疫情加速供应链“上链”详解世界经济论坛的区块链工具包
区块链技术在供应链方面的优越性为各界认可,但实践中往往问题重重,例如税务考量、数据保护、GDPR(欧盟《一般数据保护条例》)合规问题等。此次,新冠病毒引发经济危机,这不仅大幅减弱全球消费者的需求,还暴露了现有供应链的致命缺陷。为应对这一情况,近日,世界经济论坛(WEF)发布了“重塑信任:区块链部署工具 包(Redesigning Trust: Blockchain Deployment Toolkit)”,旨在介绍如何在分布式账本上打造更强健的供应链。
疫情无疑将加速供应链“上链”的进程。WEF这份长达244页的指南分为14个模块,包括清单、主要问题、解释以及针对税务问题和数据隐私性的风险评估、联盟的生态系统和治理、公有链和私有链、网络安全、互操作性(interoperability)、数字身份等。
该论坛区块链和数字货币负责人兼工具包主要作者之一纳迪亚·赫威 特(Nadia Hewett)近期在接受第一财经和第一财经研究院专访时表示,早在一年以前,工具包就已经在开发中,这次疫情加快了工具包的发布。为了提高监管机构的“灵敏度”,这个工具包汇编了80家公司、40个用例和20个政府在如何将区块链技术应用到供应链这一问题上的经验,同时也总结了各界在应用区块链实践时遇到的问题,例如税务考量、数据保护、GDPR合规问题等。
疫情加速区块链实践
WEF区块链工具包是为区块链实际从业者所设计的一系列指南,包括:正在应用区块链技术的企业、区块链技术和咨询公司、区块链项目的负责人和实施者等具备一定区块链知识且有实际操作经验的人或个体。使用者将自己的项目套用WEF区块链工具包的14个模块,挨个检查,总结经验和查缺补漏。目前区块链技术和应用还未有形成知识体系和架构,像WEF这样的区块链工具包,从实际应用出发供从业者做系统的“完备性”检查之用途。需要注意的是,该工具包并不适合没有区块链经验和知识的“入门级”用户。
WEF区块链工具包中的14个模块就是区块链系统设计的14个标准化测试。开发者需要为自己所设计的项目,去考虑和测试这14个重要问题。从业者把自己的项目,根据模块的设定,测试自己的项目并寻找项目设计中遗漏的重要事项。每个模块中的精华部分是模块内的若干小问题,供从业者自查。从业者在尝试回答的过程中,发现遗漏的问题并作出修正。
该工具包并没有要求从业者能完全或完美地回答所有问题或者检查所有的模块,从业者根据自己的经验来选择模块。如遇到无法回答的内容,根据项目的实际情况做出忽略或者深入探讨的选择。WEF区块链的模块和问题设置广泛、全面和严格,是区块链项目一套很好的试金石。几乎所有的区块链项目都会遇到这份工具包所涵盖的问题和挑战,因此该工具包对完善区块链项目有相当强的指导意义。
新冠病毒从多个方面重塑了全球贸易,其长期影响要在几个月或更长时间后才会充分显现。WEF认为,区块链既能解决各经济体停摆所导致的供应链停滞问题,又能解决供应链整体抗风险的能力。
尽管区块链并非灵丹妙药,它并不能解决所有问题,“但是它绝对有助于解决这次新冠疫情引发的典型问题”,赫威特说,例如,区块链有助于解决医疗设备的溯源问题,追踪小规模订单,甚至帮助医疗中心解决“假口罩”问题。这一问题可通过区块链所具备的点对点不可篡改性得到解决。
“在供应链管理中,我们需要确保和值得信任的供应商来做生意。在疫情下,企业很可能会不断和新的供应商展开业务合作,例如当没有口罩、呼吸机时,就需要和新的供应商合作,在这种情况下,如何确保供应商是可信的则成了关键问题。”赫威特称。
对于应用区块链的企业而言,如何提高互操作性、完整性和包容性是至关重要的,而疫情加速了企业改进的步伐和意愿。为确保这个工具包能提供最有用的建议,WEF与私营公司和政府实体展开了合作,这个工具包“包含了很多容易被技术人员或企业领导人忽略的主题”,并吸取了他人的经验教训。例如,创业公司通常到后期阶段才会意识到区块链部署的税务问题,因此,这个工具包有完整的一节阐述了税务方面的注意事项。
工具包的目标群体包含了所有私营部门、政府组织、学术机构等,旨在引导它们能够设计自己的区块链路线图,“更重要的是让每个参与者知道自己处于整个链条的哪一部分,也有一些企业向我们反馈,在应用区块链时,往往容易忽略一些重要细节,例如企业聘请咨询机构、花费很多财力在技术上,但却往往忽略了很多非功能性、非技术的细节,事实上技术并非最难的部分,‘人’才是最难的,因此我们有一些模块专门涉及了治理、生态等等,这些是很重要的部分”。赫威特表示。
赫威特说,这份公共文档汇聚了前人在区块链部署方面宝贵的经验教训,帮助中小型企业摆脱过时的营销故事,真正掌握让区块链实现的具体方法。同时,WEF也希望将这个工具包交给那些信息不足的国家和地区,帮助它们解决眼下的供应链危机,希望中小型企业能重焕生机。
据悉,德勤将以WEF的这一工作包作为公司内部的区块链实践的黄金标准,并将在团队间进行很多跨职能培训。
如何确保数据安全
在采纳区块链技术的过程中,对数据的失控风险是很多供应链组织面临的主要障碍。如何在向被许可、信任的节点共享数据信息时,又同时对链上的其他节点实现保密性,如何做到上链数据的完整性等等,这都是值得探讨的方面。
“即使在区块链生态系统中,数据保护也是必需的,不是所有数据都能被共享。”WEF数字交易与跨境数据流通项目负责人 Ziyang Fan告诉记者。
工具包专门设置了数据保护模块,其中提及,在为区块链网络构建数据保护结构时,有两个基本问题需要回答:供应链参与方需要访问哪些信息?系统外部的哪些人应该有权访问什么信息?
首先,保密性(confidentiality)是非常重要的。供应链的交易并不能对区块链网络的所有参与者都保持透明,仍需对部分信息维持保密性要求。换言之,供应链参与各方之间的交易信息可能需要被记录在区块链上,但也需要将信息对彼此保密。
例如,工具包提及了涉及数据保密性的案例。电子合同制造商(CM)为其买方,即大型电子原始设备制造商(OEM),提供供应商管理的库存服务。CM现在希望获得区块链上的供应链融资,这将需要CM向OEM披露其当前的一些融资成本,而不披露其他运营成本,如存储和保险。融资提供方希望
了解上述所有信息,并愿意为这种可见性提供更有竞争力的融资。因此,CM需要能够在安全、一对多的基础上与任何对手共享信息——这是区块链的一个很好的案例。目前还没有传统解决方案能切实满足CM的需求提供。
商业优势也是需要考量的问题。例如,有一些组织方希望能够将供应链数据运用在预测和规划中。然而,与此同时,供应链的参与方自然会拒绝提供所需的原始数据,原因有很多。例如,对方无法对提供的信息给予足够的补偿,信息也可能暴露业务的战略敏感信息,或者原始数据可能与其他信息交叉引用,从而产生可被竞争对手使用的见解。例如,在预测需求时,买家会有动力去抬高预期需求以确保供货充足,或希望靠量大来获得折扣。但可能供应商也预计到了这一点,就可能会减产和调整其报告的库存,来试图创造稀缺性。这种猫捉老鼠的游戏导致了供应链效率低下。区块链解决方案可以让供应商和买家采取更协作的方式,更真实地报告数据,而不会完全放弃控制权或损害竞争优势。
目前,针对数据保护有很多技术解决方案。例如链上、链下哈希配置(对数据进行加密的基础保护),基于角色的准入控制(Rolebased access contol,rbac,可根据特定参与方的身份,对数据进行选择性的混淆处理),零知识证明(ZKP,允许使用者证明他们对于一项价值的认知,但同时可以不暴露该价值本身),同态加密(这一技术能使得数据在链上共享前就已被加密,因此无需后续解密也能进行数据分析)。
为了使各界更容易理解上述问题,WEF工具包还提供了一家制造业集团的实践案例。
有一家大型的重型制造公司夸大了对其塑料供应商A的预测,以此来应对潜在的紧急订单。供应商A在积累了多年的过剩库存后也已经意识到了问题所在,因为制造企业最终的采购量根本没有达到预期的水平。有一年,供应商A决定大幅削减从其供应商B采购的树脂,供应商B是制造公司的二级供应商。由于供应商A削减太多,这导致其无法满足该制造公司当年的需求。
为了避免供应中断,制造公司希望更频繁地访问关于塑料供应商A甚至树脂供应商B的库存和生产率数据。供应商A则希望尽可能多地了解制造公司的库存水平、消费率和需求预测。考虑到这将影响定价和谈判筹码,各方都没有任何动机去相互分享信息。因此,问题就产生了,这时如何用技术去解决问题?
工具包提及,如果制造公司知道供应商B向供应商A交付树脂的实时时间表,以及供应商A向企业交付塑料的时间表,制造公司就可对计划进行改善。但可能此时供应商B还没有准备好共享其他信息,所以物流信息进入了区块链,而其他数据仍在链下。
另一种解决方案可能是,所有各方都愿意将即时(JIT)库存数据放在区块链上,但前提是它们的直接对手方有权访问这些信息。此外,为了执行数据的智能合约或算法,交易对手可能具有访问权,但交易对手可能看不到底层数据本身。使用加密和密钥管理是解决方案之一。这种本地方法经过了详细的检视,并具备良好的成熟度;此外,在区块链上使用基于角色的访问控制(RBAC),各方就能够完成此任务。然后,他们就可以利用经模糊处理但仍可用于分析的数据进行协作规划。使用这两种技术,就可使敏感数据在并非完全加密的情况下被隐藏。
如果公司对RBAC和密钥管理不满意,但仍希望使用加密技术,那么就必须使用更复杂的方法。如果制造公司想要控制供应商A的树脂库存水平,那么当树脂库存低于5000升时,制造公司就会要求塑料供应商订购更多的树脂。零知识证明可以向制造公司证明供应商A的确达到了这一库存水平,而不需要透露塑料供应商还剩下多少树脂。此外,完全同态加密允许所有各方将其数据放在区块链上,对其进行加密,并在加密的数据上运行任何计划算法。
零知识证明和完全同态加密存在的一个缺点在于,其将纳入复杂的软件需要更高的工程成熟度,而这些技术也可能会消耗更多算力。若希望系统处理大量数据,这可能会成为瓶颈。WEF认为这都是需要考虑到的现实问题。
如何建立GDPR合规的区块链?
另一个关键问题在于区块链的GDPR合规问题,即如何使用区块链进行GDPR的数据
隐私保护。欧盟法律GDPR于2018年生效,旨在让个人对自己的数据有更多的控制权——个人数据是指与已识别或可识别自然人相关的数据。而这也对区块链网络在欧盟内外的新合规义务提出了质疑。
在将区块链技术应用在供应链时,个人数据保护的合规要求很可能会使得各方打退堂鼓,因为不合规成本太高了。此外,GDPR等监管要求在制定时也很少考虑到区块链的存在,因此并不会考虑和区块链相关的特定情况。为了解决这个问题,工具包中特别有一个模块聚焦欧盟GDPR下的数据保护和隐私义务。
工具包提及,如果没有一个中心化的服务提供者,例如在区块链网络中,究竟谁负责监督个人资料的处理,或在违反义务时支付罚款?如果区块链记录的数据是不变的,那么如果数据不能被擦除,擦除义务又意味着什么?尽管这些考量不应成为启动一个新区块链项目的障碍,但WEF认为它们应该尽早得到解决——甚至在某些情况下,由非欧盟的供应链组织来解决。
当然,如何合规,对不同的应用有些不同,比如私有链和联盟链,本身有实体作为管理者,那么合规和责任比较明晰,必然要考虑合规事项。对于公有链而言,问题就比较复杂,因为本身代码开源,大家基于共识来维护系统的运行,没有一个确定的主体对系统负全责,也没有人能够完全说了算。那么合规的检查和处罚就变得非常困难。但这并不是说区块链应用和公链的开发者们就可以对数据和隐私的保护规定视而不见。恰恰相反,主流观点仍然认为,区块链的从业者应该主动遵循规则,尽量合规,得到政府和社会的支持,区块链行业才能更好地、更顺利地发展。
此外,许多非欧盟实体错误地认为, GDPR不适用于它们的解决方案。对于非欧盟的供应链参与方来说,重要的是要考虑到,在特定情况下,他们可能仍受制于GDPR的要求。鉴于对违规行为的巨额罚款,以及GDPR要求从头开始考虑数据保护的影响(即“设计隐私”的概念),WEF强烈建议对该模块进行研究并寻求专业的法律建议。此外,应该根据专业法律意见来确定是否应考虑到任何其他国家的数据保护立法,包括关于国际数据转让的立法。
在众多挑战中,以数据可擦除权利的挑战为例,GDPR第17条要求公司或相关实体必须实现数据的擦除功能。这样在用户要求或用户数据不再需要的情况下可以清除用户数据。为了遵守这一要求,需要实现物理和逻辑的删除以确保安全。但区块链的不可篡改和永久保存与此是相悖的。
WEF认为,为了在区块链部署中实现GDPR合规,最常见的两种方法是,将重要个人信息储存在链下、在链上采用哈希以及基于角色的访问控制,这是最常用的两种方法。还有一个并不常见的方法,可编辑的区块链允许私有区块链管理员删除和编辑不正确或过时的信息,从而允许尊重数据主体的权利,只是这种权衡牺牲了区块链不变的特性。其他解决方案允许通过加密删除,即区块链管理员通过增加访问权限,来使某些数据不可访问。
WEF提及,若要建立一个符合GDPR合规要求的解决方案有四项原则,分别是:当在收集和处理个人数据时,用私人许可链;如果可以的话,避免存储个人信息在区块链上;建立更为细节的治理框架,例如:充分保护个人信息;数据控制方需要为个体提供保护个人数据权利等;使用创新解决方案来应对数据保护问题。例如,区块链数据不可逆、不可变的特性,这一属性与GDPR下的数据权利明显相悖,可用高级不可逆加密来作为一种删除方式,可能会与GDPR精神相契。
“虽然有充分的理由证明不可逆加密足以满足GDPR的要求,但监管机构在这方面的明确指导是必要的。监管机构在这一领域面临的主要挑战之一是如何平衡立法和技术进步之间的关系,因为毫无疑问,技术的发展速度是立法者难以跟上的。”工具包提及。
“可互操作性才是最关键的,这些问题从来不是非黑即白的,我认为应该根据风险级别来对数据进行分类(risk-based category),例如个人信息、财务情况等是敏感信息,另一些例如生产量等则是一般数据,监管方应该以一个更加细致的方式来对待这一问题。”Ziyang Fan对记者表示。(作者周艾琳系第一财经记者,杨扬系第一财经研究院特约研究员)
链上/链下哈希配置对数据进行加密的基础保护基于角色的准入控制(RBAC)可根据特定参与方的身份,对数据进行选择性的混淆处理
零知识证明(ZKP)允许使用者证明他们对于一项价值的认知,但同时可以不暴露该价值本身同态加密这一技术能使得数据在链上共享前就已被加密,因此无需后续解密也能进行数据分析
资料来源:WEF《重塑信任:区块链部署工具包》若要建立一个符合GDPR合规要求的解决方案有四项原则,分别是:当在收集和处理个人数据时,用私人许可链;如果可以的话,避免存储个人信息在区块链上;建立更为细节的治理框架,例如:充分保护个人信息;数据控制方需要为个体提供保护个人数据权利等;使用创新解决方案来应对数据保护问题。人民视觉图