面向金融机构数字化转型的数字信任体系建设研究报告 (2023) 北京金融科技产业联盟 2024年7月 版权声明 本报告版权属于北京金融科技产业联盟,并受法律保护。转载、编摘或利用其他方式使用本白皮书文字或观点的,应注明来源。违反上述声明者,将被追究相关法律责任。 编制委员会 编委会成员:聂丽琴夏鲁宁编写组成员: 邵 淼 周 婧 黄莉群 张育明 陈 鹏 胥子旺 梁政锋 孔令河 王 滨 陈 曦 蒋 欣 王 翀 彭婧滢 万龙静 丁 林 贾 宁 朱晨红 张会茹 陈明畅 郭海生 周智伟杜静漪魏遵博董纪伟 康和意 贺礼云 郭秉静 编审:黄本涛统稿:黄莉群 刘昌娟方婷 参编单位: 北京金融科技产业联盟秘书处、北京数字认证股份有限公司、招商银行股份有限公司、浙江网商银行股份有限公司、中信建投证券股份有限公司、中国光大银行股份有限公司、中国建设银行股份有限公司、中国邮政储蓄银行股份有限公司、中兴通讯股份有限公司、杭州趣链科技有限公司、同盾科技有限公司、北京凝思软件股份有限公司 目录 一、新一轮科技革命驱动数字化转型新篇章1 (一)信息技术兴起,提升经济业态数字化1 (二)经济业态变革,促进数字信任技术发展2 (三)数字信任需求激增,加快顶层建设进展4 二、数字信任技术赋能金融数字化转型5 (一)PKI和密码学5 (二)大数据6 (三)人工智能8 (四)隐私计算9 (五)零信任10 (六)区块链12 (七)可信计算13 三、金融行业数字化转型引领行业信任体系升级15 (一)信任体系面临迫切升级需求15 (二)基础设施夯实信任体系基石16 (三)信任新体系支撑业务可持续发展19 (四)可信特征传递企业信任之力21 (五)信任体系续航数字金融新生态28 (六)数字连接聚合新型信任关系32 (七)数字信任技术构建数字新连接34 (八)数字信任助推经济社会协同发展34 四、以数字信任之力驱动经济业态升级37 (一)征信授权签署场景37 (二)电子印章管理场景39 (三)数据报送自动化场景40 (四)金融业数据共享场景43 (五)风险信息协同场景46 (六)金融业务可信体系应用场景49 (七)数字银行可信纵深防御场景应用54 (八)银行大数据平台场景应用57 (九)基于区块链的电子存款证明59 五、安全可信生态支撑数字金融守正创新发展64 图目录 图12017-2022年我国数字经济规模、同比名义增长及占GDP比重2 图2金融科技投融资整体规模15 图3全球金融科技投融资交易额统计16 图4数字信任体系建设定义层级划分17 图5金融行业数字信任体系层次18 图6分层度量信任架构23 图7信任体系层次29 图82022-2023年数字信任的正面效应统计30 图9数字信任体系构建参考模型32 图10企业数字信任体系整体框架34 图11个人信贷征信授权签署方案38 图12基于数字信任的安全支撑平台架构40 图13数据报送自动化方案逻辑架构42 图14金融业数据共享平台技术方案架构45 图15金融业数据共享平台技术方案图48 图16金融业务金融可信体系50 图17可信体系的主要建设内容51 图18信档案单个客户示例52 图19登录场景的可信应用流程53 图20限额提升场景53 图21限额提升场景中可信体系的成效和亮点54 图22安全防御体系架构56 图23银行大数据平台架构图58 图24身份验证流程图60 图25电子存款证明架构图62 一、新一轮科技革命驱动数字化转型新篇章 (一)信息技术兴起,提升经济业态数字化 近年来,5G、大数据、云计算、人工智能等技术深入发展,数字技术正从更深层次和更广领域加速拥抱传统产业,推动传统产业加快转型升级,同时国家大力推动数字中国、网络强国等发展,各界积极响应“加快推进数字产业化、产业数字化”的重要方略,各行各业纷纷利用新技术走上变革之路。随着科技革命和产业变革的浪潮席卷全球,数字化转型开启新篇章。根据国家互联网信息办公室发布的《数字中国发展报告(2023年)》报告显示,截至2022年,我国数字经济规模达到50.2万亿元,同比名义增长10.3%,已连续11年显著高于同期GDP名义增速,数字经济占GDP比重达到41.5%,未来,数字经济的规模和占GDP比重将进一步攀升1。新一轮科技革命和产业变革正在强势引领数字化转型浪潮,传统产业快速拥抱数字化技术,将进一步实现从生产到管理的全方位数字化革新。 1中国数字经济发展研究报告(2023) 图12017-2022年我国数字经济规模、同比名义增长及占GDP比重资料来源:《数字中国发展报告(2023年)》 (二)经济业态变革,促进数字信任技术发展 自人类社会发展伊始,人类文明就进入了一个漫长的演进过程,从原始文明、农业文明、工业文明到数字文明,每一次新文明的诞生都代表着文明形态的重塑和社会的变更。当人类文明进入以数字技术和数字经济为基础的数字文明时,传统社会的信任 关系必然演变为新特点、新内涵的数字信任2。 表1人类文明形态发展下的信任关系演变 特征 农业文明 工业文明 数字文明 主要信任模式 人际信任:基于人际关系构建的信任关系,具备较强的情感性,信任传递性较低 制度信任:基于政府管理和市场契约形成的信任关系,稳定性较强,信任传递性有限 数字信任:基于数字技术在虚拟数字空间形成的信任关系,高度依赖于数字技术和数字应用 行为主体类型 社会个体 企业、各种社会组织 所有链接/映射到数字空间的组织、人和物 信息沟通机制 通过熟人关系网络(宗族、村落)和书信进行信息传递 通过印刷术、电报、电话进行信息传递 通过互联网、移动设备进行信息传递 社会依存关系 以自给自足的农业生产为主,商业化水平、社会分工和依存度整体较低 以社会化工业生产为主,依靠高商业化水平下发达市场经济形成社会化分工,社会依存关系较高 依靠互联网平台企业和跨国互联网公司形成了基于数字经济的精细化社会分工,社会依存关系极高 社会主要风险 自然灾害、社会动乱为主 工程灾害、环境污染为主 网络安全、数据安全为主 2崔久强,郑宁,石英村.数字经济时代新型数字信任体系构建[J].信息安全与通信保密, 2020,(10):10-16. 信任是由于施加信任的一方相信某种属性而触发的差异化的行为,即施加信任的一方预期对方将在友好动机下完成有益结果时,而主动做出的一定量的资源和权利的让渡。信任理论的历史研究非常多,从最早哲学和政治学领域广泛扩展到社会学、经济学、心理学、博弈论和国际关系等多个学科中,理论模型被广泛用于公共治理实践和机构的市场商业行为,虽然各学科对信任的定义存在差异,但达成共识的观点是:信任是涉及交易或交换关系的基础。 国际也有多个组织对“数字信任”进行研究和定义。Gartner在其2017年版的报告《Definition:DigitalTrust》中曾对数字信任给出了较为通用的定义3:“对明确期望的可测量的信心”。在该报告中Gartner又具体延展说明数字信任: 身份真实性:组织、自然人或其他实体证明自我身份是真实可信的。 具有自我主张能力:组织、自然人或其他实体可代表自身或经授权被合法代表。 意愿真实性:完全自愿参与数字互动。 行为模式可信:以真实、可预测、可靠、安全、道德和尊重隐私的方式做到数字互动。 ISACA(国际信息系统审计协会)在其2022年的报告《DigitalTrust:AModern-DayImperative》中对数字信任给出了更加具象化的定义:数字生态系统中提供商与消费者之间关系、交互和交易完 3Definition:DigitalTrust 整性的信心,包括人、组织、过程、信息和技术的能力,以创建和维持一个可信任的数字世界。显然ISACA对数字信任的定义更加商业化,并在报告中给出了一些通过数字化手段构建信任的具体切入点4。 上述Gartner和ISACA的定义都呈现出宏观且全面的特点。本报告基于既有的信任理论基础,同时结合数字经济时代的特点,将数字信任定义为:数字信任是一个组织在其数字生态系统中采用数字化手段,在经营过程中动态和持续地塑造出生态相关方对其承诺能力和承诺意愿的信心。 (三)数字信任需求激增,加快顶层建设进展 在数字化转型的浪潮中,信任正面临着前所未有的挑战。因此全球各主要经济体都相继将“数字信任”纳入其重要建设内容,身份主权、数据安全、隐私保护、数据控制、法律执行以及管理审计早已等成为各国关注热点。 美国、欧盟、新加坡、日本等发达国家和地区早已着手建立数字信任框架,以应对数字世界带来的新挑战和风险。欧盟《电子身份认证与签名条例》(eIDAS条例)和《通用数据保护条例》(GDPR)、 《2010泛欧洲电子身份标识(eID)管理框架路线图》《2030数字罗盘:欧洲数字十年之路》《欧洲数据战略》以及一系列数字信任顶层建设持续完善;美国《网络空间可信身份国家战略》(NSTIC)、《纪念联合国成立75周年宣言》《国际与国内商务电子签名法》《联邦 数据战略与2020年行动计划《》加利福尼亚消费者隐私法案(》CCPA) 4DigitalTrust:AModern-DayImperative 等顶层建设都高度重视数字信任的建设5。《数据安全政策研究报告 (2022年)》曾对欧洲、北美洲、南美洲、亚洲、大洋洲、非洲六大洲,包括欧盟、德国、法国、英国等14个国家或组织的87项数据安全政策及战略进行分析,结果显示数据安全等数字信任战略已成为聚焦点。 在我国,具有个人信息保护和重要数据安全职责的部门有近20个部门,包括国家网信办、工业和信息化部、市场监督管理总局、教育部、公安部、人力资源和社会保障部、证券监督管理委员会、国家保密局、国家邮政局等部门,分别负责各自行业的个人信息保护和重要数据安全。金融行业、工业信息行业,医疗卫生行业、交通运输等各个行业都相应制定了行业标准。 二、数字信任技术赋能金融数字化转型 (一)PKI和密码学 PKI(PublicKeyInfrastructure)意为“公钥基础设施”,简单地说,PKI技术就是利用公钥理论和技术建立的提供信息安全服务的基础设施。是现今应用最广泛的一种加密体制,PKI技术体系可以作为支持认证、完整性、机密性和不可否认性的技术基础。主要包括两方面的内容:一是数字签名,该技术可以保证传输信息的完整性和不可否认性;二是加密,用户在使用公开密钥对信息加密后,解密私 5崔久强,陈晓曈.全球数字信任建设的现状、问题与经验[J].信息安全与通信保密,2021(11):30-38. 钥不在Internet上传输,这样避免了密钥被窃取6。 1.PKI在银行业的应用 在银行业,具体的应用包括,使用金融IC卡、动态令牌、智能密码钥匙等密码产品实现对客户身份、服务器身份等的认证;使用密码技术对柜面终端、ATM机、POS机等进行设备认证;使用密码技术建立安全通道,实现终端与银行业务系统间、银行业务系统与非银行业第三方对接系统间、银行业务系统与银行业中心节点关键系统间重要敏感信息的加密传输;使用密码技术,实现对系统存储的用户口令、用户隐私信息、重要交易数据等的加密保护等,促进金融IC卡、POS机、ATM机、网银设备等诸多商用密码产品的研发、生产和应用。 2.PKI在证券业的应用 在证券业,通过以商用密码为基础的数字签名技术,有效解决了网上业务的法律效力问题,大大提高了办理效率,节省了成本。商用密码为证券业务的正常有序开展也将提供更强有力的安全保障。 3.PKI在保险业的应用 在保险业,在网络保险发展过程中,电子保单采用商用密码技术确保了保险业务过程中各类电子单证的合法性。通过网上出单,省去保险单证印刷、发放、机构盖章等环节,简化了保险公司内部管理流程,降低了复杂的交互环节可能引起的操作风险,降低了保险机构的营运费用,提升了投保用户使用体验,提高了保险公司营销效率。 (二)大数据 6周涛,徐少杰.PKI/CA系统的研究及其在银行业中的应用[J].中国金融电脑,2004. 大数据技术是