作者:邓建鹏,中央财经大学法学院教授,金融技术法律研究中心联席主任
本文是作者授权发表巴比特信息网。应注明转载来源。
2019年11月,**中央政治局第十四次集体学习肯定了区块链技术集成应用在新技术创新和产业转中的重要作用,区块链技术提升到国家战略层面,为区块链产业的发展指明了方向。区块链在带来诸多便利的同时,也存在诸多风险。为此,正如***总书记在这次集体学习中强调的,“要加强区块链技术的指导和规范,加强区块链风险的研究分析,密切跟踪发展趋势,积极探索发展规律。有必要探索建立与区块链技术机制相适应的安全体系。”
区块链技术在未来的应用将非常广泛。除了在加密货币和金融领域的中心化应用外,目前正在开发以智能合约为代表的其他金融领域的应用,如跨境支付、期权证书或数字资产代币。未来区块链应用将逐步向非金融领域拓展,如区块链+教育、养老、**扶贫、医疗卫生、社保等,目前区块链技术的应用正处于第二阶段到第三阶段的过渡期,尤其是在金融领域字段。然而,区块链+金融存在着许多不可忽视的巨大风险。因此,本文主要探讨了金融领域区块链应用层和技术层面存在的安全风险,为投资者和中国监管部门提出了新的思路。
1、 区块链金融立法与监管概述
区块链技术基于密码学原理,最初用于数字货币的发行。目前,它已经受到许多国家的重视。瑞士制定了区块链国家战略计划,计划将数字货币监管纳入金融监管体系。美国国会提议要求Facebook发布以区块链为基础技术的稳定币,Libra必须满足**的金融监管要求,并计划推出2020年的加密货币法案。迫于监管压力,Facebook不得不在2020年上半年发布libra2.0白皮书,大幅调整了最初的想法,并准备发行一种合规的稳定币。2017年,中国全面禁止ICO融资,严防区块链金融风险,着力将区块链技术提升到国家战略层面,使区块链技术能够监督科技,引导区块链技术与实体经济相结合。2019年11月,工业和信息化部表示,将推动成立全国区块链和分布式会计技术标准化委员会,系统推进标准制定工作。2020年2月,央行发布《金融分布式账本技术安全规范》,推动形成区块链技术金融合规统一标准。2020年上半年,中国工商银行还发布了可信、规范的区块链金融指引,受到业界的高度关注。可以看出,一些主要国家在监管或立法层面都非常重视区块链金融领域。
2、 应用层区块链金融的风险类
首先是智能合约的风险。目前区块链的应用主要中心化在金融领域,存在巨大的安全风险。区块链技术是不可伪造的。与区块链金融密切相关的智能合约可以高效地支付和发送加密资产,并且可以在没有第三方监督的情况下自动执行。然而,智能合约虽然具有图灵完备的特征,但仍然存在安全漏洞。
一些黑客热衷于发现智能合约中的漏洞,并攻击它们来窃取交易员代币。一些“创客”在短时间内进行巨额交易,操纵数字资产价格,给区块链数字资产的交易所和交易者带来巨大损失。例如,2016年6月,黑客利用智能合约的漏洞攻击价值1亿美元的thedao,导致非法提取300多万以太。目前,智能合约已成为区块链金融应用领域的“重灾区”特别是在所谓的“去中心化金融”(DEI)领域,黑客近年来甚至频繁使用智能合约代码漏洞。
二是区块链数字资产交易平台的风险。大量海外虚拟交易平台存在不同程度的系统漏洞,大量数字资产被盗。网络服务器和数字资产交易后台数据库构成信息系统。交易员通过个人电脑、移动应用程序或API访问交易所服务器。交易员在访问exchange服务器时,可能存在配置不当或软件漏洞,或遭受DDoS拒绝服务攻击,导致交易服务中断,给投资者造成巨大损失。大多数交易所的一些数字资产通常存储在在线钱包中,以方便客户及时提取现金。这些在线数字资产经常被许多黑客觊觎。这对在线钱包技术的接入和安全技术标准提出了很高的要求。一旦客户端设备出现异常,如黑客突破网络安全系统、窃取数字资产等,其财产将面临损失风险。例如,2017年4月,韩国比特币交易平台yapizon宣布价值500万美元的比特币被盗。2018年4月,黑客成功利用智能合约代码中的漏洞,导致数亿BEC代币被盗。据统计,2011年至2019年,区块链网络安全漏洞造成的损失达84亿美元,其中交易所占50%。据不完全统计,仅2019年,数字资产损失就超过50亿美元。
第三是区块链数字资产的钱包风险。涉及数字资产转移和存储的第三方数字钱包(包括软件钱包和硬件钱包)本质上类似于银行的ATM机。但是,银行的硬件设施有很高的统一安全标准,这种钱包目前缺乏全球统一的安全技术标准。钱包的公钥和私钥的控制没有统一的标准。一些私钥管理机制不完善,容易成为黑客攻击的目标。一些软件钱包项目方可能控制合法持有人的数字资产私钥,存在**或转移的潜在安全风险。
**,区块链金融作为近几年的新生事物,在应用层存在着诸多法律风险和监管政策风险。
目前,区块链金融领域的法律规制还很不完善,对于区块链应用中存在的法律问题争论不休。例如,数字资产被盗就引发了相应的法律问题。数字资产被盗或拒付后,原持有人能否得到司法救济?法律是否保护数字资产的财产属性?或者比特币是受法律保护的虚拟财产?近年来,中国金融监管机构相继出台文件,禁止国内数字资产交易和代币发行融资。因此,国内学术界、监管机构和司法机构对代币的保护存在很大争议,也没有统一的答案。同时,在实践中,数字资产交易是匿名的,可以通过连续分割、多次转让等方式转移资产。在运用司法手段进行救助时,这些复杂的技术往往给公安机关追查赃物造成很大困难。特别是自2020年8月以来,DeFi激起了众多匿名开发者和后续投资者的热情。这种去中心化融资具有典的反审查特征,例如,项目发起人和技术开发者大多是匿名人士。项目对应的代币放到交易所后,一旦发现代码漏洞,代币价格将立即归零,但没有人为此承担任何法律责任。一些项目发起人以事先匿名为掩护,转移银幕套的主流货币,导致项目发行代币价格大幅下跌,部分投资者赔钱。这些问题没有明确的法律答案。再比如,一些犯罪分子通过区块链在海外洗钱或转移资产,可能会对国内金融市场的安全造成负面影响。
区块链技术的优势之一是去中心化,这给传统的中心化式金融监管带来了巨大挑战。目前,我国金融监管是围绕“一行两会”进行的,这与区块链去中心化的特点相矛盾。如果用目前的监管思路和模式来规范区块链的应用,将会事半功倍。此外,区块链应用监管存在跨行业、跨领域的问题。区块链作为一种加密技术,本身具有很强的独特性和专业性。这意味着区块链金融的监管不仅要有相应的法律规范,还要有配套的专业技术规范。2020年2月,中国人民银行发布了《金融分布式账本安全技术规范》,为区块链金融合规监管提供了技术标准和技术指导。它还明确指出,“金融分布式账本系统具有去中心化结构、数据多拷贝、点对点交易、记录不可伪造等特点,与中心化系统有较大区别。”
此外,区块链技术在非金融领域的应用也Convex显了隐私和数据风险的存在。在公私机构的数据开发中应用区块链,如区块链在医疗数据确认和交易中的应用,将涉及到患者个人信息保护等关键问题。技术设置不完善,如未及时对链上信息进行加密、设置授权访问机制等,可能导致医疗隐私信息泄露的风险。区块链上的信息不易删除和修改,可信度高。区块链+产权确认或防伪溯源的应用价值巨大。然而,区块链并不能保证链外信息的真实性。区块链应用于防伪溯源系统时,会遇到信息真实性验证等复杂问题,才会被放到链上。个人可以通过公链条传播一些非法信息或者国家控制的信息,侵犯他人名誉,甚至危及国家秘密安全。
与此同时,隐私泄露问题也越来越严重。与传统的中心化存储相比,区块链不依赖中心节点来存储数据,从而有效防止了中心节点瘫痪造成的数据泄露风险。但在公链系统中,所有的记录都是公开透明的,任何参与者都可以查询到链上的数据,这意味着数据泄露的风险加大。换句话说,链中任何参与者的数据都可以完全备份。即使使用匿名手段,攻击者也可以通过反复攻击网络层、事务层和应用层,准确地找到信息的发送者和接收者。
3、 区块链金融技术层风险类
区块链应用于金融领域时,其技术层面的安全风险主要是区块链底层技术的风险,其风险主要包括算法安全风险、网络安全风险和协议安全风险。
从算法安全的角度来看,区块链非对称加密算法目前相对安全,但随着量子计算机等技术的快速发展,现有的加密方法在量子技术面前可能会失败。未来,如果加密算法被破解,区块链的数据安全和数字资产安全不容忽视。例如,如果区块链上保护个人信息的加密算法被破解,就会引发个人信息泄露等问题。在比较严重的情况下,解密人员利用个人信息进行网络诈骗、敲诈、**等犯罪活动,将带来严重的负面影响。这就需要区块链项目的研发人员在反量子计算方面下功夫。在未来十年量子计算机可能正式商业化之前,区块链系统应及时升级,提前巩固算法安全性。
此外,区块链还存在网络系统安全风险。区块链技术尚处于起步阶段,自身网络安全存在诸多风险,尤其是在智能合约代码的编制上,在实践中会出现各种漏洞。此外,区块链初始软件也容易出现漏洞,可能使整个网络系统运行异常或瘫痪。
第三,区块链协议的安全风险可分为分叉和51%算力攻击。分岔是指将一个区块链分成两个以上的区块链。不一致的共识机制是产生分歧的主要原因,即区块链的节点在运行过程中有不同的底层协议,部分节点同意协议进入区块链,不同意的节点会分叉进入另一个区块链。分岔会影响整个系统的统一性。每一个区块链的初始算力可能会因为分岔而大大降低,而其稳定性则不是这样。在此之前,它很可能很容易受到攻击。51%算力攻击是指攻击者利用其算力的比较优势(占整个网络算力的51%或以上)篡改区块链上的当前和后续数据。一旦算力攻击完成,将给区块链系统带来毁灭性打击,影响公众对区块链的共识和“信念”攻击者控制整个区块链系统,践踏大多数人的合法权益。因此,区块链技术只有防范区块链信息保护和数据泄露的风险,并运用密码学等基础技术不断完善多层次的风险防范机制,区块链技术才能真正使产业成为可能,并充分发挥其优势。
4、 区块链金融风险的监管与建议
首先,要推动我国区块链金融产业的快速发展,区块链金融必须在良好的生态中运行,员工要大大增强安全风险意识。因此,一方面要求行业实体共同制定统一的安全标准,为区块链安全技术标准制定指引。如上所述,央行发布了《金融分布式账本技术安全规范》,明确区块链技术的技术和金融合规标准。另一方面,要推动监管技术与区块链的融合,规范一些监管规则。区块链的监管可以采用“以链管链”的思路。在区块链开发过程中,监管部门可以要求将监管规则纳入区块链,实现监管规则的编码。规范规则编码的本质是技术治理/代码治理。借鉴美国法学家Lawrence lesger的“代码即法律”理论,部分法律规则可以转化为代码形式,一些商业行为可以通过代码和智能合约自动执行,并由数据和技术驱动,部分解决当前区块链存在的问题。比如降低合规成本,提高执法效率,提高区块链的安全水平。一些监管规则的编码减少了监管规则的不确定性,降低了监管成本,有助于形成统一、科学的监管标准。
二是完善区块链金融监管体系。在这方面,区块链金融监管应包括“软法”和“硬法”规则“软法”是指区块链市场主体参与的行业组织制定的自律规则。后者主要是指国家立法部门通过的法律法规或规章制度,应充分利用。2019年10月,十三届全国人大常委会第十四次会议通过了《中华人民共和国密码法》。加密技术是区块链底层技术的重要支撑。如果区块链的底层技术出现问题,我们可以用“密码法”加以规范,将区块链底层技术纳入法律规范的范围。同时,《密码法》规定,窃取他人密码信息、侵入他人密码系统,或者从事危害国家安全、社会公共利益和他人合法权益等违法行为的,依照《网络安全法》和有关法律、法规的规定追究责任。推动国家信息安全等级保护在区块链行业的应用。
第三,建立第三方专业的区块链安全评估机构,对可信区块链进行客观公正的检测,并及时发布行业检测报告,提升可信安全区块链的关注度。尤其要推进区块链智能合约的安全检测,探索代码层面的安全解决方案。目前,中央和地方政府已经对区块链产业进行了整合,但区块链安全领域的发展却没有得到重视。我们认为,政府应该鼓励区块链安全产业的发展,并出台相应的激励政策。
第四,监管部门要改变固有的思维方式。从以往监管部门对区块链的监管情况来看,部分监管机构仍采取“一刀切”的监管方式。区块链的监管和风险防范,既可以停留在问题和解决的层面,也可以提前防范,创新监管技术。因此,需要实施事前和事中监督。区块链技术本身可能存在漏洞,因此需要在区块链部署前进行代码安全性审查。代码合规性和安全性审查通常涉及财务、it、法律、内控、审计等部门。因此,区块链技术的监管和区块链产业安全水平的提高,有赖于加强多领域评审人才的培养和储备,以适应区块链的发展要求,这就要求高校加强区块链课程的培训。此外,中国还可以考虑成立区块链技术安全专项监管委员会或工作组,召集政策制定者和信息技术专家讨论区块链技术安全监管方案。虽然区块链金融可能带来各种风险,但正如学者们所指出的,区块链还具有促进监管合规和企业合规的潜力。合规区块链将成为推动金融监管的重要技术资源禀赋。区块链技术与大数据、云计算和人工智能的结合将全面改变传统的金融监管模式传统的金融监管治理一般以行政治理为主,技术往往是监管手段,是解决问题的工具监管合规问题,提升监管能力。合规区块链将内部化,成为监管技术的一个组成部分。随着未来智能监管技术的引入,科技将成为监管的重要资源禀赋。
5、 摘要
区块链应用方兴未艾,中央提出大力推进区块链产业发展的战略目标。目前,区块链技术和应用都处于初级发展阶段,无论是在底层技术还是在应用层面,仍存在诸多安全风险。我们认为,法治是推动区块链产业良性发展的基础。通过良法善治,监管者坚持刚性底线与柔性边界相结合,将软法与硬法的迭代运用到区块链产业的发展中。区块链的底层技术风险和应用过程中的风险都应在监管范围内,形成统一的体系安全标准之一,坚守法律底线。同时,在监管机构的鼓励和支持下,区块链产业的发展要有行业自律标准,在合规的基础上安全有序发展。
文章标题:邓建鹏:区块链金融的新风险与对策
文章链接:https://www.btchangqing.cn/107455.html
更新时间:2020年09月22日
本站大部分内容均收集于网络,若内容若侵犯到您的权益,请联系我们,我们将第一时间处理。