上海数据交易中心:xID标记技术

专题库
来源:中国电子银行网 2018-09-25 10:59:33 2018中国金融科技创新榜上海数据交易中心 金融科技企业案例

核心提示“2018中国金融科技创新榜”科技企业参赛案例

  一、案例摘要

  上海数据交易中心与公安部第三研究所联合研制的xID标记技术数据合规流通解决方案(简称:xID标记技术),由公安部xID生成服务实现个人标识信息在各企业之间的隔离加密,再由上海数据交易中心xID转换服务实现数据流通过程中的标记转换,实现不同企业之间个人信息保护中利用的合规流通。xID标记技术将为企业数据安全存储与合规流通保驾护航。

  xID标记技术将个人信息分解为“标识信息”、“特征信息”以及“标识关联性”三个基本元素。“标识信息”进行多方隔离的去身份匿名化处理,“标识关联性”进行可信第三方控制,并且保留“特征信息”,实现了在保护中流通个人信息的难点问题。达到了既能保护个人隐私,又能提供价值信息的数据流通的目标。该技术可实现以下两种数据安全保护服务,帮助企业提升数据安全管理能力:

  1、合规存储。结合公安部eID(公民网络电子身份标识)算法与数据交易中心的成员管理体系,为企业提供具有唯一性的个人标识信息的匿名化处理服务。

  2、合规流通。利用上海数据交易中心的数据流通技术,为企业间需要流通的信息提供数据标识的关联性服务。

  二、具体内容:

  在当今数据价值愈来愈大的情况下,数据的安全管理与合规流通已经成为一个重要的课题。2017年6月1日发布的《中华人民共和国网络安全法》与《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》对数据合规存储与流通的管理提出的新的挑战。金融行业作为数据价值密度最高的领域,是数据合规存储与流通的关键行业。目前,金融领域主要存在以下几个数据管理方面的行业痛点:

  1)银行业务系统中个人隐私数据(身份证、手机号、银行卡号等)数据使用明文存储,业务人员在数据使用过程中可直接接触银行客户的个人隐私数据。根据《网络安全法》要求,对银行内部数据管理带来风险。

  2)银行在风控、反欺诈等业务过程中,需从将人隐私数据(身份证、手机号、银行卡号等)发送至第三方征信数据提供方。从法律层面讲,是未经个人授权同意泄漏个人隐私数据。这不仅是管理风险,更是目前个人隐私数据大量泄漏的重要源头。

  3)个人信息=客户信息,客户信息数据(身份证、手机号、银行卡号等)的向外发送不可避免会存在商业秘密的泄露。

  1)法理依据

  《中华人民共和国网络安全法》中:

  第22条:“网络产品、服务具有收集用户信息功能的,其提供者应当向用户明示并取得同意”。

  第42条第1款规定:“网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外”。(理论上“同意”应该是精确的绝对的“同意”,且应当赋予个人充分的知情权和被遗忘的权利,而实际业务实行的且技术上可行的是“泛同意”,这种泛同意并不意味着合法或者无风险。)

  因此,个人信息的合规输入(不论是直接个人“采”,还是通过第三方“买”),仅一条路径:“向用户明示并取得同意”(银行业一般均很重视也有相应的措施)而个人信息的合规输出,则只有两条路径:(1):“经被收集者同意向(他人)提供(个人)信息”;(2):“经过处理无法识别特定个人且不能复原”。

  而现有征信风控场景下,数据供方为保证自身合规,一般均采用了只回答T/F,打分等的方法,看似合规,但把发起查询的个人身份数据(身份证、手机号等)的输出风险留给了数据需方。

  因此,真正高效的机构间的合规个人信息流通为:“有限且去身份的流通”。

  2)技术方案简介

  xID的创新性是将数据流通过程从两方参与(数据需求方+数据供应方)转换成了多方参与(标识生成服务+标识关联转换服务+数据需求方+数据供应方)。这种多方参与的模式使个人信息相关数据可以被分解后拆分处理,实现敏感信息有效隔离,最终实现个人信息合规存储与流通。在此过程中,“规则”部分由上海数据交易中心研发;数据匿名化与关联性匹配的算法技术由公安部第三研究所在eID技术基础上实现并提供技术服务,从根本上确保了数据的安全性与服务的权威性。(以上两个部分均已申请国家发明专利)xID标记技术是目前能实现个人信息保护且利用最有效的解决方案。

  xID标记技术,核心在将数据标识[A]与标签[B]的直接对应关系[A+B],加入中立的两个机构,形成[A]->[C1/C2/…/Cn]->[B]的对应关系。其中,供需两侧的匿名转换(A->C1,A->C2)由公安三所系统负责;供需间关联关系(C1->C2)由上海数交中心系统负责;而最终的[A+B]仅供/需方可见。(整个过程,在供/需自主管理的、安装上海数交中心接口软件及公安三所的加密硬件的服务器(或云机)上,分权分工进行)

  而在匿名算法方面,交易中心与公安部第三研究所联合研制的利用xID算法,是基于eID(公民网络电子身份标识)技术的不可逆算法。xID脱敏后真实结果示例:

  AAABAQAAAAECXyfM27i/ntMwygbm05Pfsic75marPVCcyPOBmB5WFClSRvY=

xID技术架构示意图
xID技术架构示意图

  三、应用案例:征信行业数据流通

  金融行业征信业务场景中,需求方需要将个人标识信息(身份证、银行卡、手机号、姓名等)发送至征信公司查询个人相关征信数据。在对客户进行个人信息的背景调查过程中,大量个人隐私信息流向征信公司。而个人信息的外流会引起更多维度的个人信息调查校验需求,这种恶性循环将使更多个人隐私信息外流,很多个人信息通过数据黑色/灰色产业链被不法人员掌握,为社会安定带来安全隐患。

  xID标记技术,能将个人标识信息生成为不可逆的标记信息,这种匿名处理能确保个人隐私信息在多方之间生成的结果不同,形成多方之间的标识隔离。并且,在需要时可对不同流通主体转换的标识进行匹配,避免了之前征信数据流通过程中的安全隐患,以标识代替信息,保障了数据流通的安全性,完善了流通方式的合规性。

金融征信场景下xID数据流通示意图
金融征信场景下xID数据流通示意图

  四、应用价值与前景

  整合xID的标识流通解决方案,保证了在法律合规的前提下,提供了安全数据流通的途径,为征信领域的数据流通提供安全保障。完善上海数据交易中心的征信类业务场景的数据流通的安全性及合规性。xID标记技术的应用使交易双方减少了隐私泄露的顾虑,交易平台业务能力提升带来很大助力,提高了平台可交易数据的挂牌率,直接刺激了平台数据的交易规模,具有重要的经济效益和社会效益。

  按照客户实际的反馈,银行在业务过程中存有海量的针对个人的金融数据,对数据安全管理的要求非常高。xID标记技术首先可以帮助银行解决数据存储的安全合规问题。银行可利用xID标记技术将个人信息中隐私等级较高的标识(姓名、身份证号、银行卡号、手机号等)转换,实现内部数据分级管理的机制。存有个人隐私信息的数据作为机密数据管理,同时,经xID处理后,不可识别具体标识信息的数据作为普通管理等级数据处理。在金融获客与风险控制等银行常见的业务场景中,需要通过外部数据查询的方式补充数据,在此过程中,可以通过上海市数据交易中心数据合规流通网络进行客户数据维度的补全。在流通过程中,所有与个人隐私相关的敏感数据标识均通过xID进行流通,确保数据获取的合规性与合法性。

  就银行业一个应用场景来说,中国目前约有300多家银行与保险公司等金融机构,相关数据服务公司数以千记。金融业数据合规流通具有据大的市场规模与应用价值。上海数据交易中心通过现有存量转换首年30%(供需方调整期)、次年70%(成果推广期)的推进计划将xID标记技术覆盖应用整个交易平台,并且在新增的业务上率先应用xID标记技术,一些持有敏感数据或是对数据需求希望保密的组织或企业,也会因xID标记技术所提供的安全保密机制,从而打消之前的种种顾虑,进入数据流通的生态圈来进行业务的拓展及创新。鉴于xID标记技术的附加价值提供了更高的安全公信力及业界认可度,后续平台交易的活跃度、数据交易量都将得到增量效益,预计三年后每年提升率为30%。

责任编辑:方杰

收藏

  • 最新
  • 最热

    点击加载

      点击加载

      我要评论
      普通评论
      游客

      登录后参与评论

      为你推荐

        暂无相关推荐
        财源源二维码

        热文排行

        • 今日热点
        • 每周排行
        合作媒体

        中国网络电视经济台 | 和讯银行 | 新浪理财 | 凤凰理财 | 腾讯网 | MSN理财 | 网易科技 | 中华财会网 | 第一财经网 | 北京商报网 | 和讯科技 | 财新网 | 中国网理财 | 金融界银行 | 光明网经济 | 东方财富网 | 经济观察网 | 中国经营网 | 赛迪网 | 新华信息化 | 中关村商城 | 同花顺金融服务网 | 环球网财经 | 投资时报 | 钛媒体 | 中国金融新闻网 | 新华网财经 | 人民网金融频道 | 中文互联网数据研究资讯中心 | 中金在线 | 外汇 | 品途网