穆長春   中國人民銀行數字貨幣研究所所長

　　數字人民幣是數字形式的法定貨幣，主要定位于流通中的現金。在數字經濟時代，“可控匿名”作為數字人民幣的特色設計之一，可以滿足人們對隱私保護日益增長的需求。本文主要論述了可控匿名作為數字人民幣的一個重要特征，一方面體現了其M0的定位，保障公眾合理的匿名交易和個人信息保護的需求；另一方面，也是防控和打擊洗錢、恐怖融資、逃稅等違法犯罪行為，維護金融安全的客觀需要。最后，本文對完善頂層制度設計和提升風控能力進行展望。同時，人民銀行也將不斷優化數字人民幣可控匿名設計，持續為公眾提供更安全高效的支付服務。

　　來源 | 《當代金融家》雜志2022年第9期

　　數字人民幣由人民銀行發行，指定運營機構參與運營，兼容基于賬戶、準賬戶和基于價值三種方式，以廣義賬戶體系為基礎，支持銀行賬戶松耦合功能，與實物人民幣1：1兌換，共同構成法定貨幣體系，具有價值特征和法償性。數字人民幣支持可控匿名，作為數字人民幣的一個重要特征，一方面體現了其M0的定位，保障公眾合理的匿名交易和個人信息保護的需求；另一方面，也是防控和打擊洗錢、恐怖融資、逃稅等違法犯罪行為，維護金融安全的客觀需要。

　　1

　　數字人民幣定位于M0，應滿足個人匿名支付需求

　　第一，數字人民幣的設計需要保護個人隱私。

　　大數據時代，消費者對個人隱私保護日益重視。以移動支付為代表的電子支付雖然比傳統現金支付更為便利，但是仍然有消費者選擇現金交易，一個重要的原因是現金交易具備匿名性，對消費者的隱私形成天然保護。數字人民幣主要定位于流通中的現金（M0），是零售型央行數字貨幣，其推出立足于國內支付系統的現代化以及我國電子支付尤其是移動支付的快速發展，以滿足公眾支付手段多樣化需求。

　　因此，數字人民幣的設計應滿足個人匿名交易的合理需求，加強對消費者隱私的保護：一是應符合日常小額現金支付的習慣，確保相關支付交易的保密性。二是應明確匿名對象，確保消費者使用數字人民幣進行交易時，其個人信息不被商戶和其他未經法律授權的第三方獲取。三是應加強個人信息的使用和保護，確保運營機構收集的客戶基本信息、產生的交易和消費行為信息不會被泄露。在未來的數字化零售支付體系中，數字人民幣和指定運營機構的電子賬戶資金具有通用性，共同構成現金類支付工具。實物人民幣具有其他支付手段不可替代的優勢。數字人民幣將與實物人民幣長期并存，只要存在對實物人民幣的需求，人民銀行就不會停止實物人民幣供應或以行政命令對其進行替換。

　　第二，數字人民幣的“雙層運營”體系，有利于保障非經依法授權不得查詢、使用個人信息。

　　數字人民幣采用“雙層運營”體系，人民銀行把數字人民幣兌換給運營機構，由運營機構向公眾提供兌換流通服務。運營機構收集服務與運營所必需的個人信息，錢包服務產生的個人信息由運營機構收集和存儲。人民銀行為滿足跨機構交易和對賬等需要，僅處理經過互聯互通平臺轉接的跨機構交易信息。同時，數字人民幣錢包之間用匿名化的技術處理，所有錢包之間有關個人信息的數據對交易對手方和其他商業機構匿名。對于公眾正常的交易和消費，上述主體均無法獲取完整的交易信息和消費行為信息，以保護消費者的個人隱私。在正常交易的情況下，任何單位和個人均無權獲取相關的交易信息。只有當觸發涉嫌可疑交易等法定情況時，有關權力機關才可以依法向運營機構查詢、使用用戶個人信息，嚴格將知悉和使用范圍控制在法律法規授權內，并采取安全保護措施。

　　人民銀行內部嚴格遵守《網絡安全法》《個人信息保護法》等法律法規，通過先進的技術手段以及嚴格的管理機制，確保個人信息安全。技術層面上，采取權限訪問控制安全技術措施和多重身份認證技術等業內先進技術手段和其他必要措施保護數據安全，防止數據遭到未經授權訪問、披露、使用、修改、損壞或丟失。管理機制上，內部設置“防火墻”，通過專人管理、業務隔離、分級授權、崗位制衡、內部審計等制度安排，嚴格落實信息安全及隱私保護管理。數字人民幣相關信息將加密封存，所有客戶信息進行去標識化處理，非經合法授權，無論人民銀行內部人員還是外部的任何單位和個人，均不得隨意查詢、使用；未經授權查詢或使用個人信息的，將依法追究法律責任。

　　因此，無論是運營機構還是人民銀行內部，都將嚴格按照法律法規的要求，建立個人信息保護制度和內部控制管理機制，履行客戶信息保護的管理流程，確保個人信息安全。

　　第三，數字人民幣的錢包矩陣設計遵循“小額匿名、大額依法可溯”的原則。

　　傳統的支付工具，無論是互聯網支付還是銀行卡支付都與銀行賬戶體系綁定，由于銀行開戶是實名制，因此無法滿足公眾匿名開立支付工具的訴求。數字人民幣錢包與銀行賬戶的松耦合，減輕了交易環節對金融中介的依賴，從技術上實現小額匿名。數字人民幣錢包通過錢包等級分類、軟錢包和硬錢包、母錢包和子錢包等不同維度的設計形成錢包矩陣，遵循“小額匿名、大額依法可溯”的原則，實現線上線下全場景應用，滿足用戶多主體、多層次、多類別、多形態的差異化需求。

　　一是數字人民幣錢包按照客戶身份識別強度分為不同等級的錢包，并賦予各類錢包不同的單筆、單日交易及余額限額。數字人民幣的四類錢包僅用手機號就可以開立。根據《網絡安全法》《個人信息保護法》等相關法律法規規定，電信運營商不得隨意將手機號對應的客戶信息披露給包括人民銀行在內的第三方。因此，用手機號開立的四類錢包實際處在匿名狀態。四類錢包對標小額現鈔消費場景，根據人民銀行發布的《2021年第二季度支付體系運行總體情況》報告中統計，非現金支付業務下銀行卡筆均消費金額為603元，而四類錢包單筆支付限額為2000元，符合公眾在日常生活中小額、便民類支付的匿名需求。數字人民幣一類、二類、三類錢包為實名錢包，單筆支付限額隨著實名強度的增強而提高，一方面滿足公眾大額支付的需求，另一方面對于大額交易能夠有效追蹤，防范風險。對比電子賬戶開立需要收集九要素信息，數字人民幣體系收集的客戶信息少于傳統的支付模式。

　　二是數字人民幣錢包按照載體分為軟錢包和硬錢包，在錢包矩陣下四類軟錢包和其所屬的硬錢包均為匿名錢包，能夠滿足公眾線上和線下小額匿名交易的需求。此外，準賬戶模式的硬錢包發行時不與使用者身份相關聯，充分發揮硬錢包在小額匿名支付領域的積極作用。冬奧期間就推出了數字人民幣準賬戶模式的硬錢包，為相關人員提供服務。

　　三是數字人民幣錢包按照權限歸屬分為母錢包和子錢包，用戶可以在母錢包下開立子錢包并用于電商平臺支付，也就是錢包快付產品，保護個人隱私。此前，公眾在電商平臺購物時，在支付環節需要提供相關的用戶支付信息，這種方式會導致電商平臺獲取所有的個人信息。而數字人民幣對于所有用戶信息進行去標識化處理，除開通子錢包時用于關聯電商平臺賬號的用戶手機號碼外，不會向電商平臺提供其他用戶信息，如銀行卡號、銀行卡有效期等信息，有效保護公眾個人隱私。

　　第四，數字人民幣根據客戶意愿僅收集必要個人信息。

　　基于雙層運營體系和錢包矩陣的設計，數字人民幣遵循自主、透明、最小化原則，根據用戶意愿，僅收集與處理目的直接相關的必要個人信息。

　　首先，用戶有權隨時關閉相關權限，數字人民幣App將立即停止有關個人信息的處理活動，充分保障用戶自主管理相關權限。對于用戶選擇拒絕提供權限的，數字人民幣App將嚴格執行。

　　其次，數字人民幣App沒有采用讓用戶一攬子授權的方式獲得相關權限，而是根據具體業務和場景，在合理必要的情況下，在向用戶明確告知使用目的后，單獨向用戶申請有關權限，在取得用戶同意后才會獲得相應的權限。通過詳細列明提供服務所需開啟的權限及對應的業務場景，使用戶全面了解其需要授權的權限情況。

　　最后，數字人民幣僅獲取與處理目的直接相關的必要個人信息。數字人民幣App賬號僅收集處理必要個人信息，確保注冊、登錄、密碼修改及找回等基本賬戶功能的實現；運營機構向用戶提供數字人民幣錢包服務時，同樣僅收集必要的身份信息和交易信息，確保數字人民幣支付等基本業務功能的實現。此外，為確保用戶財產安全，數字人民幣僅收集風險控制所需信息，用以加強用戶數字人民幣錢包被盜、惡意掛失、網絡欺詐等風險識別。總之，數字人民幣對用戶隱私的保護，在現行電子支付工具中是等級最高的。

　　2

　　數字人民幣應滿足反洗錢、反恐怖融資國際標準及國內法律法規要求

　　首先，實現風險可控基礎上的匿名是國際標準設定組織和各國央行的共識。

　　“沒有約束的自由不是真正的自由。”如果僅僅關注個人隱私保護，對央行數字貨幣的匿名性不加管控，忽視數字時代下金融產品和服務便利化、規模化、跨地域所帶來的風險，央行數字貨幣將會被違法犯罪所利用，產生嚴重后果。為維護金融安全和穩定，各國中央銀行、國際組織在探索央行數字貨幣的匿名性時均將防范風險作為重要前提，對無法滿足反洗錢、反恐怖融資及反逃稅等要求的設計將被一票否決。

　　央行數字貨幣的匿名探索是以風險可控為前提的有限匿名，完全匿名的央行數字貨幣不存在可行性。國際清算銀行總裁Agustín Carstens在《數字貨幣與貨幣體系的未來》中明確指出完全匿名的概念不切實際，完全匿名的系統不會存在。絕大多數使用者會接受由一個可信任的機構例如銀行或公共服務部門來保管基本信息，保留一定的身份識別對于支付系統的安全、反腐敗、反洗錢、反恐怖融資至關重要。便利性和可追溯性之間需要尋求一個平衡（見Agustín Carstens： Digital currencies and the future of the monetary system， 2021， P7-8）。

　　無獨有偶，國際清算銀行與歐洲央行、美聯儲等7家中央銀行共同編寫和發布的《央行數字貨幣：基本原則與核心特征》報告同樣否決了完全匿名的可能性，報告指出“雖然有人認為央行數字貨幣可能帶來的主要好處是某種程度的電子支付匿名性，但完全匿名是不合理的。雖然反洗錢和反恐怖融資的要求不是中央銀行的核心目標，也不會成為發行央行數字貨幣的主要動機，但中央銀行數字貨幣的設計應符合這些要求”（見Bank of Canada， European Central Bank， Bank of Japan， Sveriges Riksbank， Swiss National Bank， Bank of England， Board of Governors Federal Reserve System， Bank for International Settlements Central bank： Digital currencies foundational principles and core features， 2020， P6）。

　　此外，歐央行在《探索中央銀行數字貨幣的匿名性》報告中也深入探討了隱私保護和防范風險的平衡，并指出“數字化對支付生態系統構成重大挑戰，要求電子支付在一定程度的隱私和遵守反洗錢和反恐怖融資法規之間取得平衡，包括在一定程度上為用戶的小額交易提供隱私保護，同時確保大額交易遵守反洗錢和反恐怖融資的要求”。這一描述呼應了人民銀行副行長范一飛在《關于央行數字貨幣的幾點考慮》一文中率先提出的“為取得平衡，（央行數字貨幣）必須實現可控匿名”理念。

　　可以看出，完全匿名從來不在各國央行數字貨幣的考慮范疇之內，只有在符合反洗錢和反恐怖融資等監管要求前提下的有限匿名才是國際共識。

　　其次，央行數字貨幣需要滿足相關的反洗錢、反恐怖融資要求。

　　央行數字貨幣的匿名探索不能違反反洗錢、反恐怖融資及反逃稅等監管規定。金融行動特別工作組（FATF）在其《FATF就所謂穩定幣向二十國集團財政部長和中央銀行行長報告》（以下簡稱《FATF報告》）中明確指出：“一旦建立了央行數字貨幣，與央行數字貨幣交易的金融機構，包括指定的非金融機構以及虛擬資產提供商，將承擔與法定貨幣或現金相同的反洗錢和反恐怖融資的義務。使用央行數字貨幣進行的客戶交易將遵守與使用法定貨幣進行電子交易相同的客戶盡職調查義務”（見The Financial Action Task Force： FATF report to the G20 finance ministers and central bank governors on so-called stablecoins， 2020， P27）。

　　此外，FATF還在上述報告中特別針對虛擬貨幣提到，“未來仍將持續評估和監督虛擬貨幣及其虛擬資產提供商的反洗錢、反恐怖融資的合規情況，尤其是‘數據轉移規則’（travel rule）的遵守情況，該規則要求虛擬資產提供商之間應傳輸重要的身份識別信息”（見The Financial Action Task Force： FATF report to the G20 finance ministers and central bank governors on so-called stablecoins， 2020， P21）。為確保相關信息在不同機構間透傳，能夠履行相應的反洗錢義務，央行數字貨幣也應該遵守數據轉移規則等相關要求。

　　國際清算銀行雖然承認央行數字貨幣具有現金替代的作用，也明確要求履行“三反”義務，其《中央銀行數字貨幣》報告指出，“盡管在某些情況下央行數字貨幣可能會替代現金，但是發行央行數字貨幣必須確保滿足反洗錢和反恐怖融資的要求，以及其他監管和稅收方面的要求” （見Bank for International Settlements： Central bank digital currencies， 2018， P1）。英國央行在《中央銀行數字貨幣機遇、挑戰和設計》報告中也持有同樣的觀點（見Bank of England： Central bank digital currency： opportunities challenges and design， 2020， P22）。

　　值得關注的是，央行數字貨幣具備數字化的特征，過分強調與實物貨幣同等水平的匿名性，將會產生極大的風險。《FATF報告》中提道，“與現金相比，央行數字貨幣可能帶來更大的洗錢和恐怖融資風險。因為央行數字貨幣可以提供給公眾以零售付款或作為賬戶使用，并且在理論上允許匿名的點對點交易。在這種情況下，央行數字貨幣能夠提供接近現金的流動性和匿名性，又因為使用者不需要隨身攜帶現金，因此較現金更具有便攜性。由于央行數字貨幣會得到其司法管轄區的中央銀行的支持，因此有可能被廣泛接受和廣泛使用。匿名、便攜性和廣泛使用的結合對于以洗錢和恐怖融資為目的的罪犯和恐怖分子極具吸引力”（見The Financial Action Task Force： FATF report to the G20 finance ministers and central bank governors on so-called stablecoins， 2020， P26）。這是因為，利用現金進行違法交易的成本很高，大額的現金交易需要產生運輸、清點、交付等環節，同時存在盤點錯誤、損毀、丟失、假幣等風險。隨著現金交易金額的增加，其成本的增長是非線性的。而在數字化時代，無論交易金額大小，其交易的成本基本相同。可見，現鈔不便于攜帶的特點反而對洗錢和恐怖融資等行為增加了摩擦，所以，對現鈔的匿名性的容忍度也相對較高。而央行數字貨幣便攜性更強，如果提供與現鈔同樣的匿名性，將極大便利洗錢等不法交易行為。因此，央行數字貨幣不應具有與現鈔同等的匿名性。

　　再次，數字人民幣需要防范電信詐騙等風險。

　　近年來，利用互聯網、電信等新形式違法犯罪活動愈演愈烈。數據顯示，當前全國范圍內從事網絡詐騙活動的犯罪嫌疑人達100多萬人，每年造成直接經濟損失1000多億元。各類網絡賭博案件也層出不窮，2019年各地公安機關偵破網絡賭博刑事案件7200余起，查扣凍結涉賭資金逾180億元。黨中央、國務院高度重視打擊治理電信網絡詐騙犯罪工作，采取專項行動打擊電信網絡詐騙、網絡賭博等違法犯罪活動。在查處的電信網絡詐騙、網絡賭博等案件中，大部分的涉案資金都是通過虛假開立的銀行賬戶、支付賬戶等渠道進行轉移。

　　在傳統的銀行賬戶體系下，銀行為用戶開立賬戶均需要進行實名驗證，在業務存續期間還會采取持續的客戶盡職調查措施，按照用戶的特點或者賬戶的屬性等因素，劃分風險等級，定期審核用戶基本信息。然而，即便采取了嚴格的客戶盡職調查措施以及持續的盡職調查、交叉驗證等風險防控手段，仍然無法避免不法分子利用銀行賬戶進行網絡賭博、電信詐騙等犯罪行為。

　　由此可見，不法分子始終緊盯反洗錢的薄弱環節和漏洞，各種違法犯罪行為不斷流向政策洼地。央行數字貨幣收集的用戶信息少于傳統銀行賬戶和電子支付，較實物現金又更為便攜，如果匿名程度過高，將為不法分子提供新的犯罪土壤，大量的非法交易將從電子支付流入央行數字貨幣，淪為電信詐騙、網絡賭博、洗錢、毒品販賣甚至恐怖組織犯罪的工具。也將無法滿足FATF等國際組織的要求。

　　所以，數字人民幣并不完全適用實物現金流通的監管規則，數字人民幣反洗錢體系應按照其業務實質確定應采取的監管措施，遵循“實質監管”原則，在發生利用數字人民幣進行電信詐騙等不法活動時，能夠協助有權機關挽回損失，守護公眾財產安全，維護社會穩定。

　　最后，明確各主體的“三反”責任，遵循“風險為本”原則。

　　人民銀行高度重視健全數字人民幣反洗錢體系，已針對數字人民幣建立分工清晰、職責明確的管理監督體系，實現“事前評估、事中監測和事后監督”的閉環管理。

　　數字人民幣業務方案需要經過反洗錢、反恐怖融資職能的獨立評估，確保符合FATF等國際標準，以及國內反洗錢、反恐怖融資法律法規的要求，并就評估的潛在風險制定相應的風險緩釋措施。

　　運營機構作為直接面向客戶提供數字人民幣服務的主體，是數字人民幣反洗錢的義務主體，需要全面履行客戶盡職調查、大額交易和可疑交易報告等反洗錢和反恐怖融資的核心義務。根據FATF的相關原則和我國反洗錢要求，在客戶盡職調查方面，運營機構和其他商業機構可通過與委托合作機構簽訂協議的方式，委托合作機構對客戶實施盡職調查，而客戶盡職調查的最終責任分擔問題需要進行相關理論研究。在可疑交易報告方面，由于可疑交易不論所涉資金金額或者資產價值大小，均需要進行監測和識別。因此，對于數字人民幣小額匿名交易，為防止不法分子通過批量開立匿名賬戶，拆分交易，小額高頻轉入轉出等方式逃避監管，運營機構和其他商業機構仍然需要在非實名的情況下進行可疑交易監測和報告。

　　目前，包括數字人民幣在內的一些央行數字貨幣設計和用途主要是滿足國內零售支付需求。而跨境及國際使用相對復雜，涉及反洗錢、客戶盡職調查等法律問題，國際上正在深入探討，人民銀行也參與了相關研究。

　　3

　　數字人民幣的下一步計劃

　　首先，加強立法，完善頂層制度設計。

　　為確保數字人民幣可控匿名要求的有效落實，需要在頂層制度設計上作出四項相應安排。

　　一是建立信息隔離機制。明確運營機構開展數字人民幣運營業務的獨立性，并通過設立數字人民幣客戶信息隔離機制和使用限制，規范數字人民幣客戶信息的使用。數字人民幣運營機構需要建立健全客戶信息保護內控制度和客戶信息保護監測工作機制，只有在可能涉及洗錢、恐怖融資和逃稅等違法犯罪交易時，才能申請獲取相關客戶信息進行風險分析及監測，以履行“三反”義務，確保客戶信息在最小化范圍內使用。

　　二是明確數字錢包查詢、凍結、扣劃的法律條件。只有法律授權的有權機關基于法定事由，才能夠查詢、凍結、扣劃用戶數字人民幣錢包，否則運營機構有權予以拒絕。

　　三是建立相應的處罰機制。監管部門可以依職責對違規處理數字人民幣客戶信息的運營機構采取處罰措施，強化監管。

　　四是完善數字人民幣反洗錢、反恐怖融資等法規制度。結合FATF的相關原則和數字人民幣的特點，研究并適時出臺數字人民幣反洗錢和反恐怖融資等監管規定。

　　其次，強化科技應用，提升風險防控能力。

　　新興技術的應用為傳統金融風險管理提供了新的活力和創新點，通過科技手段提升風險管理能力成為趨勢。為加強數字人民幣風險監控，特別是在反洗錢、反恐怖融資等方面的風險監控，需要應用更多的科技手段來提升風險監測和防控水平。

　　數字人民幣監管將強化監管科技應用實踐，積極利用大數據、人工智能、云計算等技術豐富金融監管手段，提升跨行業、跨市場交叉性金融風險的甄別、防范和化解能力。并在客戶盡職調查、可疑交易和異常交易監測、監管報送等關鍵環節進行廣泛應用，增強數字人民幣風險預防和處置能力。

　　4

　　結語

　　綜上，數字人民幣作為人民銀行發行的法定數字貨幣，會充分尊重隱私與個人信息保護，并在此基礎上做好風險防范，以防止被不法分子利用。數字人民幣提供了與電子支付工具同等便攜和快捷等特性，但又提供了電子支付工具所不具備的可控匿名設計，一方面可以滿足公眾對于個人信息保護的需求，另一方面也有助于防范和降低不法分子利用數字人民幣進行違法犯罪活動的風險，維護金融安全，達到保護個人隱私和打擊犯罪的平衡，符合各國央行和國際組織的共識。需要強調的是，在實物貨幣依然發行的前提下，公眾仍然可獲得實物貨幣所提供的完全匿名性，不會因數字人民幣的發行而被剝奪；同時，可控并不意味著控制和支配，而是防控風險和打擊犯罪，這是維護公眾利益和金融安全的客觀需要。總之，數字人民幣的可控匿名安排將為公眾提供體驗更好、更加安全的支付服務起到積極作用。 

　　（作者為中國人民銀行數字貨幣研究所所長）

　　來源：當代金融家

　　原標題：當代金融家?封面文章|人民銀行數字貨幣研究所穆長春：數字人民幣的隱私與安全的平衡之道

海量資訊、精準解讀，盡在新浪財經APP

責任編輯：王婉瑩