2月底,中国人民银行发布《金融分布式账本技术安全规范》(下称《安全规范》),从2月5日起正式实施,这是中国首个金融区块链标准规范。
《安全规范》出台的出发点是什么?具体安全策略因何而制定?对数字货币有何影响?未来是否还有其他金融区块链标准出台?
围绕这些问题,澎湃新闻记者专访了中国人民银行数字货币研究所(下称数研所)所长、支付司副司长穆长春。
澎湃新闻:《安全规范》的出发点和意义是什么?
穆长春:为落实党和国家以及人民银行的规划,按照中国人民银行印发的《中国金融业信息技术“十三五”发展规划》和《金融科技(FinTech)发展规划(2019-2021年)》的要求,在金标委和科技司支持下,人民银行数字货币研究所提出并具体组织,中国工商银行、中国农业银行、中国银行、中国建设银行、国家开发银行等单位共同参与起草了《金融分布式账本技术安全规范》,主要目标是为了规范分布式账本技术在金融领域的应用,提升分布式账本技术的信息安全保障能力。
随着分布式账本技术的发展和应用,原有的安全技术规范难以适用于分布式账本技术,主要体现在两个方面:一是分布式账本作为一种新的系统形态,通常部署在多个利益实体中,不同实体的管理制度以及安全风险考量不同,不利于分布式账本系统的部署和管控;二是分布式账本系统的特点决定了其安全性由系统中的共识节点共同维护,仅保障单个节点的安全性难以保证系统整体安全。
数字货币金融管理局公布其国际CBDC白皮书:金色财经报道,在国际货币基金组织 (IMF) 2023 年春季会议上,数字货币金融管理局 (DCMA) 宣布正式推出通用货币单位 (UMU),Unicoin,一种国际货币中央银行数字货币 (CBDC) 可以通过数字货币轨道进行类似 SWIFT 的跨境支付,完全绕过代理银行系统,以最优惠的批发汇率和即时实时结算。[2023/4/20 14:16:33]
为解决上述问题并考虑我国金融行业中分布式账本技术的应用现状和发展趋势,在编制过程中,充分调研了国内金融机构在分布式账本技术安全方面的应用现状和实际需求,使标准具有良好的适用性、先进性及示范性;另外,通过《安全规范》的编制,在发挥数研所在区块链领域的先发优势和实践积累的基础上,结合众多参与单位的技术优势,深入研究了国内外最新技术发展情况,对技术发展趋势进行合理预估,使《安全规范》在一段时间内保持先进性和稳定性。
作为我国金融行业首个区块链和分布式账本的标准规范,《安全规范》构建了分布式账本技术的安全体系框架,可指导金融机构按照金融行业基本安全要求进行分布式账本系统的部署和维护,为分布式账本技术大规模应用提供业务保障能力和信息安全风险约束能力,对产业应用形成良性的促进作用。
4000万枚MATIC从Polygon Staking转入币安:金色财经报道,Whale Alert数据监测显示,4000万枚MATIC从Polygon Staking转入币安。[2023/4/10 13:54:19]
澎湃新闻:《安全规范》参与制定的机构大多数是传统金融机构,这一规范是否也适用于非传统金融机构?例如区块链公司、技术公司等。
穆长春:《安全规范》梳理了在金融行业应用分布式账本技术应满足的普适性的安全要求,适用于在金融领域从事分布式账本系统建设或服务运营的机构,并不局限于传统金融机构,区块链以及其他技术公司只要在金融领域从事分布式账本系统建设或服务运营,也就适用。
事实上,参与起草的单位中,有互联网银行,也有互联网企业,还有高等院校、科研机构、检测机构以及技术公司等机构。正是因为有不同类型机构的参与,《安全规范》才能够具备多视角,涵盖多需求,适应多场景。
澎湃新闻:央行研发的数字货币设计是否能从《安全规范》中获得借鉴?
穆长春:人民银行正在进行DC/EP的研发工作。DC/EP是由人民银行发行,并由指定运营机构参与运营并向公众兑换的,以广义账户体系为基础的,支持银行账户松耦合功能,与纸钞和硬币等价的,并具有价值特征和法偿性的可控匿名的数字人民币支付工具体系。
Aztec回应“关停Aztec Connect”:主要出于商业考虑,与监管无关:3月13日消息,基于ZK-Rollup的隐私和扩容解决方案Aztec Network的相关负责人在社群回应称:“关停Aztec Connect的决定主要出于商业考虑,没有任何监管机构与团队联系。Aztec Connect的隐私性导致了设计中的一些问题,增加了维护成本。公司正专注于下一代版本的协议,将支持完全可编程的智能合约,默认情况下具有隐私性。考虑到新项目的规模,需要我们专注所有工程资源来完成它。我们仍然专注于L2 Rollup且从未建立L1,战略从未变化只是正在进入下一个阶段。”
此外,团队成员还表示Aztec将在下周为zk.money的用户免费提供所有退出交易。
此前消息,Aztec宣布将逐步关停Aztec Connect,未来将重点开发基于Noir语言的新产品。[2023/3/13 13:00:53]
DC/EP在技术选型上采用成熟稳健技术并兼顾创新,综合了传统集中式架构与区块链技术优势,借鉴区块链技术核心内涵与优势,回避其短板。由于安全技术是相通的,因此DC/EP在进行安全设计时,参考了《安全规范》中的有关要求。
新加坡GameFi生态系统公司DEA获乐天集团投资:11月19日消息,新加坡GameFi生态系统公司Digital Entertainment Asset Pte. Ltd.(DEA)和乐天集团(Rakuten Group)签署Web3合作谅解备忘录,乐天集团旗下企业风险投资部门Rakuten Capital通过认购股份收购权的方式对DEA进行少数股权投资。据Rakuten Capital总裁Hiroshi Takasawa表示,通过本次投资将于DEA开展多项Web3业务计划,同时将利用DEA在GameFi、Token经济和元宇宙业务推广方面的经验为业务增长做出贡献。(MENAFN)[2022/11/19 13:24:10]
DC/EP系统的建设本着长期演进、持续迭代的原则,不预设、不迷信任何一种技术路线,这种具备技术敏感性和前瞻性的实践,反过来也为《安全规范》的编制和完善提供借鉴。
澎湃新闻:你曾经提到,区块链在安全方面缺乏体系化安全防护。这次的安全规范是否能够消除或者减少这些安全风险以及运维问题?
Monochrome正在寻求以IBTC和IETH的代码推出比特币和以太坊 ETF:金色财经报道,比特币的资产管理公司Monochrome希望在澳大利亚加密现货工具列表中增加更多的交易所交易基金 (ETF)。Monochrome 周二表示,其合作伙伴 Vasco Trustees 已获得在该国运营加密现货 ETF 的金融许可证,为在澳大利亚证券交易所 (ASX) 正式上市铺平了道路。
Monochrome 希望其受托人通过该国证券监管机构获得的新澳大利亚金融服务认证 (AFS) 将有助于将自己与不断增长的加密交易所上市产品 Down Under 区分开来。
澳大利亚证券和投资委员会 (ASIC) 周二批准了受托人Vasco。Monochrome 正在寻求“在适当的时候”以 IBTC 和 IETH 的代码列出比特币和以太坊 ETF。[2022/8/17 12:31:42]
穆长春:《安全规范》全面梳理了分布式账本技术的安全体系框架,对12个方面提出了具体的安全要求,有利于消除或者减少安全风险以及运维问题。首先,结合国家相关的法律法规、国家安全标准以及行业安全标准,明确了在金融领域应用分布式账本技术的基本安全要求。其次,根据分布式账本系统的特点,提出了针对性要求,特别地,《安全规范》中运维章节在等保的基本要求基础上,全面覆盖了分布式账本运维的重点要求。
《安全规范》可为金融区块链系统的安全设计和安全测试提供参考和约束,但规范本身并不能解决安全问题,落实规范才能提高系统的安全能力,降低风险。
澎湃新闻:在安全规范中,规定了金融分布式账本技术的安全体系,共12部分,哪些部分是我们更应该关注的?
穆长春:《安全规范》提出的安全体系框架是有机的整体,每个层面的安全要求都很重要,其中借鉴和吸收了信息安全等级保护等相关安全标准的成果,也包含以往的安全标准中未曾遇到的新情况。这些内容可为金融分布式账本系统的安全设计和安全测试提供参考和约束。同时,在《安全规范》推广落地的过程中,业内的金融机构和技术公司不断总结最佳实践,也会不断完善《安全规范》。
澎湃新闻:共识协议的安全要求中,有提到可监管性,为什么会特地提到这一点?后面也有专门的监管要求,在分布式账本技术监管上,是否会存在监管难题?
穆长春:《安全规范》中提及的共识协议的可监管,主要是指共识过程和系统运行的历史记录都应可审计、可监管,且应不可纂改。之所以这么要求,是因为分布式账本并不能完全做到无法篡改,而只能做到难以篡改。例如,基于算力、权益证明的共识算法,会遇到51%攻击问题,即在掌握系统51%的算力或权益的情况下,可以重写区块链数据;联盟链普遍采用基于投票的共识算法,也会遇到“合谋篡改”数据的问题。因此,在不能完全排除这一风险的前提下,要求记录共识过程中所有的历史记录,以满足监管的需要。
澎湃新闻:实名认证与隐私保护之间是否会存在矛盾?该如何解决?
穆长春:实名认证和隐私保护不存在矛盾。实名认证并不代表所有人都能看见某个人的账户名。存在隐私保护需求的金融分布式账本系统可以使用匿名身份认证,但应遵循“前台自愿、后台实名”的原则,前台使用匿名标识,后台应能还原注册实体的实名身份。
澎湃新闻:在隐私保护中,安全规范提出分级隐私保护策略,低隐私保护策略和高隐私保护策略有哪些区别?
穆长春:隐私保护的对象是各类敏感信息,通常的做法是对敏感信息的敏感性进行分级。《安全规范》中提出分级隐私保护策略,对应的是敏感信息的分级。分布式账本系统可根据不同的隐私保护需求,制定不同级别的策略,采取不同强度的技术手段。具体实施哪种级别的隐私保护策略及技术手段,需要根据具体场景,在系统执行效率和隐私保护需求中做好平衡。
澎湃新闻:分布式记账的去中心化特性与中央银行的集中管理要求可能存在冲突,这一冲突该如何解决?
穆长春:在中央银行的制度体系安排中,均是中心化的管理方式,主要体现在应用的集中部署和数据的中心化方式采集、存储和处理,在中心化的组织中较容易实现监管;而以分布式为特征的区块链中的每个过程往往都追求去中心化的设计,在获得一定技术优势的同时,也容易隐藏权力滥用和暗中操纵现象,难以准确定位主体,出现监管盲区,产生数据泄露、隐私侵犯、恐怖融资等问题。尤其出现较大的社会问题和群体事件时无法找到责任最后兜底者。
实际上,区块链的去中心化优势更多体现在技术上的去中心化优势,教条式的鼓吹全面去中心化的往往是自己暗中想演变为新的中心。所以纯粹的去中心与央行的集中管理要求是存在一定冲突的,为避免冲突并满足集中管理的要求,同时不剥夺金融行业主体享受区块链带来的技术创新红利,区块链作为金融服务工具的底层系统和技术架构,须做相应的改造和升级,使其既能发挥去中心化的技术优势,也要满足中心化管理的要求。因此,在缺省情况下区块链平台从底层设计时就应考虑监管和隐私保护方面的要求,例如《安全规范》中相关内容要求。
澎湃新闻:《安全规范》之外,央行是否还在研究制定其他的金融行业区块链标准?
穆长春:人民银行对区块链和分布式账本技术标准体系进行了规划,《金融分布式账本技术安全规范》是其中重要组成部分,是我国金融行业首个区块链和分布式账本的标准规范。
此外,中国人民银行科技司提出并组织推动了《金融分布式账本技术应用技术参考架构》《金融分布式账本技术应用评价体系》《分布式账本贸易金融规范》等分布式账本技术相关标准,目前正由数字货币研究所具体牵头有序推进编制工作。
澎湃新闻实习生:叶映荷 记者:郑戈
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。