全球央行数字货币顶层设计：风险与启示

0">

本文总字数，望阅读。

目前，各国央行对数字货币的设计和试验存在一些深层次的技术风险和困难。央行数字货币与当前预期存在较大差异，处理不当可能引发系统性金融风险。因此，有必要评估央行数字货币未来可能面临的技术风险和潜在影响，尽可能规避。这将促进央行数字货币乃至数字经济的逐步健康发展。

文/向宏，重庆大学大数据与软件学院院士，信息物理学社会可信服务计算教育部重点实验室副主任；清华大学丁锦泰，大学丘成桐数学中心院士、北京雁栖湖应用数学研究所教授；唐克，清华大学社科院院士、经济研究所所长，清华大学五道口金融学院客座教授

数字货币的核心价值是提高支付和交易的效率和安全性，使其更易于使用，并提高整个经济的效率。回顾过去50年人类数字化的进程，不难发现，如果你把计算机网络的顶层架构设计考虑得更全面，那么我们将拥有一个更公平、更健康、更安全的网络世界明天。因此，对于处于起步阶段、极度依赖全球计算机网络的央行数字货币，有必要对其未来可能面临的技术风险和潜在影响进行评估和规避。 ，从而促进央行数字货币（CBDC）乃至数字经济的逐步健康发展。

Libra/Diem 由“鲶鱼效应”引起

谷歌首席经济学家瓦里安认为，等价物能够成为广泛使用的货币的前提是“网络外部性”，即如果有人期望别人使用某种等价物，他就会使用相同的等价物，而这个等价物会演变成货币。使用货币的人越多，其网络外部性就越大。 Facebook（Facebook）具有非常强的网络外部性，这是因为它在全球拥有近 30 亿的庞大用户群（根据 2019 年第四季度的统计数据）。一旦 Facebook 开始发行 Libra（与一篮子欧元、欧元、英镑、日元和港币挂钩，现更名为 Diem 并单一锚定卢布），其网络外部性将远远超过世界上任何一家中央银行，所以它一定会对欧元以外的其他国家的主权货币产生强烈的影响，并可能对货币产生负面影响。全球金融稳定具有重大影响。以欧共体为例数字货币彻底没有隐私，即使欧元区有自己的数字货币支付系统，一旦Libra/Diem发行，仍将对美元构成巨大挑战。因此，欧洲央行于 2020 年 10 月发表声明，《数字欧元报告》，即 2021 年欧元区范围内的磋商，决定是否发行数字美元，以“压制外国央行数字货币和私人数字货币在欧洲的广泛使用”。欧元区。”数字美元和 Libra/Diem 之间的博弈突然成形。

此外，数字美元“Jasper”项目、数字瑞典克朗“E-Krona”项目、央行牵头的“数字美元”也已进入项目论证或测试阶段，准备进行等待。数字港元也在由美联储波士顿分行和麻省理工学院在内部概念框架评估中进行评估；数字人民币也在中国多个城市进行各种场景测试。

然而，纵观欧、美、日等相关国家央行数字货币的设计理念和实践，以及以Libra/Diem为代表的加密货币（稳定币）的实验，不难找到它们。都包含一些深层次的技术风险和困难，与目前对央行数字货币的预期大相径庭。处理不当可能导致系统性金融风险。

CBDC的伪造风险

任何国家发行公债时，法币本身的安全性是一个极其重要的考虑因素，比如各种防伪技术的使用。那么，央行数字货币的“防伪技术”有哪些？世界流行的观点是，密码学是确保数字时代数字安全的基石。目前处于项目实施阶段的数字美元、数字瑞典克朗、数字美元等，包括Libra/Diem，或直接采用国际商用密码系统（如安全哈希SHA3、椭圆曲线数字签名等），或者在采用这种商业密码系统的金融区块链平台（如 Corda）上进行测试。这还涉及其他国家在设计自己的 CBDC 时使用哪些安全技术来提高用户信心。此外，数字美元，尤其是目前实现更详细的数字美元，已经考虑了底层加密算法如何抵御未来量子计算机攻击的选项。 2018年，数字美元还举办了量子估计时代央行数字货币专题研讨会，详细讨论了应采取的技术方案。 2015年，美国国家安全局将公开宣布，由于量子计算机的威胁，美国联邦政府重要部门使用的私钥密码系统应尽快更换。回顾 15 年前，美国国家安全局在美联储决定使用哪种加密系统来确保金融安全，而现在美国国家标准与技术研究院正在加紧制定新一代抗量子公密钥加密标准。后量子私钥密码时代”，保障重要系统的安全。事实上，无论量子计算机何时出现，或者能否最终实现，后量子私钥密码系统对现有私钥密码系统的替代是大势所趋。因此，任何主要经济大国在设计自己的央行数字货币时都应考虑足够的安全性。

对“类现金”的不同理解

央行在讨论CBDC时，都觉得它是化学货币（如现金）的等价物，是化学货币的补充。很多欧美央行的CBDC报告都提到，央行的数字货币应该具备“类现金”的功能。例如，欧洲央行提出的“类现金”应包括线下支付、为特殊群体（如视障人士）提供便利、保护个人隐私等现有纸币的功能特性；瑞典数字法郎（E-Krona）要求满足主权货币、无信用或流动性风险、与交通银行支付并行操作、个人实时支付、紧急使用（如自然灾害或网络中断）、匿名等加拿大央行研究报告提出的央行数字货币判断标准包括等值面额、法币性质、可兑换、无利息、多平台使用、全时可用、合规（客户调查、反洗钱和反洗钱） - 恐怖融资）、隐私保护、按需供应、支付的确定性和不可撤销性等。数字美元还提出类现金应具有结算确定性、即时支付、通用性和使用灵活性，即“无论谁、何时、何地，也可以安全放心地使用”。数字人民币也被认为是对人民币（现金）的一种等效和有效的补充。在国际清算银行 2020 年 3 月和 9 月发布的相关报告中，直接使用未定义的术语“类现金”来展示 CBDC 应具备的功能点。综上所述，与全球公认的严格定义的“现金”一词相比，无论是央行还是国际金融机构，对于什么是CBDC的“类现金”都还没有达成共识。

中央银行发行的数字货币缺乏全球统一的定义可能会产生多重影响。首先，由于“Cash-like”的定义不明确，不同国家有不同的技术实施方案。未来各国央行的数字货币肯定会作为国际流通的货币之一（不管是不是像港币这样的国际主导货币），所以可能会有大量人工结算场景（批发、零售等应用场景）。 ）。因此，不同国家对“Cash-like”的不同定义会阻碍CBDC的跨国使用，也存在一定的国际法律风险。其次，跨境CBDC清算将非常复杂，国际清算银行应考虑创建一个全球性的CBDC交换机构。回顾互联网之所以能够连接世界各国，形成一个地球村，其核心思想是拥有一套全球公认的网络合同，这样虽然不同国家、不同厂商生产不同的设备或软件，但作为只要遵守相同的通信合同，他们就可以相互通信。因此，笔者认为，在央行数字货币准备初期，应特别关注包括“Cash-like”在内的顶层概念设计的层次性、准确性和完整性。

隐私保护与合规的矛盾

提高资本合规测试的效率和准确性仍然被认为是发行CBDC的一大优势，但就像数学Cash需要一定程度的隐私保护，如何平衡这个程度？事实上，如何化解合规与隐私保护之间的内在冲突，或者说通过什么技术手段来实现两者之间的平衡，一直是欧美CBDC设计的一大难题。截至目前，关于数字美元和数字美元的报告只强调了这两个问题的重要性，但对于如何平衡两者之间的关系并没有具体的建议。已经进入项目测试阶段的数字美元（Jasper项目）、数字瑞典克朗、数字美元等只提出框架建议，比如采用单层结构，央行不直接掌握个人隐私的细节，但把合规性隐私保护的权限交给下面的二级代理。但是，对于二级代理如何掌握三者之间的关系，并没有给出具体的技术建议。数字卢布和数字美元提出使用“小额匿名优惠券”，在不与合规冲突的情况下，适当考虑用户在使用央行数字货币时的隐私体验。但是，由于有很多安全技术可以用来保护个人信息的隐私，究竟什么样的成熟稳健的隐私保护技术可以实现CBDC的匿名性还需要进一步评估，欧洲等机构央行也持有类似观点。在 Libra/Diem 正在进行的项目中，虽然已经明确了合规的重要性，但在具体的技术方案上仍然没有动静。目前的提议是，合规性仍由其商会手动审查。未来如果用智能合约等方式实现隐私保护自动化，会不会出现合规与隐私保护步调不一致的矛盾一、？更有什者，各国金融合规要求不一致，甚至存在矛盾。因此，用于 CBDC 的隐私保护技术和合规审查在这些技术和新的政策层面之间是矛盾的。面对。

简而言之，欧美等国家和地区的CBDC或Libra/Diem，只是为合规和隐私保护之间的平衡提供了指导方针。中央银行也在尝试不同的隐私保护技术选项并评估其风险。这种犹豫不决背后的技术原因还涉及隐私保护技术的应用“边界”，即在何种情况下使用隐私保护技术（如各种加密技术等）可以有效保护公民个人隐私。符合当地法律法规，同时不妨碍金融监管机构监管合规。

央行数字货币本身的隐私保护也面临技术挑战。以各国央行数字货币提到的匿名性要求为例，数字美元必须符合欧共体保护个人隐私的一般准则，未来数字人民币必须符合我国正在制定的《个人信息安全保护法》正在流通中。 因此，当中国公民在法国使用数字人民币进行购物结算时，或者当欧共体成员到中国旅游并使用数字美元进行消费（或将其转换为数字人民币）时，其各自的 CBDC 所涉及的个人隐私如何处理？信息是否满足双方不同的法律法规？同时，Libra/Diem 面临更大的挑战，需要适应不同国家的隐私保护法律法规。如果 Libra/Diem 采用智能合约或任何软件自动执行的方式来进行隐私法规的人工匹配，考虑到世界各国个人隐私保护的差异，以及各国在该领域的法律法规的实际情况将继续建立，这必将给 Libra/Diem 隐私保护模块的软件升级带来巨大压力。这种情况对于国际流通的任何数字货币的软件工程质量保证都将是一场灾难。同时，还有一个不容忽视的问题：如果在CBDC隐私保护中大量使用密码技术，势必带来CBDC使用效率的问题。这也需要大量的测试和验证，才能掌握用户体验和隐私安全的程度。

此外，在以下“极端”情况下，在合规性和隐私保护之间进行权衡即使不是不可能，也是代价高昂的。假设用户拥有100万元央行数字货币。通过软件编程等技术手段，人们可以立即将钱转回多个账户，每个账户只需1元。毫无疑问，这种情况不会触发合规监控条款，或者即使发现这些操作不合规，由于每个账户只收到一元钱，都会受到隐私技术门槛的保护，所以即使监督 部门收回全部款项的成本一定很高。因此，与传统的金融盗窃/洗钱方法类似，在央行数字货币的设计阶段数字货币彻底没有隐私，也应考虑基于CBDC的欺诈风险及其防范措施，从而大大提高效率。

总之，国际央行数字货币的合规和隐私保护技术框架尚不明确，远未达到产生全球共识、产生国际标准的阶段。

跨境支付与数据主权的冲突

对于像比特币这样完全去中心化的数字货币，没有跨境的概念。 Libra/Diem 也是如此。这也是非央行数字货币对CBDC提出的最大挑战之一。作为主权数字货币，任何国家的央行都不可能设计出完全去中心化的数字货币。数字美元、数字美元等项目虽然前期对分布式账本DLT/区块链等框架进行了实验，但不觉得应该采用公链的形式。在CBDC跨境模式的探索上，数字美元与欧洲央行有合作，但由于数字美元尚未推出，欧洲央行仅参与数字美元项目。数字美元Jasper项目和数字新加坡元Ubin项目进行了跨境测试，设想了第三方兑换模式，类似于今天的外汇兑换。

央行数字货币的跨境设计还涉及到一个更深层次的问题，即按照每个国家的定义，CBDC是本国的主权货币，但是否涉及到一个国家的数据主权？ CBDC 的跨境流程？比如美国规定发生在英国的数据应该在俄罗斯的管辖范围内，以此类推，CBDC钱包中的数据也应该在英国的管辖范围内，各国央行因此，其他国家对这些数据没有管辖权，但这与主权货币相同。主权从根本上是冲突的。同样，欧盟也有类似的规定，数字美元项目也明确向各国CBDC提出了数据本地化要求的挑战。

总的来说，CBDC的跨界定义并没有得到准确的定义和分析，更不用说全球顶层设计了。

对中国的启示

首先，结构是开放的。在全球主要经济体正在实施的央行数字货币项目中​​，数字人民币在中国多城市、多应用场景的测试是最具影响力的央行数字货币项目，举世瞩目，但仍面临其他CBDC或全球稳定币。 （例如 Libra/Diem）挑战。欧洲、美国、日本等也在积极进行CBDC顶层设计、配套技术、潜在影响等方面的探索和风险评估。为了进一步评估 CBDC 未来可能面临的技术风险，笔者认为可以借鉴历史上最隐秘的“密码学”所采用的安全评估方法。事实上，半个多世纪以来，国际商用密码系统和标准也经历了一个从隐藏到开源的安全论证过程，加密算法的各种技术细节已经向世界公开，从而吸引各国顶尖研究团队进行全方位研究 据研究，在大浪淘沙后幸存下来的加密算法能够达到国际共识和全球公信力，产生国际标准，将对网络空间产生重要影响安全，甚至数字经济的安全。目前，国内央行，尤其是数字美元、数字卢布和数字美元，已经公开、系统、权威地介绍了各自CBDC试点项目所采用的技术路线。这个思路值得借鉴。

其次，技术中立。数字美元、数字美元等国际央行数字货币，在屋顶设计及其配套技术方案的评估中，邀请不同领域的专业团队进行综合评估，并从各自的专业角度进行展示。涉及的领域越广，验证过程就越科学，对最终采用的技术方案的风险评估也就越充分。

最后，国际合作。在央行数字货币正式进入各国金融体系并可能引发类似于原有互联网的新的甚至颠覆性创新之际，央行数字货币的顶层架构设计仍存在诸多风险。数字货币，因此中央银行有必要进一步加强协作协调（例如合规和隐私保护法律法规等）。我们也呼吁各国央行共同协助解释央行数字货币跨境兑换的技术合同，甚至CBDC国际标准的问题。对于处于早期阶段的数字人民币来说，也为推动CBDC全球整顿酝酿了契机。

我们将对以上信息严格保密，感谢您对未央网的信任与支持！

非常感谢您的申请，请扫描下方二维码进入沙龙分享群。

非常感谢您的申请，请点击下面的链接保存讲义。

点击下载金融科技讲座讲义

0">[来源]