央行数字货币的几种运营模式及其技术架构

央行数字货币的几种运营模式及其技术架构

众所周知,根据不同的表现形式,央行数字货币CBDC可以分为不同的类型。

比如,从适用对象来看,CBDC可以分为零售型以及批发型;从运营架构来看,则可以分为间接型、直接型、混合型;从价值范式又可以分为基于账户形式和基于通证形式等。

那么除了中国使用的双层运营模式外,CBDC还有哪些运营模式?这些运营模式各有什么优劣?现在都采用了哪些通用的技术架构?不同技术架构由什么因素影响?今天这篇文章将解答这些核心问题。

 

第一点:有哪些运营模式

CBDC的基础运营模式可以分为三类:间接模式(Indirect CBDC model)、直接模式(Direct CBDC model)和混合模式(Hybrid CBDC model),是CBDC最底层的设计。

 

间接模式

间接模式(Indirect CBDC model)又称双层模式(two-tier CBDC),或合成模式CBDC(synthetic CBDC)。

还将间接模式发行的代币型CBDC称为多胞CBDC(multi-cell CBDC)。是央行与金融中介机构之间的交易使用的是批发型CBDC,但由于发行的目标受众是居民,因此属于零售型CBDC的一类。
这种基础架构与现行货币体系有相似之处,CBDC由公共部门(央行)与私人部门(商业银行、支付提供商等第三方机构)合作推出。央行与商业银行等第三方机构对接,发行CBDC,只负责与中介进行清结算。这些中介机构再以持有的CBDC为储备资产,向零售市场客户(居民)发行间接CBDC。

这一模式的关键在于居民持有的是第三方机构的直接负债,而非央行的直接负债。第三方机构面向居民提供支付结算、账户管理等服务,并通过在央行的批发型CBDC账户或银行间CBDC市场调整CBDC头寸来进行清算。这种模式虽然得到广泛的讨论,但是否符合CBDC的定义仍存在争议。如果将CBDC限定为央行发行的数字化法定货币,即CBDC满足定义要素第一条法偿性,那么这一模式下中介机构发行CBDC可能不满足此定义,因此不属于零售型CBDC的基础架构。瑞典央行也指出,即使要求发行中介预留全额准备金,这种模式下居民持有的仍然是对中介的债权,而非中央银行货币。但是可能更好的理解方式是:央行在具体设计时应当以法偿性为目标,通过立法等手段赋予CBDC最大程度的法偿性。过分强调完美的法偿性可能丧失实践意义。

这一基础架构的好处有三点:

1.直接利用现有的双层货币体系,可减轻央行运行压力、成本和风险。如果发行账户型CBDC则与现行的商业银行账户差别不大。KYC(know your client)、尽职调查、技术搭建、客户管理、监控交易、争端解决以及AML / CFT(反洗钱和打击资助恐怖主义行为)等服务均由商业银行等第三方提供。中央银行仅负责中介机构的批发账户之间的结算,并负责监管。

2.公众习惯于通过商业银行等机构处理金融业务,双层投放有助于加速CBDC的认可与使用。

3.有助于鼓励政府部门与私人部门合作,在保障安全可靠的前提下各自发挥比较优势,私人部门专注于研发创新和客户服务,而公共部门将重点放在建立信任(提供国家信用)上。

这一模式的弊端有四点:

1.要实现发行CBDC的首要目标之一,即增强支付系统的弹性,与现行商业银行为主要中介的结构差别越大越好;且CBDC有足够的需求、代表明晰的权利是CBDC在支付系统中充当后备选项的关键前提(DNB,2020)。虽然居民持有的CBDC最终是对央行的债权,但实质上直接持有的是商业银行发行的ICBDC。又因为CBDC缺乏纸币作为权益凭证的物理属性,其享有的权益并不明晰,需要明确规定。

2.央行无法直接掌握每个居民的持有情况,在金融监管和违法控制上都增加难度。

3.与纸币类似,CBDC仍会面临监管、银行流动性压力和存款保险的问题。

4.央行可能难以直接干预支付的功能设计,例如数据备份、离线支付等,这也会为监管带来挑战。一种解决办法是要求商业银行等其他发行中介机构对于发行的CBDC预留100%准备金,以防资不抵债时无法兑付。如果中介机构可以持有准备金并进行交易,且在其破产时准备金可以得到隔离,那么以准备金为基础一比一发行的电子货币,在本质上也是对央行的债权。

事实上,这非常类似目前一些国家的央行对电子支付提供商采取的管理模式,但私人部门发行的由100%准备金支持的债权凭证法律上仍不是对中央银行的债权。另一个问题在于发行中介机构的选取。中国央行提出的双层基础架构的中介机构(即指定运营商)只能是商业银行。但在国际上,支付服务提供商也是一个广泛被讨论的可能性。但一些国家需要修订法律,以允许支付服务提供商成为中央银行的直接对手方及在央行预留准备金。

在中国,在CBDC之前,支付机构实际上已经在央行全额缴纳备付金,这方面的障碍应该不存在。

 

直接模式

直接模式(Direct CBDC model)对于代币型CBDC,直接基础架构也被称为单胞CBDC(single-cell CBDC)或中央银行虚拟货币(central bank cryptocurrencies)。这一基础架构非常直观,即央行直接面向零售市场发行CBDC。

这一模式的好处有三点(Auer andBöhme,2020)。

1.结构简单,不依赖金融中介,有利于央行对于货币量及价值的掌控。

2.央行直接掌握交易信息,用力与监督非法活动。

3.由于此种CBDC是对央行的直接债权,信用风险几乎为零。

但带来的弊端在于,虽然KYC和尽职调查等动作仍然可以由商业银行或其他公共机构负责,但支付服务仍然由央行全权提供,央行需要承担较大的运营压力和成本,以及系统故障带来的风险。

从目前的银行卡结算网络来看,如此巨大规模的支付技术由私人部门提供可靠性和效率均会更高(Auer and Böhme,2020)。厄瓜多尔实践了这一模式。通过一款移动支付软件,允许普通大众在厄瓜多尔央行开户,只要输入身份信息就可以安装使用,其功能与商业银行的活期存款、支付宝的账户余额类似,只不过发行者是央行,属于央行负债,具有更高的安全性。但这一方案在人口大国的可行性不高。厄瓜多尔的CBDC因极少数人愿意去开账户和使用,最终以失败告终。瑞典央行还提出央行可以采用直接模式进行小规模、有针对性(例如向弱势群体)的CBDC发行。

 

混合模式

在混合模式(Hybrid CBDC model)下,由央行发行CBDC,居民持有的CBDC是央行的直接负债,这是与间接模式的关键区别。与直接模式的不同在于,实时交易服务由支付提供商负责。瑞典央行将这一模式称为有中介机构的模式(Centralized/distributed model with intermediaries)。

这一模式顺利施行的关键在于法律框架需要将CBDC与支付提供商的资产负债表隔离,并需要在法律和技术上允许央行在一家支付提供商出现问题时能够批量将居民的CBDC资产转移至正常运营的支付提供商。
理论上,除了央行提供完全的信用背书、交易服务由支付提供商等中介负责以外,混合模式下CBDC其他相关服务由央行还是支付提供商负责是没有定论的。但由于央行与最终用户有直接的债权债务关系,因此央行是否可以放弃争端解决、诈骗赔偿、KYC AML/CTF等责任需要在法律上进一步探讨。

混合模式与预留100%准备金的间接模式较为相似,主要不同有三点:

1.混合模式下居民“穿透”支付提供商的资产负债表,直接持有对央行的债权,在技术和法律上的处理与间接模式不同,系统的弹性可能更强。

2.混合模式下央行虽然不需提供支付服务,但仍需要进行负责记录居民端的CBDC余额,这一方面加强了央行对金融体系的监控,另一方面也增加了央行的负担。

3.间接模式与现行货币体系较为相近,一般存在银行间市场,供银行等第三方金融机构之间进行资金批发交易;而混合模式中支付提供商一般只与央行之间进行对账和结算。与间接模式相比,这种模式下央行承担的责任仍然较多。如果出现风险和故障,则央行可能会面临声誉受损。这一模式比直接模式简单,能更快落地。央行无需提供支付服务,可以集中精力在交易结算等核心功能上。另外,能够更多激发市场活力,促进创新。

第二点:分布式账本技术还是传统技术?

由于CBDC 代表了一种新的、额外的公共货币形式。根据其架构,它可以配备中央银行运营的支付系统,该系统应既提供中央银行货币的独特优势,又支持数字支付作为公共产品。

设计功能性rCBDC 平台给中央银行带来了多项挑战。中央银行可以在运行系统核心并确保稳健的货币、流动性和整体安全方面发挥关键作用。由于零售支付需求多种多样且不断变化,满足这一需求的一种方法是通过充满活力的中介机构社区来促进竞争、创新和准入。因此,在探索过程中,央行正在考虑rCBDC 系统的许多替代设计。在这些努力中必须考虑的问题尤其包括:

  • 在提供rCBDC 平台和服务方面,私营部门和公共部门之间最有效的任务划分是什么?
  • rCBDC 系统如何促进准入和竞争,并促进支付服务创新?
  • 增加访问权限是否会以更大的网络安全风险为代价?
  • 最后,设计良好的rCBDC 系统能否保留现金的理想属性,同时创造与当今的支付系统一样或更好的用户体验?

回到技术架构,不能避免的需要讨论使用传统的中心化系统或基于分布式技术,还是两种混合的模式。

对于任何国家的央行来说,都会仔细权衡使用分布式账本技术的成本和收益。

没有一种方法适合所有的央行数字货币,针对不同国家的国情和业务发展需求各个中央银行对于CBDC的设计原则不尽相同。

央行货币构成了全球货币体系的核心,提供了安全性、中立性、可访问性和完整性的基础,并以通过央行资产负债表结算实现支付最终性为基础。

CBDC应当在其设计过程中遵循严格的隐私设计原则以及政府、企业、消费者之间的权力共享方法实现中央银行与用户的独立性。CBDC的特征和功能应满足:

  • 可编程性支付
  • 隐私保护
  • 安全的连续离线支付
  • 互操作性,通过智能合约和DLT技术的可编程性使得互操作性更加多样化和效率化。满足更复杂的有效性和遵从性需要的自动化验证。

 

可编程性支付:脚本、智能合约

CBDC的功能应具备可编程性支付,这样可以创造更大的创新空问,一般采用脚本和智能合约技术实现数字货币的可编程性,使CBDC提供更广泛和更高效的支付性能。我国的央行数字货币DECP通过在数宇货币中嵌入脚本或者使用智能合约的方式实现数字货币的可编程功能,并且,通过数字人民币的可编程性和条件支付的特性,创造了很多现金无法实现的新货币应用场景,大大扩展了应用边界。例如针对指定商户发放具有有效期的定向红包;利用智能合约实现数宇人民币在精准扶贫方面的应用,专项的扶贫数字人民币只能在限定的条件下才可以进行使用,达到专款专用的目的;数宇人民币在商业保险中的应用,签订保险的时候部署智能合约,满足合约触发条件后,数字人民币的智能合约自动执行,并且对理赔的数字人民币进行了使用限制,保护了双方的利益。正是因为CBDC的可编程性,使得数字货币成为货币发展过程中的一个新的阶段,并且脚本和智能合约是数字货币的一个重要组成部分。

CBDC的合约系统和传统区块链的智能合约不尽相同,传统的区块链智能合约,通过部署智能合约到区块链上,然后用户创建交易时调用合约,一些挖矿节点运行智能合约,执行完成后把合约参数连同交易写入区块链上,完成合约的执行。市CBDC的合约系统不只是链上代码,也不是所说的“代码即法律”,而是合规的合约系统,满足金融和法律要求的智能合约标准。智能合约不一定非要上链(合约的凭证上链),但是其具有完整性,可验证性,不可否认性等特征,同样智能合约可以在CBDC系统中执行。

 

监管友好的隐私保护

任何 CBDC 都需要在保护消费者隐私权和提供阻止犯罪活动所需的透明度之间取得适当的平衡。CBDC会产生关于用户金融交易的数据通过利用现有工具解决隐私问题。

同时金融机构必须遵守反洗钱和反恐怖主义的规则,包括对客户的尽职调查、记录保存和报告要求。隐私保护是在寻求一个金融市场秩序稳定的平衡点,设计的底线时满足法律制度规定的个人信息隐私保护,是CBDC得到公众认可的前提。但是如果允许交易方完全匿名,那么就可以说CBDC鼓励暗网交易、逃税、洗钱等非法活动。只有有效的追踪非法活动的资金信息交易双方信息才能有效的打击和遏制犯罪,保护广大人民的生命和财产安全。

我们国家的数字货币DC/EP在隐私保护方面采用了可控的匿名交易机制,即实现了等同公众使用现金交易的匿名性,又可以有效的打击违法交易活动,表2所示的DC/EP双层结构中各个部分对数据的访问权限,

可监管:通过收集客户信息,验证数字货币的所属权,记录交易历史,识别交易双方的身份,实现特定情况下的可追溯性,确保央行获得数字货币的完整性;

匿名性:基于松耦合的账户,采用隐私保护技术对数据访问进行管理,从而保证数字货币的匿名性,满足公众对数字货币匿名支付的需求,确保流通过程中各方只能访问与自己相关的信息。

 

安全的连续离线支付

离线支付分为单离线支付和双离线支付,支付过程一个是支付媒介(也就是发送方),一个是受理终端(也就是接收方);顾名思义单离线支付就是一方离线,一般支持支付媒介的离线,双离线支付是指双方均离线的情况下也可以完成支付过程,主要满足地下室、停车场、山区甚至是地理灾害等特殊环境下的支付需求。

NFC技术时双离线支付功能的核心,但是NFC支付主要通过硬件嵌入在手机里,然后通过投权后或者支付功能,还有一种时NFC-SIM卡,将NFC功能嵌入到SIM卡中,满足更多的设备需求,NFC只是满足了支付通信的要求,另外SE完全芯片的作用同样重要,关于密钥管理和对交易的签名等都是通过SE安全芯片实现。SE安全芯片通过把密钥不能被外部读取,只负责加解密和签名等算法,保证应用的安全。SE模块现在大部分手机终端都支持此功能。同时为了安全期间,双离线支付在交易时间和交易次数方面都做了限制,当交易次数耗尽后必须通过联网同步后才能继续使用离线支付。

 

互操作性

支付系统的互操作性,主要用于实现CBDC的跨境和跨货币的互操作性:

  • 兼容标准(例如类似的监管框架,消息格式和数据要求等)
  • 通过专用的接口,通用的结算机制或者相关方案实现系统互联
  • 建立单一的多货币支付系统

在整个CBDC设计过程中,因各国央行对数字货币的需求不尽相同,区块链在整个CBDC的设计中的参与度也不同,但是几乎都离不开区块链的技术或者分布式账本技术DLT。区块链系统必须根据央行的业务需求而改变,随着各国央行数字货币的推进,设计新一代基于区块链系统架构的CBDC满足不同央行业务需求(例如交易的完备性,监管性的需求),开启了区块链技术研究的一个新起点。通过新的技术推动国家数宇金融的改革,通过数字货币降低费用,提高效率推动国家经济的发展。

在各个国家设计CBDC的过程中是否采用区块链不是一个必然的选择,这里的区块链是一个拥有完全区块链结构:分布式账本,共识机制,智能合约/脚本,P2P网络,公钥签名算法等。但是CBDC会根据不同的业务需求选择某些区块链的某些技术例如分布式账本技术,智能合约等作为研究的技术点实现各自的CBDC系统。根据上面的CBDC特征可以发现:可编程性需要研究基于虛拟机的智能合约部署,满足多样性和效率的数字货币;对各种加密算法和签名算法的研究使得离线支付更加高效和安全;对匿名机制的研究,实现监管友好的隐私保护;对区块链跨链技术的研究,寻找实现CBDC跨境业务的突破等。

 

第三点:基于账户还是基于代币?

作为货币价值存储和结算引擎的主要技术选项,目前账本类型主要分为基于代币(Token-based)和基于账户(Account-based)两种类型。两账本类型关键区别是交换时需要的验证形式(Kahn和Roberds(2009))不同。CBDC属于各国的法定货币,跟现金一样,其价值基于物权,物权概念在法律上是谁占有、谁拥有,因此可以发现代币模式为实物货币的数字化表示提供基础,也是数字货币体系里最核心创新点,这也是各国央行吸收加密货币生态领域创新中最普遍采用的内容,所以各国CBDC多采用代币模式(即 Token-Based)。

基于代币的数字货币(或支付系统)的基础能力是实现数字代币的发行、销售和不同持有人间的转移,这些能力在很大程度上依赖于发行人、付款人及收款人验证支付对象的有效性的能力,而与传统账户验证持有人身份不同,代币模式本质是验证对物权的拥有权,这里主要使用目前成熟的PKI体系中数字签名的签名和验签能力。

对于现金,人们担心的是伪造,而在数字货币应用中,人们担心的是数字代币的真伪(电子伪造),以及是重复消费的安全性,需要通过钱包系统通过交易签名密钥调用数字货币核心系统的基础功能,实现数字货币支付的可用性,同时保障交易的匿名性,为保护体现数字货币物权拥有权的交易密钥,并为客户提供更具体验支付流程,目前主流的数字货币服务体系是将代币系统与钱包系统合并看作新型数字货币的必要组成部分。

钱包系统会存储用于货币交易验证的签名密钥信息,使用时需要通过验证持有人信息和真实意愿,因此钱包系统多采用用户熟悉的基于账户的身份认证体系,同时于由CBDC离线支付是账本体系的终端侧应用,继承了其物权价值特性,所以一个完整的钱包服务服务基于APP/PC的软钱包体系和基于设备的离线硬钱包体系,这也是为什么各国数字货币多称为泛账户体系,比如我国e-CNY被定义为兼容基于账户、准账户和基于价值三种方式,广义账户体系为基础的特性,因为描述的是更便于理解和客户直接操作数字钱包服务特性,而非底层数字货币特性。

数字货币的代币模型,一般均借鉴加密货币生态体系常见的以特定数据模型记载货币价值的方法。这些特定数据模型被称为未使用的交易输出((Unspent Transaction output, 简写:UTXO,下同 )。当一个UTXO被一个交易耗尽时,它就不能再使用了。反过来,由交易创造新的可使用的UTXO。UTXO的地址被用来验证一项交易是否已经由UTXO的所有者签署。在拟议的数字欧元数据模型中,它是由一个公钥的哈希值给出的。所有权是通过用相应的私钥签署一个交易来证明的。

 

第四点:CBDC只能在国内使用还是在其他地方也可以使用?

批发或零售互联的跨境支付,这就是CBDC金字塔的最顶层。

国际电子商务、汇款和旅游业的增长同时催生了无缝、廉价的跨境支付需求。CBDC可以通过基于现有系统在批发层面进行技术连接。如果允许消费者持有多种货币,那么CBDC也将有可能采用新颖的零售互联。在当今基于账户的系统中,跨境交易与外汇交易密不可分。处理交易的中介可能会收取额外费用和不利的汇率。如果消费者可以提前购买外汇之后再于境外支付,就会将付款与外汇交易分开。这也就产生了将零售钱包直接与外汇市场相联的可能性。

但零售层面互联的范围及其设计将取决于一国CBDC的权限框架。如果是基于数字通证,那么默认外国居民也可以访问该系统。如果是基于账户,那么有一种设计选择是进行国际协调的互操作性。
至此,这四个选择的不同,也决定最终运营模式和技术架构的不同。

 

 

 

文章来源: 数字法币研究社