数字人民币的实践与展望——穆长春(中国人民银行数字货币研究所所长)

2022-08-22 10:15

尊敬的沈院士、冯院士、李院士,各位领导、各位嘉宾,女士们、先生们,下午好!

很荣幸今天有机会与各位尊敬的学界、业界的前辈和同仁,与各位关心参与数字人民币事业的朋友们,就数字人民币进行交流。目前,数字人民币试点测试工作正在稳步的推进,相关的讨论也比较多,新闻媒体上有很多报道,还有一些自媒体也有一些阐述。这个过程当中有一些误解,借此机会我给各位解释一下。

比如说有人讲数字人民币不能买黄金、不能买外汇,其实这个说法是不正确的。数字人民币实际上是数字形式的法定货币,与实物人民币1比1兑换,和纸钞和硬币共同构成法币体系,就是说纸钞和硬币能买的东西,数字人民币也都能买,纸钞和硬币都能够兑换黄金和外汇,那么自然而然数字人民币同样也可以。

还有人讲数字人民币侵犯用户隐私,用上了数字人民币每个人都像是装了GPS的一只小蚂蚁,你去了哪里、住在哪里、住了什么酒店、跟谁在一起、点了什么菜、花了多少钱、买了什么东西都记录了一清二楚,政府可以完全掌握。这个说法也是不对的,我想今天重点给各位解释一下。

首先,可控匿名作为数字人民币的重要特征,一方面体现了M0的定位,保障公众合理的匿名交易和个人信息保护的需求。另外一方面也是防控和打击洗钱、恐怖融资、逃税等违法犯罪行为,维护金融安全客观的需要。

数字人民币的设计是主要定位于M0的,应该满足个人匿名支付的需求。数字人民币的设计需要保护个人的隐私,在大数据时代,消费者对于个人隐私的保护日益的重视,以移动支付为代表的电子支付,虽然是比传统的现金更为便利,但是仍然有消费者选择现钞交易,一个重要的原因就是现金交易能够具备完全的匿名性,对于消费者的隐私形成天然的保护。

数字人民币主要定位于流通性的现金,那么就是说是一种数字形态的现金,设计理念应该满足个人匿名交易的合理需求,保护消费者的隐私。

一是能够符合日常小额现金支付的习惯,确保相关支付交易的保密性。

二是应明确匿名对象,确保消费者使用数字人民币进行交易的时候,其个人的信息不被商户和其他未经法律授权的第三方获取。

三是应该加强个人信息的使用和保护,确保运营机构收集的客户基本信息,产生的交易和消费行为信息不会被泄露。

数字人民币的双层运营体系,也有利于保障非经依法授权,不得查询、使用个人信息。数字人民币采用的双层运营体系,实际上就是人民银行把数字人民币兑换给指定的运营机构,就包括今天范行长刚刚宣布的兴业银行也是我们的指定运营机构。由指定运营机构向公众提供兑换和流通的服务,运营机构收集服务与运营所必须的个人信息,钱包所产生的个人信息由运营机构收集和存储。人民银行为满足跨机构交易和对账的需要,仅处理经过互联互通平台转接的跨机构交易信息。

同时,数字人民币钱包之间用匿名化的技术处理,所有钱包之间的有关个人信息数据,对交易对手和其他商业机构匿名。对于公众正常的交易和消费,上述主体都没有办法获取完整的交易信息和消费行为信息。这样的话,就可以保护消费者的个人隐私。

只有当触发涉嫌非法可疑交易情况的时候,有权机关才可以依法向运营机构查询使用用户个人信息,同时将严格将知悉和使用范围控制在法律法规的授权之内,并采取相关的安全保护措施。

人民银行也会严格的遵守《网络安全法》、《个人信息保护法》等法律法规,通过先进的技术手段,以及严格的制度,确保个人信息安全在技术层面上采用权限访问控制安全措施,和多重身份认证等技术手段保护数据安全,防止数据遭到未经授权的访问、披露、使用、修改、损失或者丢失。

在管理机制上内部设置防火墙,通过专人管理、业务隔离、分级授权、岗位制衡、内部审计到制度安排,严格落实信息安全及隐私保护管理。数字人民币的相关信息将加密封存,所有客户信息进行去标识化处理,非经合法授权无论是人民银行内部人员,还是外部的任何单位和个人,均不得随意查询、使用。未经查询或者使用个人信息的,将依法追究其法律责任。

数字人民币的钱包矩阵设计,也遵循小额匿名,大额依法可诉的原则,传统的支付工具无论是互联网支付还是银行卡支付,都是和银行账户紧紧绑定的,由于银行账户是实名制,因此无法满足公众匿名开具支付工具的诉求。

数字人民币和银行账户松耦合的特性,减轻了交易环节对于金融中介的依赖,从技术上可以实现小额匿名。

一是数字人民币钱包按照客户信息识别强度,分为不同等级的钱包。数字人民币的四类钱包,仅用手机号就可以开立。根据《网络安全法》、《个人信息保护法》等相关法律规定,电信运营商不得将手机号所对应的客户信息披露给包括人民银行在内第三方,因此用手机号开立的数字四类钱包,实际上属于匿名状态。

二是数字人民币钱包按照载体分为软钱包和硬钱包,在钱包矩阵下四类软钱包及其所属的硬钱包均为匿名钱包,能够满足公众线上和线下小额匿名交易的需求。此外,准账户模式的硬钱包发行的时候,不和使用者身份相关联,能够充分发挥硬钱包在小额匿名支付领域的作用。

三是数字人民币钱包按照权限归属划分为母钱包和子钱包,用户可以在母钱包下开通子钱包,用于电商平台的支付。数字人民币对所有的用户信息进行去标识化处理,除开通子平台时用于关联电商平台账号的用户手机号码之外,不会向电商平台提供其他信息,比如说银行卡号、银行卡有效期等信息,这样可以有效保护用户的个人隐私。

另外,还要根据客户的意愿仅收集必要的个人信息,基于双层运营体系和钱包矩阵的设计,数字人民币遵循自主、透明、最小化原则,根据用户的意愿,收集与处理目的直接相关的必要个人信息,用户有权随时关闭相关的权限,如果关闭的话,数字人民币APP将立即停止有关个人信息处理活动,充分保障用户自主管理相关权限。对于用户选择拒绝提供权限的,数字人民币APP将严格执行。

数字人民币APP没有采用让用户一揽子授权的方式获得相关的权限,而是根据具体的业务和场景,在合理必要的情况下,在向用户明确告知使用目的以后,单独向用户申请有关权限,在取得用户同意以后才会获得相应的权限。通过详细列明提供服务所需开启的权限,以及对应的业务场景,使用户全面了解其需要受权的权限情况。

数字人民币也仅获取与处理目的直接相关的必要个人信息,数字人民币APP仅收集处理必要的个人信息,确保注册、登录、密码修改,以及找回等基本账户功能的实现。

运营机构向用户提供数字人民币钱包服务的时候,同样仅收集必要的信息,身份信息和交易信息,确保数字人民币等基本业务功能的实现。

此外,为确保用户的财产安全,数字人民币仅收集风险控制所需要的信息,用以加强数字人民币钱包的风险识别,防止被盗、恶意挂失、网络欺诈等风险。

总之,数字人民币对于隐私的保护,在现行的电子支付工具中是等级最高的。

数字人民币也应该满足反洗钱和反恐怖融资国际标准以及国内法律法规的要求,没有约束的自由不是真正的自由,如果仅仅关注个人的隐私保护,忽视数字时代下金融产品和服务的便利化、规模化、跨地域所带来的风险,央行数字人民币将会被违法犯罪所利用,产生严重的后果。

为维护金融安全和稳定,各国中央银行国际组织在探索央行数字货币匿名性的时候,均将防范金融风险作为重要的前提。对于无法满足反洗钱、反恐怖融资的,以及反逃税等要求的设计将被一票否决。

在国际清算银行总裁Carstens,在他自己的《数字货币与货币体系的未来》中明确指出,完全匿名的概念是不切实际的,完全匿名的系统不会存在。

此外,欧央行也在探索中央银行数字人民币匿名性报告指出,数字化对于支付生态系统构成重大挑战,要求电子支付在一定程度的隐私、遵守反洗钱和反恐怖融资法规之间取得平衡。包括在一定程度上,为用户的小额交易提供隐私保护,同时确保大额交易遵守反洗钱和反恐怖融资的要求。这个描述也呼应了范一飞副行长在关于央行数字货币的几点考虑中,所率先提出的未取得平衡,必须实现可控匿名的概念。

可以看出完全匿名从来不在各国央行数字货币的考量范围之内,只有在符合反洗钱和反恐怖融资等监管要求前提下的有限匿名才是国际共识。金融行动特别工作组在它的就所谓稳定币向20国集团财政部长和中央洋行报告中也明确指出,一旦建立了央行数字货币,与央行数字货币交易的金融机构要承担与法定货币、现金相同的反洗钱反恐怖融资的义务,使用央行数字货币进行的客户交易,将遵守与适用法律货币进行电子交易相同的客户尽职调查义务。

报告也提到与现金相比,央行数字货币可能带来更大的反洗钱和恐怖融资的风险,那么匿名、便携性和广泛使用的结合,对于以洗钱和恐怖融资等为目的的罪犯和恐怖分子极具吸引力。

这是因为利用现金进行违法交易的成本比较高,大额的现金交易需要产生运输、清点、交付等环节,同时也存在盘点错误、损毁、丢失、假币等风险。

随着现金交易的金额的增加,其成本的增长是非线性的,而在数字货币时代,无论交易额的大小,其交易的成本基本是一样的,其实这个边际成本是零。可见现钞不便于携带的特点,反而对洗钱和恐怖融资等行为增加了摩擦,对于现钞匿名性的容忍度相对比较高。而央行数字货币便携性更强,如果提供与现钞同样的匿名,将极大地便利洗钱等不法交易行为,因此央行数字货币不应具有与现钞同等的匿名性。

数字人民币也需要防范电信诈骗等风险,近年来利用互联网、电信等新形式的违法犯罪活动愈演愈烈,当前全国范围内从事网络诈骗活动的犯罪分子多达100万多人,每年造成直接经济损失1000多亿元,各类网络赌博案件也层出不穷。

2019年各地公安机关侦破网络赌博刑事案件7200余起,查扣冻结涉赌资金逾180亿元。在传统银行账户体系下,银行为用户开立银行账户,均需要进行实名验证,在业务存续期间还会采取持续的客户尽职调查的措施。然而即便拥有这些风险防控手段,依然无法避免不法分子利用银行账户进行网络赌博、电信诈骗等犯罪行为。

所以央行数字货币收集的用户信息,其实少于传统的银行账户体系和电子支付,比实物现金更为便携。如果匿名程度过高,将为不法分子提供新的犯罪土壤,大量的非法交易将从电子支付流入央行数字货币,沦为电信诈骗、网络赌博、洗钱、毒品贩卖,甚至恐怖组织犯罪的工具,也将无法满足国际组织的要求。

最后,我想谈一下下一步我们的计划。为确保数字人民币可控匿名要求的有效落实,需要在顶层制度设计上做出四项相应安排。

第一个,建立信息隔离机制,明确指定运营机构开展数字人民币运营业务的独立性,并通过设立数字人民币客户信息隔离机制和使用限制,规范数字人民币客户信息的使用。数字人民币运营机构需要建立健全客户信息保护内控制度和客户信息保护监测工作机制,只有在可能涉及洗钱、恐怖融资和逃税等违法犯罪行为时,才能申请获取相关客户信息,进行风险分析和监测,以履行它三反的义务。

第二个,明确数字钱包的查询、冻结、划扣的法律条件,只有法律授权的有权机关,经由法律事由才能查询、冻结、划扣用户数字人民币钱包,否则指定运营机构有权予以拒绝。

第三个,建立相应的处罚机制,监管部门可以依法对违规处理数字人民币客户信息的运营机构,采取处罚措施,强化监管。

第四个,完善数字人民币反洗钱、反恐怖融资等法规制度,结合国际机构的原则和数字人民币的特点,并适时出台数字人民币反洗钱和反恐怖融资等监管规定。

第二个大的方面,需要强化科技应用,提升风险防控能力。数字人民币监管将强化监管科技应用实践,积极利用大数据、人工智能、云计算等技术丰富的金融监管手段,提升跨行业、跨市场交叉性金融风险的甄别防范和化解能力。

总之,数字人民币作为人民银行发行的法定数字货币,会充分尊重隐私与个人信息保护,并在此基础上做好风险防范,以防止不法分子利用。需要强调的是在实物现钞依然发行的情况下,公众仍然可以通过获得实物现钞所提供的完全的匿名性,不会因为数字人民币的发行而被剥夺。

同时,可控并不意味着控制和支配,而是防控风险和打击犯罪,这是维护公共利益和金融安全的客观需求。

数字人民币的可控匿名将为公众提供体验更好、更加安全的支付服务,也为保护公众的隐私起到积极的作用。

以上是我对数字人民币隐私和个人信息保护方面的一些粗浅的看法,欢迎各位批评指正和交流。

最后,预祝本次论坛圆满成功,谢谢大家!