美联储数字资产系统的数据隐私(英)
财经系列讨论 联邦储备委员会,华盛顿特区,ISSN1936-2854(打印) ISSN2767-3898(在线) 数字资产系统的数据隐私 JillianMascelli2023-059 请引用本文为: Mascelli,Jillian(2023)。“数字资产系统的数据隐私”,金融和经济讨论系列2023-059。华盛顿:联邦储备系统理事会,https://doi.org/10.17016/FEDS.2023.059。 注意:金融和经济讨论系列(FEDS)中的员工工作文件是为激发讨论和评论而分发的初步材料。提出的分析和结论是作者的分析和结论,并不表示其他研究人员或理事会成员的同意。在出版物中引用的金融和经济讨论系列(除了承认)应清除与作者(S),以保护这些论文的暂定性质。 数字资产系统的数据隐私 JillianMascelli2023 年9月 Abstract 数字资产系统中的数据隐私对最终用户具有持续的重要性。然而,终端用户在使用数字资产支付系统时对隐私的期望与系统对收集、存储和使用的数据的实际处理之间可能存在脱节。本文提供了有关数据隐私的基础入门,以及对与数字资产系统设计早期阶段相关的数据隐私框架和策略的各种方法的定性和技术评估。分析最初依赖于基础数据隐私概念的支出,包括匿名、保密和全面披露,以及三种不同的数据隐私框架方法。分析发现,一些概念,例如对“类似现金的匿名”的渴望,是基于错误的基本假设。本文摆脱了可能无法实现的匿名标准,而是专注于数据隐私的混合方法,包括Cavoia的隐私设计和隐私政策的流行应用。这种混合方法通过跨架构层的隐私增强技术(PET)的技术比较来可视化,详细说明了与数字资产系统相关的流行和新兴PET,这些数字资产系统优先考虑混合保密方法。该论文进一步发现,流行和新兴技术的特定组合可能会提供尚未测试但新颖的好处,以保持强大的机密性-可能是最终用户对隐私的期望-在数据进行审计的同时。细致入微的方法,而不是依赖单一的新颖的PET或可疑的匿名保证,可能最好地促进强大的机密性,并为数字资产系统用户提供可持续的最终用户隐私保护。 本文所表达的观点仅是作者的观点,不应被解释为反映了理事会或联邦储备系统的观点。作者要感谢美国联邦储备委员会的DavidMills、SojaDabrg、NathaPalmer、SarahWright、ZachVida、CyWatsy、DavidHsbad、PeterLoe和DeidreRya;联邦储备委员会技术实验室(TechLab)团队;国家标准与技术研究所的KatyaDela;纽约联邦储备银行的ChristopherDesch;AlexaderLee和PalWog对本说明的贡献,评论和协助。作者以前曾以JilliaBttecali的名字发表过。 1.0Introduction 本研究报告对数据隐私以及在获取、持有和使用加密资产等数字资产时保护最终用户隐私的相关工具进行了高级别讨论。该文件认为,强大的最终用户数据隐私是部署数字资产支付系统的一个有价值的先决条件(Cheg,Wog,adLawso,2021,pg.5).因此,以下分析和结论与部署之前的数字资产系统的设计阶段最相关。 大多数数字支付系统采用某种形式的最终用户隐私作为核心特征。并非每个数字支付系统都提供相同的隐私保护或隐私功能。数字资产支付系统的数据隐私取决于数字资产平台提供了哪些隐私增强技术(PET)和技术 ,以及最终用户可能能够并愿意采用哪些工具。数字资产隐私策略可以考虑对由系统收集、使用和存储的数据的特定用例保护,并结合一系列隐私工具和技术,以满足特定用例的最终用户隐私需求。本文回顾了在数字资产系统中实现数据隐私的可能方法,评估了几种相关的数字资产PET,并讨论了在数字资产支付网络中利用数据隐私时的体系结构考虑因素。 2.0定义数据隐私 就本文而言,数据隐私是向系统用户保证其信息的机密性,完整性和可用性受到保护(Barer,Smid,Brastad和Chohai,2013)。此外,出于本文的目的,数字资产被定义为数字对象,在其数字钱包中对资产持有人起到有价值的东西或有价值的东西的表示作用,并且通常可在持有人之间转移。当数字资产以加密技术为基础时,例如基于区块链的交易分类账,数字资产也可以称为加密资产。 在数字资产支付系统中,数据隐私有助于保护支付系统用户免受使用支付网络的意外后果,例如身份盗窃、歧视或公众对个人支出习惯的审查。它还有助于保护支付系统运营商,他们可能有权访问用户数据,免受运营、声誉、法律和交易对手风险的影响(Kha,2018)。最终用户对数据隐私的担忧,特别是在数字资产的背景下 ,正在持续。2平衡风险缓解。 1在更广泛的信息系统定义中,“数字资产”一词不使用,它可以指大量的软件、数据、媒体或文档。 2分析公众对电子资金转移(EFT)的看法可以帮助我们更好地了解在部署当今流行的数字资产生态系统之前长期存在的用户隐私问题,例如以太坊,这在很长一段时间内相对较新 因此,数字资产支付系统的设计和周围架构中的隐私战略方法可以帮助实现用户对数据保护的期望,同时减轻系统运营商和参与者面临的风险。 2.1数据隐私策略的方法 数字资产系统的设计可能会考虑如何通过遵守数据隐私策略来保护静止,传输和使用中的数据的隐私。数据隐私策略,有时称为数据隐私方案,是用于创建端到端数据隐私的工具和技术的集合,以实现用户对数据保护的期望 。数据隐私策略包括用于创建端到端数据隐私的工具和技术,同时实现用户对数据保护的期望。有两个基本框架来支持数据隐私策略的开发:设计隐私和策略隐私。虽然不是相互排斥的,但理解这些不同的理念有助于为数字资产支付系统制定和实施有效的隐私策略。 设计隐私是在给定架构选择、用户需求和系统数据生命周期期望的情况下对隐私需求进行主动评估(Cavoia,2011)。这种方法将确保技术架构师和产品所有者在系统设计过程的最初阶段以隐私作为优先事项来塑造系统的架构。隐私设计鼓励在整个系统的生命周期中采用端到端的信息管理实践,而不仅仅是在特定的最终用户接触点,例如登录页面或Cooie分配期间。这种数据隐私方法将适用于数字资产的物理和虚拟基础设施、IT系统、接口和业务实践。此外,在该方法中,数字资产支付系统仅收集、传输和存储所需的最低限度的用户数据。所有其他数据要么保持未收集,要么根据最终用户的需要收集并存储在其他地方。 隐私政策是促进用户知情同意组织持有,处理或传输用户数据的业务实践的实施(Spieerma,2009) 。组织可以通过向最终用户提供透明的选择来为数字资产系统实施以策略为中心的数据隐私策略。基于策略的方法可能不会由系统架构师开发,而是在运营商的法律或业务功能范围内。法律或商业行为者可能会评估当地司法管辖区的法律要求和主要业务需求。 付款的历史。1982年由美国参议院委托进行的一项研究得出的结论是,EFT用户担心第三方对交易和个人数据的了解。用户还希望对自己的数据进行直接和详细的控制。另请参阅https://www。普林斯顿.ed/~ota/dis3/1982/8223/8223。PDF第11页。同样,欧洲中央银行(ECB)最近进行的一项调查得出的结论是,其管辖范围内的用户希望新颖的数字资产支付“仍然是私人事务”,即使这种隐私会限制数字欧元的功能,例如第三方创新和离线可用性。另请参阅https://www。ecb.欧罗巴。e/pb/pdf/other/Erosystem_report_o_the_pblic_cosltatio _o_a_digital_ero~539fa8cd8d.A.pdf#page=15page15。 系统来开发一套概述系统数据使用实践的文档。这可能包括一个简单的语言隐私政策,在数据收集之前需要用户的知情同意。这种方法还可以包括内部公司策略,根据公司内部的角色和职责限制对用户数据的访问。数字资产的隐私策略还可以包括仅允许与基于用户选择提供或不提供的特定数据的用户接口的某些活动。与设计隐私不同 ,政策方法是由业务决策者的目标驱动的,即通过信息和同意而不是通过技术手段来保护用户,例如特定的加密方法。 混合方法在设计数字资产支付系统时,它结合了政策隐私和设计隐私的元素,也是一种选择。除了单方面的方法外,一些数据隐私框架还将设计和策略方法结合起来,以实现全面的数据保护。“混合”方法可以满足数字资产系统的复杂需求,并有助于减轻运营风险,如果组织只追求一种隐私理念,这些风险可能会留下。混合框架的一个示例是普遍接受的隐私原则(GAPP)。GAPP并非特定于数字资产,而是适用于各种金融系统用例。GAPP最初由会计师联盟开发,规定了一系列数据政策和文档步骤,以适当保护个人身份信息(PII)的机密性 (Johso,2009)。该框架在很大程度上依赖于隐私政策,但也通过概述有用的PET和适当的数据生命周期活动来维护隐私,从而编织隐私设计的元素。另一个混合框架选项是国家标准与技术研究所(NIST)隐私框架,它倾向于按政策隐私,但包括一个强大的词典,用于开发全面的技术数据隐私设计。 2.2保密和匿名 数据隐私包含一系列相关但不同的隐私概念,包括匿名、机密性和全面披露。4这三个概念经常被混淆为同义词 。本文认为,事实恰恰相反,匿名性、机密性和完全披露是数据隐私的更大范围内的三个不同概念(图1)。匿名或完全披露都不是本文的主要主题。相反,本文侧重于各种专门针对机密性的方法,例如隐私。 3虽然这是一个有价值的有利位置,但本文侧重于基于系统设计的技术隐私设计或“混合”方法的考虑。 4本研究说明列出了几个重要概念的定义,以更好地理解隐私的技术方面。其中一些技术术语可能与法律术语相同。然而,就本文而言,隐 私、保密和其他概念的定义属于技术思维,可能与类似术语的法律或政策定义不同。 增强技术和技巧,构建一个深思熟虑的全系统隐私策略。让我们来探讨这三种类型的数据隐私之间的关键方面和差异。 图1:数据隐私的频谱 匿名 Confidentiality 全面披露 首先,匿名这意味着系统收集或存储的数据不能唯一地识别个体行为者(美国国家标准与技术研究所,2011)。数字资产系统可以通过收集关于最终用户的较少信息以便不能唯一地识别用户来促进匿名。在收集或存储最终用户的标识数据的电子支付系统中几乎不可能保持匿名性。当网络参与者可以被识别为已知身份而不是简单的独特实体时,匿名性就会丢失(Garfiel,2015)。即使在不需要收集识别数据的数字资产支付系统中,也可能难以维持匿名性。支付系统的底层技术基础设施可能会在每次与其系统交互时默认收集和记录一些数据,例如在用户尝试连接到支付系统时记录用户的互联网协议(IP)地址或有关用户硬件的详细信息。该默认数据收集可以使用分布式支付网络来减轻,其中每个连接的计算机或节点负责保持其自己版本的网络操作软件。然而,正如公共分布式数字资产支付工作所常见的那样,共享交易分类账记录假名标识符(在下面的工具部分中进行了解释)以及交易元数据。分布式数字资产网络中的共享分类账可能会阻止NIST和Garfiel认为的匿名性-用户将是1)唯一可识别的,2)通过对交易历史的启发式分析而知道。 第二,保密性意味着收集和存储的数据以某种方式受到保护,例如混淆或访问限制,并且仅对授权的演员可用。5不同程度的数据机密性介于匿名和完全公开的极端之间。架构师可以设计一个数字资产系统,以掩盖或阻止访问系统收集的最终用户数据。在这种情况下,本文认为这种混淆是保密的,而不是匿名的。此外,本文中的所有以下部分都讨论了与机密性相关的技术和技术,而不是那些确保匿名性的技术。 5请参阅ISO/IEC27000:2018的ISO文档,第3.10节。https://www.iso.org/obp/ui/#iso:std:iso-iec:27000:ed-5:v1:en 第三,全面披露这意味着收集和存储的数据不受任何系统用户查看的保护。在数据隐私领域,完全披露 存
