隐私保护 1.“隐私”的不同含义 隐私保护计算的 “隐私”与一般法律意义上的“隐私”存在很大区别。前者更多指数据控制者不愿公之于众的保密信息，这里的数据控制者既可能为自然人，也可包括法人、其他组织、政府机关，甚至是代表社会公共利益的国家；而法律法规语境中的“隐私”则更多指向自然人隐私权的客体，即“自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息” 1。 从 数据流通合规性角度探讨，其实“ 个人信息 ” 的概念要比 1 民法典第 1032 条第 2 款。 6 “ 个人隐私 ” 更契合一些 ， 因为当今与数据合规相关的法律规范 ，其实是围绕着 “个人信息”的概念展开的。 按照民法典 的定义 ， 个人信息是指 “以 电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息，包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等”。而 按照 个人信息保护法第四条的定义，个人信息是指“以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息”。 从字面含义来分析比较 ，明显后者的范围要比前者大很多，不但包括“可用于识别身份”的信息，而且还包括虽然不能用于识别身份但与自然人存在“关联”的信息；不但包括与“已识别”自然人相关的信息， 而且还包括与尚未识别但技术上“可识别”的自然人相关的信息。这其实就把很多在大数据时代人们无意识留下的行动痕迹数据，一并纳入到了“个人信息”的保护范围中了。 从种类和来源区分 ， 金融应用所 涉及的 数据 信息，可能包括来自金融机构和其他行业企业在经营过程中收集、形成的涉及商业秘密的企业信息，可能包括来自行政机关、司法机关的政务信息、审判信息，还可能包括自然人在申请或使用各类产品或服务时自主提供或被动形成的个人信息。 然而，不论是政务信息、司法信息、企业信息还是个人信息， 7 牵涉到“隐私保护计算”的，首先要属于“保密信息” ，也就是控制主体对其采取了保密措施、主观上不希望未经授权的主体非法访问的信息。从这个意义上说，像法院裁判文书、法院公告、执行信息、企业工商信用档案、行政许可公示信息，或者行政处罚公示信息等公开、公示信息就不在“保密信息”范畴之列，自然也不应属于需要保护的“隐私”信息了。 所以 ，从法律意义上说，数据要素流通中可能涉及的数据种类可划分为个人信息、企业商业秘密、国家秘密三个不同的类别，远大于“个人隐私”的范畴。这几类不同层级的信息，分别由不同的法律体系进行规制和保护。 但是 ， 无论信息类别归属如何 ，如果其 自身属性上体 现 “ 公开 、 公示 ”目的，那么就不应被包括在“隐私保护”的范畴之中。 2.关于个人信息保护的法律框架 在个人信息保护方面，我国的法律框架日臻完善，从全国人大表决通过的最高层级的法律，到最高人民法院颁布的司法解释，到国务院颁布实施的行政法规、国务院各部委颁布执行的部门规章，到行业组织制定的推荐性国家标准，各个层级的规范制定机构都在着力推进相关规范的立法建设。同时，从一般法到特殊法，从指引性规范到强制性、禁止性规范，前述各层级的法律规范又从适用范围、强制性程度等方向上多维交织，共同构建了一个周密而有序的法律规范体系。 8 在法律层面，个人信息和隐私保护的规则，主要是通过民法、行政法、刑法三个层次的法律维度构建的，如 图 1 所示。 图 1. 个人信息和隐私保护的法律规范体系 个人信息和隐私保护立法具体内容如下 。 个人信息和隐私保护的法律规范体系民法 民法典 人格权编一般规定第六章“隐私权和个人信息保护” 民法典 侵权责任编一般规定网络侵权责任医疗损害责任行政法 网络安全法 个人信息的收集使用规则个人信息的保护义务个人信息保护的法律责任 消费者权益保护法 一般规定经营者收集和使用个人信息的原则经营者的个人信息保护义务经营者侵害个人信息的法律责任 个人信息保护法 个人信息处理规则个人在信息处理中的权利个人信息处理者的义务个人信息保护的法律责任刑法侵犯公民个人信息罪侵犯通信自由犯罪侵犯通信自由罪私自开拆、隐匿、毁弃邮件、电报罪网络犯罪非法获取计算机信息系统数据罪拒不履行信息网络安全管理义务罪 9 （ 1） 民法 2021 年 1 月 1 日起施行的民法典专章规定了“隐私权和个人信息保护”，具体内容有：明确“个人信息”的定义和范围，确立个人信息处理的基本原则，确立自然人对其个人信息的查阅、复制、删除等权利，要求信息处理者采取技术措施和其他必要措施以确保其收集、存储的个人信息安全。 此外，民法典侵权责任编中的一般侵权责任、网络侵权责任以及医疗损害责任等条款，也适用于个人信息保护。个人可以通过向法院提起侵权之诉，以救济自己的权利。 （ 2） 行政法 行政法从行政监管的角度，对个人信息的利用和保护须遵循的规范以法律的形式确认下来。 2017 年 6 月实施 的网络安全法中，第 41-45 条明确了网络运营者收集使用个人信息的原则、个人信息保护义务、违反个人信息保护的法律责任等内容，为个人信息保护创设了法律基础。 2013 年 10 月修改的消费者权益保护法中规定了消费者“享有个人信息依法得到保护的权利”，在增加的个人信息保护条款中规定了经营者收集和使用个人信息的原则、经营者的个人信息保护义务及经营者侵害个人信息的法律责任。 2021 年 11 月 1 日起正式施行的中华人民共和国个人信息 10 保护法（以下简称“个保法”）是我国个人信息处理须遵守的基本法律。个保法明确 了“个人信息”定义、以“告知同意”为核心的个人信息处理规则、个人在信息处理活动中的权利、个人信息处理者的保护义务、个人信息保护的法律责任，在个人信息安全及隐私保护上对银行等征信机构提出了更高的要求。 在行政法的这一法律部门下，除了法律之外，还有众多的部门规章、部门规范性文件等作出个人信息保护方面的规范。相关的部门工作文件、行业标准等，虽不是强制性规范，却也对具体问题的处理作出了指引。 在金融领域，中国人民银行制定了一系列部门规范性文件规范以确保个人信息保护，这些文件的内容包括技术规范与法律规范。其中，部门规 章中国人民银行金融消费者权益保护实施办法（ 以下简称 “办法”）中专章规定了“消费者金融信息保护”，规定了消费者金融信息的“处理”的定义、处理需经明示同意规则、使用不得超出约定范围等规则，这些规则基本上是网络安全法信息安全技术 个人信息保护规范中的个人信息保护规则在金融消费者权益保护领域的具体化。中国人民银行发布的行业推荐标准个人金融信息保护技术规范（ 以下简称 “规范”）规定了广泛适用于金融业机构的个人金融信息在收集、传输、存储、使用、删除、销毁等生命周期各环节的安全防护要求，及安全技术和 安全管理方面的规范性要求；规范 11 还将个人金融信 息按敏感程度从高到低分为 C3、 C2、 C1 三类 2，并对不同级的个人金融信息的保护提出了不同的要求。 （ 3） 刑法 刑法第二百五十三条之一规定了侵犯公民个人信息罪，对违反国家有关规定，向他人出售或者提供公民个人信息，窃取或者以其他方法非法获取公民个人信息，情节严重的，追究刑事责任。该罪的犯罪主体包括自然人和单位。 此外，刑法中还有一些罪名虽非专门为保护个人信息而设，但也可用于规制某些侵犯公民个人信息的行为。如：侵犯通信自由罪；私自开拆、隐匿、毁弃邮件、电报罪；非法获取计算机信息系统数据罪；拒不履行信息网络安全管理义务罪等。 3.关于企业商业秘密保护的法律框架 一项信息构成商业秘密，必须同时具备以下全部构成要件：（ 1）不为公众所知悉；（ 2）能为权利人带来经济利益；（ 3）具有实用性；（ 4）采取保密措施。 3 2 C3 类主要是用户鉴别信息； C2 类主要是可识别特定个人金融信息主体身份与金融状况的个人金融信息，以及用于金融产品与服务的关键信息； C1 类主要是机构内部的信息资产，主要指供金融业机构内部使用的个人金融信息。 3 反不正当竞争法第 9 条第 4 款。 12 对于商业秘密的保护，也存在民事、行政、刑事三个层次的法律规范，如图 2 所示： 图 2. 商业秘密保护法律规范 4.关于国家秘密保护的法律框架 国家秘密是关系国家安全和利益，依照法定程序确定，在一定时间内只限一定范围的人员知悉的事项，密级分为绝密、机密、秘密三级，不同密级的确定主体、保密措施、保密期限不同。 4对于国家秘密的保护，法律层面规定于保守国家秘密法刑法中，具体规定见于行政法规保守国家秘密法实施条例、部门规范性文件国家秘密解密暂行办法、机关工作综合规定国家秘密定密管理暂行规定等。 针对金融领域， 原 中国银行业监督管理委员会发布了银行 4 保守国家秘密法第 2 条、第 10 条、第 13 条、第 15 条、第 21 条。 13 业金融机构工作中国家秘密范围的规定（银监发 2009 105号），对银行业金融机构工作中的国家秘密范围作出规定并附相关目录。 值得注意的是，即使单个具体金融数据不是国家秘密，统计形成的统计数据、市场预测等信息也可能成为国家秘密。 二、 数据共享 在金融业应用的问题 在大数据时代，一方面国家要建设数字经济社会，支持数据开放共享、互联互通；另一方面，数据的交叉比对使反推匿名化后的用户信息变得更加容易，因此，数据开放共享带来的隐私泄露问题，也不得不受到重视。构筑用户数据隐私保护和数据安全保护的屏障， 在依法合规前提下 实现数据共享，成为 金融领域 利用 数据的重中之重。 隐私计算 是指 在保护数据本身不对外泄露的前提下实现数据分析计算的技术集合，达到对数据“可用、不可见”的目的；在充分保护数据和隐私安全的前提下，实现数据价值的转化和释放。 隐私计算 实现了 “数据可用不可见，数据不动模型动” 、“数据可算不可识，数据可控可计量”、“不共享数据，而是共享数据价值”。隐私计算本质上是在保护数据隐私的前提下获取数据的价值。 大数据联合国全球工作组（ Big Data UN Global Working 14 Group） 提出， 隐私计算是一类技术方案，在处理和分析计算数据的过程中能保持数据不透明、不泄漏、无法被计算方以及其他非授权方获取。这使得数据所有者可以在不直接共享原始数据的前提下让使用方获得数据计算产生的结果，或者让使用方能从更多来源的数据计算中获得更多更准确的计算结果和数据价值。在整个过程中，原始数据始 终掌握和保留在数据所有者手中，不损害数据所有者的权益，而数据潜在价值却被安全地挖掘出来。 然而，基于隐私计算技术实现隐私保护的数据共享，在实际应用中也面临许多挑战与问题。 （一） 数据要素确权问题 商品交易的前提是明确商品的产权归属，数据要素交易也是一样。然而，数据作为信息时代人们身份标识、生产生活轨迹、资产和交易簿记的对象和信息载体，其信息主体、数据来源、生成过程、法律属性和内容特点千差万别，很难界定其产权归属。 作为公共事务管理和权利救济机构，相关政府部门、司法机关和行业组织也在日常工作中生成和积累了大量的公共数据，这些公共数据很多从生成目的和基本属性上都具有公共属性，一般认为应当公开、共享，但经过处理加工后又可能产生经济利益和商业价值，由此产生了公共数据与数据产品、数据服务之间的产权划分问题。 数据之间的关联性分析、分类汇总后的统计分析、以数据为 15 基础的模型构建和修正，不同视角、不同维度、不同方法、不同路径的数据处理，可以得到不同的有价值的结果。一方的数据加工结果可能是另一方的要素来源，为了生产一个数据结果可能需要从多个方向采购数据要素，类似的分析结果可能采用完全不用的数据、算法和路径。隐私计算虽可以使多源数据应用变得便捷和安全。但随 着 数据要素产业链变得日益庞杂，如何界定数据产业链中不同数据要素、数据中间产品、数据处理服务的产权归属和价值构成，是现有技术无法解决的问题。所以，明确数据要素的产权归属， 清晰划分原始数据、 数据产品和数据服务的价值构成和权益归属，是构建数据要素市场的首要任务和挑战。 在能够识别界定数据处理行为主体的场景下，确认数据要素归属往往比较容易。然而在联邦学习、多方安全计算等场景下，确认隐私保护计算结果的数据产权归属就可能成为一个问题。多方提供原始数据，共同训练同一个模型，获得的算法模型应该如何确认产权归属、划分未来收益？这可能是一个很复杂的商业谈判问题。 另外 ，权利通常与责任紧密关联。对于数据要素享有收益权、处分权的主体，自然需要对数据要素的合规性、清洁性、安全性承担责任。比如，在合法 利用企业用户信息进行纵向联邦计算的场景下，提供数据要素进行模型训练的机构，必须要确保利用相关信息并不违反其与企业用户的相关协议，必须要确保数据安全和真实性。如果企业用户挑战某个联邦学习项目数据处理行为违约或违法，相关数据要素提供方就应当有义务参与相关法 16 律程序，维护其数据处理行为的合法性。 （二） 数据交易定价问题 当前数据要素市场尚未完善，各方机构尤其是金融机构对高质量的数据诉求高，存在数据寡头对数据定价不合理、交易双方存在交易欺诈、交易价格不透明、数据质量难以保证等问题，从而引申出合理定价的必要性。 数据要素不同于其他生产要素，数据要素具有一些独有特性， 例如易复制性、可加工性等。易复制性使数据要素的转移成本几乎为零；可加工性使得数据可以以不同的形态出现（如加工标签指标、算法模型、知识策略等），且加工过程中数据不会被消耗，反而能产生更多数据，这也会衍生出数据重新封装后二次倒卖的风险。这就要求数据要素在定价时需在传统定价方法（如成本法、收益法、市场法等）的基础上，融入数据质量维度、数据应用维度、数据风险维度等影响因素。 数据质量维度 包含完整性、有效性、一致性、唯一性。其中完整性定义数据关键信息不缺失；有效性定义数据准确且无混杂数据；一致性定义数据间可互相验证； 唯一性定义数据主体在业务上的唯一性。 数据应用维度 包含数据规模、数据时效、数据稀缺性。其中数据规模定义数据广度和数据时间长度；数据时效定义数据在业务实际应用中的保质期；数据稀缺性定义数据在市场上独占程度 17 且对特定场景重要。 数据风险维度 包含法律风险、道德风险。其中法律风险定义数据可交易的范围（例如，对数据进行分类分级或去标识化等加工后可合规交易的部分）；道德风险定义了数据交易双方中，其中一方未按约定的行为可能会损害另一方利益的风险（例如数据使用方在双方约定的范围之外对数据进行使用带来的风险）。 数据价值与数据 质量维度、数据应用维度及数据风险维度皆有相关性。数据交易价值主要体现在三方：数据消费方、数据生产方、数据平台方；数据应用价值更多体现在数据消费方；数据成本或预期价值体现在数据生产方；影响数据价值评估的调用量或偏好量一般在平台方或生产方。如何做好各方信息获取的均衡，利用各方自身信息参与到数据定价中，使数据价值更公允，是亟待解决的问题。 在参与数据协作和联合计算时，各参与方对于数据交易的定价存在分歧。在数据定价方面，同样的数据，对于不同的用户，能产生的价值可能不一样，所以针对不同行业、不同用户应采取差异化定价。 但是如何针对同样数据产品具体确定即合理又不同的价格，需要社会各界共同探索。再者，在隐私计算的机制下默认所有参与方都是可信的，无法规避某个参与方恶意提供虚假数据甚至有毒数据，从而对最终的训练模型造成不可逆转的危害。这时候对提供有毒数据的参与方如何索赔或者惩罚，也是需要考虑的问题。 18 （三） 数据交易存证问题 数据要素具有体量大、实时性强、依赖电子介质、易篡改、易丢失等特性，这也使数据要素的流通共享面临存证方面的问题。 传统的存证方式有公证存证、第三方存证、本地存证等，这些方式本质上都是由一方控制存证内容，是中心化 的存证方式。中心化存证下，一旦中心遭受攻击，容易造成数据丢失或被篡改。另外，存证原件也容易被单方修改。中心化的存证方式，原件都是基于当事人的凭证（如用户名、密码）下的行为记录，从而带来了操作风险。这种数据逻辑结构下，当事人对自己数据的删改，会使得数据的真实性和完整性存疑，不能保证相关存证的可靠性。 在传统的数据交易与协作模式下，数据源、数据加工方、数据使用方往往是分离的，数据二次交易没有手段稽核与管控，无法实时校验授权的真实性。授权存证可以被任意篡改，不具备公信力，无法确保数据权属的连续性和可追溯性。由于需 要相应责任认定条款，每个业务方和数据源机构都需要单独签署协议。此外，查询授权记录需要单独开发接口，提高了数据交易存证的审计成本。 （四） 数据交易监管问题 当前我国大数据交易处于快速发展阶段，但由于第三方平台数量较多且平台管理尚未形成统一成熟的机制，以及相关法律法规的缺失，即使是数据交付后也仍会出现当前难以解决的问题。 19 买卖双方对交付的数据质量产生争议以及如何处理该争端，便是其中较为有代表性的例子。该问题具体表现为当数据交易进入交付阶段时，数据购买方可能对数据质量不满意或者认为该数据未能达到理想效果而拒绝交付， 与数据提供方产生交易争端。由于数据产品本身的特殊性，法律制度的不完善，以及技术层面的滞后，当前解决该争端的难度较大。数据质量交易双方无法达成共识，有多方面原因。 首先，数据平台对数据交易方的审核标准参差不齐，部分数据平台供应商的注册门槛较低，材料审核不严（例如仅需提供企业或个人基本信息，对用户资质暂无具体要求），容易导致不良企业在平台上提供低质量的数据，或者出现恶意的数据交易方等现象发生。 其次，数据供应商可能对数据进行夸大或片面宣传，该营销行为可能会误导数据购买者对数据使用效果的期望，增大了争议发生的可能 性。 再者，数据平台本身权责不明而且缺乏完善的监管手段和争端处理机制，当争议发生时平台无法有效地保护交易双方的合法权益，这一漏洞可能会滋生某些不良交易者的恶意交易行为。 最后，数据本身的价值多变性与无成本复制性容易导致交易双方在数据作用上的理解有较大差异，以及交易过程中数据退换等售后服务的难以开展，进一步提升了争议发生后平台处理的难度。 20 （五） 数据交易恶意节点 问题 在数据交易的过程中，各参与方经常会面临着一系列的问题，其中，参与方是否可信是一个关键性问题， 其 关系到数据是否安全、模型是否准确、效果是否真实有效 等，恶意节点的存在将会威胁数据共享的生态安全，对于恶意节点的识别、防范、处理等，均存在一定程度上的困难。 数据交易实质上是对数据价值的共享，而数据的价值的流通离不开隐私计算技术。在隐私计算技术中，根据参与方的可信程度可以建立以下几种安全模型： Real-Ideal Paradigm（理想模型）：在理想模型中，每一个参与方都是可信的，一方将其信息发送给另一方，另一方不会去查看这份信息，只会根据规定计算出结果，并发送给下一方或者所有参与方。 Semi-Honest Security（半诚实模型）：半诚实模型就是参与方会诚实的运行协议，但是他会根据其 他 方的输入或者计算的中间结果来推导额外的信息。 Malicious Security（恶意模型）：恶意模型则可能不会诚实的运行协议，甚至会搞破坏。 在现实世界中，没有绝对的信任的前提下，理性模型是不存在的，多数情况是各参与方之间会基于半诚实模型 ，甚至是恶意模型。恶意节点就存在于上述两个模型中，威胁着正常的业务合 21 作。 1.恶意节点的危害 恶意节点作为隐私计算参与成员，可能通过诸如以下几种方式参与作恶： 下毒攻击：以数据或模型投毒的方式污染或者破坏模型的训练数据或者模型本身，从而达到攻击目的。 拜占庭攻击：拜占庭恶意参与方会随机或者故意改变自己的输出，致使模型无法正常收敛，同时每次迭代可以输出类似的梯度更新结果，使得自己难以被发现。 女巫攻击：攻击方伪装成多个隐私计算参与方节点攻击模型训练过程，导致模型效果显著降低。 2.恶意节点探查难点 参与方如果 作为恶意节点，对其的探查存在以下难点： （ 1） 定义和发现作恶行为 因隐私计算对比传统数据合作最大的不同是原始数据不共享，在不获得原始数据的前提下，如何对参与方的行为予以审查，对隐私计算的结果予以评估，进而发现某参与方的恶意行为和目的，是难以解决的问题。 22 （ 2） 相关的处罚和后期的规避措施 发现恶意节点的违规的行为后，必须配备相关的政策和措施，一方面是针对恶意节点予以惩罚，增加其后续的信任成本；另一方面是针对所发现的违规行为，制定相应场景下的规避方案。 （ 3） 构建隐私计算生态的“恶意节点库” 金融黑名单对行业的风控场景具有重要意义，因此，恶意节点库的构建也具有很强的必要性。通过构建隐私计算的恶意节点库，可以促进隐私计算生态的健康发展，帮助隐私计算技术做到科技向善。 （六） 可信第三方的“权责利” 界定 问题 本文的可信第三方指在数据要素流通（隐私计算）过程中与数据提供方和数据使用方（结果获得方）并行 存在的一方，其一般不提供数据、不应用数据（接收计算结果），对数据本身没有控制权，其可以行使管理、服务、辅助计算等职能。 由于可信第三方的权威和中立地位，其不宜直接承担数据提供方和数据使用方这种和数据流通利益相关的角色。在 实际应用中，通常 难以找到足够公信力的 机构来承担可信第三方的角色。 当可信第三方为隐私计算提供算力时 ，可实时监控数据流，防止数据以明文的形态进行交易流通，对监管需求容易达成。如果可信第三方不承担算力，则需要对外部计算节点的计算过程进 23 行审计，进而实现监管要求。因此，在隐私计算中，如果可信第三方提供了算力，承担了辅助计算的功能，那么该如何对其监管，以及界定其对数据价值流通过程中的“权责利”，也是棘手的问题。 三、 隐私计算技术 与区块链 结合的探索 区块链本质 上具有去中心化、不可篡改、不可伪造等特性 ，可以有效解决无第三方背书情况下的信任问题 。区块链技术 在数字货币、金融交易结算、数字政务、数据服务等其他应用场景同样具有广泛的应用需求。 基于其上述特性，区块链可以对数据从产生到处理、从交易到计算的全生命周期进行记录和存证，保证过程的可验证和可信。进一步来说，区块链技术对隐私保护数据共享中所存在的挑战，例如数据确权、数据定价、交易存证、交易监管以及恶意节点探查等问题提供了技术层面的解决思路。 （一） 区块链技术概述 1.政策与标准 在政策层面， 我国政府已将区块链技术作为战略性前沿技术进行 前瞻 布局。在国务院关于印发 “ 十三五 ” 国家信息化规划的通知国务院办公厅关于积极推进供应链创新与应用的指导 24 意见等政策性文件中多次提到要加强对区块链技术的创新研究及产业引导，鼓励地方政府出台优惠政策推动区块链技术的研究和落地 。 中国人民银行 、国家网信办 等 部门 先后出台了关于防范代币发行融资风险的公告 区块链信息服务管理规定 等文件，为区块链技术的使用和管理等提供 了 有效的法律依据，推动了我国区块链相关领域管理规定的细化落实。 在标准方面， 中国人民银行发布了 区块链技术金融应用 评估规则 金融分布式账本技术安全规范 行业标准 ，规定了在使用区块链技术的技术安全要求及 评估方法，促进区块链技术在金融行业安全稳妥应用 ； 北京金融科技产业联盟、中国信息 通 信研究 院等也发 布了 区块链相关 的团体 标准； 国际上， ISO/TC 307（ 区块链和分布式记账技术委员会 ） 于 2016 年 9 月成立，旨在推动区块链和分布式记账技术领域的国际标准制定等工作 ，目前已发布多项国际标准 。区块链技术相关标准 详见表 1。 表 1 区块链技术的相关标准 时间 机构或组织 标准 2022 年 2 月 中国人民银行 金融分布式账本技术安全规范 2020 年 7 月 中国人民银行 区块链技术金融应用 评估规则 2021 年 4 月 北京金融科技产业联盟 区块链技术金融应用 技术参考架构 2020 年 7 月 中国信息通信研究院 区块链辅助的隐私计算技术工具 -技术要求与测试方法 2019 年 11月 W3C 分布式身份标识（ Decentralized Identifiers ， DIDs）规范的首个公开草 25 案 2020 年 8 月 ITU-T 分布式账本技术平台测试准备(Assessment criteria for distributed ledger technology platforms) 分布式账本系统要求 (Requirements for distributed ledger systems) 2020 年 12月 IEEE 区块链系统的数据格式标准 2021 年 4 月 ITU-T DLT 平台功能测试方法（ Function assessment methods for distributed ledger technology (DLT) platforms） DLT 平台性能测试方法（ Performance assessment methods for distributed ledger technology (DLT) platforms） DLT 互操作技术框架（ Technical framework for DLT interoperability） 2.技术体系 区块链（ Blockchain）最早在 2008 年被提出 ， 本质 上 是一个去中心化的分布式账本（ Distributed Ledger） 技术 。 具体来说， 区块链技术 是采用 块链式数据结构验证与存储数据、 通过 分布式节点共识算法生成和更新数据、利用密码学方式保证数据传输和访问的安全、 并使 用自动化脚本代码组成的智能合约来操作数据的一种全新计算范式。 区块链通常涉及以下基本因素： 交易（ Transaction） ：指使区块链分布式账本状态改变的 26 一次操作，如添加一条记录或者是一笔在两个账户之间的转账操作。 区块（ Block） ：用于记录一段时间内发生的交易和状态结果。区块通常用区块头的哈希值和区块高度来进行标识。 链（ Chain） ：由一个个区块按照发生顺序串联而成，是整个状态变化的日志记录 。 常见的区块 链技术体系如 下图所示，从下往上依次 分为 数据层、网络层、共识层、激励层、合约层、应用层。 数据层 ： 包括了 数据的存储结构、存储方式等，区块链作为节点共享的数据账本，任何分布式节点都可以将一段时间内接收的交易数据记录到区块中，并将该区块添加到区块链中，形成新的区块链 。 网络层 ： 包括了系统的 P2P 分布式组网方式、消息传播协议、数据验证机制以及节点许可接入机制等要素，系统可以根据应用场景的不同需求进行特殊设计 ； 共识层 ：主要作用是使用 共识机制 ， 使各节点在去中心化的区块链网络中能够快速达成一致，维护 共用 的 账本； 激励层 ： 主要 作用是利用数字货币完成区块打包奖 励、交易费用的收取等； 合约层 ： 主要 作用是负责将区块链系统的业务逻辑以代码的形式实现、编译并部署，完成既定规则的条件触发和自动执行，最大限度的减少人工干预 ； 27 应用层： 主要作用是调用智能合约接口，适配区块链的各类应用场景，