多方数据联合风控应用能力评估要求

■制定 □修订

□IDT □MOD □NEQ

□FTP

35.020

中国信息通信研究院、上海浦东发展银行股份有限公司

中国电信集团有限公司,中国移动通信集团有限公司,中国联合网络通信集团有限公司,蚂蚁科技集团股份有限公司,阿里巴巴（中国）有限公司,北京百度网讯科技有限公司,深圳市洞见智慧科技有限公司,北京冲量在线科技有限公司

数据流通技术可以支持数据跨行业、跨地域安全有效流动，促进数据价值释放。通过调研运营商、银行、互联网等机构发现，目前公安、金融、电信、互联网之间已开展跨行业多个数据源联合风控工作，主要以隐私计算、联合图计算、API直连等数据流通技术实现。利用隐私计算等数据流通技术进行联合风控可以极大提升业务效果，但同时合作方的风控能力水平也对实际效果影响巨大。因此评估风控场景参与方的风控能力是有必要的。 目前尚无行业标准对实现多方数据联合风控场景的应用能力提出评估要求，相关企业亟需规范标准对其应用能力进行规范，因此立项本标准十分必要。

本标准拟规定通过隐私计算等数据流通技术实现多方数据联合风控场景应用能力的构成、等级、评估原则、评估实施方法、评估实施过程。 本标准定义了多方数据联合风控场景应用能力评估原则、评估实施方法、评估实施过程、评估模型，包括： 1)评估原则：标准性原则、客观公正原则、保密原则等。 2)评估实施方法：主要通过文档查验、人员访谈、工具演示、自动化辅助检测等方式对评估对象的实际建设情况进行评估。 3)评估实施过程：评估实施过程主要包括评估准备、评估执行和评估审核三个阶段，与评估对象的沟通和洽谈贯穿整个过程。 4)评估模型：基础保障能力、技术应用能力、场景构建能力、业务实施能力等四大能力域，包含组织架构、制度规范、数据储备、技术能力储备、调度能力、场景方案管理、业务排查能力、业务管控能力、后评估机制等多个能力项。 本标准拟适用于电信、互联网等行业评估多方数据联合风控场景的应用方的风控场景应用能力，并为应用方开展数据流通联合风控场景能力提升工作进行参考。其他行业也可应用。

当前发布和在研的国内外标准涉及到数据流通等技术，参考如下所示： 1)国外相关标准情况 a)IEEE 2842-2021《Recommended Practice for Secure Multi-Party Computation》对多方安全计算做出了参考框架的建议。 b)IEEE 3652.1-2020《Guide for Architectural Framework and Application of Federated Machine Learning》对联邦学习的架构和应用做出了规范。 c)ISO/IEC 4922-1《Information security - Secure multiparty computation - Part 1: General》和ISO/IEC 4922-2《Information security - Secure multiparty computation - Part 2: Mechanisms based on secret sharing》主要从信息安全角度规范安全多方计算。 2)国内相关政策、标准情况 a)《中华人民共和国网络安全法》等法律； b)中国人民银行 JR/T 0196—2020 《多方安全计算金融应用技术规范》主要规范了如何在金融场景部署和应用以多方安全计算为代表的数据流通技术； c)中国支付清算协会 T/PCAC 0009-2021《多方安全计算金融应用评估规范》对多方安全计算的金融行业场景包含联合风控进行了技术要求； 本标准与现存标准的关系总结： 一方面，现存标准主要涉及金融、电信在传统单主体风控场景中的基础技术能力要求，没有针对数据流通技术在跨机构进行联合风控场景的技术能力要求规范。另一方面，涉及数据流通技术的现存标准主要从产品侧进行技术要求，没有针对应用方的风控场景进行能力评估。针对本标准的主体内容和范围，当前国内外没有完全对应的现存标准。