文/中国银联隐私计算风控研究小组
背景分析
随着金融科技的不断发展,支付产品复杂多元、产业链纵深延展,金融支付领域的风险传导加快,新形势新问题不断涌现。各类新业务场景下的风险攻击手段呈现专业化、高频化、复杂化和团伙化特点。跨机构、跨渠道、跨产业、跨网络的风险攻击层出不穷,影响了金融市场的健康发展。
为有效防范金融风险,绝大部分金融机构均构建了基于大数据的风险防控能力。但当前金融机构主要使用自身数据对客户风险情况进行识别,由于数据量有限,数据维度单一,评估结果难以做到全面和准确。如针对新客户的风险评估,单一金融机构获取新客户有效信息的手段和渠道十分有限,无法覆盖其所有的金融活动并识别其金融欺诈行为,因此误报漏报的情况时有发生。
对此,金融机构亟需结合自身数据外的其他金融数据及外部数据,实现联合风控、联合征信等相关能力,进一步提升金融反欺诈防控效果。而实现该目标的关键,就是解决金融机构间的数据流通共享问题:如何在保障“敏感数据不泄露、原始数据不出域”的前提下,实现行业内风险数据的流通共享。
中国银联基于金融行业隐私计算互联互通标准框架,采用隐私计算中的匿踪查询(PIR)、多方安全计算(MPC)等技术,构建了新一代的行业风险信息共享平台。在保障多方原始数据不出库的前提下,完成数据信息的流通共享。当前正基于此模式,开展金融行业风险信息数据共享网络建设探索,可满足各金融机构差异化的共享诉求,进一步加强产业各方联防联控。
基于匿踪查询的风控数据共享技术方案
1. 方案整体目标:安全与灵活性兼顾。银联基于隐私计算等一系列更为安全的加密技术,打造了金融风险信息匿踪共享升级方案,重塑当前风险信息共享的业务流程和系统平台。在本方案中,拟实现以下功能。
数据脱敏不出行:银行私域数据库数据均为脱敏数据,无需将数据报送银联或其他合作方。
查询情况不可见:所有查询的过程均隐匿,银行不必担心自己的查询信息暴露给其他成员。
业务场景快速扩展:银行可根据自身需求,定制性地发起新业务场景及相关数据要素规范,实现业务场景快速扩展。
良性循环机制:具备贡献度统计能力,借助参与方的内生动力促进共享业务良性循环。
2. 基于匿踪共享联盟的业务运行框架。在风控数据共享业务开展过程中,根据各参与方分工情况,本方案确定了业务运行框架中协调方、数据提供方及查询方三方角色。三个角色方各司其事,共同组建风控数据匿踪共享联盟(如图1所示)。各方角色位置分工如下。
图1 风控数据匿踪共享业务运行框架图
(1)协调方:中国银联。组织建设联盟的运作机制,包括数据标准、运作机制、运营流程。共享平台的业务推广,增加参与方、提升数据量。转发查询方的查询请求,接收各数据提供方数据并返回最终查询结果。在此过程中,协调方仅对报文进行转接分发,不做数据留存,且无法获取其他参与方明细数据信息。通过共享平台的日常运营,提高了服务水平和数据质量。
(2)数据提供方:银行、支付机构及电信运营商。参与建设联盟运作机制,提出共享平台的机制、系统、运营等层面的优化建议。提供共享数据,平台安全机制不仅保障数据提供方“原始数据不出域”,而且其他参与方均无法获取查询数据在任一数据提供方的命中情况。按照共享评价激励机制,保证自身参与共享的共享度、使用率和系统的稳定性。
(3)查询方:银行、支付机构、监管及公安机关。参与建设联盟运作机制,提出共享平台的机制、系统、运营等层面的优化建议。使用平台进行风险信息查询,查询信息不会被其他参与方获知。
3. 隐私计算关键技术应用保障数据安全。基于上述三方参与场景,整体方案应实现对数据信息的双向防护。一方面,需要保护查询方发送的查询ID。查询方发送的ID为隐匿数据,协调方和数据方不能获知查询的原始ID。另一方面,需保护数据方共享的原始数据。数据方的原始数据不能出域,且本地数据表中存储的ID为脱敏数据。协调方不能获知数据方的业务数据。
为实现上述效果,本方案结合多方安全计算、匿踪查询等前沿隐私计算技术,在确保用户隐私和数据安全的前提下,实现跨机构的黑灰名单信息高效共享。
多方安全计算技术(秘密分享方案):增加随机数的密文汇总结果与明文汇总结果一致,确保协调方在无法知晓各参与方明文信息的情况下仍能汇总。数据提供方之间、数据提供方与协调方之间无明文信息泄露。
匿踪查询技术(不经意传输方案,OT):确保查询方查询用户在不暴露ID的前提下得到汇总的查询结果,且无需向各参与方一一发起查询。协调方和数据提供方均无法获知某ID是否命中某个数据提供方的风险信息名单。
4. 基于隐私计算互联互通的技术架构。方案在设计之初,出于对兼容性和安全性的考虑,整体架构即基于最新的金融行业隐私计算互联互通技术标准进行设计,以便于后续各方与机构内已有隐私计算平台的集成对接。自2022年起,在北京金融科技产业联盟数据专委会的组织下,中国银联牵头组建互联互通课题工作组,涵盖商业银行、互联网企业、科技公司、检测机构、电信运营商、科研院所、开源社区等50余家单位,开展了《金融业隐私计算互联互通平台技术规范》(以下简称标准)的研究制定工作。经过两年多的持续攻关,标准已于2024年正式发布,目前进入实质性落地阶段。
基于隐私计算互联互通标准构建的匿踪联盟互联互通方案,如图2所示。其互联互通能力主要体现在两个方面。
图2 基于隐私计算互联互通的匿踪技术架构
(1)协调方与查询方之间的交互设计。协调方和查询方之间的OT任务是匿踪查询的核心环节。由于不同的OT实现方案在业界普遍存在,因此须支持不同OT实现之间的互联互通。
银联协调方平台应具备对不同机构设计和实现的OT算子的注册、调度与管理能力。在接收查询方的请求后,平台通过解析查询报头和报文内容,识别并路由到对应的OT算子。随后,任务调度模块将请求任务分配至匹配的OT算子进行处理,并及时将最终计算结果返回给查询方。
(2)协调方与数据方之间的交互设计。协调方与数据方之间的交互主要涉及分片、查询执行和秘密分享等任务。尽管这些任务的计算相对简单,但它们要求各方协同合作。为了确保高效的互联互通,必须对任务流程进行标准化设计,并依托互联互通框架进行统一的管理与执行。
(3)基于隐私计算互联互通底座框架。该框架通过对主流隐私计算平台底座能力的抽象,可初步实现对异构隐私计算平台底座的有机统一,使得各类功能算法能够以不同算法插件形式进行加载运行。基于此,匿踪相关算法组件即可以算法容器镜像的方式,嵌入到该底座框架中运行,与机构已有的隐私计算平台互联互通底座进行集成对接。
基于匿踪联盟的风险信息共享场景探索
围绕代理投诉、团伙骗贷等场景,中国银联、银行与运营商等机构,基于隐私计算技术构建数据共享联盟,在保护各方隐私的前提下实现数据安全共享与查询,在此以团伙骗贷人员名单共享为例进行说明(如图3所示)。
图3 基于匿踪联盟的团伙骗贷人员名单共享
查询方通过共享平台查询某用户是否命中联盟的团伙骗贷人员名单。若命中,则联系团伙骗贷人员名单的所有共享方,邀请各方联合报案。然后由各参与方确认该用户是否命中己方名单,并决定是否参与并案。查询方通过向公安提供多方汇总证据,提升案件侦测力度。相关处理流程如下。
银联联合各参与单位,制定统一的数据结果进行多方黑名单数据共享。参与单位既作为数据提供方,也同时可作为查询方。根据共享平台系统的功能创建匿踪查询API接口,提供外部调用。新拓展试点单位作为参与方(数据提供方、查询方)向盟主申请加入原有匿踪联盟,对外API接口无感知。查询方通过API访问共享平台系统,传入用户身份脱敏信息,查询是否命中匿踪联盟中的黑名单。其中,请求参数为单个用户ID,返回结果允许多个字段返回值(并针对单个字段求和)。
总结及展望
基于上述研究设计方案,平台建设工作已完成。经测试验证,平台能力符合前期制定的整体目标:数据提供方原始数据不出行,查询方查询信息不泄露,协调方虽作为中间节点,但也无法获取到两方业务开展中的任何信息,匿踪查询准确率达到100%。平台安全性、功能和使用平稳性均能达到预期要求。
当前银联已联合主要商业银行、头部隐私计算科技公司及相关高校,基于匿踪查询技术开展相关探索实践,并围绕恶意投诉、资金流向等相关风控场景,构建新型金融风险信息共享模式。在保护联盟各机构隐私安全的前提下,推进实现机构间风险信息共享。在试点场景中,金融机构同时作为数据提供方和数据查询方,通过申请加入共享联盟,按照共享激励机制,保证自身参与共享的共享度、使用率和系统的稳定性。同时相关成果已入选工信部“2024年防范治理电信网络诈骗典型案例”。
下一步,银联一方面会继续扩大试点机构范围和共享数据场景,持续邀请各商业银行和主要区域银行参与共享,并根据行业诉求不断优化升级共享场景。另一方面也将开放共享匿踪互联互通技术方案,联合各参与方对方案进行持续优化完善,推进形成金融行业的标准化方案。希望通过推动构建风控数据匿踪共享行业生态,为行业联防联控提供强有力的技术支撑,形成新型金融支付行业风险防控产业基础设施,为金融行业安全发展注入动力。
(中国银联隐私计算风控研究小组成员:高鹏飞、袁航、陈钟正、刘乃幸、庞悦、秦璐、周雍恺、黄磊、杨阳)
(此文刊发于《金融电子化》2025年5月上半月刊)
声明:本文来自金融电子化,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
