銀行不解密資料就能讓雲端執行 AI 運算,該用什麼技術?
某銀行計畫將信用風險評估模型部署至雲端平台,以便即時分析客戶交易行為。由於涉及大量敏感金融資料,銀行要求雲端服務商在不解密原始資料的情況下仍能執行模型運算。為達成此目標,最適合採用下列哪一項技術?
銀行要把信用風險 AI 模型放到雲端跑。問題是客戶的金融資料很敏感,銀行不希望雲端供應商能看到原始資料。但雲端必須能夠執行模型計算。
問你:有什麼技術可以讓雲端在「完全不接觸明文資料」的情況下,仍然正確地執行模型運算?
一句話總結
「雲端不解密就能執行模型計算」:這是同態加密(Homomorphic Encryption)的定義特性。資料在加密狀態下直接計算,解密後結果與對明文計算完全一致,雲端服務商全程看不到原始資料。
先感受問題:把保險箱鑰匙留在家裡,讓人用保險箱
亞太銀行的 CTO 昭明要解決一個矛盾:
銀行有 200 萬客戶的信用交易資料,要用雲端 AI 做即時信用風險評估。雲端算力強、彈性好、成本低,但:
業務需求:雲端 AI 模型必須能「跑」這些資料,輸出信用評分
傳統加密的困境:把資料加密後送到雲端,雲端要計算就必須先解密,解密後就看到原始資料了。加密的目的就失效了。
同態加密的突破:把資料加密後送到雲端,雲端直接在加密的「密文」上跑模型,輸出的是「加密的評分結果」,送回給銀行,銀行用自己的私鑰解密,得到最終的信用評分。整個過程中,雲端從未看到任何明文資料。
傳統隱私保護方法為什麼不能滿足「雲端執行計算又不暴露資料」
- 匿名化(Anonymization)的侷限:把姓名換成代碼、刪除生日,可以保護直接識別資訊,但雲端在跑模型時仍然需要接觸完整的交易金額、頻率、模式等敏感特徵。匿名化只移除了「能對應到誰」的資訊,不移除「用於計算」的特徵值,雲端仍能看到這些數字。
- 雜湊(Hash)函數的不可計算性:雜湊是單向不可逆的,但問題是:雜湊後的值無法再做數學計算。把交易金額 5,000 元雜湊後得到一串亂碼,AI 模型看到這串亂碼完全無法計算信用風險。雜湊只適合「驗證身分」,不適合「計算特徵」。
- 資料本地化(Data Localization)的矛盾:把計算限制在內部伺服器完全繞開了問題,放棄了雲端的所有優勢(彈性、算力、成本)。題目明確說要「部署至雲端平台」,資料本地化根本就不讓資料出去,答非所問。
- 聯邦學習(Federated Learning)的侷限:聯邦學習讓模型在各客戶端本地訓練,只傳梯度,但需要多方各自有資料和計算能力,不適合「銀行資料集中、要上傳到雲端跑推論」的場景。
- 差分隱私(Differential Privacy)的精度問題:差分隱私在計算結果中加入統計雜訊,信用風險評估對準確度要求高,加入雜訊會讓評分不準確,可能錯誤地批准或拒絕貸款申請。
同態加密讓雲端在密文上跑出正確的信用評分
亞太銀行的作法:
銀行在本地把客戶的交易特徵(金額、頻率、類別等)加密成密文,送到雲端 AI 平台。
雲端 AI 平台的信用風險模型直接在這些密文上做計算:乘上權重、加上偏差、通過激活函數,所有運算都在加密狀態下進行。雲端全程看到的是一堆「密文數字」,從未接觸原始的交易金額或客戶資訊。
雲端把「加密的評分結果」送回給銀行,銀行用自己保管的私鑰解密,得到:「這個客戶的信用評分是 720 分,建議審核通過」。
同態加密保證:在密文上做的計算,解密後的結果,和在原始明文上計算的結果完全相同。沒有任何精度損失,也沒有任何資料洩漏。
這就是選項 D 講的:透過同態加密(Homomorphic Encryption),讓雲端系統能直接在加密資料上執行運算,解密後結果與原始資料一致。
技術版:同態加密在金融 AI 的應用架構
同態加密的數學性質(以加法同態為例)
設加密函數 E,解密函數 D,同態加密滿足:
D( E(a) + E(b) ) = a + b
即:對兩個密文做加法,等同於對兩個明文做加法再加密。全同態加密(FHE)同時支持加法和乘法,理論上可以表達任意計算(因為任何電路都能用加法和乘法組合)。
金融 AI 的典型同態加密架構
- 銀行使用 HE 函式庫(如 Microsoft SEAL、OpenFHE)生成公私鑰對
- 使用公鑰對交易特徵向量加密,得到密文向量
- 將密文向量和已加密的模型參數(或公開的模型)上傳至雲端
- 雲端在密文向量上執行矩陣乘法、激活函數(多項式近似版本)等計算
- 雲端返回加密的推論結果
- 銀行使用私鑰解密,得到信用評分
技術挑戰
- 計算開銷:FHE 的計算速度比明文計算慢數萬到數百萬倍,目前主要用於推論而非訓練
- 激活函數限制:FHE 只支持多項式運算,ReLU 等非多項式激活函數需要用多項式近似
- 精度限制:FHE 計算精度有限,需要仔細設計模型精度與加密參數的平衡
與其他隱私保護技術的選擇依據
| 場景 | 推薦技術 |
|---|---|
| 雲端不解密就能計算 | 同態加密(HE) |
| 多方聯合訓練,資料不共享 | 聯邦學習(FL)+ 差分隱私 |
| 統計報表加保護,可接受誤差 | 差分隱私(DP) |
| 資料不能離開本地,不用雲端 | 資料本地化(Data Localization) |
為什麼其他選項是錯的
A在上傳資料前進行匿名化(Anonymization),僅保留可識別代碼供比對使用
把姓名、身分證等識別資訊換成代碼,其他數據正常上傳給雲端計算。
匿名化只隱藏了「這筆資料屬於誰」,但交易金額、消費類別、頻率等特徵值仍以明文形式傳給雲端。信用風險評估模型用的就是這些特徵值,雲端廠商仍然可以看到客戶的完整消費行為。題目要求的是「在不解密原始資料的情況下」執行計算,匿名化沒有達到這個要求。
把「保護個資」等同於「隱藏姓名和識別碼」的人,忽略了敏感的是特徵值本身,不只是對應關係。
B利用雜湊(Hash)函數轉換資料,以確保模型可追蹤但無法還原個資
把資料雜湊後送給雲端,雲端用雜湊值做計算,無法還原原始資料。
雜湊函數(如 SHA-256)是單向不可逆的,這讓資料確實無法「還原」,但同時也讓資料無法「計算」。把交易金額雜湊後,AI 模型看到的是一串亂碼(例如:d7e8a3f2...),根本無法做加減乘除運算,信用評估計算完全無法進行。雜湊適合驗證(例如:確認密碼正確),不適合機器學習計算。
覺得「雜湊 = 加密保護」的人,但雜湊是「不可逆轉換」而非「加密」,兩者目的和特性完全不同。
C採用資料本地化(Data Localization)策略,將所有模型訓練限制於內部伺服器中
把 AI 模型的計算完全限制在銀行內部,不用雲端。
題目明確說銀行「計畫將信用風險評估模型部署至雲端平台」,資料本地化是「拒絕使用雲端」的策略,根本沒有回答題目的問題。這個選項等於說「不要用雲端就沒問題了」,但題目的前提條件就是「要用雲端」。
認為「最安全就是不上雲端」的人。這個選項確實在技術上「安全」,但完全迴避了問題,在考試場景中是答非所問。
同個考點下次怎麼變形
醫院要讓 AI 公司分析病患的癌症檢測資料,但不能讓 AI 公司看到原始資料,應使用什麼技術?
和銀行的情況一樣,要運算又不能暴露資料。
同態加密(Homomorphic Encryption)。醫院將病患的檢測數值加密後送給 AI 公司,AI 公司的模型在加密資料上進行癌症預測計算,返回加密的預測結果,醫院用私鑰解密得到預測。和銀行場景在技術原理上完全相同,只是應用領域不同(醫療 vs 金融)。
同態加密和聯邦學習各適合什麼場景?如何選擇?
兩個都是隱私保護 AI,感覺功能類似?
同態加密適合「資料持有方想讓第三方計算,但不暴露資料」:資料集中在一處,要上傳給外部算力。聯邦學習適合「多方各有資料,想聯合訓練一個模型」:各方資料不能集中,例如多家銀行聯合訓練反詐欺模型。本題場景(銀行把資料送給雲端供應商計算)是前者,用同態加密;如果是多家銀行各自保留資料、聯合訓練模型,則用聯邦學習。
雜湊(Hash)函數和加密(Encryption)的根本差別是什麼?
兩個都把資料「變成看不懂的東西」,哪裡不同?
加密(Encryption)是「可逆的」:有正確金鑰就能解密還原原始資料。雜湊(Hash)是「不可逆的」:從輸出無法(設計上)還原輸入。加密的目的是「安全傳輸或儲存,之後可以取用」;雜湊的目的是「驗證完整性和一致性(密碼驗證、檔案校驗和)」。同態加密屬於加密體系(可逆),雜湊不屬於加密。
為什麼同態加密目前主要用於推論(Inference)而非訓練(Training)?
訓練也可以用同態加密嗎?
訓練需要大量的反向傳播計算(梯度計算、參數更新),涉及複雜的非線性運算和大規模矩陣乘法,用全同態加密的計算開銷是明文計算的數百萬倍,在目前硬體條件下實際上不可行。推論(Inference)只需做一次前向傳播,計算量少得多,雖然同態加密仍然慢,但對延遲要求沒有訓練那麼嚴格,實際可行。隨著 FHE 硬體加速(GPU/FPGA 優化)進展,未來加密訓練也可能成為可能。
GDPR(歐盟通用資料保護規範)對「資料主權」的要求,對銀行的雲端 AI 策略有什麼影響?
法規要求和技術選擇有什麼關係?
GDPR 要求個人資料不能在未告知和同意的情況下傳輸給第三方,且有「被遺忘權」(可要求刪除)。對銀行的影響:客戶金融資料上傳到雲端供應商(即使是為了 AI 計算),法律上屬於「資料傳輸給第三方處理」,需要簽訂資料處理協議(DPA)或確保技術手段(如同態加密)讓供應商無法存取資料。同態加密可以作為「技術性保護措施」,讓銀行在合規框架下使用雲端 AI 服務。
想再往下看,這 5 個
- 同態加密(Homomorphic Encryption)核心考點,讓雲端在加密資料上直接計算、解密後結果一致的密碼學技術。
- 聯邦學習(Federated Learning)多方資料不出境、聯合訓練模型的隱私保護方法,與同態加密互補。
- 資料隱私(Data Privacy)金融和醫療 AI 的核心挑戰,同態加密是實現「計算隱私」的技術解法。
- 差分隱私(Differential Privacy)在統計輸出中加入雜訊保護個體,適合可接受誤差的統計分析,與同態加密解決不同問題。
- GDPR(歐盟通用資料保護規範)推動金融機構探索同態加密等隱私保護技術的重要法規背景。