楊 立， 左 春，3， 梁 賡

1(中國科學(xué)院 軟件研究所 區(qū)塊鏈技術(shù)與應(yīng)用聯(lián)合實驗室， 北京 100190)

2(中國科學(xué)院 軟件研究所 精準(zhǔn)計算聯(lián)合實驗室， 北京 100190)

3(中科軟科技股份有限公司， 北京 100190)

2017 年 1～10 月， 中國保費收入 3.2 萬億元， 同比增長20%， 即將成為全球第二大保險市場. 但是， 中國的保險深度、保險密度分別為全球平均水平的66%、53%， 還有很大的發(fā)展空間[1]. 目前， 我國保險市場的經(jīng)營主體有100多家， 產(chǎn)品更是多達上萬種， 每一個保險產(chǎn)品的保障范圍和免責(zé)條款都相對較為復(fù)雜， 客戶在選擇保險產(chǎn)品時往往無所適從， 非常需要推薦模型來進行產(chǎn)品推薦. 文獻[2]提出了一個基于用戶分群的保險產(chǎn)品推薦模型， 文獻[3]提出了基于貝葉斯網(wǎng)絡(luò)的推薦方法， 文獻[4]對健康險的保險計劃進行了分解， 重點探討了產(chǎn)品與需求的逐項匹配問題. 以上方法的實質(zhì)上都是假設(shè)同類用戶具有類似的需求， 對用戶的各類屬性進行相似性計算來達到推薦的目的. 而在實際環(huán)境中， 一是這樣的假設(shè)未必成立， 二是用于推薦模型訓(xùn)練的數(shù)據(jù)一般都是涉及到隱私問題， 往往并不容易獲取. 本文歸納現(xiàn)有的保險產(chǎn)品推薦方法主要存在以下問題.

(1) 信任問題

客戶和保險公司存在著雙向信任問題， 一方面， 保險公司或者第三方銷售對客戶具體情況不夠了解， 特別是保險關(guān)鍵因素如健康狀況， 駕駛習(xí)慣等等， 難以提供精準(zhǔn)的保險產(chǎn)品推薦； 另一方面， 由于電銷、網(wǎng)銷特別是第三方機構(gòu)的銷售方式普遍存在的夸大宣傳問題，客戶對保險公司也存在著信任危機， 一般來說， 對退保、理賠的條件和過程疑問較大， 需要了解詳細(xì)可信的實際過程才愿意達成保險交易. 客戶在選擇保險公司和保險產(chǎn)品時只能簡單地通過規(guī)?；蛘咻浾搧碜鰶Q策， 對預(yù)期結(jié)果存在著較大的不確定性， 從而極大地影響了購買意愿.

(2) 隱私問題

客戶在和保險公司協(xié)商的過程中， 通常不愿意將自己的個人資料完全提供給保險公司， 比如個人健康狀況， 家庭住址等隱私信息， 而保險公司也不愿意輕易將真實詳細(xì)的歷史退保、理賠記錄展示給尚未確認(rèn)購買意愿的普通客戶， 在當(dāng)今環(huán)境下， 一個單一的隱私泄露可能導(dǎo)致的結(jié)果是相當(dāng)嚴(yán)重的， 因為攻擊者可以從一個點揭示更多的相關(guān)信息. 因此需要一種精確的授權(quán)機制， 保證各類隱私信息在嚴(yán)密受控的情況下進行傳遞， 并不被用于其他用途.

(3) 精準(zhǔn)問題

現(xiàn)有人為推薦的模式受中介主體(包括代理人、電銷、網(wǎng)銷和第三方機構(gòu))因素影響較大， 往往會因為中介主體自身的利益導(dǎo)向而向用戶推薦并非是最符合用戶要求的產(chǎn)品， 同時也受困于信任問題和隱私問題導(dǎo)致的信息不對稱， 文獻[3]提到通過這類方法進行保險產(chǎn)品推薦的實際轉(zhuǎn)化率僅有12%左右； 有些學(xué)者提出了利用同類用戶數(shù)據(jù)進行推斷等方式實現(xiàn)的推薦模型[2-4]， 在實際應(yīng)用中由于難以獲得高質(zhì)量的訓(xùn)練數(shù)據(jù)，制約了其使用效果.

區(qū)塊鏈[5]是一種分布式數(shù)據(jù)庫技術(shù)， 是數(shù)據(jù)全網(wǎng)分布式共享存儲、點對點傳輸、共識機制、加密算法等計算機技術(shù)的新型應(yīng)用模式. 這種模式具有以下特點:

(1) 去中心化: 區(qū)塊鏈所形成的賬本呈現(xiàn)去中心化特點， 即沒有中介機構(gòu)， 所有節(jié)點具有相同的權(quán)利和義務(wù)， 任意節(jié)點停止工作都不影響系統(tǒng)整體的運作；

(2) 去信任: 基于區(qū)塊鏈的系統(tǒng)中所有節(jié)點之間無需信任也可以進行交易， 因為數(shù)據(jù)庫和整個系統(tǒng)的運作是公開透明的， 交易雙方的信任關(guān)系是建立在全網(wǎng)共識基礎(chǔ)上的， 只要符合系統(tǒng)規(guī)則， 節(jié)點之間無法欺騙彼此；

(3) 可編程: 區(qū)塊鏈上的交易雙方可以通過共同制定智能合約， 實現(xiàn)交易自動化；

(4) 集體維護: 基于區(qū)塊鏈的系統(tǒng)是由全網(wǎng)節(jié)點共同參與維護， 系統(tǒng)中每一個節(jié)點都將同步最新的共識結(jié)果， 基于共識的記賬機制保證數(shù)據(jù)經(jīng)過少數(shù)人的篡改是無效的.

由于區(qū)塊鏈技術(shù)的以上特點， 目前業(yè)界已經(jīng)成功將該技術(shù)應(yīng)用在數(shù)字資產(chǎn)交易[6]， 醫(yī)療數(shù)據(jù)共享[7]， 電子證照共享[8]等領(lǐng)域.

本文對區(qū)塊鏈在保險產(chǎn)品推薦領(lǐng)域內(nèi)的應(yīng)用模式開展研究， 提出一種基于區(qū)塊鏈的保險產(chǎn)品推薦模型，試圖解決以上問題， 該模型通過區(qū)塊鏈的安全存儲和授權(quán)機制管理客戶和保險公司的完整信息， 并通過推薦算法精準(zhǔn)推薦符合客戶需求的保險產(chǎn)品.

本文的貢獻主要如下:

(1) 對保險產(chǎn)品推薦問題進行了形式化定義， 提出了一個保險客戶決策參考信息模型， 討論了其中涉及到的隱私問題， 并說明該問題的解決可以提高保險產(chǎn)品推薦的轉(zhuǎn)化率.

(2) 提出了基于區(qū)塊鏈的保險產(chǎn)品推薦模型， 該模型首先利用區(qū)塊鏈技術(shù)存儲和管理客戶和公司隱私信息， 然后設(shè)計了兩階段的需求匹配方法， 首先將用戶信息和產(chǎn)品的免責(zé)范圍進行匹配， 縮小了有效的產(chǎn)品選擇范圍， 然后在有效產(chǎn)品選擇范圍內(nèi)， 通過計算需求與產(chǎn)品之間的加權(quán)距離有效計算出最滿足用戶需求的候選產(chǎn)品推薦給用戶.

(3) 為該模型設(shè)計了實驗， 模擬結(jié)果證明了該模型在推薦轉(zhuǎn)化率、存儲可擴展性及相關(guān)安全性方面達到了設(shè)計要求， 為安全高效地解決保險產(chǎn)品推薦問題提供了一種新方案， 也為產(chǎn)品合同簽訂和后續(xù)理賠流程奠定了可信的證據(jù)基礎(chǔ).

1 背景知識

1.1 相關(guān)定義和說明

定義保險公司的集合為I， 每一個保險公司， 公司i的公司信息集合為， 產(chǎn)品集合為產(chǎn)品， 其中是產(chǎn)品的保障范圍.比如“安聯(lián)環(huán)游四海全球旅行-馬哥波羅計劃”產(chǎn)品的保障范圍包含個人及寵物責(zé)任， 而其他保險產(chǎn)品的保障范圍一般不包含寵物責(zé)任.Ci,p是產(chǎn)品的免責(zé)范圍， 免責(zé)范圍是指保險公司不承擔(dān)賠償責(zé)任的風(fēng)險范圍. 比如某保險公司健康險的免責(zé)范圍包含遺傳性疾病， 即當(dāng)客戶個人信息中包含此項內(nèi)容時， 無論客戶產(chǎn)生何種風(fēng)險， 承保的保險公司都不承擔(dān)賠償責(zé)任； 而一般的同類產(chǎn)品免責(zé)范圍不包含這一項， 由此可以看出， 由于不同保險公司的經(jīng)驗理念和精算模型不同， 對具體產(chǎn)品的定義和風(fēng)險保障都有著自己的特點. 如果客戶不了解這一點， 極容易造成不必要的損失. 而是否有遺傳性疾病屬于個人隱私信息， 很難在傳統(tǒng)的推薦過程中被利用.

定義1. 有效匹配

定義2. 目標(biāo)函數(shù)

1.2 保險客戶決策參考信息模型

參照文獻[4]中提出的健康險保障計劃模型， 我們提出一個通用的客戶決策參考信息模型， 如圖1所示.其中公司信息部分在很多第三方網(wǎng)站上有部分展示，但是其公信力和信息完整性都存在疑問， 難以作為真實有效的決策依據(jù). 顯然， 只有由公司自身才能為本公司提供真實可信并且完整的數(shù)據(jù)， 并且有大部分信息是不公開的， 需要系統(tǒng)進行隱私保護； 而產(chǎn)品信息一般是公開的， 不需要進行隱私保護. 由于目前市場競爭日益激烈， 公開的產(chǎn)品特性有日益趨同的趨勢， 而反映公司服務(wù)實力的內(nèi)在屬性信息成為客戶做出購買決策的重要因素. 相反， 該部分信息的缺失或者不可信會嚴(yán)重影響客戶的購買意愿.

圖1 保險客戶決策參考信息模型

2 系統(tǒng)設(shè)計

2.1 安全需求分析

本文將模型安全需求定義如下:

定義3. 隱私保護

如果沒有一個成員知道除預(yù)先定義功能以外的數(shù)據(jù)信息， 我們說該模型是支持隱私保護的， 比如在進行產(chǎn)品推薦時， 參與的公司都不應(yīng)了解客戶的健康隱私，而客戶也不應(yīng)了解公司的內(nèi)部隱私信息.

定義4. 透明性

所有的計算對于交易雙方都是透明的， 這可以防止競爭對手對匹配結(jié)果進行偽造， 也可以防止保險公司對他們的產(chǎn)品模型進行計算過程之后的修改.

定義5. 可驗證性

所有的計算過程和結(jié)果， 都可以讓每一個參與方進行驗證， 以保證確實是按照預(yù)定計算規(guī)則和參數(shù)計算出來的最優(yōu)解.

定義6. 可信性

計算過程不依賴于任何單獨一方， 每一個參與方都可以有能力發(fā)起匹配的過程， 從而實現(xiàn)去中心化的容錯過程.

2.2 模型框架

本文提出的模型框架如圖2所示， 該模型的流程可以分為如下幾個階段.

圖2 模型總體框架圖

(1) 信息提交階段

(2) 需求初步匹配階段

(3) 精準(zhǔn)計算階段

算法執(zhí)行完畢后， 如圖2中的步驟(5)所示， 模型將產(chǎn)品推薦結(jié)果(p?,i?)展示給用戶.

2.3 區(qū)塊鏈運行機制

在本節(jié)中， 我們描述如何對區(qū)塊鏈中的信息主體、存取權(quán)限及其映射關(guān)系進行管理.

本文模型中的區(qū)塊鏈包含兩種事務(wù)類型， 一種用于信息存儲和檢索， 記作Tr； 另一種用于訪問控制管理， 記作Ta； 當(dāng)用戶首次進行簽名時， 將生成一個新的共享標(biāo)識， 包含用戶標(biāo)識和對外服務(wù)標(biāo)識， 并連同相關(guān)的權(quán)限一起發(fā)送到區(qū)塊鏈的Ta事務(wù)中. 主體準(zhǔn)備的隱私信息 (例如某遺傳性疾病)使用共享加密密鑰進行加密， 并將其發(fā)送到區(qū)塊鏈的Tr事務(wù)， 隨后將其路由到鍵值存儲區(qū)(本文采用MongoDB來實現(xiàn))， 同時只保留指向公共分類帳上信息地址的SHA-256 哈希指針.

主體(如客戶或保險公司)和服務(wù)都可以通過Tr事務(wù)對指針關(guān)聯(lián)的信息進行檢索， 區(qū)塊鏈會驗證數(shù)字簽名屬于某主體還是服務(wù). 對于服務(wù)， 還將通過Ta檢查其訪問信息的權(quán)限. 最后， 用戶可以通過更新Ta事務(wù)隨時更改授予服務(wù)的權(quán)限， 包括撤消對以前存儲信息的訪問.

在信息寫入或者讀取之前， 每一個信息區(qū)塊對應(yīng)智能合約的條件必須被滿足， 下面說明主要的兩種合約結(jié)構(gòu).

圖4 數(shù)據(jù)查詢流程圖

2.3.1 信息提供者注冊合約

該合約控制客戶或者保險公司如何成為區(qū)塊鏈的合格信息提供者. 在約定的初始成員加入后， 對于新的成員加入申請， 基本的判斷邏輯是區(qū)塊鏈中的現(xiàn)有成員是否都同意新成員的加入. 如圖5所示， 這種判斷邏輯可以在智能合約中用代碼的方式進行控制.

圖5 信息提供者注冊合約結(jié)構(gòu)

2.3.2 信息存取合約

該合約被用來執(zhí)行區(qū)塊鏈上信息存取的權(quán)限控制，主要的信息內(nèi)容包括信息所有者、信息在鍵值存儲區(qū)的地址、權(quán)限認(rèn)證參數(shù)、保證數(shù)據(jù)未被篡改的Merkle樹哈希值等， 結(jié)構(gòu)如圖6所示， 這些信息內(nèi)容保證了信息是嚴(yán)格按照授權(quán)進行訪問的.

圖6 信息存取合約結(jié)構(gòu)

2.3.3 實例分析

如圖7所示， 客戶1、客戶2、公司1、公司2、算法1分別通過信息提供者注冊合約加入到區(qū)塊鏈中，假設(shè)客戶1的隱私信息為“遺傳病=哮喘”， 公司2的隱私信息為“理賠時長=1天”. 在信息存取合約中， 通過insertInformationRecord(“遺傳病”， “哮喘”)和insertInformationRecord(“理賠時長”， “1 天”)加入到對應(yīng)主體的信息存儲地址隊列中， 同時均通過grantAccess(地址 5， “Y， N， N”)將讀取權(quán)限授權(quán)給算法 1.

圖7 合約實例

本文中基于智能合約的模型實現(xiàn)過程具有如下特點:

(1)靈活權(quán)限授權(quán): 主體可以隨時批準(zhǔn)或撤銷數(shù)據(jù)訪問請求， 一旦授權(quán)立即生效. 如當(dāng)整個保險產(chǎn)品推薦過程完成以后， 客戶或者保險公司可以隨時關(guān)閉對自己隱私數(shù)據(jù)的讀取， 也可以對新算法進行隨時授權(quán).

(2)細(xì)粒度訪問控制: 模型可以對所選數(shù)據(jù)塊 (而不是主體的所有數(shù)據(jù)) 授予更細(xì)粒度的訪問權(quán)限， 這也提高了數(shù)據(jù)的可讀性.

3 實驗

為了評價本文提出的模型， 我們基于中國科學(xué)院軟件研究所自主開發(fā)的區(qū)塊鏈基礎(chǔ)組件RepChain[9]實現(xiàn)了該模型， 實驗環(huán)境為4臺服務(wù)器組成的節(jié)點網(wǎng)絡(luò)，服務(wù)器配置為8 GB內(nèi)存， 600 GB硬盤， 處理器為Intel Xeon 2.4 GB雙核.

3.1 推薦性能分析

為了評價本模型在實際推薦過程中的效果， 我們選取了某第三方平臺1http://www.huize.com上30家保險公司的836種保險產(chǎn)品， 分為健康險、意外險和旅游險三個險類， 將本文模型與文獻[3]中的算法進行比較， 并引用文獻[3]中定義傳統(tǒng)方式的產(chǎn)品推薦轉(zhuǎn)化率12%為基線. 假設(shè)模型推薦的產(chǎn)品與用戶需求的差距在20%之內(nèi)， 則認(rèn)為是一個成功的推薦， 定義如下:

假設(shè)試驗用戶數(shù)量為N， 則轉(zhuǎn)化率conversion定義為:

我們模擬了100個用戶的需求， 實驗結(jié)果如圖8所示， 本文模型在三個險類的推薦成功率均優(yōu)于文獻[3]中模型和基線模型， 這是由于本文模型引入了基于區(qū)塊鏈的隱私保護機制， 增加了推薦過程的信息量， 從而實現(xiàn)了更為精準(zhǔn)的計算過程. 從不同險類的推薦效果看， 產(chǎn)品和隱私信息關(guān)聯(lián)更為密切的健康險和旅游險推薦效果要優(yōu)于意外險， 而文獻[3]采用的貝葉斯網(wǎng)絡(luò)方法沒有考慮隱私信息因素的影響， 其推薦效果在不同險種上的表現(xiàn)基本上是一致的.

3.2 存儲策略分析

為了保證隱私數(shù)據(jù)不被泄露， 本文中采用的數(shù)據(jù)存儲策略是在區(qū)塊鏈上只存儲數(shù)據(jù)信息的地址， 而將具體數(shù)據(jù)存儲在鏈下的鍵值數(shù)據(jù)庫中. 同時這樣的設(shè)計也使得模型在鏈上空間存儲上具有良好的可擴展性，假設(shè)所交換的原始數(shù)據(jù)的大小為， 其引用指針的大小為. 這樣， 按空間復(fù)雜度存儲在鏈上的數(shù)據(jù)總量為而采取傳統(tǒng)模型直接將數(shù)據(jù)信息存儲在區(qū)塊鏈的方式， 其存儲在區(qū)塊鏈上的數(shù)據(jù)總量為而一般來說， 數(shù)據(jù)信息占用空間大于其哈希值與數(shù)據(jù)指針共同占用的存儲空間.

圖8 推薦轉(zhuǎn)化率比較

圖9 空間存儲量比較

為了驗證以上分析， 實驗中將主體數(shù)量從10個逐步增加到60個， 以此來驗證模型存儲策略在可擴展性方面的表現(xiàn). 實驗結(jié)果如圖9所示， 相對于傳統(tǒng)區(qū)塊鏈模型， 本模型實現(xiàn)的存儲策略不僅使得鏈上存儲量較小， 而且鏈上+鏈下的共同存儲總量也顯著低于傳統(tǒng)模型的空間存儲量， 隨著主體數(shù)量的增加， 優(yōu)勢更為明顯，從而證明本文的存儲策略具有良好的可擴展性.

本文中的數(shù)據(jù)存儲方法可以有效解決鏈上數(shù)據(jù)安全和數(shù)據(jù)存儲開銷過大的問題， 弊端是這種存儲方法只適合做原始數(shù)據(jù)的存儲和整體查詢， 而不適合對數(shù)據(jù)進行語義查詢或者做進一步的處理， 例如對數(shù)據(jù)進行模糊查詢等操作. 因此對于需要利用區(qū)塊鏈上數(shù)據(jù)進行復(fù)雜處理的場景， 本模型還有待進一步改進， 這也是我們未來的工作方向之一.

3.3 安全性能分析

本文模型的隱私保護要求是:

(1) 沒有一個客戶了解公司的確切信息； (2) 沒有一個公司了解客戶的確切信息.

首先， 所有參與者都是匿名的， 即他們都是通過模型中的ID來參與計算的.

攻擊者可能試圖通過鏈接與同一匿名用戶關(guān)聯(lián)的不同數(shù)據(jù)段來對用戶進行去匿名化， 此攻擊稱為鏈接攻擊， 危及用戶的隱私. 為了防止此攻擊， 每個用戶在不同推薦請求的每個交互中都使用一個新密鑰.

在信息提交階段， 區(qū)塊鏈中的每個事務(wù)都包含確保完整性的數(shù)據(jù)哈希. 所有事務(wù)都使用不對稱加密方法進行加密， 從而提供保密性.Ta維護一個密鑰列表，為主體成員或服務(wù)提供訪問控制， 只有嵌入私鑰與區(qū)塊鏈中的密鑰列表匹配的事務(wù)才能轉(zhuǎn)發(fā)給其他成員.

在需求初步匹配和精準(zhǔn)計算階段， 只有經(jīng)客戶和保險公司授權(quán)過的推薦算法才可能獲取到客戶和公司信息， 客戶無需向任何參與的公司授權(quán)， 公司也無需向任何參與的客戶進行授權(quán)， 因此該階段不存在隱私泄露問題.

根據(jù)以上分析， 在本文的模型運行過程中， 沒有一個客戶了解公司的確切信息， 也沒有一個公司了解客戶的確切信息. 因此， 本模型實現(xiàn)了2.1節(jié)定義的隱私保護原則.

由于目標(biāo)函數(shù)是公開的， 客戶和保險公司作為主體都可以申請進行公開驗證， 在匿名的情況下獲得對方的授權(quán)， 取得計算過程所需要的信息， 獨立發(fā)起計算過程進行結(jié)果驗證. 經(jīng)過模擬實驗， 我們分別驗證了本文的模型符合2.1節(jié)定義的透明性、可驗證性和可信性.

4 結(jié)語

保險市場存在的雙向信任缺失和隱私保護是保險產(chǎn)品銷售過程中面臨的實際問題， 本文提出了一個基于區(qū)塊鏈的保險產(chǎn)品推薦模型. 該模型首先擴展了傳統(tǒng)的保險要素， 加入個人健康記錄、理賠歷史記錄等隱私信息； 然后利用區(qū)塊鏈的加密存儲機制和智能合約技術(shù)實現(xiàn)了對個人、公司隱私信息的可擴展安全存取管理， 在隱私保護的前提下實現(xiàn)了個人信息和除外責(zé)任對應(yīng)的產(chǎn)品有效性篩選； 最后提出了基于多要素特征匹配的精準(zhǔn)保險產(chǎn)品推薦算法. 對本模型設(shè)計了實驗， 結(jié)果表明， 該模型可在隱私保護的前提下， 提高產(chǎn)品推薦的轉(zhuǎn)化率， 并實現(xiàn)計算過程的安全有效和透明公正. 在未來的工作中， 我們將采用形式化方法進一步驗證和分析模型的特性， 并將該模型延伸到后續(xù)的產(chǎn)品成交和理賠過程.