《区块链隐私计算服务指南》团体标准发布

金色的太阳行业

2019-07-20 17:18:51

7月19日，由中国电子技术标准化研究院和杭州市萧山区人民政府主办的“区块链技术和应用峰会暨第三届中国区块链开发大赛成果发布会”在杭州萧山举办。本次大会以“标准引领应用创新”为主题，以发布开发大赛成果为契机，共同探索区块链技术标准以及应用的发展。

会上，上海万向区块链股份公司高级总监郝玉琨作为代表，发布并解读了《区块链隐私计算服务指南》（下称“指南”）标准。《指南》由中国电子技术标准化研究院指导，万向区块链牵头起草，矩阵元技术（深圳）有限公司、中国电子技术标准化研究院、深圳前海微众银行股份有限公司、众安信息技术服务有限公司、厦门安妮股份有限公司、易见供应链管理股份有限公司、上海金丘信息科技股份有限公司、上海复星高科技（集团）有限公司、北京京东振世信息技术有限公司、福建省海峡区块链研究院、深圳华大基因科技有限公司、中国平安（集团）保险公司等公司共同编写完成。

以下为标准发布及解读全文，整理自现场速记稿：

万向区块链郝玉琨

尊敬各位领导以及区块链行业的同仁，大家上午好！非常荣幸能够在这里为大家介绍和发布《区块链隐私计算服务指南》团体标准。

最近，Facebook发的Libra，牵动着整个行业的关注点，美国政府在近段时间里组织了两场听证会，全球政府、央行、监管部门等都在关注着事态的进展以及美国政府的态度。在这两场听证会里，有一个非常重要的争议点——隐私保护。Facebook能够覆盖20亿用户，怎么保证他不会拿数据来作恶？怎么保证数据的隐私？

在电子技术标准化研究院的指导下，中国区块链技术和产业发展论坛成员的共同努力下，由万向区块链牵头编写了《区块链隐私计算服务指南》。关于这个标准，我们在前期已经做了非常充分的准备，去年我们已经发过一个隐私保护的团体标准，今年从4月份开始，我们邀请行业同仁来共同参与讨论，前段时间在深圳做了集中编写和充分论证。正好在这个时间节点发布，我想应该也是工信部、电子标准院以及论坛对于区块链行业发展的充分理解，在这样一个大背景下适时推出了这样一个团体标准。

《区块链隐私计算服务指南》实际上是一个操作指南，它没有对行业里经常讲的那些热词和细节做过多的解释，因为在标准领域看来，这些细节是留给技术专家以及行业从业人员研究的。标准化论坛推出它，是为了给行业从业者就利用区块链技术提高数据交换效率和可信性，同时在保护数据隐私前提下实现多方协作的数据计算等方面提供指引的，告诉大家什么是基于区块链的隐私计算，应该怎么用，用完之后怎么管。

首先，区块链隐私计算服务包括：原则和相关方、技术架构、服务管理等方面的内容。本标准适用于指导区块链隐私计算服务的展开，同时评估相关方的区块链隐私计算服务能力；其次是评估区块链隐私计算服务对组织的适用性；第四是审计区块链隐私计算服务的安全性和合规性。从区块链诞生以来，合规都是和它相伴相生的，特别是隐私计算涉及到用户数据的相关合规性应该怎么做，这里面也有一些说明。

在今年上半年的国际标准讨论中，中国区块链技术和产业发展论坛牵头会同了行业里的众多专家，把“区块链是什么”做了汉语定义，我们也对区块链隐私相关概念做了定义。包括对隐私计算、安全计算、零知识证明、可信执行环境、门限签名、数据提供方、数据执行方、数据使用方等这些基础概念做了一个框定。

隐私计算服务指南的原则

接下来，讲一下隐私计算服务指南的原则。首先，我们遵循的是国际标准GB/T 35273-2017 中第四章“个人信息安全基本原则”。也就是区块链隐私计算要依托国际标准对于个人隐私、个人数据的要求。在这上面，我们又提出了以下五点原则：一是安全隔离原则，也就是说隐私数据需要限定在特定的范围之内；二是最小授权原则，授权对象最小、数据内容最小、授权权限最小和时间最小；三是明示同意原则，应当获得隐私主体明确授权；四是透明原则，隐私计划应该保证透明度，保证双方公开；最后是监管合规，隐私计算所有的业务应该是在国家和政府的法律指导下合规开展。

相关方

关于相关方，如下图所示：

主体业务端有前端的终端用户、业务提供方、技术提供方和第三方。从去年开始，网信、公信、公安各个部委都对区块链隐私、合规这块做了很多工作。对隐私计算来说，就有“第三方”的概念，第三方包括监管、审计、治理。也就是说，整体隐私计算服务从架构和设计上来说，是把监管和治理、审计设计在里面，业务开展需要在一个合规，有监管的前提下有序开展。

技术架构

关于技术架构，区块链和隐私计算本来是两个已有的领域，用区块链技术可以提高隐私数据的交换效率和可信，来帮助我们更好地开展隐私计算。底层还是基于区块链基础设施，上层有数据共享、数据计算、密钥管理三个纵向模块，右侧是在核心模块之外以API形式对外提供隐私计算服务。

管理要求

接下来是管理要求。纳入相关方，获得了数据，并建立了相关的服务之后，应该怎样对这些技术、产品进行管理。隐私计算需要有这样几个管理要求：一是需要设立相关的合规管理岗位，通过相关方对合规、对组织进行相关政策制定；另外一个是风险防范与控制，因为我们要通过设立专门的机制、人员来保证隐私数据不被泄露、不被破解，以及出了问题后密钥的泄露和丢失处置。

隐私计算过程

我们也规定了隐私计算的过程，这个过程如上图所示，包含七个步骤，从预处理到共享、分解、任务分发一直到最后的提交验证。这个流程图是一个抽象的结果，因为在《指南》编写过程中，大家都是业界内的公司，每家公司都对于自己在区块链隐私计算相关的工作领域做了展示和介绍，每家公司有不同的做法，最后论坛基于大家实践中的共性，提炼出这样一个可以参考、可以匹配的流程。

评估与审计

最后是评估与审计。这里面包含了以下六个评估项目：计算准确性的评估、可扩展性评估、计算能力评估、安全涉及评估、适用范围评估和服务合规性评估。《指南》里提供了这六个原则给大家作为参考，就像打分表一样，基于六个大项，里面有若干个小项，对照着打一个分，最后可以看到我们的隐私计算服务能力到底是什么样的效果性能。