如今,各种新的支付手段正在兴起,现金使用量急剧下降、私人发行货币泛滥。为了维护金融稳定、提高支付系统效率、扩大金融普惠性,世界各国央行积极 探索 、评估甚至试行CDBC。由于央行数字货币涉及公众、商业银行、央行等多元主体,需满足隐私性、安全性、合规性等多重目标,其设计是一项极其复杂的工程,需要谨慎研究及评估。CDBC对经济、 社会 和国际关系有哪些潜在影响,存在哪些安全风险;CDBC系统设计中有哪些技术挑战,与新技术又有哪些结合机会;以及如何制定合适的法律政策缓释新技术和金融系统变革的潜在风险,平衡创新和监管要求是各国央行普遍关心的问题。美国布鲁金斯学会发布的报告《央行数字货币设计中的政策和技术考虑》为上述问题提供启示。
一、央行发行CBDC的潜在收益与风险
CBDC目前尚无统一定义,通常指由中央银行以电子形式发行的法定数字货币。各国央行发行CBDC的动机主要包括提高支付效率、维持货币体系稳定、扩大金融普惠性,以及规避洗钱等非法活动。央行发行CBDC的潜在收益和风险包括:
1. 潜在收益
央行发行CBDC的潜在收益包括:降低货币成本,提高交易效率和稳定性,如实现即时付款;将更多经济活动纳入税收区间从而扩大税收基数,限制逃税行为;利用数字交易的可追溯性减少洗钱、恐怖主义融资等非法行为;可推出诸如名义负利率等新型货币政策工具;发展金融普惠,扩大金融服务人群范围等。
2. 潜在风险
央行发行CBDC的潜在风险包括:加速银行体系去中介化;若政府不当介入将阻碍私营部门创新,但缺少央行统筹,可能出现系统性风险和不兼容的问题;若缺少配套的监管措施,金融创新可能带来财务风险;存在新数据形式的隐私泄露隐患;系统可能存在技术漏洞影响信息安全;交易汇率波动风险和跨境资本流动风险可能增加等。
二、 CBDC设计 的主要内容 和 面临的技术挑 战
报告从分类账基础结构、账户和身份管理、数字钱包、隐私和透明度、智能合约、安全硬件六个方面介绍了CBDC设计的主要内容,以及面临的技术挑战和机会。
1. 分类账基础结构
CBDC的设计重点是保证信息安全性,通常包括机密性(不泄露信息)、完整性(正确存储并计算)和可用性(迅速响应)。保证信息安全性依赖于分布式和去中心化的系统设计。其中,分布式系统主要包括分布式分类账,及使用状态机复制或共识算法来协作维护交易 历史 的一组设备。去中心化系统指不受单个中央机构的控制的复合设备组成的系统,通常包括角色分离(不同角色负责不同流程)、信任分散(一个角色由多个机构担任,每个机构只服务一部分用户)和阈值信任(需多个授权机构集体授权)。基于分布式分类账的中心化程度可将其分为集中分类账、集中但可验证分类账、半集中分类账以及去中心化分类账等几种类型。集中式或半集中式分类账有利于央行管控和故障修复,但可能存在私人篡改和信息泄露,不利于公众信任。报告指出,基于信息安全性及隐私的综合考虑,中央银行应保持控制、改变或重置交易的能力,因此集中但可验证的分类账是一种可行方案。
2. 账户和身份管理
谁负责管理账户和验证身份是CBDC设计中的首要问题。潜在管理方式包括使用加密货币账户的形式避免统一管理,通过加密货币交易所托管和央行将管理任务委派给商业银行。数字身份验证方法包括在线视频验证、验证身份代理信息、生物特征识别、通过 社会 信任网络以及自主选择身份证明等。报告比较分析不同的管理者和身份验证方法,指出采用两层体系结构、由中央银行授权商业银行进行账户管理较为合理,但需要提供合适的激励措施以推动管理者在保护账户隐私和安全方面的创新;已有的通过在线视频、生物特征识别、 社会 信任网络以及自主提供证明等进行身份验证的方式在安全性上仍有较大不足,无法应用于CBDC等金融场景。
3. 数字钱包
数字钱包是用户与CBDC交互的软件应用程序,需重点考虑用户认证、交易认证和用户界面三方面的设计内容。目前在克服单点故障、密钥存储管理和保护交易隐私等方面存在较大的技术挑战。
4. 隐私和透明度
隐私和透明度之间存在天然对立。比特币等加密货币不承担保障金融稳定及预防犯罪活动等职能,但CBDC需要在为用户提供适当的隐私保护的同时,还为审计和执法部门提供必要信息,使其能追踪资金流向、打击犯罪。报告指出,中央银行应基于本国文化环境选择合适的中间立场,构建一个兼顾隐私保护和执行合规性的系统。相关可用技术包括零知识证明、隐私保护监视等,但总体上均有局限性。
5. 智能合约
数字货币可以借助智能合约实现功能扩展,但可能存在编码错误、黑客攻击等潜在风险,在程序分析与验证、实现交易可逆和可修订、处理并发交易等方面存在技术挑战,需要对智能合约语言加以限制。报告指出,采用两层架构的CBDC设计可能较为有效,即中央银行向商业银行发行数字通证,商业银行维护数字钱包并定义智能合约语言。但这涉及链到链的资产转移,因此大量的研究和开发工作致力于制定跨链的互操作性协议。
6. 安全硬件
“安全硬件”通常指旨在保护数据和计算结果的计算环境,可用于执行安全的应用程序,并保护数据和执行过程与其他不受信任的计算平台隔离。报告介绍了可信的执行环境(TEE)、外部安全硬件模块(HSM)等代表性应用,指出目前安全硬件技术存在侧道攻击、物理篡改、必须隐性信任供应商、易被完全破坏等问题,作为其他保护技术的补充和系统增强工具更为合适。
三、 CBDC设计需考虑的法律因素
报告介绍了CBDC设计中应考虑的管辖权、合规性、隐私保护、处理错误或欺诈性交易、留置权、可追溯性、税收等一般法律问题和已有规定。
管辖权方面, CBDC的特定法律要求取决于辖区,须纳入其本国法律体系;
合规性方面, 主要考虑现有反洗钱和打击恐怖主义(AML)法中的一般禁止条例(如美国《洗钱控制法》)、报告披露要求(如美国《银行保密法》)以及反规避规则是否适用于CBDC,审慎选择弱身份验证、不可追溯等与AML法规不相容的技术设计;
隐私方面, 主要考虑用户隐私和执法需求间的平衡,参考现有隐私法对允许金融机构披露客户信息条件的规定,通常包括目的限制、披露对象限制、数据格式限制等;
处理错误或欺诈性交易方面, 主要考虑如何防止和纠正错误交易,包括委托代理问题、冒名授权问题以及纠正非故意错误,要求CBDC保留管理员的修改权、有适用法律和验证合法命令的接口并能将系统状态及时上报;
留置权方面, 考虑如何将CBDC及相关的数字资产视为抵押品,及如何创建、收回及取消留置权的问题;
税收方面, 主要考虑如何定性CBDC并明确其税收分类,及作为税收基数的CBDC价值评估方式的问题。
CBDC设计需要考虑现有法律的限制,同时特定法律要求需要仔细考虑CBDC中的技术规定,这可能会推动支持性立法。目前,混合两层CBDC设计最容易满足现有法律要求,即商业银行作为用户和CBDC之间的主要接口,为个人和实体管理数字钱包和相关交易,但其无法确保个人账户隐私,并可能存在不同接口不兼容等技术问题。
四、相关实践
报告概述了Libra及数字人民币的技术设计,以为CBDC设计提供用例参考。
1. Libra
Libra是由Facebook领衔的Libra协会准备发行的一种尚未得到监管许可的数字货币,对各国构建CBDC起到助推作用。Libra计划生产针对单一货币的稳定币,使用1:1的真实资产作为储备、担保(称为Libra储备资产),有限承诺使用者可以将持有的Libra随时兑换为当地法定货币;Libra协会还将创建一种针对特定平台的加密货币,称为≋LBR,与单币稳定币的组合存在固定比率,通过智能合约进行管理,旨在用于跨境结算。目前其核心技术包括拜占庭容错(BFT)分类账区块链、Move编程语言以及共识协议LibraBFT等。
2. 数字人民币
中国是第一个试验主权数字货币的主要经济体,其数字人民币(DC/EP)拟作为替代现金的法币,采取“中央银行—商业银行”的两层架构。DC/EP首先在央行和商业银行间发生转移,即发行与回笼;再由商业银转移到居民与企业手中。DC/EP还采用“一币、两库、三中心”运行框架,“一币”指的是央行担保发行的DC/EP,“两库”指央行的发行库和商业银行,“三中心”指DC/EP包括登记中心、认证中心和大数据分析中心。此外,中国有关数字货币的专利包括将用户和银行分层设置访问权限的“可控制的匿名”、分级账户命令控制架构以及加入了安全硬件技术的数字钱包等。
报告最后指出,CBDC的潜在收益和风险非常复杂,其设计应综合考虑财务、法律和技术方面的因素,每个国家应考虑本国在这些方面的具体情况和初始条件,判断引入CBDC的潜在利益是否超过成本。
后台回复 “数字货币” 获取报告原文及全文翻译
选自丨 全球经济与发展项目工作论文