中国电子银行网讯7月9日,由中国金融认证中心(CFCA)、中国电子银行联合宣传年主办的“聚合新生态·共享新安全——2021数字化转型生态大会”隆重召开。包括主管部门领导、银行与相关企业高管在内的近500位行业专家齐聚厦门,共商数字化转型中的安全、合作、开放、创新等重要议题。备受瞩目的“CFCA开放生态战略”同期重磅发布。
中国互联网金融协会法规咨询部(研究部)主任肖翔参加了本次大会,并发言。
中国互联网金融协会法规咨询部(研究部)主任 肖翔
肖翔认为,金融数字化转型有“快进键”,但没有“快捷键”。还有一个一个坡要去爬,一条一条河要去趟。他指出,金融数字化转型的一个基础问题是金融数据融合应用的问题。数据是转型发展的燃料,没有数可用或者有数用不了、用不好,数字化转型就是一辆没有动力源(600405,股吧)的车,跑不动,也跑不远。
以下是肖翔的发言实录:
各位领导同事:
大家下午好。很高兴参加本次“数字化转型生态大会”。金融数字化转型是当前业界都在讨论的一个热词。这里给大家分享几个数据。金融科技创新监管工具深入实施,目前已有超过100项金融科技创新应用“入盒”测试或进入公示阶段;金融机构信息技术投入持续提升,2020年,我国银行、证券、保险机构的信息科技总投入分别为2078亿元、263亿元和351亿元,同比增长均超过20%,数据统计口径可能存在差异,但不影响趋势判断。截至2021年5月底,我国第三方应用商店在架应用下载总量达到18575亿次,其中,金融类APP下载总量917亿次,在所有应用类型中位列前十。
这些数据表明,后疫情时代我国金融数字化转型已经按下了“快进键”,这已经是业界一个基本共识。但同时我们也要看到,金融数字化转型有“快进键”,但没有“快捷键”。还有一个一个坡要去爬,一条一条河要去趟。这其中有一个很基础的问题,就是金融数据融合应用的问题。数据是转型发展的燃料,没有数可用或者有数用不了、用不好,数字化转型就是一辆没有动力源的车,跑不动,也跑不远。人民银行科技司李伟司长有个很好的总结。当前金融数据融合应用的过程中,普遍存在的问题是不愿共享、不敢共享、不能共享,导致海量数据(603138,股吧)散落在众多机构和信息系统中,形成一个个“信息孤岛”和“数据烟囱”,无法充分发挥数据要素的经济社会价值。
一是不愿共享。很多金融机构都将数据作为战略性资源,认为拥有数据就拥有客户资源和市场竞争力,主观上不愿意共享数据;金融机构内部也存在数据权属分割,数据所有权和事权密切相关,各部门宁愿将数据“束之高阁”,也不轻易拿出来共享。
二是不敢共享。部分金融数据具有一定敏感性,涉及用户个人隐私、商业秘密甚至国家安全,数据共享可能存在法律合规风险,客观上给机构间共享数据带来障碍。
三是不能共享。由于各机构数据接口不统一,不同机构的数据难以互联互通,严重阻碍数据开放共享,导致数据资产相互割裂、自成体系。
因此,如何依法合规地让金融数据愿共享、敢共享、能共享,既能实现数据共享和融合应用,又不降低数据安全保护水平,把数据应用曲线向右上角移动,实现更高平衡。这是一个关键问题,也是一个重要机会。可喜的是,多方安全计算、联邦学习等各类隐私增强技术的出现,为解决上述问题提供了解决方案。
从技术原理看,多方安全计算可实现多个参与方协同计算一个以各自数据密文作为输入的指定函数,在一方甚至多方被攻击的情况下,仍能保证输入不被意外泄露,并且保证计算结果的正确性和隐私安全,从而实现数据“可用而不可见”。
联邦学习是一种机器学习模式,允许多个参与方协作解决特定的机器学习问题。在此过程中,每个参与方的原始数据存储在本地,不进行交换或传输,取而代之的是交换有限的中间结果,用于进行必需的聚合以实现既定目标。
数据脱敏是在数据从原始环境向目标环境交换涉及敏感数据的过程中,通过一定的规则对数据进行变形、屏蔽或仿真处理,消除其在原始环境中的敏感信息,并保留目标环境所需的数据特征或内容的数据处理技术。
差分隐私的实现方式主要是添加各种形式的噪声,如拉普拉斯噪声和指数噪声等。但是加入噪声会导致运算结果准确度下降,且随着运算次数的增加,不同数据集的差别会越来越显著,从而增加隐私泄露的风险,同时降低结果的可信程度。
可信计算是一项由可信计算组织(TCG)推动和开发的,通过硬件增强和软件配套提高计算机系统整体安全性的技术和方案的统称。其中,Intel SGX和ARM Trust Zone的可信执行环境(TEE)较为具有代表性。
从应用场景看,按照保密性、可控性、准确性、高效性、通用性对技术特性进行比较分析,多方安全计算具有高保密性、高可控性、高准确性和高通用性等优点,但其计算消耗比较大,比较适合用于数据量适中但保密性要求较高的重要数据应用场景。联邦学习由于其中保密性和中通用性,比较适合在企业联合分散在用户终端的数据进行与需求相关的模型训练,如推荐模型。数据脱敏具有计算高效性、中保密性和低可控性,推荐在数据量较大、泄露后风险或影响较小的场景中应用。差分隐私具有计算高效性和结果低准确性,推荐在统计分析场景中应用,不适合需要精准结果的场景。可信计算由于其对应用程序运行过程高度掌控,非常适合用于限制数据资产使用的场景,如数字版权保护、移动支付等,也可以作为其他技术的隐私增强技术。当然,需要注意的是,各种技术都有自身的优势与不足,其使用并非相互排斥,而应科学组合、扬长避短。
从行业实践看,基于多方安全计算、联邦学习等技术的数据融合解决方案在合格投资者认定、风险建模、监管科技等领域已有初步探索,尽管尚未形成规模化应用,但具有广阔的市场需求和应用前景。在目前已纳入人民银行金融科技创新监管工具的创新项目中,已有多个涉及小微企业融资、涉农信贷、跨境结算等场景的项目应用了多方安全计算、联邦学习等技术。
从政策环境看,顶层设计方面,人民银行金融科技发展规划明确提出,打通金融业数据融合应用通道,破除不同金融业态的数据壁垒,化解信息孤岛,制定数据融合应用标准规范,发挥金融大数据的集聚和增值作用,推动形成金融业数据融合应用新格局。
规制思路方面,现有相关制度规定既肯定数据融合应用在促进普惠金融发展和金融科技创新等方面发挥的积极作用,同时也强调必须坚持依法合规、安全可控的原则,不能因开展数据融合应用而突破现有法律法规与监管规则。
标准规则方面,人民银行发布《个人金融信息保护技术规范》《金融数据安全 数据安全分级指南》等基础通用标准以及《多方安全计算金融应用技术规范》《多方安全计算金融应用评估规范》等技术应用标准,为金融数据融合应用奠定了坚实的标准基础。
综上所述,金融数据融合应用有着广阔的前景,但也面临一些现实挑战。
一是从业机构数据治理能力有待进一步提高。以商业银行为例,协会联合新华社瞭望智库开展的商业银行数字化转型调研显示,调研银行在数据治理方面的总体得分仅为3.03分(满分为5分),特别是中小银行得分仅为2.80分。其中,数据质量有待规范和提高(机构占比为71%,下同)、数据价值挖掘能力欠缺(59%)、传统数据孤岛(55%)等问题是其现阶段面临的重要挑战。
二是对技术安全性的认识需要深化。虽然多方安全计算、联邦学习等支撑技术在促进金融数据融合应用方面具有很大潜力,但作为新事物,此类技术的市场接受度尚有待提升。特别是在强监管的形势下,各方仍需进一步加深认识、增强互信,完善风险管理措施,确保技术在风险可控前提下得到合理应用。
三是相关制度规范的针对性有待进一步加强。当前,我国在金融数据融合应用方面已有较好的法制基础。许多法律法规和行业标准中都有关于数据安全保护和融合应用的规定,但不同规定对安全保护和融合应用的侧重程度存在一定差异,在制度规范的统筹和统一方面仍待加强。
四是跨行业跨领域协调难度依然较大。金融数据融合应用涉及银证保等不同细分行业以及工商、税务、海关、电力、医疗等不同领域的数据,面临兼顾不同行业和领域数据管理差异性的挑战。有关管理部门需进一步增强数据管理规定的协调性,促进数据跨行业跨领域安全合规融合应用。
五是市场经营环境有待持续优化。近年来,部分从业机构通过违规留存、购买、出售数据不当牟利,间接增大了守法合规机构的竞争压力和生存压力,甚至导致逆向淘汰。因此,仍需进一步加大对违法违规用数行为的打击惩处力度,推动行业经营环境持续净化。
结合上述机遇与挑战,提出以下几个方面的对策建议。
制度规范方面,建议在《网络安全法》《数据安全法》以及正推进出台的《个人信息保护法》等法律制度框架下,进一步明确同意形式、免责规定等金融数据要素融合关键节点的规则要求,加强对金融机构、金融科技公司等数据使用方行为的约束。
科学监管方面,加强监管政策的统筹协调,出台实施用户授权、最小够用、专事专用、全程防护等重要原则指引。加大对侵犯个人隐私、违规采集数据、非法数据买卖等危害金融消费者权益的行为的惩处及披露力度。优先支持普惠金融、绿色金融、科创金融等领域的金融数据要素融合应用创新纳入金融科技创新监管工具,适时出台金融数据要素融合应用相关监管规则。
行业自律方面,金融领域行业协会应在金融管理部门指导下,促进政产学研用深入交流,加强数据要素融合方面的信息和能力共享。应行业共性需求牵头搭建金融数据要素融合应用基础平台,推进数据格式、数据授权协议、数据要素融合支撑技术金融应用等标准规范研制。
市场实践方面,从业机构应严格遵守法律法规和监管规则,不违规采集、违规留存、泄露客户数据,选择权威可信数据源开展融合应用创新。坚持需求和问题导向,夯实数据治理基础,加强多方安全计算、联邦学习等技术的安全合规应用。
公众参与方面,鼓励和引导广大金融消费者进一步提升个人数字金融素养,增强数据风险意识和自我保护的能力,选择已在有关管理部门、行业自律组织完成准入或备案程序的正规渠道获取金融服务,支持正规机构在依法合规办理金融业务过程中开展必要的数据采集活动。
以上就是我对隐私增强技术和金融数据融合应用的一些思考。不当之处还请大家批评指正。谢谢大家。
(曹言言 HA008)