穆长春：如何确保数字人民币匿名可控

　　作者 穆长春 中国人民银行数字货币研究所所长

　　目前，数字人民币试点测试工作正在稳步推进，相关讨论也比较多，其中有些误解。比如，有人说数字人民币不能买黄金买外汇。这个说法不正确。数字人民币是数字形式的法定货币，与实物人民币1：1兑换，也就是说，纸钞和硬币能买的东西，数字人民币都能买。纸钞和硬币能买黄金和兑换外汇，数字人民币同样也可以。

　　还有人说，数字人民币侵犯用户隐私，用上了数字人民币，每个人都是一只装了GPS的小蚂蚁，你去过哪里、住了什么酒店、跟谁在一起、点了什么菜、花了多少钱、买了什么东西记录得清清楚楚。这也是不实说法。可控匿名作为数字人民币的重要特征，一方面体现了M0的定位，保障公众合理的匿名交易和个人信息保护的需求；另一方面，也是防控和打击洗钱、恐怖融资、逃税等违法犯罪行为，维护金融安全的客观需要。

　　数字人民币定位于M0，应满足个人匿名支付需求

　　首先，数字人民币的设计需要保护个人隐私。现金交易具备匿名性，对消费者的隐私形成天然保护。数字人民币主要定位于流通中的现金（M0），设计理应满足个人匿名交易的合理需求，保护消费者隐私：一是应符合日常小额现金支付习惯，确保相关支付交易的保密性；二是应明确匿名对象，确保消费者使用数字人民币进行交易时，其个人信息不被商户和其他未经法律授权的第三方获取；三是应加强个人信息的使用和保护，确保运营机构收集的客户基本信息、产生的交易和消费行为信息不会被泄露。

　　其次，数字人民币的“双层运营”体系，有利于保障非经依法授权不得查询、使用个人信息。人民银行为满足跨机构交易和对账等需要，仅处理经过互联互通平台转接的跨机构交易信息。同时，匿名数字人民币钱包之间用匿名化的技术处理，所有钱包之间有关个人信息的数据对交易对手和其他商业机构匿名。对于公众正常的交易和消费，上述主体均无法获取完整的交易信息和消费行为信息，以保护消费者的个人隐私。只有当触发涉嫌非法可疑交易等情况时，有关权力机关才可以依法向运营机构查询、使用用户个人信息，同时，严格将知悉和使用范围控制在法律法规授权内，并采取安全保护措施。

　　再次，数字人民币的钱包矩阵设计遵循“小额匿名、大额依法可溯”原则。传统的支付工具，无论是互联网支付还是银行卡支付都与银行账户体系绑定，由于银行开户是实名制，因此无法满足公众匿名开立支付工具的诉求。数字人民币钱包与银行账户的松耦合，减轻了交易环节对金融中介的依赖，从技术上可以实现小额匿名。一是数字人民币钱包按照客户身份识别强度分为不同等级的钱包。数字人民币的四类钱包仅用手机号就可以开立，用手机号开立的四类钱包实际处在匿名状态。二是数字人民币钱包按照载体分为软钱包和硬钱包，在钱包矩阵下四类软钱包和其所属的硬钱包均为匿名钱包，能够满足公众线上和线下小额匿名交易的需求。三是数字人民币钱包按照权限归属分为母钱包和子钱包，用户可以在母钱包下开通子钱包用于电商平台支付，数字人民币对于所有用户信息进行去标识化处理，除开通子钱包时用于关联电商平台账号的用户手机号码外，不会向电商平台提供其他信息，如银行卡号、银行卡有效期等信息，有效保护公众个人隐私。

　　最后，数字人民币根据客户意愿仅收集必要个人信息。基于双层运营体系和钱包矩阵的设计，数字人民币遵循自主、透明、最小化原则，根据用户意愿，收集与处理目的直接相关的必要个人信息。用户有权随时关闭相关权限，数字人民币App将立即停止有关个人信息的处理活动，充分保障用户自主管理相关权限。数字人民币仅获取与处理目的直接相关的必要个人信息。数字人民币App仅收集处理必要个人信息，确保注册、登录、密码修改及找回等基本账户功能的实现；运营机构向用户提供数字人民币钱包服务时，同样仅收集必要的身份信息和交易信息，确保数字人民币支付等基本业务功能的实现。

　　此外，为确保用户财产安全，数字人民币仅收集风险控制所需信息，用以加强用户数字人民币钱包风险识别，防止被盗、恶意挂失、网络欺诈等风险。总之，数字人民币对用户隐私的保护，在现行电子支付工具中是等级最高的。

　　数字人民币应满足反洗钱、反恐怖融资等国内外法律要求

　　“没有约束的自由不是真正的自由”。如果仅仅关注个人隐私保护，忽视数字时代下金融产品和服务便利化、规模化、跨地域所带来的风险，央行数字货币将会被违法犯罪所利用，产生严重后果。

　　为维护金融安全和稳定，各国中央银行、国际组织在探索央行数字货币的匿名性时均将防范风险作为重要前提，对于无法满足反洗钱、反恐怖融资及反逃税等要求的设计将被一票否决。

　　国际清算银行总裁Carstens在《数字货币与货币体系的未来》中明确指出完全匿名的概念不切实际，完全匿名的系统不会存在。此外，欧央行在《探索中央银行数字货币的匿名性》报告中也指出“数字化对支付生态系统构成重大挑战，要求电子支付在一定程度的隐私和遵守反洗钱和反恐怖融资法规之间取得平衡，包括在一定程度上为用户的小额交易提供隐私保护，同时确保大额交易遵守反洗钱和反恐怖融资的要求。”

　　可以看出，完全匿名从来不在各国央行数字货币的考虑范畴之内，只有在符合反洗钱和反恐怖融资等监管要求前提下的有限匿名才是国际共识。

　　央行数字货币收集的用户信息少于传统银行账户和电子支付，较实物现金又更为便携，如果匿名程度过高，将为不法分子提供新的犯罪土壤，大量的非法交易将从电子支付流入央行数字货币，沦为电信诈骗、网络赌博、洗钱、毒品贩卖甚至恐怖组织犯罪的工具，也将无法满足FATF等国际组织的要求。

　　数字人民币研发下一步计划

　　第一，加强立法，完善顶层制度设计。一是建立信息隔离机制。明确运营机构开展数字人民币运营业务的独立性，并通过设立数字人民币客户信息隔离机制和使用限制，规范数字人民币客户信息的使用。数字人民币运营机构需要建立健全客户信息保护内控制度和客户信息保护监测工作机制，只有在可能涉及洗钱、恐怖融资和逃税等违法犯罪交易时，才能申请获取相关客户信息进行风险分析及监测，以履行“三反”义务。二是明确数字钱包查询、冻结、扣划的法律条件。只有法律授权的有权机关基于法定事由，才能够查询、冻结、扣划用户数字人民币钱包，否则运营机构有权予以拒绝。三是建立相应的处罚机制。监管部门可以依法对违规处理数字人民币客户信息的运营机构采取处罚措施，强化监管。四是完善数字人民币反洗钱、反恐怖融资等法规制度。结合FATF的相关原则和数字人民币的特点，研究并适时出台数字人民币反洗钱和反恐怖融资等监管规定。

　　第二，强化科技应用，提升风险防控能力。数字人民币监管将强化监管科技应用实践，积极利用大数据、人工智能、云计算等技术丰富金融监管手段，提升跨行业、跨市场交叉性金融风险的甄别、防范和化解能力。

　　总之，数字人民币作为人民银行发行的法定数字货币，会充分尊重隐私与个人信息保护，并在此基础上做好风险防范，以防止被不法分子利用。需要强调的是，在实物现钞依然发行的前提下，公众仍然可获得实物现钞所提供的完全匿名性，不会因数字人民币的发行而被剥夺；同时，可控并不意味着控制和支配，而是防控风险和打击犯罪，这是维护公众利益和金融安全的客观需要。数字人民币的可控匿名将为公众提供体验更好、更加安全的支付服务起到积极作用。(本文根据穆长春在第五届数字中国建设峰会数字人民币产业发展分论坛发言整理而成。)