微眾銀行區塊鏈安全科學家嚴強：嚴守隱私資料紅線，業務創新合規有招

3月24日， “鏈客Talk”有幸邀請到微眾銀行區塊鏈安全科學家嚴強博士作客鏈客直播間。和大家一起探討“嚴守隱私資料紅線，業務創新合規有招”這一話題。

關於微眾銀行區塊鏈：

微眾銀行是由騰訊、百業源和立業等多家知名企業發起設立的國內首家民營銀行。堅持科技立行、科技興行的發展之路，致力於推進科技創新，自成立之初就在國內率先建成完全安全可控、可支撐億量級客戶和高併發交易的銀行核心系統。

作為國內較早開展區塊鏈研究的金融機構，微眾銀行從2015年開始就率先在區塊鏈領域開展聯盟鏈技術研究和應用實踐，微眾銀行聯合金鍊盟開源工作組研發的FISCO BCOS區塊鏈底層平臺於2017年全面開源，目前，FISCO BCOS開源社羣已發展成全國最大、最活躍的國產開源聯盟鏈生態圈。此外， 微眾銀行還積極參與區塊鏈標準制定，將區塊鏈技術在政務、版權、司法、金融、供應鏈、智慧城市等諸多領域落地應用。此外，微眾銀行還自主研發並開源了區塊鏈中介軟體平臺WeBASE、實體身份標識與可信資料解決方案WeIdentity、分散式事件驅動架構WeEvent、區塊鏈跨鏈協作平臺WeCross等。

2020年1月，微眾銀行區塊鏈團隊釋出《WeDPR方案白皮書》，依託區塊鏈等分散式可信智慧賬本技術，融合密碼演算法、隱私保護演算法、安全多方計算等專業領域前沿成果，提出了一種即時可用場景式隱私保護高效解決方案。

嚴強：

○SMU資訊保安方向博士，資訊保安頂級國際學術會議最佳論文獎獲得者；

○ 曾作為Google隱私保護基礎技術架構部門唯一來自中國的早期核心成員，領導研發的技術方案在Android和Google Play生態各大門戶產品中全面整合投產。

以下是AMA活動內容：

主持人：近年來，以歐盟《通用資料保護方案》（簡稱GDPR）為代表，世界各國政府對於隱私的立法保護在不斷細化，懲罰力度也持續加強。本月初，2020年新版國家標準《資訊保安技術 個人資訊保安規範》的正式釋出，引發了行業新一輪熱烈討論。新標準有哪些變化值得我們重點關注呢？

嚴強：謝謝主持人。這項國家標準的推出，從技術標準角度支撐了《網路安全法》，就個人隱私安全而言，意味著在國家層面得到了越來越細粒度的保護。

這個規範有幾個變化值得我們細細研究：

1、對個人資訊收集、儲存、使用做出了明確規定，並規定了個人資訊主體具有查詢、更正、刪除、撤回授權、登出賬戶、獲取個人資訊副本等權力；

2、對生物識別資訊（包括面部特徵、指紋、虹膜等）的收集和儲存均提出了更嚴格和細緻的要求：在收集環節要求“單獨告知”，獲取使用者的“明示同意”；

在儲存環節要求將生物識別資訊和個人身份資訊分開儲存，僅儲存摘要資訊或完成認證功能後刪除原始影象。

對於隱私保護，國內外都有不同的判罰標準，這裡我們也梳理了一些國內外的判罰依據供大家參考。

主持人：越來越細粒度的隱私監管對小助手這樣的普羅大眾來說，無疑是喜事一樁。那對於以資料驅動業務創新的企業來說，如何讓業務創新有效地滿足隱私合規的嚴格要求？

嚴強：由於企業發展階段、區域市場法律法規存在差異，所以，在探討有效應對隱私風險之前，首要任務是要明確隱私合規的目標。

不知道在座各位有沒有同感，伴隨著立法的細化深入，近年來，關於「什麼資料才算是隱私資料」的爭議在不斷減少。

儘管每個區域法律法規對於隱私資料的定義不盡相同，但都提供了具體的型別定義和敏感性分級，例如，位於最高敏感級的KYC身份資料、金融資料等。

這樣的好處在於，可以使得我們現在能夠避免以往權利邊界不清的問題，從而明晰隱私合規的目標。

對於在某一區域開展的業務，隱私合規的目標可以歸結為：

保護當前區域市場法律法規中定義的隱私資料，並在產品設計中提供相應的特性，以此保障客戶的法定權利。

主持人：怎麼解讀企業隱私合規要達成的目標？

嚴強：簡單來說，我們可以從中提煉出下面兩組關鍵詞：

① 資料內容保護；

② 資料權利保障。

這兩組關鍵詞也代表了隱私合規的兩條主線，圍繞這兩條主線，我們可以梳理出九個維度來識別隱私合規風險。

這九個維度的合規需求猶如隱私合規的九重關卡。對於普通企業而言，重點關注最基本的維度便可滿足合規需求。

但對於處於強監管行業中的企業，如金融科技公司，或者運營跨國資訊業務的企業，如線上社交網路、跨境電商等，則可能需要滿足所有維度的合規需求。

主持人：能否具體解釋一下您所提到的九個維度的合規需求以及其具體的技術實現手段？

嚴強：好的，現在來逐個解釋下每個維度的具體合規需求和涉及的相關技術。

第一維度：介面資料隱匿；

在使用者介面中隱匿資料，使得客戶在使用產品時，其隱私資料無法被附近位置的惡意第三方所窺視。

作為資料內容保護合規中最容易滿足的一個需求，直接的介面渲染操作，如簡單的顯示打碼、資料截斷等都是有效的技術手段。

然而，它往往也是最容易因為忽視而出現隱私事故的一個維度。尤其是在多個敏感資料欄位同時顯示的前提下，若隱匿技術使用不當，可能等同於沒有任何隱匿效果。

主持人：打斷一下，我們經常見到的隱藏賬戶餘額功能是不是屬於這一維度？還有手機號打碼，身份證打碼類似的功能。

嚴強：是的，既然說到身份證打碼，特別想提一下的是，常規打碼方式非常容易形同虛設。

我們可以看一下這裡的錯誤範例。

這裡把總共18位數字的身份證號碼，隱藏了前14位，第一感覺似乎是已經很私密了。

但如果能獲得其他附加資訊，我們很容易就能恢復出被隱藏的數字。

尤其是對於公眾人物，或者由於之前資料失竊事件導致個人資訊洩露的使用者，找到這些資訊並不困難。

同時，顯示最後幾位數字，也提供了額外的資訊，比如可以根據倒數第二位是不是奇數來判斷使用者的性別。

最後一點提示是，以往代辦開戶時，常常會將預設密碼設定為身份證號碼的後6位，也是有一定風險的。

主持人：那假定我們已經做好了完全的介面資料隱匿，那我們下一步需要做什麼呢？

嚴強：OK，那就得看下一個維度的合規需求了。

第二維度：網路資料隱匿；

在網路維度上隱匿資料，使得隱私資料在傳輸過程中，無法被惡意第三方截獲明文。

經典的傳輸層安全TLS/SSL系列協議，都可以滿足這一需求。

但需要注意，以上這類協議的安全性，依賴數字證書服務的正常執行，一旦該服務受到攻擊，可能會導致證書造假、證書過期等，最終影響到現有業務的安全性和可用性。

切切不能認為只要使用了TLS/SSL，資料傳輸就是絕對隱匿的，正確檢查證書的有效性非常重要。

有不少頂級學術會議的論文，也在討論這個現實問題。設計正確，並不代表工程實現也正確，最後很有可能就會出現意外的隱私事故。

第三維度是更有挑戰的合規需求。

第三維度：域內計算資料隱匿；

在同一個計算域內，如由企業完全掌控和部署的雲端計算環境，任何隱私資料的明文，在計算和儲存過程中，都不離開安全隔離環境，防止企業存在內鬼進行未授權的隱私資料訪問。

隱私資料只有在安全隔離計算環境中，才會被解密成明文，在安全隔離計算環境之外，只能進行密文運算，並以密文形式儲存在介質中。這裡需要用到可信硬體或者軟體隔離來構建安全隔離計算環境，它們分別依賴不同的安全假設，需要根據業務的特性來進行選擇。

主持人：企業內部通常會有很多合作，資料互動在所難免，如何才能達成這一維度的合規目標呢？

嚴強：企業內部人員風險一般可能有三類起因：

第一類是內部人員的電腦裝置被外部的攻擊者控制，成為實施侵入的肉雞；

第二類是內部人員本身有惡意的企圖；

第三類是內部人員操作失誤。

無論是哪一種，我們都可以藉助技術手段在最小化甚至預防對應的風險。這裡的關鍵在於最對域內的人員進行最小化賦權，並使用以上提到的資料隔離方案，杜絕內部人員在規定的流程之外對隱私資料進行操作，導致不必要的隱私風險。

主持人：明白了，基於資料隔離和訪問控制的資料流程相關的基礎設施建設，對於保障企業內部資料隱私至關重要。那大家一直熱議的密碼學技術在隱私保護中能起到什麼樣的作用嗎？

嚴強：好問題。隱私保護的合規需求本身涵蓋的範疇很廣，密碼學是其中非常重要的核心技術領域之一，但它並不是唯一需要了解的核心技術。

根據不同的場景需求，我們需要選用不同的技術，具體就來看看下一個維度的合規需求，剛才提到密碼學技術就在這裡可以用上。

第四維度：跨域計算資料隱匿；

隱私資料的明文只在同一個計算域內出現，在與其他計算域進行聯合計算時，其他計算域的控制方無法直接訪問或間接推測出隱私資料的明文，防止其他合作方獲得合作協議授權之外的敏感隱私資料。

作為資料內容保護合規中最具挑戰性的需求，其對於以醫療資料、金融資料等高度敏感資料業務尤為重要。如果無法滿足合規要求，通常意味著業務無法開展或者面臨鉅額罰金。而且可能會出現雙向判罰，即企業不僅會因為自身方案漏洞導致隱私資料洩露而受罰，還會因利用合作方企業的方案漏洞違規獲取未授權的敏感隱私資料而受罰。

這一維度可採用的通用技術方案包括資料脫敏、安全多方計算、資料外包計算、零知識證明等。在涉及機器學習的特定場景下，聯邦計算等新興技術可以提供更為有效的方案效果。

具體對哪一類需求，選用哪一類技術，可以參考下方的決策圖。

資料內容保護合規之後，我們可以看看資料權利控制，也就是第五維度進入的內容。

第五維度：資料訪問通告；

資料訪問通告是指，讓客戶瞭解當前業務會收集哪些隱私資料、為什麼需要這些資料、將會如何使用這些資料、將以什麼方式儲存這些資料、儲存期多久等隱私資料流通生命週期的細節。作為資料權利保障合規中最基礎的需求，它保障了客戶的知情權。

滿足該需求的難點在於，如何讓客戶理解晦澀的技術語言、理解相關隱私風險的後果，避免相關監管機構以混淆客戶理解為由，判定企業違規。

進行使用者體驗和人機互動技術的研究，是處理好這一需求的關鍵。

不同背景的人員，對同一問題的關注點是不同。

開發人員可能更在意語言表達是不是機器可讀，編譯能不能過，單元測試、功能測試正不正確？

設計人員可能更在意語言表達是不是滿足業務需求，是否提供了足夠的技術細節，讓開發人員能夠順利的實施？

客戶很大概率對以上兩類人員關注的事項一點都不關心，他們更想知道能獲得什麼權益，伴隨著什麼風險？

顯然我們需要使用不同語言表達和客戶進行溝通，向客戶明示權益和風險。

主持人：如果我們已經盡力溝通了，但客戶還是不理解，我們該怎麼辦？

嚴強：問得好。為了應對這個情況，近年來業界比較推崇的技術是，適度採用基於機器學習技術進行自動風險匹配，簡化客戶理解成本，幫助其更理性地評估對應業務的潛在風險。

下面繼續第六維度的內容。

第六維度：資料收集控制；

資料收集控制是指，允許客戶選擇哪些隱私資料會被業務系統所收集，並在初始選擇之後，允許對未來的資料收集選擇進行調整。由於資料收集作為隱私資料流通生命週期的起始點，該需求能夠賦予客戶對於自身隱私資料流通的全域性控制權。

對於客戶不願意分享的隱私資料，在資料收集控制機制的作用下，無法以未授權的方式進入業務系統，以此營造客戶的心理安全感。傳統的訪問控制技術可以很好地實現這一需求，但若原系統架構設計擴充套件性不佳，相關歷史系統改造將是一項巨大的工程挑戰。

主持人：對於第六個維度，比較好奇，如果使用者停止授權企業收集隱私資料，原有的業務模式，會不會受到衝擊？

嚴強：這是顯然的。業務模式衝擊是一方面，相關的技術架構升級成本可能更值得關注。

眾所周知，計算機系統是一個極其嚴謹的系統，如果原先系統設計對隱私資料的耦合度很高，突然把隱私資料這個關鍵輸入移除，可能整體系統都會停止工作。

因為隱私合規產生的業務模式衝擊一定是全行業的，如果哪個企業能夠更快地調整升級自身的業務系統實現技術合規，實際上也能為企業自身搶佔市場先機。

主持人：這讓我想起了歐盟GDPR對資訊行業的影響，只有在技術合規方面有足夠積累的企業，才能安全地進入歐盟市場。

嚴強：比起剛才的資料收集控制，更有挑戰的是下一個維度的合規需求。

第七維度：資料使用控制

資料使用控制是指，允許客戶對於特定的業務系統中使用隱私資料的方式進行調整或限制。

原先是GDPR特有的合規需求之一，稱之為限制處理權，最新版的《資訊保安技術 個人資訊保安規範》中也有相關規定，僅對部分業務型別有效。目前主要針對線上廣告投放相關的個性化推薦業務，設立的初衷是避免過於個性化推薦引發的個人隱私空間強烈侵入感。

鑑於GDPR鉅額罰款機制，這對於相關業務在注重個人隱私的區域的穩健發展十分重要。有效應對該項需求的關鍵，在於企業能否在系統架構設計早期，為相關隱私資料變動預留空間，減少後期系統改造的代價。

主持人：普遍認為隱私資料是企業的核心競爭力。這種認知下，相比停止收集隱私資料，這個停止使用資料的合規需求，聽起來似乎就是自廢武功？

嚴強：也不能這麼理解。在法理上資料的權利是屬於使用者的。企業為使用者提供服務，並基於使用者的隱私資料，發掘出更大的價值的前提是，尊重使用者的意願。

實際上和上一個維度的合規需求類似，精細化的隱私保護法律法規的陸續釋出會重整市場的秩序，長遠來看希望能建立起更健康的市場環境，以及可持續發展的行業生態。

這個變革過程是不可避免的，作為企業來說，最好的選擇是積極參與到隱私合規的準備中來，在條件允許的前提下，儘早完成對應技術投入和戰略佈局，才能更好地適應市場環境的變遷。

第八維度：衍生資料控制

衍生資料使用控制是指，允許客戶對其原始隱私資料在經過變換、聚合後產生的衍生資料有一定的控制權。

這也是GDPR特有的合規需求之一，目前主要表現在兩方面：

1）資料被遺忘權：在客戶刪除賬戶之後，清理對應個體歷史資料和包含該客戶的聚合資料；

2）資料攜帶權：客戶有離開當前業務平臺的意向，打包提取之前所有的相關歷史資料，如電子郵件、評論留言、雲主機資料等。

該項需求的實現，通常也面臨著高昂的系統改造代價。建議企業在系統架構設計早期，務必考慮完備的隱私資料溯源機制，為後期改造減少合規成本。

主持人：看到這裡，感覺隱私合規已經不是單純一個兩個技術方案能夠解決的問題了，對於有合規需求的相關行業，整個資訊化系統的體系架構和資料治理，都需要充分考慮隱私合規的需求。

嚴強：這個理解非常正確。剛釋出的新版《資訊保安技術個人資訊保安規範》中也提到了“個人資訊保安工程”的概念，有興趣的讀者可以進一步瞭解一下。

關於衍生資料的範疇，可以參考下圖，其中還包括了大家可能比較關心的機器學習模型。

主持人：談到機器學習，各式各樣的人工智慧系統確實對我們日常生活帶來了很多的便利。但也會擔心，會不會整個人類社會最終都被AI所控制了呢？

嚴強：在隱私保護領域確實有一個相關的合規需求，保障人類不被AI歧視。

第九維度：資料影響力複議

資料影響力複議是指，允許客戶對基於其隱私資料產生的業務決策進行復議，由此更正自動化決策系統可能做出的不公平判斷，消除資料歧視等負面影響。

這可能是權利資料保障合規中最具挑戰性的需求，其關注點在於資料驅動決策系統設計的可解釋性，並限制難以解釋的機器學習模型在民生、醫療等關鍵領域的應用。這就要求企業在研發自動化決策系統設計時，研發具備較高解釋能力的決策模型，或者提供備選技術方案，減少誤判導致的合規成本。

主持人：也就說，無論AI做出了什麼決策，在隱私合規的框架下，總是要準備一條人工介入途徑，以防萬一，可以進行必要的複核和糾正。新版《資訊保安技術個人資訊保安規範》好像也提到了相關內容。

嚴強：是的，以尊重人性為核心目標的隱私保護，終極保護手段還是靠人類自己。

但值得強調的是，面對海量異質的隱私資料，運用合適的技術手段可以大大提高隱私保護的效率，切實減少企業實施保障的成本。

主持人：非常感謝嚴博士給我們大家帶來的精彩分享！