区块链风险治理:困境与规制

汤媛媛

(1.长春财经学院，吉林 长春 130122； 2.国家法官学院吉林分院，吉林 长春 130033)

一、引 言

2008年中本聪在《比特币：一种点对点电子现金系统》的文章中首次提出区块链概念。随之，区块链技术迅猛发展，从最初的以比特币为代表的数字货币，解决了货币和支付活动中的去中心化问题，到以以太坊为代表的智能合约的出现，区块链技术正在不断与产业广泛融合升级。世界各国对区块链技术的关注度持续上升并都在不同程度上有所进步。我国于2016年2月将区块链技术纳入“十三五”规划，将其提升到国家战略高度。目前，区块链技术正作为新的技术革新和产业变革中的核心力量发挥着巨大的作用。技术革命必将带来法律变革，区块链作为现代科学技术应用于复杂社会关系的新型载体，离不开法律的监管和保障。法律借助区块链技术而更趋客观与中立，区块链借助法律制度而更趋安全和值得信赖。

二、区块链的技术风险与法律风险

(一)区块链自身发展的技术风险

区块链技术是通过加密运算、点对点网络、共识算法等互联网技术，为所有参与其中的人提供一种去中心化的全新商业运行模式。去中心化的分布式记账的特点在于无需以信任特定主体为前提， 共识的密码学算法使得参与者无法造假，不可篡改的所有交易信息被储存在密码保护的不同区块中，通过点对点的匿名用户同步记录，实现数据的分布式共享。

1.代码漏洞可能引发的风险。区块链的运行是依靠代码实现的，代码在区块链数据库中被写入和读取。[1]技术的进步和发展中存在一些漏洞是必然的。正如2016年6月发生的以太坊历史上最大的“The Dao 事件”，黑客正是利用了以太坊中私募基金合约Dao的代码漏洞，将价值5000万美元的以太币转移到自己的私人账户，且黑客的操作手法完全符合代码的运行逻辑。类似的事件并未在“The Dao”事件后停止，2017年7月，智能合约平台Parity出现代码漏洞，黑客盗取了价值3000万美元的数字货币ETH；2018年1月，日本智能合约平台Coincheck系统被黑客攻击，时价5.3亿美元的新经币被盗。这些事件表明，有漏洞的代码一旦被发布，根本无法修补。[2]因为代码一旦被发布到区块链上，就无法更改。同时，由于区块链系统是开放、透明的，任何人都可以下载使用，这就给黑客钻营代码漏洞提供了机会。而这种风险是由区块链系统自身的漏洞所导致的。因为“区块链系统内各节点并非完全匿名，而是通过类似电子邮件的地址标识来实现数据传输。由于区块链数据是完全公开透明的，随着各类反匿名身份甄别技术的发展，实现部分重点目标的定位和识别仍是有可能的。”[3]

2.交易被篡改的风险。安全性是区块链技术应用必须考虑的问题。虽然区块链运行依靠密码运算增强了系统的安全性，但并非天衣无缝。区块链的工作量证明程序还是存在51%攻击问题的可能性的。“节点通过掌握全网超过50%的算力就有能力成功篡改和伪造区块链数据。”随着区块链技术的不断发展，攻破区块链的成本可能会逐渐降低，且面对高利诱惑，不排除有不法之徒愿意挑战高难度技术。“Bitcoin Gold 黑客攻击案”就是一个例证，黑客通过安置大量服务器进行51%的攻击，控制了Bitcoin Gold 超过一半的网络哈希率 ，最终获利1800万美元。

3.私钥丢失的风险。区块链采用的是密码算术技术进行的信息有效传递，节点间无需建立信任，系统中每个参与的节点都可以匿名。参与交易的人员通过地址传递信息，即使获取了全部的区块信息也无法知道参与交易的人员到底是谁，唯有掌握私钥的人才能开启自己的“钱包” ，那么区块链上加密货币所有人持有的私钥就是使用和支配财产的唯一凭证。一旦用户丢失了秘钥或钱包服务提供商受到黑客的攻击，私钥的安全就难以保证，而追回加密货币的可能性几乎为零。2014年，黑客从著名的比特币交易所 Mt.Gox 窃取了价值4亿美元的比特币，Mt.Gox 随之倒闭。2016年，另一家主要交易所Bitfinex 也遭到黑客攻击，窃走价值7000万美元的货币。

4.效率风险。区块链在分布式记账的基础上实现了各分布节点之间的共识，无论系统采用的证明机制是工作量证明还是其他方式，记账过程都需要在全网间进行通信。采用全网通信的方式会造成资源的浪费，包括机器本身的资源消耗以及为了运行这些机器所消耗的其他资源，如人力、财力、电力等。此外，因为每笔交易的记录都需要通过每一个区块链条的承认，交易记录的生成需要大多数节点进行区块确认，节点基数越大，就需要多达成一次共识，确认所需的时点就越长。尤其对于广大用户开放的共有链更是如此，虽然节点越多意味着系统越公开和安全，但节点的增多也带来了效率下降的悖论。所以采用区块链进行记录的数据内容的交易频度不能过高，否则就会因为确认速度不及交易速度而产生风险。正如中国人民银行数字货币研究所所长姚前所说的，“从目前的情况来看，区块链的性能问题主要表现为吞吐量和存储带宽的能力远不能满足整个社会的支付需求。比特币交易结算每秒钟可完成7、8笔到10笔，坦率来说，这个速度是银行难以接受的，更是广大客户无法承受的”。 如果将其应用于交易频次大、资金大的证券交易系统，更是形成了对区块链效率的严重挑战。

(二)区块链的法律风险

1.区块链的匿名性引发的法律风险。由于区块链中每个节点的用户都是匿名的，参与交易的各方都是通过地址传递信息，即使获取了全部的区块信息也无法识别参与者真实身份。正因如此，人们更关心的是交易的实质内容，而忽视了交易参与者的真实身份，从而给冒用他人身份或者使用虚假身份从事不法行为的人提供了可乘之机。隐藏真实身份的代码增加了审查和干预的难度，为恐怖组织转移资金、勒索财产、贩卖毒品、拐卖儿童等非法犯罪行为提供了便利。

2.区块链的去中心化引发的法律风险。区块链的去中心化分布式系统无需中心机构来构建分布式节点之间的信任关系。交易参与人可以自证并直接交易，不需要依赖第三方机构的信任背书。这种去中心化的区块链金融一旦应用，势必对当下政府管理部门的职权地位和现行法律法规造成挑战。如美国的Equibit平台，就是通过区块链技术实现的点对点的股权登记和股权交易的网络，实现24小时不间断股权发行和即时交易。 在技术的推动下，私权自治体现得更加彻底，公权的公信力已显得有些多余。技术革新引发对公权力的抗衡是无法回避的问题。

3.区块链的数字货币引发的法律风险。数字货币是一种不以物理货币形式存在的，基于网络节点和数字加密的虚拟货币。无特定发行主体、总量固定、交易过程安全的核心属性使得数字货币越发受到推崇。我们最为熟知的比特币(Bitcoin)、以太币(Ethereum)、瑞波币(Ripple)和莱特币(Litecoin)在加密货币中占据较大的市场份额。加密货币的真实身份与实际交易的弱关联性，往往是导致黑市交易、逃税、洗钱等犯罪行为的中介。如行为人提供比特币账户、协助将赃款转换为比特币、通过比特币为中介将资金运往境外；网络敲诈分子攻击他人计算机或加密他人文件，以此威胁用户向某个比特币账户打钱；恐怖组织利用比特币购买杀伤性武器或恐怖融资；贪腐分子利用比特币直接兑换的优势，隐蔽其贪腐行为等等，都可能成功地避开监管部门通过银行交易记录追踪每笔资金的来龙去脉。

另外，以发行ICO 方式的区块链违法犯罪行为也气焰嚣张。很多ICO项目都是打着科技创新下新型融资手段的幌子，欺诈公众财产。很多的代币购买者不了解投资的项目盲目投入资金，而其投资的项目可能是骗局；许多投资人甚至并不了解比特币与区块链，便蜂拥而至地投入到ICO市场中。如“传销币”和“空气币”就是打着区块链和虚拟货币的名义蹭热度，诱骗他人投资。因此，2017年9月，央行等七部委发布《关于防范代币发行融资风险的公告》全面叫停ICO。笔者认为，ICO实质上并非区块链技术本身的问题，而是在于缺少监管和规制的技术，这必然给不法分子以可乘之机。

三、区块链风险治理中的监管困境

(一)无币区块链的困境

近年来，中央和地方政府相继出台文件鼓励区块链产业的发展，但同时监管机构又采取全面禁止境内开设虚拟货币交易所和面向中国公民发行ICO的举措。这两方面的共同作用实质上助推了 “无币区块链”的发展，即监管机构鼓励企业在不发行代币的前提下，推动各种区块链技术的发展和应用。然而，这两者之间本身是存在一定矛盾的。关于代币与区块链关系，有研究者指出:“代币在公有链相关项目中，是一种维持商业生态的必需品，可作为通行证、激励、权益证明、价值储存的媒介以及支付与清算的手段。”[4]一般情况下，“币”在区块链系统中被赋予了一种激励作用，区块链系统需不需要这种激励作用的“币”，取决于这个区块链系统本身。区块链根据公开范围的不同分为公有链 、私有链 和联盟链 。如果区块链是公有链，面向大众的应用，往往需要发币。币作为激励载体，能吸引尽可能多的用户甚至投资者。但如果是联盟链，如数家银行之间搭建的区块链，其节点需经过许可方可加入，不需要另外吸引开发者、用户甚至投资者加入，这样的业务场景不需要币。因此，“无币区块链”的概念在联盟链或私有链中存在践行可能。[5]但公有链是整个区块链的主流，一刀切式的监管则会影响区块链产业的正常发展。

(二)虚拟货币法律定位缺失的困境

我国对虚拟货币法律上的定位存在缺失。2013年中国人民银行发布《关于防范比特币风险的通知》，认为比特币属于虚拟商品，个人可以合法持有和买卖。2017年《民法总则》第127条提出 “网络虚拟财产”的法律概念，且确定了网络虚拟财产应受法律保护的原则。但是，《民法总则》并没有明确规定如何保护网络虚拟财产。

目前看来，2013年央行的通知是存在较大局限的。其一，虚拟货币种类繁多，其中可在市场上交易的就高达两千余种，并仍在快速增长和演化中，该规范性文件仅限于对比特币作出规定，显然规范的对象过于狭窄;其二，虚拟货币虽具有虚拟财产或虚拟商品特质，但并不局限于此，如比特币、以太坊等主流虚拟货币越来越呈现数字货币性质及金融属性，这也正是金融监管介入的重要原因。法律对于虚拟货币法律属性和法律适用的缺失必然导致司法实践的裁判不一。

(三)智能合约的法律困境

智能合约概念的出现早于比特币，其专属于区块链。密码学家尼克萨博早在1994年就提出了智能合约的理念，但由于当时不存在安全的合约执行环境，所以难以在实践中应用。[6]直到中本聪提出了比特币的概念，随着区块链技术的发展，智能合约的落地应用在技术上才逐渐成为可能，因为比特币是利用智能合约来交易的。其法律层面的困境在于，智能合约与《合同法》到底是什么关系？智能合约是否属于《合同法》规制的对象？这个本质问题会在法律维度下引发一系列问题：智能合约中的代码是否属于有形表现所载内容的形式？智能合约中的当事人交易形式如何认定？传统合同中的要约与承诺是否适用于智能合约？智能合约是否可以被撤销或撤回？智能合约的内容如果违法如何得到有效控制和监管？智能合约发生纠纷管辖法院如何确定？等等。这一系列问题都是传统法律的空白，在很大程度上对传统合同法中的契约精神构成了挑战，对法官理解案件事实与提升审判能力也提出了巨大的挑战。

(四)区块链缺乏统一规则标准的困境

目前， 区块链领域尚缺乏统一的国际安全技术标准，亦没有相关安全技术指引。尤其是包括中国在内的大部分国家，对虚拟货币均无明确的法律定性，更无法与法定货币等同。用以存储和转移虚拟货币的各种边缘服务如“钱包”等硬件在大多数国家均没有统一的安全技术标准。一些国家用于现场购买或兑换虚拟货币的机器(如比特币ATM机)，也没有统一的技术指标。上述各种区块链技术的边缘服务系统既没有国家安全标准，也没有纳入监管视野，如果系统出现漏洞，消费者如何索赔？如何确定相关方的责任？如何追究生产商的责任？此种硬件系统是否可以视同是金融机构使用的系统？目前法律监管层面均无明确答案。

(五)跨境风险的法律困境

与传统金融业务不同的是，区块链价值与资产的跨境转移并不必然通过银行完成。传统的金融跨境业务必须通过银行实现，受到国家金融监管部门的监管。而区块链资产的跨境转移，如投资人参与境外虚拟货币的交易、境外ICO、境外支付等，则不需要银行作为第三方即可实现。如果一项境外商业行为违背了中国的法律或行政规章等，但是在境外却属于合法行为，其通过区块链技术向中国境内公民提供的服务是否因为违反了中国的法律或行政规章而被追究法律责任？从法律层面来讲，法律和行政规章等适用于管辖国境内的违法行为，对于在国外实施的违法行为不能直接管辖；即使损害后果发生在中国，中国具有管辖权，也有较大的执法障碍。尤其是行政监管，对于尚未构成刑事责任的违规行为，跨境管辖就更加力不从心。区块链每个节点的高度自治性在一定程度上会淡化国家、监管的概念，冲击现行法律安排。[7]

四、区块链风险监管的规制路径

有学者认为，法律与技术的关系经历了四个阶段的变化：第一个阶段是电子信息时代，即将纸墨笔砚转化为计算机中可读的信息；第二个阶段是在决策中引入自动化；第三个阶段既包含着将法律规则写入代码，又包含着对代码的规制；第四个阶段则是现在正在经历的阶段，即法律的代码化，不仅在执行法律的阶段，而且在起草和解释法律的过程中都依靠代码。[8]当“代码即法律”的呼声日将高涨时，我们更要关注如何实现法律应有的最为本质的公平正义之精神。这不仅是区块链技术发展所面临的法律风险，而且是所有创新实务所共同面对的挑战。

(一)区块链监管的模式

世界上主流国家对区块链的监管主要有三种模式，即严格监管模式、宽松监管模式和限制监管模式。不同的监管模式体现了各国对待创新技术和风险的不同态度。

1.严格监管模式。即对区块链技术实行严格监管，是一种较为保守的监管模式。2008年金融危机以来，一些国家对待区块链等新技术采取审慎的监管态度。其优点是可以最大程度地防控风险，及时遏制甚至规避新技术应用初期暴露的风险。但缺点也是显而易见的，由于合规管理和内部控制的监管标准较为严格，导致成本增加、效率降低，而且会阻碍创新技术的发展和应用。

韩国就是实行严格监管模式的国家。2017年9月29日，韩国金融服务委员会(FSC)表示，将全面禁止所有形式的虚拟货币融资(ICO)，要对虚拟货币交易实行严格管制和监控，参与ICO的金融机构或个体将受到严厉的处罚。同时代币保证金交易及借贷行为也被明令禁止。

2.宽松监管模式。即对区块链技术持比较开放和包容的监管态度。支持和鼓励虚拟货币及ICO的发展，以吸引国际投资，抢先占领国际市场。在这种监管模式下，政府监管部门通常会选择与业界合作，并提供资金的支持与政策的鼓励，目的是加快区块链等金融科技创新的发展和应用。[9]这种宽松监管模式有助于区块链技术运营成本的降低，提高市场交易透明度，减少道德风险，促进资本市场良性运转。但同时也需警惕其在风险管控方面的不足。

瑞士一直对ICO持开放友好的态度，区块链技术渗透进了瑞士的许多领域。在虚拟货币方面，瑞士允许BTC支付，银行支持虚拟货币产品。为了规范瑞士境内ICO活动，金融监管机构(FINMA)于2018年2月16日发布文件，明确阐述瑞士法律在ICO领域的具体应用。FINMA认为，没有必要制定新的监管法规，现有监管法规足以监管通证、代币或加密资产相关活动。

3.限制监管模式。即介于宽松监管模式和严格监管模式之间的一种折中监管模式，也称为“沙盒监管” 模式。折中监管模式一方面鼓励科技创新，给予其充分的包容和试错空间；另一方面又将风险置于可控范围之内，避免系统风险，保障投资者和消费者的权益。该监管模式的核心理念是在确保安全措施到位的前提下允许在市场环境下对创新的产品、服务和模式等进行尝试。“沙盒”就像一块试验田，在真实的市场环境下试验创新技术；虽然不予以直接干预，但保证其一直处于可控的监管之下，最大限度地实现创新与监管的平衡。

新加坡是“沙盒监管”模式的典型代表。新加坡为金融科技产业的各种新模式和新理念提供一个“试验田”，让银行等金融机构和初创企业在这个既定的“安全区域”内试验新的产品与服务模式，在适度放松约束和管制的同时又为其划定一定的边界。早在2016年6月，新加坡金融监管局(MAS)就推出了“监管沙盒”制度。2018年4月，新加坡知识产权局(IPOS)又推出了“金融科技绿色通道”，大幅加快了如区块链等金融科技相关应用的专利审批流程。

(二)中国语境下监管模式及路径

如上所述，我国政府一方面鼓励区块链产业的发展，另一方面又全面禁止境内开设虚拟货币交易所和面向中国公民发行ICO。针对这一新兴领域，监管部门除了发布一些禁止性文件，尚未出台相关细则，一直未将虚拟货币交易平台正式纳入监管范围。当前，区块链和虚拟货币是金融科技领域极具影响力的行业，单纯地禁止或回避都不是解决问题的根本之道。结合世界主流国家的区块链监管模式，笔者认为，在中国语境下，可以从以下方面构建区块链风险治理的监管策略。

1.监管思路应从传统的硬性监管转变为柔性监管。为了使新兴技术在一个相对宽松和弹性的空间创新和发展，“沙盒监管”模式完全可以应用到区块链当中。“沙盒监管”模式类似于我国的“试点”机制，避免了新兴技术“一管就死，不管就乱”的困境，在监管者的密切监控下实现最大程度的技术创新。对于“沙盒监管”的试行，要坚持“一事一议”或“一项一查”的原则，针对不同区块链项目采取不同的监管方式，每个项目都要单独通过“沙盒监管”测试。监管成本可由国家和愿意参加沙盒测试的企业共同分担。[10]具体的方式可以参照新加坡金融管理局(MAS)的做法，在“沙盒监管”中登记注册的金融科技公司，只要事先报备，都可以开展与现行金融法律法规所冲突的Fin Tech 业务，包括对区块链技术落地应用的测试。[11]

2.针对区块链的特性进行分层监管。如上所述，区块链分为公有链、私有链和联盟链三个类型，可根据区块链不同类型特点，采取不同的分层监管策略。由于公有链对所有人开放，私有链只针对单独个人或实体开放，联盟链则对特定的组织团体开放，因此从公有链到联盟链再到私有链，监管的力度应由强到弱。同时，根据前述区块链所面临的技术风险和法律风险，监管上也应从这两方面有所侧重。针对技术风险，要着重对相关服务提供商或边缘服务的技术能力进行监管，对具体技术的运作模式、所需具备的物理条件、所需达到的行业技术标准作出严格的规定；针对法律风险，需要结合现有的具体应用场景，制定或修改既有的法律。[12]以内部技术监管与外部法律监管的双管齐下达到有效监管的目的。

3.明确虚拟货币的法律定位。虚拟货币需要法律上的定位和定性。目前，在一些国家比特币已经作为支付工具合法化。同时，对于ICO 发行的代币的法律界定，我国可以参考瑞士和新加坡的做法，即将代币按其经济功能分为支付类代币、应用类代币和资产类代币，并加以综合利用，弥补缺陷，基本上可以涵盖目前市场上流通的绝大部分ICO项目代币。对虚拟货币及各种代币分类的意义在于，能够帮助监管机构及时判定ICO项目所应遵守的具体法律法规；同时，有利于ICO项目发行方在代币发行前合理地规避法律风险。若能根据分类分别定性，则更适合有针对性的监管或司法认定。

4.制定智能合约的立法规范。目前区块链技术更多地体现在智能合约的应用上，未来各行业使用智能合约必将越来越多，因此对智能合约给予法律上的定位和规制是亟需解决的问题。智能合约应该具有一套相应的订立标准，包括格式、内容和技术指标等。编写智能合约是首要的问题，不仅专业性强，而且要保证代码的正确性和内容的合法性，以及能够获得交易方的信任和认可。对智能合约的审核和监督更是必不可少，这就需要设立一个区块链和法律相结合的专业机构。随着区块链相关机制日益标准化和模块化，法律实施和代码执行之间的界限必将越发模糊。提升区块链与法律契合度的最简单的方法就是将两者融合起来。法律条款和智能合约的融合正印证了法律即代码的未来趋势。技术规则将越来越多承担与法律规则相同的作用和功能。

五、结 语

区块链技术正在快速发展的阶段，其边界仍在不断变化中，中国语境下的区块链风险治理是一个系统工程，还有很长的路要走。政府应在鼓励科技创新与风险控制之间谋求平衡的前提下，及时转变监管思维，从绝对的禁止过渡到谨慎的开放；监管机构应对区块链技术制定出相应的统一标准；行业组织应积极制定行业自律指南和实践规范；立法机构应综合考虑区块链产业的发展与风险防控要求，推动相关立法，逐渐搭建起完整的法律与监管框架; 应加强国际合作，共同制定国际监管规则和标准指引；等等。