大數(shù)據(jù)交易平臺發(fā)展迅猛

大數(shù)據(jù)成為創(chuàng)新經(jīng)濟的引擎，基于大數(shù)據(jù)的產(chǎn)業(yè)異常活躍，各地政府都把大數(shù)據(jù)當做經(jīng)濟轉(zhuǎn)型的重點，也把大數(shù)據(jù)作為“彎道取直”，實現(xiàn)后發(fā)趕超，獲得跨越式發(fā)展的機會。于是，很多地方聯(lián)合企業(yè)主導(dǎo)的大數(shù)據(jù)產(chǎn)業(yè)園，大數(shù)據(jù)交易中心紛紛成立：

面對各地蓬勃發(fā)展的大數(shù)據(jù)交易中心，大家都很謙虛，都在說探索，那么什么樣的數(shù)據(jù)共享交易機制才有利于數(shù)據(jù)的流動呢?

數(shù)據(jù)企業(yè)對大數(shù)據(jù)交易平臺并不感冒

接觸過不少大數(shù)據(jù)企業(yè)，通常都會問負責人同一個問題：你們的數(shù)據(jù)會通過數(shù)據(jù)交易中心提供服務(wù)嗎?得到的回答也幾乎是一致的：怎么可能?憑什么?

聽到這種回答，我們也不禁要問：為什么?

在商品經(jīng)濟時代，商品交易平臺，無論是線下的大賣場模式(國美、蘇寧)，還是線上的商城模式(天貓、京東)都加速了商品的流通，對經(jīng)濟發(fā)展起到了巨大的推動作用，即使收取很高的費用，商家也爭先積極入駐商品交易平臺，平臺也取得了巨大成功。

大數(shù)據(jù)交易中心目標同樣是鏈接供需雙方，加速數(shù)據(jù)流通，園區(qū)也建了，優(yōu)惠政策也給了，并且還免費進駐，為什么數(shù)據(jù)企業(yè)并不買賬?

數(shù)據(jù)企業(yè)不敢把數(shù)據(jù)拿出來共享交易的擔心有兩方面：

1.數(shù)據(jù)合規(guī)性。什么樣的數(shù)據(jù)可以共享和交易?數(shù)據(jù)需要處理到何種程度才可以共享和交易?數(shù)據(jù)拿出來會不會被投訴或者處罰?這些問題困擾著數(shù)據(jù)擁有者，謹慎的數(shù)據(jù)擁有者為了規(guī)避風險，不求有功，但求無過，索性就不拿出來。

2.數(shù)據(jù)安全和權(quán)益保障。數(shù)據(jù)在共享交易過程中，存在被第三方復(fù)制、留存，轉(zhuǎn)賣等風險，數(shù)據(jù)資產(chǎn)權(quán)益無法得到保障，數(shù)據(jù)共享可能就是在為他人做嫁衣，收益風險比太低，不值得把數(shù)據(jù)拿出來共享交易。

數(shù)據(jù)商品具有特殊性

通常的商品，不管是實物商品還是虛擬物品，都有一個明確的所有權(quán)約束，獲得所有權(quán)，就能唯一擁有商品，享用商品帶來的價值。商品交易和交換，是商品所有權(quán)的轉(zhuǎn)移的過程，在所有權(quán)轉(zhuǎn)移之前，任何一方觀看、托管甚至試用都不會真正擁有商品，這些過程也不會對商品提供者造成實質(zhì)性利益損害。

相對于普通商品，數(shù)據(jù)具有其特殊性：

1.無唯一性，沒有明確的所有權(quán)約束。普通商品具有唯一性，同一時間只能有一個所有者，所有權(quán)與唯一性是相關(guān)聯(lián)的。數(shù)據(jù)商品不具備唯一性，可以同時交易給多個對象，也就沒有了傳統(tǒng)所有權(quán)的概念。

2.看過即擁有。傳統(tǒng)商品的所有權(quán)都有一個顯式的、公認的證明，比如房產(chǎn)證、股票賬戶，交易的安全就是順利保障所有權(quán)的轉(zhuǎn)移。數(shù)據(jù)商品沒有了傳統(tǒng)所有權(quán)的概念，交易流程少了一個關(guān)鍵的卡位點。而擁有數(shù)據(jù)商品也更為簡單，成本更低，看過即擁有了數(shù)據(jù)商品，就能獲得效用。

3.數(shù)據(jù)復(fù)制的完全無差異性。普通商品也存在復(fù)制和盜版，但復(fù)制品和盜版在效用上是與原商品有著巨大差別的，比如仿制的汽車不如原廠汽車質(zhì)量好，復(fù)印的畫不如原版畫價值高……，而數(shù)據(jù)產(chǎn)品的復(fù)制具有完全無差異性，在效用上也沒有差異。

數(shù)據(jù)商品如此簡單就可以擁有，如此簡單就可以被復(fù)制，應(yīng)該用什么樣的方式來保護流通呢?

傳統(tǒng)交易平臺成為數(shù)據(jù)交易威脅

我們來看一下當前數(shù)據(jù)交易中心的交易模式：

•托管交易模式

數(shù)據(jù)機構(gòu)將需要交易的數(shù)據(jù)托管到大數(shù)據(jù)交易中心，購買者與大數(shù)據(jù)中心進行數(shù)據(jù)交易。

•聚合式交易

數(shù)據(jù)聚合中心通過API接口將數(shù)據(jù)業(yè)務(wù)機構(gòu)鏈接起來，業(yè)務(wù)機構(gòu)無需事先將數(shù)據(jù)上報給中心，數(shù)據(jù)由機構(gòu)自己管理。當某個主體需要查詢數(shù)據(jù)時，通過中心與數(shù)據(jù)機構(gòu)實時交互，有數(shù)據(jù)的機構(gòu)回應(yīng)信息，由中心統(tǒng)一返回給查詢機構(gòu)。

上述傳統(tǒng)的交易模式，針對數(shù)據(jù)安全和權(quán)益保障，交易中心會舉出一系列安全措施和保護方案，如機房先進，多地存儲，多層防護，人員分權(quán)等等，表明數(shù)據(jù)在交易中心很安全，不會被其他人竊取 ，多么厲害的黑客也很難攻入。這些措施都是必要的，但這些措施制設(shè)計時，都是針對其他第三方，對于中心自身是不設(shè)防的，中心有能力、也有機會留存交易數(shù)據(jù)，也就是中心自然變成了數(shù)據(jù)的擁有者，可以對數(shù)據(jù)做任何處理，包括轉(zhuǎn)賣，再加工，再增值……。

交易平臺往往都是把自身作為權(quán)威、可信第三方，表明自己不愿也沒有動力去留存數(shù)據(jù)。但無法做和不愿做是兩個概念，無法做是想做但做不到，不愿做是有能力做但沒去做，一個是不具威脅，一個是具有潛在的威脅。

因此，從某種意義上講，數(shù)據(jù)交易中心形成了對交易雙方的潛在威脅，也成為數(shù)據(jù)交易的一個障礙。

怎樣消除中心的潛在威脅?

需要從機制上保障交易中心沒有機會復(fù)制、留存數(shù)據(jù)，從不愿做變成無法做，讓交易雙方放心，具體要做到：

1.對購買者放心：

•數(shù)據(jù)產(chǎn)品合法化，規(guī)范化，可預(yù)期。

•交易要保密。信息查詢或者購買行為本身就是隱私，不能被廣播、被無關(guān)機構(gòu)獲知，僅數(shù)據(jù)提供方知曉。

•交易要精準。一旦發(fā)起交易，必定成功。

•交易有保障。交易行為有記錄，可查詢，可申訴

2.對提供者放心：

•數(shù)據(jù)由提供者存儲和管理，誰的數(shù)據(jù)誰控制。

•交易過程中，數(shù)據(jù)僅能被購買者獲得，其他任何第三方，包括平臺，也無法獲取數(shù)據(jù)。

•數(shù)據(jù)購買者無法在平臺上將購買的數(shù)據(jù)再次交易。

•購買者的購買需求會準確傳達，不會被平臺過濾和轉(zhuǎn)向。

•交易有保障。交易行為有記錄，可查詢，可申訴。

實現(xiàn)放心的平臺，需要強有力的技術(shù)支撐和嚴密的運行機制：

1.正確運用加密技術(shù)

一個系統(tǒng)不是用了加密技術(shù)就代表了安全，更重的是是否能正確使用密碼技術(shù)，密碼技術(shù)的正確使用包括兩個方面：

•密碼算法的正確使用。單獨一種密碼算法很難有效保證整個系統(tǒng)甚至某個應(yīng)用功能的安全性，需要對多種算法進行有效組合，比如身份確認可以使用非對稱加密，不可逆可以采用HASH算法，大數(shù)據(jù)量加密采用對稱加密，不可抵賴和篡改使用數(shù)字簽名，定向加密采用數(shù)字信封等等。即使使用，不合理的組合也會導(dǎo)致漏洞。

•流程的正確使用。完成整個業(yè)務(wù)的安全必須在各個流程中正確使用加密技術(shù)，在數(shù)據(jù)共享流程中，至少要包括：

»密文索引

»密碼查詢

»密文獲取。

正確加密技術(shù)的使用目標是每一筆交易都不可抵賴，都可以追蹤，中心平臺無法獲取數(shù)據(jù)內(nèi)容。

2.引入?yún)^(qū)塊鏈技術(shù)

區(qū)塊鏈是一種分布式的、完整的、不可篡改的、多方參與和監(jiān)督的記錄方式。將數(shù)據(jù)交換使用區(qū)塊鏈記錄，可以讓所有機構(gòu)公平參與，中心平臺的操作也變?yōu)橥该骱涂杀O(jiān)督，可以讓中心成為隨時可監(jiān)督，可拋棄、可替換的服務(wù)者，每個參與者也可自成中心。

弱化中心功能，讓中心成為服務(wù)者而不是控制者，這是區(qū)塊鏈技術(shù)最大的貢獻。

3.開放與開源機制

無論多么完善、多么NB的機制和體系，都擋不住實現(xiàn)過程中的小“技巧”(漏洞或者后門)。表面上說的再好，最后的實現(xiàn)是黑盒，還是無法用參與者放心，因此系統(tǒng)進行了協(xié)議開放和代碼開源。

•協(xié)議開放。系統(tǒng)對交互的協(xié)議和數(shù)據(jù)格式公開，參與者可以自行技術(shù)實現(xiàn)相關(guān)組件加入體系，確保自身數(shù)據(jù)的安全可控。

•代碼開源。系統(tǒng)為參與者寫好了數(shù)據(jù)接入模塊，源代碼公開，讓用戶看的清清楚楚，也證明系統(tǒng)的清白。

敢于協(xié)議開放和代碼開源，本身就證明系統(tǒng)的透明和安全。

4.嚴謹?shù)牧鞒淘O(shè)計

機構(gòu)0向交易平臺密文公布共享數(shù)據(jù)的索引。密文為單向散列算法，只根據(jù)密文無法推導(dǎo)出原文，誰也不知道機構(gòu)公布為了什么!信息沒有泄露風險。

•機構(gòu)1將要查詢的用戶ID使用同樣加密算法加密后，在加密索引中查詢。加密索引通過圖塊鏈實現(xiàn)，任何人都可以下載查詢，因此查詢動作和查詢信息都不會泄露給其他機構(gòu)。

•機構(gòu)1向可以提供數(shù)據(jù)的機構(gòu)4和機構(gòu)6發(fā)送數(shù)據(jù)獲取請求。請求只發(fā)送給能夠提供數(shù)據(jù)的機構(gòu)。

•機構(gòu)4和機構(gòu)6收到請求后返回數(shù)據(jù)，數(shù)據(jù)使用機構(gòu)1的公鑰加密加密后傳輸給機構(gòu)1。收到請求的機構(gòu)必須應(yīng)答，因為已經(jīng)在索引中進行了聲明，無法抵賴。

•機構(gòu)1分別收到機構(gòu)4和機構(gòu)6發(fā)來的加密數(shù)據(jù)，使用自己的私鑰解密數(shù)據(jù)。使用查詢機構(gòu)的公鑰加密，只有查詢機構(gòu)能夠解開，其他任何第三方無法解密。

去中心功能，做服務(wù)型平臺

保護交易對方的權(quán)益，交易中心不僅僅是不能侵害交易方權(quán)益，同時也須避免對交易方的權(quán)益形成威脅。

對于當前數(shù)據(jù)交易中遇到的數(shù)據(jù)合規(guī)性問題，交易中心不是等待問題自然解決，不是袖手旁觀，不是看著數(shù)據(jù)企業(yè)孤獨的奮斗，而是應(yīng)該利用自身的優(yōu)勢，與數(shù)據(jù)企業(yè)一同開發(fā)數(shù)據(jù)產(chǎn)品，制定數(shù)據(jù)規(guī)范，共同促進，共同承擔。

對于數(shù)據(jù)交易中數(shù)據(jù)權(quán)益保障問題，把交易雙方的權(quán)益放在第一位是交易平臺的重中之重，交易中心除了保障數(shù)據(jù)不被其他第三方侵害，也不要讓自己成為數(shù)據(jù)的潛在威脅者，需要放棄原有強中心模式，通過加密技術(shù)、區(qū)塊鏈技術(shù)和開放開源的結(jié)合，從機制上保證交易中心自身無法復(fù)制和留存數(shù)據(jù)，讓數(shù)據(jù)交易雙方放心，同時要能起到交易公證、監(jiān)督、追溯等管理職責，切實為交易雙方服務(wù)。

讓中心自己去掉中心功能，真的是有點難，但是，欲練神功，必先自宮，為了數(shù)據(jù)交易的蓬勃發(fā)展，你準備好了嗎?

作者簡介：韓洪慧，上海憑安網(wǎng)絡(luò)科技有限公司、上海憑安征信服務(wù)有限公司 聯(lián)合創(chuàng)始人。12年的信息安全從業(yè)經(jīng)驗，4年的大數(shù)據(jù)征信從業(yè)經(jīng)驗。專注于網(wǎng)絡(luò)身份認證、電子簽名、數(shù)據(jù)安全、隱私保護、網(wǎng)絡(luò)取證等領(lǐng)域研究。