❶ 技經觀察 | 美國布魯金斯學會: 央行數字貨幣設計中的政策和技術考慮
如今,各種新的支付手段正在興起,現金使用量急劇下降、私人發行貨幣泛濫。為了維護金融穩定、提高支付系統效率、擴大金融普惠性,世界各國央行積極 探索 、評估甚至試行CDBC。由於央行數字貨幣涉及公眾、商業銀行、央行等多元主體,需滿足隱私性、安全性、合規性等多重目標,其設計是一項極其復雜的工程,需要謹慎研究及評估。CDBC對經濟、 社會 和國際關系有哪些潛在影響,存在哪些安全風險;CDBC系統設計中有哪些技術挑戰,與新技術又有哪些結合機會;以及如何制定合適的法律政策緩釋新技術和金融系統變革的潛在風險,平衡創新和監管要求是各國央行普遍關心的問題。美國布魯金斯學會發布的報告《央行數字貨幣設計中的政策和技術考慮》為上述問題提供啟示。
一、央行發行CBDC的潛在收益與風險
CBDC目前尚無統一定義,通常指由中央銀行以電子形式發行的法定數字貨幣。各國央行發行CBDC的動機主要包括提高支付效率、維持貨幣體系穩定、擴大金融普惠性,以及規避洗錢等非法活動。央行發行CBDC的潛在收益和風險包括:
1. 潛在收益
央行發行CBDC的潛在收益包括:降低貨幣成本,提高交易效率和穩定性,如實現即時付款;將更多經濟活動納入稅收區間從而擴大稅收基數,限制逃稅行為;利用數字交易的可追溯性減少洗錢、恐怖主義融資等非法行為;可推出諸如名義負利率等新型貨幣政策工具;發展金融普惠,擴大金融服務人群范圍等。
2. 潛在風險
央行發行CBDC的潛在風險包括:加速銀行體系去中介化;若政府不當介入將阻礙私營部門創新,但缺少央行統籌,可能出現系統性風險和不兼容的問題;若缺少配套的監管措施,金融創新可能帶來財務風險;存在新數據形式的隱私泄露隱患;系統可能存在技術漏洞影響信息安全;交易匯率波動風險和跨境資本流動風險可能增加等。
二、 CBDC設計 的主要內容 和 面臨的技術挑 戰
報告從分類賬基礎結構、賬戶和身份管理、數字錢包、隱私和透明度、智能合約、安全硬體六個方面介紹了CBDC設計的主要內容,以及面臨的技術挑戰和機會。
1. 分類賬基礎結構
CBDC的設計重點是保證信息安全性,通常包括機密性(不泄露信息)、完整性(正確存儲並計算)和可用性(迅速響應)。保證信息安全性依賴於分布式和去中心化的系統設計。其中,分布式系統主要包括分布式分類賬,及使用狀態機復制或共識演算法來協作維護交易 歷史 的一組設備。去中心化系統指不受單個中央機構的控制的復合設備組成的系統,通常包括角色分離(不同角色負責不同流程)、信任分散(一個角色由多個機構擔任,每個機構只服務一部分用戶)和閾值信任(需多個授權機構集體授權)。基於分布式分類賬的中心化程度可將其分為集中分類賬、集中但可驗證分類賬、半集中分類賬以及去中心化分類賬等幾種類型。集中式或半集中式分類賬有利於央行管控和故障修復,但可能存在私人篡改和信息泄露,不利於公眾信任。報告指出,基於信息安全性及隱私的綜合考慮,中央銀行應保持控制、改變或重置交易的能力,因此集中但可驗證的分類賬是一種可行方案。
2. 賬戶和身份管理
誰負責管理賬戶和驗證身份是CBDC設計中的首要問題。潛在管理方式包括使用加密貨幣賬戶的形式避免統一管理,通過加密貨幣交易所託管和央行將管理任務委派給商業銀行。數字身份驗證方法包括在線視頻驗證、驗證身份代理信息、生物特徵識別、通過 社會 信任網路以及自主選擇身份證明等。報告比較分析不同的管理者和身份驗證方法,指出採用兩層體系結構、由中央銀行授權商業銀行進行賬戶管理較為合理,但需要提供合適的激勵措施以推動管理者在保護賬戶隱私和安全方面的創新;已有的通過在線視頻、生物特徵識別、 社會 信任網路以及自主提供證明等進行身份驗證的方式在安全性上仍有較大不足,無法應用於CBDC等金融場景。
3. 數字錢包
數字錢包是用戶與CBDC交互的軟體應用程序,需重點考慮用戶認證、交易認證和用戶界面三方面的設計內容。目前在克服單點故障、密鑰存儲管理和保護交易隱私等方面存在較大的技術挑戰。
4. 隱私和透明度
隱私和透明度之間存在天然對立。比特幣等加密貨幣不承擔保障金融穩定及預防犯罪活動等職能,但CBDC需要在為用戶提供適當的隱私保護的同時,還為審計和執法部門提供必要信息,使其能追蹤資金流向、打擊犯罪。報告指出,中央銀行應基於本國文化環境選擇合適的中間立場,構建一個兼顧隱私保護和執行合規性的系統。相關可用技術包括零知識證明、隱私保護監視等,但總體上均有局限性。
5. 智能合約
數字貨幣可以藉助智能合約實現功能擴展,但可能存在編碼錯誤、黑客攻擊等潛在風險,在程序分析與驗證、實現交易可逆和可修訂、處理並發交易等方面存在技術挑戰,需要對智能合約語言加以限制。報告指出,採用兩層架構的CBDC設計可能較為有效,即中央銀行向商業銀行發行數字通證,商業銀行維護數字錢包並定義智能合約語言。但這涉及鏈到鏈的資產轉移,因此大量的研究和開發工作致力於制定跨鏈的互操作性協議。
6. 安全硬體
「安全硬體」通常指旨在保護數據和計算結果的計算環境,可用於執行安全的應用程序,並保護數據和執行過程與其他不受信任的計算平台隔離。報告介紹了可信的執行環境(TEE)、外部安全硬體模塊(HSM)等代表性應用,指出目前安全硬體技術存在側道攻擊、物理篡改、必須隱性信任供應商、易被完全破壞等問題,作為其他保護技術的補充和系統增強工具更為合適。
三、 CBDC設計需考慮的法律因素
報告介紹了CBDC設計中應考慮的管轄權、合規性、隱私保護、處理錯誤或欺詐性交易、留置權、可追溯性、稅收等一般法律問題和已有規定。
管轄權方面, CBDC的特定法律要求取決於轄區,須納入其本國法律體系;
合規性方面, 主要考慮現有反洗錢和打擊恐怖主義(AML)法中的一般禁止條例(如美國《洗錢控製法》)、報告披露要求(如美國《銀行保密法》)以及反規避規則是否適用於CBDC,審慎選擇弱身份驗證、不可追溯等與AML法規不相容的技術設計;
隱私方面, 主要考慮用戶隱私和執法需求間的平衡,參考現有隱私法對允許金融機構披露客戶信息條件的規定,通常包括目的限制、披露對象限制、數據格式限制等;
處理錯誤或欺詐性交易方面, 主要考慮如何防止和糾正錯誤交易,包括委託代理問題、冒名授權問題以及糾正非故意錯誤,要求CBDC保留管理員的修改權、有適用法律和驗證合法命令的介面並能將系統狀態及時上報;
留置權方面, 考慮如何將CBDC及相關的數字資產視為抵押品,及如何創建、收回及取消留置權的問題;
稅收方面, 主要考慮如何定性CBDC並明確其稅收分類,及作為稅收基數的CBDC價值評估方式的問題。
CBDC設計需要考慮現有法律的限制,同時特定法律要求需要仔細考慮CBDC中的技術規定,這可能會推動支持性立法。目前,混合兩層CBDC設計最容易滿足現有法律要求,即商業銀行作為用戶和CBDC之間的主要介面,為個人和實體管理數字錢包和相關交易,但其無法確保個人賬戶隱私,並可能存在不同介面不兼容等技術問題。
四、相關實踐
報告概述了Libra及數字人民幣的技術設計,以為CBDC設計提供用例參考。
1. Libra
Libra是由Facebook領銜的Libra協會准備發行的一種尚未得到監管許可的數字貨幣,對各國構建CBDC起到助推作用。Libra計劃生產針對單一貨幣的穩定幣,使用1:1的真實資產作為儲備、擔保(稱為Libra儲備資產),有限承諾使用者可以將持有的Libra隨時兌換為當地法定貨幣;Libra協會還將創建一種針對特定平台的加密貨幣,稱為≋LBR,與單幣穩定幣的組合存在固定比率,通過智能合約進行管理,旨在用於跨境結算。目前其核心技術包括拜占庭容錯(BFT)分類賬區塊鏈、Move編程語言以及共識協議LibraBFT等。
2. 數字人民幣
中國是第一個試驗主權數字貨幣的主要經濟體,其數字人民幣(DC/EP)擬作為替代現金的法幣,採取「中央銀行—商業銀行」的兩層架構。DC/EP首先在央行和商業銀行間發生轉移,即發行與回籠;再由商業銀轉移到居民與企業手中。DC/EP還採用「一幣、兩庫、三中心」運行框架,「一幣」指的是央行擔保發行的DC/EP,「兩庫」指央行的發行庫和商業銀行,「三中心」指DC/EP包括登記中心、認證中心和大數據分析中心。此外,中國有關數字貨幣的專利包括將用戶和銀行分層設置訪問許可權的「可控制的匿名」、分級賬戶命令控制架構以及加入了安全硬體技術的數字錢包等。
報告最後指出,CBDC的潛在收益和風險非常復雜,其設計應綜合考慮財務、法律和技術方面的因素,每個國家應考慮本國在這些方面的具體情況和初始條件,判斷引入CBDC的潛在利益是否超過成本。
後台回復 「數字貨幣」 獲取報告原文及全文翻譯
選自丨 全球經濟與發展項目工作論文