清华大学金融科技研究院孵化
金融科技与金融创新全媒体

扫描分享

本文共字,预计阅读时间

当前,各国央行的数字货币设计和试验都蕴含着一些深层次的技术风险和难点,与目前人们对央行数字货币的期望存在较大差异,处理不当有可能产生系统性金融风险。因此,有必要对央行数字货币未来可能面临的技术风险及潜在影响进行评估,并力所能及地进行规避,从而促进央行数字货币乃至数字经济稳步健康发展。

文/重庆大学大数据与软件学院教授、重庆大学信息物理社会可信服务计算教育部重点实验室副主任向宏;清华大学丘成桐数学中心教授、北京雁栖湖应用数学研究院教授丁津泰;清华大学社会科学学院经济所教授、所长,清华大学五道口金融学院访问教授汤珂

数字货币的核心价值是提升支付和交易的效率与安全性,使之更加便于使用,从而提升整个经济体的运转效率。回顾人类过去50年数字化的进程,不难发现如果当初在计算机网络的顶层架构设计方面考虑得更为全面,那么今天我们会拥有一个更为公平、更为健康、更为安全的网络世界。因此,对当今正处于萌芽阶段而又极端依赖全球计算机网络的央行数字货币,有必要对其未来可能面临的技术风险及潜在影响进行评估,并力所能及地进行规避,从而促进央行数字货币(Central Bank Digital Currencies,简称CBDC)乃至数字经济稳步健康发展。

Libra/Diem引发的“鲇鱼效应”

谷歌首席经济学家范里安认为,一种等价物可以成为广泛使用的货币的前提是“网络外部性”,即某人如果预期其他人会使用某种等价物,他也会使用同样的等价物,这种等价物就会演化成货币。某种货币使用人数越多,其网络外部性就越大。脸书(Facebook)就有极强的网络外部性,这是由于其在全球拥有接近30亿的庞大用户群体(根据2019年第四季度统计数据)。脸书一旦开始发行Libra(与由美元、欧元、英镑、日元及新加坡元组成的一篮子货币挂钩,现更名为Diem并单一锚定美元),其网络外部效应将远远超过世界上任何一家央行,因此必将对美元之外的其他国家主权货币产生强烈的冲击效应,并有可能对全球金融稳定带来重大影响。以欧盟为例,即使欧元区拥有自己的数字货币支付系统,Libra/Diem一旦发行,仍将对欧元形成巨大挑战。因此欧洲央行在2020年10月发布了《数字欧元报告》,在欧元区范围内征求意见,以便在2021年决定是否发行数字欧元,以“抑制外国央行数字货币和私有数字货币在欧元区广泛使用”。数字欧元与Libra/Diem的博弈隐然成形。

此外,由各央行主导研发的数字加元“Jasper”项目、数字瑞典克朗“E-Krona”项目、“数字日元”等也进入了项目论证或测试阶段,蓄势待发;数字美元也由美联储波士顿分部和麻省理工学院联手正在进行内部概念框架评估;数字人民币也正在中国多个城市多种场景下进行测试。

然而,纵观欧、美、日等有关国家的央行数字货币的设计理念和实践,以及Libra/Diem等为代表的加密货币(稳定币)的试验,不难发现其中都蕴含着一些深层次的技术风险和难点,与目前人们对央行数字货币的期望存在较大差异,处理不当有可能产生系统性金融风险。

CBDC的伪造风险

任何国家发行法币时,法币本身的安全性都是极为重要的考虑,如采用各种防伪技术。那么,央行数字货币的“防伪技术”是什么?国际上通行的观点认为,密码技术是数字时代保障数字安全的基石。目前处于项目实施阶段的数字加元、数字瑞典克朗、数字日元等,包括Libra/Diem,或是直接采用了国际商用密码体系(例如安全哈希SHA3、椭圆曲线数字签名等),或是在采用了这些商用密码体系的金融区块链平台上(例如Corda)进行测试。这其中又涉及其他国家在设计自己的CBDC时,采用什么安全技术手段来增强用户信心。此外,数字加元,特别是目前实施得较为细致的数字日元都考虑了底层加密算法如何抵御将来量子计算机攻击的备选方案。2018年数字日元还专门召开了量子计算时代的央行数字货币专题研讨会,并详细讨论了应该采取的技术方案。2015年美国国家安全局正式公开宣布,由于面临量子计算机的威胁,要求用于美国联邦政府重要部门的公钥密码体系应尽快予以更换。回顾15年前美国国家安全局在美联储决定使用何种密码体制来保障金融安全,以及目前美国国家标准技术研究院正在抓紧制定新一代抗量子公钥密码的标准,世界主要大国即将进入采用“后量子公钥密码技术”保障重要系统安全的时代。事实上,无论量子计算机何时出现,或者是否最终能够实现,后量子公钥密码体制对现有公钥密码体制的更换已是大势所趋。因此,任何一个主要经济大国在设计自己的央行数字货币时,都应考虑足够的安全提前量。

对“类现金”的不同认识

各国央行在讨论CBDC时,均认为其是物理货币(如现金)的等价物,并与物理货币形成互补。诸多欧美央行的CBDC报告中均提及了央行数字货币应该具备“类现金”(Cash-like)的功能。例如,欧洲央行提出的“类现金”应该包括离线支付、方便特殊群体使用(例如残障人士)、保护个人隐私等现有纸币所具备的功能特点;瑞典数字克朗(E-Krona)则要求满足主权货币、没有信用或流动性风险、与银行支付并行运作、个人实时支付、应急使用(例如自然灾害或网络中断),以及匿名性等。而加拿大央行研究报告提出的央行数字货币判定准则,包括等值面额、法币性质、可兑换、无息、多平台使用、全时段可用、合规性(客户调查、反洗钱反恐融资)、隐私保护、按需供给、支付的终局性和不可撤销性等。数字日元也提出了类现金应具备结算最终性、即时支付、普遍可用性和使用弹性,即“无论是谁、在何时何地,都能够安全确实地使用”。数字人民币也被当成为是人民币(现金)的等价而有效的补充。而国际清算银行在2020年3月和9月发布的相关报告当中,都直接使用了“类现金”这个未加定义的术语来论证CBDC应该具备的功能点。综上所述,与早已取得全球公认并有严格定义的“现金”这个术语相比,各国央行或国际金融机构目前均尚未达成什么是CBDC“类现金”的共识。

各国央行对自身发行的数字货币缺乏全球统一定义这一现状有可能带来多方面的影响。第一,由于存在“Cash-like”定义的模糊性,从而使得各国技术实现方案各有不同。在未来各国央行数字货币必将作为国际流通的币种之一(无论是否像美元那样作为占主导地位的国际货币),因此有可能出现大量自动结算的场景(无论是批发,还是零售以及其他应用场景)。因而,各国对“Cash-like”定义的不同将会使得CBDC的跨国使用遭遇障碍,也存在一定的国际法律风险。第二,跨国CBDC清算将非常复杂,国际清算银行应该考虑形成一个全球性的CBDC兑换机构。回顾互联网之所以能够将世界各国连成一片、形成地球村,其核心思想是拥有一套全球公认的网络协议,使得尽管不同国家、不同厂商生产的设备或研发的软件各不相同,但只要遵循相同的通信协议,就可以互联互通。因此,笔者认为在央行数字货币酝酿的初始阶段,特别需要注重包括“Cash-like”在内的顶层概念设计的层次性、精确性和完整性。

隐私保护与合规性的矛盾

提升资金合规性检验的效率与准确性一直被认为是发行CBDC的一大优势,但它又要像物理现金那样需要获得一定程度的隐私保护,如何去平衡这其中的度?事实上,如何解决合规性与隐私保护的内在冲突,或什么样的技术手段能够把握二者之间的平衡,一直是欧美等国的CBDC设计方案当中的一大难题。截至当前,数字欧元、数字英镑的报告仅仅是指出这两个问题非常重要,但如何均衡二者关系尚无具体方案建议。而已经进入项目测试阶段的数字加元(Jasper项目)、数字瑞典克朗、数字日元等也仅是提出了框架性建议,例如采用双层结构,央行不直接掌握个人隐私细节,而把合规性与隐私保护的权限交给下面的二级代理商等。但二级代理商如何把握二者之间的关系,均未给出具体的技术建议。数字克朗和数字日元提出了采用“小额匿名券”的方式,来适当考虑用户在使用央行数字货币时的隐私感受,又不会与合规性相冲突。但由于可以用于个人信息隐私保护的安全技术有很多,采用何种成熟而稳健的隐私保护技术才能做到CBDC的匿名性还须进一步评估,欧洲央行等机构也持相似的观点。在Libra/Diem正在实施的项目当中,尽管明确了合规性的重要性,但在具体技术解决方案中则仍无动静,目前提出的方案是合规性依然由其协会进行人工审核。如果将来采用智能合约等方式来自动化实现隐私保护,那么是否会出现合规性与隐私保护双轮快慢不一、步调不一致的矛盾?更有甚者,各国金融合规性要求并不一致,甚至暗藏矛盾,因此用于CBDC的隐私保护技术与合规性审查这种科技与政策层面的矛盾,各国央行在制定CBDC技术架构的时候都要面对。

总之,欧美等国家和地区的CBDC或Libra/Diem在合规性与隐私保护的平衡方面仅是给出了指导性原则建议。各国央行也在尝试隐私保护技术的不同方案并评估其风险。这种举棋不定背后的技术原因还涉及隐私保护技术的应用“边界”,即采用隐私保护技术(如各类加密技术等)在什么情况下,既能根据当地法律法规有效地保护公民个人的隐私,同时又不妨碍金融监管机构对合规性进行监管。

央行数字货币的隐私保护本身还面临技术实现方面的挑战。以各国央行数字货币均提到的匿名性要求为例,数字欧元须满足欧盟个人隐私保护通用准则,而将来数字人民币在流通过程中则需要满足中国正在拟定的《个人信息安全保护法》。因此,当中国公民在欧洲使用数字人民币进行购物结算的时候,或者欧盟成员国人员来华旅游使用数字欧元消费(或折算成数字人民币)的时候,各自的CBDC当中涉及的个人隐私信息如何满足双方不尽相同的法律法规?与此同时,Libra/Diem则面临更大的挑战,它需要适应不同国家的隐私保护法律法规。假如Libra/Diem采用智能合约或任何一种软件自动化执行的方式来进行隐私规约的自动匹配,考虑到世界各国在个人隐私保护方面的差异,以及该领域各国法律法规将会不断地完善的现实情况,必将给Libra/Diem隐私保护模块的软件升级带来巨大压力,这种景象对于任何一种国际化流通的数字货币而言,都将是软件工程质量保障的灾难。同时,还有一个不可忽视的问题:如果在CBDC隐私保护方面采用大量密码技术,必将会带来CBDC使用效率的问题。这也需要进行大量的测试验证,才能把握好用户体验与隐私安全的度。

此外,在下面这种“极端”的案例当中,要做到合规性和隐私保护的权衡,即使不是不可能,也是代价巨大的。假设某用户拥有一百万元的央行数字货币。人们通过软件编程等技术手段,可以瞬间将这笔钱转到若干个账户里面,使得每个账户只有一元钱。毫无疑问,这种情况不会触发合规性监控条款,或者说即使发现这种操作有不合规之处,由于每个账户只进账一元,会受到隐私技术门槛的保护,所以即便监管部门要追回这笔总款项也必将代价巨大。因此,类似于传统的金融诈骗/洗钱手段,但效率上可能提升很多的基于CBDC的欺诈风险及其防范措施,也应在央行数字货币设计阶段就予以考虑。

总之,国际央行数字货币目前对于合规性与隐私保护的技术框架仍不清晰,也远未达到形成全球共识并形成国际标准的阶段。

跨境支付与数据主权的冲突

对于像比特币这种完全去中心化的数字货币而言,并不存在跨境的概念。同样,Libra/Diem也是如此。这一点也是非央行类数字货币对CBDC提出的最大挑战之一。CBDC作为主权数字货币,任何一个国家的央行都不可能设计一套完全去中心化的数字货币。数字加元、数字日元等项目尽管前期在分布式账本DLT/区块链等框架上进行了试验,但都不认为应采用公链的方式。在CBDC跨境模式的探索方面,数字日元与欧洲央行进行了合作,但由于数字欧元尚未推出,所以欧洲央行仅仅是参与数字日元的项目。数字加元Jasper项目与数字新加坡元Ubin项目进行了跨境测试,设想的是第三方兑换的模式,类似于现在的外币兑换。

央行数字货币的跨境设计还涉及一个更深层次的问题,即按照各国定义,CBDC都是本国的主权货币,但在CBDC跨境过程中是否又涉及一个国家的数据主权?例如,美国规定在美国境内发生的数据都应由美国管辖,以此类推CBDC钱包中的数据也应归美国管辖,其他国家的央行因而无权管辖这些数据,但这和主权货币所代表的主权性有根本的冲突。同样,欧盟也有类似的规定,而数字日元项目等也明确提出了各国数据本地化要求对CBDC的挑战。

总体而言,CBDC的跨境定义仍然没有精确的定义和分析,更谈不上全球性的顶层设计。

对中国的启示

首先,架构开放性。在世界主要经济体正在实施的央行数字货币项目中,数字人民币在中国多个城市、多个应用场景的测试是影响力最大的央行数字货币项目,举世瞩目,但依然面临其他CBDC或全球稳定币(如Libra/Diem)的挑战。而欧、美、日等在CBDC的顶层设计、配套技术以及潜在影响方面,也正在积极进行探索与风险评估。为了进一步评估未来CBDC可能面临的技术风险,笔者认为可以借鉴历史上最为保密的“密码学”所采用的安全评估方法。事实上,半个多世纪以前,国际商用密码体制和标准也是经历了从秘不示人到开源进行安全论证的过程,面向全球公开加密算法的各种技术细节,从而吸引各国顶尖研究团队进行全方位研究,大浪淘沙之后存活下来的加密算法反而能够取得国际共识和全球公信,并形成国际标准,从而对网络空间安全乃至数字经济安全产生重要影响。目前国外央行,特别是数字日元、数字克朗和数字加元等对于各自CBDC试点项目所采用的技术路线等均有公开、系统和权威介绍。这种思路值得借鉴。

其次,技术中立性。国际央行数字货币,例如数字日元和数字加元,在顶层设计及其配套的技术方案评估当中,均邀请不同领域的专业团队进行综合性评估,各自从自身的专业角度进行论证。涉及的领域越广泛,验证的过程越科学,对最终采用的技术方案的风险评估就越充分。

最后,国际合作。在央行数字货币即将进入各国金融系统,并有可能引发类似于当年互联网一样新的甚至是颠覆性的创新之时,各国央行数字货币的顶层架构设计依然存在诸多风险,因此需要各国央行进一步加大合作协调(例如合规性和隐私保护法律法规等)。我们也倡议各国央行共同协助探讨央行数字货币跨国交换时的技术协议,甚至CBDC国际标准的问题。这对于处于先行先试的数字人民币而言,也酝酿着引领CBDC全球治理的机遇。

[Source]

本文系未央网专栏作者发表,属作者个人观点,不代表网站观点,未经许可严禁转载,违者必究!首图来自图虫创意。

本文为作者授权未央网发表,属作者个人观点,不代表网站观点,未经许可严禁转载,违者必究!首图来自图虫创意。

本文版权归原作者所有,如有侵权,请联系删除。首图来自图虫创意。

评论


猜你喜欢

扫描二维码或搜索微信号“iweiyangx”
关注未央网官方微信公众号,获取互联网金融领域前沿资讯。