杜絕數據濫用:Visa探索基於區塊鏈的數據傳輸新方式

杜絕數據濫用:Visa探索基於區塊鏈的數據傳輸新方式

摘要

  • 信用卡支付巨頭 Visa 的研究團隊已經公開了一篇論文,描述了 LucidiTEE 的開發情況;LucidiTEE 是一種區塊鏈系統,可以在多方之間處理敏感數據。
  • 舉例而言,該論文所概括的系統可以讓銀行和金融科技應用之間貢獻數據,且無需依賴數據聚合中介方。
  • 雖然歐洲一直在用 GDPR(歐盟通用數據保護規範)這樣的立法措施來為客戶數據安全共享設定標準,美國的銀行則不得不對數據聚合方達成協議。
  • Visa 是世界上最大的信用卡支付網絡,而 Visa 公司一直在悄悄地開發一種區塊鏈系統,可能會顛覆當前銀行與消費級金融應用如 Mint 和 Credit Karma 之間傳輸客戶交易數據的方式。


在一篇 Visa 研究和開發部門出版的論文中,研究員說明了一種叫做 LucidiTEE 的系統,該系統的主要框架包括在區塊鏈上分享敏感人數據、在可信執行環境(TEE)中混淆數據、使用基於歷史的措施(history-based policies)來保證每一方都能收到計算過程的一個輸出值。(該系統的名字正是合成自 “TEE” 和 “lucidity(清澈)”。)


LucidiTEE 的第一個應用就是在客戶和金融 App 之間共享數據。根據瞭解 Visa 戰略構思的人士分析,這樣一種功能可能會打擊 Pladi、Envestnet Yodlee、Finicity 一類的數據聚合商。
LucidiTEE 也可以讓銀行通過分享數據來訓練機器學習算法,並用於跟蹤欺詐或防止金融數據記錄 App 向 Google 這樣的科技巨頭售賣匿名的用戶數據。
Visa 尚未回應各方的評論請求。
該論文公佈在密碼學電子出版物檔案網站上,聲稱 LucidiTEE 是 “第一個可以讓多方共同計算大量級隱私數據、同時還能保證政策兼容性(即使輸入提供方離線)和對所有輸出接收方公平性的系統。
Visa 曾是 Libra 聯盟的創始成員,但在聯盟啟動以前就退出了。這個金融服務巨頭也在試驗一套基於區塊鏈的 B2B 支付服務,最開始是跟區塊鏈初創企業 Chain 一同開發的,其設計目的在於擺脫效率低下的銀行網絡實現跨國的商業轉賬。
Visa Research 也為整個安全和密碼學社區提供服務,所以研究成果可能被競爭對手利用。但 Visa 也可以在未來靠知識產權獲利。
這個系統也在 Tendermint 和 Hyperledger Fabric 上做過測試,兩者都可以在公開領域(public domain)獲得。不過這個系統也可以被用於使用權益證明共識機制因而無分叉的公鏈上,比如 Algorand 或以太坊 2.0,後者計劃明年就能上線。

數據聚合商將面臨挑戰

雖然這篇論文還在同行評議階段(peer review process)。它顯示了 Visa 的渴望——儘可能少的讓用戶數據在不同的公司間共享,讓消費者能更切實地掌握自己的數據。
金融科技 App 曾經鼓勵銀行跟第三方數據聚合商達成合作,從客戶處獲取、清洗並規範金融交易數據。“透明銀行(Open banking)”運動的哲學就是讓銀行與金融科技應用分享數據,後者是直接向客戶提供服務的。
數據聚合商已經變成了銀行系統的關鍵部分,因為幾百萬的消費者都在使用記賬軟件 Mint、微投資工具 Acorns 以及點對點支付應用 Venmo 這樣的金融科技 App。總部位於舊金山的 Plaid 是這類數據聚合商當中最大的,其市值高達 25.6 億美元;他們為多個個人金融 App 以及密碼學貨幣交易所 Gemini 和 Coinbase 提供支持,讓他們能觸達用戶的金融數據。
數據聚合行業的初創企業乃是作為對爬蟲抓取(screen scraping)的替代方案而出現的,因為客戶要給金融應用敏感的登錄信息、讓這些應用能夠收集自己的交易數據。

——布萊恩·奈特(Brian Knight),喬治梅森大學(George Mason University)麥卡特斯中心(Mercatus Center)金融市場研究組的高級研究員如是認為。
奈特還說,銀行一直牴觸與數據聚合商分享信息,直至多德-弗蘭克法案(Dodd-Frank Act)出臺,要求金融機構以電子文件形式保存消費者的記錄。聚合商主張自己是消費者的代理。在最近一份金融科技報告中,美國財政部站在了數據聚合商一邊,但消費者金融保護局沒有對此發表評論。
在歐盟通用數據保護規範(GDPR)這樣的監管措施下,銀行和數據聚合商已經形成了非正式的和正式協議,對聚合商如何處理客戶數據達成了共識。不過,在這個過程中銀行是有選擇性的。當雙發對數據分享標準有分歧時,銀行會切斷數據聚合商的權限,阻止客戶使用金融 App。
要讓 LucidiTEE 能在客戶交易數據領域發揮作用,行業也需要接受一種公開的數據分類標準,每個實體都需要遵循的那種。在決定是否要使用這套技術的時候,銀行業需要權衡堅持使用數據聚合器或者投入新系統的利弊。奈特如是說。
奈特強調:“普及區塊鏈的部分困難在於它似乎要移除中介。但是,雖然說中介可能要收租,他們也可以創造價值。”

“精細控制”

審閱過 Visa 的論文之後,總部位於鹽湖城的數據聚合商 Finicity 聲稱該文所提議的系統無法提供當前聚合商所能提供的服務質量。
“把這個過程描述為數據的交換是很簡單的;但你要對大量不同的應用場景、數據完整性、數據多樣性、安全性、隱私性、監管措施,等等,都分層實現,它的難度就會顯現出來”,Finicity 的聯合創始人尼克·托馬斯(Nick Thomas)在郵件裡這麼說。
不過,托馬斯也表示,Finicity 作為基於 ID 的 Sovrin 基金會的創始管理人,也在尋找解決的辦法。
“一切都是為了給客戶對自己財務數據的更細顆粒度和更安全的控制,並且讓他們能夠充分知情、做出更好的財務決策”,托馬斯說。
LucidiTEE 強制使用基於歷史的措施,類似於智能合約,但還具有讀取整個區塊鏈的能力。這就保證了,即使用戶離線了,他們的信息也不會在沒有授權的情況下被濫用。
論文還假設了一種 “惡意設置”。系統會使用協議來保證輸出會發送給每一個此前被授予了渠道訪問輸出的參與方。區塊鏈此時就像一個託管賬戶,用戶可以引入他們想要執行的措施,比如分享加密後的數據給 Mint,然後返回可以顯示消費者消費地點的圖表。


根據這篇論文,LucidiTEE 的區塊鏈還保證了可信執行環境——就是一個加密的數字空間,可以處理敏感數據——只會執行特定的計算。這樣一來,掌握 TEE 的公司也不能偽造數據,而參與 LucidiTEE 的各方都無需運行 TEE。
然後,賬本會保存所有加密後的輸入和輸出哈希值,以及所運行的函數,並用於基於歷史的協議決定什麼時候該進行下一個運算。

翻譯:閔敏

本文版權屬於 CoinDesk 中文


分享到:


相關文章: