监管收紧 互联网金融该如何征信?进入2016年,互联网金融行业在经历野蛮生长之后迎来了最严厉的互联网金融监管风暴,90%以上P2P面临倒闭的轮调屡见不鲜,数字并不重要,但行业进入大浪淘沙,重新洗牌已经定局。在优胜劣汰的大潮下,风控水平决定了公司的优劣。 谈到风控,互联网金融的风控比银行难做多了,首先,用户群是银行未覆盖或者不愿意覆盖的人群,风险性本身就高。其次,众多用户都没有征信记录,使用传统的模型难以判断风险。
一、大数据征信之痛
在传统征信无能为力的情况下,互联网金融机构转向第三方的大数据征信机构(大数据公司)来获得数据。大数据听起来很好,无所不包,无所不能,但真正用起来,谁的痛谁知道: · 受到第三方外部采集的局限性,征信机构采集的信息的完整性和及时性欠缺,这也是大数据的特点,没有一家机构能够获得完整数据和样本,只能看趋势和概况,精确性远未达到授信要求。 · 信息维度很多,但更多的是间接信息甚至是无效信息,信息转换到授信中间还有很长的路要摸索。 用一个从业人员的话讲:我想知道用户有没有在其他地方借钱,借了多少钱,有没有及时还钱,有没有欠钱不还,你却告诉我他用什么牌子手机,每个月打多少电话费,上个月去旅游过,爱逛淘宝,偶尔还上色情网站……,我该怎么用? 很多互联网金融机构接入多家征信机构数据,然并卵。
二、征信数据共享之痛
大家都明白,互联网金融机构最需要的数据还是在各个互联网金融机构手里,大家把数据共享使用是一个共赢的局面,但达成这个局面真的很难。 对于数据共享的态度,行业中也分两类: 第一类:看别人的可以,自己的给其他人看不行。这一类认为数据是自己的资产,是真金白银得来的,打死也不能给别人用,看看谁能熬过谁。 第二类:可以共享,但要有机制保证安全和公平。这一类认识到数据是资产,但是可以用来共享交换,可以增值和促进业务。数据大家都不拿出来,就都没得用,与其大家死熬,不如一起发展。 有很多试图将互联网金融机构数据进行共享的尝试:
第一种:托管共享模式
1. 业务机构形成联盟,成立数据中心,将各自数据托管到数据中心,作为会员。 2. 数据中心向会员开放所有数据的查询使用。
第二种:聚合共享模式 数据聚合中心通过API接口将数据业务机构链接起来,业务机构无需事先将数据上报给中心,数据由机构自己管理。当某个主体需要查询数据时,通过中心与数据机构实时交互,有数据的机构回应信息,由中心统一返回给查询机构。
1. 机构1发起“我要查小明”的请求,发送到数据聚合中心。 2. 数据聚合中心将请求发送给除机构1以外的所有机构。 3. 有数据的机构4和机构6回应,将数据发送给聚合中心。 4. 聚合中心将机构4和机构6回应的数据汇总后发送给机构1。 但这些共享尝试并没有打动互联网金融机构,效果并不理想,究其原因,还要从数据的特殊性说起。 普通商品,都有一个明确的所有权约束,获得所有权,才能享用商品带来的价值。在所有权转移之前,任何一方观看、托管甚至试用都不会真正拥有商品,这些过程也不会对商品提供者造成实质性利益损害。
相对于普通商品,数据具有其特殊性: 1. 无唯一性,没有明确的所有权约束。数据不具备唯一性,可以同时交易给多个对象,也就没有了传统所有权的概念。 2. 看过即拥有。拥有数据更为简单,成本更低,看过即拥有了数据商品,就能获得效用。 3. 数据复制的完全无差异性。普通商品也存在复制和盗版,但复制品和盗版在效用上是与原商品有着巨大差别的,而数据产品的复制具有完全无差异性,在效用上也没有差异。 了解数据的特殊性后,就会发现先前的共享模式中,中心平台都有能力、也有机会留存数据,也就是中心平台自然变成了数据的拥有者,可以对数据做任何处理,包括转卖,再加工,再增值……。从某种意义上讲,原本促进数据共享的平台变成了数据共享的最大威胁。平台往往很委屈,一再承诺自己不会留存数据,但无法做和不去做是两个概念:无法做是想做但做不到,不去做是有能力做但没去做。 从目前来看,承诺是无力的,潜在的数据风险阻止了共享的步伐。
三、用创新技术和机制建设新的征信模式
让机构放心进行数据共享,就是要打消中心平台对机构的潜在威胁,需要从机制上保障中心没有机会复制、留存数据,从“不去做”变成“无法做”,具体要做到:
数据由提供者存储和管理,谁的数据谁控制; 查询请求只会发送到有此数据的机构,不能造成查询信息泄露。 数据查询方不知道数据由谁提供; 数据提供方收到请求必须应答,不知道查询者是谁; 任意第三方(包括共享平台)即使从网络中截取数据,也无法获取信息真正内容; 数据可追溯、可跟踪与可评估。 体系对每个参与者透明,可监督。
实现放心的平台,需要强有力的技术支撑和严密的运行机制:
1. 正确运用加密技术 一个系统不是用了加密技术就代表了安全,更重的是是否能正确使用密码技术,密码技术的正确使用包括两个方面: · 密码算法的正确使用。单独一种密码算法很难有效保证整个系统甚至某个应用功能的安全性,需要对多种算法进行有效组合,比如身份确认可以使用非对称加密,不可逆可以采用HASH算法,大数据量加密采用对称加密,不可抵赖和篡改使用数字签名,定向加密采用数字信封等等。即使使用,不合理的组合也会导致漏洞。
· 流程的正确使用。完成整个业务的安全必须在各个流程中正确使用加密技术,在数据共享流程中,至少要包括: 密文索引 密码查询 密文获取 正确加密技术的使用目标是每一笔交易都不可抵赖,都可以追踪,中心平台无法获取数据内容。
2. 引入区块链技术 区块链是一种分布式的、完整的、不可篡改的、多方参与和监督的记录方式。将数据交换使用区块链记录,可以让所有机构公平参与,中心平台的操作也变为透明和可监督,可以让中心成为随时可监督、可抛弃、可替换的服务者,每个参与者也可自成中心。
弱化中心功能,让中心成为服务者而不是控制者,这是区块链技术最大的贡献。
3. 开放与开源机制 无论多么完善、多么NB的机制和体系,都挡不住实现过程中的小“技巧”(漏洞或者后门)。表面上说的再好,最后的实现是黑盒,还是无法用参与者放心,因此系统进行了协议开放和代码开源。 协议开放:系统对交互的协议和数据格式公开,参与者可以自行技术实现相关组件加入体系,确保自身数据的安全可控。 代码开源:系统为参与者写好了数据接入模块,源代码公开,让用户看的清清楚楚,也证明系统的清白。 敢于协议开放和代码开源,本身就证明系统的透明和安全。
4. 严谨的流程设计
0. 机构向交易平台密文公布共享数据的索引。密文为单向散列算法,只根据密文无法推导出原文,谁也不知道机构公布了什么!信息没有泄露风险。 1. 机构1将要查询的用户ID使用同样加密算法加密后,在加密索引中查询。加密索引通过图块链实现,任何人都可以下载查询,因此查询动作和查询信息都不会泄露给其他机构。 2. 机构1向可以提供数据的机构4和机构6发送数据获取请求。请求只发送给能够提供数据的机构。 3. 机构4和机构6收到请求后返回数据,数据使用机构1的公钥加密加密后传输给机构1。收到请求的机构必须应答,因为已经在索引中进行了声明,无法抵赖。 4. 机构1分别收到机构4和机构6发来的加密数据,使用自己的私钥解密数据。使用查询机构的公钥加密,只有查询机构能够解开,其他任何第三方无法解密。 盲聚合数据共享模式用于征信,则是一种“去征信机构”的理念,通过加密技术、区块链技术和开放开源的机制,实现了共享平台的“去中心化”功能,从机制上保证了平台无法留存共享数据,消除了对参与机构的潜在威胁,让机构之间数据实现自由、放心、安全共享。 |
|