歷時(shí)一年半，金融行業(yè)區(qū)塊鏈標(biāo)準(zhǔn)來了！

近日，為落實(shí)《中國金融業(yè)信息技術(shù)“十三五”發(fā)展規(guī)劃》和《金融科技（Fintech）發(fā)展規(guī)劃（2019-2021年）》的要求，規(guī)范分布式賬本技術(shù)在金融領(lǐng)域的應(yīng)用，提升分布式賬本技術(shù)的信息安全保障能力，中國人民銀行編制并正式發(fā)布《金融分布式賬本技術(shù)安全規(guī)范》（下稱《規(guī)范》），2020年2月5日起正式實(shí)施。

分布式賬本技術(shù)是密碼算法、共識機(jī)制、點(diǎn)對點(diǎn)通訊協(xié)議、分布式存儲等多種核心技術(shù)高度融合形成的一種分布式基礎(chǔ)架構(gòu)與計(jì)算范式。發(fā)布并實(shí)施此標(biāo)準(zhǔn)有助于金融機(jī)構(gòu)按照合適的安全要求進(jìn)行系統(tǒng)部署和維護(hù)，避免出現(xiàn)安全短板，為分布式賬本技術(shù)大規(guī)模應(yīng)用提供業(yè)務(wù)保障能力和信息安全風(fēng)險(xiǎn)約束能力，對產(chǎn)業(yè)應(yīng)用形成良性的促進(jìn)作用。

《規(guī)范》共有17章節(jié)，分別包括范圍、規(guī)范性引用文件、術(shù)語和定義、縮略語、安全體系框架、基礎(chǔ)硬件、基礎(chǔ)軟件、密碼算法、節(jié)點(diǎn)通信、賬本數(shù)據(jù)、共識協(xié)議、智能合約、身份管理、隱私保護(hù)、監(jiān)管支撐、運(yùn)維要求與治理機(jī)制，規(guī)定了金融分布式賬本技術(shù)的安全體系，并適用于在金融領(lǐng)域從事分布式賬本系統(tǒng)建設(shè)或服務(wù)運(yùn)營的機(jī)構(gòu)。

共識協(xié)議應(yīng)滿足可監(jiān)管性等要求

在共識協(xié)議方面，《規(guī)范》要求，應(yīng)根據(jù)業(yè)務(wù)特點(diǎn)選用適宜的共識協(xié)議，包括但不限于工作量證明、權(quán)益證明、授權(quán)股權(quán)證明、拜占庭容錯等，應(yīng)滿足不同共識協(xié)議安全運(yùn)行所必須的前提要求，且業(yè)務(wù)激勵規(guī)則和技術(shù)運(yùn)維安全上的機(jī)制。

具體來看，《規(guī)范》要求共識協(xié)議滿足合法性、正確性、終局性、一致性、不可偽造性、可用性、健壯性、容錯性、可監(jiān)管性、低延遲、激勵相容、可拓展性等。其中，可監(jiān)管性要求單次共識過程和系統(tǒng)運(yùn)行的整個共識歷史都應(yīng)可審計(jì)、可監(jiān)管，該歷史應(yīng)不可被篡改。

身份管理應(yīng)滿足監(jiān)管審計(jì)要求

在身份管理方面，《規(guī)范》提出，應(yīng)實(shí)現(xiàn)有效的用戶身份管理，主要功能包括身份注冊、身份核實(shí)、賬戶管理、憑證生命周期管理、身份鑒別、節(jié)點(diǎn)標(biāo)識管理、身份更新和撤銷等，并應(yīng)保障身份信息的安全性，并對身份進(jìn)行監(jiān)管審計(jì)。

所謂身份，是指涉及自然人及法人等實(shí)體的屬性的集合。賬戶是身份的一個屬性集合，分為系統(tǒng)用戶賬戶和應(yīng)用賬戶。在金融分布式賬本系統(tǒng)中，一個身份可對應(yīng)多個賬戶。每個賬戶應(yīng)關(guān)聯(lián)一個身份標(biāo)識?！兑?guī)范》要求，身份注冊機(jī)構(gòu)應(yīng)接受監(jiān)管部門的緊急干預(yù)和審計(jì)追蹤。

在身份監(jiān)管方面，《規(guī)范》要求，監(jiān)管信息應(yīng)至少包括金融監(jiān)管信息，具體為現(xiàn)工作單位/就讀學(xué)校、行業(yè)類型、居住國家/地區(qū)、民族、居民/非居民、出生日期、個人月收入、稅務(wù)信息等監(jiān)管數(shù)據(jù)項(xiàng)和反洗錢特色數(shù)據(jù)項(xiàng)。在審計(jì)方面，《規(guī)范》要求，應(yīng)對身份、賬戶、憑證的訪問和更改提供安全審計(jì)功能，審計(jì)記錄包括訪問的日期、時(shí)間、用戶標(biāo)識、數(shù)據(jù)等審計(jì)相關(guān)信息。

對隱私信息采取分級保護(hù)策略

《規(guī)范》提出，個人信息收集目的應(yīng)明確和合法，任何與目的不符合的方式不可采用。信息收集應(yīng)遵循最小化原則，個人信息收集應(yīng)僅限于一切與信息收集目的相關(guān)且必要的數(shù)據(jù)。

《規(guī)范》要求，應(yīng)將隱私信息按照敏感程度進(jìn)行分級，并設(shè)置對應(yīng)的隱私保護(hù)策略。低隱私保護(hù)要求類別信息經(jīng)過組合、關(guān)聯(lián)和分析后可能產(chǎn)生高隱私保護(hù)要求類別信息，應(yīng)根據(jù)實(shí)際情況采用對應(yīng)的高隱私保護(hù)策略。隱私保護(hù)策略包括信息公開可驗(yàn)證、信息加密可驗(yàn)證以及信息由交易驗(yàn)證節(jié)點(diǎn)驗(yàn)證等。

應(yīng)支持監(jiān)管機(jī)構(gòu)訪問最底層數(shù)據(jù)，為監(jiān)管機(jī)構(gòu)提供交易干預(yù)的技術(shù)手段

《規(guī)范》指出，金融分布式賬本系統(tǒng)具有架構(gòu)去中心、數(shù)據(jù)多副本、交易點(diǎn)對點(diǎn)、記錄不可篡改的特點(diǎn)，與中心化系統(tǒng)有很大差異，不僅需要法律監(jiān)管規(guī)則，也需要技術(shù)監(jiān)管規(guī)則，以優(yōu)化系統(tǒng)設(shè)計(jì)、保證系統(tǒng)安全、提高監(jiān)管效率、降低合規(guī)成本。

在系統(tǒng)監(jiān)管上，《規(guī)范》要求，應(yīng)支持監(jiān)管機(jī)構(gòu)接入，以滿足信息審計(jì)和披露的要求；應(yīng)支持監(jiān)管部門的監(jiān)管活動，包括但不限于設(shè)置監(jiān)管規(guī)則，提取交易記錄，按需查詢、分析特定業(yè)務(wù)數(shù)據(jù)等；應(yīng)支持監(jiān)管機(jī)構(gòu)訪問最底層數(shù)據(jù)，實(shí)現(xiàn)穿透式監(jiān)管。

在信息管理上，應(yīng)支持還原匿名標(biāo)識中用戶的真實(shí)身份以及相關(guān)交易信息，配合交易審查，加強(qiáng)KYC（知道你的客戶）管理；在事件處理上，當(dāng)系統(tǒng)或交易出現(xiàn)問題時(shí)，應(yīng)能主動報(bào)警，采取糾正措施，并報(bào)送事件信息；在交易干預(yù)上，應(yīng)具備限制交易權(quán)限、凍結(jié)賬戶等功能，為監(jiān)管機(jī)構(gòu)提供交易干預(yù)的技術(shù)手段；在智能合約監(jiān)管上，應(yīng)能按需將監(jiān)管要求編碼寫入智能合約強(qiáng)制執(zhí)行，根據(jù)需要為監(jiān)管機(jī)構(gòu)提供交易行為統(tǒng)計(jì)數(shù)據(jù)，評價(jià)智能合約所提供服務(wù)的合規(guī)性。

全國金融標(biāo)準(zhǔn)化技術(shù)委員會官網(wǎng)的公告稱，《金融分布式賬本技術(shù)安全規(guī)范》由全國金融標(biāo)準(zhǔn)化技術(shù)委員會歸口管理，由中國人民銀行數(shù)字貨幣研究所提出并負(fù)責(zé)起草，中國人民銀行科技司、中國工商銀行（5.420， -0.02，-0.37%）、中國農(nóng)業(yè)銀行（3.440， -0.02， -0.58%）、中國銀行（3.570， -0.02，-0.56%）、中國建設(shè)銀行（6.640， -0.07， -1.04%）、國家開發(fā)銀行等單位共同參與起草。《規(guī)范》經(jīng)過廣泛征求意見和論證，并通過了全國金融標(biāo)準(zhǔn)化技術(shù)委員會審查。