區塊鏈技術在金融信息隱私保護中應用

前言：想要寫出一篇引人入勝的文章？我們特意為您整理了區塊鏈技術在金融信息隱私保護中應用范文，希望能給你帶來靈感和參考，敬請閱讀。

摘要：區塊鏈技術在個人信息隱私保護方面具有一定的優勢，當前研究主要集中在物聯網、智能電網領域的運用，在金融領域的運用比較少。文章基于區塊鏈去中心化、加密算法、不可偽造等特征入手，從當前金融交易中個人隱私面臨的風險著手，結合區塊鏈技術，給出相應的個人金融信息隱私保護思路和建議。

關鍵詞：區塊鏈技術個人金融信息隱私保護

一、引言

伴隨信息技術的發展，個人金融信息安全已成為當前社會重要的熱點之一。個人金融信息與個人的財產安全密切相關，個人金融信息受到侵犯，會對個人的財產帶來一定的侵害，同時隨著個人金融信息的泄露，也會引發一系列的金融安全問題，給金融業的健康發展帶來巨大的安全隱患，因而，研發保護個人金融信息安全的新技術已迫在眉睫。區塊鏈技術采用分布式的賬本技術，能夠對用戶交易的信息進行記錄，并通過開放透明、不可篡改等特征大大提高對個人信息的保護效率，實現對信息來源和走向的追蹤，其已在物聯網、醫療等行業進行了應用，解決行業發展中的用戶信息隱私保護問題。因而，將區塊鏈技術與個人金融信息隱私保護相結合必將成為未來重要的發展趨勢。本文基于區塊鏈去中心化、加密算法、不可偽造等特征入手，從當前金融交易中個人隱私面臨的風險著手，結合區塊鏈技術，給出相應的個人金融信息隱私保護思路和建議。

二、區塊鏈技術在個人金融信息隱私保護中運用的可行性

（一）個人金融信息的保護范圍

個人金融信息主要是個人在從事金融活動或金融交易時，產生的各類與個人金融相關的信息。個人金融信息可以分為7個方面：（1）個人身份信息。主要包括個人姓名、性別、國籍、民族、證件號碼、職業、婚姻狀況、家庭住址、工作單位等；（2）個人財產信息。主要包括個人收入、賬戶資產、不動產、車輛、納稅額度等；（3）個人賬戶信息。主要包括個人的銀行賬戶號、交易記錄、開戶行、賬戶資金信息等；（4）個人信息信息。主要包括個人的信用狀況、信用卡使用情況、個人貸款情況以及其他信用信息；（5）個人金融交易信息。主要包括個人在金融機構開展各類業務所產生的信息，如個人支付、轉賬、通過金融機構與第三方交易的信息等；（6）衍生信息。主要是基于個人基本的金融信息產生的其他信息，如通過對基礎金融信息的分析，得到個人金融消費習慣、個人消費特征信息等；（7）個人在開展金融業務時涉及到其他人的個人信息等，如法人代表的信息等。個人金融信息之所以重要，在于信息的集成帶來的價值。單個的個人姓名、一次金融交易的信息沒有太大的價值，但是海量的個人金融信息集成之后，就可以通過信息的關聯度分析，實現對個人消費傾向、消費習慣、個人資產的分析和研究，從而為使用者帶來巨大的價值。因而，對于個人金融信息的保護至關重要。

（二）我國個人金融信息保護的現狀

我國對于個人金融信息的保護往往采用的是制度保護，這種保護方法往往造成消費者對于個人金融信息的事前無知情權、事中無選擇權、事后無救濟權的窘況。往往是亡羊補牢，不能真正地將個人金融信息的保護制止于發生之前，僅是在發生個人金融信息泄露之后，再對個人金融信息隱私權力進行保護，這樣就很難達到對個人金融信息進行有效保護的目的。具體表現為三個方面：（1）個人金融信息保護制度對于隱私信息保護的預防不足。當前，我國對于個人金融信息的保護往往是規范金融機構的信息使用，對侵犯個人金融信息的行為進行打擊，缺少對個人金融信息保護的預防。（2）個人金融信息保護制度的保護執行力度不強。由于個人金融信息保護制度主要的執行者是金融機構，而當前金融機構內部的部門較多，在執行個人金融信息保護方面存在層層審批，協調難度大的情況。（3）金融機構系統存在漏洞。從我國個人金融信息泄露的案例可知，金融機構網上銀行存在的系統漏洞，為不法分子竊取個人金融信息提供了可乘之機[1]。如2017年，中國人民銀行對于鄭州市虛報瞞報漏報金融數據、過失泄露信息的47家金融機構進行了處罰，罰款金額達716萬元。

（三）區塊鏈技術在個人隱私保護中運用的可行性

（1）信息不可篡改。在區塊鏈上信息經過認證之后，將會被區塊鏈永久的儲存，信息不能篡改，即簡單地對單個節點的信息進行篡改不能改變整個區塊鏈對信息的儲存，除非區塊鏈51%以上的節點受到破壞，否則個人信息將會被區塊鏈永久儲存。（2）去中心化。區塊鏈沒有信息的節點中心，給信息的獲取帶來巨大的難度，即不法分子即使能夠通過一個節點獲得消費者的某些信息，但是由于這個節點上的信息并不完全，需要大量獲得其他節點的信息后，對各類信息進行分析和梳理之后，才會產生有價值的個人金融信息，這也就在一定程度上增加了不法分子獲得個人金融信息的難度。（3）可追溯?；趨^塊鏈的可追溯，任何個人通過區塊鏈訪問了消費者的個人信息都會被記錄，并留下時間戳[2]。這就提高了個人金融信息被侵犯時的預警性，通過對不正常訪問節點信息的個人的行為進行追溯，可以達到預防個人金融信息泄露。

三、區塊鏈技術在個人金融信息隱私保護中的應用

綜上可知，采用制度對個人金融信息隱私進行保護，在事后的保護和懲罰方面具有較好的效果，但是事前的預防效果較差。而采用區塊鏈技術能夠通過去中心化增加個人金融信息泄露的難度，通過可追溯實現對訪問個人金融信息的異常行為的預警，從而能夠較好地在事前做好對于個人金融信息隱私保護的預防[3]。因而，下文主要從區塊技術在個人金融信息隱私保護的角度，對個人金融信息的控制策略和使用授權進行分析（見圖1）。

（一）個人金融信息的控制策略

（1）信息登記確權策略。對個人金融信息的所有權進行確權是信息保護的關鍵。首先，要確定個人金融信息的所有權是用戶，產生個人金融信息的用戶對其產生的信息擁有所有權，因而保護個人金融信息就是保護用戶的權利，侵犯個人金融信息就是對個人權利的侵犯。銀行等金融機構本質上是在金融交易過程中用戶個人金融信息的保管者，個人金融信息的使用也只能僅限于用戶進行的交易活動，不能用于其他用途。其次，在對個人金融信息進行確權的基礎上，采用區塊鏈中的數字簽名算法，采用私鑰和公鑰對用戶產生的個人金融信息進行簽名計算，生成數字簽名。每次個人金融信息的使用應當采用數字簽名匹配的方式，公鑰對簽名信息的準確度進行匹配，之后在信息匹配的情況下，個人金融信息才能被使用。每次匹配成功的驗證，會被區塊鏈記錄，并在區塊鏈中儲存，便于追溯。每一個數字簽名應當歸屬于用戶本人，只有用戶才能夠使用。（2）信息防泄漏策略。由于區塊鏈是開放性的，為防止個人金融信息在區塊鏈上保存不被他人利用，可以采用對于個人信息進行加密儲存的方法，只有用戶使用自己的私鑰才能夠訪問和編輯個人相關的信息。由于用戶的個人金融信息被存儲在區塊鏈上是通過加密形式實現的，銀行等金融機構訪問個人金融信息必須需要用戶的授權才能訪問，而且訪問過程只能瀏覽和閱讀，不能夠篡改和復制等。個人在銀行等金融機構使用個人金融信息進行授權時，采用個人私鑰與銀行等機構的公鑰進行匹配來完成，并生成一個加密密碼，這個加密密碼能夠確保信息在授權過程中實現二次加密。而用戶可一個在授權中對密碼進行解密和加密，確保個人金融信息的安全，從而防止個人金融信息在使用過程中的泄露。（3）信息去中心化存儲策略。去中心化存儲是區塊鏈技術的重要特征之一，這一特征能夠通過將加密后的個人金融信息保存到區塊鏈上的多個節點上，保證個人金融信息不能被輕易的篡改和丟失。即使某一個節點的個人金融信息發生了問題，也不會影響到個人整體的金融信息存儲。在去中心化的區塊鏈上，個人金融信息的掌控權屬于具有加密權限和修改權限的用戶個人，個人金融信息不再受到中心金融機構的掌控。個人金融信息的變動可以由用戶通過加密和解密的方法，修改個人金融信息，并在區塊鏈上進行加密，各節點信息在用戶的數字簽名下實現信息的同步更新，這就確保了個人金融信息不再為某一個金融機構掌控，確保了用戶個人金融信息存儲的準確和可靠。

（二）個人金融信息的授權策略

（1）應用創建策略。個人金融信息的使用授權主要采用應用的模式，即個人金融信息使用授權時針對特定的應用進行。每一個用戶對于個人金融信息的使用授權都是一次特定的應用，每次應用都應當包含應用的目的、使用期限、使用方式，以及應用可能帶來的風險。這些應用的信息都會被區塊鏈采用智能合約的形式生成用戶信息使用合約代碼。每一個應用的創建都需要用戶進行授權，經過用戶授權后的應用可以獲得一個特定的ID，每個特定的應用ID都有一個智能合約，對于使用雙方的責任和義務進行界定。用戶可以通過應用ID查看應用授權情況，針對超越了應用權限的操作用戶可以取消授權。應用的創建本質上為用戶個人金融信息的使用建立了技術上的使用準則，即滿足應用要求的事項，用戶才會進行授權，而且對于應用授權中存在的風險，用戶有清晰的了解，可以隨時取消應用授權。（2）用戶操作授權策略。用戶對于個人金融信息擁有所有權，因而在授權應用過程中，可以選擇授權和停止授權。而用戶的每一次應用授權都會被區塊鏈記錄。在應用創建的過程中，個人金融信息的使用者與用戶之間存在一個智能合約，合約對應用的使用信息進行了明確，一旦應用在實施過程中出現了違規情況，用戶可以取消應用授權。在授權過程中，用戶通過授權向應用的使用者發送公鑰加密的個人信息，應用的使用者可以通過應用ID接收信息，并得到用戶的使用授權，并形成一條使用記錄被區塊鏈記錄。在應用實施完成后，用戶通過加密信息的，將整個區塊鏈上的個人金融信息進行更新。而當應用完成后，用戶可以通過取消授權，使用者則不能再訪問用戶的個人金融信息。（3）用戶知情策略。通過應用的主動通知、用戶主動問詢、知情舉報違約等形式實現用戶對個人金融信息使用的知情權。一是用戶主動通知。使用者在使用個人金融信息的過程中，可以通過應用將對個人金融信息的使用情況、存在的風險、完成情況等主動告知用戶。二是用戶主動問詢。對于應用使用個人金融信息的各類信息，用戶可以對使用者進行問詢，通過了解應用需要使用的信息情況，作出授權或不授權的決定。同時，對于用戶的問詢，使用者應當在一定期限內回復，否則視為侵權。三是知情舉報違約。由于用戶的個人金融信息在加密后會存儲在區塊鏈之中，因而，每一次用戶授權的應用信息都會公布在整個區塊鏈之中，一單出現異常使用的情況，區塊鏈就會通過舉報機制，將違約行為反饋給用戶，用戶可以終止授權合約。同樣對于多次被舉報的使用者，其信用度會在區塊鏈內下調，并公開，這就意味著下次使用方不再可信。

（三）區塊鏈技術在個人金融信息隱私保護中應用案例

（1）銀行類金融機構應用案例分析。以商業銀行員工泄露個人金融信息為例（見圖2），按照泄露方式有兩種情況：一是商業銀行內部員工為了經濟利益出售客戶個人金融信息。這類情況可以發生在信息收集、信息處理、信息保管多個環節，即使有嚴格的內部控制制度和技術防護，也難以徹底解決信息被泄露的問題。究其原因無外乎于兩方面，一方面是在傳統模式下對于個人金融信息隱私保護制度往往是在犯罪行為發生之后，對違反法律制度的員工進行處罰，但是改變不了個人金融信息被泄露的現實。加之現有的個人金融信息保護制度和銀行對于個人金融信息管理的一些漏洞，更加導致個人金融信息泄露事件層出不窮。另一方面是缺少對于個人金融信息所有權的明確，而是將個人金融信息作為銀行的內部資料進行管理，本質上是對個人權力的一種侵犯。對于員工使用個人金融信息缺少相應的規范，未將使用情況解釋向用戶反饋。二是商業銀行儲存的個人金融信息被外部黑客攻擊導致信息泄露。對于這種情況，商業銀行可以通過增加防火墻，增強技術安全投入來部分解決，但是信息技術日新月異，即使最嚴密的防火墻也不能百分之百保障信息的安全。在區塊鏈技術下，用戶在銀行等金融機構的個人金融信息屬于用戶所有，所有權屬于用戶。任何人或機構使用個人的金融信息都需要創建一個應用，每一個應用都需要用戶授權，并告知用戶使用的用途，而對于異常創建應用，將會被區塊鏈的信息反饋機制，將違規行為反饋給用戶，用戶可以停止授權，并報警。這就徹底解決個人信息被銀行內部員工出售和被黑客攻擊竊取的問題。由表1可知，銀行員工之所以能夠獲取個人金融信息并向其他人出售，主要在于內部制度缺少預防措施，而在區塊鏈技術應用的模式下，任何人或機構對用戶個人信息的使用都需要用戶授權，使用違規行為也會通過知情舉報的方式反饋給用戶，即使銀行員工通過合法應用獲得用戶授權，須向用戶告知應用的使用目的和期限等信息，銀行員工的使用個人金融信息的記錄會被區塊鏈記錄，這就會降低員工犯罪的風險。同時，在應用授權的過程中，用戶對違規合約能夠隨時終止授權，從而達到預防個人金融信息泄露的危險。針對銀行員工訪問個人金融信息與業務不相關的行為也需要銀行授權，對于信用不好的行為，直接在訪問過程中進行了限制訪問，從而能夠更好地保護個人金融信息的安全。（2）非銀行類金融機構應用案例分析。傳統的制度監管模式下（見圖3），非銀行金融機構具有對用戶金融信息的管理權限，很容易出現由于單位內部管理不到位，造成用戶的個人金融信息被泄露。究其原因，除了與商業銀行造成個人金融信息泄露的兩個途徑相似以外，還存在非銀行金融機構對持有的個人金融信息的違法濫用，甚至進行利益交換。眾所周知，在大數據時代，數據是有價值的，特別是個人金融數據更具有很大的商業價值。非銀行金融機構由于其對客戶個人金融信息的管理水平和政府對其監管力度不高，使得其有違法濫用的強大動機。與銀行金融機構不同，非銀行金融機構基本上都是混業經營，甚至是其主要股東的商業閉環鏈條的一部分。例如：大型電子商務平臺企業，雖然都是以電子商務為主要業務，但是基本上都獲取了金融牌照，能開展支付、信貸等金融業務。而這些電子商務平臺企業無一例外都是利用金融業務在支持和支撐商業運營，利用金融大數據引導消費者進行消費，這就導致了個人金融信息的濫用。專業的非銀行金融機構為了獲取流量，與商業企業或者是大型商業平臺企業進行業務合作，而合作的籌碼便是其管理的個人金融信息。如教育、醫療等企業會和消費金融公司合作，展開消費信貸業務，聯合對某一特定客戶群體進行開發，共同開發個人金融信息中的商業價值,而這是違反個人意愿的行為，屬于個人金融信息的商業化泄露。在區塊鏈技術下，個人的金融信息屬于用戶，信息被保存在區塊鏈中，非銀行金融機構管理用戶的一些姓名、性別、等基礎的信息，而核心的一些個人金融信息則會通過金融活動被保存在區塊鏈之中，并由用戶進行加密。如果非銀行金融機構想利用這些信息，就要與其他的信息使用者一樣，首先提出信息授權的申請，向客戶說明信息用途，用戶依據申請的目的和期限等信息，確定是否進行授權，同時配合公鑰，才可以使用個人金融信息。這就可以有效避免非銀行金融機構對個人金融信息的管理不善而被出售、盜竊以及商業濫用等問題，確保了個人金融信息的安全。

四、區塊鏈技術在個人金融信息隱私保護中應用建議

（一）明確個人金融信息的產權在大數據時代，數據信息的商業價值不言而喻，個人金融信息被泄露的最為核心的原因就是產權不明確。本應屬于個人的信息財產，由于產權不明確，個人金融信息往往成為了金融機構的一部分資源，從而被金融違背個人意愿進行商業濫用，盡可能地榨取信息中的商業價值。對此，我國應通過相應法律制度對個人金融信息的產權進行明確，界定為個人的私有產權。由個人金融信息帶來的收益也應當為個人所有，這樣才能從經濟利益上清除金融機構泄露和濫用個人金融信息的商業動機。同時，按照對私有產權保護的要求，對于銀行等金融機構使用個人金融信息應當在法律上明確，未經個人授權，任何人或機構不得使用個人金融信息。

（二）不斷完善區塊鏈技術

區塊鏈作為公開鏈，區塊鏈上的信息是對整個鏈條上的節點開放的，這就會帶來個人金融信息在儲存和保護方面的問題。區塊鏈形成的分布式賬簿結構確保了所有錄入信息的真實性，各節點之間的通信是采用密鑰驗證的方式。區塊鏈中因為沒有控制所有節點的中樞，所以各節點之間的聯系全靠日結月累的信用授權或擔保，外部人員只有通過私鑰才能訪問各節點的數據，因而應加大對區塊鏈技術中關于個人金融信息的加密技術的研究，確保信息不被泄露。同時，通過創新區塊鏈的信息儲存基礎，確保每個節點上儲存的信息不被篡改。另一方面，過去傳統的中心化數據庫系統極易受到黑客的攻擊，但是在基于區塊鏈系統的數據庫中，黑客對某個節點的攻擊根本無效，即使對所有節點進行攻擊，那么區塊鏈技術可以根據備份技術迅速形成新的節點。因而，應當加大對區塊鏈節點儲存基礎的研究和創新。

（三）強化金融機構自律

個人金融信息是在個人辦理金融業務，從事金融交易時產生的。作為參與金融業務或個人金融交易的金融機構，應當做好對個人金融信息的保護和監管。首先，通過不斷培訓內部人員，提高員工的風險意識，在員工的入職培訓中，要將崗位風險、風險防范意識融入其中，強化新員工的風險控制意識；在日常培訓中，結合具體的工作崗位，加強專業性的風險培訓，如用戶信息的使用程序、違規使用所要承擔的責任；在晉升培訓中，應明確員工在信息管理中可能存在的風險，掌握風險控制技巧，以及使用個人金融信息時的用戶授權和知情意識的培養。其次，要完善內部監督審查機構，做好對個人金融信息使用記錄的日常審查，對于存在的異常使用情況，及時向用戶反饋。銀行等金融機構內部要建立完善的內部審查機制，將定期審查和不定期抽查相結合，同時將客戶投訴反饋作為員工評價的主要指標，確保能夠實現對于員工行為的有效監督。最后，要積極運用區塊鏈技術提高對個人金融信息的保護程度，降低用戶行使監督權的成本，將區塊鏈技術運用到個人金融信息的收集和授權使用之中，確保用戶對個人信息具有授權、知情、受益的權利。

參考文獻：

［1］徐文玉.基于區塊鏈的電子健康記錄隱私保護機制［D］.山東師范大學，2019.

［2］蔡霖翔.區塊鏈數字貨幣資金流追溯研究［D］.中國人民公安大學，2019.

［3］付溢.區塊鏈交易數據隱私保護研究與實現［D］.北京交通大學，2019.

作者:王真真 單位:陜西交通職業技術學院