微眾銀行：區塊鏈WeDPR隱私保護白皮書(39頁).pdf

1、00001001010101000111100001110000110101010000111000101010100000000000000000110000100001001010100011000000011101010101000000010101110000010101010010000100101010100011110000111000011010101000011100010101010000000000000000011000010000100101010001100000001110101010100000001010111000001010101001 000010010

2、10101000111100001110000110101010000111000101010100000000000000000110000100001001010100011000000011101010101000000010101110000010101010010000100101010100011110000111000011010101000011100010101010000000000000000011000010000100101010001100000001110101010100000001010111000001010101001 000010010101010001

3、11100001110000110101010000111000101010100000000000000000110000100001001010100011000000011101010101000000010101110000010101010010000100101010100011110000111000011010101000011100010101010000000000000000011000010000100101010001100000001110101010100000001010111000001010101001 000010010101010001111000011

4、1000011010101000011100010101010000000000000000011000010000100101010001100000001110101010100000001010111000001010101001 0000100101010100011110000111000011010101000011100010101010000000000000000011000010000100101010001100000001110101010100000001010111000001010101001 00110000111000011010101000011100010

5、101010000000000000000011000010000100101010001100000100101010100011110000111000011010101000011100010101010000000000000000011000010000100101010001100000001110101010100000001010111000001010101001 00110000111000011010101000011100010101010000000000000000011000010000100101010001100000100101010100011110000

6、111000011010101000011100010101010000000000000000011000010000100101010001100000001110101010100000001010111000001010101001 00110000111000011010101000011100010101010000000000000000011000010000100101010001100000100101010100011110000111000011010101000011100010101010000000000000000011000010000100101010001

7、100000001110101010100000001010111000001010101001 01010100001110001010101000000000000000001100001000010010101000110000010010101010001111000101010000111000101010100000000000000000110000100001001010100011000001001010101000111100 01010100001110001010101000000000000000001100001000010010101000110000010010

8、10101000111100010101000011100010101010000000000000000011000010000100101010001100000100101010100011110001010100001110001010101000000000000000001100001000010010101000110000010010101010001111000101010000111000101010100000000000000000110000100001001010100011000001001010101000111100 WeDPR方案白皮書 即時可用場景式隱私保

9、護高效解決方案 2020 年 1 月 微眾銀行區塊鏈團隊編著 卷首語 隱私保護 不可估量的 藍 海 市 場 序言 中華人民共和國密碼法 、中華人民共和國網絡安全法 、信息安全技術個人信息安全規范 等一 系列法律法規的正式生效， 規范了信息安全和隱私保護的具體要求， 隱私保護的重要性和迫切性不言而 喻。 國務院 國家中長期科學和技術發展規劃綱要 （20062020年） 粵港澳大灣區發展規劃綱要 等國 家政策規劃也進一步強調要加強重要信息系統和數據資源保護， 完善隱私保護機制， 從而支撐現代服務 業信息技術、 平臺與基礎設施。 同期， 歐盟史上最嚴格的隱私保護法案 通用數據保護法案（GDPR） 、

10、 美 國的 加州消費者隱私法案（CCPA） 、 新加坡的 個人資料保護法令（PDPA） 等法規也紛紛出臺。 一時間， 在全球掀起了用技術手段落實隱私保護的時代潮流。 這股浪潮在世界范圍內沖擊著不具備隱私保護技術能力的企業， 一些中小型企業為了避免巨額罰款 甚至直接退出了相應的市場。 在強有力的政策推動下， 隱私保護能力成為了每一個基于隱私數據發展業 務公司必須符合的準入條件。 目前， 國內外的隱私保護領域仍處于發展初期， 隱私保護的實際效果如何滿 足量化的技術標準， 隱私合規依然面臨著諸多挑戰。 這為隱私保護技術自身的產業化發展帶來了前所未 有的機遇。 隱私保護的應用范疇極其廣闊， 涵蓋了從個

11、人隱私數據到企業機密業務數據等所有非公開數據。 在 當今信息技術高速發展的時代， 5G、 物聯網等尖端數據采集、 傳輸技術勢必會帶來內容更豐富， 時效性更 強， 體量更大的數據流， 其中裹挾著無數隱私數據。 在這個數據洪流奔涌的時代， 無論是個人用戶安心享 用服務還是企業探索新興商業模式， 落實隱私保護都至關重要。 若能結合區塊鏈信任交換網絡和人工智 能深度分析理解， 合法合規發掘數據中的價值， 規避其中的風險， 就有可能創造小至引發信息化產業新一 輪爆發式增長、 大至推動人類社會提前進入后信息時代的美好前景。 這個過程中， 發展隱私保護技術正是 平衡價值收益與隱私風險、 實現帕累托最優且可持

12、續發展的關鍵。 深圳前海微眾銀行股份有限公司 （以下簡稱 “微眾銀行” ） ， 由騰訊、 百業源和立業等多家知名企業發 起設立。 作為國內首家民營銀行， 微眾銀行堅持科技立行、 科技興行的發展之路， 采取開放模式連接金融 機構和互聯網企業， 嚴守風險合規底線， 在探索各類核心金融業務和普惠科技業務中合法合規發掘用戶 數據方面， 積累了豐富經驗。 WeDPR作為微眾銀行對外開放的即時可用隱私保護高效方案， 旨在分享微 眾銀行探索隱私保護的技術成果， 降低隱私保護技術的使用門檻， 推動能有效保護隱私且監管友好商業 模式的落地， 實現隱私無憂的業務創新和用戶體驗， 從而加速隱私保護整體產業的發展。

13、微眾銀行區塊鏈團隊 目錄 1. 隱私保護產業發展現狀 1.1 政策環境利好 1.2 市場前景廣闊 1.3 技術尚未成熟 1.4 應用潛力無限 1 2. 隱私保護技術產業化挑戰6 2 3 4 5 2.1 通用方案的實用性困境 2.2 現有架構的局限性難題 2.3 用戶體驗的易用性取舍 2.4 商用方案的有效性存疑 6 8 9 10 3. WeDPR是什么11 3.1 設計理念 3.2 5C隱私保護 3.3 體驗流程 11 12 13 4. WeDPR場景式解決方案15 4.1 隱匿支付 4.1.1 隱匿支付方案的優勢 4.1.2 隱匿支付方案在應用領域的探索 4.2 匿名競拍 4.2.1 匿名競

14、拍方案的優勢 4.2.2 匿名競拍方案在應用領域的探索 4.1.2.1 供應鏈金融 4.1.2.2 跨境支付 4.2.2.1 招標采購 4.2.2.2 電子拍賣 15 16 18 18 19 19 21 23 23 23 目錄 4.3 匿名投票 4.3.1 匿名投票方案的優勢 4.3.2 匿名投票方案在應用領域的探索 4.3.2.1 群智感知 4.3.2.2 智慧城市 4.4 選擇性披露 4.4.1 選擇性披露方案的優勢 4.4.2 選擇性披露方案在應用領域的探索 4.4.2.1 私密數字憑證 4.4.2.2 智慧醫療 24 25 27 27 27 28 29 30 30 31 WeDPR愿景

15、33 隱私保護問題通常會被歸結為信息安全問題， 然而這并不完全準確。 隱私泄露作為信息化技術普及、 萬物互聯之后必然產生的問題， 涉及到更為豐富多樣的評判標準， 涵蓋了遠多于信息安全的風險。 例如， 一個精明的商人， 可以通過交談精確獲得交易對手的底牌信息， 無論我方是否正面回答問題， 都很難規避 這類隱私信息直接或間接地泄露給對手。 另一個典型的例子是在線平臺服務商根據隱私信息為其終端用 戶建立用戶畫像進行精準營銷。 絕大部分用戶并沒有直接告訴在線平臺服務商自己的年齡段、 居住區域、 性別、 興趣愛好、 行為模式、 健康狀況、 財務狀態等敏感隱私信息， 但平臺服務商卻有能力通過用戶與平臺 的

16、交互歷史推斷出其中的大部分敏感信息。 如果這些隱私信息不幸被不法分子掌握， 用戶人身安全和財 產安全很有可能受到威脅。 除了傷害性風險， 國際學者進一步指出應當將非傷害性風險， 如精神傷害、 名 譽損失、 商業歧視等也加入到隱私立法保護的范疇中。 上述問題不能完全依靠標準化的信息安全技術來 解決， 解決信息安全問題只是實現隱私保護萬里長征路上的第一步。 隱私作為人性自我意識中的一項核心訴求， 隱私保護的應用范疇極其廣闊。 對于個人來講， 隱私數據 是關于自己和周邊環境包括社交網絡的個人數據。 對于企業來講， 隱私數據是關于自己和合作伙伴的業 務和其他非公開數據。 隱私數據基本上包括了所有的非公

17、開數據。 萬物皆有主， 數據也不例外。 隱私保護 的基礎目標就是防止這些非公開數據被未授權的主體使用或者以一種未授權方式使用。 授權作為隱私保 護的關鍵， 為不同隱私保護場景帶來多樣化的隱私保護訴求。 例如， 企業甲希望與企業乙分享數據來聯合 發展一項新業務， 但企業乙因為合規的原因只能提供密文數據， 同時企業甲要求自己的業務數據只能被 約定的新業務所使用， 兩者的隱私需求截然不同。 考慮到真實生產環境的性能和實用性需求， 很難構建一 個普遍適用、 滿足所有隱私訴求且卓有成效的技術方案。 整個隱私保護產業目前仍處于早期發展階段， 盡管充滿了很多挑戰和不確定性， 但在利好的政策環 境和巨大的市場

18、潛力驅動下， 我們對其不可限量的前景深信不疑。 以下從政策、 市場、 技術、 應用四個角度 具體對隱私保護產業整體發展現狀進行回顧。 1 隱私保護產業發展現狀 1 隱私保護產業發展離不開政策的扶持。 中華人民共和國密碼法 、 中華人民共和國網絡安全法 、 信息安全技術個人信息安全規范及其相關行業應用的國家技術標準出臺，里程碑式地明確了企業在 收集、使用、保存非公開隱私數據時所需要達到的技術效果及建議使用的標準化技術手段。在國際社 會上，被稱為史上最嚴格的隱私保護法案通用數據保護法案 （GDPR）除了明確技術效果之外，更 是引入了巨額的罰款措施，一個國際集團中任一個子公司可能會因單次違規事件，而

19、面臨可能高達集 團前年全球年度總收入 4% 的巨額罰款，GDPR 法案的實施進一步加強了隱私保護產業化的必要性和 迫切性。 這些政策法規的陸續生效， 在全球范圍內， 規范了基于隱私數據的商業探索， 確實對不具備隱私保護 技術能力的企業產生了巨大沖擊， 但同時， 這些政策法規也極大推動了隱私保護由宣傳口號向真正可以 落實的技術特性的實質性轉變。 數據作為信息時代最為重要的價值載體， 建立隱私數據保護政策法律體 系， 不僅為存量業務中隱私數據屬主的合法權益提供了保障， 而且為發掘高價值隱私數據包括金融數據、 醫療數據、 民生數據等， 提供前所未有的商業機遇。 通過嚴格設定行業準入技術標準， 隱私保

20、護效果量化、 技術規范化的進程開啟了新興價值互聯和商業創新， 奠定了隱私保護技術在現代信息化商業生態中的重 要地位。 表1列出了自GDPR法案生效之后， 全球范圍內， 國際企業受到隱私保護法規影響的一些重大事件。 表1. 隱私保護法規影響公司運營的重大事件表 數據源： 各報道機構官網， 收集日期： 2019年12月13日 1.1 政策環境利好 2 表2. 隱私保護相關公司市值融資表 數據源： NYSE， Crunchbase， 收集日期： 2019年12月13日 除了存量業務的合法合規需求之外，隱私保護產業更大的價值在于促進創新數據業務的落地。過 去由于技術能力的不足，高度敏感隱私數據的發掘和

21、利用受到法律法規和商業利益兩方面限制。在法 律法規方面，用戶在將隱私數據分享給企業之后，便可能失去對數據的控制權，很難獲知實際數據的 使用情況，個人敏感數據存在被濫用的可能。比較典型的例子是醫療數據，在無法排除被濫用的可能 性前提下，關于醫療數據的使用場景是受法律限制的，它會影響到工作權利、社會關系、精神健康等 敏感領域。在商業利益方面，作為企業的核心資產之一，不受控的數據分享會削弱企業的核心競爭力， 甚至打破企業自身的商業壁壘。比較典型的例子是金融數據，在無法保證能消除這些顯著風險的前提 下，金融數據的使用場景是嚴格受限的，它會暴露企業自身的經營策略、財務狀況、戰略布局等商業 機密，同時面臨

22、合規風險。 發展隱私保護技術正是消除這些限制的關鍵， 表2列出了部分以隱私保護為產品設計賣點的初創公 司和上市公司估值融資數據， 反映了全球資本市場對隱私保護產業市場前景的認可。 除了數據業務創新本身，相關合規監管需求也為隱私保護產業開拓了新的業務空間。在當前數據 傳播速度之快、影響受眾范圍之廣的信息時代，研發即時高效的合規監管技術是規范整體隱私數據產 業生態健康發展必不可少的重要前提。隱私數據在不同法律體系下關于披露信息的類別頻次有著不同 的合規需求，技術實現上需要平衡監管信息全面性和隱私信息機密性。例如，監管部門一般不會要求 企業將所收集的全部敏感個人信息送報監管部門，否則監管部門自身可能

23、會演化成一個系統性風險， 一旦被充滿惡意的黑客攻破，后果不堪設想。因此，我們需要研發更靈活、更及時、更有效的隱私保 護技術以平衡各方的需求，監管科技本身也將成為另一個前景廣闊的藍海市場。 1.2 市場前景廣闊 3 0000100101010100011110000111000011010101000011100010101010000000000000000011000010000100101010001100000001110101010100000001010111000001010101001000010010101010001111000011100001101010100001110

24、0010101010000000000000000011000010000100101010001100000001110101010100000001010111000001010101001 0000100101010100011110000111000011010101000011100010101010000000000000000011000010000100101010001100000001110101010100000001010111000001010101001000010010101010001111000011100001101010100001110001010101

25、0000000000000000011000010000100101010001100000001110101010100000001010111000001010101001 0000100101010100011110000111000011010101000011100010101010000000000000000011000010000100101010001100000001110101010100000001010111000001010101001000010010101010001111000011100001101010100001110001010101000000000

26、0000000011000010000100101010001100000001110101010100000001010111000001010101001 0000100101010100011110000111000011010101000011100010101010000000000000000011000010000100101010001100000001110101010100000001010111000001010101001 00001001010101000111100001110000110101010000111000101010100000000000000000

27、11000010000100101010001100000001110101010100000001010111000001010101001 00110000111000011010101000011100010101010000000000000000011000010000100101010001100000100101010100011110000111000011010101000011100010101010000000000000000011000010000100101010001100000001110101010100000001010111000001010101001

28、00110000111000011010101000011100010101010000000000000000011000010000100101010001100000100101010100011110000111000011010101000011100010101010000000000000000011000010000100101010001100000001110101010100000001010111000001010101001 001100001110000110101010000111000101010100000000000000000110000100001001

29、01010001100000100101010100011110000111000011010101000011100010101010000000000000000011000010000100101010001100000001110101010100000001010111000001010101001 010101000011100010101010000000000000000011000010000100101010001100000100101010100011110001010100001110001010101000000000000000001100001000010010

30、10100011000001001010101000111100 010101000011100010101010000000000000000011000010000100101010001100000100101010100011110001010100001110001010101000000000000000001100001000010010101000110000010010101010001111000101010000111000101010100000000000000000110000100001001010100011000001001010101000111100010

31、1010000111000101010100000000000000000110000100001001010100011000001001010101000111100 作為一個熱門課題， 盡管隱私保護被學術界和產業界關注多年， 但真正有影響力的相關落地產品并 不多， 能夠提供公開可驗證效果且不依賴對平臺服務商信任的強隱私保護的產品更是寥寥無幾。 造成這 一現狀的原因很多， 但通常會涉及到以下兩項常見的挑戰。 第一項是隱私保護需求因人而異， 如何滿足千人千面的挑戰。 該需求對于需要用代碼預先寫下固定 規則的信息化系統極不友好， 一套實用的隱私保護技術解決方案必須足夠模塊化， 提供靈活的系統適

32、配 性和擴展性。 第二項是技術方案應該基于什么理論來構建， 如何選取信任源的挑戰。 相對第一項挑戰， 業界對于第 二項挑戰的解決方案頗具爭議。 常見的問題之一是量子計算機對經典密碼學的影響幾何？ 另一個對應的 問題是基于國際芯片廠商的Intel SGX硬件可信計算環境， 是不是能夠真正萬無一失？ 密碼學算法和硬件 可信計算環境， 哪一個更可靠？ 業界至今沒有一個能夠讓各方認同的標準答案。 無論最后的選擇是什么， 關鍵要明確選擇的后果。 對于每一個隱私保護技術方案， 我們需要思考以下 三個基本問題： 現實中的隱私保護技術解決方案需要考慮的問題需要更加全面。 在下一章節中， 我們將具體分析現 有隱

33、私保護技術面臨的四大挑戰： 通用方案的實用性困境、 現有架構的局限性難題、 用戶體驗的易用性取 舍、 商用方案的有效性存疑。 回到以上提出的三個基本問題， 每一個有效的隱私保護技術解決方案需要給 出相應的答案。 只有這樣， 作為數據屬主的用戶才能充分了解隱私保護方案的實際效果， 以及最壞情況下 的潛在風險。 這三個問題的答案也會幫助我們明確不同場景下的不同隱私保護需求， 從而定制優化技術 解決方案， 實現數據權益和隱私風險的最優平衡。 如何處理好以上這些變數， 對于促進有影響力的隱私保 護產業化落地至關重要， 也為隱私保護技術實用化創造了巨大的發展空間。 依托什么？該方案的設計基于哪些安全假設

34、？ 這些安全假設在目標應用場景中是否可靠？ 是 否合規？ 1.3 技術尚未成熟 保護什么？該方案實際提供了哪些保護效果？ 這些保護效果是否涵蓋了目標應用場景中全部 隱私保護需求？ 警惕什么？該方案沒有保護什么？ 可能出現什么不可接受的意外后果？ 這也是隱私保護與信 息安全最大區別之一。 信息安全關注是否可以訪問機密數據， 而隱私保護更關注是否可以從未保 護的其他信息推斷出隱私數據。 4 伴隨第5代移動通信技術與物聯網的普及， 萬物互聯的時代即將到來， 隱私數據井噴的時刻或將隨之 而至。 在過去， 用戶往往只有在與終端交互的過程中會產生隱私數據， 但在將來傳感器漫布的智慧環境中， 無時無刻都會有

35、關于用戶的隱私數據產生。 智慧醫療將有能力實時監控人體的健康體征數據， 智慧家居將提供全屋物聯主動式服務， 智慧城市 將鏈接城市中所有基礎設施、 人流、 車流和物資流。 這個過程必將產生海量隱私數據， 其內容會更豐富， 時 效性會更強。 以人工智能為代表的深度數據理解分析技術， 人們在獲得巨大收益的同時， 隱私風險可能會超比例 地放大。 例如， 通過分析實時的人流、 車流和物資流， 對于個人和企業精準動態監控極有可能成為現實， 個 人試圖保留自己的私密空間， 企業試圖保護自己的商業機密也將變得相當困難。 1.4 應用潛力無限 能力越大， 責任越大。 隱私保護技術方案很有可能成為其中的平衡者，

36、通過賦予數據屬主對自身數據 的控制權， 尊重屬主自身意愿， 實現自主選擇， 避免潛在的系統性風險。 這些真實迫切的需求會為隱私保 護重量級應用落地提供良好的契機， 隱私保護技術本身也會因此獲得大量資源而蓬勃發展。 放眼未來， 不 一定會出現一個通用的隱私保護應用能解決所有的隱私保護問題， 但是一定會出現一個隱私保護應用生 態群體， 在各自的特長領域中達到收益和風險的最優平衡， 融合萬家數據， 實現核心價值互聯， 推動新興 商業創新， 實現潛力發掘的最大化。 5 在6000多年的人類文明歷史中， 隱私雖然是一項本能性需求， 但直到近代， 隱私的概念才因對照相 技術的恐懼而正式成型。 伴隨著科學技

37、術的飛速進步， 隱私的風險也被極速放大。 20年前定位一個用戶 的地理位置需要派人物理跟蹤， 然而現在GPS定位系統已廣泛內置到智能手機中， 形形色色的移動應用 中說不準哪一款應用就可以通過讀取GPS數據輕松遠程跟蹤該手機用戶。 隱私風險并不是空穴來風， 作 為科學技術發展的必然產物， 為了平衡技術外延性中的收益和風險， 隱私保護技術產業化已是大勢所趨。 本章將從設計理念、 系統集成、 用戶體驗、 信任基礎四個關鍵角度， 闡述隱私保護技術在現代信息化 社會中有效落實并形成產業規?；韫タ说募夹g挑戰。 隱私保護通用解決方案， 無論在學術界還是工業界， 很長時間以來一直都是被關注的焦點問題之一。

38、 一旦能夠在一個合理的安全假設下設計一個廣泛有效的解決方案， 其影響力是顯而易見的。 遺憾的是， 正 如之前產業分析中所指出的， 隱私保護并不是一個純粹的計算問題， 一個普適所有場景的方案可能并不 存在。 即便在理論上可行， 其性能指標也難以滿足現代信息化服務的高吞吐、 低延時等實際需求。 如同萬 能的圖靈機， 雖然能夠模擬一切可計算過程， 實現任意復雜的計算， 但在現實中， 沒有任何一個產品系統， 會直接在圖靈機上開發和部署， 這就是通用方案的實用性困境。 有望接近通用解決方案的技術目前主要有基于計算困難性理論的安全多方計算、 同態密文計算和零 知識證明。 基于計算困難性理論的安全多方計算可

39、以進一步細分為基于混淆電路的方案或者基于 秘密分享的方案。 基于混淆電路的方案將所需計算的函數表達成一個巨型的布爾電路，例如，目前表達一次 SHA-256 計算至少需要使用 13 萬個布爾門。盡管學術界已經提供了大量優化方案，通用 電路轉化的過程依舊很復雜。由于需要使用不經意傳輸技術來安全地提供電路輸入，即便 在有硬件加速的條件下，這類方案的處理吞吐量和計算效率依舊很低。 2 隱私保護技術產業化挑戰 2.1 通用方案的實用性困境 基于秘密分享的方案采用了數據分片的設計理念，將每一份數據按照計算參與方的總數分 成多個分片，運算直接在數據分片上進行，最終匯總之后的運算效果等同于使用原始數據 直接進

40、行計算得到的效果。數據分片通常使用加和分片算法，計算效率大幅提高，但由于 需要廣播分發與回收數據分片，支持乘法還需額外數據交互，網絡通訊的代價很高，處理 海量數據時勢必會遇到性能瓶頸。 6 以上三類技術都有顯著的實用性限制，業界也有嘗試依賴可信硬件執行環境來構建通用解決方案， 但其實際隱私保護的有效性很難公開驗證，在后面的章節我們會具體討論相應的問題。WeDPR 為了避 免通用方案的實用性困境，采用了場景式設計哲學，針對核心業務場景中的個性化隱私保護需求，提供 預優化的技術選型和解決方案。這將大幅減少通用性方案適配具體應用場景的二度設計和定制集成的代 價，縮短產品落地時間，提供即時可用的開發體

41、驗，助力隱私保護應用產品贏得市場先機。 同態密文計算的理念是數據屬主各自將自己數據加密，然后把所有密文上傳，在密文的基 礎上直接計算，然后解密最后的結果密文獲得計算結果。由于需要進行最后解密才能完成計 算，對于多方參與且缺乏中心信任方的應用場景，這將帶來如何指派中心化的信任方來管理 數據密鑰的難題。除去這一中心化的隱患，全同態密文計算算法，即支持加減乘除完整算術 運算，依舊有著顯著的性能問題。在 2016 年，IBM 首次發布 HELib 的 C+ 開源類庫時，全 同態運算比對應的明文運算慢一百萬億倍。盡管后來對算法實現進行了大量優化，學界甚至 提議使用專用硬件進行進一步加速，全同態密文計算效

42、率依舊是一個未決的挑戰。相比之下， 半同態密文計算算法，如僅支持加減算術運算，已經可以達到商業可用的性能，但是由于其 并不具備圖靈完備性，使用場景有限。 零知識證明的理念是通過將約束關系關聯到計算困難性理論，在證明者不透露被證明數據 明文的前提下，向驗證者證明約束關系的正確性，被證明數據有極大概率滿足驗證者指定的 約束關系，例如證明轉賬金額不是一個非法的負數。根據選用不同計算困難性理論，零知識 證明可以有多樣化的構造方式，在不同安全假設下實現高效的數據驗證。需要注意的是，由 于約束關系必須由驗證者預先指定，零知識證明不能直接用來進行結果未知的算術運算。所 以，零知識證明不能解決密文計算、安全哈

43、希等需要計算的問題。 除了上述性能問題， 無論選用哪一類方案， 在計算參與方數量增加時， 方案的整體性能代價 往往會超線性增長。 大量的兩方安全計算方案在需要引入第三個計算參與方時便無法擴展 使用， 然而， 如果只能支持兩方安全計算， 應用場景非常受限。 7 隱私保護很少以一個獨立的產品形式存在，更多的情況下必須要考慮與存量系統技術架構的兼容性 問題，以及如何與其他業務特性協同構成完整的產品體驗。具備嚴格執行力的隱私保護相關法案條例在 近幾年才正式生效，至此才明確要求了企業使用技術手段來保障數據隱私并向數據屬主提供有效的數據 控制方式，企業內部對于隱私保護的關注由此正式從法務合規轉向技術合規，

44、這一改變尤其對中小型企 業造成巨大沖擊。早期產品架構設計往往未充分考慮對隱私保護技術的集成擴展，企業自身缺乏研發隱 私保護技術的專業儲備。對于一個成熟業務，如果需要對現有技術架構進行大量改造才能集成隱私保護 特性來實現合規準入，其代價通常是難以接受的，這就是現有架構的局限性難題。 隱私保護技術與存量業務系統集成過程中常見的兼容性問題有以下兩類。 應對以上兼容性挑戰的關鍵在于隱私保護方案設計解耦是否充分， 模塊邊界是否具備足夠的普適性。 WeDPR 在設計之初將集成優化作為核心需求，盡力避免依賴任何特定平臺的非通用特性，通過分層式 架構在多個層次上劃分功能邊界，設定可插拔的抽象數據交互接口，在各

45、個所需的架構層次上實現自由 邏輯拆分和組合，對于高頻組件如監管支持、密鑰管理等提供充分的備選方案設計，最小化為克服環境 限制而引入的優化定制成本。 平臺依賴是指存量業務已經在某一個平臺環境里部署并實現了穩健運行后，隱私保護方案需 要依賴另一個平臺環境的特性，不得不在多個平臺之間進行系統遷移。遷移過程存在大量不確 定性，影響現有業務的可用性，引入額外的部署驗證代價。這一問題常出現在平臺服務商捆綁 銷售技術方案時，例如，云廠商的隱私保護方案與自身云服務接口深度結合，難以分離使用。 環境限制是指當存量業務所依賴的環境或者設備終端缺乏必要的計算或存儲能力時，隱私保 護方案中所需的復雜功能難以部署。例如

46、，物聯網終端設備芯片處理能力和存儲能力都不足以 支撐復雜的業務邏輯，需要對業務邏輯進行簡化。另一個常見的例子是，小程序等輕客戶端應 用預置的密碼學類庫比較有限，前沿的密碼學算法庫無法直接加載，輕客戶端存儲的數據也可 能會因為用戶終端設備內存不足而被突然清空。如果隱私保護方案設計只考慮了功能齊全的服 務器環境，對于其他功能受限的環境便無法部署。 2.2 現有架構的局限性難題 8 隱私保護技術作為一個整體系統解決方案， 用戶體驗往往是其中易遺忘的重要環節。 隱私保護技術 實現效果的前提往往需要做出取舍， 通常要引入額外的交互或記憶需求。 在交互方面， 不少隱私保護技術 如安全多方計算， 為了保障所

47、有參與方都能公平地獲得協作成果， 不得不采用多輪交互的方式， 每次僅給 出部分數據相關的信息， 防止少數參與方獲得其他參與方完整信息之后惡意退出或破壞協議。 在記憶方 面， 如果數據屬主希望真正掌控對數據的控制權， 數據的密鑰必須掌握在自己手中， 但考慮隱私數據的體 量和數據屬主自身的認知能力限制， 能夠安全記憶并隨時使用的密鑰個數和大小十分受限。 反之， 如果方 案設計偏向易用性， 隱私保護方案保護效果就會打折， 這就是用戶體驗的易用性取舍。 以上問題對于沒有人類用戶參與的場景， 通過增加設備資源能一定程度解決。 一旦把作為數據屬主 的人類加入到系統控制流中， 受限于人類認知能力的極限， 很

48、難有同時在易用性和安全性上兩全的標準 答案。 任何一個只展示神奇技術效果卻不要求用戶進行必要參與的隱私保護方案一定會蘊含隱私風險， 通常表現為以下兩種形式。 盡管以上易用性取舍很大程度上反映了系統設計的內在局限性，但在分析具體取舍之前，更關鍵的 是理清這些取舍的必要性。WeDPR 深刻思考了人類在整個隱私生態體系中的角色和作用。隱私數據始 于人、利于人、終于人。作為一個有效的隱私保護方案，通過引入社會學、心理學和經濟學原理、理性 參與者模型、多方激勵機制等突破性優化因子，推動無感用戶體驗和有效隱私保護之間的平衡向帕累托 最優靠近。 2.3 用戶體驗的易用性取舍 密鑰托管：密鑰是所有基于密碼學理

49、論構建的隱私保護方案中最為關鍵的數據。 誰掌握了密 鑰， 誰就掌握了對應數據的實際控制權， 所以密鑰也是最有價值的數據。 如果平臺服務商提供全 權托管服務， 用戶在使用隱私保護方案的過程中， 自始至終都沒有使用自己的密鑰， 對應隱私數 據使用實際并不受用戶控制。 真實的控制權在平臺服務商手中， 最終實現的隱私保護效果和未 曾部署任何隱私保護方案的信息系統沒有本質差別。 授權托管：授權操作是數據屬主的關鍵權益之一。 隱私數據的采集、 分享、 使用、 存儲、 遺忘等 過程中， 如果全程用戶無感自動化完成， 則需要警惕授權控制是否真實存在。 主流方案提供的是 事前控制和事后更正， 即處理隱私數據前詢問用戶的意愿， 之后允許用戶改變意愿對之前的設 定進行補救。 如果以上這些控制都不存在， 最終實現的隱私保護效果與全權信任平臺服務商如 出一轍。 9 隱私保護技術的商業化進程目前尚屬早期， 在各種解決方案展示過程中， 我們能夠比較清晰地看到 作為關鍵目標的隱私保護效果和潛在應用場景。 但是， 現有方案對于支撐方案的技術設計和效用取舍往 往缺乏客觀完整的披露。 隱私保護方案部署之后， 也難以獨立于方案服務商公開驗證其有效性。 回歸到隱 私保護方案三大基本問題中第一個也是最重要的問題方案依托什么？ 盡管大多方案會展示大量的技 術術語來闡述方案完備性， 但以業內共識的箴