从2018年中本聪正式提出比特币的概念至2019年6月18日Facebook超主权货币-天秤币“Libra”计划的发布,以区块链为底层技术的数字货币在“隐秘的角落”疯长。由于“Libra”的野心挑战了数百年来掌握国家背书的法币发行的央行的“垄断地位”,也触动了各国监管部门的神经,包括美国在内的诸多国家纷纷发出反对和质疑的声音。为了减轻监管压力,2020年4月,Facebook做出了妥协,再次推出锚定单一货币(美元)的Libra 2.0稳定币,并在2020年12月1日更名为Diem。目前,Diem很可能将于2021年下半年开始试点,Diem的首席经济学家克里斯蒂安·卡塔利尼(Christian Catalini)称Diem USD将成为一个数字美元的替代品或者是数字美元发行之前的过渡品。[1]除美国以外,自2020年以来,感受到危险与机遇的全球各国政府都开始加大力度探索和发展央行数字货币(Central Bank Digital Currency, CBDC),以期在顺应全球数字经济与区块链技术高速发展的时代,通过金融创新守住主权货币的“阵地”,同时在新一轮的主权货币全球竞争中占据有利位置。在国际上,根据《全区区块链产业全景与趋势 2020-2021年度报告》,欧盟、美国、日本、英国、新加坡等世界主要经济体国家已经开始实际论证CBDC。发展中国家则相对进展更快,截止2020年7月,包括中国在内的6个发展中国家已经分别实测本国CBDC。[2]早在2014年,我国央行就开始关注并研究数字货币,并逐步意识到数字货币将成为了数字金融和数字资产交易的关键一环。2017年末,经国务院批准,人民银行组织部分实力雄厚的商业银行和有关机构共同开展数字人民币体系(Digital Currency Electronic Payment,DCEP)的研发。[3]我国的法定数字货币即央行数字货币简称为DCEP,虽与国际主流所称CBDC名称不同,但含义基本一致,是中国人民银行发行并由中国人民银行负债的数字化主权货币,其与当前流通的人民币具有同样的法律地位。目前,DCEP已在深圳(2020年10月)、苏州(2020年12月)等地开展封闭试点测试,包括开展双离线支付功能测试。我国DCEP推进工作是由人民银行牵头和组织,多家商业银行、电信运营商、互联网巨头(第三方支付机构)共同参与研发。在央行举行的2021年第一季度金融统计数据新闻发布会上,人民银行宏观审慎管理局局长李斌称,数字人民币试点已扩围至“10+1”。其中,深圳、苏州、雄安、成都四地及北京冬奥会场是第一批“4+1”试点,上海、海南、长沙、西安、青岛、大连是第二批6个试点地区。试点地区目前总体上仍然处于试点测试阶段,什么时候正式推出现在还没有时间表。[4]从前述试点可以看出,我国DCEP的当前仍立足国内支付系统的现代化,跟上数字经济和互联网时代的步伐,提高效能,降低成本,为零售支付系统服务,而DCEP对人民币国际化的影响是有限的。[5]以比特币为代表的数字货币和以中国DCEP为代表的央行数字货币有何种区别?从技术层面而言,二者底层技术都是或可以是基于区块链技术(中国目前并不以区块链技术作为推行DCEP的唯一技术路径[6]),但前者具有典型的去中心化特征,交易信息由全部的参与者共同维护,以达到不可篡改的目的;而后者则相反,强调统一监管和中心化。比特币等去中心化的数字货币在交易上无需中心机构的参与,既可以节约大量成本,也可以达到信息的平等共享,但其弊端也很明显,其价值可能与信用、现实脱节,存在巨大的监管和安全风险,放任自流很可能引发混乱局面。而以DCEP为代表的CBDC,依法由一国中央银行或有关国家机关作为中心机构统一推行和监管,具有强大的稳定性。我国的DCEP以一个中心为基础,采用的是“央行(发行库)-商业银行(银行库)”二元框架模式,即由商业银行向央行交付存款准备金,央行发行库将相应的DCEP发行至商业银行,再由商业银行银行库依据用户的存款和需求提供相应的前端服务。通俗地说,是由商业银行先向央行“批发”后再“零售”给各个用户。二元框架可以利用现有的商业银行体系甚至是第三方支付(如支付宝等)系统,避免十几亿人重新通过央行直接开户的局面出现,不仅可以分散风险、减轻央行压力,也能够更高效地推进和推广DCEP。人民币现金流通相较于网银支付或第三方支付的最大优势之一在于其不记名的特征,从而极难实现现金流通的控制和追溯。CBDC只有具备相当的匿名性,才能够真正地逐步取代纸币。因此,为实现发行与流通的技术保障,我国DCEP在设计中存在“三中心”- 登记中心、认证中心和大数据分析中心。其中,登记中心负责记录发行、转移和回笼全过程的登记;认证中心负责对DCEP用户的身份进行集中管理,这是DCEP保证交易匿名性的关键;DCEP的一个主要问题是要在匿名性和反洗钱和反恐怖融资等监管需求之间做出权衡,大数据中心通过对于支付行为的大数据分析,通过指标监控来达到监管DCEP非法用途的目的。[7] “三中心”一般彼此隔离以确保DCEP的匿名性,但在特殊情况可以打开“防火墙”实现识别和追溯,通过数据分析还原DCEP的交易对手和交易过程。这就是我国DCEP的准匿名性或可控匿名性。在可控匿名性上,笔者认为,DCEP的“可控”无疑会更多地侧重于宏观层面的安全性监管问题,如反洗钱、反恐怖融资、反毒品走私等方面,但“匿名”则表现为对于个体间的民商事交易将做到相当的克制。因此,针对准匿名性,除了寻求一个相对合理的平衡外,相关法律法规还应当对DCEP的数据保护、隐私保护和特定情形下的数据复原进行实体和程序上的严格规定。否则,DCEP将失去其最大的吸引力,从而最终丧失金融创新的动力。依据2013年央行等五部委发布的《关于防范比特币风险的通知》中,以比特币为代表的数字货币“从性质上看,是一种特定的虚拟商品,不具有与货币等同的法律地位,不能且不应作为货币在市场上流通使用。”也就是说,在我国,一般性意义上的数字货币属于虚拟商品而不具有法律意义上的货币属性。尽管以比特币为代表的数字货币与CBDC在技术上具有共同点,但二者发行主体不同,决定了二者在性质上的巨大差异。DCEP法定性源于《中国人民银行法》第十八条第一款的规定,“人民币由中国人民银行统一印制、发行。”2020年10月23日,中国人民银行关于《中国人民银行法(修订草案征求意见稿)》第十九条第二款规定,“人民币包括实物形式和数字形式”,为中国人民银行未来发行DCEP提供了法律依据,同时也强化了DCEP的法定性地位 。CBDC与现行法币等价兑换,与现行法币体系相辅相成,未来可能逐步取代纸币、硬币等传统实体化的货币。非银行主体发行的如公交卡等、以法定货币的信用为基础对法币的电子化如支付宝、网上银行等,以及网络虚拟货币如网游币等电子货币,在兑换和使用场景上存在不同程度的限制,而CBDC不是将已有的电子货币、虚拟货币或数字货币的法定化,而是现金的数字化。[8]依据《中华人民共和国人民币管理条例》第三条的规定,“中华人民共和国的法定货币是人民币。以人民币支付中华人民共和国境内的一切公共的和私人的债务,任何单位和个人不得拒收。” 因此,在中国境内,DCEP作为人民币的数字形式,具有其他任何数字货币、电子货币都无可比拟的普适性。而这种普适性以法律为依托,构成DCEP的法偿性特征,任何主体拒绝流通将面临法律制裁。CBDC属于一国法币,交易受地域限制,一般不具有国际化属性。2021年2月24日,中国人民银行数字货币研究所加入多边央行数字货币桥研究项目(m-CBDC bridge),与泰国、阿联酋、香港等国家和地区的央行共同探讨CBDC在跨境资金调拨、国际贸易结算及外汇交易中应用等问题。可见,我国已经开始探索DCEP在跨境支付中的应用,DCEP为我国如何在美元霸权之下寻求人民币“走出去”战略提供了新契机和新思路。但与此同时,也应当清醒地认识到,DCEP的战略价值是有限的,DCEP所带来的技术上的革新并不会从根本上提升人民币在国际上的竞争力,人民币真正实现“走出去”需要依靠我国改革开放的历史进程,在于国家经济体量以及人民币自身的抗风险能力等。[9]三、我国商业银行等金融机构在DCEP业务下的合规问题
2020年4月14日,G20集团金融稳定委员会(FSB)发布了《解决全球稳定币项目所引起的监管、监督挑战》。尽管FSB提出的十项监管建议的对象是以Libra为代表的稳定币,但也在一定程度上体现出国际社会对于数字货币整体上的监管态度。通过对十项监管建议的分析,监管机构实施全面有效监管的前提是不能“去中心化”。只有在“中心化”的前提下,才可能实现对于CBDC的可控匿名。所谓可控匿名,如前所述,就是要在保护隐私和反洗钱、反恐、反毒品和反跨境赌博之间取得一个平衡,这是任何支付系统都要面临的重要课题。一方面通过匿名性保障隐私,一方面还要对一些活动进行必要的监控。从可控匿名本身来讲,它也并不是一个数学上能够精确定位的点,但是它表达的意思就是在保护隐私和反洗钱反毒品交易中间找到一个平衡点。[10] 目前,除四大行外,邮储银行和中信银行也已参与央行数字货币项目。商业银行作为DCEP“二元模式”下的主体,在开展业务过程中,如何天平两端寻求平衡点,仍存在一些变数。洗钱(Money Laundry),即将“脏钱”洗净,一般是通过大量复杂的交易、转移、转换使非法收入“合法化”,以达到掩盖资金的非法来源,逃避法律制裁的目的。[11]我国已经基本建立了以《刑法》为依托,以《反洗钱法》为中心,以《金融机构反洗钱规定》等规章为辅助的打击洗钱犯罪的体系。在该体系中,银行等金融机构须履行客户身份识别、大额交易和可疑交易报告等反洗钱义务。当前,国内外反洗钱监管日益严厉,打击力度也在日益增加,而伴随着数字货币近年的野蛮生长,其已经成为洗钱犯罪新的载体。因此,反洗钱形势的复杂化对银行等金融机构的反洗钱合规提出了更高的要求。洗钱风险识别是预防洗钱犯罪的“第一道防线”,银行等金融机构需确保从源头防范洗钱行为。主要包括客户尽职调查和记录保存,即“认识你的客户”(Know Your Customer),通过掌握客户基本信息,降低非法资金转移时的隐蔽性;可疑交易报告制度,即金融机构发挥自身优势,对可能涉及犯罪风险进行识别和评估,进而对可疑交易进行报告的制度。[12]由于数字货币(如比特币等)的诞生,给金融机构和反洗钱组织在洗钱风险识别上提出了巨大的挑战。洗钱犯罪分子往往在最初阶段就已经利用数字货币的匿名特性规避了暴露原始身份的风险,在交易源头上就极大地降低了透明度,在数字货币交易过程中,由于其可以越过银行等金融机构进行的一对一的交易,大量交易实际上可能游离于金融体系之外,这都让金融机构和监管部门难以识别可疑交易,无法将千头万绪的交易整合成网络,更遑论形成报告或开展搜证工作。因此,从2020年1月起,欧盟开始强制执行第五号反洗钱令(AMLD5),提出了包括要求加密虚拟货币和法币之间的兑换的交易者及保管人钱包提供者必须依法注册等多项规定,旨在能够更好地识别洗钱犯罪行为人和洗钱犯罪行为。面对匿名化的数字货币对全球反洗钱、反恐怖融资、反毒品犯罪等方面的带来的巨大挑战,各国央行在设计CBDC时便考虑到了安全性监管问题。DCEP作为我国央行数字货币,在对保障其匿名化和反洗钱、反恐怖融资等维护社会安全稳定问题上进行权衡后,最终在“中心化”的基础上,采取了“可控匿名”的策略,兼顾了隐私保护和安全监管。央行作为DCEP的发行方和密钥分发、交易认证主体,其“三中心”不仅能够获取用户信息,掌握发行、转移和回笼全过程,还可以通过大数据中心的分析交易数据。在二元体系下,央行是唯一可以对DCEP交易实施近乎全流程的监控和追溯的主体。因此,在未来,央行可能会在反洗钱事务中发挥更加直接的作用,不排除存在相关国家央行参与联合跨国反洗钱等执法行动的可能。然而,如何把握监管尺度的边界,确保仅在极端特例下才能对用户匿名数据进行监管、复原和整合,需要法律法规进一步予以明确。商业银行等金融机构由于自身无法复原匿名化数据,所以很难独立完成签署洗钱风险识别、可疑交易报告等反洗钱工作。在反洗钱、反恐怖融资合规监管上,商业银行等金融机构应当加强与央行的配合,基于角色分工,构建DCEP体系下的央行主导的新的以反洗钱为代表的监管合规体系。金融行业作为可能影响国家安全、国计民生、公共利益的重要行业,金融领域的关键信息基础设施是社会经济运行的中枢神经,《网络安全法》对银行等金融机构在网络信息安全上提出了很高的要求。银行等金融机构由于其天然的数据基因,掌握着大量的国民经济和客户经营信息,作为数据活动主体在收集、存储、加工、使用、提供、交易、公开数据和用户个人信息的过程中,应依照《民法典》、《个人信息保护法(草案)》、《数据安全法》(自2021年9月1日起施行)的规定,采取必要措施,保障数据和个人信息的有效保护和合法利用,并使其持续处于安全状态。从目前国内数字货币的试点情况来看,DCEP的使用依赖于移动终端和银行手机客户端(如各大银行正在测试中的“数字人民币钱包”)。银行等金融机构参与数字货币业务的过程中,一方面可能掌握用户常规信息如开户信息和账户信息等,另一方面还可能掌握用户DCEP账户的资金进出情况。在技术层面,商业银行无论对DCEP所涉及的私钥,还是DCEP的交易转移方式,都需要警惕黑客入侵、系统漏洞或其他数据泄露问题,以防导致用户对DCEP丧失占有和所有权。[13]在安全性方面,DCEP对银行等金融企业数据安全和数据合规提出了新的要求。在DCEP的“准匿名化”特征,只有央行掌握了DCEP转移交易的全流程,基于每笔资金流动都有唯一的编码,通过编码把此笔交易的输入和上笔交易的输出进行链接,最终层层清晰地记录资金流向。对于银行等金融机构而言,DCEP的转出或转入仅仅是一方向另一方发送了一定数量的DCEP,就像“往大海里放进一条鱼”,再也无法识别“这条鱼”,也无法追踪“它去过哪里或者它最终去了哪里”。因此,相较于央行,银行等金融机构对于客户个人信息的掌握是相对有限的。因此,从目前业务形态来看,DCEP会对商业银行等金融机构的技术设施等涉及数据安全性等方面提出更高的要求,但鉴于银行等金融机构并不掌握具体的交易情况,匿名化处理后的数据也不属于法定的个人信息,[14] DCEP不会对金融机构个人信息收集等方面提出超越常规标准更高的要求。当然,由于银行等金融机构将如何配合央行开展DCEP业务,其角色和分工尚在不断探索和发展之中,不排除会在数据合规方面带来新的变化。法定数字货币CBDC(DCEP)的自身属性决定了它的天然的优越性,其发展在技术上有其必然性。对国家而言,CBDC(DCEP)在金融创新,还是国家战略等方面都具有重大意义。一方面,在推行CBDC(DCEP)的进程中,应当以不损害货币和金融稳定为前提,正如央行行长周小川在2021年3月9日央行记者会上强调的,“数字货币应当慎重推行……若有不慎,有可能给消费者带来很大负面影响,同时也会对金融稳定、货币政策传导产生不可预测的作用。”过于冒进只会与推行央行数字货币的初衷背道而驰。另一方面,对CBDC(DCEP)的监管不能扼杀其属性,在风险管控和金融创新之间划定必要的监管限度。如何在推行CBDC(DCEP)的过程中,在保障个人用户隐私、信息安全与履行反洗钱、反恐怖主义融资、反大规模杀伤性武器扩散融资等“三反”义务之间保持平衡,将成为制度和技术层面研究的重要课题。这不仅涉及法学领域,还涉及到经济学、计算机科学以及安全学等相关学科及交叉学科研究。对于参与CBDC(DCEP)的银行等金融机构而言,应当重视CBDC(DCEP)给合规问题带来的新变化,基于自身角色和分工,以及法律法规的不断更新迭代,及时调整和完善自身合规体系。
注释:
[1]《Diem首席经济学家:Diem稳定币将是美联储发行数字美元前的过渡》,载于《证券日报》公众号,5月29日,https://baijiahao.baidu.com/s?id=1701059901705704245&wfr=spider&for=pc。 [2]火币研究所:《全区区块链产业全景与趋势 2020-2021年度报告》,第37页。[3]参见人民银行数字货币研究所:《网传DC/EP信息为测试内容,并不意味数字人民币正式落地发行》,2020年4月24日,http://shenzhen.pbc.gov.cn/shenzhen/122787/4013185/index.html[4]《行业发布|2021年第一季度金融统计数据新闻发布会》,载于中国银协公众号,2021年4月3日,https://baijiahao.baidu.com/s?id=1696921665649367202&wfr=spider&for=pc[5]参见周小川:在2021年5月22日清华五道口全球金融论坛的演讲,载于经济学家圈公众号。[6]吴桐:《法定数字货币的理论基础与运行机制》,https://www.8btc.com/article/595826[7]参见吴桐:《法定数字货币的理论基础与运行机制》,https://www.8btc.com/article/595826[8]刘少军:《法定数字货币的原理与权义分配研究》,载《中国政法大学学报》2018年第3期,第166页。[9]参见周小川:在2021年5月22日清华五道口全球金融论坛的演讲,载于经济学家圈公众号。 [11]王肃羽等:《洗钱罪法律适用问题探析》,载《金融理论与实践》,2019年第11期。[12]孟刚:《制裁和反洗钱合规风险应对》,中国金融出版社,第165页。 [13]刘向民:《央行发行数字货币的法律问题》,载《中国金融》, 2016年第17期。 [14]《个人信息保护法(草案)》征求意见稿第四条第一款,“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。”
