《區塊鏈隱私計算指南》發布 核心之外以API提供隱私計算服務

7月19日，由中國電子技術標準化研究院和杭州市蕭山區人民政府主辦的區塊鏈技術和應用峰會暨第三屆中國區塊鏈開發大賽成果發布會在杭州蕭山

7月19日，由中國電子技術標準化研究院和杭州市蕭山區人民政府主辦的“區塊鏈技術和應用峰會暨第三屆中國區塊鏈開發大賽成果發布會”在杭州蕭山舉辦。本次大會以“標準引領應用創新”為主題，以發布開發大賽成果為契機，共同探索區塊鏈技術標準以及應用的發展。

會上，上海萬向區塊鏈股份公司高級總監郝玉琨作為代表，發布并解讀了《區塊鏈 隱私計算服務指南》(下稱“指南”)標準。

《指南》由中國電子技術標準化研究院指導，萬向區塊鏈牽頭起草，矩陣元技術(深圳)有限公司、中國電子技術標準化研究院、深圳前海微眾銀行股份有限公司、眾安信息技術服務有限公司、廈門安妮股份有限公司、易見供應鏈管理股份有限公司、上海金丘信息科技股份有限公司、上海復星高科技(集團)有限公司、北京京東振世信息技術有限公司、福建省海峽區塊鏈研究院、深圳華大基因科技有限公司、中國平安(集團)保險公司等公司共同編寫完成。

以下為標準發布及解讀全文，整理自現場速記稿：

萬向區塊鏈郝玉琨

尊敬各位領導以及區塊鏈行業的同仁，大家上午好!非常榮幸能夠在這里為大家介紹和發布《區塊鏈 隱私計算服務指南》團體標準。

最近，Facebook發的Libra，牽動著整個行業的關注點，美國政府在近段時間里組織了兩場聽證會，全球政府、央行、監管部門等都在關注著事態的進展以及美國政府的態度。在這兩場聽證會里，有一個非常重要的爭議點——隱私保護。Facebook能夠覆蓋20億用戶，怎么保證他不會拿數據來作惡?怎么保證數據的隱私?

在電子技術標準化研究院的指導下，中國區塊鏈技術和產業發展論壇成員的共同努力下，由萬向區塊鏈牽頭編寫了《區塊鏈 隱私計算服務指南》。關于這個標準，我們在前期已經做了非常充分的準備，去年我們已經發過一個隱私保護的團體標準，今年從4月份開始，我們邀請行業同仁來共同參與討論，前段時間在深圳做了集中編寫和充分論證。正好在這個時間節點發布，我想應該也是工信部、電子標準院以及論壇對于區塊鏈行業發展的充分理解，在這樣一個大背景下適時推出了這樣一個團體標準。

《區塊鏈 隱私計算服務指南》實際上是一個操作指南，它沒有對行業里經常講的那些熱詞和細節做過多的解釋，因為在標準領域看來，這些細節是留給技術專家以及行業從業人員研究的。標準化論壇推出它，是為了給行業從業者就利用區塊鏈技術提高數據交換效率和可信性，同時在保護數據隱私前提下實現多方協作的數據計算等方面提供指引的，告訴大家什么是基于區塊鏈的隱私計算，應該怎么用，用完之后怎么管。

首先，區塊鏈隱私計算服務包括：原則和相關方、技術架構、服務管理等方面的內容。本標準適用于指導區塊鏈隱私計算服務的展開，同時評估相關方的區塊鏈隱私計算服務能力;其次是評估區塊鏈隱私計算服務對組織的適用性;第四是審計區塊鏈隱私計算服務的安全性和合規性。從區塊鏈誕生以來，合規都是和它相伴相生的，特別是隱私計算涉及到用戶數據的相關合規性應該怎么做，這里面也有一些說明。

在今年上半年的國際標準討論中，中國區塊鏈技術和產業發展論壇牽頭會同了行業里的眾多專家，把“區塊鏈是什么”做了漢語定義，我們也對區塊鏈隱私相關概念做了定義。包括對隱私計算、安全計算、零知識證明、可信執行環境、門限簽名、數據提供方、數據執行方、數據使用方等這些基礎概念做了一個框定。

隱私計算服務指南的原則

接下來，講一下隱私計算服務指南的原則。首先，我們遵循的是國際標準GB/T 35273-2017 中第四章“個人信息安全基本原則”。也就是區塊鏈隱私計算要依托國際標準對于個人隱私、個人數據的要求。在這上面，我們又提出了以下五點原則：一是安全隔離原則，也就是說隱私數據需要限定在特定的范圍之內;二是最小授權原則，授權對象最小、數據內容最小、授權權限最小和時間最小;三是明示同意原則，應當獲得隱私主體明確授權;四是透明原則，隱私計劃應該保證透明度，保證雙方公開;最后是監管合規，隱私計算所有的業務應該是在國家和政府的法律指導下合規開展。

相關方

關于相關方，如下圖所示：

主體業務端有前端的終端用戶、業務提供方、技術提供方和第三方。從去年開始，網信、公信、公安各個部委都對區塊鏈隱私、合規這塊做了很多工作。對隱私計算來說，就有“第三方”的概念，第三方包括監管、審計、治理。也就是說，整體隱私計算服務從架構和設計上來說，是把監管和治理、審計設計在里面，業務開展需要在一個合規，有監管的前提下有序開展。

技術架構

關于技術架構，區塊鏈和隱私計算本來是兩個已有的領域，用區塊鏈技術可以提高隱私數據的交換效率和可信，來幫助我們更好地開展隱私計算。底層還是基于區塊鏈基礎設施，上層有數據共享、數據計算、密鑰管理三個縱向模塊，右側是在核心模塊之外以API形式對外提供隱私計算服務。

管理要求

接下來是管理要求。納入相關方，獲得了數據，并建立了相關的服務之后，應該怎樣對這些技術、產品進行管理。隱私計算需要有這樣幾個管理要求：一是需要設立相關的合規管理崗位，通過相關方對合規、對組織進行相關政策制定;另外一個是風險防范與控制，因為我們要通過設立專門的機制、人員來保證隱私數據不被泄露、不被破解，以及出了問題后密鑰的泄露和丟失處置。

隱私計算過程

我們也規定了隱私計算的過程，這個過程如上圖所示，包含七個步驟，從預處理到共享、分解、任務分發一直到最后的提交驗證。這個流程圖是一個抽象的結果，因為在《指南》編寫過程中，大家都是業界內的公司，每家公司都對于自己在區塊鏈隱私計算相關的工作領域做了展示和介紹，每家公司有不同的做法，最后論壇基于大家實踐中的共性，提煉出這樣一個可以參考、可以匹配的流程。

評估與審計

最后是評估與審計。這里面包含了以下六個評估項目：計算準確性的評估、可擴展性評估、計算能力評估、安全涉及評估、適用范圍評估和服務合規性評估?！吨改稀防锾峁┝诉@六個原則給大家作為參考，就像打分表一樣，基于六個大項，里面有若干個小項，對照著打一個分，最后可以看到我們的隱私計算服務能力到底是什么樣的效果性能。

隱私計算服務實現方法

前面講到的隱私計算服務，主要是綱領性和方法論，以及宏觀共性的一些條款，接下來我將舉例說明現有的隱私計算服務實現方法。主要有九個：

1、基于基礎公鑰密碼學的數據安全共享參考實現；

2、基于PRE數據安全共享參考實現；

3、基于區塊鏈的分布式隱私計算示意；

4、基于安全多方計算的隱私計算參考實現方案；

5、全同態加密用于數據隱私保護計算的參考實現；

6、全同態加密用于算法隱私保護計算的參考實現方案；

7、零知識證明用于數據隱私保護計算的實現方案；

8、基于門限簽名的密鑰管理服務的基本示意；

9、基于2/3門限簽名方案的秘鑰管理示意。

下面是所有參與《服務》標準起草的單位，感謝各個單位的努力和工作。也歡迎大家積極參與，共同推進區塊鏈隱私計算服務的進程。

謝謝大家。

關鍵詞： 區塊鏈隱私計算指南 API