內容較長敬請諒解,可以慢慢看或分幾次看完
一、cbdc中的隱私技術
數字貨幣與電子支付中的隱私模式和技術,究竟指的是什麼?
加拿大銀行的研究已經確定,支付中的隱私技術為公共利益提供了好處(garratt和van oordt,2019)。本文概述了什麼是在中央銀行數字貨幣(cbdc)系統中技術上可行的隱私保護。cbdc中的隱私不僅僅是匿名或完全公開的二元選擇。系統設計人員可以選擇哪些型別的資訊需要保密,對哪些人保密。由於隱私並不是銀行唯一的職權範圍,因此界定隱私需要與外部各方協商。我們在本說明中的做法是:
1. 開發一個評估不同的隱私模式的框架
2. 瞭解制定各種隱私模式的技術工具
3. 提出cbdc隱私設計方法的建議
4. 列出主要的風險和權衡
關鍵資訊
1. 有許多加密技術和操作設計可以做到細粒度的隱私設計,這需要了解關於隱私和披露的詳細要求。
2. 銀行可以設計一個cbdc系統,比商業產品提供的隱私級別更高——但要有權衡。一些需求的組合是不可行的,或許可能導致較高的操作成本和過度的複雜性以及風險。此外,使用者的整體隱私將取決於使用者行為和cbdc生態系統中其他實體的隱私策略等因素。
3. 實現現金類隱私的技術還不成熟。它們的部署有限,都不符合“瞭解你的客戶”(kyc)和反洗錢(aml)規定。它們的風險包括隱藏的漏洞、缺乏可伸縮性和複雜的操作。
4. 維護隱私和遵守法規(後者需要披露資訊)對於cbdc來說是一分為二的。為了防止欺詐,主動披露資訊的必要性使得情況更加複雜。
5. 透過第三方對cbdc架構和操作的審查,可以增強公眾對銀行制定的隱私設計的信任。
(一)系統隱私分析
1. 提供一系列的隱私服務的多樣化支付系統
目前存在或可能用於支付系統的隱私技術種類繁多,從現金、借記卡和信用卡到公共和私有分散式賬本技術(dlts)、集中系統和離線裝置。不同的系統對使用者可用的隱私有顯著的不同。例如,大多數使用者都意識到,廣義上說,使用現金是高度隱私的,而信用卡提供的隱私較少。我們的目標是更精確地分類系統之間的隱私差異性。
2. 分析、比較和定義cbdc系統需求的框架
我們認為一個cbdc系統由持有額度和交易組成,其中‘持有額度’有所有者(o)和餘額(b),‘交易’有付款人(pr)、收款人(pe)和金額(a)。隱私是指持有額度和交易資料對參與實體隱藏的程度。這些實體有很多——付款人的銀行或貨幣服務公司(msb)、收款人的現金服務公司、政府機構、支付提供商和公眾——每個實體對持有和交易的可見度都不同。我們提出了一個框架,其中系統的隱私配置檔案是對每個實體保密的詳細資訊的程度的組合。這個公式允許我們比較不同技術的隱私配置檔案。
我們在表1中總結了以下代表性技術的隱私級別,解決方式分別有:
1). 磁條信用卡
2). emv晶片信用卡
3). 電子轉賬
4). 借記卡
5). 許可dlt
6). 公共dlt(如比特幣)的託管和高階使用
7). 由多個不同分類賬組成的分級分類賬系統
8). 基於裝置的系統,根據kyc規則使用裝置分配給可識別客戶或分配給匿名客戶
9). 現金
基於離線裝置的系統(如puf cash,一種基於物理上不可克隆功能的系統(見calhoun等人,2019)最接近於實現類似現金的隱私。
表:支付技術的隱私配置檔案
注: 分數越高/顏色越黑代表更多隱私性
3. 多個實體和行為的依賴
對於某一實體(如商戶),一個系統可能更為私人化,而對於另一實體(如政府)則不那麼私人化。隱私也可能因使用者的行為而有所不同:例如,透過線上賬戶支付可能會洩露個人資訊。在設計cbdc系統的隱私,我們必須考慮許多微妙的問題:
1). 應該將所有交易例行地披露給政府,還是隻披露部分交易(如設定美元限額)?
2). 執法部門是否應該能夠明確知道個人的財產,即使只是大概知道?
3). 應該對商戶隱藏支付人的身份嗎?
4). 應該向付款人的msb顯示哪些交易細節?
5). 使用者是否可以在某種程度上在kyc規則之外進行交易?
6). 透過使用一個框架來記錄cbdc隱私需求,系統設計者可以確保它們覆蓋所有實體,並使用具有類似隱私配置檔案的系統的設計思想。
(二)隱私技術和設計
1. 採用隱私設計
根據cavoukian(2011)的觀點,從一開始就在系統中設計符合法規的隱私是很重要的。隱私保護設計是一個眾所周知的方法,它要求在整個設計過程中主動地保護隱私。另一種選擇,即先進行功能設計,然後再新增隱私和合規性,會帶來不必要的權衡風險。
2. 組合制定隱私架構以實現理想的設計
隱私設計可以運用構建不同完備度的區塊和權衡:
1). 群簽名
(chaum和van heyst,1991)允許一組實體在進行交易時隱藏其身份,只顯示“群體中有人”進行了交易。
2). 金鑰共享
(shamir,1979)或多重簽名(itakura和nakamura,1983)方案可以保證只有在足夠數量的實體(例如五個中的三個)同意時,敏感資料才會被洩露。
3). 零知識證明
(blum, feldm和micali,1988)可以在不披露資料的情況下驗證有關資料宣告 (例如,他們可以在不披露資料的情況下證明一筆交易的賬戶餘額足夠)。
4). 同態加密
(rivest, adleman和dertouzos,1978)允許對模糊資料進行數學運算(例如,對加密的餘額支付利息)。
5). 多方計算
(yao,1982)允許多個實體安全地將他們的資料提供到一個聯合資料集中,以進行欺詐檢測,同時保持他們的資料相互保密。
6). 差分隱私
(dwork和roth,2014)和匿名化是確保個人身份資訊不能從敏感資料集中提取的技術。對於研究和資料分析等用途,這些資料既安全又私密。
系統設計者可以探索更多未涉及到的潛在應用技術:例如,私有資訊檢索(chor等,1998)和可否認加密(canetti等,1997)。其中大多數都足夠靈活,可以跨各種技術平臺(例如,集中式、dlt和基於裝置)使用,並且可以組合和定製以實現細粒度的cbdc隱私目標。
(三)隱私和監管
1. 商業模式、屬性和平臺的最優組合
瞭解cbdc業務模型、屬性和技術平臺對於選擇正確的構造並適當地將它們組合是至關重要的。
例如,考慮一個由msbs驗證私人交易的系統。如果業務模型宣告msbs是高度可信的,那麼隱私協議可以透過假設驗證者是誠實的來簡化。如果沒有,所選協議必須防止不誠實的驗證者,這將帶來更高的複雜性。如果金額是隱藏的,並且政策規定了一個計息cbdc,那麼所選方案的加密計算必須支援對利息支付。
此外,隱私技術的選擇將取決於所選擇的平臺。典型的驗證系統由生成驗證的驗證者(如終端使用者)和檢查驗證的驗證者(如系統)組成。在dlt系統中,多個節點執行驗證,因此係統設計者需要確保驗證協議是高效的,集中式系統可以容忍較慢的驗證。另一個需要考慮的問題是驗證效率和驗證大小之間的權衡——實現快速驗證生成的演算法通常會導致較大的驗證。這對於受有限儲存限制的基於裝置的解決方案來說可能是一個挑戰。基於裝置的解決方案還必須確保所選方案能夠在分散的cbdc網路連線和有限計算能力的限制下執行。
2. 遵守隱私和技術法規的影響
cbdc系統需要遵守法規(例如kyc和aml),這可以決定隱私的級別和隱私技術的選擇。kyc可能要求實體儲存對個人資料進行適當分類。一般來說,在遵守法規的同時實現高水平的隱私是複雜的。然而,設計師可以建立一個具有混合隱私級別的系統。在這種情況下,不受監管的持有額度和交易(為使用者提供最大的隱私)將被允許在限制範圍內進行(例如,設定最大限額),而受監管的持有和交易則不受限制。
(四)權衡和風險
1. 高水平隱私權衡
一般來說,由於需要保護的資訊較少,較低的隱私級別更容易實現。為了獲得更高的隱私,系統必須將資訊封裝在可靠的控制元件中。這增加了複雜性,也增加了運營成本。它還增加了計算開銷,因此無論dlt還是非dlt平臺,擴充套件到種群大小都是具有挑戰性的或不切實際的。例如,比特幣(nakamoto,2008)是具有完全可見交易的公開dlt。zcash(hopwood et al.,2020)也是一個公共dlt,但具有基於零知識證明的完全私有交易。這些隱私結構非常複雜,不能伸縮,並且需要使用者的計算開銷,比常規交易要慢得多。
2. 新興密碼技術的風險
諸如零知識證明之類的密碼技術還處於起步階段,目前仍處於活躍的研究領域。在更成熟的技術領域中,使用它們所需的技能並不廣泛可用。即使是在私營企業,也很少有系統將這些技術應用於生產。這裡的風險是,它們的技術複雜性和不成熟可能掩蓋漏洞。此外,目前所知的部署還沒有擴大到全國範圍。在這種情況下的風險是存在將這些技術應用於加拿大地區和未來使用的未知技術障礙,如在物聯網端點的微支付。.
二、設計一種普遍可獲得的cbdc
cbdc應該具備與現金類似的通用可訪問功能
通用訪問性是加拿大央行的政策和設計目標。加拿大央行有製造便於獲得的紙幣的歷史[1],加拿大的城市、農村和偏遠地區都可以獲得。現金使用者不需要銀行賬戶或數字網路,也不需要支付費用。央行設計的每一張紙幣都便於包括盲人和部分失明的人使用。我們目前的研究探索瞭如果央行決定發行數字貨幣(cbdc),該如何設計cbdc才能進行普遍使用。
關鍵資訊
1. cbdc應該像現金一樣容易獲得。cbdc是一種數字產品,可以設計成包含現金的許多屬性(例如,易用性、便攜性、離線功能)。使用cbdc應該是一種積極的和具有包容性的體驗——從獲得它,到在交易中使用它,到得到它的支援服務的幫助。
2. cbdc的多種形式可以體現通用訪問的設計原則。央行正在探索cbdc的多種形式,包括傳統的線上和移動技術,以及定製裝置和無裝置解決方案。我們將就這些選項與利益相關者和終端使用者進行廣泛的磋商。
3. cbdc可以透過專用通用訪問裝置(uad)使用。央行正在研究一種可以在安全儲存和傳輸cbdc的同時實現通用訪問的定製裝置潛在概念。該裝置可以結合現金的屬性,並利用專門的技術。這種手段應以低成本製造並由央行發行,以確保最大限度的包容性。
4. uad可能具有智慧手機所沒有的彈性。uad可以嵌入本地安全的價值儲存,獨立於網路,並在本地電源上長期執行。如果存在基礎設施故障,uad可以防止數字交易的中斷。
(一)通用訪問性
1. 包容性最大化
央行試圖設計一個最大限度地提高包容性和可用性的cbdc。它應該能夠為有或沒有智慧手機的人服務。它還應該支援線上和離線交易。cbdc需要為以下人群服務:
1). 全年齡段人群
2). 盲人或者喪失部分視力人群
3). 身體或認知有困難,可能影響他們使用科技的人
4). 低收入或固定收入的人(例如:,使用cbdc必須讓這些人負擔得起)
5). 尚未建立銀行賬戶或信貸的新加拿大人
6). 居住在網路覆蓋有限的偏遠地區的人
7). 網路暫時或長期無法覆蓋時的所有加拿大人
8). 停電期間所有加拿大人
與紙幣一樣,央行將與這些群體廣泛協商,以確保解決方案符合他們的需求。
2. 為所有人服務
cbdc應該為整個加拿大人群設計。在設計階段必須小心,因為小問題可能會變成重大的實現問題。央行承諾採用一種設計方法,力求:
1) 透過廣泛的諮詢瞭解使用者群體
2) 分析他們的具體需求
3) 考慮多種設計選項
4) 開發一個原型用以收集早期反饋和改進
我們認識到好的設計應該使全體人民受益。例如,設計一種服務於部分視力殘疾人群的cbdc,將在較低的光線或能見度的情況下使每個人受益。
(二)數字化現金
1. 附有現金屬性的專用通用訪問裝置(uad)
cbdc是一種數字化產品,可以在設計時包含現金的許多屬性。uad可以體現以下類似現金的屬性:
類現金功能的單一用途設計
適當的大小(即:可將現金或信用卡放在錢包裡)
進行小額交易的效率(例如,父母給孩子午餐錢)
類代幣化的離線儲存和價值交換能力
便於編制預算的視覺和物理特徵
單位成本低
2. uad數字化現金
除了列出的現金屬性外,uad還可以用於線上交易。這將增加那些由於各種原因無法使用信用卡或借記卡而必須支付現金的個人的數字化包容性。uad還可以結合數字技術,增強殘疾人的可訪問性。例如,與存取現金不同, uad附值無需離開家就可以完成。
(三)傳統和定製的裝置
1. 技術選擇
cbdc可以為使用者提供多種技術選擇,包括傳統的線上瀏覽器和移動裝置。傳統裝置已經具備了可訪問性特徵。例如,internet瀏覽器可以配置顯示大字型的文字,而移動裝置允許語音命令和針對能見度有限或色盲的調整。
央行將繼續研究可提高包容性和可獲得性的定製裝置和技術,可選的技術樣式包括單元件裝置、雙元件系統和無裝置解決方案,每一種都可能包括生物識別技術。
2. 單元件裝置
加拿大央行進行了一項探索性設計過程,以開發具有通用訪問功能的概念性單元件裝置。從一個7歲女孩的角色開始,我們確定了各種用例,例如領取津貼、在學校購買午餐和線上購買遊戲。我們建立了一個互動式模擬,它有一個有餘額顯示和轉賬功能的大型平板顯示器,允許在銷售點支付和裝置對裝置支付。輔助功能包括大字型、音訊引導和單手操作。它比信用卡還厚,還能放進錢包。
3. 雙元件系統
我們還探索了雙元件系統。一個概念驗證的uad設計包括一個內建的以電子墨水顯示當前餘額的儲值卡。這種卡可以在銷售點裝置上使用,也可以與智慧手機配對用於線上和點對點交易。卡也可以插入到一個緊湊的外圍裝置,直接在不同卡之間進行點對點轉賬。
4. 無裝置解決方案和第三方設計
單元件和雙元件系統都可以有多種設計選擇,無裝置設計也存在。創新提高了生物識別技術(如指紋和麵部識別)的可用性和安全性。央行的方法是將多個設計原型化,並對其效能進行評估。如果央行能夠監督第三方提供附加的設計,以確保它們符合隱私、安全和通用訪問的標準,那麼可能允許第三方提供附加設計。
(四)彈性和成本
1. 危機中的彈性
uad在危機時期具有很強的韌性。它可以被設計成在本地儲存的價值,使用本地電源在沒有中央網路的情況下執行。裝置可以被設計成僅靠本地電源就可以長期執行,並有可能獲得自然能源(如陽光)。或者,如果電源丟失,資金仍然可以透過嵌入式價值儲存恢復。然而,允許裝置長期離線儲存價值存在一定的安全風險,我們正在研究(minwalla,2020)。
2. 成本最小化
應儘量減少每個uad的成本,以便能夠廣泛分配和根據需要定期更換。如果不附加給個人使用者,uads可以交換其持有的價值,保持裝置的低成本應該使這類交換更容易。這一功能可以進一步支援雙元件系統,這張卡可以交換商品或服務。
(五)可識別和具有加拿大代表性
加拿大紙幣蘊含了信心和驕傲,cbdc也可以做到這一點。紙幣的設計遵循了一套原則,使其具有安全性、功能性、可立即識別性、包容性和易用性。紙幣結合了藝術和技術。它們將可視內容與安全特性和功能需求整合在一起。其結果是美觀的紙幣在加拿大人中具有廣泛的吸引力。uad的設計可以遵循類似的原則,並結合當前紙幣的可視性和安全性元素。這將使加拿大人認識到該裝置是加拿大央行的產品,並充滿信任地採用它。
三、cbdc的安全性
cbdc系統的安全性是維繫公眾信任的基本要素,若把現有的不同cbdc解決方案進行分類,我們圍繞cbdc系統中涉及的安全問題做出全面的分析。
構建和部署中央銀行數字貨幣所涉及的安全問題,安全性是cbdc系統的基本質量,除了確保底層儲存和價值轉移的安全之外,安全性還涉及隱私和彈性方面問題。必須減輕威脅以保護資金的完整性和使用者的機密性,一個安全的cbdc系統將保持公眾對央行的信任。
關鍵資訊
1. 安全必須滲透到cbdc的設計中
如果加拿大銀行選擇釋出一個cbdc,那麼安全性必須從一開始就針對cbdc的所有用例進行設計。透過持續測試、驗證保障措施、遵循最佳的實踐做法及定期對主要系統元件進行外部審計,可確保運作的安全性。
2. 潛在的cbdc設計提供不同級別的安全性
依賴於中心化或分散式設計的解決方案會冒著犧牲保密性的風險最大化完整性和可用性。圍繞嵌入價值儲存的專用裝置構建的解決方案以犧牲完整性為代價消除了系統範圍內的風險。混合解決方案可以最大化可用性,但會增加風險和成本。
3. 有許可的分散式賬本技術(dlt)系統如果作為cbdc解決方案部署,將需要額外的安全保障
公開的dlt不符合cbdc系統的風險配置。私有和有許可的dlt在設計上提供了冗餘和支付真實性(不可抵賴性),但增加了操作複雜性和漏洞。共享賬本更加透明但不那麼保密;分層賬本以犧牲完整性為代價增加了隱私。
4. 本地價值儲存裝置具有極強的彈性
用以在本地儲存價值的專用單一用途裝置對於網路級別的攻擊或自然行為是健壯的。支援離線使用的cbdc“幾乎和現金一樣”(見shah et al. 2020)。但是,裝置確實會帶來完整性風險,可能會被損壞或被盜。專用裝置加上可用的驗證服務是一種可行的cbdc選項。
5. cbdc生態系統一旦部署,將成為高價值目標
cbdc一旦釋出,可能會受到反對加拿大最佳利益的大型組織和國家越來越多的關注。央行必須採取適當的控制和程式,以降低這些高階長期威脅引發的大規模攻擊的風險。
(一)分類
1. 基本原理
安全性建立在機密性、完整性和可用性的概念上。除了這些品質之外,cbdc系統還必須確保央行擁有發行和贖回的唯一權力。cbdc系統將需要利用成熟的網路安全技術和流程建立分層防禦戰略。由於安全性是cbdc的主要屬性,因此對安全性的考慮可能會約束所選cbdc解決方案的屬性和用例。
2. 機密性
機密性意味著財產、交易和身份的隱私。儲存的資訊應該與操作cbdc系統所需的資訊一樣少,機密資訊的洩露大大增加了違約的嚴重程度。瞭解您的客戶(kyc)要求以及反洗錢(aml)和反恐融資(atf)立法(見darbha和arora 2020)可能需要儲存和連線個人身份資訊(pii)以進行價值儲存和交易。
3. 完整性
在所有cbdc用例中,必須加強對偽造和雙花的防護,同時也必須確保所有交易的正確性和最終性。與實物鈔票不同,cbdc系統的核心風險是雙花問題——也就是說,能夠多次消費相同價值。數字簽名可以消除偽造,但是需要額外的複製保護機制來避免雙花問題:這些機制包括在本地價值儲存裝置中的防篡改硬體、在中心分類帳中的組織權威或在分散式分類帳系統中的共識。
4. 可用性
在cbdc環境中,可用性意味著系統抵禦大規模網路攻擊的能力。中斷,如分散式拒絕服務攻擊(ddos)或殭屍網路攻擊,可能會暫時限制或禁用對系統的訪問。標準的網路安全技術可以加強公共終端以及連線系統以減輕此類攻擊的影響。
5. 系統元件
cbdc系統可以向下拆分為便於進行安全性分析的功能子元件。不管是特定cbdc解決方案的性質及其底層的價值儲存,所有cbdc解決方案都將由一個面向使用者的、可互動連線遠端“後端”系統的“前端”元件構成。
前端元件可以是:
1)專用裝置
2)在移動裝置或桌面平臺上執行的軟體應用程式
3)網路介面
4)或者以上內容的結合
5)後端系統可至少包括:
6)安全、私密、有彈性的資料儲存系統
7)用於連線前端元件的一組面向公眾的訪問點
8)支援元件和冗餘元件(例如,防火牆,備份)
透過這種方式拆分cbdc解決方案,中央銀行可以在元件層和解決方案層對cbdc系統進行安全威脅評估。
6. 風險預測
從安全的角度來看,系統風險與價值儲存的位置有關。將價值本地儲存在前端元件上的系統必須專注於保護終端使用者裝置和應用程式免受安全威脅,而將價值遠端儲存的系統必須更多地關注後端系統的安全性。將本地和遠端價值儲存連線到一個統一的cbdc系統混合設計可能最大化可用性,但由於威脅向量置換導致增加了系統風險。
根據值儲存的位置,cbdc的某些屬性會產生互斥。線上支付很容易透過中心化系統實現,而離線交易很容易透過專用裝置實現。交易的隱私性是另一個需要考慮的屬性,因為本地價值儲存裝置可能會嵌入交易歷史記錄。離線支付形式在災難(停電、網路故障)和危機時具有極強的彈性。這些因素和其他考慮描繪了擬議的cbdc系統風險預測。
(二)技術選擇
1. 中心化系統
一個典型的中心化系統是一個用以儲存賬戶和交易的集中式分類賬本,其中賬戶餘額來源於分類賬的當前狀態。這樣的系統可以是基於餘額或價值的,可以建立在中心化、分散式或聯盟基礎設施上。這些賬戶可以是偽匿名的,並且可以轉讓,只要知道一個隱私就足以證明其所有權。
中心化系統的安全配置檔案是成熟和可充分理解的。使用標準的it安全策略,如專用連結、防火牆和白名單,可以減輕威脅。前端元件將連線到需要防止ddos和其他網路攻擊的公共可用終端。
2. 開放的分散式賬本技術
開放的dlt不適合作為cbdc解決方案。開放的dlt的安全狀況不能保證由央行控制貨幣發行或成員的參與。存在可能被有組織的犯罪分子或國家利用(高階長期威脅)來執行大規模攻擊的威脅。這樣的方法包括:
1)控制大部分節點
2)模擬節點來執行惡意操作
3)利用智慧合同中的漏洞(設計、工具和實現)
4)銀行將繼續監測開放dlts,並將其作為一種創新和新出現的風險為在cbdc內使用有許可的dlts提供了資訊。
3. 有許可分散式賬本技術
從安全形度來看,有許可的dlt類似於集中式賬本,並且比開放的dlts更適合cbdc解決方案。無論它們是共享架構還是分層架構,有許可的dlts都將允許中央銀行:
1)控制發行(成員被審查並執行特定角色)
2)基於控制和訪問管理策略的粒度控制參與
3)透過密碼技術、賬本層和私有通道的組合來控制機密性
4)執行不可抵賴性以減輕參與方之間的爭議
有許可的dlts仍容易受到串通、模仿和流氓行為等風險的影響。
此外,節點互連、共識機制和隱私技術仍然容易受到與開放dlt系統相同的威脅。在參與機構中執行的單個節點成為高價值目標,因此每個節點可能需要類似於典型的中心化系統的分層防禦策略。
因此,從基礎設施安全性的角度來看,使用有許可的dlt節省的成本可能微不足道。有限的訪問許可權和強大的治理可以保護節點互連和防止典型dlt攻擊的共識機制。但這需要參與實體之間的協調。
從隱私和商業模式的角度來看,持有額度和交易資料可能被分割給中介機構的分級分類賬系統很有吸引力;然而,分層dlt的部署可能會降低安全性。層與層之間的同步錯誤會導致雙花的風險,因為惡意的參與者可能會利用網路級別的攻擊來中斷分類帳節點之間的通訊。
4. 專用裝置
與中心化系統不同的另一個極端是專用裝置。單一用途的專用cbdc裝置是可移植和安全的,可以在裝置上本地儲存價值、憑證、交易日誌和其他輔助資料。均支援線上和點對點cbdc傳輸,網路訪問是可選的,使得專用裝置在網路連線異常或缺失的危機時刻高度可用。
1)防篡改
裝置通常依賴於防篡改硬體(例如,安全元件、物理不可克隆函式或等效的硬體)來維護cbdc的完整性和機密性。洩露會導致機密性和完整性的損失,因為使用者憑證、資金和交易資料都有被洩露的風險。此外,還必須保護由銀行政策產生的限制(例如交易金額和餘額的限制),因為修改這些限制可能導致cbdc資金的濫用。
文獻方面還不清楚防篡改裝置是否能在長時間離線使用時不被攻破。為了保護cbdc長時間離線執行,可能需要額外的防禦層,形式如下:
(1)本地驗證機制以防止盜竊 (pin、密碼或生物識別)
(2)對餘額、交易數量和交易價值進行嚴格限制,以減輕違約的影響,並強制執行“反洗錢aml”法規
(3)裝置上的分析——或者更實際地說,可信驗證服務的週期同步——以允許識別可疑的交易
(4)持續可用(24/7/365)驗證服務,增強消費者和商家信心
延伸的離線使用,類似於現金的使用,仍然是一個開放的問題,銀行正在積極跟蹤這一研究領域。防篡改硬體加上驗證服務可能是一種可行的cbdc產品。
(2)智慧手機整合
cbdc可以本地儲存在智慧手機上,儘管這種情況下的安全性是出了名的困難。這是因為智慧手機可以執行多個併發應用程式,擁有開放的物理埠,並可以連線到任意網路。因此,在智慧手機上執行任何cbdc價值儲存和支援的應用程式都將面臨複雜的、多因素的威脅。此外,製造商對該平臺實施控制,可以限制對關鍵系統元件的訪問,包括嵌入安全模組(secure enclaves)和使用者身份識別模組卡(sim)。
軟體本身目前不足以在智慧手機環境中保護cbdc資產,儘管在這一領域已經取得了進展。成熟的技術——如同態加密、白盒加密和虛擬安全元件——有望在中長期提高軟體安全性;這些技術能否與市面上現有的防篡改裝置實現相同性,還有待觀察。
5. 混合系統
中心化和分散式系統不能從本質上支援離線交易;後端連結是必要的。將中心化系統與專用裝置相結合的混合設計在滿足許多不同型別終端使用者的需求方面大有希望。一些可以繫結到中心化系統上以實現離線訪問的技術示例包括:
1)側通道
2)雜湊時間鎖合約
3)代幣化機制(chaum 1983; rivest 和 shamir 1997; calhoun et al. 2019)
4)承諾機制(pedersen 1991)
5)簽名機制(schnorr 1989)
這些技術中有許多還沒有在生產環境中測試過。此外,由於系統耦合,威脅會成倍增加。例如,承諾機制中的加密缺陷可能洩露使用者隱私,危及使用者資金。類似地,在代幣化機制中,裝置的漏洞可能使該裝置能夠非法地建立但合法地存放cbdc資金。由於技術組合而產生的安全威脅必須像每種技術各自面臨的威脅一樣被充分了解。
(三)仍在討論中的話題
1. 生物識別技術
生物識別是一種方便的身份驗證機制,可以減少交易期間的摩擦。生物識別技術簡化了身份驗證,可以實現無裝置的cbdc。系統設計者必須小心地將生物識別技術整合到cbdc中。這是因為識別符號一旦洩露就不能更改,惡意實體可能試圖利用生物識別儲存來冒充使用者或進行欺詐。使用生物識別技術是可行的,如果:
1)生物識別被安全儲存在防篡改硬體內,以及
2)與後端系統的互動(存款/取款)依賴於其他身份驗證機制(參見darbha和arora 2020)
2. 雲技術
使用雲技術部署cbdc可以提高可用性。可以動態配置部署在雲中的資料庫和端點,以擴充套件操作負載並最大化全國可用性。然而,必須考慮重要的警告:
1)依賴自定義硬體的cbdc解決方案可能很難或不可能整合到遠端雲平臺。
2)央行需要保證供應商採取適當的預防措施,將cbdc特定資源與其他客戶隔離,以防止資訊洩露。
3)cbdc系統只能在供應商保證敏感資料位於境內的情況下將pii資料儲存在雲端。
3. 大規模攻擊
一個正在運作的cbdc將吸引有組織犯罪集團和有能力發起大規模襲擊的國家的注意。主要的威脅包括:
1)持續或持久的網路攻擊(ddos,殭屍網路)導致關鍵的cbdc服務中斷
2)用於基礎設施和終端使用者裝置元件的供應鏈攻擊
3)用於終端使用者裝置和應用程式的側通道攻擊
針對終端使用者的社會工程攻擊被認為不是主要威脅,但對有組織犯罪來說是一種有吸引力的途徑。雖然不是傳統的攻擊,但虛假資訊的活動可能會使cbdc新技術受到質疑,並可能對銀行在公眾眼中的感知能力產生負面影響。
dlt系統容易受到ddos攻擊,因為每個交易都需要與其他節點進行網路互動。專用裝置也可能受到影響,但程度較輕,因為此類攻擊可能暫時中斷登入服務、取款/存款功能和驗證服務。如果參與者利用現有的殭屍網路,他們可以用最少的時間和資源來協調ddos攻擊。這與向防篡改積體電路注入後門的攻擊形成對比,後者需要專業知識、特定裝置上的受保護資訊和製造過程的訪問許可權。此外,硬體惡意部分可以追溯到一個特定的製造步驟,而在一個精心實施的ddos攻擊中,參與者可以保持看似可信的推諉能力。
即使成功的大規模攻擊不會危及cbdc的完整性,它們也會侵蝕公眾對該系統的信心。因此,cbdc系統需要持續的監測和定期審計,以評估彈性。此外,所選擇的解決方案需要遵循最佳實踐來降低風險,並在出現新漏洞時保持元件狀態更新。
4. 加密敏捷性和量子硬度
加密敏捷性可以定義cbdc的長期執行安全性。隨著支撐cbdc的計算環境和密碼學的發展,以前被認為是萬無一失的演算法將會出現新的缺陷和攻擊。採用加密敏捷的cbdc應該能夠修補或升級底層的原語操作,同時最小化執行停機時間。
從表面上看,中心化和dlt系統在加密方面更加靈活。需要修補的元件更少,而且這些元件具有健壯的連通性。專用裝置對加密敏捷性提出了挑戰,因為如果裝置丟失或遺忘或作為應急儲蓄儲存,可能會在很長一段時間內保持離線狀態。有年份的裝置有望在不損害整個系統的安全保證的情況下進行互操作。管理離線問題的技術解決方案確實存在:例如,使用非充電電池來限制裝置的壽命,或預先程式設計固定的交易數,超出此限額裝置需要重新連線。適當預備加密敏捷性將確保cbdc系統的長期可行性。
隨著量子計算的實用性越來越強,密碼原語的量子硬度將變得越來越重要。現有的加密操作將需要被量子硬度的變體所取代。因此,量子準備(quantum preparedness)是整個加密敏捷計劃的基本元素。
(四)治理
1. 界限
cbdc可以被歸類為關鍵金融基礎設施。因此,它可能必須遵守國家關鍵基礎設施戰略(加拿大公共安全2009),併成為銀行財務管理基礎設施的核心組成部分。儲存和使用敏感資料做分析可能需要遵守《隱私法》。
2. 中央銀行控制
專用cbdc裝置將透過將銀行控制的防篡改硬體合併到通用或自定義格式來實現垂直整合(詳見miedema等人2020)。單一用途裝置的所有元件(硬體、韌體、軟體和加密)都將屬於中央銀行的許可權。當錯誤和攻擊途徑出現時,央行可以直接或透過可信渠道採取果斷行動,以減輕入侵的影響。央行可以在市場上釋出補丁,或者移除或替換有缺陷的產品,就像它目前對紙幣所做的那樣。可視和隱蔽的安全特徵可以整合到裝置中,使篡改變得顯而易見,以此增強公眾信心。
央行可以讓部分裝置或應用程式公開,以促進創新。漏洞獎勵可以用來吸引更大的有道德駭客和學術技術社羣來識別系統中的漏洞。央行可以選擇允許有執照的供應商在發行自己的參考裝置或應用程式之外,也可以發行自己的前端裝置和應用程式,只要存在合適的治理和監管模式,並且能夠保持央行發行的排他性。
3. 合規
為了遵守aml和atf法規,cbdc系統可能需要與其他政府機構共享資訊,包括執法部門。如果合規性引入了後門訪問(例如,“master”金鑰),那麼cbdc解決方案的機密性和完整性可能會受到損害,因為這樣的後門可能會被未授權的參與者破壞。銀行需要探索當局要求的透過正當法律程式以揭露資訊的像執法一樣的解決方案。例如,多個機構可以持有解密金鑰的片段,只有在法院釋出批准後才能釋出。
4. 標準
目前,還不存在cbdc安全性的標準,儘管個別子元件可能受到現有標準約束(例如fips-140 [nist 2001]和防篡改裝置的通用標準),生態系統標準正被積極探索。現有的安全標準,如pci-dss、emv和globalplatform有助於確保當前支付系統的安全。中央銀行可以選擇對cbdc實施類似的標準。鑑於cbdc可以採取的形式多樣化,以及對首選方案的有限共識,短期內不太可能建立標準。銀行可以選擇與政府機構、其他中央銀行和行業聯盟就標準和規章進行協調。
(五)安全性是cdbc的基本質量
安全性必須從一開始就加以設計。分類法旨在對市場上已有的許多cbdc解決方案進行分類和分析,開放dlts仍然不適合cbdc使用。cbdc的完整性是核心風險,必須在所有cbdc用例中進行管理。本地價值儲存解決方案在危機時期提供了極強的彈性,但也帶來了本地完整性風險。混合系統將所有cbdc用例的訪問最大化,同時也在危機期間保留了可用性。可執行的cbdc系統將是犯罪組織和其他國家的首要目標,需要適當的安全措施來最小化風險,以及持續監控威脅。
四、cbdc的採用和使用:來自現場和實驗室實驗的一些見解
綜合過去推出的新型支付方式經驗以及相關研究,分享關於如何成功採用加拿大央行cbdc的見解。
歷史上新支付方法的推出和相關實驗室實驗中對加拿大中央銀行數字貨幣的可能採用和使用的見解。主題:中央銀行研究;數字貨幣和金融科技。
關鍵資訊
1. 成功啟動和維持中央銀行數字貨幣(cbdc)的採用和使用的必要條件是確保cbdc在支付領域有一個明確的利基地位 。
2. 一種可行的方法是將cbdc設計成“增強型現金”,以降低現金的攜帶和處理成本,實現電子轉賬,同時保留現金獨特的理想特徵。
3. cbdc理想的設計特徵包括通用的可訪問性、透明和每筆交易費用低、高度的隱私性和強大的離線功能。
4. 由於網路效應,當且僅當消費者和商戶都從現狀中獲益時,才會持續採用並使用cbdc作為個人對企業(p2b)支付方式。啟用p2p(people-to-person,p2p)功能有助於抓住消費者,促進p2b的使用。
(一)明確的利基很重要
一種新的支付方式,如中央銀行數字貨幣(cbdc)的成功推出、持續採用和使用需要強有力的使用者案例,沒有明顯優勢的新支付方式是不可能成功的。這可以從幾項新的支付方式的成敗中看出。
一個值得注意的成功專案是八達通卡,它是可反覆擦寫和非接觸式儲存的智慧卡,用於在香港的線上或離線系統中進行電子支付。八達通卡於一九九七年九月推出,目的是為該地區的公共交通系統收取車費,現已擴充套件至大多數便利店、超市和快餐店的零售付款。其他常見的八達通支付應用包括停車收費表、停車場、加油站、自動售貨機、公共圖書館和游泳池。八達通卡之所以成功,一個根本原因是它在推出時的獨特利基:與其繁重的“車票”前身相比,非接觸式卡大大加快了車費支付速度,緩解了繁忙城市公共交通系統的瓶頸。
一個值得注意的失敗專案是mondex的儲值卡。上世紀90年代初,mondex在全球範圍內對該卡進行了50多次試用,但收效甚微。最根本的缺陷是,mondex卡與它要取代的實物現金相比,沒有任何明顯的優勢。它的好處包括有可能節省與紙幣和硬幣有關的手續費並使電子商務能夠付款。它還保持了現金的離線交易能力。但mondex被認為在隱私、可信度和潛在成本方面不如現金。mondex聲稱交易是私營的,這一說法引起了爭議。此外,mondex結餘是由私營銀行發行的,對這些餘額的存款保險覆蓋範圍尚不清楚。儘管mondex在試點專案期間為信用卡的使用提供了補貼,但尚不清楚未來將收取哪些費用。
(二)理想的設計特點
1. 有前途的途徑可能是設計cbdc,以模擬現金的理想功能同時提高交易能力
加拿大人有很多支付方式,包括現金、(非接觸式)借記卡和信用卡、interac電子轉賬、移動支付應用程式(如apple pay和google pay)以及線上支付賬戶(如paypal)。銀行賬戶、手機和網際網路接入的普及率非常高。中央銀行提供的電子支付工具可能具有比較優勢。
在加拿大,由於網上購物的擴張、非接觸式支付卡的相對易用性以及為替代支付方式(主要是信用卡)提供的激勵措施越來越多,用於交易的現金份額正在下降。然而,加拿大人在某些情況下仍然看重現金作為一種支付方式,因為它比其他支付方式具有某些獨特的優勢。這些優勢包括:
1) 通用無障礙(每個人都可以使用現金)
2)交易時不收取中介費
3)高度的隱私
4)離線傳輸的能力
一些使用者喜歡現金的優勢,但不能將其用於虛擬(電子)轉賬。旨在模擬現金而不需要實物面對面交易的cbdc可以吸引這些使用者。
在本節,我們將為cbdc這樣的現金系統確定一些用例。我們從上述三種理想的實物現金特徵的數字化中得出這些案例。假設cbdc被商戶接受,我們將分析每種功能如何吸引消費者,反之亦然。
cbdc具有通用的可訪問性,在交易點不收取中介費,可以為頻繁的低價值交易提供透明且相對便宜的數字支付選擇。在加拿大,借記卡和信用卡(特別是非接觸卡)是個人對企業(p2b)交易的有效支付手段。interac e-transfer允許加拿大人透過其銀行賬戶相互轉賬,自2015年以來,在個人對人(p2p)和p2b支付中越來越流行。與私營電子支付方式相比,現金具有更大的可訪問性,每個人無論是否可以訪問網際網路、銀行賬戶或移動裝置都可以使用它。現金對於頻繁的低價值交易也有相對的成本優勢。在交易時,現金支付不涉及中介成本。相反,商戶向收單機構支付手續費,使用借記卡的每筆交易收取固定費用,或者按信用卡銷售額的一定比例收取。對於消費者來說,大多數免費或低收費的銀行賬戶都會給予一定數量的免費交易,但超過免費期限的交易都會支付罰款,為了[l2] 避免這些罰款,對於頻繁的低價值交易,消費者可能更喜歡現金而不是借記卡和內部電子轉賬。小商戶在協商支付服務費時往往沒有什麼議價能力,他們可能更喜歡現金,以避免與信用卡支付相關的費用。
與現金一樣,cbdc也可以設計為具有包容性,這樣使用者就不需要銀行、網際網路接入或電話就可以使用它。例如,中央銀行可以為公眾提供免費的裝置來儲存cbdc。與現金一樣,cbdc也是中央銀行負債,公眾在交易時可以自由使用。中央銀行鑄幣稅收入可以用於支付開發和維護cbdc裝置的成本以及建立cbdc並確保其安全性的成本。
2. 作為一種具有增強隱私功能的電子支付手段,cbdc可能具有潛在的優勢
使用者可能更喜歡支付隱私,以防止其他人不當地使用他們的交易歷史記錄詳細資訊。borgonovo等人的實驗研究(2019)表明人們將隱私視為支付方式的重要特徵。隨著電子支付的使用不斷增加,收集、儲存和分析線上消費者資料的成本繼續下降,人們對隱私的擔憂可能會增加(例如,見hoofnagle,urban and li 2012;garratt and van oordt 2019;kahn 2019)。使用者在付款時可以有更多的選擇來分享(或不分享)資訊。
具有高隱私級別的cbdc對於隱私非常重要的電子交易是有用的。許多隱私保護技術基於密碼學(例如,使用者資料的加密)和操作安排(例如,在沒有串通動機的多個代理之間分配解密金鑰片段)。啟用具有強大隱私控制的交易模式(例如,透過不依賴手機或網際網路的裝置)也可能會有所幫助。但是,使用cbdc進行線上交易或使用任何電子支付方式來複制現金交易所提供的相同級別的隱私,即使不是不可能,也是很困難的。此外,充分保護電子隱私將涉及更廣泛的法律和監管幹預,以限制和限制私營資訊的使用。
3. 支援離線轉賬的cbdc可以補充對停電和斷網敏感的現有支付方式
加拿大大多數現有的信用卡支付都需要網際網路連線來驗證信用卡資訊。當支付系統因停電或網際網路故障而出現故障時,會給消費者帶來不便。對於商戶來說,風險可能更大,因為他們有失去銷售額和客戶的風險。即使可以離線讀取借記卡或信用卡並儲存交易資料,也只有在連線恢復時才能進行實際的卡處理。因此,離線接受信用卡存在風險。具有更強大的離線功能的cbdc可以作為停電和網際網路故障時的備用支付方法。它也可能是某些型別企業的主要支付方式,如食品卡車或戶外農貿市場。
最後,像現金這樣的cbdc支付方式很難並不會取代現有的支付方式。相反,cdbc應該致力於填補支付領域的空白,尤其是在無現金環境發展的情況下。它應該與其他支付方式共存,使支付系統更加健全和高效。
(三)啟動注意事項
1. 由於網路效應,重要的是商戶和消費者都能從切換到cbdc中受益,以實現p2b支付的成功採用和使用
上一節指出了像cbdc這樣的現金可以吸引消費者和商戶的領域,前提是對方願意接受或使用它。支付方式的採用涉及到網路效應。對於消費者來說,如果更多的商戶接受新的支付方式,採用新的支付方式的好處會增加。反之亦然:當更多的消費者使用新的支付方式時,商戶會從中受益。
由於網路效應,一種社會效率更高的支付方式可能沒有機會起飛。arifovic、duffy和jiang(adj,2017)在受控實驗室環境中提供了證據。在他們的研究中,消費者和商戶新的支付方式相對於現有的支付方式,涉及到跨交易成本都較低。但商戶必須支付固定的費用,例如,租用或購買終端,建立和維護一個新的賬戶,他們必須培訓員工使用新系統。切換到新的支付方式是社會最優的,因為它可以最小化總交易成本,但adj(2017)記錄了在採用過程中的強大網路效應。在固定採用成本較高的情況下,如果完全採用新的支付方式,商戶的境況相對於現狀會更差。在這種情況下,商戶的反應是擔心失去生意,一開始接受新的支付方式,但最終隨著時間的推移學會抵制新的支付方式,把經濟拉回到社會效率低下的舊支付方式。在這一過程中,由於支付選擇的不匹配,也會產生較大的效率損失。adj研究的一個教訓是,支付系統的雙方都必須從轉換到cbdc的現狀中獲益,才能實現平穩和持續的採用和使用。
在相關工作中,huynh、nicholls和shcherbakov(2019)研究了2013年支付方式(mop)調查和2015年零售商支付方式成本調查的資料,以研究網路效應在零售支付系統中的作用。它們量化了消費者和商戶之間反饋迴圈的重要性。從這項工作中得到的一個教訓是,由於網路效應的強度取決於它們是來自消費者還是商戶,因此有效地引入cbdc應該考慮對市場各方提供的採納/接受激勵的響應彈性。
2. 使cbdc易於p2p傳輸可能有助於吸引消費者並促進p2b支付的使用
這是一些非常成功的支付系統所遵循的路線,例如瑞典的swish、中國的微信支付以及最近加拿大的interac e-transfer。swish(2012年推出)最初用於個人之間的交易,但很快就開始用於跳蚤市場和其他小型支付活動中,信用卡讀卡器成本太高或不切實際。希望避免信用卡手續費和簡化線上支付的小公司很快也效仿了這一做法。微信是一款中文多功能簡訊、社交媒體和移動支付應用。微信支付是微信中的數字錢包,允許使用者進行移動支付和在聯絡人之間匯款。微信支付的使用在2014年1月開始普及,當時微信推出了一個分發虛擬紅包的功能,虛擬化了中國春節期間朋友和家人交換一包錢的傳統。從那時起,微信支付迅速擴充套件到p2b支付。它已成為中國日常小額交易的主要電子支付方式,已成為日常生活的一部分。在加拿大,interac e-transfer遵循了類似的路線:它最初打算用於p2p傳輸,但也擴充套件到p2b交易(interac e-transfer將在下面進一步討論)。
引入一種專門針對p2b支付的新支付方法可能更具挑戰性,因為它需要市場消費者和商戶雙方的協調。一種方法是將cbdc設計成一種通用的、相對便宜且簡單的p2p支付方式,以獲取消費者群,從而為擴充套件到p2b支付奠定基礎。
3. 為了減輕私營數字貨幣對採用cbdc的威脅,政府有利於加元的交易政策可能會有所幫助
除了以本國貨幣計價的支付方式的創新外,還對比特幣等新的私營數字貨幣進行了許多試驗。比特幣的交易使用率很低,受到其價值劇烈波動的阻礙。根據加拿大銀行2018年比特幣綜合調查(henry等人。2019年),儘管公眾對加密貨幣認知度很高(89%),但只有5%的加拿大人擁有比特幣,4%的加拿大人在上一年使用比特幣從企業進行購買。libra計劃作為一種數字貨幣,由金融資產支援,以實現國內和跨境資金轉移,可能實現比比特幣更穩定的價值,併為cbdc帶來更多競爭。
在這種情況下,政府可以採取一些行動來減輕來自私營貨幣的威脅。jiang和zhang(2018)在實驗室中研究兩種貨幣之間的競爭,目標人群選擇是否接受本國貨幣和外國貨幣。他們的研究表明,如果沒有匯率風險和政府幹預,這兩種貨幣都很容易被接受。然而,有利於政府貨幣的政策將大大降低外國貨幣的廣泛可接受性。這項研究的一個教訓是,為了減輕libra等私營數字貨幣的威脅,有利於加元的交易政策(例如,規定稅收和政府服務必須以加元支付)可能會有所幫助。
(四)不斷髮展的零售支付格局中的cbdc
鑑於零售支付領域的新發展,cbdc的利基定位對於其成功採用和使用更為重要
在加拿大,公共部門正在採取各種新舉措來加強零售支付領域的競爭。其中一個值得注意的專案是實時軌道(rtr),一個快速處理小額支付的新平臺。rtr將由“加拿大支付”運營,並將向新的支付服務提供商(psp)開放。透過rtr進入新的psp可以促進創新和競爭,併為終端使用者提供更便宜和更方便的支付服務。另一方面,非接觸式卡等電子支付技術的新發展加快了每筆交易的處理時間,有效降低了卡支付的每筆交易成本。因此,這些非接觸式卡的小額交易也逐漸取代現金交易。近年來,內部電子轉賬也經歷了快速增長,因為一些銀行已經開始使用個人支票賬戶提供無限制的免費電子轉賬交易,而自動存款和請求付款等電子轉賬功能也使之成為可能更方便消費者和商戶使用。
為了得到持續的採用和使用,cbdc的設計不僅要跟上私營電子支付方式的發展,而且要在某些方面更出類拔萃。鑑於零售支付的新發展,就成本和易用性而言,cbdc要比私營電子支付手段更好是更難做到的。因此,cbdc的利基在於實物現金相對於常規(基於賬戶)私營電子支付方式的獨特、理想的特點:
1. 通用性
2. 透明性
3. 較低的每筆交易費用
4. 高度的隱私性
5. 強大的離線能力
可以想象的是,隨著時間的推移,競爭將促使私營psp沿著這些維度改進。但是追求這些目標可能不會產生足夠的利潤,無法成為私營psp的首要任務。加拿大銀行的任務是為加拿大人的經濟福祉做出貢獻(如《加拿大銀行法》所定義),它可以為公眾提供一種獨特的支付手段,這種支付方式提供私營部門可能無法提供的功能。
五、中央銀行數字貨幣對銀行存款的潛在影響
發行cbdc對商業銀行的資金流動性和盈利能力會產生潛在的短期影響。只要採用合理的設計方案,系統重要性銀行能很好地抵抗這種短期負面影響。
理論上,以加元計價的零售cbdc可能會和銀行存款產生競爭。我們利用2018年和2019年的監管資料,分析存款競爭加劇對加拿大六大銀行收入和流動性的潛在影響。
主題: 數字貨幣和金融科技; 金融機構;金融穩定
(一)簡介
消費者可以以現金形式或商業銀行存款形式持有資金。現金和銀行存款都可以作為一種支付方式和價值儲存手段。基於這種意義,對於消費者來說,現金與銀行存款存在“競爭”。
我們預計央行數字貨幣(cbdc)將與銀行存款形成競爭。即使cbdc的設計目的不是為了製造競爭(例如限制交易規模或不賺取利息),但這種情況可能會真實存在。這種競爭將加劇,因為cbdc是一種可以像現金一樣用作價值儲存手段和交易支付手段的新型安全資產。
對銀行來說,銀行存款是一種相對廉價和穩定的資金來源。對存款的競爭加劇,可能會促使銀行考慮其它資金來源。淨收入和流動性(淨現金流入)可能會減少,而為了反映新常態,商業模式可能會隨著時間而改變。在其他條件不變的情況下,這些變化可能會透過縮短資金到期日和降低銀行內部產生資本的能力而影響金融穩定。
為了研究這種可能性,我們利用2018年和2019年(covid-19之前)的監管資料進行了敏感性分析,以評估引入cbdc會如何因競爭加劇而影響淨收入和流動性。我們發現,加拿大最大的6家銀行可能會吸收對淨收入和流動性的潛在衝擊,但盈利能力會出現暫時的下降。
為了進行分析,我們考慮了採用cbdc的三種假設場景,並假設cbdc被設計為具有與現金類似的特性。使用這些採用場景,我們分析為增加資金成本將影響盈利能力,以及資金穩定性降低(短期資金)將影響資金流動性。
為了分離對收入和流動性的具體影響,我們做以下假設:
1. 銀行維持他們的貸款或費用收入。
2. 銀行維持他們的商業模式。
3. 銀行可以用其他資金來源取代存款資金。
4. 資金成本對存款需求並不敏感。
(二)cbdc將與零售銀行存款展開競爭
作為一種應急措施,加拿大銀行正在創造發行類似現金的零售cbdc(加拿大銀行2020)的能力。cbdc將以加元計價,不賺取利息,面向零售客戶(個人和小企業)。
cbdc的採用將取決於設計,銀行部門如何應對cbdc的競爭,消費者如何反應,以及隨著新技術的引入金融系統如何演變。在目前的設計假設下,存款中對引入cbdc最敏感的似乎是以加元計價的零售存款(如支票存款)。
以加元計價的支票存款約佔銀行總資產的5%(圖1)。為了考慮潛在的溢位效應,我們還考量了一些備選方案,其中包括可能對cbdc敏感的非支票零售存款(儲蓄),假設銀行客戶將其用作價值儲存手段。支票存款和儲蓄賬戶存款規模略高於銀行總資產的10%。
圖:對cbdc敏感的零售存款佔銀行資產的5%- 10%
(三)採用比率決定面臨風險的存款量
為了探索cbdc對銀行資金的可能影響,我們考慮了使用三個層面的場景,包括當前對紙幣的需求,個人銀行存款的餘額和可比的支付方法(表1),探索對銀行的潛在影響,但這不意味著對採用的預測。
表:基於現金和存款餘額的採用場景(截至2019年4月)
**複合年增長率來源:《主要支付重點》,《加拿大支付2019年預測報告》,國際科技戰略(tsi)
***鳴謝內容來源: 中鈔區塊鏈技術研究院,如有侵權聯絡刪除
