《微众银行:区块链WeDPR隐私保护白皮书(39页).pdf》由会员分享,可在线阅读,更多相关《微众银行:区块链WeDPR隐私保护白皮书(39页).pdf(39页珍藏版)》请在三个皮匠报告上搜索。
1、00001001010101000111100001110000110101010000111000101010100000000000000000110000100001001010100011000000011101010101000000010101110000010101010010000100101010100011110000111000011010101000011100010101010000000000000000011000010000100101010001100000001110101010100000001010111000001010101001 000010010
2、10101000111100001110000110101010000111000101010100000000000000000110000100001001010100011000000011101010101000000010101110000010101010010000100101010100011110000111000011010101000011100010101010000000000000000011000010000100101010001100000001110101010100000001010111000001010101001 000010010101010001
3、11100001110000110101010000111000101010100000000000000000110000100001001010100011000000011101010101000000010101110000010101010010000100101010100011110000111000011010101000011100010101010000000000000000011000010000100101010001100000001110101010100000001010111000001010101001 000010010101010001111000011
4、1000011010101000011100010101010000000000000000011000010000100101010001100000001110101010100000001010111000001010101001 0000100101010100011110000111000011010101000011100010101010000000000000000011000010000100101010001100000001110101010100000001010111000001010101001 00110000111000011010101000011100010
5、101010000000000000000011000010000100101010001100000100101010100011110000111000011010101000011100010101010000000000000000011000010000100101010001100000001110101010100000001010111000001010101001 00110000111000011010101000011100010101010000000000000000011000010000100101010001100000100101010100011110000
6、111000011010101000011100010101010000000000000000011000010000100101010001100000001110101010100000001010111000001010101001 00110000111000011010101000011100010101010000000000000000011000010000100101010001100000100101010100011110000111000011010101000011100010101010000000000000000011000010000100101010001
7、100000001110101010100000001010111000001010101001 01010100001110001010101000000000000000001100001000010010101000110000010010101010001111000101010000111000101010100000000000000000110000100001001010100011000001001010101000111100 01010100001110001010101000000000000000001100001000010010101000110000010010
8、10101000111100010101000011100010101010000000000000000011000010000100101010001100000100101010100011110001010100001110001010101000000000000000001100001000010010101000110000010010101010001111000101010000111000101010100000000000000000110000100001001010100011000001001010101000111100 WeDPR方案白皮书 即时可用场景式隐私保
9、护高效解决方案 2020 年 1 月 微众银行区块链团队编著 卷首语 隐私保护 不可估量的 蓝 海 市 场 序言 中华人民共和国密码法 、中华人民共和国网络安全法 、信息安全技术个人信息安全规范 等一 系列法律法规的正式生效, 规范了信息安全和隐私保护的具体要求, 隐私保护的重要性和迫切性不言而 喻。 国务院 国家中长期科学和技术发展规划纲要 (20062020年) 粤港澳大湾区发展规划纲要 等国 家政策规划也进一步强调要加强重要信息系统和数据资源保护, 完善隐私保护机制, 从而支撑现代服务 业信息技术、 平台与基础设施。 同期, 欧盟史上最严格的隐私保护法案 通用数据保护法案(GDPR) 、
10、 美 国的 加州消费者隐私法案(CCPA) 、 新加坡的 个人资料保护法令(PDPA) 等法规也纷纷出台。 一时间, 在全球掀起了用技术手段落实隐私保护的时代潮流。 这股浪潮在世界范围内冲击着不具备隐私保护技术能力的企业, 一些中小型企业为了避免巨额罚款 甚至直接退出了相应的市场。 在强有力的政策推动下, 隐私保护能力成为了每一个基于隐私数据发展业 务公司必须符合的准入条件。 目前, 国内外的隐私保护领域仍处于发展初期, 隐私保护的实际效果如何满 足量化的技术标准, 隐私合规依然面临着诸多挑战。 这为隐私保护技术自身的产业化发展带来了前所未 有的机遇。 隐私保护的应用范畴极其广阔, 涵盖了从个
11、人隐私数据到企业机密业务数据等所有非公开数据。 在 当今信息技术高速发展的时代, 5G、 物联网等尖端数据采集、 传输技术势必会带来内容更丰富, 时效性更 强, 体量更大的数据流, 其中裹挟着无数隐私数据。 在这个数据洪流奔涌的时代, 无论是个人用户安心享 用服务还是企业探索新兴商业模式, 落实隐私保护都至关重要。 若能结合区块链信任交换网络和人工智 能深度分析理解, 合法合规发掘数据中的价值, 规避其中的风险, 就有可能创造小至引发信息化产业新一 轮爆发式增长、 大至推动人类社会提前进入后信息时代的美好前景。 这个过程中, 发展隐私保护技术正是 平衡价值收益与隐私风险、 实现帕累托最优且可持
12、续发展的关键。 深圳前海微众银行股份有限公司 (以下简称 “微众银行” ) , 由腾讯、 百业源和立业等多家知名企业发 起设立。 作为国内首家民营银行, 微众银行坚持科技立行、 科技兴行的发展之路, 采取开放模式连接金融 机构和互联网企业, 严守风险合规底线, 在探索各类核心金融业务和普惠科技业务中合法合规发掘用户 数据方面, 积累了丰富经验。 WeDPR作为微众银行对外开放的即时可用隐私保护高效方案, 旨在分享微 众银行探索隐私保护的技术成果, 降低隐私保护技术的使用门槛, 推动能有效保护隐私且监管友好商业 模式的落地, 实现隐私无忧的业务创新和用户体验, 从而加速隐私保护整体产业的发展。
13、微众银行区块链团队 目录 1. 隐私保护产业发展现状 1.1 政策环境利好 1.2 市场前景广阔 1.3 技术尚未成熟 1.4 应用潜力无限 1 2. 隐私保护技术产业化挑战6 2 3 4 5 2.1 通用方案的实用性困境 2.2 现有架构的局限性难题 2.3 用户体验的易用性取舍 2.4 商用方案的有效性存疑 6 8 9 10 3. WeDPR是什么11 3.1 设计理念 3.2 5C隐私保护 3.3 体验流程 11 12 13 4. WeDPR场景式解决方案15 4.1 隐匿支付 4.1.1 隐匿支付方案的优势 4.1.2 隐匿支付方案在应用领域的探索 4.2 匿名竞拍 4.2.1 匿名竞
14、拍方案的优势 4.2.2 匿名竞拍方案在应用领域的探索 4.1.2.1 供应链金融 4.1.2.2 跨境支付 4.2.2.1 招标采购 4.2.2.2 电子拍卖 15 16 18 18 19 19 21 23 23 23 目录 4.3 匿名投票 4.3.1 匿名投票方案的优势 4.3.2 匿名投票方案在应用领域的探索 4.3.2.1 群智感知 4.3.2.2 智慧城市 4.4 选择性披露 4.4.1 选择性披露方案的优势 4.4.2 选择性披露方案在应用领域的探索 4.4.2.1 私密数字凭证 4.4.2.2 智慧医疗 24 25 27 27 27 28 29 30 30 31 WeDPR愿景
15、33 隐私保护问题通常会被归结为信息安全问题, 然而这并不完全准确。 隐私泄露作为信息化技术普及、 万物互联之后必然产生的问题, 涉及到更为丰富多样的评判标准, 涵盖了远多于信息安全的风险。 例如, 一个精明的商人, 可以通过交谈精确获得交易对手的底牌信息, 无论我方是否正面回答问题, 都很难规避 这类隐私信息直接或间接地泄露给对手。 另一个典型的例子是在线平台服务商根据隐私信息为其终端用 户建立用户画像进行精准营销。 绝大部分用户并没有直接告诉在线平台服务商自己的年龄段、 居住区域、 性别、 兴趣爱好、 行为模式、 健康状况、 财务状态等敏感隐私信息, 但平台服务商却有能力通过用户与平台 的
16、交互历史推断出其中的大部分敏感信息。 如果这些隐私信息不幸被不法分子掌握, 用户人身安全和财 产安全很有可能受到威胁。 除了伤害性风险, 国际学者进一步指出应当将非伤害性风险, 如精神伤害、 名 誉损失、 商业歧视等也加入到隐私立法保护的范畴中。 上述问题不能完全依靠标准化的信息安全技术来 解决, 解决信息安全问题只是实现隐私保护万里长征路上的第一步。 隐私作为人性自我意识中的一项核心诉求, 隐私保护的应用范畴极其广阔。 对于个人来讲, 隐私数据 是关于自己和周边环境包括社交网络的个人数据。 对于企业来讲, 隐私数据是关于自己和合作伙伴的业 务和其他非公开数据。 隐私数据基本上包括了所有的非公
17、开数据。 万物皆有主, 数据也不例外。 隐私保护 的基础目标就是防止这些非公开数据被未授权的主体使用或者以一种未授权方式使用。 授权作为隐私保 护的关键, 为不同隐私保护场景带来多样化的隐私保护诉求。 例如, 企业甲希望与企业乙分享数据来联合 发展一项新业务, 但企业乙因为合规的原因只能提供密文数据, 同时企业甲要求自己的业务数据只能被 约定的新业务所使用, 两者的隐私需求截然不同。 考虑到真实生产环境的性能和实用性需求, 很难构建一 个普遍适用、 满足所有隐私诉求且卓有成效的技术方案。 整个隐私保护产业目前仍处于早期发展阶段, 尽管充满了很多挑战和不确定性, 但在利好的政策环 境和巨大的市场
18、潜力驱动下, 我们对其不可限量的前景深信不疑。 以下从政策、 市场、 技术、 应用四个角度 具体对隐私保护产业整体发展现状进行回顾。 1 隐私保护产业发展现状 1 隐私保护产业发展离不开政策的扶持。 中华人民共和国密码法 、 中华人民共和国网络安全法 、 信息安全技术个人信息安全规范及其相关行业应用的国家技术标准出台,里程碑式地明确了企业在 收集、使用、保存非公开隐私数据时所需要达到的技术效果及建议使用的标准化技术手段。在国际社 会上,被称为史上最严格的隐私保护法案通用数据保护法案 (GDPR)除了明确技术效果之外,更 是引入了巨额的罚款措施,一个国际集团中任一个子公司可能会因单次违规事件,而
19、面临可能高达集 团前年全球年度总收入 4% 的巨额罚款,GDPR 法案的实施进一步加强了隐私保护产业化的必要性和 迫切性。 这些政策法规的陆续生效, 在全球范围内, 规范了基于隐私数据的商业探索, 确实对不具备隐私保护 技术能力的企业产生了巨大冲击, 但同时, 这些政策法规也极大推动了隐私保护由宣传口号向真正可以 落实的技术特性的实质性转变。 数据作为信息时代最为重要的价值载体, 建立隐私数据保护政策法律体 系, 不仅为存量业务中隐私数据属主的合法权益提供了保障, 而且为发掘高价值隐私数据包括金融数据、 医疗数据、 民生数据等, 提供前所未有的商业机遇。 通过严格设定行业准入技术标准, 隐私保
20、护效果量化、 技术规范化的进程开启了新兴价值互联和商业创新, 奠定了隐私保护技术在现代信息化商业生态中的重 要地位。 表1列出了自GDPR法案生效之后, 全球范围内, 国际企业受到隐私保护法规影响的一些重大事件。 表1. 隐私保护法规影响公司运营的重大事件表 数据源: 各报道机构官网, 收集日期: 2019年12月13日 1.1 政策环境利好 2 表2. 隐私保护相关公司市值融资表 数据源: NYSE, Crunchbase, 收集日期: 2019年12月13日 除了存量业务的合法合规需求之外,隐私保护产业更大的价值在于促进创新数据业务的落地。过 去由于技术能力的不足,高度敏感隐私数据的发掘和
21、利用受到法律法规和商业利益两方面限制。在法 律法规方面,用户在将隐私数据分享给企业之后,便可能失去对数据的控制权,很难获知实际数据的 使用情况,个人敏感数据存在被滥用的可能。比较典型的例子是医疗数据,在无法排除被滥用的可能 性前提下,关于医疗数据的使用场景是受法律限制的,它会影响到工作权利、社会关系、精神健康等 敏感领域。在商业利益方面,作为企业的核心资产之一,不受控的数据分享会削弱企业的核心竞争力, 甚至打破企业自身的商业壁垒。比较典型的例子是金融数据,在无法保证能消除这些显著风险的前提 下,金融数据的使用场景是严格受限的,它会暴露企业自身的经营策略、财务状况、战略布局等商业 机密,同时面临
22、合规风险。 发展隐私保护技术正是消除这些限制的关键, 表2列出了部分以隐私保护为产品设计卖点的初创公 司和上市公司估值融资数据, 反映了全球资本市场对隐私保护产业市场前景的认可。 除了数据业务创新本身,相关合规监管需求也为隐私保护产业开拓了新的业务空间。在当前数据 传播速度之快、影响受众范围之广的信息时代,研发即时高效的合规监管技术是规范整体隐私数据产 业生态健康发展必不可少的重要前提。隐私数据在不同法律体系下关于披露信息的类别频次有着不同 的合规需求,技术实现上需要平衡监管信息全面性和隐私信息机密性。例如,监管部门一般不会要求 企业将所收集的全部敏感个人信息送报监管部门,否则监管部门自身可能
23、会演化成一个系统性风险, 一旦被充满恶意的黑客攻破,后果不堪设想。因此,我们需要研发更灵活、更及时、更有效的隐私保 护技术以平衡各方的需求,监管科技本身也将成为另一个前景广阔的蓝海市场。 1.2 市场前景广阔 3 0000100101010100011110000111000011010101000011100010101010000000000000000011000010000100101010001100000001110101010100000001010111000001010101001000010010101010001111000011100001101010100001110
24、0010101010000000000000000011000010000100101010001100000001110101010100000001010111000001010101001 0000100101010100011110000111000011010101000011100010101010000000000000000011000010000100101010001100000001110101010100000001010111000001010101001000010010101010001111000011100001101010100001110001010101
25、0000000000000000011000010000100101010001100000001110101010100000001010111000001010101001 0000100101010100011110000111000011010101000011100010101010000000000000000011000010000100101010001100000001110101010100000001010111000001010101001000010010101010001111000011100001101010100001110001010101000000000
26、0000000011000010000100101010001100000001110101010100000001010111000001010101001 0000100101010100011110000111000011010101000011100010101010000000000000000011000010000100101010001100000001110101010100000001010111000001010101001 00001001010101000111100001110000110101010000111000101010100000000000000000
27、11000010000100101010001100000001110101010100000001010111000001010101001 00110000111000011010101000011100010101010000000000000000011000010000100101010001100000100101010100011110000111000011010101000011100010101010000000000000000011000010000100101010001100000001110101010100000001010111000001010101001
28、00110000111000011010101000011100010101010000000000000000011000010000100101010001100000100101010100011110000111000011010101000011100010101010000000000000000011000010000100101010001100000001110101010100000001010111000001010101001 001100001110000110101010000111000101010100000000000000000110000100001001
29、01010001100000100101010100011110000111000011010101000011100010101010000000000000000011000010000100101010001100000001110101010100000001010111000001010101001 010101000011100010101010000000000000000011000010000100101010001100000100101010100011110001010100001110001010101000000000000000001100001000010010
30、10100011000001001010101000111100 010101000011100010101010000000000000000011000010000100101010001100000100101010100011110001010100001110001010101000000000000000001100001000010010101000110000010010101010001111000101010000111000101010100000000000000000110000100001001010100011000001001010101000111100010
31、1010000111000101010100000000000000000110000100001001010100011000001001010101000111100 作为一个热门课题, 尽管隐私保护被学术界和产业界关注多年, 但真正有影响力的相关落地产品并 不多, 能够提供公开可验证效果且不依赖对平台服务商信任的强隐私保护的产品更是寥寥无几。 造成这 一现状的原因很多, 但通常会涉及到以下两项常见的挑战。 第一项是隐私保护需求因人而异, 如何满足千人千面的挑战。 该需求对于需要用代码预先写下固定 规则的信息化系统极不友好, 一套实用的隐私保护技术解决方案必须足够模块化, 提供灵活的系统适
32、配 性和扩展性。 第二项是技术方案应该基于什么理论来构建, 如何选取信任源的挑战。 相对第一项挑战, 业界对于第 二项挑战的解决方案颇具争议。 常见的问题之一是量子计算机对经典密码学的影响几何? 另一个对应的 问题是基于国际芯片厂商的Intel SGX硬件可信计算环境, 是不是能够真正万无一失? 密码学算法和硬件 可信计算环境, 哪一个更可靠? 业界至今没有一个能够让各方认同的标准答案。 无论最后的选择是什么, 关键要明确选择的后果。 对于每一个隐私保护技术方案, 我们需要思考以下 三个基本问题: 现实中的隐私保护技术解决方案需要考虑的问题需要更加全面。 在下一章节中, 我们将具体分析现 有隐
33、私保护技术面临的四大挑战: 通用方案的实用性困境、 现有架构的局限性难题、 用户体验的易用性取 舍、 商用方案的有效性存疑。 回到以上提出的三个基本问题, 每一个有效的隐私保护技术解决方案需要给 出相应的答案。 只有这样, 作为数据属主的用户才能充分了解隐私保护方案的实际效果, 以及最坏情况下 的潜在风险。 这三个问题的答案也会帮助我们明确不同场景下的不同隐私保护需求, 从而定制优化技术 解决方案, 实现数据权益和隐私风险的最优平衡。 如何处理好以上这些变数, 对于促进有影响力的隐私保 护产业化落地至关重要, 也为隐私保护技术实用化创造了巨大的发展空间。 依托什么?该方案的设计基于哪些安全假设
34、? 这些安全假设在目标应用场景中是否可靠? 是 否合规? 1.3 技术尚未成熟 保护什么?该方案实际提供了哪些保护效果? 这些保护效果是否涵盖了目标应用场景中全部 隐私保护需求? 警惕什么?该方案没有保护什么? 可能出现什么不可接受的意外后果? 这也是隐私保护与信 息安全最大区别之一。 信息安全关注是否可以访问机密数据, 而隐私保护更关注是否可以从未保 护的其他信息推断出隐私数据。 4 伴随第5代移动通信技术与物联网的普及, 万物互联的时代即将到来, 隐私数据井喷的时刻或将随之 而至。 在过去, 用户往往只有在与终端交互的过程中会产生隐私数据, 但在将来传感器漫布的智慧环境中, 无时无刻都会有
35、关于用户的隐私数据产生。 智慧医疗将有能力实时监控人体的健康体征数据, 智慧家居将提供全屋物联主动式服务, 智慧城市 将链接城市中所有基础设施、 人流、 车流和物资流。 这个过程必将产生海量隐私数据, 其内容会更丰富, 时 效性会更强。 以人工智能为代表的深度数据理解分析技术, 人们在获得巨大收益的同时, 隐私风险可能会超比例 地放大。 例如, 通过分析实时的人流、 车流和物资流, 对于个人和企业精准动态监控极有可能成为现实, 个 人试图保留自己的私密空间, 企业试图保护自己的商业机密也将变得相当困难。 1.4 应用潜力无限 能力越大, 责任越大。 隐私保护技术方案很有可能成为其中的平衡者,
36、通过赋予数据属主对自身数据 的控制权, 尊重属主自身意愿, 实现自主选择, 避免潜在的系统性风险。 这些真实迫切的需求会为隐私保 护重量级应用落地提供良好的契机, 隐私保护技术本身也会因此获得大量资源而蓬勃发展。 放眼未来, 不 一定会出现一个通用的隐私保护应用能解决所有的隐私保护问题, 但是一定会出现一个隐私保护应用生 态群体, 在各自的特长领域中达到收益和风险的最优平衡, 融合万家数据, 实现核心价值互联, 推动新兴 商业创新, 实现潜力发掘的最大化。 5 在6000多年的人类文明历史中, 隐私虽然是一项本能性需求, 但直到近代, 隐私的概念才因对照相 技术的恐惧而正式成型。 伴随着科学技
37、术的飞速进步, 隐私的风险也被极速放大。 20年前定位一个用户 的地理位置需要派人物理跟踪, 然而现在GPS定位系统已广泛内置到智能手机中, 形形色色的移动应用 中说不准哪一款应用就可以通过读取GPS数据轻松远程跟踪该手机用户。 隐私风险并不是空穴来风, 作 为科学技术发展的必然产物, 为了平衡技术外延性中的收益和风险, 隐私保护技术产业化已是大势所趋。 本章将从设计理念、 系统集成、 用户体验、 信任基础四个关键角度, 阐述隐私保护技术在现代信息化 社会中有效落实并形成产业规模化所需攻克的技术挑战。 隐私保护通用解决方案, 无论在学术界还是工业界, 很长时间以来一直都是被关注的焦点问题之一。
38、 一旦能够在一个合理的安全假设下设计一个广泛有效的解决方案, 其影响力是显而易见的。 遗憾的是, 正 如之前产业分析中所指出的, 隐私保护并不是一个纯粹的计算问题, 一个普适所有场景的方案可能并不 存在。 即便在理论上可行, 其性能指标也难以满足现代信息化服务的高吞吐、 低延时等实际需求。 如同万 能的图灵机, 虽然能够模拟一切可计算过程, 实现任意复杂的计算, 但在现实中, 没有任何一个产品系统, 会直接在图灵机上开发和部署, 这就是通用方案的实用性困境。 有望接近通用解决方案的技术目前主要有基于计算困难性理论的安全多方计算、 同态密文计算和零 知识证明。 基于计算困难性理论的安全多方计算可
39、以进一步细分为基于混淆电路的方案或者基于 秘密分享的方案。 基于混淆电路的方案将所需计算的函数表达成一个巨型的布尔电路,例如,目前表达一次 SHA-256 计算至少需要使用 13 万个布尔门。尽管学术界已经提供了大量优化方案,通用 电路转化的过程依旧很复杂。由于需要使用不经意传输技术来安全地提供电路输入,即便 在有硬件加速的条件下,这类方案的处理吞吐量和计算效率依旧很低。 2 隐私保护技术产业化挑战 2.1 通用方案的实用性困境 基于秘密分享的方案采用了数据分片的设计理念,将每一份数据按照计算参与方的总数分 成多个分片,运算直接在数据分片上进行,最终汇总之后的运算效果等同于使用原始数据 直接进
40、行计算得到的效果。数据分片通常使用加和分片算法,计算效率大幅提高,但由于 需要广播分发与回收数据分片,支持乘法还需额外数据交互,网络通讯的代价很高,处理 海量数据时势必会遇到性能瓶颈。 6 以上三类技术都有显著的实用性限制,业界也有尝试依赖可信硬件执行环境来构建通用解决方案, 但其实际隐私保护的有效性很难公开验证,在后面的章节我们会具体讨论相应的问题。WeDPR 为了避 免通用方案的实用性困境,采用了场景式设计哲学,针对核心业务场景中的个性化隐私保护需求,提供 预优化的技术选型和解决方案。这将大幅减少通用性方案适配具体应用场景的二度设计和定制集成的代 价,缩短产品落地时间,提供即时可用的开发体
41、验,助力隐私保护应用产品赢得市场先机。 同态密文计算的理念是数据属主各自将自己数据加密,然后把所有密文上传,在密文的基 础上直接计算,然后解密最后的结果密文获得计算结果。由于需要进行最后解密才能完成计 算,对于多方参与且缺乏中心信任方的应用场景,这将带来如何指派中心化的信任方来管理 数据密钥的难题。除去这一中心化的隐患,全同态密文计算算法,即支持加减乘除完整算术 运算,依旧有着显著的性能问题。在 2016 年,IBM 首次发布 HELib 的 C+ 开源类库时,全 同态运算比对应的明文运算慢一百万亿倍。尽管后来对算法实现进行了大量优化,学界甚至 提议使用专用硬件进行进一步加速,全同态密文计算效
42、率依旧是一个未决的挑战。相比之下, 半同态密文计算算法,如仅支持加减算术运算,已经可以达到商业可用的性能,但是由于其 并不具备图灵完备性,使用场景有限。 零知识证明的理念是通过将约束关系关联到计算困难性理论,在证明者不透露被证明数据 明文的前提下,向验证者证明约束关系的正确性,被证明数据有极大概率满足验证者指定的 约束关系,例如证明转账金额不是一个非法的负数。根据选用不同计算困难性理论,零知识 证明可以有多样化的构造方式,在不同安全假设下实现高效的数据验证。需要注意的是,由 于约束关系必须由验证者预先指定,零知识证明不能直接用来进行结果未知的算术运算。所 以,零知识证明不能解决密文计算、安全哈
43、希等需要计算的问题。 除了上述性能问题, 无论选用哪一类方案, 在计算参与方数量增加时, 方案的整体性能代价 往往会超线性增长。 大量的两方安全计算方案在需要引入第三个计算参与方时便无法扩展 使用, 然而, 如果只能支持两方安全计算, 应用场景非常受限。 7 隐私保护很少以一个独立的产品形式存在,更多的情况下必须要考虑与存量系统技术架构的兼容性 问题,以及如何与其他业务特性协同构成完整的产品体验。具备严格执行力的隐私保护相关法案条例在 近几年才正式生效,至此才明确要求了企业使用技术手段来保障数据隐私并向数据属主提供有效的数据 控制方式,企业内部对于隐私保护的关注由此正式从法务合规转向技术合规,
44、这一改变尤其对中小型企 业造成巨大冲击。早期产品架构设计往往未充分考虑对隐私保护技术的集成扩展,企业自身缺乏研发隐 私保护技术的专业储备。对于一个成熟业务,如果需要对现有技术架构进行大量改造才能集成隐私保护 特性来实现合规准入,其代价通常是难以接受的,这就是现有架构的局限性难题。 隐私保护技术与存量业务系统集成过程中常见的兼容性问题有以下两类。 应对以上兼容性挑战的关键在于隐私保护方案设计解耦是否充分, 模块边界是否具备足够的普适性。 WeDPR 在设计之初将集成优化作为核心需求,尽力避免依赖任何特定平台的非通用特性,通过分层式 架构在多个层次上划分功能边界,设定可插拔的抽象数据交互接口,在各
45、个所需的架构层次上实现自由 逻辑拆分和组合,对于高频组件如监管支持、密钥管理等提供充分的备选方案设计,最小化为克服环境 限制而引入的优化定制成本。 平台依赖是指存量业务已经在某一个平台环境里部署并实现了稳健运行后,隐私保护方案需 要依赖另一个平台环境的特性,不得不在多个平台之间进行系统迁移。迁移过程存在大量不确 定性,影响现有业务的可用性,引入额外的部署验证代价。这一问题常出现在平台服务商捆绑 销售技术方案时,例如,云厂商的隐私保护方案与自身云服务接口深度结合,难以分离使用。 环境限制是指当存量业务所依赖的环境或者设备终端缺乏必要的计算或存储能力时,隐私保 护方案中所需的复杂功能难以部署。例如
46、,物联网终端设备芯片处理能力和存储能力都不足以 支撑复杂的业务逻辑,需要对业务逻辑进行简化。另一个常见的例子是,小程序等轻客户端应 用预置的密码学类库比较有限,前沿的密码学算法库无法直接加载,轻客户端存储的数据也可 能会因为用户终端设备内存不足而被突然清空。如果隐私保护方案设计只考虑了功能齐全的服 务器环境,对于其他功能受限的环境便无法部署。 2.2 现有架构的局限性难题 8 隐私保护技术作为一个整体系统解决方案, 用户体验往往是其中易遗忘的重要环节。 隐私保护技术 实现效果的前提往往需要做出取舍, 通常要引入额外的交互或记忆需求。 在交互方面, 不少隐私保护技术 如安全多方计算, 为了保障所
47、有参与方都能公平地获得协作成果, 不得不采用多轮交互的方式, 每次仅给 出部分数据相关的信息, 防止少数参与方获得其他参与方完整信息之后恶意退出或破坏协议。 在记忆方 面, 如果数据属主希望真正掌控对数据的控制权, 数据的密钥必须掌握在自己手中, 但考虑隐私数据的体 量和数据属主自身的认知能力限制, 能够安全记忆并随时使用的密钥个数和大小十分受限。 反之, 如果方 案设计偏向易用性, 隐私保护方案保护效果就会打折, 这就是用户体验的易用性取舍。 以上问题对于没有人类用户参与的场景, 通过增加设备资源能一定程度解决。 一旦把作为数据属主 的人类加入到系统控制流中, 受限于人类认知能力的极限, 很
48、难有同时在易用性和安全性上两全的标准 答案。 任何一个只展示神奇技术效果却不要求用户进行必要参与的隐私保护方案一定会蕴含隐私风险, 通常表现为以下两种形式。 尽管以上易用性取舍很大程度上反映了系统设计的内在局限性,但在分析具体取舍之前,更关键的 是理清这些取舍的必要性。WeDPR 深刻思考了人类在整个隐私生态体系中的角色和作用。隐私数据始 于人、利于人、终于人。作为一个有效的隐私保护方案,通过引入社会学、心理学和经济学原理、理性 参与者模型、多方激励机制等突破性优化因子,推动无感用户体验和有效隐私保护之间的平衡向帕累托 最优靠近。 2.3 用户体验的易用性取舍 密钥托管:密钥是所有基于密码学理
49、论构建的隐私保护方案中最为关键的数据。 谁掌握了密 钥, 谁就掌握了对应数据的实际控制权, 所以密钥也是最有价值的数据。 如果平台服务商提供全 权托管服务, 用户在使用隐私保护方案的过程中, 自始至终都没有使用自己的密钥, 对应隐私数 据使用实际并不受用户控制。 真实的控制权在平台服务商手中, 最终实现的隐私保护效果和未 曾部署任何隐私保护方案的信息系统没有本质差别。 授权托管:授权操作是数据属主的关键权益之一。 隐私数据的采集、 分享、 使用、 存储、 遗忘等 过程中, 如果全程用户无感自动化完成, 则需要警惕授权控制是否真实存在。 主流方案提供的是 事前控制和事后更正, 即处理隐私数据前询问用户的意愿, 之后允许用户改变意愿对之前的设 定进行补救。 如果以上这些控制都不存在, 最终实现的隐私保护效果与全权信任平台服务商如 出一辙。 9 隐私保护技术的商业化进程目前尚属早期, 在各种解决方案展示过程中, 我们能够比较清晰地看到 作为关键目标的隐私保护效果和潜在应用场景。 但是, 现有方案对于支撑方案的技术设计和效用取舍往 往缺乏客观完整的披露。 隐私保护方案部署之后, 也难以独立于方案服务商公开验证其有效性。 回归到隐 私保护方案三大基本问题中第一个也是最重要的问题方案依托什么? 尽管大多方案会展示大量的技 术术语来阐述方案完备性, 但以业内共识的箴