激发数据潜能 银行争相借力数据交易所与隐私计算技术胜算几何

21世纪经济报道记者 陈植 上海报道
为了更好激发数据潜能助力实体经济发展，相关部门连续出台政策。
2月底，相关部门印发《数字中国建设整体布局规划》提出，到2025年，基本形成横向打通、纵向贯通、协调有力的一体化推进格局，数字中国建设取得重要进展；到2035年，数字化发展水平进入世界前列，数字中国建设取得重大成就。
去年底，《关于构建数据基础制度更好发挥数据要素作用的意见》（下称“数据二十条”）面世——要充分发挥我国海量数据规模和丰富应用场景优势，激活数据要素潜能，做强做优做大数字经济，增强经济发展新动能，构筑国家竞争新优势。
中央财经大学副教授徐翔表示，数据二十条对激发数据潜能的助推作用，主要表现在五大方面，一是合理降低市场主体获取数据的“门槛”，包括技术门槛、制度门槛、使用门槛；二是建立数据可信流通体系，增强数据的可用、可信、可流通、可追溯水平；三是把安全贯穿数据供给、流通、使用全过程，包括企业内部数据；四是不得采取“一揽子授权”、强制同意等方式收集数据；五是在保障安全前提下，推动数据处理者依法依规对原始数据进行开发利用。
对银行等金融机构而言，如何按照上述政策要求进一步激发数据潜能并促进各项业务高质量发展，仍是一大挑战。
记者多方了解到，近年各家银行都在积极推进中台能力建设，包括打造业务中台、数据中台与智能风控中台，通过搭建中台的系统一体化能力，将原先分散冗长的风控流程与数据孤岛整合起来，提升业务营销、运营、风控等环节效率。
目前，各家银行还致力于盘活内外部数据，在贷前环节构建智能图谱、黑灰名单、反欺诈模型、交叉验证模型等对客户进行业务准入筛查、反欺诈评估与信用评分；在贷中贷后环节则利用大数据做宏观经济监测与客户全生命周期视图，收集各类司法与舆情最新信息，尽早识别潜在风险做好应对策略。
多位银行人士表示，在激发数据潜能环节，银行也面临诸多挑战，包括在采购外部数据时如何精准评估这些数据来源的合规性，在数据使用过程如何避免业务部门滥用个人隐私数据，在数据挖掘过程如何打通不同业务部门、不同外部机构的数据接口与技术系统，令数据分析发挥最大化效果。
腾讯安全金融风控总经理陈波告诉记者，这背后，是数据流通仍面临诸多实际操作痛点。目前数据流通主要分成两种模式，一是传统的C2B模式，即银行要求用户打印个人数据交给银行，但在这个过程，用户线下打印耗时长，并且数据或面临篡改风险；二是B2B模式，即银行要求用户授权查询三方数据，但用户往往不知道哪些数据被银行使用，这些数据用途有哪些，容易引发用户因自身数据被滥用，与银行发生矛盾。
“因此我们研发了促进数据流通的工具产品‘信鸽’，它一方面由用户在知道银行的数据使用用途与所需数据范畴后，自己操作提供个人数据，确保数据提供流程合规合法，另一方面通过区块链技术与公证处合作，对用户提交数据是否与公证处存证的数据做比对，确保数据真实客观并杜绝数据篡改风险。”他告诉记者。此外，腾讯安全正致力于打造一套智能的大数据智能决策系统‘TenDI（腾讯天御决策系统）’，协助银行在TenDI系统兼容不同的数据接口与风控引擎、隐私计算等技术，助力银行更高效地盘活不同业务部门与外部机构数据，持续提升自身业务营销、运营与风控效率。
一位城商行数字银行部负责人告诉记者，除了积极引入第三方金融科技平台解决数据采集与使用过程的各种痛点，他们还寄希望通过地方政府数据交易所解决数据确权、数据公证、数据安全评估等问题，从而能更大范畴使用工商、海关、司法、税务等数据向小微企业提供更个性化的金融服务。
他直言，在数据使用与激发数据潜能环节，目前他们还遇到的一大挑战，是信贷风控模型需使用大量用户隐私数据，但银行内部数据往往是整合的，很难溯源数据来源，无形间对用户隐私数据的授权范畴界定，以及使用场景与使用方式的评估带来新的合规风险。
“尤其在《数据安全管理办法实施意见稿》出台后，银行不但需以更严格标准落实内部数据使用管理，还要对外部数据做统一采购、统一管理与统一接入。目前数据来源真实性与合法性审查相当大，需要各方协力解决。”这位城商行数字银行部负责人强调说。
银行的数据合规使用新挑战
随着“数据二十条”等政策面世，各家银行在数据采购、共享、存储与使用等方面持续构建更严格的管理标准。
一位东部地区省联社产品研发部副总经理向记者表示，以往只要业务需要，他们就会采购各类数据，但随着近年相关部门持续推进数据安全认证与合规使用，目前他们侧重于与地方政府部门与持牌征信机构开展数据共享，确保数据来源的合规性与可追溯性。
“目前，我们对外部数据采集流程建章立制，由风控部门、法律合规部、数据能力建设部门与业务部门共同制定操作流程，对数据来源合规性进行评估，构建数据合规使用的具体流程与操作规范。”他告诉记者。
但在实际操作环节，他仍发现某些个人隐私数据仍存在滥用与保护缺失问题，比如业务部门在拒绝某些企业或个人贷款申请时，会直言他们查到这些企业个人还有其他信贷债务尚未归还，有些业务部门人员在搭建风控模型时往往能接触到大量用户隐私数据，个别协助银行搭建技术系统的外包人员也能“接触”到某些用户隐私数据。
他们对此正积极提进隐私计算技术在内部数据与外部数据共享环节的应用，力争将个人隐私数据做到“脱敏化”与“标签化”，有效保护个人数据安全。
但他发现，在推广隐私计算技术过程，他们同样面临新的操作痛点，一是与不同外部数据供应商的互联互通难度较大。具体而言，各家数据供应商都有着自己的技术系统，导致同样的数据存在不同的表达方式与技术接口，整合难度较高；二是隐私计算技术可以开展静态的用户数据特征分析，但无法用于实时的信贷风控决策，因为银行现在的转账信贷审核都是毫秒级，在如此短时间内无法通过隐私计算技术掌握资金用途或个人信贷资质的具体信息；三是目前银行与一些外部数据供应商开展基于隐私计算的数据分享时，有些涉嫌个人征信的数据尚未通过持牌征信机构，如何对这种操作进行合规界定，仍是一大空白。
陈波认为，这背后，折射出银行各个部门经常会引入不同隐私计算平台、决策引擎、身份管理、数据管理系统等，导致其数据使用技术体系相当分散，很难将外部引入的三方数据更高效地应用到业务决策过程。
“针对这种状况，我们研发的TenDI系统（腾讯天御决策系统），它涵盖了银行大数据智能决策经常需要用到的功能组件，包括数据网关，指标加工平台，模型训练和管理平台，决策引擎，知识图谱，联邦学习，报表系统等，通过类似于操作系统的底座打通了这些功能组件，”他指出，它的好处主要表现在两点，一是兼容银行原有的技术系统，令银行更快将原有系统里的数据模型和策略在新的系统做迁移，避免重复造轮子，二是可以辅助银行将小微、对公、零售业务的风控体系进行打通，从而协助银行刻画同一个用户在不同业务部门的业务状况，更全面清晰地掌握其金融需求并给予针对性金融服务与信贷风险管理做法，改变银行传统的烟囱式风控体系。
一位城商行数据治理部门主管向记者透露，目前，隐私计算技术已被证明是多方联邦安全建模领域的重要基础设施。但它同样存在建模效率低下、多方加密协议不规范等问题，尤其是他们与当地电信运营商、政府部门开展基于隐私计算的数据共享时，面临不同技术参数的整合烦恼。目前，他们也希望第三方金融科技平台能够发挥自身科技研发优势，在确保“原始数据不出域、数据可用不可见”的情况下，协助银行整合不同隐私计算技术与统一脱敏数据界定标准，进一步提升银行的数据采集分析使用效率。
地方数据交易所的“新作用”
随着“数据二十条”等政策出台，目前越来越多银行都将目光瞄向地方政府数据交易所，作为提升数据获取合规性与使用规范性的新路径。
一位股份制银行数据资源部人士向记者透露，近日他们相继拜访了多地政府部门开设的数据交易所。
“这背后，是我们认为随着数据监管生态持续完善，未来经官方认可的数据要素流通平台将成为数据流通交易的主流。”他指出。目前银行向第三方金融科技机构采购数据，更像是场外交易。未来在国家相关政策引导与支持下，这类场外交易将逐步转向场内——由地方数据交易所作为权威第三方机构对数据公证、安全评估、数据仲裁等配套措施支持，能更有效地缓解当前银行对外部数据采集使用的合规操作压力。
他直言，经过初步交流，目前不少地方政府部门数据交易所主要开展纯粹的数据流通服务，尚未对数据来源合规性、数据确权、数据交易定价、数据安全认证、数据仲裁等提供配套服务，未必能解决银行对数据合规采集使用方面的某些顾虑。
记者获悉，近日出台的《数据安全管理办法征求意见稿》提出，银行需对外部引入的数据安全模型算法进行完善管理，尤其在研发过程需做到主动管理，并实现模型算法的可验证、可追溯与可审核。但是，目前这类模型算法投入使用前的数据安全审查，仍是一片空白。
上述股份制银行数据资源部人士直言，目前外部数据来源的真实性与合法性审查，都压在银行端，且相关部门在银行引入共享使用外部数据时，也要求银行对外部数据提供方进行数据安全评估与审查。
“此外，要真正打通数据安全模型算法里的外部数据，仍面临诸多挑战，一是目前外部数据供应商与银行的数据技术与数据接口差异较大，如何统一数据界定标准与技术使用标准仍是一大挑战，二是随着《个保法》等政策出台，银行内部如何避免个人隐私数据过度使用等问题，仍需建立完善的操作细则，尤其是杜绝业务部门随意调取个人未经授权的隐私数据作为预判信贷风险的依据。”前述城商行数据治理部门主管向记者指出。
陈波告诉记者，针对不同银行的差异化数据采集使用合规安全要求，腾讯安全正着手打造四维一体的金融风控的服务，包括PaaS类服务、SaaS类服务等，此外他们会根据银行零售、交易、营销等方面的特定数据使用需求与业务要求，针对某些特定场景提供定制化服务与综合解决方案。
在徐翔看来，当前的数据管理政策主要关注数据流通层面，未来不排除更多聚焦数据生产与合规使用的措施将会面世。具体而言，相关部门既会要求数据生产层面保证数据优质供给，又在流程方面确保数据合规流通，以及在使用层面促进数据安全发展。
“数据产业的下一步发展趋势是建立安全管理认证制度，不光企业内部要做，还要找专门的机构认证，进一步引导企业通过认证提高数据安全管理水平。最终形成政府监管与市场自律、法治与行业自治协同、国内与国际充分统筹的新局面。”他指出。