数字人民币的隐私与安全的平衡之道
来源:当代金融家杂志 更新时间:2022-10-09

作为数字人民币的一个重要特征,“可控匿名”一方面体现了数字人民币M0的定位,保障公众合理的匿名交易和个人信息保护的需求;另一方面,这也是防控和打击洗钱、恐怖融资、逃税等违法犯罪行为,维护金融安全的客观需要。

➤关于数字人民币的下一步计划,首先要加强立法,完善顶层制度设计:一是建立信息隔离机制,二是明确数字钱包查询、冻结、扣划的法律条件,三是建立相应的处罚机制,四是完善数字人民币反洗钱、反恐怖融资等法规制度。其次要强化科技应用,提升风险防控能力。特别是在反洗钱、反恐怖融资等方面,需要应用更多的科技手段来提升风险监测和防控水平。

 

数字人民币由人民银行发行,指定运营机构参与运营,兼容基于账户、准账户和基于价值三种方式,以广义账户体系为基础,支持银行账户松耦合功能,与实物人民币1:1兑换,共同构成法定货币体系,具有价值特征和法偿性。

数字人民币支持可控匿名。作为数字人民币的一个重要特征,可控匿名一方面体现了其M0的定位,保障公众合理的匿名交易和个人信息保护的需求;另一方面,这也是防控和打击洗钱、恐怖融资、逃税等违法犯罪行为,维护金融安全的客观需要。

1、数字人民币定位于M0,应满足个人匿名支付需求

第一,数字人民币的设计需要保护个人隐私。

大数据时代,消费者对个人隐私保护日益重视。以移动支付为代表的电子支付比传统现金支付更为便利,但是仍然有消费者选择现金交易,一个重要的原因是现金交易具备匿名性,对消费者的隐私形成天然保护。

数字人民币主要定位于流通中的现金(M0),是零售型央行数字货币,其推出立足于国内支付系统的现代化以及我国电子支付尤其是移动支付的快速发展,以满足公众支付手段多样化需求。

因此,数字人民币的设计应满足个人匿名交易的合理需求,加强对消费者隐私的保护:一是应符合日常小额现金支付的习惯,确保相关支付交易的保密性。二是应明确匿名对象,确保消费者使用数字人民币进行交易时,其个人信息不被商户和其他未经法律授权的第三方获取。三是应加强个人信息的使用和保护,确保运营机构收集的客户基本信息、产生的交易和消费行为信息不会被泄露。

在未来的数字化零售支付体系中,数字人民币和指定运营机构的电子账户资金具有通用性,共同构成现金类支付工具。实物人民币具有其他支付手段不可替代的优势。数字人民币将与实物人民币长期并存,只要存在对实物人民币的需求,人民银行就不会停止实物人民币供应或以行政命令对其进行替换。

第二,数字人民币的“双层运营”体系,有利于保障非经依法授权不得查询、使用个人信息。

数字人民币采用“双层运营”体系,人民银行把数字人民币兑换给运营机构,由运营机构向公众提供兑换流通服务。运营机构收集服务与运营所必需的个人信息,钱包服务产生的个人信息由运营机构收集和存储。人民银行为满足跨机构交易和对账等需要,仅处理经过互联互通平台转接的跨机构交易信息。

同时,数字人民币钱包之间用匿名化的技术处理,所有钱包之间有关个人信息的数据对交易对手方和其他商业机构匿名。对于公众正常的交易和消费,上述主体均无法获取完整的交易信息和消费行为信息,以保护消费者的个人隐私。在正常交易的情况下,任何单位和个人均无权获取相关的交易信息。只有当触发涉嫌可疑交易等法定情况时,有关权力机关才可以依法向运营机构查询、使用用户个人信息,严格将知悉和使用范围控制在法律法规授权内,并采取安全保护措施。

人民银行内部严格遵守《网络安全法》《个人信息保护法》等法律法规,通过先进的技术手段以及严格的管理机制,确保个人信息安全——

技术层面上,采取权限访问控制安全技术措施和多重身份认证技术等业内先进技术手段和其他必要措施保护数据安全,防止数据遭到未经授权访问、披露、使用、修改、损坏或丢失。

管理机制上,内部设置“防火墙”,通过专人管理、业务隔离、分级授权、岗位制衡、内部审计等制度安排,严格落实信息安全及隐私保护管理。数字人民币相关信息将加密封存,所有客户信息进行去标识化处理,非经合法授权,无论人民银行内部人员还是外部的任何单位和个人,均不得随意查询、使用;未经授权查询或使用个人信息的,将依法追究法律责任。

因此,无论是运营机构还是人民银行内部,都将严格按照法律法规的要求,建立个人信息保护制度和内部控制管理机制,履行客户信息保护的管理流程,确保个人信息安全。

第三,数字人民币的钱包矩阵设计遵循“小额匿名、大额依法可溯”的原则。

传统的支付工具,无论是互联网支付还是银行卡支付都与银行账户体系绑定,由于银行开户是实名制,因此无法满足公众匿名开立支付工具的诉求。数字人民币钱包与银行账户的松耦合,减轻了交易环节对金融中介的依赖,从技术上实现小额匿名。

数字人民币钱包通过钱包等级分类、软钱包和硬钱包、母钱包和子钱包等不同维度的设计形成钱包矩阵,遵循“小额匿名、大额依法可溯”的原则,实现线上线下全场景应用,满足用户多主体、多层次、多类别、多形态的差异化需求。

一是数字人民币钱包按照客户身份识别强度分为不同等级的钱包,并赋予各类钱包不同的单笔、单日交易及余额限额。数字人民币的四类钱包仅用手机号就可以开立。根据《网络安全法》《个人信息保护法》等相关法律法规规定,电信运营商不得随意将手机号对应的客户信息披露给包括人民银行在内的第三方。因此,用手机号开立的四类钱包实际处在匿名状态。四类钱包对标小额现钞消费场景,根据人民银行发布的《2021年第二季度支付体系运行总体情况》报告中统计,非现金支付业务下银行卡笔均消费金额为603元,而四类钱包单笔支付限额为2000元,符合公众在日常生活中小额、便民类支付的匿名需求。数字人民币一类、二类、三类钱包为实名钱包,单笔支付限额随着实名强度的增强而提高,一方面满足公众大额支付的需求,另一方面对于大额交易能够有效追踪,防范风险。对比电子账户开立需要收集九要素信息,数字人民币体系收集的客户信息少于传统的支付模式。

二是数字人民币钱包按照载体分为软钱包和硬钱包,在钱包矩阵下四类软钱包和其所属的硬钱包均为匿名钱包,能够满足公众线上和线下小额匿名交易的需求。此外,准账户模式的硬钱包发行时不与使用者身份相关联,充分发挥硬钱包在小额匿名支付领域的积极作用。冬奥期间就推出了数字人民币准账户模式的硬钱包,为相关人员提供服务。

三是数字人民币钱包按照权限归属分为母钱包和子钱包,用户可以在母钱包下开立子钱包并用于电商平台支付,也就是钱包快付产品,保护个人隐私。此前,公众在电商平台购物时,在支付环节需要提供相关的用户支付信息,这种方式会导致电商平台获取所有的个人信息。而数字人民币对于所有用户信息进行去标识化处理,除开通子钱包时用于关联电商平台账号的用户手机号码外,不会向电商平台提供其他用户信息,如银行卡号、银行卡有效期等信息,有效保护公众个人隐私。

第四,数字人民币根据客户意愿仅收集必要个人信息。基于双层运营体系和钱包矩阵的设计,数字人民币遵循自主、透明、最小化原则,根据用户意愿,仅收集与处理目的直接相关的必要个人信息。

首先,用户有权随时关闭相关权限,数字人民币App将立即停止有关个人信息的处理活动,充分保障用户自主管理相关权限。对于用户选择拒绝提供权限的,数字人民币App将严格执行。

其次,数字人民币App没有采用让用户一揽子授权的方式获得相关权限,而是根据具体业务和场景,在合理必要的情况下,在向用户明确告知使用目的后,单独向用户申请有关权限,在取得用户同意后才会获得相应的权限。通过详细列明提供服务所需开启的权限及对应的业务场景,使用户全面了解其需要授权的权限情况。

最后,数字人民币仅获取与处理目的直接相关的必要个人信息。数字人民币App账号仅收集处理必要个人信息,确保注册、登录、密码修改及找回等基本账户功能的实现;运营机构向用户提供数字人民币钱包服务时,同样仅收集必要的身份信息和交易信息,确保数字人民币支付等基本业务功能的实现。

此外,为确保用户财产安全,数字人民币仅收集风险控制所需信息,用以加强用户数字人民币钱包被盗、恶意挂失、网络欺诈等风险识别。总之,数字人民币对用户隐私的保护,在现行电子支付工具中是等级最高的。

2、数字人民币应满足反洗钱、反恐怖融资国际标准及国内法律法规要求

首先,实现风险可控基础上的匿名是国际标准设定组织和各国央行的共识。

“没有约束的自由不是真正的自由”,如果仅仅关注个人隐私保护,对央行数字货币的匿名性不加管控,忽视数字时代下金融产品和服务便利化、规模化、跨地域所带来的风险,央行数字货币将会被违法犯罪所利用,产生严重后果。

为维护金融安全和稳定,各国中央银行、国际组织在探索央行数字货币的匿名性时均将防范风险作为重要前提,对无法满足反洗钱、反恐怖融资及反逃税等要求的设计将被一票否决。

央行数字货币的匿名探索是以风险可控为前提的有限匿名,完全匿名的央行数字货币不存在可行性。国际清算银行总裁Agustín Carstens在《数字货币与货币体系的未来》中明确指出完全匿名的概念不切实际,完全匿名的系统不会存在。绝大多数使用者会接受由一个可信任的机构例如银行或公共服务部门来保管基本信息,保留一定的身份识别对于支付系统的安全、反腐败、反洗钱、反恐怖融资至关重要。便利性和可追溯性之间需要寻求一个平衡。(见Agustín Carstens: Digital currencies and the future of the monetary system, 2021, P7-8)

无独有偶,国际清算银行与欧洲央行、美联储等7家中央银行共同编写和发布的《央行数字货币:基本原则与核心特征》报告同样否决了完全匿名的可能性,报告指出:“虽然有人认为央行数字货币可能带来的主要好处是某种程度的电子支付匿名性,但完全匿名是不合理的。虽然反洗钱和反恐怖融资的要求不是中央银行的核心目标,也不会成为发行央行数字货币的主要动机,但中央银行数字货币的设计应符合这些要求”。(见Bank of Canada, European Central Bank, Bank of Japan, Sveriges Riksbank, Swiss National Bank, Bank of England, Board of Governors Federal Reserve System, Bank for International Settlements Central bank: Digital currencies foundational principles and core features, 2020, P6)

此外,欧央行在《探索中央银行数字货币的匿名性》报告中也深入探讨了隐私保护和防范风险的平衡,并指出“数字化对支付生态系统构成重大挑战,要求电子支付在一定程度的隐私和遵守反洗钱和反恐怖融资法规之间取得平衡,包括在一定程度上为用户的小额交易提供隐私保护,同时确保大额交易遵守反洗钱和反恐怖融资的要求”。这一描述呼应了人民银行副行长范一飞在《关于央行数字货币的几点考虑》一文中率先提出的“为取得平衡,(央行数字货币)必须实现可控匿名”理念。

可以看出,完全匿名从来不在各国央行数字货币的考虑范畴之内,只有在符合反洗钱和反恐怖融资等监管要求前提下的有限匿名才是国际共识。

其次,央行数字货币需要满足相关的反洗钱、反恐怖融资要求。

央行数字货币的匿名探索不能违反反洗钱、反恐怖融资及反逃税等监管规定。金融行动特别工作组(FATF)在其《FATF就所谓稳定币向二十国集团财政部长和中央银行行长报告》(以下简称《FATF报告》)中明确指出:“一旦建立了央行数字货币,与央行数字货币交易的金融机构,包括指定的非金融机构以及虚拟资产提供商,将承担与法定货币或现金相同的反洗钱和反恐怖融资的义务。使用央行数字货币进行的客户交易将遵守与使用法定货币进行电子交易相同的客户尽职调查义务”。(见The Financial Action Task Force: FATF report to the G20 finance ministers and central bank governors on so-called stablecoins, 2020, P27)

此外,FATF还在上述报告中特别针对虚拟货币提到,“未来仍将持续评估和监督虚拟货币及其虚拟资产提供商的反洗钱、反恐怖融资的合规情况,尤其是‘数据转移规则’(travel rule)的遵守情况,该规则要求虚拟资产提供商之间应传输重要的身份识别信息”。(见The Financial Action Task Force: FATF report to the G20 finance ministers and central bank governors on so-called stablecoins, 2020, P21)

为确保相关信息在不同机构间透传,且能够履行相应的反洗钱义务,央行数字货币也应该遵守数据转移规则等相关要求。

国际清算银行虽然承认央行数字货币具有现金替代的作用,也明确要求履行“三反”义务,其《中央银行数字货币》报告指出,“尽管在某些情况下央行数字货币可能会替代现金,但是发行央行数字货币必须确保满足反洗钱和反恐怖融资的要求,以及其他监管和税收方面的要求”。(见Bank for International Settlements: Central bank digital currencies, 2018, P1)

英国央行在《中央银行数字货币机遇、挑战和设计》报告中也持有同样的观点。(见Bank of England: Central bank digital currency: opportunities challenges and design, 2020, P22)

值得关注的是,央行数字货币具备数字化的特征,过分强调与实物货币同等水平的匿名性,将会产生极大的风险。《FATF报告》中提道,“与现金相比,央行数字货币可能带来更大的洗钱和恐怖融资风险。因为央行数字货币可以提供给公众以零售付款或作为账户使用,并且在理论上允许匿名的点对点交易。在这种情况下,央行数字货币能够提供接近现金的流动性和匿名性,又因为使用者不需要随身携带现金,因此较现金更具有便携性。由于央行数字货币会得到其司法管辖区的中央银行的支持,因此有可能被广泛接受和广泛使用。匿名、便携性和广泛使用的结合对于以洗钱和恐怖融资为目的的罪犯和恐怖分子极具吸引力”。(见The Financial Action Task Force: FATF report to the G20 finance ministers and central bank governors on so-called stablecoins, 2020, P26)

这是因为,利用现金进行违法交易的成本很高,大额的现金交易需要产生运输、清点、交付等环节,同时存在盘点错误、损毁、丢失、假币等风险。随着现金交易金额的增加,其成本的增长是非线性的。而在数字化时代,无论交易金额大小,其交易的成本基本相同。可见,现钞不便于携带的特点反而对洗钱和恐怖融资等行为增加了摩擦,所以,对现钞的匿名性的容忍度也相对较高。而央行数字货币便携性更强,如果提供与现钞同样的匿名性,将极大便利洗钱等不法交易行为。因此,央行数字货币不应具有与现钞同等的匿名性。

再次,数字人民币需要防范电信诈骗等风险。

近年来,利用互联网、电信等新形式违法犯罪活动愈演愈烈。数据显示,当前全国范围内从事网络诈骗活动的犯罪嫌疑人达100多万人,每年造成直接经济损失1000多亿元。各类网络赌博案件也层出不穷,2019年各地公安机关侦破网络赌博刑事案件7200余起,查扣冻结涉赌资金逾180亿元。党中央、国务院高度重视打击治理电信网络诈骗犯罪工作,采取专项行动打击电信网络诈骗、网络赌博等违法犯罪活动。在查处的电信网络诈骗、网络赌博等案件中,大部分的涉案资金都是通过虚假开立的银行账户、支付账户等渠道进行转移。

在传统的银行账户体系下,银行为用户开立账户均需要进行实名验证,在业务存续期间还会采取持续的客户尽职调查措施,按照用户的特点或者账户的属性等因素,划分风险等级,定期审核用户基本信息。然而,即便采取了严格的客户尽职调查措施以及持续的尽职调查、交叉验证等风险防控手段,仍然无法避免不法分子利用银行账户进行网络赌博、电信诈骗等犯罪行为。

由此可见,不法分子始终紧盯反洗钱的薄弱环节和漏洞,各种违法犯罪行为不断流向政策洼地。央行数字货币收集的用户信息少于传统银行账户和电子支付,较实物现金又更为便携,如果匿名程度过高,将为不法分子提供新的犯罪土壤,大量的非法交易将从电子支付流入央行数字货币,沦为电信诈骗、网络赌博、洗钱、毒品贩卖甚至恐怖组织犯罪的工具,也将无法满足FATF等国际组织的要求。

所以,数字人民币并不完全适用实物现金流通的监管规则,数字人民币反洗钱体系应按照其业务实质确定应采取的监管措施,遵循“实质监管”原则,在发生利用数字人民币进行电信诈骗等不法活动时,能够协助有权机关挽回损失,守护公众财产安全,维护社会稳定。

最后,明确各主体的“三反”责任,遵循“风险为本”原则。

人民银行高度重视健全数字人民币反洗钱体系,已针对数字人民币建立分工清晰、职责明确的管理监督体系,实现“事前评估、事中监测和事后监督”的闭环管理。

数字人民币业务方案需要经过反洗钱、反恐怖融资职能的独立评估,确保符合FATF等国际标准,以及国内反洗钱、反恐怖融资法律法规的要求,并就评估的潜在风险制定相应的风险缓释措施。

运营机构作为直接面向客户提供数字人民币服务的主体,是数字人民币反洗钱的义务主体,需要全面履行客户尽职调查、大额交易和可疑交易报告等反洗钱和反恐怖融资的核心义务。

根据FATF的相关原则和我国反洗钱要求,在客户尽职调查方面,运营机构和其他商业机构可通过与委托合作机构签订协议的方式,委托合作机构对客户实施尽职调查,而客户尽职调查的最终责任分担问题需要进行相关理论研究。在可疑交易报告方面,由于可疑交易不论所涉资金金额或者资产价值大小,均需要进行监测和识别。因此,对于数字人民币小额匿名交易,为防止不法分子通过批量开立匿名账户,拆分交易,小额高频转入转出等方式逃避监管,运营机构和其他商业机构仍然需要在非实名的情况下进行可疑交易监测和报告。

目前,包括数字人民币在内的一些央行数字货币设计和用途主要是满足国内零售支付需求。而跨境及国际使用相对复杂,涉及反洗钱、客户尽职调查等法律问题,国际上正在深入探讨,人民银行也参与了相关研究。

3、数字人民币的下一步计划

首先,加强立法,完善顶层制度设计。为确保数字人民币可控匿名要求的有效落实,需要在顶层制度设计上作出四项相应安排。

一是建立信息隔离机制。明确运营机构开展数字人民币运营业务的独立性,并通过设立数字人民币客户信息隔离机制和使用限制,规范数字人民币客户信息的使用。数字人民币运营机构需要建立健全客户信息保护内控制度和客户信息保护监测工作机制,只有在可能涉及洗钱、恐怖融资和逃税等违法犯罪交易时,才能申请获取相关客户信息进行风险分析及监测,以履行“三反”义务,确保客户信息在最小化范围内使用。

二是明确数字钱包查询、冻结、扣划的法律条件。只有法律授权的有权机关基于法定事由,才能够查询、冻结、扣划用户数字人民币钱包,否则运营机构有权予以拒绝。

三是建立相应的处罚机制。监管部门可以依职责对违规处理数字人民币客户信息的运营机构采取处罚措施,强化监管。

四是完善数字人民币反洗钱、反恐怖融资等法规制度。结合FATF的相关原则和数字人民币的特点,研究并适时出台数字人民币反洗钱和反恐怖融资等监管规定。

其次,强化科技应用,提升风险防控能力。

新兴技术的应用为传统金融风险管理提供了新的活力和创新点,通过科技手段提升风险管理能力成为趋势。为加强数字人民币风险监控,特别是在反洗钱、反恐怖融资等方面的风险监控,需要应用更多的科技手段来提升风险监测和防控水平。

数字人民币监管将强化监管科技应用实践,积极利用大数据、人工智能、云计算等技术丰富金融监管手段,提升跨行业、跨市场交叉性金融风险的甄别、防范和化解能力。并在客户尽职调查、可疑交易和异常交易监测、监管报送等关键环节进行广泛应用,增强数字人民币风险预防和处置能力。

4、结语

综上,数字人民币作为人民银行发行的法定数字货币,会充分尊重隐私与个人信息保护,并在此基础上做好风险防范,以防止被不法分子利用。数字人民币提供了与电子支付工具同等便携和快捷等特性,但又提供了电子支付工具所不具备的可控匿名设计,一方面可以满足公众对于个人信息保护的需求,另一方面也有助于防范和降低不法分子利用数字人民币进行违法犯罪活动的风险,维护金融安全,达到保护个人隐私和打击犯罪的平衡,符合各国央行和国际组织的共识。需要强调的是,在实物货币依然发行的前提下,公众仍然可获得实物货币所提供的完全匿名性,不会因数字人民币的发行而被剥夺;同时,可控并不意味着控制和支配,而是防控风险和打击犯罪,这是维护公众利益和金融安全的客观需要。总之,数字人民币的可控匿名安排将为公众提供体验更好、更加安全的支付服务起到积极作用。

作者系中国金融四十人论坛(CF40)成员、中国人民银行数字货币研究所所长