近日，央行正式發布《金融分布式賬本技術安全規范》（JR/T 0184—2020）金融行業標准。標准規定了金融分布式賬本技術的安全體系，包括基礎硬件、基礎軟件、密碼算法、節點通信、賬本數據、共識協議、智能合約、身份管理、隱私保護、監管支撐、運維要求和治理機制等方面。標准適用於在金融領域從事分布式賬本系統建設或服務運營的機構。

《規范》指出，發布並實施本標准有助於金融機構按照合適的安全要求進行系統部署和維護，避免出現安全短板，為分布式賬本技術大規模應用提供業務保障能力和信息安全風險約束能力，對產業應用形成良性的促進作用。

明確監管支撐要求，應支持穿透式監管

業內普遍認為，該《規范》可稱是國內首個金融區塊鏈標准。值得注意的是，規范明確了監管支撐要求，指出金融分布式賬本具有架構去中心、數據多副本、交易點對點、記錄不可篡改的特點，與中心化系統有很大差異，不僅需要法律監管規則，也需要技術監管規則，以優化系統設計、保証系統安全、提高監管效率、降低合規成本。

在系統監管方面，應支持監管機構接入，以滿足信息審計和披露的要求。應支持監管部門的監管活動，包括但不限於設置監管規則，提取交易記錄，按需查詢、分析特定業務數據等。應支持監管機構訪問最底層數據，實施穿透式監管。在信息管理方面，應支持還原匿名標識中的用戶真實身份及相關交易信息，配合交易審查，加強KYC管理。在交易干預方面，應具備限制交易全線、凍結賬戶等功能，為監管機構提供交易干預的技術手段。

在智能合約監管方面，應能按需將監管要求編碼寫入智能合約強制執行，並應能根據需要為監管機構提供交易行為統計數據，評價智能合約所提供服務的合規性。

微眾銀行金融科技首席研究員李斌表示，雖然《金融分布式賬本技術安全規范》全文中並無提及“區塊鏈”三個字，但在大部分的語境中，從業者已傾向將區塊鏈和分布式賬本理解為同一種技術，這個標准也被視為了金融行業的首個區塊鏈標准。本標准的創新之處還在於，不僅提出了構建金融分布式賬本系統所需要關注的硬件類和軟件類的安全要求，還對監管、運維、乃至治理機制也做出了詳細規定。例如提出了管理委員會、安全管理機構、日常管理團隊和應急管理團隊的三層治理組織架構，這在區塊鏈相關標准裡屬於首創，有助於區塊鏈和分布式賬本系統及其應用的全面安全可控。

明確分布式賬本安全體系框架，隱私採集最小化

值得注意的是，《規范》牽頭方為央行數字貨幣研究所。發布前幾日，《中國金融》刊發了署名央行數研所區塊鏈課題組的一篇《區塊鏈技術的發展與管理》文章。課題組成員包括央行數字貨幣研究所所長穆長春，央行數字貨幣研究所副所長狄剛等。

該文指出了當前區塊鏈技術存在的主要不足，尤其指出安全方面缺乏體系化安全防護。一是區塊鏈普遍採用國際通用的密碼算法、虛擬機、智能合約等核心構件，這些構件並非完全自主可控，增加了受攻擊的風險。二是區塊鏈存在內生的安全缺陷，也就是51%攻擊問題。三是區塊鏈仍處於早期階段，在安全方面可能存在未知漏洞。

記者注意到，該規范中相關條例的規定已經為解決上述問題提供了解決思路。尤其是技術監管方面的加強，有助於安全性的提高。具體來看，

《規范》明確，金融分布式賬本技術的安全體系，包括基礎硬件、基礎軟件、密碼算法、節點通信、賬本數據、共識協議、智能合約、身份管理、隱私保護、監管支撐、運維要求和治理機制等方面。在此框架基礎上，對每一方面的安全要求進行了細化。例如，在基礎硬件方面，對網絡、通信傳輸、硬件加密設備的安全要求均進行了詳細說明。

在賬本數據方面，《規范》對賬本的完整性、一致性、保密性等提出要求。要保証賬本數據的生成、傳輸、存儲、調用等操作不可被非授權方式更改或破壞。對賬本數據的寫入和修改，需經各節點達成共識，當數據分叉時，應存在可用規則進行數據選擇。要用密碼技術保証賬本數據中的敏感數據在傳輸和存儲過程中的保密性。

智能合約方面，要支持非圖靈完備智能合約和圖靈完備智能合約，要支持執行過程中發生錯誤時的回滾操作，一旦出現異常，所有執行應當被回撤。智能合約執行應具備一致性，合約在所有金融分布式賬本網絡節點上的執行結果應完全相同，多個節點同時實現合約時，應保証數據的完整性且數據同步不互相干擾。

值得一提的是，《規范》在隱私保護方面有較為全面的要求。要求信息收集應遵循最小化原則，個人信息收集應僅限於一切與信息收集目的相關且必要的數據。應將隱私信息按照敏感程度分級，並設置對應的隱私保護策略。“分布式賬本提供的信息保密性和隱私保護的程度與執行效率方面存在制約關系，相關方應根據具體場景選擇不同的方法合計數，制定隱私保護策略，達到滿足系統目標的平衡狀態”。

《規范》中提及的隱私保護技術包括認証授權、局部廣播、零知識証明、同態加密等算法組合。

分享讓更多人看到