1、金融科技测评助力金融数据安全共享罗丰 隐私计算实验室负责人2022.7.9|01基本背景基本背景02金融数据安全共享关键技术金融数据安全共享关键技术03金融科技测评探索与实践金融科技测评探索与实践目录目录 CONTENT|基本背景01|数据可信1数据确权2数据保护3数据交换4价值分配5|中国2017年6月生效的中华人民共和国网络安全法中国2021年9月生效的中华人民共和国数据安全法中国2021年11月生效的中华人民共和国个人信息保护法“网络运营者应当对其收集的用户信息严格保密，并建立健全用户信息保护制度；网络运营者.应当遵循合法、正当、必要的原则.经被收集者同意.应当依照法律.的个人信息；网络

2、运营者不得泄露、篡改、毁损其收集的个人信息处理其保存；未经被收集者同意，不得向他人提供个人信息.确保其收集的个人信息安全，防止信息泄露、毁损、丢失.”“鼓励数据依法合理有效利用，保障数据依法有序自由流动，促进以数据为关键要素的数字经济发展.坚持以数据开发利用和产业发展促进数据安全，以数据安全保障数据开发利用和产业发展.鼓励数据开发利用和数据安全等领域的技术推广和商业创新，培育、发展数据开发利用和数据安全产品、产业体系。”“个人信息处理者应当对其个人信息处理活动负责，并采取必要措施保障所处理的个人信息的安全.不得超出约定的处理目的、处理方式等处理个人信息.未经个人信息处理者同意，受托人不得转委托

3、他人处理个人信息 坚持谁授权谁负责 谁采集谁负责 谁使用负责 谁保管谁负责的原则。ADD RELATED TITLE WORDS|加强数据能力建设保障数据安全与个人隐私有序推动数据共享与综合应用健全适应数字经济发展的现代金融体系助力数字经济高质量发展金融科技发展规划(2022-2025年)金融业数据能力建设指引关于银行业保险业数字化转型的指导意见数据战略、数据治理数据架构、数据规范数据保护、数据质量数据应用、数据生存周期管理完善数据治理体系加强数据安全和隐私保护提高数据应用能力金融数据安全共享关键技术02|同态加密混淆电路秘密分享不经意传输多方安全计算横向联邦学习纵向联邦学习联邦迁移学习联邦学

4、习独立、可信、安全的硬件环境安全性要求较高的场景可信执行环境区块链（辅助隐私计算）区块链与隐私计算互为补充、相辅相成，基于区块链分布式、可溯源、不可篡改、共识机制等特点，助力构建了分布式多方协作的信任机制，帮助实现数据确权、数据流通防篡改等。隐私计算是隐私计算是目前目前实现数据安全共享的实现数据安全共享的主主流技流技术术路径路径：根据行业内调研结果，行业基本认同多方安全计算、联邦学习、可信执行环境和区块链辅助下的隐私计算工具是目前隐私计算产业形成的3+1技术发展方向。|区块链与隐私计算融合应用区块链可溯源、难篡改、公开透明构建信任协作的网络区块链可解决参与者信任问题对参与者要求高，要求参与者之

5、间需相互信任、协作对数据质量和参与者的高要求，一直是隐私计算的痛点。数据溯源、数据确权、校验数字授权真实性提升整个隐私计算过程的检测能力提高违法成本，实现安全可信的数据共享隐私计算|隐私计算联合营销欺诈检测供应链金融信贷审核智能风控量化投资金融科技测评探索与实践03|序号标准类型标准名称标准状态1金融行业标准JR/T 0171-2020 个人金融信息保护技术规范已发布2金融行业标准JR/T 0184-2020 金融分布式账本技术安全规范已发布3金融行业标准JR/T 0193-2020 区块链技术金融应用 评估规则已发布4金融行业标准JR/T 0196-2020 多方安全计算金融应用技术规范已发

6、布5金融行业标准JR/T 0197-2020 金融数据安全 数据安全分级指南已发布6金融行业标准JR/T 0202-2020 基于大数据的支付风险智能防控技术规范已发布7金融行业标准JR/T 0218-2021 金融业数据能力建设指引已发布8金融行业标准JR/T 0221-2021 人工智能算法金融应用评价规范已发布9金融行业标准JR/T 0223-2021 金融数据安全 数据生命周期安全规范已发布10金融行业标准金融数据安全 数据安全评估规范编制中|底层架构BaaS区块链即服务智能合约上层应用区块链技术测评测评对象|基本要求评估账本技术共识协议智能合约节点通信事件分发密钥管理状态管理成员管理

7、交易系统接口管理性能评估交易吞吐率查询吞吐率交易同步性能部署效率账本数据增长速率安全评估基础硬件基础软件密码算法节点通信账本数据共识协议智能合约身份管理隐私保护监管支撑安全运维安全治理|测评案例|1 标准预研阶段2 标准立项3 征求意见阶段4 送审阶段5 正式发布规范规范规定了多方安全计算技术金融规定了多方安全计算技术金融应用的基础要求、安全要求、性能要求应用的基础要求、安全要求、性能要求等，适用于金融机构开展相关产品设计、等，适用于金融机构开展相关产品设计、软件开发、技术应用等。软件开发、技术应用等。规范的发布有助于实现在不泄露原始数据、保障信息安全前提下推动多个主体间的数据共享与融合应用，

8、确保数据专事专用、最小够用，杜绝数据被误用、滥用。2019年2-4月：收集现状和需求，确定标准修订方案2019年5月：专家评审，标准初稿通过2019年6月：进一步完善，形成征求意见稿。2020年9月：集中讨论，意见处理，报送金标委。2020年11月：标准正式发布。|术语、定义和缩略语概述参与方及工作时序应用目标总体要求基础要求数据输入算法输入协同计算结果输出调度管理安全要求协议安全隐私数据安全认证授权密码安全通信安全存证与日志性能要求计算延迟吞吐量计算精度M：必须评估项目O：可选评估项目C：条件可选评估项目技术评估M项22项丨O项14项丨C项11项安全评估M项23项丨O项8项丨C项8项性能评估

9、M项0项丨O项4项丨C项5项|任务发起方调度方算法提供方数据提供方1数据提供方N计算方1计算方M结果使用方1结果使用方K任务请求任务配置信息算法逻辑及参数输入因子输出因子任务配置信息任务配置信息任务创建任务分配数据输入任务计算结果解析。任务发起方调度方数据提供方计算方算法提供方结果使用方|基本安全要求隐私数据安全计算结果正确协议公平性输入数据独立性安全模型半诚实模型恶意模型安全参数统计安全参数计算安全参数协议安全应用过程隐私安全要求防单点故障扩散要求其他参与方安全要求模型隐私安全要求隐私数据获取安全要求算法逻辑安全要求计算结果隐私安全要求个人金融信息保护隐私数据安全认证授权数据使用授权要求身份

10、认证要求密码算法密钥长度密钥管理密码产品密码安全通信双方的身份认证和密钥交换通信数据被篡改后的识别和异常处理机制通信延时求安全通信通道的建立中断等异常情况的处理与恢复机制通信数据的机密性和完整性保护和验证重新获取信息的能力通信安全用户日志保存要求存证要求日志及存证审计要求存证及溯源要求存证与日志安全要求|资金场景性能要求实时整数万次乘法整数万次比较非实时浮点数万次乘法浮点数万次比较时延TPS精度100-非资金场景实时浮点数万次乘法浮点数万次比较非实时浮点数万次乘法浮点数万次比较时延TPS精度2001002

11、0000500-|完成两批，目前已完成超18款多方安全计算产品的测评工作，并为企业颁发测评证书。第一批第二批|2021年9月7日第一次金标委专家 审议2021年2月北京金融科技产业联盟立项2021年7月形成标准草案建立企业标准使用企业标准对联邦学习产品完成评测2022年1月4日第二次金标委专家 审议目前征求意见稿阶段|术语、定义和缩略语概述参与方工作时序基础要求数据输入算法输入调度管理安全要求数据安全与隐私横向联邦学习安全通信安全纵向联邦学习安全联邦迁移学习安全安全审计参与方可信性认证授权密码安全性能要求准确率效率|2022年5月16日：标准正式发布。Q/NFEC 0001-2022隐私计算一体机金融应用技术要求|开箱即用产品级解决方案可信执行环境安全可信高效可用硬件加速|金融科技产品认证目录（第一批）2019年10月序号产品类型1客户端软件2安全芯片3安全载体4嵌入式应用软件5ATM终端6支付销售点（POS)终端7移动终端可执行环境（TEE)8可信应用程序9条码支付受理终端10声纹识别系统11云计算平台金融科技产品认证目录（第二批）2022年2月序号产品类型12区块链技术产品13多方安全计算金融应用14商业银行应用程序接口|