區(qū)塊鏈技術在金融信息隱私保護中應用

前言：想要寫出一篇引人入勝的文章？我們特意為您整理了區(qū)塊鏈技術在金融信息隱私保護中應用范文，希望能給你帶來靈感和參考，敬請閱讀。

摘要：區(qū)塊鏈技術在個人信息隱私保護方面具有一定的優(yōu)勢，當前研究主要集中在物聯(lián)網(wǎng)、智能電網(wǎng)領域的運用，在金融領域的運用比較少。文章基于區(qū)塊鏈去中心化、加密算法、不可偽造等特征入手，從當前金融交易中個人隱私面臨的風險著手，結(jié)合區(qū)塊鏈技術，給出相應的個人金融信息隱私保護思路和建議。

關鍵詞：區(qū)塊鏈技術個人金融信息隱私保護

一、引言

伴隨信息技術的發(fā)展，個人金融信息安全已成為當前社會重要的熱點之一。個人金融信息與個人的財產(chǎn)安全密切相關，個人金融信息受到侵犯，會對個人的財產(chǎn)帶來一定的侵害，同時隨著個人金融信息的泄露，也會引發(fā)一系列的金融安全問題，給金融業(yè)的健康發(fā)展帶來巨大的安全隱患，因而，研發(fā)保護個人金融信息安全的新技術已迫在眉睫。區(qū)塊鏈技術采用分布式的賬本技術，能夠?qū)τ脩艚灰椎男畔⑦M行記錄，并通過開放透明、不可篡改等特征大大提高對個人信息的保護效率，實現(xiàn)對信息來源和走向的追蹤，其已在物聯(lián)網(wǎng)、醫(yī)療等行業(yè)進行了應用，解決行業(yè)發(fā)展中的用戶信息隱私保護問題。因而，將區(qū)塊鏈技術與個人金融信息隱私保護相結(jié)合必將成為未來重要的發(fā)展趨勢。本文基于區(qū)塊鏈去中心化、加密算法、不可偽造等特征入手，從當前金融交易中個人隱私面臨的風險著手，結(jié)合區(qū)塊鏈技術，給出相應的個人金融信息隱私保護思路和建議。

二、區(qū)塊鏈技術在個人金融信息隱私保護中運用的可行性

（一）個人金融信息的保護范圍

個人金融信息主要是個人在從事金融活動或金融交易時，產(chǎn)生的各類與個人金融相關的信息。個人金融信息可以分為7個方面：（1）個人身份信息。主要包括個人姓名、性別、國籍、民族、證件號碼、職業(yè)、婚姻狀況、家庭住址、工作單位等；（2）個人財產(chǎn)信息。主要包括個人收入、賬戶資產(chǎn)、不動產(chǎn)、車輛、納稅額度等；（3）個人賬戶信息。主要包括個人的銀行賬戶號、交易記錄、開戶行、賬戶資金信息等；（4）個人信息信息。主要包括個人的信用狀況、信用卡使用情況、個人貸款情況以及其他信用信息；（5）個人金融交易信息。主要包括個人在金融機構(gòu)開展各類業(yè)務所產(chǎn)生的信息，如個人支付、轉(zhuǎn)賬、通過金融機構(gòu)與第三方交易的信息等；（6）衍生信息。主要是基于個人基本的金融信息產(chǎn)生的其他信息，如通過對基礎金融信息的分析，得到個人金融消費習慣、個人消費特征信息等；（7）個人在開展金融業(yè)務時涉及到其他人的個人信息等，如法人代表的信息等。個人金融信息之所以重要，在于信息的集成帶來的價值。單個的個人姓名、一次金融交易的信息沒有太大的價值，但是海量的個人金融信息集成之后，就可以通過信息的關聯(lián)度分析，實現(xiàn)對個人消費傾向、消費習慣、個人資產(chǎn)的分析和研究，從而為使用者帶來巨大的價值。因而，對于個人金融信息的保護至關重要。

（二）我國個人金融信息保護的現(xiàn)狀

我國對于個人金融信息的保護往往采用的是制度保護，這種保護方法往往造成消費者對于個人金融信息的事前無知情權(quán)、事中無選擇權(quán)、事后無救濟權(quán)的窘?jīng)r。往往是亡羊補牢，不能真正地將個人金融信息的保護制止于發(fā)生之前，僅是在發(fā)生個人金融信息泄露之后，再對個人金融信息隱私權(quán)力進行保護，這樣就很難達到對個人金融信息進行有效保護的目的。具體表現(xiàn)為三個方面：（1）個人金融信息保護制度對于隱私信息保護的預防不足。當前，我國對于個人金融信息的保護往往是規(guī)范金融機構(gòu)的信息使用，對侵犯個人金融信息的行為進行打擊，缺少對個人金融信息保護的預防。（2）個人金融信息保護制度的保護執(zhí)行力度不強。由于個人金融信息保護制度主要的執(zhí)行者是金融機構(gòu)，而當前金融機構(gòu)內(nèi)部的部門較多，在執(zhí)行個人金融信息保護方面存在層層審批，協(xié)調(diào)難度大的情況。（3）金融機構(gòu)系統(tǒng)存在漏洞。從我國個人金融信息泄露的案例可知，金融機構(gòu)網(wǎng)上銀行存在的系統(tǒng)漏洞，為不法分子竊取個人金融信息提供了可乘之機[1]。如2017年，中國人民銀行對于鄭州市虛報瞞報漏報金融數(shù)據(jù)、過失泄露信息的47家金融機構(gòu)進行了處罰，罰款金額達716萬元。

（三）區(qū)塊鏈技術在個人隱私保護中運用的可行性

（1）信息不可篡改。在區(qū)塊鏈上信息經(jīng)過認證之后，將會被區(qū)塊鏈永久的儲存，信息不能篡改，即簡單地對單個節(jié)點的信息進行篡改不能改變整個區(qū)塊鏈對信息的儲存，除非區(qū)塊鏈51%以上的節(jié)點受到破壞，否則個人信息將會被區(qū)塊鏈永久儲存。（2）去中心化。區(qū)塊鏈沒有信息的節(jié)點中心，給信息的獲取帶來巨大的難度，即不法分子即使能夠通過一個節(jié)點獲得消費者的某些信息，但是由于這個節(jié)點上的信息并不完全，需要大量獲得其他節(jié)點的信息后，對各類信息進行分析和梳理之后，才會產(chǎn)生有價值的個人金融信息，這也就在一定程度上增加了不法分子獲得個人金融信息的難度。（3）可追溯?；趨^(qū)塊鏈的可追溯，任何個人通過區(qū)塊鏈訪問了消費者的個人信息都會被記錄，并留下時間戳[2]。這就提高了個人金融信息被侵犯時的預警性，通過對不正常訪問節(jié)點信息的個人的行為進行追溯，可以達到預防個人金融信息泄露。

三、區(qū)塊鏈技術在個人金融信息隱私保護中的應用

綜上可知，采用制度對個人金融信息隱私進行保護，在事后的保護和懲罰方面具有較好的效果，但是事前的預防效果較差。而采用區(qū)塊鏈技術能夠通過去中心化增加個人金融信息泄露的難度，通過可追溯實現(xiàn)對訪問個人金融信息的異常行為的預警，從而能夠較好地在事前做好對于個人金融信息隱私保護的預防[3]。因而，下文主要從區(qū)塊技術在個人金融信息隱私保護的角度，對個人金融信息的控制策略和使用授權(quán)進行分析（見圖1）。

（一）個人金融信息的控制策略

（1）信息登記確權(quán)策略。對個人金融信息的所有權(quán)進行確權(quán)是信息保護的關鍵。首先，要確定個人金融信息的所有權(quán)是用戶，產(chǎn)生個人金融信息的用戶對其產(chǎn)生的信息擁有所有權(quán)，因而保護個人金融信息就是保護用戶的權(quán)利，侵犯個人金融信息就是對個人權(quán)利的侵犯。銀行等金融機構(gòu)本質(zhì)上是在金融交易過程中用戶個人金融信息的保管者，個人金融信息的使用也只能僅限于用戶進行的交易活動，不能用于其他用途。其次，在對個人金融信息進行確權(quán)的基礎上，采用區(qū)塊鏈中的數(shù)字簽名算法，采用私鑰和公鑰對用戶產(chǎn)生的個人金融信息進行簽名計算，生成數(shù)字簽名。每次個人金融信息的使用應當采用數(shù)字簽名匹配的方式，公鑰對簽名信息的準確度進行匹配，之后在信息匹配的情況下，個人金融信息才能被使用。每次匹配成功的驗證，會被區(qū)塊鏈記錄，并在區(qū)塊鏈中儲存，便于追溯。每一個數(shù)字簽名應當歸屬于用戶本人，只有用戶才能夠使用。（2）信息防泄漏策略。由于區(qū)塊鏈是開放性的，為防止個人金融信息在區(qū)塊鏈上保存不被他人利用，可以采用對于個人信息進行加密儲存的方法，只有用戶使用自己的私鑰才能夠訪問和編輯個人相關的信息。由于用戶的個人金融信息被存儲在區(qū)塊鏈上是通過加密形式實現(xiàn)的，銀行等金融機構(gòu)訪問個人金融信息必須需要用戶的授權(quán)才能訪問，而且訪問過程只能瀏覽和閱讀，不能夠篡改和復制等。個人在銀行等金融機構(gòu)使用個人金融信息進行授權(quán)時，采用個人私鑰與銀行等機構(gòu)的公鑰進行匹配來完成，并生成一個加密密碼，這個加密密碼能夠確保信息在授權(quán)過程中實現(xiàn)二次加密。而用戶可一個在授權(quán)中對密碼進行解密和加密，確保個人金融信息的安全，從而防止個人金融信息在使用過程中的泄露。（3）信息去中心化存儲策略。去中心化存儲是區(qū)塊鏈技術的重要特征之一，這一特征能夠通過將加密后的個人金融信息保存到區(qū)塊鏈上的多個節(jié)點上，保證個人金融信息不能被輕易的篡改和丟失。即使某一個節(jié)點的個人金融信息發(fā)生了問題，也不會影響到個人整體的金融信息存儲。在去中心化的區(qū)塊鏈上，個人金融信息的掌控權(quán)屬于具有加密權(quán)限和修改權(quán)限的用戶個人，個人金融信息不再受到中心金融機構(gòu)的掌控。個人金融信息的變動可以由用戶通過加密和解密的方法，修改個人金融信息，并在區(qū)塊鏈上進行加密，各節(jié)點信息在用戶的數(shù)字簽名下實現(xiàn)信息的同步更新，這就確保了個人金融信息不再為某一個金融機構(gòu)掌控，確保了用戶個人金融信息存儲的準確和可靠。

（二）個人金融信息的授權(quán)策略

（1）應用創(chuàng)建策略。個人金融信息的使用授權(quán)主要采用應用的模式，即個人金融信息使用授權(quán)時針對特定的應用進行。每一個用戶對于個人金融信息的使用授權(quán)都是一次特定的應用，每次應用都應當包含應用的目的、使用期限、使用方式，以及應用可能帶來的風險。這些應用的信息都會被區(qū)塊鏈采用智能合約的形式生成用戶信息使用合約代碼。每一個應用的創(chuàng)建都需要用戶進行授權(quán)，經(jīng)過用戶授權(quán)后的應用可以獲得一個特定的ID，每個特定的應用ID都有一個智能合約，對于使用雙方的責任和義務進行界定。用戶可以通過應用ID查看應用授權(quán)情況，針對超越了應用權(quán)限的操作用戶可以取消授權(quán)。應用的創(chuàng)建本質(zhì)上為用戶個人金融信息的使用建立了技術上的使用準則，即滿足應用要求的事項，用戶才會進行授權(quán)，而且對于應用授權(quán)中存在的風險，用戶有清晰的了解，可以隨時取消應用授權(quán)。（2）用戶操作授權(quán)策略。用戶對于個人金融信息擁有所有權(quán)，因而在授權(quán)應用過程中，可以選擇授權(quán)和停止授權(quán)。而用戶的每一次應用授權(quán)都會被區(qū)塊鏈記錄。在應用創(chuàng)建的過程中，個人金融信息的使用者與用戶之間存在一個智能合約，合約對應用的使用信息進行了明確，一旦應用在實施過程中出現(xiàn)了違規(guī)情況，用戶可以取消應用授權(quán)。在授權(quán)過程中，用戶通過授權(quán)向應用的使用者發(fā)送公鑰加密的個人信息，應用的使用者可以通過應用ID接收信息，并得到用戶的使用授權(quán)，并形成一條使用記錄被區(qū)塊鏈記錄。在應用實施完成后，用戶通過加密信息的，將整個區(qū)塊鏈上的個人金融信息進行更新。而當應用完成后，用戶可以通過取消授權(quán)，使用者則不能再訪問用戶的個人金融信息。（3）用戶知情策略。通過應用的主動通知、用戶主動問詢、知情舉報違約等形式實現(xiàn)用戶對個人金融信息使用的知情權(quán)。一是用戶主動通知。使用者在使用個人金融信息的過程中，可以通過應用將對個人金融信息的使用情況、存在的風險、完成情況等主動告知用戶。二是用戶主動問詢。對于應用使用個人金融信息的各類信息，用戶可以對使用者進行問詢，通過了解應用需要使用的信息情況，作出授權(quán)或不授權(quán)的決定。同時，對于用戶的問詢，使用者應當在一定期限內(nèi)回復，否則視為侵權(quán)。三是知情舉報違約。由于用戶的個人金融信息在加密后會存儲在區(qū)塊鏈之中，因而，每一次用戶授權(quán)的應用信息都會公布在整個區(qū)塊鏈之中，一單出現(xiàn)異常使用的情況，區(qū)塊鏈就會通過舉報機制，將違約行為反饋給用戶，用戶可以終止授權(quán)合約。同樣對于多次被舉報的使用者，其信用度會在區(qū)塊鏈內(nèi)下調(diào)，并公開，這就意味著下次使用方不再可信。

（三）區(qū)塊鏈技術在個人金融信息隱私保護中應用案例

（1）銀行類金融機構(gòu)應用案例分析。以商業(yè)銀行員工泄露個人金融信息為例（見圖2），按照泄露方式有兩種情況：一是商業(yè)銀行內(nèi)部員工為了經(jīng)濟利益出售客戶個人金融信息。這類情況可以發(fā)生在信息收集、信息處理、信息保管多個環(huán)節(jié)，即使有嚴格的內(nèi)部控制制度和技術防護，也難以徹底解決信息被泄露的問題。究其原因無外乎于兩方面，一方面是在傳統(tǒng)模式下對于個人金融信息隱私保護制度往往是在犯罪行為發(fā)生之后，對違反法律制度的員工進行處罰，但是改變不了個人金融信息被泄露的現(xiàn)實。加之現(xiàn)有的個人金融信息保護制度和銀行對于個人金融信息管理的一些漏洞，更加導致個人金融信息泄露事件層出不窮。另一方面是缺少對于個人金融信息所有權(quán)的明確，而是將個人金融信息作為銀行的內(nèi)部資料進行管理，本質(zhì)上是對個人權(quán)力的一種侵犯。對于員工使用個人金融信息缺少相應的規(guī)范，未將使用情況解釋向用戶反饋。二是商業(yè)銀行儲存的個人金融信息被外部黑客攻擊導致信息泄露。對于這種情況，商業(yè)銀行可以通過增加防火墻，增強技術安全投入來部分解決，但是信息技術日新月異，即使最嚴密的防火墻也不能百分之百保障信息的安全。在區(qū)塊鏈技術下，用戶在銀行等金融機構(gòu)的個人金融信息屬于用戶所有，所有權(quán)屬于用戶。任何人或機構(gòu)使用個人的金融信息都需要創(chuàng)建一個應用，每一個應用都需要用戶授權(quán)，并告知用戶使用的用途，而對于異常創(chuàng)建應用，將會被區(qū)塊鏈的信息反饋機制，將違規(guī)行為反饋給用戶，用戶可以停止授權(quán)，并報警。這就徹底解決個人信息被銀行內(nèi)部員工出售和被黑客攻擊竊取的問題。由表1可知，銀行員工之所以能夠獲取個人金融信息并向其他人出售，主要在于內(nèi)部制度缺少預防措施，而在區(qū)塊鏈技術應用的模式下，任何人或機構(gòu)對用戶個人信息的使用都需要用戶授權(quán)，使用違規(guī)行為也會通過知情舉報的方式反饋給用戶，即使銀行員工通過合法應用獲得用戶授權(quán)，須向用戶告知應用的使用目的和期限等信息，銀行員工的使用個人金融信息的記錄會被區(qū)塊鏈記錄，這就會降低員工犯罪的風險。同時，在應用授權(quán)的過程中，用戶對違規(guī)合約能夠隨時終止授權(quán)，從而達到預防個人金融信息泄露的危險。針對銀行員工訪問個人金融信息與業(yè)務不相關的行為也需要銀行授權(quán)，對于信用不好的行為，直接在訪問過程中進行了限制訪問，從而能夠更好地保護個人金融信息的安全。（2）非銀行類金融機構(gòu)應用案例分析。傳統(tǒng)的制度監(jiān)管模式下（見圖3），非銀行金融機構(gòu)具有對用戶金融信息的管理權(quán)限，很容易出現(xiàn)由于單位內(nèi)部管理不到位，造成用戶的個人金融信息被泄露。究其原因，除了與商業(yè)銀行造成個人金融信息泄露的兩個途徑相似以外，還存在非銀行金融機構(gòu)對持有的個人金融信息的違法濫用，甚至進行利益交換。眾所周知，在大數(shù)據(jù)時代，數(shù)據(jù)是有價值的，特別是個人金融數(shù)據(jù)更具有很大的商業(yè)價值。非銀行金融機構(gòu)由于其對客戶個人金融信息的管理水平和政府對其監(jiān)管力度不高，使得其有違法濫用的強大動機。與銀行金融機構(gòu)不同，非銀行金融機構(gòu)基本上都是混業(yè)經(jīng)營，甚至是其主要股東的商業(yè)閉環(huán)鏈條的一部分。例如：大型電子商務平臺企業(yè)，雖然都是以電子商務為主要業(yè)務，但是基本上都獲取了金融牌照，能開展支付、信貸等金融業(yè)務。而這些電子商務平臺企業(yè)無一例外都是利用金融業(yè)務在支持和支撐商業(yè)運營，利用金融大數(shù)據(jù)引導消費者進行消費，這就導致了個人金融信息的濫用。專業(yè)的非銀行金融機構(gòu)為了獲取流量，與商業(yè)企業(yè)或者是大型商業(yè)平臺企業(yè)進行業(yè)務合作，而合作的籌碼便是其管理的個人金融信息。如教育、醫(yī)療等企業(yè)會和消費金融公司合作，展開消費信貸業(yè)務，聯(lián)合對某一特定客戶群體進行開發(fā)，共同開發(fā)個人金融信息中的商業(yè)價值,而這是違反個人意愿的行為，屬于個人金融信息的商業(yè)化泄露。在區(qū)塊鏈技術下，個人的金融信息屬于用戶，信息被保存在區(qū)塊鏈中，非銀行金融機構(gòu)管理用戶的一些姓名、性別、等基礎的信息，而核心的一些個人金融信息則會通過金融活動被保存在區(qū)塊鏈之中，并由用戶進行加密。如果非銀行金融機構(gòu)想利用這些信息，就要與其他的信息使用者一樣，首先提出信息授權(quán)的申請，向客戶說明信息用途，用戶依據(jù)申請的目的和期限等信息，確定是否進行授權(quán)，同時配合公鑰，才可以使用個人金融信息。這就可以有效避免非銀行金融機構(gòu)對個人金融信息的管理不善而被出售、盜竊以及商業(yè)濫用等問題，確保了個人金融信息的安全。

四、區(qū)塊鏈技術在個人金融信息隱私保護中應用建議

（一）明確個人金融信息的產(chǎn)權(quán)在大數(shù)據(jù)時代，數(shù)據(jù)信息的商業(yè)價值不言而喻，個人金融信息被泄露的最為核心的原因就是產(chǎn)權(quán)不明確。本應屬于個人的信息財產(chǎn)，由于產(chǎn)權(quán)不明確，個人金融信息往往成為了金融機構(gòu)的一部分資源，從而被金融違背個人意愿進行商業(yè)濫用，盡可能地榨取信息中的商業(yè)價值。對此，我國應通過相應法律制度對個人金融信息的產(chǎn)權(quán)進行明確，界定為個人的私有產(chǎn)權(quán)。由個人金融信息帶來的收益也應當為個人所有，這樣才能從經(jīng)濟利益上清除金融機構(gòu)泄露和濫用個人金融信息的商業(yè)動機。同時，按照對私有產(chǎn)權(quán)保護的要求，對于銀行等金融機構(gòu)使用個人金融信息應當在法律上明確，未經(jīng)個人授權(quán)，任何人或機構(gòu)不得使用個人金融信息。

（二）不斷完善區(qū)塊鏈技術

區(qū)塊鏈作為公開鏈，區(qū)塊鏈上的信息是對整個鏈條上的節(jié)點開放的，這就會帶來個人金融信息在儲存和保護方面的問題。區(qū)塊鏈形成的分布式賬簿結(jié)構(gòu)確保了所有錄入信息的真實性，各節(jié)點之間的通信是采用密鑰驗證的方式。區(qū)塊鏈中因為沒有控制所有節(jié)點的中樞，所以各節(jié)點之間的聯(lián)系全靠日結(jié)月累的信用授權(quán)或擔保，外部人員只有通過私鑰才能訪問各節(jié)點的數(shù)據(jù)，因而應加大對區(qū)塊鏈技術中關于個人金融信息的加密技術的研究，確保信息不被泄露。同時，通過創(chuàng)新區(qū)塊鏈的信息儲存基礎，確保每個節(jié)點上儲存的信息不被篡改。另一方面，過去傳統(tǒng)的中心化數(shù)據(jù)庫系統(tǒng)極易受到黑客的攻擊，但是在基于區(qū)塊鏈系統(tǒng)的數(shù)據(jù)庫中，黑客對某個節(jié)點的攻擊根本無效，即使對所有節(jié)點進行攻擊，那么區(qū)塊鏈技術可以根據(jù)備份技術迅速形成新的節(jié)點。因而，應當加大對區(qū)塊鏈節(jié)點儲存基礎的研究和創(chuàng)新。

（三）強化金融機構(gòu)自律

個人金融信息是在個人辦理金融業(yè)務，從事金融交易時產(chǎn)生的。作為參與金融業(yè)務或個人金融交易的金融機構(gòu)，應當做好對個人金融信息的保護和監(jiān)管。首先，通過不斷培訓內(nèi)部人員，提高員工的風險意識，在員工的入職培訓中，要將崗位風險、風險防范意識融入其中，強化新員工的風險控制意識；在日常培訓中，結(jié)合具體的工作崗位，加強專業(yè)性的風險培訓，如用戶信息的使用程序、違規(guī)使用所要承擔的責任；在晉升培訓中，應明確員工在信息管理中可能存在的風險，掌握風險控制技巧，以及使用個人金融信息時的用戶授權(quán)和知情意識的培養(yǎng)。其次，要完善內(nèi)部監(jiān)督審查機構(gòu)，做好對個人金融信息使用記錄的日常審查，對于存在的異常使用情況，及時向用戶反饋。銀行等金融機構(gòu)內(nèi)部要建立完善的內(nèi)部審查機制，將定期審查和不定期抽查相結(jié)合，同時將客戶投訴反饋作為員工評價的主要指標，確保能夠?qū)崿F(xiàn)對于員工行為的有效監(jiān)督。最后，要積極運用區(qū)塊鏈技術提高對個人金融信息的保護程度，降低用戶行使監(jiān)督權(quán)的成本，將區(qū)塊鏈技術運用到個人金融信息的收集和授權(quán)使用之中，確保用戶對個人信息具有授權(quán)、知情、受益的權(quán)利。

參考文獻：

［1］徐文玉.基于區(qū)塊鏈的電子健康記錄隱私保護機制［D］.山東師范大學，2019.

［2］蔡霖翔.區(qū)塊鏈數(shù)字貨幣資金流追溯研究［D］.中國人民公安大學，2019.

［3］付溢.區(qū)塊鏈交易數(shù)據(jù)隱私保護研究與實現(xiàn)［D］.北京交通大學，2019.

作者:王真真 單位:陜西交通職業(yè)技術學院