央行数字货币的网络安全风险及制度应对

章 成，张鑫仪

(武汉大学 中国边界与海洋研究院，湖北 武汉 430072)

央行数字货币(Central Bank Digital Currency, 以下简称“CBDC”)是由一国的中央银行发行，以密码字符串为表现形式，具备强制法偿力，在性质上属于可计价、支付、储值的法定货币，其形式上的数字化、破产保护功能及资金可追查性等特点，使其显著区别于传统的法定货币。根据2021年国际清算银行(Bank for International Settlements, 以下简称“BIS”)发布的CBDC调查问卷，在参与问卷调查的全球65家央行中，56家已经启动了CBDC研发工作。瑞典与韩国已经开始CBDC试点工作；欧元区、俄罗斯、日本等主要经济体已经作出决议将推出CBDC，进入概念验证或研发阶段。我国一直高度重视数字货币的发展，是世界上最早开始研发数字货币的国家之一。早在2014年，中国人民银行便专门成立了数字货币项目组，对数字货币和区块链技术开展了研究。2016年，中国人民银行设立了数字货币研究所，从运行机制、技术支持等多个维度出发，分析了在国内发行数字货币的可行性，并于2017年正式开始数字人民币的研发工作。2019年我国开始对数字货币进行试点实验并开展封闭测试。2021年6月，北京开始数字人民币试点工作，发布了共计4000万元的数字红包雨。同年12月13日，人民银行党委召开会议对2022年全年工作进行部署，明确指出将稳妥有序推进数字人民币研发。

本文拟以CBDC的网络安全治理为研究主体，将先阐述CBDC的定义，并对CBDC与传统法定数字货币进行区辨，总结概括CBDC的运行机制，再探讨CBDC面临的主要网络安全风险。在此基础上，本文将对我国应如何推进CBDC网络安全建设提出政策建议，以期为后续CBDC完善提供有益参考。

一、央行数字货币的概念界定及运行机制(一)央行数字货币的定义

目前学术界对于CBDC定义并未形成统一观点。BIS(2018)认为，CBDC定义尚不明晰，相较之对CBDC直接下定义而言，界定什么不属于CBDC的范畴则会更为简单。BIS(2018)指出CBDC是中央银行货币的数字形式，其与传统储蓄账户和清算账户间存在差异。[1](P3)也就是说，在中央银行数字化货币中，除传统储蓄、清算账户外中的数字化货币外，剩余的便属于CBDC。英格兰银行(2020)认为，CBDC是电子形式的中央银行货币，不仅能用于贸易往来和日常生活，还具备支付和储值功能。[2](P7)刘向民(2016)认为CBDC应当满足下述构成要件：一是由一国的中央银行发行；二是以代表具体金额的加密数字串为表现形式；三是属于法定货币；四是不存在物理形式，是数字化信息；五是能用于网络投资、交易和储值。[3](P17)刘彦迪(2020)认为，CBDC是基于国家信用发行，具有无限法偿性和强制性，是兼具流通手段、价值储藏、支付媒介、价值尺度功能的数字化货币。[4](P16)余雪杨(2021)认为，央行数字货币应当具备下述两个构成要件：一是发行主体为中央银行，以国家信用作为背书，具备强制法偿力；二是表现形式为密码字符串，并存储在数字钱包或数字货币账户中的法定货币。[5](P44)

从上述定义上看，各方对于CBDC的定义具有下述共性。其一，CBDC的发行主体只能是一国的中央银行。虽然商业银行、电信运营商、支付平台经中央银行授权能够加入CBDC的运行过程中，但上述主体并不能成为发行CBDC的权力主体。其二，CBDC是法定货币，与纸币、硬币一样具备强制法偿性，即收款方不得以支付方是以CBDC支付为由拒绝收款。其三，CBDC并不是实物货币，不具备物理形式，其是以密码字符串为表现形式的电子货币。综上可知，CBDC是由中央银行发行，以密码数字符串为表现形式，具备计价、支付和储值的法定货币。

(二)央行数字货币与传统法定货币的区辨

传统法定货币是由一国中央银行发行的，以国家信用为背书，可用于支付境内一切公共和私人债务，具有强制法偿力的货币。他表现为银行体系中的存款，也表现为流通于银行体系之外的现金。传统法定货币的价值是以国家信用为依托，因此只要中央不破产，这些货币的财产价值就不会有太大起伏，币值呈现出较高的稳定性。CBDC，也是由中央银行发行，以国家信用背书且具备强制法偿性的法定货币，其存在形式、流通模式、流通监管等方面都与传统法定货币存在区别。在存在形式方面，传统数字货币虽然也可以用“数字”为自身表现形式，但从本质上来说，“数字”形式的背后仍是依托于实体货币。也就是说，中央银行曾经发行过与电子账户存款相对应的纸币或硬币。而央行数字货币的“数字”含义更加侧重于以网络技术和区块链技术性质的“数字货币”，[6](P113)中央银行对这笔“数字货币”发行的形式本身就是数字化的，“数字货币”的背后并没有现金的支持。在流通模式方面，整个货币支付结算体系可以分为两类：存款货币流通体系和数字货币流通体系。就前者而言，储户在商业银行的存款是法定货币的转换形式，代表的是商业银行的信用，本质上是储户对于商业银行的债权凭证，一旦商业银行破产，这部分货币资产则属于商业银行的破产财产，储户对商业银行享有破产债权。就后者而言，商业银行只是充当媒介向中央银行缴纳储备金以换取CBDC，再将CBDC兑换给需要的储户，储户持有的CBDC本身就仍代表着国家或者是中央银行的信用。因此，即便是商业银行破产，CBDC也不会被归于商业银行的破产债权。[7](P168)就流通监管方面，中央银行往往只能进行宏观经济调控，对于流通中的现金而言，其法律属性为特殊动产，适用占有即所有原则，并不具备可追踪性，银行通常难以对其进行监管。而在CBDC下，央行能对每一笔数字货币的流通进行监管，对每一笔资金交易进行追踪，能够有效打击地下经济活动，抽逃资本的行为，从而减少货币迷失，保障金融安全。

(三)央行数字货币的运行机制

运行机制是CBDC最底层、最基础的安排，他决定了中央银行、商业银行以及社会公众之间的法律关系。在现实实践中，CBDC运行机制主要可以分为下述两类：中央银行单层投放模式与“中央银行—商业银行”双层投放模式。

中央银行单层投放模式是指中央银行不通过商业银行直接向社会公众发放CBDC，社会公众对中央银行持有直接债权。在该种模式下，自然人或者是法人必须在中央银行开设账户，将其所获得的账户收入记为数字货币收入，支出也是直接在中央银行的账户上直接进行划转。就支付结算而言，当前主要有两种模式分别为“中心化”与“去中心化”。中心化是指中央银行是支付结算的中心，自然人和法人之间有关CBDC的流通都必须经过中央银行，中央银行专门负责对划转资金进行审核认证。“去中心化”是指虽然自然人或者法人需要在中央银行开设账户，但是中央银行并不对资金的流转进行直接管理，而是采用区块链技术，委托第三方对交易进行确认。在这种模式下，中央银行对CBDC会有更多的掌控权，而商业银行和第三方机构可能被排除在CBDC发行和运作的体系之外，这将加剧商业银行“金融脱媒”的风险。[8](P53)

“中央银行—商业银行”双层投放模式是指，中央银行通过商业银行或者是第三方机构向社会公众发放CBDC。其中，中央银行与商业银行和第三方机构成立委托关系，中央银行作为委托人将部分或全部支付业务和账户维护等相关事项委托给商业银行和第三方机构。社会公众不与商业银行和第三方机构之间成立债权债务关系，而是与中央银行成立债权债务关系。我国采用的便是这种双层投放模式。双层投放模式的支付结算也分为“中心化”与“去中心化”两类。“中心化”是指中央银行委托商业银行和第三方机构向社会公众另行开设数字货币账户，商业银行和第三方机构因受委托而承担资金结算和账户维护的义务。“去中心化”是指受委托的商业银行和第三方机构并不承担资金结算的义务，只是代为管理银行账户和进行账户维护，资金结算等业务由联盟区块链技术自动进行。也就是说，储户间数字货币资产的转移是直接进行的，并不需要通过商业银行和第三方机构直接管理的账户。在双层发行模式下，商业银行和第三方机构也加入了CBDC的运行流程，有助于降低“金融脱媒”的风险。另外，在这种模式下，中央银行能与商业银行进行充分联动，发挥市场力量，通过竞争促进系统优化和升级，进一步完善CBDC运行机制。

二、央行数字货币面临的网络安全风险

CBDC是以纯数字形式存储，以身份信息为代码和私匙作为确认所有权权属的重要凭证，主要以信息传输的方式实现CBDC所有权的转移。上述特点使得CBDC面临着较为严峻的网络安全问题。2021年11月世界经济论坛发布的新白皮书《CBDC技术考虑》就各国央行发行CBDC可能存在的问题作出了较为详细的阐述。下文将从新白皮书罗列的主要网络安全风险出发，结合我国的实际情况，分析当前我国在网络安全方面仍然存在的风险挑战。

(一)凭证被盗和丢失

依据CBDC实施形式的不同，其通行凭证通常存在多种形式，既可以以通行密码的形式存在，也可以以私匙的方式贮存。不论通行凭证是以何种形式存在，对于CBDC账户持有人而言，丧失对通行凭证的所有权都是一笔较大的损失。对于银行而言，储户的通行凭证被盗或是丢失对于其声誉而言也会造成不利影响。需要注意的是，CBDC通行凭证被盗并不同于所有权人因财产被盗窃丧失对动产的占有。而是行为人通过社会工程学、恶意软件等网络技术从CBDC用户的设备中提取通行凭证，最终使得所有权人遭受损失，行为人可能同时触犯《中华人民共和国密码法》(以下简称《密码法》)、《中华人民共和国网络安全法》(下文简称《网络安全法》)等法律规范。另外，在CBDC通行凭证丢失的情形中，商业银行或者是第三方机构也有可能因渎职等因素承担相应的责任。然而，当前适用于CBDC通行凭证被盗和丢失场景的法律规则仍存在诸多不足，亟须完善。

传统法定货币和CBDC相比，前者更多的是实体形式存在，而后者往往需要借助网络才能发行、划拨，因此CBDC通行凭证被盗或者丢失可能受到《网络安全法》的规制。CBDC通行凭证是储户从账户中提取CBDC的钥匙，属于储户个人信息的范畴，因此窃取CBDC通行凭证可能涉嫌窃取储户个人信息。根据《网络安全法》第27条规定，任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动，明知他人从事危害网络安全的活动的，不得向其提供帮助。因此，不论是实施窃取行为的人，还是帮助犯都应当承担相应的责任，责任类型包括拘留与罚款等。就CBDC通行凭证丢失而言，《网络安全法》设计了多项制度以规范网络运营商的责任，但责任类型皆是过错责任，即只有网络运营商对于CBDC通行凭证丢失主观上有过失的情形，才应当承担相应的责任，并未对网络运营商无过错情况下的责任划分制定相应的规范。

CBDC通行凭证的表现形式是密码数字符串，因此与CBDC通行凭证相关的犯罪与《密码法》的联系程度较高。《密码法》第2条对密码专门作出了界定，指出本法所指密码，是指采用特定变换的方法对信息等进行加密保护、安全认证的技术、产品和服务。而CBDC通行凭证本身就需要通过哈希算法等算法进行加密处理，并通过安全认证技术对CBDC账户进行保护。可见，CBDC通行凭证符合《密码法》第2条规定下密码的构成要件，因此其应当受到《密码法》的规制。《密码法》将密码分为三种类型，分别是：核心密码、普通密码和商用密码。根据《密码法》第7条规定，核心密码与普通密码都是用于保护国家秘密信息。《密码法》第8条规定，商业密码用于保护不属于国家秘密的信息。因此保密信息是否属于国家秘密是界定密码是属于核心密码、普通秘密还是商业秘密的关键。CBDC通行凭证的本质是储户打开自身银行账户的密钥，与国家秘密并没有直接联系，故CBDC通行凭证应当归属于商用密码。所以不论是CBDC通行凭证被盗还是丢失都可以适用《密码法》中关于商用密码的规定。就CBDC通行凭证被盗而言，《密码法》中并没有直接规定盗取商用密码的法律责任，而是规定应当参照《网络安全法》和其他法律法规对这类行为进行处罚。因此，如若发生了窃取CBDC通行凭证的违法或犯罪事实也并不属于《密码法》能够规制的范畴。就CBDC通行凭证丢失而言，储户通常面临永久损失资金账户的风险。《密码法》赋予了商业银行和第三方机构维护系统稳定运行的义务。根据《密码法》的相关规定，如若销售或者提供未经检测认证或者监测不合格的商用密码商品，或者是没有履行完成自身的安全审查义务，导致网络安全严重后果，应当对该运营者及直接负责的主管人员追究责任。由上述法条可见，商业银行和第三方机构仅在主观上存在过错的情形之下才会承担相应的责任，系过错责任。而在商业银行和第三方机构主观上不存在过错时，CBDC通行凭证因为其他原因丢失，应当由哪一主体承担补偿责任尚不清晰。

综上，虽然CBDC通行凭证被盗和丢失可以由《网络安全法》和《密码法》等法律规制，但是这些法律都没有对这一情形专门规定，而是需要先将CBDC通行凭证本身进行解释纳入这两部法规制的范畴，再寻找与之对应的情形，最后才是对违法、犯罪行为进行定性。并且即便有与上述行为相对应的法律条款，该条款也往往是原则性规范，在部分责任承担的分配上仍存在空白，处罚力度也较为轻微，尚不足以保障储户的权利和规制运营者的行为。

(二)拥有特许角色的用户

拥有特许角色的用户是指政府机关、司法执行机构还有其他能够采取强制措施的机关，这些强制措施包括在未经储户同意的情况下强行冻结、查封CBDC资金账户等。而正当采取强制措施离不开权源的支持，并且不能违背现有的监管执行规定。但在我国当前的法律体制中，权力机关缺乏采取强制措施的实体和程序依据。一方面，因现行法律的定性不明，CBDC在是否能被认定为适格可被采取强制措施的标的这一问题上尚存争议。货币本身并不存在价值，而是因为其背后有国家和中央银行的信用背书，以法律为保障，规定权利人持有的法定货币可以在该国境内随意清偿，任何人不得拒绝接收，法定货币才具备强制法偿力。[9](P90)这项规定反映了我国只对法定货币的强制法偿性进行保护的立场态度，但是CBDC作为央行发行的货币，其究竟能否归属于法定货币，现行法律还没有作出明确规定。根据《中华人民共和国中国人民银行法》(以下简称《中国人民银行法》)第16条规定，中华人民共和国的法定货币是人民币。以人民币支付中华人民共和国境内的一切公共的和私人的债务，任何单位和个人不得拒收。该条赋予了人民币强制法偿性的法律地位。但是根据《中华人民共和国人民币管理条例》(以下简称《人民币管理条例》)第2条，人民币仅包括纸币和硬币。由此可知，依照现行法律规定，CBDC并不属于人民币的范畴，其强制法偿性仍缺乏法律基础，法律地位尚待明晰。在缺乏强制法偿性的基础之下，CBDC的财产价值很难得到保障。而被采取强制措施的标的物本来就应当具备财产价值，CBDC在缺乏财产价值保障的情形下，权力机关采取强制措施的依据存疑。另一方面，即便CBDC最终被认定为适格可采取强制措施的标的，但还是缺乏相应的程序性规范为权力机关采取强制措施保驾护航。当前，程序法中对应的货币仅仅限于传统法定货币。由于传统法定货币与CBDC存在本质性差异，适用于传统法定货币的程序性规范难以对CBDC进行规制。这不仅使得CBDC账户持有者财产权益无法得到保障，还使得权力机关行使权力缺乏程序性依据，增加了权力机关滥用权力侵犯储户财产权益的可能性。

此外，尽管向某些主体提供特许权可能是发行和运作CBDC的必要选择，但不排除有部分内部人士借机恶意攻击CBDC系统。我国采用的是“中央银行—商业银行”双层投放模式，中央银行主要负责宏观调控，商业银行和第三方平台负责监管和系统维护。在CBDC具体运行的过程中，后者可以接受或拒绝违背央行意愿的操作。一旦后者作出违背中央银行规定的决定，例如将本来无效的交易宣告为有效抑或是将本来有效的交易宣告无效，在这种情况下，应当如何对商业银行或者第三方平台进行追责？中央银行在整个监管流程中扮演何种角色？上述问题皆是值得探讨的问题，但现行法律体制中都没有对上述事宜作出相应的规范。

(三)双重支付

双重支付是指CBDC终端使用者通过数字造假的方式，在多个地点同时花费同一笔CBDC账户资金。如若采取离线支付机制，CBDC将会面临更大的双重支付风险，这是因为在“在线”情况下，第三方机构尚且能够介入对交易进行验证，然而在“离线”情况下其无法在第一时间对消息进行验证。因此，在实践中不同国家往往通过限制离线交易的数额和次数来降低双重支付风险。在正在研发的数字货币中，我国的CBDC是唯一明确要求“双离线支付”的数字货币。“双离线支付”是指即便付款方和收款方都处于离线状态，一样能够顺利完成交易。具体而言，在收付双方都离线的情形下，系统会先对双方交易进行记账，之后再行扣款。在这种情况下，不排除付款方利用时间差先后用同一笔CBDC资金进行数笔交易。因此，虽然“双离线支付”丰富了交易场景，但其带来了更大的“双重支付”风险，如何妥善应对和解决“双重支付”是一个亟须解决的问题。虽然对“双重支付”的定性学界存在较为一致的观点，普遍将其认定为金融诈骗行为。但是当前并不存在规制“双重支付”的专门法律规范；也没有法律条文列明在预防“双重支付”上，中央银行、商业银行以及第三方机构各自应当承担的监管责任。[10](P4)这使得实践中预防“双重支付”还存在诸多制度空白。

三、央行数字货币网络安全风险的制度应对路径

由上文可知，作为近年来金融科技发展的产物，CBDC的发展仍受到诸多因素的掣肘。一是缺乏专门的CBDC法律规范。总体考察我国现行货币法律制度的供给状况，尚不存在一部集中规范CBDC的货币基本法，关于CBDC的相关规范都散见在其他法律规范、规章办法中，呈现出层级较低、较为散乱的特点。二是缺乏对CBDC的法律定性。目前，现行法律仍是以传统法定货币为规制主体，并没有对CBDC法律地位及法偿性范围等作出界定。三是缺乏充分的监管机制。在“中央银行—商业银行”双层投放模式下，中央银行、商业银行和社会公众在CBDC发行和运作过程中各自的权力或权利以及义务的范畴界定，对于建立完善的CBDC监管机制尤为重要。但是，目前上述三个主体的权力或权利来源以及义务承担尚不清晰，这使得在降低CBDC网络安全风险上存在诸多制度空白。这会影响CBDC的稳定运行，阻碍CBDC市场吸引力的提升。为有效抵御CBDC运作过程中可能存在的网络安全风险，我国可以从下述三种具体路径出发，增强CBDC网络安全风险的制度应对效能。

第一， 推动制定CBDC法律规则。规则指引解决CBDC网络风险安全的重要保障。我国应当出台专门的《央行数字货币法》，借此推进CBDC法律规则体系的制度建设。在该法中明确CBDC的定义、范围、发行机制、运行机制、制作标准以及央行数字货币法律关系中的主体、客体、内容、取得方式、侵权方式和责任承担方式，以及货币在发行和流通环节，各个主体应当承担的权利或权力以及义务等。这不仅有助于将当前分散的法律规则体系化，还能够借机解决CBDC运行过程中潜在的网络安全风险问题，以法律形式为存疑问题作出答复。此外，如上文所述，CBDC与《密码法》和《网络安全法》等法律息息相关。制定专门的《央行数字货币法》并非是为了排除其他法律的适用，而是为了更好地协调其与其他法律之间的关系，并针对CBDC发行和运作过程中存在的网络安全风险问题提供专门性方案。例如，CBDC通行凭证被盗问题便同时涉及《密码法》和《网络安全法》等多部法律。但是不论是《密码法》和《网络安全法》都呈现出立法层级较低、规则制定较为原则化的特点。CBDC通行凭证被盗本身便涉及公民的财产性权益，一旦发生凭证被盗、丢失等网络安全问题，因CBDC通行凭证的难以复原性，公民的财产性权益会受到不可逆性损害。因此，CBDC通行凭证并非普通的商用信息，而是事关社会公共利益的商用密码信息。但是不管是《密码法》还是《网络安全法》都未对有关CBDC通行凭证的保护作出专门性规范，并且即便有相关规定，也是比较空泛、覆盖面积较大的规范，在实践中常常难以确定当事方的法律责任。因此，立法者应当依照CBDC本身的特点制定专门的法律规范，有的放矢地对CBDC基本属性和潜在问题进行规制，《密码法》和《网络安全法》等其他法律可以作为补充性法律文件，对《央行数字货币法》没有规制到的内容进行补充性规范。

第二， 有针对性地修改和完善CBDC发行和使用涉及的法律法规。CBDC的有效运作有赖于与其他法律的协同配合。我国应当修改现行法律中与传统法定货币相关的规定，规范CBDC的法偿性范围，为权力机关查询、执行CBDC奠定法律基础。法偿性是法定货币的一项特有属性，其成立前提是有法律条文明文规定CBDC是法定货币。然而，不论是《中国人民银行法》还是《人民币管理条例》指向的规制对象都是传统法定货币，即硬币与纸币，它们都没有将CBDC列为法定货币，因此CBDC的强制执行力缺乏法律层面上的保障，这不利于拥有特许角色的用户，即权力机关，开展执行工作。因此，为预防和降低网络安全风险，立法机关应当修改现行《中国人民银行法》和《人民币管理条例》中有关货币定性的规定，将CBDC也纳入法定货币的范畴，以法律形式确定CBDC的强制法偿性，为CBDC作为执行标的奠定法律基础，从而减少权力机关在执行CBDC过程中面临的阻碍。与此同时，立法机关还应当修改现行法律中有关执行的规定，根据CBDC的独特属性对权力机关有权对CBDC账户采取强制措施的情形设置标准，并对执行CBDC作出特别性规范，从而降低拥有特许角色的用户滥用自身权力的可能性，为营造良好的网络安全环境保驾护航。

第三， 强化有关机关的监管能力。降低CBDC网络安全风险离不开各监管机构的合作。我国应当明确各监管机关的职能权限，明确中央银行、商业银行的第三方机构的监管权限范围，明晰商业银行和第三方机构违反中央银行规定应当承担的责任范围，确保中央银行货币政策的权威性和独立性。此外，立法机关应当协调各监管部门之间的联系。CBDC本身具备多重属性，因此可能受到多重监管机关的监管。比如，CBDC作为商业密码，其应当受到《密码法》下监管机关的监督。CBDC发行运作离不开网络的支持，因此其也会受到来自网络安全监管机关的监督。倘若各个部门就自己管辖的范围内确立规章制度，那么部门规章之间可能出现管理交叉、责任不明的现象。我国立法机关应当制定相关原则或规范来划分各个机关的权限范围与协调这些机关间的关系。