近日,央行正式发布《金融分布式账本技术安全规范》(JR/T 0184—2020)金融行业标准。标准规定了金融分布式账本技术的安全体系,包括基础硬件、基础软件、密码算法、节点通信、账本数据、共识协议、智能合约、身份管理、隐私保护、监管支撑、运维要求和治理机制等方面。标准适用于在金融领域从事分布式账本系统建设或服务运营的机构。
《规范》指出,发布并实施本标准有助于金融机构按照合适的安全要求进行系统部署和维护,避免出现安全短板,为分布式账本技术大规模应用提供业务保障能力和信息安全风险约束能力,对产业应用形成良性的促进作用。
明确监管支撑要求,应支持穿透式监管
业内普遍认为,该《规范》可称是国内首个金融区块链标准。值得注意的是,规范明确了监管支撑要求,指出金融分布式账本具有架构去中心、数据多副本、交易点对点、记录不可篡改的特点,与中心化系统有很大差异,不仅需要法律监管规则,也需要技术监管规则,以优化系统设计、保证系统安全、提高监管效率、降低合规成本。
在系统监管方面,应支持监管机构接入,以满足信息审计和披露的要求。应支持监管部门的监管活动,包括但不限于设置监管规则,提取交易记录,按需查询、分析特定业务数据等。应支持监管机构访问最底层数据,实施穿透式监管。在信息管理方面,应支持还原匿名标识中的用户真实身份及相关交易信息,配合交易审查,加强KYC管理。在交易干预方面,应具备限制交易全线、冻结账户等功能,为监管机构提供交易干预的技术手段。
在智能合约监管方面,应能按需将监管要求编码写入智能合约强制执行,并应能根据需要为监管机构提供交易行为统计数据,评价智能合约所提供服务的合规性。
微众银行金融科技首席研究员李斌表示,虽然《金融分布式账本技术安全规范》全文中并无提及“区块链”三个字,但在大部分的语境中,从业者已倾向将区块链和分布式账本理解为同一种技术,这个标准也被视为了金融行业的首个区块链标准。本标准的创新之处还在于,不仅提出了构建金融分布式账本系统所需要关注的硬件类和软件类的安全要求,还对监管、运维、乃至治理机制也做出了详细规定。例如提出了管理委员会、安全管理机构、日常管理团队和应急管理团队的三层治理组织架构,这在区块链相关标准里属于首创,有助于区块链和分布式账本系统及其应用的全面安全可控。
明确分布式账本安全体系框架,隐私采集最小化
值得注意的是,《规范》牵头方为央行数字货币研究所。发布前几日,《中国金融》刊发了署名央行数研所区块链课题组的一篇《区块链技术的发展与管理》文章。课题组成员包括央行数字货币研究所所长穆长春,央行数字货币研究所副所长狄刚等。
该文指出了当前区块链技术存在的主要不足,尤其指出安全方面缺乏体系化安全防护。一是区块链普遍采用国际通用的密码算法、虚拟机、智能合约等核心构件,这些构件并非完全自主可控,增加了受攻击的风险。二是区块链存在内生的安全缺陷,也就是51%攻击问题。三是区块链仍处于早期阶段,在安全方面可能存在未知漏洞。
记者注意到,该规范中相关条例的规定已经为解决上述问题提供了解决思路。尤其是技术监管方面的加强,有助于安全性的提高。具体来看,
《规范》明确,金融分布式账本技术的安全体系,包括基础硬件、基础软件、密码算法、节点通信、账本数据、共识协议、智能合约、身份管理、隐私保护、监管支撑、运维要求和治理机制等方面。在此框架基础上,对每一方面的安全要求进行了细化。例如,在基础硬件方面,对网络、通信传输、硬件加密设备的安全要求均进行了详细说明。
在账本数据方面,《规范》对账本的完整性、一致性、保密性等提出要求。要保证账本数据的生成、传输、存储、调用等操作不可被非授权方式更改或破坏。对账本数据的写入和修改,需经各节点达成共识,当数据分叉时,应存在可用规则进行数据选择。要用密码技术保证账本数据中的敏感数据在传输和存储过程中的保密性。
智能合约方面,要支持非图灵完备智能合约和图灵完备智能合约,要支持执行过程中发生错误时的回滚操作,一旦出现异常,所有执行应当被回撤。智能合约执行应具备一致性,合约在所有金融分布式账本网络节点上的执行结果应完全相同,多个节点同时实现合约时,应保证数据的完整性且数据同步不互相干扰。
值得一提的是,《规范》在隐私保护方面有较为全面的要求。要求信息收集应遵循最小化原则,个人信息收集应仅限于一切与信息收集目的相关且必要的数据。应将隐私信息按照敏感程度分级,并设置对应的隐私保护策略。“分布式账本提供的信息保密性和隐私保护的程度与执行效率方面存在制约关系,相关方应根据具体场景选择不同的方法合计数,制定隐私保护策略,达到满足系统目标的平衡状态”。
《规范》中提及的隐私保护技术包括认证授权、局部广播、零知识证明、同态加密等算法组合。