摘要

  • 信用卡支付巨头 Visa 的研究团队已经公开了一篇论文,描述了 LucidiTEE 的开发情况;LucidiTEE 是一种区块链系统,可以在多方之间处理敏感数据。

  • 举例而言,该论文所概括的系统可以让银行和金融科技应用之间贡献数据,且无需依赖数据聚合中介方。

  • 虽然欧洲一直在用 GDPR(欧盟通用数据保护规范)这样的立法措施来为客户数据安全共享设定标准,美国的银行则不得不对数据聚合方达成协议。

  • Visa 是世界上最大的信用卡支付网络,而 Visa 公司一直在悄悄地开发一种区块链系统,可能会颠覆当前银行与消费级金融应用如 Mint 和 Credit Karma 之间传输客户交易数据的方式。

在一篇 Visa 研究和开发部门出版的论文中,研究员说明了一种叫做 LucidiTEE 的系统,该系统的主要框架包括在区块链上分享敏感人数据、在可信执行环境(TEE)中混淆数据、使用基于历史的措施(history-based policies)来保证每一方都能收到计算过程的一个输出值。(该系统的名字正是合成自 “TEE” 和 “lucidity(清澈)”。)LucidiTEE 的第一个应用就是在客户和金融 App 之间共享数据。根据了解 Visa 战略构思的人士分析,这样一种功能可能会打击 Pladi、Envestnet Yodlee、Finicity 一类的数据聚合商。LucidiTEE 也可以让银行通过分享数据来训练机器学习算法,并用于跟踪欺诈或防止金融数据记录 App 向 Google 这样的科技巨头售卖匿名的用户数据。Visa 尚未回应各方的评论请求。该论文公布在密码学电子出版物档案网站上,声称 LucidiTEE 是 “第一个可以让多方共同计算大量级隐私数据、同时还能保证政策兼容性(即使输入提供方离线)和对所有输出接收方公平性的系统。”Visa 曾是 Libra 联盟的创始成员,但在联盟启动以前就退出了。这个金融服务巨头也在试验一套基于区块链的 B2B 支付服务,最开始是跟区块链初创企业 Chain 一同开发的,其设计目的在于摆脱效率低下的银行网络实现跨国的商业转账。Visa Research 也为整个安全和密码学社区提供服务,所以研究成果可能被竞争对手利用。但 Visa 也可以在未来靠知识产权获利。这个系统也在 Tendermint 和 Hyperledger Fabric 上做过测试,两者都可以在公开领域(public domain)获得。不过这个系统也可以被用于使用权益证明共识机制因而无分叉的公链上,比如 Algorand 或以太坊 2.0,后者计划明年就能上线。

数据聚合商将面临挑战

虽然这篇论文还在同行评议阶段(peer review process)。它显示了 Visa 的渴望——尽可能少的让用户数据在不同的公司间共享,让消费者能更切实地掌握自己的数据。金融科技 App 曾经鼓励银行跟第三方数据聚合商达成合作,从客户处获取、清洗并规范金融交易数据。“透明银行(Open banking)”运动的哲学就是让银行与金融科技应用分享数据,后者是直接向客户提供服务的。数据聚合商已经变成了银行系统的关键部分,因为几百万的消费者都在使用记账软件 Mint、微投资工具 Acorns 以及点对点支付应用 Venmo 这样的金融科技 App。总部位于旧金山的 Plaid 是这类数据聚合商当中最大的,其市值高达 25.6 亿美元;他们为多个个人金融 App 以及密码学货币交易所 Gemini 和 Coinbase 提供支持,让他们能触达用户的金融数据。数据聚合行业的初创企业乃是作为对爬虫抓取(screen scraping)的替代方案而出现的,因为客户要给金融应用敏感的登录信息、让这些应用能够收集自己的交易数据。——布莱恩·奈特(Brian Knight),乔治梅森大学(George Mason University)麦卡特斯中心(Mercatus Center)金融市场研究组的高级研究员如是认为。奈特还说,银行一直抵触与数据聚合商分享信息,直至多德-弗兰克法案(Dodd-Frank Act)出台,要求金融机构以电子文件形式保存消费者的记录。聚合商主张自己是消费者的代理。在最近一份金融科技报告中,美国财政部站在了数据聚合商一边,但消费者金融保护局没有对此发表评论。在欧盟通用数据保护规范(GDPR)这样的监管措施下,银行和数据聚合商已经形成了非正式的和正式协议,对聚合商如何处理客户数据达成了共识。不过,在这个过程中银行是有选择性的。当双发对数据分享标准有分歧时,银行会切断数据聚合商的权限,阻止客户使用金融 App。要让 LucidiTEE 能在客户交易数据领域发挥作用,行业也需要接受一种公开的数据分类标准,每个实体都需要遵循的那种。在决定是否要使用这套技术的时候,银行业需要权衡坚持使用数据聚合器或者投入新系统的利弊。奈特如是说。奈特强调:“普及区块链的部分困难在于它似乎要移除中介。但是,虽然说中介可能要收租,他们也可以创造价值。”

“精细控制”

审阅过 Visa 的论文之后,总部位于盐湖城的数据聚合商 Finicity 声称该文所提议的系统无法提供当前聚合商所能提供的服务质量。“把这个过程描述为数据的交换是很简单的;但你要对大量不同的应用场景、数据完整性、数据多样性、安全性、隐私性、监管措施,等等,都分层实现,它的难度就会显现出来”,Finicity 的联合创始人尼克·托马斯(Nick Thomas)在邮件里这么说。不过,托马斯也表示,Finicity 作为基于 ID 的 Sovrin 基金会的创始管理人,也在寻找解决的办法。“一切都是为了给客户对自己财务数据的更细颗粒度和更安全的控制,并且让他们能够充分知情、做出更好的财务决策”,托马斯说。LucidiTEE 强制使用基于历史的措施,类似于智能合约,但还具有读取整个区块链的能力。这就保证了,即使用户离线了,他们的信息也不会在没有授权的情况下被滥用。论文还假设了一种 “恶意设置”。系统会使用协议来保证输出会发送给每一个此前被授予了渠道访问输出的参与方。区块链此时就像一个托管账户,用户可以引入他们想要执行的措施,比如分享加密后的数据给 Mint,然后返回可以显示消费者消费地点的图表。根据这篇论文,LucidiTEE 的区块链还保证了可信执行环境——就是一个加密的数字空间,可以处理敏感数据——只会执行特定的计算。这样一来,掌握 TEE 的公司也不能伪造数据,而参与 LucidiTEE 的各方都无需运行 TEE。然后,账本会保存所有加密后的输入和输出哈希值,以及所运行的函数,并用于基于历史的协议决定什么时候该进行下一个运算。

翻译:闵敏

责编:林一

声明:本文来自CoinDesk中文,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。