近日,《金融分散式賬本技術安全規範》(JR/T 0184—2020)金融行業標準,這是國內金融行業首個國家級區塊鏈標準。
《標準》由全國金融標準化技術委員會歸口管理,由中國人民銀行數字貨幣研究所提出並負責起草,中國人民銀行科技司、中國工商銀行、中國農業銀行、中國銀行、中國建設銀行、國家開發銀行等單位共同參與起草。標準經過廣泛徵求意見和論證,並透過了全國金融標準化技術委員會審查。
“在分散式賬本技術形態尚具可塑性階段,有必要制定關鍵技術的安全規範,以便金融機構按照合適的安全要求進行系統部署和維護,避免出現短板,為分散式賬本技術大規模應用提供業務保障能力和資訊保安風險約束能力,對產業應用形成良性的促進作用。”
《標準》的編制,旨在規範分散式賬本技術在金融領域的應用,提升分散式賬本的資訊保安保障能力。《標準》提到,分散式賬本技術是密碼演算法、共識機制、點對點通訊協議、分散式儲存等多種核心技術高度融合形成的一種分散式基礎架構與計算正規化。
《標準》共有17章節,分別包括範圍、規範性引用檔案、術語和定義、縮略語、安全體系框架、基礎硬體、基礎軟體、密碼演算法、節點通訊、賬本資料、共識協議、智慧合約、身份管理、隱私保護、監管支撐、運維要求與治理機制,規定了金融分散式賬本技術的安全體系,並適用於在金融領域從事分散式賬本系統建設或服務運營的機構。
1.“國內金融行業首個區塊鏈標準”
按照ISO術語標準22739中的表述,區塊鏈是使用密碼技術,將共識確認的區塊,按照順序追加形成的分散式賬本。也就是說,區塊鏈是分散式賬本的子集。不過目前兩者基本是指同一樣東西,這個標準基本可以理解成金融聯盟鏈的標準。
近日,由中國人民銀行數字貨幣研究所區塊鏈課題組在《中國金融》釋出的《區塊鏈技術的發展與管理》一文中也指出,區塊鏈是一種新型的分散式資料庫,也稱為分散式賬本。區塊鏈技術利用塊鏈式結構驗證與儲存資料,採用共識演算法生成和更新資料,藉助密碼學保證資料和權屬安全,並透過可程式設計指令碼程式碼實現資料的協同計算。既然在央行看來,分散式賬本和區塊鏈是一回事,那麼《金融分散式賬本技術安全規範》被稱為國內金融行業首個區塊鏈標準,也就理所應當了。
2.“共識協議應滿足可監管性等要求”
在共識協議方面,《標準》要求,應根據業務特點選用適宜的共識協議,包括但不限於工作量證明、權益證明、授權股權證明、拜占庭容錯等,應滿足不同共識協議安全執行所必須的前提要求,且業務激勵規則和技術運維安全上的機制。
具體來看,《標準》要求共識協議滿足合法性、正確性、終局性、一致性、不可偽造性、可用性、健壯性、容錯性、可監管性、低延遲、激勵相容、可拓展性等。其中,可監管性要求單次共識過程和系統執行的整個共識歷史都應可審計、可監管,該歷史應不可被篡改。
3.“身份管理應滿足監管審計要求”
在身份管理方面,《標準》提出,應實現有效的使用者身份管理,主要功能包括身份註冊、身份核實、賬戶管理、憑證生命週期管理、身份鑑別、節點標識管理、身份更新和撤銷等,並應保障身份資訊的安全性,並對身份進行監管審計。
所謂身份,是指涉及自然人及法人等實體的屬性的集合。賬戶是身份的一個屬性集合,分為系統使用者賬戶和應用賬戶。在金融分散式賬本系統中,一個身份可對應多個賬戶。每個賬戶應關聯一個身份標識。《標準》要求,身份序號產生器構應接受監管部門的緊急干預和審計追蹤。
在身份監管方面,《標準》要求,監管資訊應至少包括金融監管資訊,具體為現工作單位/就讀學校、行業型別、居住國家/地區、民族、居民/非居民、出生日期、個人月收入、稅務資訊等監管資料項和反洗錢特色資料項。在審計方面,《標準》要求,應對身份、賬戶、憑證的訪問和更改提供安全審計功能,審計記錄包括訪問的日期、時間、使用者標識、資料等審計相關資訊。
4.“對隱私資訊採取分級保護策略”
《標準》提出,個人資訊收集目的應明確和合法,任何與目的不符合的方式不可採用。資訊收集應遵循最小化原則,個人資訊收集應僅限於一切與資訊收集目的相關且必要的資料。
《標準》要求,應將隱私資訊按照敏感程度進行分級,並設定對應的隱私保護策略。低隱私保護要求類別資訊經過組合、關聯和分析後可能產生高隱私保護要求類別資訊,應根據實際情況採用對應的高隱私保護策略。隱私保護策略包括資訊公開可驗證、資訊加密可驗證以及資訊由交易驗證節點驗證等。
5.“應支援監管機構訪問最底層資料,為監管機構提供交易干預的技術手段”
《標準》指出,金融分散式賬本系統具有架構去中心、資料多副本、交易點對點、記錄不可篡改的特點,與中心化系統有很大差異,不僅需要法律監管規則,也需要技術監管規則,以最佳化系統設計、保證系統安全、提高監管效率、降低合規成本。
在系統監管上,《標準》要求,應支援監管機構接入,以滿足資訊審計和披露的要求;應支援監管部門的監管活動,包括但不限於設定監管規則,提取交易記錄,按需查詢、分析特定業務資料等;應支援監管機構訪問最底層資料,實現穿透式監管。
在資訊管理上,應支援還原匿名標識中使用者的真實身份以及相關交易資訊,配合交易審查,加強KYC(知道你的客戶)管理;在事件處理上,當系統或交易出現問題時,應能主動報警,採取糾正措施,並報送事件資訊;在交易干預上,應具備限制交易許可權、凍結賬戶等功能,為監管機構提供交易干預的技術手段;在智慧合約監管上,應能按需將監管要求編碼寫入智慧合約強制執行,根據需要為監管機構提供交易行為統計資料,評價智慧合約所提供服務的合規性。
全國金融標準化技術委員會官網的公告稱,《金融分散式賬本技術安全規範》由全國金融標準化技術委員會歸口管理,由中國人民銀行數字貨幣研究所提出並負責起草,中國人民銀行科技司、中國工商銀行、中國農業銀行、中國銀行、中國建設銀行、國家開發銀行等單位共同參與起草。《標準》經過廣泛徵求意見和論證,並透過了全國金融標準化技術委員會審查。
6.後記
傳統金融行業的發展存在著諸多業內難以解決的問題,例如增信、稽覈等環節成本高昂,結算環節效率低下,風險控制代價高以及資料安全隱患大等。
區塊鏈則具備的資料可追溯、不可篡改、智慧合約自動執行等技術特點,使其在金融領域有天然的結合能力,有助於緩解金融領域在信任、效率、成本控制、風險管理以及資料安全等方面的問題。
區塊鏈已經成為建設新一代金融基礎設施的關鍵技術之一,目前在金融領域的應用主要以聯盟鏈的方式切入,聚焦於供應鏈金融、支付結算、證券交易和保險等領域的小範圍探索,部分領域在國家政策的支援下已開始小規模商用,深刻影響金融和實體廣業格局,象鏈科技也聯合合作伙伴共同打造“企業供應鏈融+區塊鏈”整體解決方案(詳情可以點選下方相關連結檢視)。
象鏈科技“供應鏈金融+區塊鏈”解決方案主要有以下4個亮點:基於加密資料的交易確權、基於存證的真實性證明、基於共享賬本的信用拆解、基於智慧合約的合約執行。在實際應用中可以極大改善了中小微企業的融資困境,提高了核心企業的運營效率和競爭力,並以更安全的方式拓大了金融機構的業務規模,實現了互利共贏。
