▏摘要

中信证券成立于1995年，隶属于中信集团，是国际化投资银行。为探索在符合监管及法规要求前提下的数据应用方式，中信集团创新应用全匿踪隐私计算技术，在联合风控场景下，内部数据共享，满足集团并表管理需求；在联合营销场景下，外部数据链接，提高营销转化。在全匿踪隐私计算技术的支持下，中信集团实现在满足安全合规的前提下，提升业务质量和管理效率，降低人员成本和营销费用。

▏关键发现

• 将隐私计算技术引入证券公司集团并表管理业务场景后，能够在不暴露子公司客户信息的条件下，从多个维度对不同客户类型进行授信额度及风险暴露额的汇总统计，节约相关管理工作的人工成本，提高管理人员的工作效率和统计准确性，并满足安全合规相关要求；

• 证券公司传统营销大多是广告或流量盲投，效率低下且浪费资源。利用全匿踪联邦学习技术，实现证券公司与流量方联合构建营销模型，在不泄露客户个人信息的前提下对客户进行联合画像和产品推荐，能够在不暴露双方个人隐私信息的前提下实现利益最大化，避免对非意向客群的过度打扰；

• 传统隐私计算技术在实际应用的过程中普遍存在“个人单独授权同意不足”或“ID出库泄露”的重大法律风险问题，即便将ID通过哈希加密开展求交，也能够被定位到特定自然人，存在违反《个人信息保护法》关于匿名化的要求，全匿踪隐私计算技术是保护所有敏感信息的多方联合计算范式，保障交集不暴露、实现真正匿名化，同时保持计算高性能、高精度。

分享专家：方竞，富数科技科研专家

作者：沙丘社区分析师团队

01

案例企业

中信证券股份有限公司（以下简称“中信证券”）成立于1995年，为A+H综合经营的国际化投资银行。截至2022年9月末，中信证券总资产13,353亿元，归属母公司净资产2,488亿元。2022年前三季度实现营业收入498亿元，归属母公司净利润166亿元，均排名行业第一。

中信证券业务范围涵盖证券、基金、期货、外汇和大宗商品等多个领域，目前拥有7家主要一级子公司，分支机构遍布全球13个国家，中国境内分支机构400余家。

02

项目背景

随着《数据安全法》、《个人信息保护法》的相继实施，数据安全和数据隐私保护成为企业数据应用的合规前提。证券行业亟需探索在符合监管及法规要求前提下的数据应用方式。

中信证券作为一家A+H综合经营的国际化投资银行，业务覆盖证券、期货、基金等领域，拥有中信期货、华夏基金、中信里昂等多家境内外子公司，业务涉及境内外数据交互，为满足数据安全合规要求，亟需探索隐私计算技术在各类场景的应用。

03

解决方案

在此背景下，中信证券与富数科技以及多家内外部公司合作，探索应用行业领先的全匿踪隐私计算技术，包括匿踪样本对齐、匿名化融合数据、匿踪联邦训练、匿踪查询联邦推理、匿踪联合统计等全流程解决方案。

富数科技创立于2016年，总部位于上海，是隐私计算科技领军者和行业标准贡献者，专注于联邦学习、多方安全计算和数据安全融合应用解决方案，致力于“构建安全桥梁，激活数智价值”,打造数字要素价值流通的安全底座。

中信证券全匿踪隐私计算平台的技术架构如下：

首先，基于丰富多样的应用场景进行隐私计算平台总体架构设计、功能架构设计和技术架构设计，其中总体技术架构设计思路采用组件化服务架构、支持国密的加密算法组件解耦、基于Spark集群架构的分布式计算、容器化部署架构、具备系统可扩展性的互联互通架构。

平台基础组件包括高性能算法库、MPC算字库、加密算法库、数据融合组件、数据预处理组件、特征工程组件、模型评估与推理组件。

基础组件之上进行功能模块的设计，核心功能包括安全求交、匿踪查询、匿踪联盟、多方安全计算等。

中信集团的多方安全计算应用平台均采用集中化建设、分子公司运营模式，由集团统一规划和建设一级节点，分子公司采用部署轻量级节点或授权使用一级节点的方式，最终形成集团数据生态的安全计算网状能力。

基于上述集团建设模式，中信证券隐私计算平台采用“1+X”的构建理念，“1”是指1个自有的统一技术底座，实现对资源、数据和系统的统一管控；“X”是指同时自研、集成X个多方安全计算功能及所应用的算法算子，满足不同客户多样化的需求。

流程级计算引擎方案具有以下特性：

• 统一安全管控：技术底座对所有算法和应用以及数据的接入，建立统一的安全管控标准，实现联邦算法的安全管理、安全配置的一体化管理，满足统一管理和监管审计的要求。

• 统一计算服务：技术底座为开源或者商业化隐私计算算法和应用提供一致的运行环境，做到统一存储、统一计算、统一编排和优化调度。

• 统一接口服务：技术底座将各类隐私计算服务接口标准化，提供统一的接口服务，对接内部业务系统。

• 热插拔适配服务：技术底座的算法引擎热插拔适配服务，支持部署多个开源或商业化的算法和应用，比如FATE、TensorFlow Encrypted等。

隐私计算平台具有四大基本功能：

第一，安全匹配。基于PSI技术筛选出共有用户，“非共有用户”ID不泄露，更好地保护双方用户身份信息。数据查询方可以针对业务特性从全量人群中挖掘出适合推广拉新的目标人群，保护挖掘结果人群信息，业务方拥有已注册人群，使用未注册等各种业务已知的目标人群，保护已有用户注册信息，通过秘密求交进行用户拉新、精准营销、定向投放等营销活动。

第二，安全统计。通过秘密共享、同态加密等技术，实现多家机构之间的安全联合征信、综合画像等功能。例如通过运营商数据可得到总消费金额、总通话时长、总短信次数等综合结果。

第三，安全查询。通过OT、公钥加密等技术，在不向数据源方泄露查询对象ID的情况下完成安全查询。查询方发起1-in-N查询，其中1个为目标查询对象，另外N-1为混淆ID。数据源方无法获知目标查询对象ID。数据源方提取N组用户画像信息，以不同秘钥加密后返回给查询方，查询方仅能对目标查询对象的密文解密，获得所需用户画像。

第四，安全建模。场景方拥有ID、特征和标签，数据源方拥有ID和特征。在隐私计算平台上通过非对称加密实现ID对齐，通过同态加密、秘密分享等实现损失、梯度、参数保护、泰勒展开、模型迭代收敛，子模型仅包含本地特征，融合模型实现全局优化，在整个过程中明文数据不发生交换。

传统隐私计算技术“安全求交”、“联邦学习”在实际应用的过程中普遍存在“个人单独授权同意不足”或“ID出库泄露”的重大法律风险问题，即便将ID通过哈希加密开展求交，也能够被定位到特定自然人，存在违反《个人信息保护法》关于匿名化的要求。

富数科技隐私计算平台解决方案创新应用全匿技术，保障交集不暴露、实现真正匿名化，同时保持计算高性能、高精度。

全匿踪技术是保护所有敏感信息的多方联合计算范式，包括匿踪对齐、匿名化、匿踪计算：

• 匿踪对齐：在不泄露包括交集在内的所有敏感信息情况下获得密态混淆交集；

• 匿名化：WOE，个人信息经过处理无法识别特定自然人且不能复原；

• 匿踪计算：在不泄露交集和ID的情况下完成联合统计、联邦建模和联邦评估等计算。

在POC设计阶段，普通隐私计算需要各方对齐需求、字段、实现逻辑等信息，输出初步落地方案，并经过各方业务、法务、合规确认；全匿技术初步明确合作意向后利用全匿探查确定匹配数，验证是否存在合作空间，再各方明确需求、字段、实现逻辑等信息，保证匹配数尽可能不减少的前提下缩减数据集，起到降本增效的作用，根据hash前n位模糊匹配或根据业务条件筛选减少运算数据集，形成最终POC实施方案。

在POC实施阶段，普通隐私计算，需要进行普通MPC、联邦学习建模，然后做API预测；全匿技术通过全匿统计、全匿联邦训练，可以得到隐藏交集ID，除API预测之外，还实现全匿批量评估、全匿统计等，有更多功能保护查询ID。

通过对业务需求侧的梳理，中信证券旨在通过全匿踪隐私计算技术，实现两个核心诉求：

（1）内部数据共享，满足集团并表

因监管报送的要求，金融集团跨主体联合风控场景中，中信证券需给中信集团按监管要求定期报送内部（母公司+子公司）客户不同维度的风险信息汇总数据，通常会暴露各家子公司客户相关明细数据，跨主体间客户数据直接出库共享引发合规性顾虑和安全隐患。

母公司在不完全暴露规则的前提下，指导子公司对自身数据进行数据治理，从而得到规范后的计算数据；母子公司的数据报表在互不见面，保护原始数据不出域的情况下，完成合并报表需求场景的统计运算，汇总结果仅在查询方解密。

通过隐私计算平台的匿踪查询技术，将母公司的规则数据表发布成匿踪API接口，使得子公司可以在不泄露自身客户信息的前提下，按要求完成自身数据的数据治理。治理完成后，通过隐私计算平台的MPC多方安全计算技术，对并表需求方的数据进行加密汇总计算，并对特定结果进行排序输出，保证整个过程各方原始数据和客户来源对各个参与方都是保密的。

（2）外部数据链接，实现联合营销

证券公司单侧数据对用户画像的描绘不够完善，需要外部数据赋能，涉及外部数据的链接。但在强监管背景下，出于保护客户信息和隐私数据安全监管要求，彼此之间数据不能直接出库共享，导致流量投放侧无法获取广告主侧的成功转化的客户信息，因此无法通过目标客户样本在双方的数据特征联合建模分析优质人群画像，投放转化率不高且有打扰用户增加客诉隐患。

基于互联网平台APP画像特征、金融机构内部特征、构建外部行为特征画像，采用全匿踪联邦学习，在对齐、训练、预测各环节保护各参与方的数据安全，实现数据不出门的联邦建模，开展APP线上促活拉新，线下挑战活动等联合营销活动，通过活动激励、权益领取构建线上活动私域客户池，基于客户分层预测模型筛选优先触达客户，提升转化率。

对于互联网端（流量方）而言，基于中信证券成功营销的客户id作为种子客群，在互联网端实现目标营销客户的精准扩量，更科学的切分流量资源，把更多的闲置流量切分给更匹配的流量广告；对于中信证券（广告主）而言，实现降本增效，基于数据驱动的方式，更精准的筛选互联网流量，降低单个营销转化客户的营销成本。

目前，隐私计算应用支持复用于各类已有互联网平台合作中，支持中信证券+N家互联网平台节点互通工作；同时，本项目沉淀的“1+X”隐私计算系统可不断拓展N家中信集团内部企业，围绕中信集团产融协同战略持续挖掘各类场景，并根据中信证券平台具备的功能组件，对不同集团内子公司需求进行延展开发。

04

价值与效果

通过建设隐私计算平台，中信证券实现如下价值与效果：

第一，降低营销费用支出。券商营销费用支出庞大，媒体投放流量昂贵，营销推广的单客成本与所获得的效益出现“收不抵支”的情况，通过隐私计算及数据赋能降低营销费用。

第二，打通资源共享。当前中信集团尚无成熟的数据共享协同平台，依托本项目实践，可为集团内各场景的数据融合应用提供示范样例，通过打通资源共享实现降本增效。

第三，监管数据整合。目前国内“证券交易行为数据”分属不同系统（交易所、各券商），尚未融合分析，数据无法共享。通过本项目探索行业级异常交易监管图融合应用，赋能监管洞察市场风险，降低民众损失。

第四，精准用户画像。目前市面上金融产品服务众多，用户筛选成本高，进行精准触达需多方数据的融合画像。通过本项目平台基础，为金融产品的精准推荐提供了部分技术支撑，降低了用户选取金融产品的成本。

05

经验借鉴

通过中信证券全匿踪隐私计算平台建设，为证券公司提供如下实践总结：

第一，直接效益方面。将隐私计算技术引入证券公司集团并表管理业务场景后，能够在不暴露子公司客户信息的条件下，从多个维度对不同客户类型进行授信额度及风险暴露额的汇总统计，节约了相关管理工作的人工成本，提高了管理人员的工作效率和统计准确性，并满足了安全合规相关要求，弥补此前技术合规的缺陷。

第二，不可替代性方面。在不暴露客户信息（匿名化）的条件下进行数据治理、并表管理、联合建模等，隐私计算技术相较其他数据处理技术在满足安全合规要求方面具有较强的场景适用性和不可替代性。全匿踪联邦学习在保证安全的首要基础上，对匿踪对齐算法、匿名化算法、匿踪联邦学习算法进行了计算量和空间存储的优化，实现了性能的可用性，同时保持精度不降低。

第三，潜在效益方面。证券公司风控及营销等业务的长期发展部分依靠基于隐私计算技术的产品、平台、功能的提前规划和建设，长期来看能够在满足安全合规的前提下提高业务质量、提升管理效率、降低人员成本，有利于证券公司和证券行业的稳定发展。应用隐私计算技术是应用数据分析、机器学习、深度学习和人工智能等其他必要技术的前置条件，能够保证上述技术在保护客户信息的前提下基于一定数据规模提升建模效果和创造业务价值。