中国人民银行数字货币研究所所长姚前9月27日在《比较》发表一篇最新文章,探讨了央行发行数字货币的具有历史必然和现实意义,并从货币价值稳定性、公共经济学、交易费用理论等多重经济学视角研究数字货币发行权的归属问题,论证了央行发行法定数字货币的经济理论逻辑。最后提出我国法定数字货币的构建思路与技术架构,包括法定数字货币的理想特性、构建思路、体系要素、相关技术和关键考量等。精选摘编如下:
我国央行法定数字货币构建思路与技术架构
(一)理想特性
理想的法定数字货币不同于传统货币形态,它是以精巧的数学模型为基础,包含了发行方、发行金额、流通要求、时间约束甚至智能合约等多元信息,因此理想的法定数字货币应具备更多方面的特性。
一是不可重复花费性。这是最重要的一项,即同一笔钱不能像数字电影那样被反复拷贝,多次支付,当被重复支付时,系统应迅速查出。
二是可控匿名性。与传统纸币类似,若非持有者本人意愿,即便银行和商家相互勾结也无法追踪数字货币的交易历史和用途。这一点目前尚存争议,未来需要在用户隐私和打击违法犯罪行为之间找到平衡点。
三是不可伪造性。众所周知,伪造人民币是犯罪行为,但在数字货币领域,这还是法律空白地带。
四是系统无关性。数字货币应能够在多种交易介质和支付渠道上完成交易,具有良好的普适性和泛在性,并能复用现有的金融基础设施,无须全盘推倒“另起炉灶”即能为未来的数字经济提供有力支撑。
五是安全性。任何个体在交易时无法更改或非法使用数字货币。在实现路径上,数字货币的安全性不能只靠物理上(硬件上)的安全来保证,还必须通过密码技术来保障超越物理层面的货币安全。在技术上,可以借鉴比特币的技术特性。
六是可传递性。数字货币可以像普通商品一样在用户之间连续转让,且不能被随意追踪。
七是可追踪性。数字货币的可追踪性是用户自身的权利,而不是商家或者是银行的特权。作为监管者,在司法允许的条件下,可以获得这个权利,但不能滥用。这是一把双刃剑,必须界定约束各方的权责。
八是可分性。数字货币不仅能作为整体使用,还应能被分为更小的部分使用,只要各部分的面额之和与原数字货币面额相等,就可以进行任意金额的支付。比如十块钱可以分割为十个一块钱、两个五块钱等。
九是可编程性。数字货币应可附加用户自定义的可执行脚本,为基于数字货币的数字经济提供智能化助力。基于此能力的数字货币自身的定义与用户敏感信息收集等功能应尽可能由发行方控制,而一些支付路径和支付条件等应用功能应尽可能交给市场做,但前提是,技术底层应做相应的支持并设定一系列的应用规范。
十是基本的公平性。支付过程是公平的,要么保证双方交易成功,要么回退,双方都没有损失,不能出现交易失败,资金却不及时回退的情形。
(二)构建思路
为实现以上理想特性,法定数字货币应采用以下构建思路:
第一,遵循传统货币的管理思路,发行和回笼基于现行“中央银行—商业银行”的二元体系来完成;
第二,数字货币本身的设计,运用密码学理论知识,以安全技术保障数字货币的可流通性、可存储性、可控匿名性、可追踪性、不可伪造性、不可重复交易性与不可抵赖性等;
第三,数字货币的产生、流通、清点核对及消亡全过程登记,可参考区块链技术,建立集中/分布相对均衡的簿记登记中心;
第四,充分运用可信云计算技术和安全芯片技术来保证数字货币交易过程中的端到端的安全;
第五,充分运用大数据分析技术,不仅可以进一步保障交易安全,还可以满足反洗钱等业务需求;
第六,数字货币的用户身份认证采用“前台自愿、后台实名”的原则,既保证用户隐私,又规避非法交易的风险;
第七,数字货币本身的设计应力求简明高效,数字货币之上的商业应用尽可能交给市场来做,同时把技术标准与应用规范做好;
第八,构建由央行、商业银行、第三方机构、消费者参与的完整的均衡有序的数字货币生态体系,保证数字货币的发行、流通、回收全生命周期闭环可控。
(三)体系要素
法定数字货币体系应采用“管控中心化,技术架构分布式”的模式。法定数字货币的币值稳定是其最基本的属性,这也是本文一直强调的由央行发行法定数字货币的关键逻辑,因此必须有中心机构来强制约束。中心化管控可以获取货币发行全方位的信息,有利于货币管理。
从历史上来看,货币缘于物物交换时,一开始是非中心化的,然后逐渐过渡到中心化管理,这是一个自然的过程。同样,数字货币时代依然还需要中心机构来主导发行,并做好管控。
但任何物理上或技术架构上的中心点都是高价值目标,既是性能瓶颈,也是安全弱点。
分布式架构可以提供更高的安全性和整体可用性,尤其是超大型的基础设施,比如互联网自身。
抽象而言,央行数字货币体系的核心要素主要有三点,即“一币、两库、三中心”:
“一币”即由央行负责数字货币的设计要素和数据结构。从表现形态上来看,数字货币是央行担保并签名发行的代表具体金额的加密数字串,不是电子货币表示的账户余额,而是携带全部信息的密码货币。这个货币的设计一定要考虑前述的法定数字货币的理想特性。新的货币必须具备全新的品质,以支撑全新的商业应用模式。
“两库”即数字货币发行库和数字货币商业银行库。数字货币发行库是指人民银行在央行数字货币私有云上存放央行数字货币发行基金的数据库。数字货币商业银行库指商业银行存放央行数字货币的数据库(金库),可以在本地也可以在央行数字货币私有云上。
需要指出的是,发行库和银行库的设计让人觉得是对实物货币发行环节的模拟,但设计目标考虑更多的是给数字货币创建一个更安全的存储与应用执行空间。这个存储空间可以分门别类保存数字货币,既能防止内部人员非法领取数字货币,也能对抗入侵者的恶意攻击,同时亦可承载一些特殊的应用逻辑,这才是数字金库的概念。极端情况下,比如管理员的密钥被盗取,服务器被攻击、中毒或者中断链接,如何启动应急程序,保护或者重新夺回资金,保障业务的连续性,是设计的重点。
“三中心”则是指以下三个中心:
一是认证中心。央行对央行数字货币机构及用户身份信息进行集中管理,它是系统安全的基础组件,也是可控匿名设计的重要环节。可以做两到三层的认证体系,针对用户的不同有所区分。举例来讲,金融机构用户、高端用户的认证方式可能会用公钥基础设施(Public Key Infrastructure,PKI),低端用户的认证方式可能会用标识密码算法(Identity Based Cryptography,IBC)。
公钥基础设施体系可以很好地解决密钥管理、密钥修改的问题,但是该体系繁琐复杂,部署成本大。标识密码算法是传统证书体系的发展,2007年国家密码局组织了国家标识密码体系IBC标准规范的编写和评审工作,该算法于2007年12月通过评审,正式获得国家密码管理局的商密算法型号:SM9(商密九号算法)。SM9算法采用具有唯一性的身份标识(如手机号码、电子邮件地址、身份证号、银行账号等)作为公钥。标识密码算法解决了用户间传递加密信息必须事先获得公钥证书,加解密必须与管理中心在线交互通信的问题,大大降低了管理中心的负担和管理成本。
二是登记中心。记录央行数字货币及对应用户身份,完成权属登记;记录流水,完成央行数字货币产生、流通、清点核对及消亡全过程登记。登记中心的建设有两种思路:一种是基于区块链,另一种则基于传统的分布式架构。优先考虑后者,因为现在还不能确定区块链技术是否经受得住人民币海量实时交易的冲击。
登记中心可谓是全新理念的数字化铸币中心,传统的纸币有发行机构的信息,但不会有持有人登记的概念,更不会有流转过程中全生命周期的信息。这是技术进步的结果,当然反过来也会对技术系统提出很高的要求。这种理念的落地,还需要在实践中摸索,不可能一步到位,可以分层分级、分中心,但它们之间如何高效交互是需要深入研究的大课题。
登记中心在记录央行数字货币的权属及流转信息时,只能看见钱包地址,无法对应到具体的某个用户。用户信息和密钥信息的映射关系,仅在认证中心中管理。认证中心和登记中心之间必须有“防火墙”制度,设定严格的程序,两方信息不得随意关联,以保障合法持币用户的隐私。这一分离机制是“前台自愿、后台实名”的基础。
三是大数据分析中心。迄今为止,货币发行技术进步与大数据分析关联程度都比较弱,货币运行相关数据基本通过后验式统计与估算来形成。这就导致货币在现实流通中存在较大不确定性。而在数字货币环境下,大数据分析在货币发行和监控过程中就有了用武之地。在数据适当脱敏的情况下,央行可以运用大数据深入分析货币的发行、流通、储藏等,了解货币运行规律,为货币政策、宏观审慎监管和金融稳定性分析等干预需求提供数据支持。
(四)相关技术
数字货币系统及前端应用必须基于难以篡改和不可伪造的铸币(登记)中心,需要有高效率、高弹性、高安全性、层级化的铸币(登记)分中心,需要有货币流通全生命周期的全息记录,并在此基础上支撑全新的智能化商业应用。
对此,如何实现各铸币分中心所服务的商业网络之间的数据一致性需求,区块链技术或许可以提供全新的思路借鉴,比如共识算法。智能合约则是另一个方向的大趋势,它能给数字货币插上翅膀,让用户的支付能动性大大提高。但需要注意的是,这种借鉴是“拿来主义”,不可能生搬硬套,且不说技术本身还有成熟度的问题,根据实际业务需求在改造的基础上选择应用,也是重要考量。
另外还需要关注其他的安全技术、可信技术,比如可信可控云计算,特别是芯片技术。网络上对用户最重要的就是密钥,归根结底是私钥。密钥的安全管理存储对终端交易安全至关重要。现在的密钥管理方式包括:纯硬件、纯软件以及软硬件结合的方式。无论是手机集成商、移动运营商,还是芯片厂商、终端厂商、商业银行,都希望能掌控这个产业链真正的话语权,所以这一领域目前还处在竞争之中,到底如何,尚需观察。
总之,央行法定数字货币在后台云端利用可信技术,前台利用芯片技术,传输过程采用信道安全技术,从而实现数字货币交易过程中的端到端的安全。需要特别说明的是,作为系统建设者一定不要拘泥于任何技术,要有长期演进的技术理念。
(五)关键考量
一是便捷与安全。便捷性是获得市场认可的一个重要因素,安全性则是整个体系能够健康运行的基础。在权衡便捷性与安全性时,我们需要意识到商业机构可能更偏向便捷性,只要它们的利润可以覆盖安全风险方面的损失,但作为监管方的央行却需要优先强调安全性以防范系统性风险。不过,是否可以因为安全问题就一票否决设计方案?这一点仍然需要斟酌。
二是实名与匿名。数字货币可以实行实名制,也可以实行匿名制,也可以是两者结合。我国法定数字货币的设计考虑是“前台自愿,后台实名”。在大数据、云计算环境下,交易安全已不完全依赖传统的身份认证体系,通过客户行为分析保障交易安全、规避风险已经成为趋势。因此在宏观或中观上数字货币可以做脱敏的大数据分析,但微观上不可侵犯合法用户的隐私。
三是简化交易环节。目前运营的电子货币系统主要基于银行账户,用户发送支付指令以后,后台账户就会产生资金划拨,而纯数字货币系统是否可以不与银行账户关联,或者通过其他方式简化清算环节,降低交易成本?这一点需进一步考量。
四是技术的融合与创新。区块链技术是下一代云计算的雏形,备受各方瞩目,但成熟的企业级应用案例尚不多见。“私有云+高性能数据库+移动终端”与“私有云+区块链+移动终端”,有可能是两个既关联又有区别的思路。让中央更强大,让数据更安全,使终端更智能,同时让个人的支付行为更能动,应是未来央行数字货币追求的目标。是否可以应用区块链技术以及如何应用于央行数字货币的研发,将是中央银行技术选择的重要课题。