隐私计算（Privacy Computing）是通过密码学或可信硬件，在保护数据本身不对外泄露的前提下建立安全的数据交换应用链及应用，实现在数据共享的同时保护数据隐私，在保有数据所有权的同时享受数据再利用的经济收入”。具备代表性的隐私计算技术有“安全多方计算（MPC）”、“联邦学习”、“可信硬件技术”等。其中，结合MPC技术及分布式计算的“联邦学习”平台最契合现实中的各类业务场景。（联邦机器学习又名联邦学习，联合学习，联盟学习。是一个分布式机器学习框架，能有效帮助多个机构在满足用户隐私保护、数据安全和政府法规的要求下，进行数据使用和机器学习建模。“）。

通过区块链技术构建分布式网络平台，邀请有数据应用、共享、变现需求的企业进入平台框架，成为联盟链认证节点。并通过隐私计算技术使得各企业数据在链上安全的流通共享，可打破现有的“数据孤岛“问题，从而实现合作共赢。

近年，我国的隐私计算技术产业化也在快速启动，蚂蚁、腾讯等在2019年纷纷推出了各自的隐私计算产品。同样，对于数据应用有高度需求的信用卡行业，隐私计算也有合适的落地场景，本文将通过信用卡前端的重点业务——“发卡审批“，探讨如何将业务现状与 “隐私计算+区块链”技术结合，进一步在效率、合规性、拓展性上实现对业务的优化升级。

图1 信用卡业务数据流程简图

营销发卡

营销发卡位于信用卡业务全流程的最前端。信奉“得客户者得天下”的商业理念，发卡指标一直是各银行信用卡中心的“主战场”。行业经过近10年的高速良性发展，信用卡营销也从早期单一的网点受理、电话外呼，逐渐演变成了可结合各类线上场景、智能硬件、合作伙伴渠道等丰富渠道的立体化营销模式。在此过程中，“数据“逐步取代”经验“而成为业务最核心的关键。以线上营销为例，如将隐私计算平台与之结合，则有机会：

• 在更广义的维度：定位潜在客户；

• 用更科学的策略：搭配权益优惠，选择有效场景。

现有模式下，银行在定位线上潜在信用卡客户时，主要依赖于自有数据的分析。如存量高价值客户的年龄、性别、地区分布等基础画像。并结合收单商户消费数据、银行App的使用行为，简单匹配线上营销场景（自有渠道或合作方渠道）。该业务模式存在明显局限性：

(1) 通过已持卡客户数据进行肖像绘制及行为分析，本质上是在“成功的基础上原地踏步“，始终无法定位并拓展其他类型的潜在优质客户，搭配的营销场景也拘于现状。

图2：现阶段的线上营销模式

(2) 在当下“无现金“+”流量“的时代，大部分客户生活中的“衣食娱行“等消费行为基本都会在互联网上留下痕迹。因此，借助外部互联网公司数据，可更精准的定义潜在客户，并科学配套营销资源。但现实情况中，头部互联网公司占据了绝大部分的线上场景，已形成生态闭环，无论从商业利益角度或是客户隐私角度出发，都不会轻易向银行共享数据；另一个方案是直接购买第三方数据公司的服务，但近两年来该类型公司多爆出数据来源不明，侵犯客户隐私等丑闻，业务合规性严重存疑。

针对上述问题，基于MPC、同态加密的隐私计算技术+分布式链上智能合约结算的联邦学习平台（以下简称“分布式隐私计算平台“）为业务的未来提供了解决思路。在平台的设计构想中，数据提供方可将数据保留在本地，并于分享前将数据进行加密保护。数据使用方可远程使用加密后的数据进行计算分析，在不泄露客户敏感数据的前提下，得出具备参考价值的结论。同时，双方可通过在链上部署智能合约，在数据服务完成后自动结算费用，不需再花时间精力走繁冗的线下结算流程。

图3：数据“链路”图

场景1：Alice银行卡中心与Bob互联网公司达成业务协议，将在营销数据上开展深度合作。双方分别于“分布式隐私计算平台“上注册企业账户，绑定或充值一定的DC/EP(即数字人民币，是中国人民银行尚未发行的法定数字货币，即“数字货币电子支付”，本文里假设该体系今后能完善并开放接口)。并根据双方协议要求，在平台上部署智能合约。Alice银行将“潜在客户挖掘“数据计算模型经由链上传递至Bob公司账户。根据layer2设计，模型导入Bob公司链下接口并对本地数据进行计算，最终将计算结果返回给Alice银行。Alice银行拿到结果如下：

1. 在Bob平台上大致的目标客户数量？（符合信用卡准入条件）；

2. 其中，偏好”购物“、”运动“、”音乐“的客户分别是多少？（实际计算需求更为复杂）。

接下来由Alice银行做营销前准备，根据数据结果搭配信用卡权益、采购办卡活动礼券，并与Bob公司开展正式营销（在Bob公司平台上部署流量入口、精准push），保障针对每位潜在客户都个性化使用了最佳营销策略（而客户隐私数据从始至终并未泄露甚至移动）。合作结束后，根据协议约定计算服务价格，如数据费用、流量费用等，由双方以多重签名形式在智能合约上确认执行。

场景2：Alice银行发现该模式有效可行。后续以同样的模式与更多的互联网公司开展在平台的“上链合作“。成功将目标客户拓宽至各类优质群体，营销场景也变得多元化。

* 除与外部互联网公司合作外，近两年部分银行尝试通过第三方数据公司购买服务，用于开展MGM、SEO等新型营销尝试，也可通过隐私计算流程进行优化。从数据公司角度来说，既可完成服务，也规避了非法出售用户数据的风险。

图4：通过计算平台升级后的营销模式

审批管理

信用卡风险管理始于营销发卡后的第一个环节，它既是客户准入的第一道“考核门槛”，也是在客户后续用卡中需要重点持续把控的一块业务。按流程划分，信用卡风险管理可大致划分为“真实性验证”、“征信操作”、“额度审批”、“反欺诈监控”、“额度提降”五大模块。本文重点通过前三项业务模块，结合计算平台阐述创新思路：

图5：信用卡风控业务体系

1. 真实性验证

（一）征信授权问题。当客户线上填单办理信用卡过程中。按照合规要求，需在第一步勾选“信用卡申领协议”，授权银行查询自己的征信报告等数据以用于后续征信审批。早年间，该流程一直存在逻辑隐患，因为客户只需简单勾选操作即可认作“授权”，甚至在网页端未登录的游客模式下，也可最终成功提交申请。因此时常会出现“非本人申请，但征信报告上出现了核卡记录”的乌龙事件（误填他人信息、恶作剧等导致）。给客户造成不良影响并形成投诉。

近年来，各家银行开始引入“银联鉴权“、”运营商验证”等手机短信验证方式来核验本人申请，有效改善了问题现状，但仍存在不严谨之处：

（1） 操作难以回溯证明。通过输入银行卡号、手机验证码的方式核验，原始报文记录于第三方（银联、运营商等），银行调取不方便甚至有一定的丢失概率。同时，中心化机构（非专业做认证的机构）存储信息，理论上存在篡改可能性，于投诉客户心里认可度不足。

（2） 未达到金融账户级别的认证。仍会出现他人伪冒客户申请的情况（比如伪冒者可拿到客户手机或者截获短信），留下纠纷隐患。

针对上述问题，分布式隐私计算平台可提供有效解决思路：在平台生态中，可引入提供DID（去中心化身份技术）服务的第三方合作公司或机构。通过将DID技术部署至平台，客户进行信用卡征信授权时，银行系统调用平台的DID服务，此时客户只需验证DID系统的完整密钥（或部分密钥）即可确定申请人身份。验证结束后，交易信息（ID、timestamp、txid等）加密后打包至P2P网络中。同步将该交易信息的解密密钥，发送至银行在平台上的账户进行存储。后续若银行与客户之间，对该笔交易的授权记录有分歧，可使用密钥对链上的记录解密即可回溯公正。

*若今后DC/EP账户能对第三方开放DID服务，将使该场景更加完备。申请DC/EP需要通过最严格的KYC认证环节。由分布式隐私计算平台做DC/EP与银行之间的桥接，提供交易记录的加密、打包上链、存储以及公正服务。

（二）“三亲见“问题。关于真实性校验的另一难题体现在”三亲见“规范上。中国银监会于2011公布实施的《商业银行信用卡业务监督管理办法》第三十八条规定：” 发卡银行应当公开、明确告知申请人需提交的申请材料和基本要求，申请材料必须由申请人本人亲自签名，不得在客户不知情或违背客户意愿的情况下发卡。发卡银行受理的信用卡附属卡申请材料必须由主卡持卡人以亲自签名、客户服务电话录音、电子签名或持卡人和发卡银行双方均认可的方式确认。“

简而言之就是客户在发卡行首次申请，需要去到网点由银行员工当场“亲见本人、亲见签名、亲见申请资料原件并鉴别真伪”。早期，信用卡营销业务场景多为网点渠道，客户本人已在网点，流程也是在银行员工指导下完成。但随着各家银行网络办卡渠道的完善，更多的客户选择在线上完成申请。而在银行核发邮寄卡片后，客户仍需持卡片及有效证件至网点完成“三亲见”后才能激活使用，非常不便。

近年，多家银行卡中心保持与监管部门沟通，希望通过”远程视频面签”，”数字签名”等技术方式替代”三亲见”流程。但仍未找到完美解决的方案。究其原因，还是因为验证安全级别、凭证可回溯等问题让监管部门存在顾虑。为有效解决上述问题，通过新技术反向推动监管革新和制度优化，在这里结合分布式隐私计算平台提出开放式解决思路如下：

（1） 通过将“人脸识别技术”与平台的分布式网络结合，与公安部公民身份信息系统合作。客户在线办卡完成人脸识别验证，将验证信息包括姓名、身份证号、验证实时截图、认证时间等，打包存储至平台网络中进行永久加密存储。从技术上保证了业务中“亲见本人”这一要求，并做到有据可查。

（2） 通过金融账户级别验证，代替“亲见本人签名与证件”这两项业务要求。在客户递交信用卡申请前，将申请信息打包选择使用用DC/EP账户验证（平台做信息加密存储），或平台自身的DID系统验证，通过后才可提交银行后台审批。实际上，部分银行对其自家“手机银行”签约的客户办理信用卡，只需完成一次登录即可认作完成“三亲见”。用刚才所述方法与之类似，且可认证客户范围不再局限于签约了自家银行手机App的客户。

图6：通过分布式隐私计算平台，升级办卡客户真实性验证技术

2. 征信审批效率

当客户提交信用卡申请之后，资料会传递至银行后台进行审理。一般而言，可以将该环节分为“征信”+“审批”两大步骤。征信是在获得客户授权的前提下，调取人民银行的征信报告，并对报告内容进行解读评估。审批环节则是在完成征信评估的基础上，结合银行自有数据+外部合作数据通过”打分模型”得出一个审批结论。比如申请是否通过、卡片等级、卡片额度等。现阶段各家银行已基本实现自动化审批。但仍存在不足之处，主要体现在新客户审批通过率过低、授信额度不合理这两方面，造成优质客户流失或后续用卡不活跃等问题。究其原因，还是在于审批时的信息不对称，缺乏可靠评估数据等：

（1） 部分客户缺少征信数据。特别是对于刚步入社会工作岗位的客户，记录过的金融信用行为几乎为零，缺少征信数据。而当征信数据无法做参考时，通过其他有限数据做准入的审批通过率并不理想。

（2） 对于非本行客户的“陌生感”。一般而言，若申请客户与发卡银行有业务往来，如房贷、公积金等，则相对容易准入。但对于行外的新客户申请且缺少征信信息的，则需要银行“各显神通”，通过第三方数据进一步核实。

（3） “乱象丛生”的第三方数据。针对上述客户，部分银行会通过导入合作伙伴（如航空公司、互联网公司）数据进行辅助审批。但出于商业利益和客户隐私角度考虑，合作方一般会要求客户是在申请联名产品的前提下，或是合作方渠道受理的申请件才可向银行提供少量数据用于参考。部分银行尝试与第三方数据服务公司开展合作，购买客户数据用于辅助审批，但无论是数据来源合法性，合作模式的合规性都有待商榷。特别近两年在国家严打非法买卖用户数据的大背景下，该模式陷入严重困境。

刚才笔者提到，造成审批通过率低的最大因素还是在于“缺参考数据，缺可信数据”。各家银行、消费金融公司在审批环节上形成了数据孤岛，同一名优质的客户，在A银行可核发50000额度的白金卡，在B银行也许会面临审批拒绝。这其中有审批模型差异的原因，但造成这么极端的结果，最主要的根源还是在于各金融机构在面对新客户时，掌握的数据信息不对称。

而笔者认为，未来消费金融/支付行业需要良性发展，那战场应该在于“支付服务的竞争”，而不是在审批源头就通过“信息的壁垒”而达成排他目的。因此，可以尝试借助分布式隐私计算平台，打造一个既能共享审批数据，又能保障客户隐私，维护机构利益的“联合征信体系”。

图7：联合征信体系设计

（1） 在联合征信体系中，核心还是人民银行的征信报告。而体系架构、账户权限管理以及数据加解密、传输、存储等服务由分布式隐私计算平台提供支持。

（2） 除人民银行、商业银行、消费金融公司外，体系还支持有数据流动需求的大型互联网平台（BAT、字节、京东等）、尝试给会员进行权益增值的传统企业（比如航空公司、车企）、以及合法合规的数据服务公司。

（3） 在体系中，每位成员都是数据的提供方，同时也是使用（计算）方。运用平台的隐私计算技术，各机构可以在不转移、不暴露自有客户数据的基础上，为其他成员提供数据加密计算服务而从中获得经济收益。

（4） 机构通过提供数据计算服务产生的收益，可以用来给客户做权益增值，比如支付满减、积分礼包等。提升客户体验，形成良性循环。

场景3：Alice银行正在审批一名新客户的信用卡申请，他将客户评分计算需求（含计算模型和客户身份ID）通过联合征信平台发送至其他成员机构。服务机构收到后，在本地数据库进行计算：比如航空公司查到客户近三年内的飞行次数、互联网公司查到客户的线上消费水平、同业银行查询到卡片使用率、数据公司交叉比对除了客户的行为特征。最终，各家服务机构将查询到的结果加密后返回至平台网络中，平台在链上按照Alice银行的模型需求，将返回数据计算并最终给定一个评分模型（甚至可以直接给出审批结论+建议额度）。

作者简介：潘思宇，金融科技产品经理一枚，关注前沿技术在实际场景中的落地。