数据安全要求升级 银行竞相搭载“可信AI”保驾护航
谁是“关键信息基础设施的运营者”?如何确保数据安全?相关话题再度引发关注。
金融机构拥有庞大量级的数据资源和数据资产,一向是数据合规治理中的焦点。证券时报记者调查发现,随着数据资源的价值越来越受重视,法律法规、行业标准密集落地带来的合规要求也在提高,在多方合力下,越来越多金融机构加大对隐私计算等技术的投入。
事实上,近期个人信息保护法、数据安全法两部顶层法律的先后落地,各行业对数据安全的讨论与重视度也空前高涨,金融业更是走在了最前列。
证券时报记者了解到,去年年底以来,已有十余家头部大行、股份行以及部分城农商行立项,寻求利用包括隐私计算在内的“可信AI”(人工智能)技术打通内部数据或接入外部数据。所谓“可信AI”,一大特征是各方数据在“盒子”里自行运转而不出“盒”,在不可见的前提下,实现多方数据共享。
“这种技术去年之前还无人问津,因为这对于机构而言是一个成本项,商业落地需求并不明显。”一位业内人士表示,这一市场的爆发式增长,侧面反映金融机构对数据安全与合规使用的要求正在进一步加强。同时,也更说明了金融机构对于数据的渴求。
第三方技术供应商
订单成倍增长
“从去年年底央行发布多方数据合作的金融行业标准开始,银行就着手在做隐私计算的立项了。”星云Clustar首席执行官(CEO)陈沫向证券时报记者表示,“所以今年6月数据安全法出来,银行端可能没有太多的变化,因为已经做在了前面。”所谓隐私计算,是指在基于数据可用不可见的前提下,实现数据安全共享价值挖掘的技术体系。
2020年11月,央行发布《多方安全计算金融应用技术规范》,今年3月《金融业数据能力建设指引》出台。两份行业标准进一步明确了金融机构处理数据时要遵循“安全合规、最小够用、可用不可见”等基本原则,确保数据所有权不因共享、应用而发生让渡。
行业标准的发布为金融行业提供了实操参考。陈沫告诉记者,今年上半年20多家头部国有银行、股份制行中有一半已经立项,还有大量项目PoC(Proof of Concept)正在进行,即银行在正式采购或项目落地前,对产品或供应商能力进行验证。
银行对引入隐私计算等技术的热情越来越高,与业务需求变化有关。一位农商行网络金融部人士告诉记者,外部数据采购需求确实在增多,数据安全与合规问题对银行的重要性空前凸显。
该人士解释,相关政策进一步落地以后,一些场景金融的零售信贷业务还是受到一些影响,这也使得银行愈发感受到“关键部分要自己掌控”。“说白了,就是银行已经不满足于第三方提供的一些评分产品,现在想自己建模。”另一位业内人士说。
伴随银行需求的强劲增长,一些第三方技术供应商的订单量也出现成倍增长。同时,这些供应商还有一个更为明显的感受——竞争对手也多了起来。“最明显的变化就是,想给银行做数据安全、隐私计算的供应商突然多了几十倍。”陈沫告诉证券时报记者,过去做大数据风控的公司都想要在这块业务上分一杯羹。
银行携手科技公司抢跑
不过,尽管规则已经出台,但各个项目真正落地仍需要时间,且不同银行进度也不一样。
有大行、城农商行基层人士均向记者表示,政策的传导还需要一定时间,从一线业务层面来看,尚未有具体的行业内部指导文件出台。
而本应更为注重数据的民营银行进度也存在差异。“除了领头的,其他民营银行数据营销这块做还不是特别好。”有业内人士向记者表示。
但证券时报记者也了解到,已有银行联合科技公司率先抢跑。例如,建行为统一管理全行内外部的数据资源,与星云Clustar合作搭建了全行级的联邦学习多方安全建模平台,尝试以“可用不可见”的方式打通银行内外部的数据孤岛,这也是目前国内金融领域内首个完全落地的隐私计算商业化项目。
IDC中国研究总监高飞与记者分享了该团队在开放金融数据共享中的隐私计算相关研究成果。据他介绍,浦发银行和蚂蚁集团两家企业针对零售贷款业务,采用多方安全计算的风险模型,开发了一整套风险评估解决方案。
具体做法是,该模型基于浦发银行及合作方的数据构建而成,以提高模型的有效性;蚂蚁集团方的职能是,为双方提供技术服务,在训练和运行两个阶段内均采取分布式部署,且双方都应用了加密算法。“数据可用不可见。”高飞称,“这意味着,任何一方的原始数据都不会泄露给另一方,并且也无法通过对训练结果的反向工程来推导原始数据。”
“与单一数据源模型相比,多方数据协作模型可以将模型的KS值(风控模型术语)提高12%至23%。由于KS值普遍用于评估风控模型的效果,数值越高则意味着模型精准识别风险的能力越强。”高飞介绍,在信用风险管理、识别高风险客户方面,该模型的运行效果是:识别超过14.5万名高风险客户,阻止了数十亿元的高风险贷款的发放;识别出了37万名低风险客户,潜在授信规模约80亿元。
证券时报记者从杭州一家头部大数据智能风控商高管处获悉,在业内,除了银行,保险、信托公司、金控集团外,在政务数据领域,也均有类似的基于数据安全隔离的模型合作尝试。他透露,“一方面是数据的供给侧,如政务数据方、央企国企等,数据覆盖面比较广;另一方面是数据的需求侧,比如金融机构、金融科技公司等,亟待合规的链接者,来担当这个桥梁身份。”
合规前提下“打捞”
隐藏海平面下的数据
有关个人信息保护与数据安全的政策法规正在密集落地,成为推动银行甘愿为隐私“买单”的最直接动因。
一直以来,在业内看来,金融行业数字化进展较快。“金融AI(人工智能)落地是做得最好的,因为金融机构数据量庞大,而且是标准化的、全面的、结构化的数据,模型运行能够非常成熟。”同盾科技合伙人、副总裁兼人工智能研究院院长李晓林在接受证券时报采访时称。
随着合规政策落地和信息技术发展,数据安全被摆在更重要的位置,这在数据安全等级一向严格的银行更是如此。
“银行客户账户、资金流水等信息,不仅仅是数据符号,更是商业中最为重要的战略资源。”光大银行金融市场部分析师周茂华表示,因此银行在数据存储、加工、使用等环节更加规范,使用权限管理更加严格,安全维护资源投入重视。
在强监管环境下,金融机构一直面临着很高的合规成本。随着法律体系的陆续完善,这些违规成本将转为违法成本。
“银行当然是更喜欢合法成本。”一家金融科技领域的法律人士向记者表示,随着数据安全法规的完善,银行将会有法可依,而不是在黑暗中摸索。
正因如此,在当前背景下,隐私计算等数据安全技术相关市场出现超越以往的快速增长,“银行希望借这些技术‘打捞’起更多隐藏在‘海平面’以下的数据。”陈沫认为。
“以前,作为金融机构更多是处理结构性数据,资产负债表、现金流量表、损益表,后面又加入了电力、能源、运输数据等结构性数据。但数字经济发展至今,金融机构下一步面临的是,要处理非结构性数据,如感知、情绪价值等都可以作为数据,被提取出来、用于辅助产业发展。”交通银行党委副书记、行长刘珺认为。
多银行要拓展业务场景
银行主动为合规成本买单的背后,还有一个更为根本的原因——数据将带来增益已经成为行业共识。
最明显的变化是,银行零售业务思维模式转变。“数据渗入度很高,所以现在很多银行都想去拓展自身业务场景。”陈沫表示。
银行拥有数据,也需要多维度数据。建设金融场景生态是许多银行当下正在探索的一条出路,背后最重要的一个要素就是数据。
“相比工业经济时代,供给与需求是相对分割的环节。在AI新时代,很多供给、需求、消费是重叠的,因此场景建设格外重要。”刘珺判断,“对金融机构而言,最难的是场景。技术是基础,场景是关键。”
浦发银行行长潘卫东近日在2021世界人工智能大会上表示,场景是当下浦发银行较为聚焦的概念之一,该行去年提出的构建全景银行就是基于场景去考虑的。他表示,场景的背后就是数据驱动,“这与银行传统的靠产品、靠流程、靠管理,完全是两个概念,所以我们对数据层面做了底层级的思考”。
“随着用户消费习惯改变,银行传统的生态和场景越挤越小。”一家大行金融科技部人士表示,“目前来看就两个办法:要么自己搭场景、建生态,把线下资源搬到线上,把原有的存贷汇,拓展到衣食住行、教育、医疗等等,做成平台,走出去;要么就和生态好的平台合作,对方的生态资源和我方金融服务资源互补。”
这也带来一个挑战。“银行为了提高对业务的适应性和专业性,核心系统越来越少,业务系统越来越多,这也带来‘烟囱效应’,不同系统有不同的数据库,不同的数据库保存不同的客户信息,银行内部如何打通这些信息其实也是一大难点。”上述人士表示,“有的银行很早就在做系统整合,有的才刚起步。”
这一过程中,数据安全技术的迭代进化将一直并存。“从搜索引擎到人脸AI模型,场景越多,数据种类越多,技术越复杂,数据安全的挑战肯定也就越大。”资深安全专家、极度科技创始人丁杨向记者分析。在他看来,“已经很难只靠一套产品就能完全覆盖所有数据安全场景,而是需要一个不断演化的系统性组合。”