金融行业数字信任状态调研报告2024

版权声明本报告版权属于北京金融科技产业联盟，并受法律保护。转载、编摘或利用其他方式使用本白皮书文字或观点的，应注明来源。违反上述声明者，将被追究相关法律责任。2编制委员会编委会成员：聂丽琴夏鲁宁编写组成员：朱晨红李佳林张育明陈鹏梁政锋孔令河周智伟冯冠华郭海生贺礼云王玉峰杜静漪魏遵博董纪伟康和意编审：黄本涛刘昌娟参编单位：北京金融科技产业联盟秘书处、北京数字认证股份有限公司、上海浦东发展银行股份有限公司、中国人民保险集团股份有限公司、中国邮政储蓄银行股份有限公司、招商银行股份有限公司、浙江网商银行股份有限公司、中国光大银行股份有限公司、中国建设银行股份有限公司、中兴通讯股份有限公司、北京凝思软件股份有限公司、杭州趣链科技有限公司、同盾科技有限公司3一、数字信任的内涵与衍生 （一）信任的演变历史 （二）数字信任的内涵 （三）数字信任的特质 二、国内外数字信任调研 （一）数字信任概况研究 （二）国内外典型顶层设计 三、未来展望 251一、数字信任的内涵与衍生自人类社会发展伊始，人类文明就进入了一个漫长的演进过程，从原始文明、农业文明、工业文明到数字文明，每一次新文明的诞生都代表着文明形态的重塑和社会形态的变更。当人类文明进入以数字技术和数字经济为基础的数字文明时，传统社会的信任关系必然演变为新特点、新内涵的数字信任1。人类文明形态发展下的信任关系演变见表1。关系构建的信任关监管和市场契约形术在虚拟数字空间形赖于数字技术和数字所有链接/映射到数字通过熟人关系网络信进行信息传递以社会化工业生产水平下发达市场经依靠互联网平台企业和跨国互联网公司形成了基于数字经济的主1崔久强，郑宁，石英村.数字经济时代新型数字信任体系构建[J].信息安全与通信保密,2020,(10):10-16.2信任是由于施加信任的一方相信某种属性而触发的差异化行为，即施加信任的一方预期对方将在友好动机下完成有益结果时，而主动做出的一定量的资源和权利的让渡。信任理论的历史研究非常多，从最早哲学和政治学领域广泛扩展到社会学、经济学、心理学、博弈论和国际关系等多个学科中，理论模型被广泛用于公共治理实践和企业的商业行为，虽然各学科对信任的定义存在差异，但达成共识的观点是：信任是涉及交易或交换关系的基础。国际也有多个组织对“数字信任”进行研究和定义。Gartner在其2017年版的报告《Definition:DigitalTrust》中曾对数字信任给出了较为通用的定义2：“对明确期望的可测量的信心”。在该报告中Gartner又具体延展说明数字信身份真实性：组织、自然人或其他实体证明自我身份是真实可信的。具有自我主张能力：组织、自然人或其他实体可代表自身或经授权为合法代表。意愿真实性：完全自愿参与数字互动。行为模式可信：以真实、可预测、可靠、安全、道德和尊重隐私的方式做到数字互动。ISACA（国际信息系统审计协会）在其2022年的报告《DigitalTrust:AModern-DayImperative》中对数字信任给出2Definition:DigitalTrust[M]，2017.3了更加具象化的定义：数字生态系统中提供商与消费者之间关系、交互和交易完整性的信心，包括人、组织、过程、信息和技术的能力，以创建和维持一个可信任的数字世界。显然ISACA对数字信任的定义更加商业化，并在报告中给出了一些通过数字化手段构建信任的具体切入点3。JÁNOSMÜLLER等（2020）对数字信任进行定义：数字信任是以可信数字身份验证和可信数据流通为核心，通过制度信任、数据信任、人际信任、技术信任与系统信任的建设，实现身份、数据、合约、产权、法人、技术等六个“可信”的数智化信任运营体系4。上述Gartner和ISACA的定义都呈现出宏观且全面的特点，而学者JÁNOSMÜLLER更加具体到实践。本报告基于既有的信任理论基础，同时结合数字经济时代的特点，将数字信任定义为：数字信任是一个组织在其数字生态系统中采用数字化手段，在经营过程中动态和持续地塑造出生态相关方对其承诺能力和承诺意愿的信心，信心通过身份可信、制度信任、数据信任、人际信任、技术信任与系统信任实现。《面向金融机构数字化转型的数字信任体系建设研究报告（2023）》根据国际组织ISACA和Gartner需要具备的信任特质进行调查： 3DigitalTrust:AModern-DayImperative[M]，2022.4JÁNOSMÜLLER,ÁDÁMKERÉNYI,安嘉理,等.数字时代对信任和道德的需求——金融科技的阳光和阴影[J].中国银行业,2020(4):44-45,48.4ISACA认为包括质量(Quality)、可用性(Vailability)、安全和隐私(SecurityAndPrivacy)、道德和诚信（EthicsAndIntegrity)、透明和诚实（TransparencyAndHonesty)、弹性（Resiliency)在内的6大特质是一个值得信赖的企业应该具备的特质5。Gartner则认为一致性(Identity)、客户意愿(Willingness)、诚实(Truthfulness)、机密性(Confidentiality)、正直(Integrity)、可用性(Availability)、合规性(Compliant)、道德(Ethics）、能力(Ability）、可靠性(Reliability）隐私(Privacy）是一个企业的值得被信任的信任之力6。《面向金融机构数字化转型的数字信任体系建设研究报告（2023）》最终结合两大国际组织认为可信的金融机构应该具备的特质，包括合法合规、诚信和真实、安全和隐私保护、创新和高效、以客户为中心、有社会责任感、透明性、专业性、一致性。通过合法合规的数字信任基础设施建设，构建多层面可信身份、可信数据和可信行为的体系，向外传递可信特征，传递企业信任之力，传输可度量的可信信心，分层度量信任架构见图1。5StateOfDigitalTrust2022[M]，20226Defifinition:DigitalTrust[M]，2017.5二、国内外数字信任调研（一）数字信任概况研究在数字信任体系的多元构建逻辑中，制度信任、技术信任、系统信任与人际信任彼此交织、互为支撑，共同塑造了数字信任生态的立体架构。其中，制度信任作为数字信任的框架基石与顶层驱动，通过规则的权威性、流程的规范性及监管的约束性，为信任建设锚定价值坐标、划定行为边界，是数字信任体系得以稳固运行的“压舱石”；技术信任则充当数字信任的底层引擎与变革推手，依托算法的可靠性、加密的安全性及平台的稳定性，为信任传导提供技术保障，其迭代升级更以“技术倒逼”之势，持续推动制度规则的适应性优化与体系化革新；系统信任作为数字信任的实践载体，6以身份可信为信任交互的“准入凭证”，以数据可信为信任流转的“核心纽带”，通过构建“身份—数据”双轮驱动的信任闭环，实现系统内各主体、各环节的互信协同；最终，通过人际信任的情感联结与价值共鸣，将数字信任从技术理性维度延伸至社会情感维度，形成“制度筑基—技术赋能—系统支撑—人际浸润”的数字信任生态闭环。二十国集团中不同国家金融科技发展水平存在较大差异，指数得分呈现出“两超多强，梯度分布”的格局。二十档之间，只有美国和中国两个国家得分超过80，其中排名前五的是美国、中国、英国、澳大利亚和加拿大7，结合文献调 研活跃较一致，欧盟作为世界上最大的经济体之一，欧盟在7肖翔,丁洋洋,王思纯.金融科技发展指数的国际比较研究[J].金融理论与实践(10):12-21.7金融科技领域的发展对全球金融科技格局具有重要影响。鉴于此，将对相对靠前的美国、中国、英国、澳大利亚和欧盟作为本报告的调研主体。（二）国内外典型顶层设计我国出台了《中华人民共和国网络安全法》《中华人民华人民共和国密码法》《关键信息基础设施安全保护条例》等一系列法律法规来规避数字经济发展中数字化技术手段可能带来的潜在风险。目前，我国已形成了以上述“网络安全四法一条例”为核心的网络法律体系。网络安全四法一条例词云图见图3。根据提供的高频词分析，目前顶层设计的重点领域主要集中在以下几个方面：“信息”和“安全”是出现频率最高的两个词，表明信息安全是顶层设计的核心关注点。这可能涉及数据加密、网络安全防护、信息系统的安全管理等方面。“数据”和“密码”的高频出现进一步强调了数据保护和加密技术在信息安全中的重要性。“个人”一词的高频出现表明顶层设计对个人信息保护的重视。这可能包括制定相关法律法规，确保个人数据的隐私和安全。网络安全管理：“网络”和“保护”的高频出现表明网络安全管理是8顶层设计的重点之一。这可能涉及网络基础设施的安全防护、网络攻击的预防和应对措施。“基础”和“设施”的出现表明顶层设计重视基础设施的建设和技术支持，以确保信息安全和数据保护的实现。目前顶层设计的重点领域主要集中在信息安全与数据保护、个人信息保护、网络安全管理、法律法规与政策制定、管理与技术措施以及基础设施与技术支持等方面。高频词分析显示，“信息”和“安全”是核心主题，表明顶层设计高度关注信息安全和数据保护；“个人”和“网络”的频繁出现进一步强调了个人信息保护和网络安全管理的重要性。同时，“规定”和“应当”等词的出现反映了通过法律法规和政策规范相关行为的必要性，而“管理”和“基础”等词则9表明顶层设计注重通过有效的管理措施和技术支持来实现这些目标。这些领域共同构成了一个全面的框架，旨在通过多方面的努力保障信息安全和数据隐私，为数字化时代的可持续发展提供坚实支撑。伴随相关法律法规的完善和国家政策对数字科技发展的全面支持，新时代下的数字信任体系也正在业界广泛的探讨和尝试中，雏形初现并日趋完善。中国数字身份政策的建设情况正在稳步推进，尽管尚未形成全国统一的唯一可信数字ID，但政府已出台多项政策推动数字身份的统一认证和互信互认。通过利用手机号验证、生物识别等多种方式，数字身份技术已经在金融、政务等多个领域得到广泛应用。在金融行业，数字身份的应用尤为突出。金融机构利用数字身份技术，可以更加快捷、安全地完成客户身份验证和核验，提高了服务效率和交易安全性。通过数字身份平台，金融机构能够接入权威的身份认证服务，如公民身份信息核验、电信运营商核验等，实现对客户身份的全面验证。这不仅简化了交易流程，降低了身份仿冒和欺诈的风险，还为客户提供了更加便捷、个性化的金融服务体验。此外，随着数字经济的不断发展，数字身份在金融领域的应用场景也在不断拓展。例如，在跨境金融交易中，数字身份技术可以实现跨国界的身份认证和资金流动监控，促进了全球金融市场的互联互通。同时，数字身份还可以与区块链等先进技术结合，构建更加安全、透明的金融生态系统。总之，中国数字身份政策的建设正在逐步完善，金融行业作为数字身份应用的重要领域之一，正积极探索和实践数字身份技术的创新应用，为数字经济的发展贡献力量。（2）数据可信近年来，中国在网络安全、数据保护及个人信息安全领域密集出台了一系列重要法律法规与政策文件，这些举措共同编织了一个全方位、多层次的保护网，为构建安全可信的数字生态环境提供了坚实的法律支撑与制度保障。《中华人民共和国网络安全法》的出台，标志着中国在网络安全领域迈出了关键一步。该法旨在全面保障网络安全，维护网络空间主权和国家安全、社会公共利益，同时保护公民、法人和其他组织的合法权益。它明确了网络空间治理的基本原则、网络运营者的责任义务、网络产品和服务的安全要求以及网络安全的监测预警与应急处置机制等，为构建安全可信的网络环境提供了坚实的法律基础。《中华人民共和国密码法》的颁布，进一步规范了密码的应用和管理，促进了密码事业的健康发展。该法强调了密码在保障网络与信息安全中的核心地位，明确了密码工作的基本原则、管理体制和法律责任等，为密码技术的研发、应用和管理提供了全面的法律保障。同时，它也促进了密码技术的普及和应用，推动了密码产业的快速发展。《中华人民共和国数据安全法》的制定，为规范数据处理活动、保障数据安全提供了重要的法律依据。该法明确了数据安全的定义、数据处理的原则和要求、数据安全监管的职责和权限等，为构建数据安全治理体系、提升数据安全防护能力提供了有力的法律支撑。同时，它也强调了数据开发利用的重要性，鼓励在保障数据安全的前提下，促进数据的合理流动和有效利用。《中华人民共和国个人信息保护法》的出台，更是为个人信息保护提供了全面的法律保障。该法明确了个人信息权益的内容、个人信息处理的原则和要求、个人信息跨境传输的规则等，为个人信息处理活动提供了明确的法律指引。同时，它也加强了个人信息保护的监管和执法力度，严厉打击侵犯个人信息权益的违法行为，保障了人民群众的合法权益。《关于促进数据安全产业发展的指导意见》作为数据安全产业的顶层政策文件，为数据安全产业的发展指明了方向。该意见强调了数据安全产业的重要性，提出了推动数据安全产业高质量发展的目标任务和具体措施，包括加强技术创新、完善产业生态、培育领军企业、强化人才培养等。这些措施的实施将有助于提升我国数据安全产业的综合实力和国际竞争力，为数字经济和社会信息化健康发展提供有力支撑。中国在网络安全和数据保护领域取得了一系列重要成果，通过制定和实施一系列重要法律和政策文件，构建了全方位的法律体系和政策框架。这些举措不仅为国家的网络安全和数据安全提供了坚实的法律保障和政策支持，也为全球网络安全治理贡献了中国智慧和中国方案。详见表2。《中华人民共和国网络安全《中华人民共和国密码法》《中华人民共和国数据安全《中华人民共和国个人信息保护法》《关于促进数服安全产业发展的指导意见》自2011年起，美国通过一系列战略和政策措施，如推出《网络空间可信身份管理战略》、Connect.Gov及后续Login.Gov平台、身份生态系统框架（IDEF）、修订《数字身份指南》标准，以及近期的《改进数字身份法案》和《国家网络安全战略》，不断推动其数字身份生态系统的现代化与安全性提升。特别是2024年《关键和新兴技术（CET）清单》的发布，进一步凸显了数字身份技术在保障数据隐私、数据安全和网络安全方面的重要性，预示着美国将在这一领域持续加大投入与创新力度。美国数字身份建设的相关政策法规与应用见表。《网络空间可信身份管理战略》（2）数据可信美国是世界上最早提出隐私权并予以法律保护的国家，政府长期秉持数据开放和数据自由流动相结合的数据治理理念，坚持以市场为主导、以行业自治为主要手段，但至今仍没有正式出台全面的联邦数据隐私法。就层级而言，美国在从中央到州地方各级政府都实行三权分立的基础上，同时8构建可信数字身份体系筑牢数字文明基石白皮书（2024年）[M]，2024.实行中央和州两个层次之间的纵向分权，立法也相对分散多元化。值得注意的是，近两年美国立法机关已正式将联邦层面的统一隐私保护提上议程，致力于为全美数据隐私权确立统一的标准，消除现有各州综合数据隐私法的混杂局面。美国隐私保护法律体系在历经数十年发展后，已构建起一套从基础保护到严格监管的全方位框架（表6）。从1974年的《隐私法案》奠定基石，到近年来如《消费者隐私法案》及《数据隐私和保护法案(草案)》等更为严格的立法与草案出台，美国不断适应科技进步带来的新挑战，强化了对个人信息的保护，赋予公民更多控制权，并致力于在联邦层面实现统一标准，以全面维护个人隐私权益。美国数据可信政策见表4。《隐私法案》《电子通信隐私法》《消费者隐私法案》《消费者隐私法案》为消费者控制个人信息提《关于加强国家网络《统一个人数据保护板《数据隐私和保护法欧盟在保护隐私与数据安全的前提下，将数字身份建设作为欧盟2030数字战略的重要支柱。欧盟数字身份建设的相关政策法规与应用见表5。数字身份互认方面，欧盟在2006年颁发《2010年泛欧欧洲电子身份管理行动发展报告》推出并实施了欧洲电子识别和信任服务倡议（eIDASRegulation），电子识别和签名（eIDAS）法规。目前欧盟已根据eIDAS法规要求实现强制跨境识别电子ID，欧洲各国现有和未来的国家数字身份计划必须在欧盟内可实现互操作。但是，成员国不会被迫要求实施及开展数字身份证计划。字指南针”（DigitalCompass）计划，表示要在2030年前实现所有关键公共服务在线提供、所有公民均可访问电子医疗记录、80%的公民使用电子ID解决方案。数字钱包方面，2021年6月，欧盟委员会提出欧盟数字身份（EuropeanDigitalIdentity）框架，计划创建欧盟范围内的数字ID钱包，计划到2030年，80%以上的人口可以在欧盟范围内使用。 包）》（2）数据可信欧盟的数据安全立法无论是在立法时间还是立法系统性上，都处于全球领先位置。作为一个经济共同体，欧盟在数据安全立法方面的出发点与一般实体国家存在区别，其更强调技术导向的数据共享与自由流动，消除成员国家间的信息屏障。为达到这一目标，欧盟必须在数据存储处理、公民基本权利、数据安全保护和监管、数据跨境流动等方面构建完善的法律框架9。欧盟在近年来通过一系列精心策划的顶层设计，展现了对数据保护与网络安全领域的深刻洞察与坚定决心。自1981年《108号公约》作为首个国际数据保护公约问世以来，欧盟便不断推动数据治理的统一框架建设。2016年，《通用数据保护条例（GDPR）》的出台，更是将全球数据保护标准提升到了新的高度，要求企业严格遵守数据保护原则，强化数据主体的各项权利，并对违规行为实施严厉处罚。进入新时洲数据战略》的发布，标志着欧盟致力于打造真正的单一数据市场，通过促进数据的自由流动和共享，激发数字经济的创新活力。而《数据治理法案》则作为该战略的重要立法举措，为新的数据治理方式奠定了坚实的法律基础，强调数据的透明性、可访问性和再利用价值。与此同时，欧盟还高度重视网络安全问题，通过《网络安全法案》确立了欧盟范围内的网络安全认证计划，提升了网络防御能力。此外，《数字市场法案》和《数字服务法案》的出台，进一步规范了数字平台和服务提供者的行为，确保了数字市场的公平竞争和消费者权益的保护。尤为值得一提的是，欧盟在2023年还推出了《数字运营复原力法》和《关于在欧盟全境实现高度统一网络安全措9全球数据安全法规研究报告(2024版),[M]2024.施的指令》，旨在提升数字基础设施和服务的复原力，以及加强欧盟成员国在网络安全领域的协调与合作，共同应对日益复杂的网络安全威胁。综上所述，欧盟通过这一系列顶层设计，不仅构建了一套全面而严格的数据保护与网络安全法律体系，还为数字经济的发展提供了有力的法律保障，展现了其在全球数据治理领域的领导地位。欧盟数据可信顶层设计见表6。英国将数字身份管理建设纳入数字政府建设计划，全面推动数字身份认证。2011年英国上线政府数字服务（GDS并提出要推出一项名为GOV.UKVerify的新身份验证服务。2014年英国政府推出电子识别计划，为英国公民提供数字身份。2016年5月英国正式推出GOV.UKVerify在线身份识别平台，为电子政务提供身份认证服务，并通过官方的身份证明文件（护照、驾照等）推广GOV.UKVerify。英国政府选择Digidentity成为GOV.UK验证的原始身份提供商（IdP）之一，提供YubiKey和U2F协议支持，使英国成为世界第一个支持U2F服务的国家。2019年，英国发起DigitalIdentity:CallforEvidenceResponse，全面征集公众及企业在数字身份方面建议。2021年8月英国推出更新版的《数字身份和属性信任框架》，旨在使公民更快、更轻松地体验到现代技术验证服务。英国数字身份建设的相关政策法规与应用见表7。（2）数据可信英国数据保护制度的建立是西方社会近百年来对于个人隐私权理论发展和延伸的产物。因此，在欧盟数据保护的法律框架影响下，英国对个人数据和隐私的立法保护，以成文法为立法核心，逐渐形成由判例法、民间实践、二级成文法和执法机构组成的数据保护制度体系。英国在近年来展现了对数据保护、网络安全以及数字经济领域发展的高度重视，通过一系列精心策划的顶层设计立法举措，构建了一个全面而有效的法律框架。从《数据保护法》的首次出台，到其后不断修订的《数据保护法2018》和《英国通用数据保护条例》(UKGDPR)，这些法律不仅为个人数据的收集、处理、存储和使用设定了严格的标准，还设立了专门的监管机构和数据保护法庭，以确保法律的执行和公民权益的维护。这些举措不仅体现了英国在数据保护方面的严谨态度，也为其在国际上树立了高标准的数据保护典范。在网络安全领域，英国同样不遗余力。通过实施《隐私与电子通信条例(PECR)》，英国赋予了公民在电子通信方面的隐私权，并有效防止了信息滥用和网络犯罪。此外，《网络和信息系统安全法规》的出台，更是为英国的网络安全提供了坚实的法律保障，确保了国家关键基础设施免受网络攻击的威胁。同时，《在线安全法案》的制定，也进一步强化了网络空间的监管，保护了未成年人和弱势群体的在线安全。《数据改革法案》的提出，旨在指导英国脱欧后独立制定隐私立法，确保数据保护标准的连续性和一致性。《生成式人工智能框架》则为政府和公共部门使用生成式人工智能提供容审核和数据保护指南》的发布，则进一步明确了数据保护法在内容审核中的应用，帮助组织在履行在线安全责任和义务的同时，遵守数据保护法律。综上所述，英国通过一系列顶层设计立法举措，不仅保障了公民的个人隐私和数据安全，还促进了数字经济的健康发展。这些法律和政策不仅体现了英国在数据治理和网络安全方面的前瞻性和创新性，也为全球其他国家提供了有益借鉴和参考。英国数据可信政策见表8。《数据保护法》经济顶层设计中的重要举措。该法提出个人数据保护的基础性原《隐私与电子通信据保护法》和英国GDPR并驾齐驱，赋予公民在电子通信方面享有《网络和信息系统《通用数据保护条例》由于英国在2020年底离开欧盟，不再受《通用数《国家网络安全战《数据改革法案》澳大利亚政府正积极推动数字身份证（myGovID）政策的实未来，随着数字身份证政策的深入推广，预计将有更多的金融机构加入这一系统，为客户提供更加安全、便捷的金融服务。这不仅有助于推动澳大利亚金融行业的数字化转型，还能增强公众对金融服务的信任度和满意度。澳大利亚数据可信政策见表9。（2）数据可信澳大利亚是最早重视隐私安全的国家，该国于1988年颁布的《隐私法》在首都堪培拉和联邦层面内得到适用，此后该国其他州也相继颁布了适用于自身隐私法规。针对1988年的《隐私法》，2022年澳大利亚发布《2022年隐私法修订案(执行和其他措施)》，之后澳大利亚政府于2023年2月发布了对1988年《隐私法》审查的最终报告——《隐私法审查报告2022年》，并于同年9月同意修改1988年《隐私法》的提案。这些法律法规经过历年修订，该国将信息隐私原则和国民隐私原则统合为澳大利亚隐私原则，规范了私人信息数据从采集、存储、安全、使用、发布到销毁的数据生命全周期管理方法，后续将隐私安全保护上升为顶层战《2023-2030年网络安全战略》，为进一步落实战略颁布了《国家数据安全行动计划》。在数据跨境安全立法方面，澳大利亚以“合理措施”规制数据跨境流动，主要体现在《隐私法》《澳大利亚隐私原则指南》《个人控制电子健康记录法》《我的健康记录法》等文件中。澳大利亚近年来在隐私保护、大数据利用、关键基础设施安全、网络安全以及数据安全等方面，通过一系列顶层设计的立法和政策，构建了一个全方位、多层次的法律与政策体系。从1988年的《隐私法》开始，澳大利亚便明确了隐私保护的基本原则，为个人信息处理提供了法律依据。随着大数据技术的兴起，2013年的《公共服务大数据战略》应运而生，该战略旨在通过高效和智能化的大数据分析，提升政府政策制定和服务提供的效率与质量，推动政府数字化转型。构建了完善的风险保护制度框架，提升了核心安全实践，并要求相关实体采取全面、主动的方法来识别和降低风险，确保了国家关键基础设施的安全稳定。同年，澳大利亚还通过了《2018年电信和其他法律修正(协助和访问)法案》，该法案针对加密技术带来的挑战，建立了执法和情报部门要求私营部门提供技术协助的法律框架，以平衡国家安全与个人隐私之间的关系。进入2020年