其他
苏州银行李伟:银行数字化转型中的隐私计算
The following article is from 银行家杂志 Author 李伟
在人们享受大数据便利的同时,个人隐私的安全性也同样面临挑战。随着大数据的不断发展,传统的数据隐私保护技术已经难以规避数据计算环节存在的安全隐患,数据信息泄露问题越发凸显。我国的《网络安全法》《数据安全法》和《个人信息保护法》等一系列的法规陆续制定出台,无疑宣告了肆意利用个人隐私数据盈利的商业行为将难以为继。对于银行业金融机构而言,必然需要严格遵守相关法律法规,积极面对数据隐私问题,建立数据安全的策略与标准,保护客户隐私,合法合规使用和应用数据,保障数据安全。
隐私计算技术发展现状
隐私计算的定义可以概括为在不传递原始数据或保护原始数据的前提下,实现数据的分析、计算、应用的一类技术集合或体系。不难看出,这并不是一项具体的算法或者软硬件技术,而是综合性的系统方案,这些方案的最终目标都是在实现对数据隐私保护的前提下,如何发挥数据的价值。隐私计算相关技术目前处于初期阶段,根据预测,可能还需要5~10年才能达到非常成熟与可用的技术状态。 银行业隐私计算应用现状。随着《数据安全法》和《个人信息保护法》步入实施阶段,对银行的数据安全提出了更高的要求。目前,各银行高度关注隐私计算技术,以期破解数据利用与安全保护难题。特别是随着多方安全计算金融应用技术规范、金融业数据能力建设指引、金融数据综合应用试点等一系列政策标准不断出台,各银行都开始围绕客户营销、风险管理、监管合规等领域开展隐私计算应用实践,以求在隐私计算的竞争中占得先机。 打造银行业数据要素流通新方式。在强监管要求下,金融业传统的数据流通方式难以为继。例如,传统的数据包及API模式,面临着多重数据泄露的风险。此外,由于信息安全和隐私保护问题,提供给银行的数据源是标准框架的信息或筛选后的数据,并非银行所需要的数据信息,难以满足银行真正的数据需求。 2022年1月,中国人民银行印发《金融科技(FinTech)发展规划(2022-2025年)》,提出“全面加强数据能力建设,在保障安全和隐私前提下推动数据有序共享与综合应用,充分激活数据要素潜能,有力提升金融服务质效”。利用隐私计算技术,可以实现在数据不出私域的情况下,有效实现数据隐私保护和价值挖掘。 隐私计算赋能银行数字化转型。在银行的传统风控和营销模型中,客户数据安全保护采用的是子模型加上总模型的智能决策建模方法,从而减少了原始信息泄露。而据艾瑞咨询报告,约30%的金融机构已经开始隐私计算的POC或实践,约61.5%的金融机构,计划在2022年开启隐私计算的实践。通过隐私计算技术,银行可以接入多方数据,数据模型更加真实、全面,实现从新客营销、存客经营、反欺诈、风险监控、资产定价等方面形成全周期客户管理,模型效果显著提升。
隐私计算对银行的影响
强监管下,隐私计算成为业务转型刚需。在数据安全及个人信息保护方面,中国目前已经形成了包括民法、刑法及单行法在内的法律框架体系。同时,国内不断颁发的各类数据治理政策也成为隐私计算市场发展的助推器。一方面使得对个人隐私的保护成为持续稳定的市场需求,而非短暂的应对监管的行动;另一方面使得对数据价值的充分应用和挖掘的行为受到正面肯定。客观上,数据价值挖掘和个人隐私保护成为必须并行兼顾的社会目标,这使得隐私计算成为现实中的刚需。 利用数据资源,提高银行运营效率。受制于自身数据单一等问题,银行迫切需要开展跨行业、跨机构等多方数据融合。隐私计算的应用将极大提高银行在风险管理和营销推广方面的效率。在风险管理方面,隐私计算可以有效地将银行内外部的数据进行联合,在保护客户数据安全的基础上,更加清晰地描绘出客户画像,有效识别客户风险等级,减少信用风险、欺诈风险、反洗钱风险等问题,在客户营销方面,更加精准的客户画像,使得客户的分层定价更加精准,精准营销也将得到大力发展。 新的技术带来新的业务机遇。由于数据的掣肘,银行在与平台合作的时候,往往受制于人,限制了银行资产业务的发展。在隐私计算大力发展的今天,在合规安全的前提下,银行可以和移动运营商、政务平台等多方展开数据合作,打破数据壁垒,在激烈的竞争中取得优势。
隐私计算的案例实践
通过隐私计算技术(其中加密传输方式包含秘密分享、同态加密等),可以保证银行数据安全,确保双方数据可用不可见,在数据隐私合规的前提下,实现数据联合使用,解决数据孤岛问题。 以实践案例举例来说,银行与移动运营商围绕信用类消费贷款及收入预测模型两个场景开展建模。建模使用的是纵向联邦的方式,样本及Y标签全部由银行提供,X变量全部由运营商提供,其中包括上网行为、App使用情况等特征。先是在行内环境搭建联邦学习平台,通过行方用户上传行方样本及Y标签数据,在联邦学习平台内与运营商数据进行对接并撞库,数据覆盖度达80%左右。通过两方撞库匹配数据,在联邦学习平台内使用平台封装好的算法包进行可视化拖拉拽建模。 通过验证,在信用类消费贷款及收入预测模型两个场景中,隐私计算均取得了良好的效果,形成了有效的模型测算。
隐私计算应用的挑战
行业技术标准缺失。目前,由于隐私计算相关的技术仍然处于高速发展阶段,全新的算法和应用如雨后春笋般不断涌现,隐私计算在不断向更安全、更高效的方向进化着。但是,这也造成了国内外在隐私技术和行业标准方面存在一定程度的空白,缺乏权威性的规范和认证机构,如何评估某项技术方案是否完全符合法律法规的要求,未来是否存在潜在的技术风险,是隐私计算应用落地过程中合规的痛点之一,也在很大程度上影响了银行应用隐私计算共享、输出数据的积极性。 不同技术方案的兼容性成为隐忧。当前,隐私计算成为热门,较多互联网公司进入该行业,但这些开发平台多为异构闭源平台,技术原理的巨大差异导致跨平台无法进行互联互通。对银行来说,各平台无法互联互通,将增加系统的重复建设费用和运维成本,同时,为了扩充数据而不断接入合作平台,也会对行内的系统安全监管带来巨大挑战。 数据联盟迫在眉睫。隐私计算应用的本质是数据要素的流动,脱离高价值的数据源和有价值的应用的隐私计算技术将不具备产业价值。如何实现一个由隐私计算技术厂商、数据应用需求方、数据供应商和可信中间机构构成的完善的数据要素交易的市场,构成良性的数据生产和消费生态系统,是各隐私计算参与方需要思考的问题。对于银行业来说,联合同业金融机构,并牵手跨行业的机构,形成强大的数据要素联盟,无疑将为隐私计算的落地奠定坚实的基础。 坚实的IT基础建设是必需。隐私计算虽有诸多好处,但是从目前来看,银行隐私计算的改造面临着系统架构复杂、成本高、效率低等问题,这就对银行科技部门提出了较高的要求。如何评估某个技术原型或产品的安全性和合规性;如何评估新技术在业务快速增长情况下的实用性;如何在保证系统整体架构的安全性、合规性、稳定性的基础之上推进隐私计算技术、平台的部署;如何抽调足够的网络、计算、数据资源以支撑隐私计算应用的开展;如何与参与隐私计算的其他金融机构、互联网公司、政府机构等打通基础的网络,实现安全、合规、高效、互信的通信,都将是对银行IT基础建设的一次考验。 隐私计算技术人才的稀缺。数字化人才的重要性已经在数字化转型过程中得到了有力验证。任何数据都需要专业的数据人才进行处理,才能被高效地使用。而隐私计算技术人才则更加难以获得,一方面是因为相关的技术存在的时间短,市场上几乎很难找到具备既往经验的从业者;另一方面是因为隐私计算技术的复杂性,往往涉及到密码学、机器学习、云计算等技术的综合运用。故为了能够将隐私计算技术与业务应用场景进行紧密的结合和落地,需要既了解银行业务又兼具数据分析能力、对于隐私计算技术有掌握的复合型人才,这是一大挑战。 经营目标矛盾。目前隐私计算产品落地速度缓慢,这和隐私计算产品技术相关的技术复杂性、涉及参与方较多、解决方案基本完全定制、创新业务需要探索期不无关系。在这样的情况下,不难理解在银行的业务中,很多部门将会面临经营目标的矛盾,即如何处理短期经营目标、投入分配、监管环境与长期转型发展的任务之间的矛盾。不少业务部门倾向于“不愿”推进,主要是因为隐私计算所带来的业务红利在短时间内无法快速变现。
银行应该如何应对
广泛的合作,建立隐私计算技术、数据要素联盟。不管是对暂时处于观望状态,还是已经开始积极推动数字化转型和隐私计算落地的银行,都应该考虑如何参与隐私计算技术发展的浪潮。与隐私计算技术供应商、行业组织机构之间建立及时有效的沟通,可以帮助银行及时了解到最新的技术发展和应用落地案例,从而为银行自身的转型方案提供支持。为了能够获取或输出数据要素,达成潜在的数据要素交易与合作,银行需要在行业内、跨行业间都积极寻找合作伙伴,并建立数据要素联盟,以有效地发挥规模效应。 建立有效的组织,形成转型共识。与数字化转型一样,在推广隐私计算技术应用的过程中,银行应做到选择适宜自身情况的组织形态与协同机制,通过明确的愿景在组织上下达成共识。 重塑人才文化,加速创新。创新离不开创新型人才。对于推行隐私计算,建设体系化的人才培养方案,积累人员的业务和技术经验,是银行无法回避的问题。 夯实科技基础。银行需要改善数据资产运营、数据基础设施与技术架构,以支持未来隐私计算中日益频繁的跨界合作。隐私计算项目落地依赖于坚实的数据基础建设,同传统的机器学习项目类似,数据的基础质量直接决定了最终模型应用的决策准确性和可靠性,故完善银行自身的运营,并与数据源合作方就数据资源建设进行有效的合作,是项目成功的重要保证。而隐私计算技术也对软硬件系统的部署运营带来了全新的挑战,需要银行的科技部门快速调整和适应。 寻找突破点,推动项目试点。银行应结合自身的经营特点,选择合适的业务场景进行试点性的技术验证,通过以点带面的方式,解决零的突破。试点项目除了能带来较好的示范效应,有利于转变一线人员的态度和认知,也能够通过项目的演练及时发现现有系统、数据、业务层面存在的潜在问题,为业务改进提出方向。在项目推行的过程中,通过实践能够快速训练出一批隐私计算技术人才,为今后的大规模业务落地储备人才。
作者系苏州银行副行长
隐私计算头条周刊(7.31-8.6)
公开课 | 周瑞珏:法律与科技的话语交叉:隐私计算技术的合规方向(附PPT)
公开课 | 赵精武《破除隐私计算的迷思:治理科技的安全风险与规制逻辑》(附PPT)