央行姚前：中国法定数字货币的构建思路

央行姚前：中国法定数字货币的构建思路 | 数字金融12讲

本文节选自其中第5讲《关于央行数字货币的思考》（整理自中国人民银行数字货币研究所所长姚前2016年9月19日的演讲），全文请参见《金融科技的中国时代：数字金融12讲》一书。

如何构建中国法定数字货币？我们借鉴了现有电子和数字货币系统(如E-cash、M-PESA、GDM、游戏币、第三方支付、比特币、BitMint等，它们有的仅是试验系统，但具学术参考价值)的设计理念和应用成效，总结了四方面需要重点考虑的问题。

第一，便捷与安全。便捷性是获得市场认可的一个重要因素，安全性则是整个体系能够健康运行的基础。在权衡便捷性与安全性时，我们需要意识到商业机构可能更偏向便捷性，只要它们的利润可以覆盖安全风险方面的损失，但作为监管方的央行就需要优先强调安全性以防范系统性风险。不过，是否可以因为安全问题就一票否决设计方案？这一点仍需斟酌。

第二，实名与匿名。数字货币可以实行实名制，也可以实行匿名制，还可以两者结合。我国法定数字货币的设计考虑是“前台自愿，后台实名”。在大数据、云计算环境下，交易安全已不完全依赖传统的身份认证体系，通过客户行为分析保障交易安全、规避风险已经成为趋势。因此我的观点是，在宏观或中观上数字货币可以做脱敏的大数据分析，但微观上不可侵犯合法用户的隐私。

第三，简化交易环节。目前运营的电子货币系统主要基于银行账户，用户发送支付指令以后，后台账户就会产生资金划拨，而纯数字货币系统是否可以不与银行账户关联，或者通过其他方式简化清算环节，降低交易成本？这个问题值得思考。

第四，技术的融合与创新。区块链技术是下一代云计算的雏形，受各方瞩目，但成熟的企业级应用案例尚不多见。“私有云+高性能数据库+移动终端”与“私有云+区块链+移动终端”，有可能是两个既相互关联又有区别的思路。让中央更强大，让数据更安全，使终端更智能，让个人的支付行为更能动，一定是未来央行数字货币追求的目标。如果将区块链技术应用于央行数字货币的研发，是否可以对其进行必要的改造？面对大规模交易的速度和效率问题，区块链技术自身如何实现实质性突破？这些都是需要考虑的问题。

还有一些问题，比如在线与离线，曾经是很重要的课题，但由于网络的速度、可靠性、覆盖率等都在大大提升，这个问题的实际意义被弱化了。无处不在的网络使得离线的问题仅具学术研究价值，目前实际运转的较受欢迎的系统大都是在线模式。

虽然上述问题还需要深入思考并加以权衡，但并不妨碍我们对央行数字货币体系的设计原则和核心要素进行探索。

目前的设计原则主要有四点。

第一，管控中心化，技术架构分布式。法定数字货币的币值稳定是其最基本的属性，必须有中心机构来强制约束。中心化管控可以获取货币发行全方位的信息，有利于货币管理。从历史上看，货币刚开始被用于取代物物交换时，是呈非中心化涌现的，然后逐渐过渡到中心化管理，这是一个自然的过程。同样，数字货币时代依然需要中心机构来主导发行，并做好管控。

但任何物理上或技术架构上的中心点都是高价值目标，既是性能瓶颈，也是安全弱点。分布式架构可以提供更高的安全性和整体可用性，尤其是超大型的基础设施，比如互联网自身。

第二，易于携带和快捷支付。现在人们已经习惯了使用移动终端的便捷支付，这是非常好的基础，希望未来离线、在线均可完成便捷支付。

第三，匿名性。我们希望尊重个人的隐私，在系统中达到可控的匿名。

第四，安全性。安全问题怎么强调都不为过，作为中央银行必须审慎考虑技术系统和业务系统的安全性和容灾性。这是上述几条的基础。

抽象来讲，央行数字货币体系的核心要素主要有三点，即“一币，两库，三中心”。

“一币”即由央行负责数字货币的“币”本身的设计要素和数据结构。从表现形态上看，数字货币是央行担保并签名发行的代表具体金额的加密数字串，不是电子货币表示的账户余额，而是携带全量信息的密码货币。这个币的设计一定要把我们前面提到的理想数字货币应具备的特性考虑进来。在2016年科技部的国家重大科研项目中，有关数字资产的数字表达方式的研究是一个很重要的课题。新的货币必须具备全新的品质，以支撑全新的商业应用模式。

“两库”即数字货币发行库和数字货币商业银行库。数字货币发行库指人民银行在央行数字货币私有云上存放央行数字货币发行基金的数据库。数字货币商业银行库指商业银行存放央行数字货币的数据库(金库)，可以在本地，也可以在央行数字货币私有云上。

发行库和银行库的设计让人觉得是对实物货币发行环节的模拟，但设计目标考虑更多的是给数字货币创建一个更为安全的存储与应用执行空间。这个存储空间可以分门别类地保存数字货币，既能防止内部人员非法领取数字货币，也能对抗入侵者的恶意攻击，同时亦可承载一些特殊的应用逻辑，这才是数字金库的概念。极端情况下，比如管理员的密钥被盗取，或者是服务器被攻击、中毒或中断链接，如何启动应急程序，保护或者重新夺回资金，保障业务的连续性，是设计的重点。

“三中心”即认证中心、登记中心和大数据分析中心。具体如下：

认证中心：央行对央行数字货币机构及用户身份信息进行集中管理，它是系统安全的基础组件，也是可控匿名设计的重要环节。我们可能做两到三层的认证体系，针对用户的不同有所区分。举例来讲，金融机构用户、高端用户的认证方式可能会用PKI，低端用户的认证方式可能会用IBC。

PKI（Public KeyInfrastructure,公钥基础设施）体系可以很好地解决密钥管理、密钥修改的问题，但是该体系烦琐复杂，部署成本大。IBC(Identity-Based Cryptography，标识密码算法) 是传统证书体系的发展，2007年国家密码局组织了国家标识密码体系IBC标准规范的编写和评审工作，该算法于2007年12月通过评审，正式获得国家密码管理局的商密算法型号：SM9(商密九号算法)。SM9算法采用具有唯一性的身份标识(如手机号、电子邮件地址、身份证号、银行账号等)作为公钥。IBC算法解决了用户间传递加密信息必须事先获得公钥证书、加解密必须与管理中心在线交互通信的问题，大大降低了管理中心的负担和管理成本。

当然IBC私钥托管要求目前存在合规性问题，据专家说已经有了解决的办法，所以将来我们可能会将PKI和IBC进行融合改进。

登记中心：记录央行数字货币及对应用户身份，完成权属登记；记录流水，完成央行数字货币产生、流通、清点核对及消亡全过程登记。登记中心可能做两套，一套基于区块链，另一套基于传统集中式方式，优先考虑后者，因为我们还不确定区块链技术能否经受得住人民币海量实时交易的冲击。比特币的底层技术就是区块链，它通过加密算法、共识机制、时间戳等技术手段在分布式系统中实现不依赖于单一信用中心的点对点交易、协调与协作，可以为中心化机构普遍存在的数据安全、协同效率、风险控制等问题提供解决方案。

登记中心可谓全新理念的数字化铸币中心，传统的纸币有发行机构的信息，但不会有持有人登记的概念，更不会有流转过程中全生命周期的信息。这是技术进步的结果，当然反过来也会对技术系统提出很高的要求。这种理念的落地，还需要在实践中摸索，不可能一步到位，可以分层分级，有分中心，但它们之间如何高效交互是个需要深入研究的大课题。

大数据分析中心：反洗钱、支付行为分析、监管调控指标分析等。

整体而言，法定数字货币的设计要点包括：第一，遵循传统货币的管理思路，发行和回笼基于现行“中央银行—商业银行”的二元体系来完成。第二，币本身的设计运用密码学理论知识，以安全技术保障数字货币的可流通性、可存储性、可控匿名性、可追踪性、不可伪造性、不可重复交易性与不可抵赖性。第三，货币的产生、流通、清点核对及消亡全过程登记，可参考区块链技术，建立集中/分布相对均衡的簿记登记中心。第四，充分运用可信云计算技术和安全芯片技术来保证数字货币交易过程中的端到端的安全。第五，充分运用大数据分析技术，不仅可以进一步保障交易安全，还可以满足反洗钱等业务需求。第六，数字货币的用户身份认证采用“前台自愿，后台实名”的原则，既保证用户隐私，又规避非法交易的风险。第七，数字货币本身的设计应力求简明高效，数字货币之上的商业应用尽可能交给市场来做，同时把技术标准与应用规范做好。第八，构建由央行、商业银行、第三方机构、消费者参与的完整的均衡有序的数字货币生态体系，保证数字货币的发行、流通、回收全生命周期闭环可控。

姚前，工学博士，教授级高工，中国人民银行科技司副司长、中国人民银行数字货币研究所所长。此前在中国证监会信息统计部、信息中心、中国证券登记结算公司工作多年，2010年底正式调入中国人民银行，曾任中国人民银行征信中心副主任。

扫描上方二维码购买《金融科技的中国时代：数字金融12讲》。该书已在京东、亚马逊等平台上线。