🔥 热搜 🔥
百度今日热点微信公众平台贴吧opggdnf私服百度贴吧知乎dnf公益服百度傻逼
分类
社会娱乐国际人权科技经济其它
🔥 热搜 🔥
百度今日热点微信公众平台贴吧opggdnf私服百度贴吧知乎dnf公益服百度傻逼
分类
社会娱乐国际人权科技经济其它
查看原文
其他

华商原创 ▎金融行业首个区块链技术安全规范——《金融分布式账本技术安全规范》出炉!

王艺、李嘉键 华商律师 2023-08-25



问:《金融分布式账本技术安全规范》(以下简称“《规范》”)出台的背景,为什么在这个时候出台这个规范?

其实在《规范》的“引言”部门已经提到,本《规范》的出台是为了落实《中国金融业信息技术“十三五”发展规划》和《金融科技(Fintech)发展规划(2019-2021年)》的要求,并规范分布式账本技术在金融领域的应用,提升分布式账本技术的信息安全保障能力。除此之外,王艺律师团队还认为有以下原因:

1、近年来区块链行业的迅猛发展。据中国信通院2018年发布的《金融区块链研究报告(2018)》显示,在我国全部区块链创业项目中,金融类占比最高,达到 42.72%,同时在金融领域内,区块链技术在加密代币、支付清算、供应链金融、证券、保险等细分领域得到落地应用。去年10月24日就在中央政治局层面组织了关于区块链的集体学习,今年开年以来绝大部分省份的政府工作计划,都把区块链列为了工作重点等方面便可以看出,我国区块链行业的发展已经在“高速公路”上疾驰。《规范》的发布,有助于提升中国在区块链领域的国际话语权和规则制定权。

2、区块链仍存在安全隐患。虽然区块链采取了加密技术,但实际上随着科技的发展,破解区块链加密技术和安全措施已非不可能。例如近年来多次发生加密货币交易所被黑客攻击盗走大量虚拟货币,甚至交易所已采取“冷钱包”离线存储方式也有被盗的可能;某些虚拟货币遭受51%攻击等等。同时,最近央行数字货币DCEP准备推出的消息甚嚣尘上,因此在金融行业出台第一个区块链安全行业规范,也是理所当然的。

3、《规范》的出台相当于等保2.0体系的补充。等级保护2.0标准是我国网络安全领域的基本制度,针对云计算、移动互联网、物联网、工业控制系统均提出了安全扩展要求,但唯独没有对区块链的安全提出对应要求。本《规范》是基于等级保护2.0中安全标准制订的,因此,本次《规范》的出台,也可以看作是对等级保护2.0标准的补充和完善。

以下是近年来我国关于区块链的相关立法汇总:

法律文件
发布机关
发布时间
《关于防范比特币风险的通知》(银发[2013]289号)
中国人民银行、工业和信息化部、中国银行业监督管理委员会、中国证券监督管理委员会、中国保险监督管理委员会
2013年12月5日
《区块链参考架构》
中国电子技术标准化研究院
2017年5月16日
《中国金融业信息技术‘十三五’发展规划》(银发﹝2017﹞140号文印发)
中国人民银行
2017年6月27日
《关于落实对代币发行融资开展清理整顿工作加强支付结算管理的通知》(银管发[2017]245号)
中国人民银行
2017年9月4日
《关于防范代币发行融资风险的公告》
中国人民银行 中央网信办 工业和信息化部 工商总局 银监会  证监会 保监会
2017年9月4日
《区块链数据格式规范》
与中国电子技术标准化研究院
2017年12月22日
《关于开展为非法虚拟货币交易提供支付服务自查整改工作的通知》(银管支付〔2018〕11号)
中国人民银行
2018年1月17日
《区块链信息服务管理规定》
国家互联网信息办公室
2019年1月10日
《中国银保监会办公厅关于推动供应链金融服务实体经济的指导意见》银保监办发〔2019〕155号
银保监会
2019年7月9日
《金融科技(FinTech)发展规划(2019-2021年)》(银发﹝2019﹞209号文印发)
中国人民银行
2019年9月6日
 
 
问:安全规范的法律效力如何?

虽然《规范》本身只是推荐性行业标准,而不是强制性行业标准,没有强制执行力。但是,央行本次发布的《规范》,从形式上看是对金融区块链技术方面提出安全合规的指引,可以大胆推断,将来很有可能会参考《规范》等行业标准对金融行业甚至是各行业的区块链系统实行“安全认证”准入机制,并有可能设置相应的行政处罚措施。因此,建议相关企业尽早参照《规范》对自身的区块链系统做好安全合规工作。
 
问:金融区块链可能会涉及哪些企业?目前我国有哪些金融区块链公司?他们都需要适用这个规范吗?

由于金融市场中交易双方的信息不对称导致无法建立有效的信用机制,产业链条中存在大量中心化的信用中介和信息中介,限制了系统运转效率,增加了金往来成本。而区块链技术的去中心化、可追溯、防篡改的特性与金融行业具有天然的契合性,因此已经有一定数量的金融业企业已经应用了区块链技术。目前国内比较常见的采用区块链的金融业机构主要为涉及供应链金融、跨境支付、资产管理、保险等细分领域。

主要企业如下表所示:

金融领域
企业名称
相关项目
跨行/境支付
招商银行、永隆银行
基于区块链技术的同业间跨境人民币清算业务
中国建设银行、杭州联合银行
区块链福费廷交易平台
中国银行
区块链跨境支付系统
中国银行、中信银行、中国民生银行
区块链福费廷交易平台
中国银行业协会、国家开发银行、中国工商银行、招商银行等
中国贸易金融跨行交易区块链平台
中国国投国际贸易有限公司
区块链跨境信用证交易
资产管理
中国邮政储蓄银行、IBM(中国)有限公司
区块链技术的资产托管系统
中国银行、汇丰银行
基于区块链技术的抵押贷款估值信息共享系统
交通银行
全流程区块链资产证券化平台“聚财链”、资产证券化系统——“链交融”
京东数字科技
区块链资管科技系统“JT²智管有方”
供应链
腾讯、联易融
区块链供应链金融平台“微企链”
中国宝武钢铁集团、同济大学、上海银行
上海市大宗商品区块链供应链金融应用
工商银行
区块链供应链金融服务平台
蚂蚁金服
基于区块链技术的供应链协作网络蚂蚁双链通
腾讯云
区块链供应链金融仓单质押解决方案
底层技术
百度
超级链
京东
JD Chain
微众银行
FISCO BCOS
 
 
关于适用范围,本《规范》明确了“本标准适用于在金融领域从事分布式账本系统建设或服务运营的机构”。虽然这里并没有出现“区块链”字样,日后可能亦会出现其他分布式账本技术,但目前在大部分的语境中,从业者已倾向将区块链和分布式账本理解为同一种技术。因此,本《规范》主要适用于通过区块链技术从事或开展金融系统建设或金融服务运营的机构,供应链金融、跨境支付、资产管理、保险、借贷、征信等行业企业当然适用于本《规范》。 
 
问:对于金融区块链,在哪些模块上,需要利用《规范》进行合规?如何进行开展?

本《规范》从金融区块链的安全性方面,主要对涉及节点部署、节点通信、硬件加密设备、秘钥管理、智能合约验证、身份信息、隐私保护、监管支撑等方面提出了合规指引。针对其中较为重要而且合规难度比较大的几个模块,建议企业做好如下措施:

1、采用符合国密标准的硬件级别加密防护措施。《规范》强调,金融区块链需要使用的具体密码算法应符合一系列的国密算法要求。2019年10月26日《中华人民共和国密码法》发布,可以看出我国对密码安全的重视。因此,在金融行业严格全面推进国密算法的使用是必然的趋势。但目前某些区块链架构中,仍没有采用国密加密技术,如需符合标准则需要相关金融机构投入人力、硬件成本替换密码模块,以符合规范要求。因此建议企业使用SM2、SM3、SM4、SM9等国密算法对以上数据进行安全加密,全方位地保证数据在存储、传输、使用过程中的符合《规范》的要求。

2、在智能合约管理方面,《规范》针对智能合约版本、访问、审计、生命周期管理等一系列问题提出了合规要求。结合《规范》的合规要求,建议在智能合约合规方面,智能合约应具备合约版本无缝升级、向前兼容、调用历史数据等功能,另外区块链系统还需要提供完备的合约部署、升级、冻结、解冻、销毁、存档全流程管理机制。特别是,目前某些区块链架构并不支持合约冻结/解冻,不支持访问可信外部数据源,使用这些区块链结构的金融企业需要特别注意。

3、在用户身份管理方面,由于区块链的匿名性特征,当前大多数区块链并没有将用户真实身份与区块链账户进行对应,这与《规范》的要求产生矛盾。《规范》中明确要求,应实现有效的用户身份管理,并应保障身份信息的安全性,并对身份进行监管审计。因此,建议企业要解决好身份信息记录、管理、审计以及还原匿名标识中用户真实身份等问题,使链上身份可查证,满足KYC要求。

4、《规范》中对于监管支撑的要求可以说是针对区块链安全要求的最大突破,填补了区块链标准中对监管规则的空缺。在监管支撑层面,《规范》要求:“支持监管机构的接入,以满足信息审计和披露的要求,应支持监管机构访问最底层数据,实现穿透式监管。当系统或交易出现问题时,应能主动报警,采取适当纠正措施,并向监管机构、管理机构报送事件信息”。

结合《规范》的要求,建议企业在区块链系统方面应支持监管节点的接入,并设置系统异常消息推送功能,在系统或交易出现问题时主动上报监管部门并采取适当安全措施。另外,应完善系统的访问权限管理体系,设置多层级的干预权限和限制。
 
问:对于金融区块链公司,《规范》在数据保护、隐私保护方面的要求,相比目前数据一般法、金融数据特别法,有无值得注意的地方?

在隐私保护层面,《规范》明确了本规范的所有隐私保护行为应符合17年生效的《个人信息安全规范》所规定的基本原则,且符合金融业相关基本要求。因此,数据保护、隐私保护方面,金融区块链系统仍然需要满足个人信息、金融信息等一般性规定。但是,在个人信息保护工作中,如何保障信息主体享有信息更改、删除的权利是使用区块链企业应该考虑的问题,因为区块链的不可篡改的特征,这与信息更改、删除似乎是相矛盾的。

不过,实际中,特别在私链与联盟链中,现在要做到这两点应该不存在太大的难度,例如各个节点针对该规则达成共识机制、将相关的信息使用侧链进行处理、存储等。
《规范》明确业务相关方应将隐私数据按照敏感度进行分级,并根据具体场景制定相关的隐私保护策略,以使系统的信息保密性和隐私保护程度与执行效率达到平衡,并在隐私数据的采集、存储、使用、流转过程中满足隐私保护技术要求,方便隐私数据的监管和审计。

在新发布的《个人金融信息保护技术规范》中也同样明确了,将个人金融信息按照敏感程度从高到低分为C3、C2、C1三个类别。但是,《规范》不仅要求个人金融信息进行分级,所有的隐私数据都需要按敏感度进行分级,这范围则广泛得多。

当然,《规范》针对区块链的技术特点,对隐私安全保护提出了针对性的要求,例如,在利用区块链进行交易时提出了如下要求:1、应对交易内容信息以及交易方信息至少其一进行加密;2、应确保参与方以及审计方拥有对加密信息解密验证的能力;3、应确保除交易参与方以及审计方外,他人无法从加密信息获取任何其他信息;4、应确保任何人可对加密的信息进行有效性和正确性的验证。如果企业使用匿名身份认证的分布式账本系统,《规范》还要求其匿名认证方式应具有匿名性、不可伪造性和不可链接性。《规范》对“不可链接性”定义为“同一用户在多次交易过程中出示的匿名身份标识,不能够被还原为同一用户”,这是《规范》对匿名身份提出的技术方面的要求。

针对“隐私保护技术要求”提出,“隐私保护技术和方法包括认证授权、局部广播、摘要存储、变更标识、混淆技术以及零知识证明、群签名、环签名、同态加密等算法组合。”因此建议相关企业应根据具体场景选择不同的方法和技术,制定隐私保护策略,达到满足系统目标的平衡状态。

关于数据跨境合规方面,我国相关法律法规要求在我国采集的金融数据原则上需要在国内存储、处理,但是在区块链系统中数据出境的情况应该会频繁发生,区块链的各个节点可能都分布在世界各地,而数据出境的话则需要接受相关监管部门的评估和同意。虽然本《规范》没有针对数据出境提出明确的合规要求,但是日后可以考虑在区块链中接入相关监管部门的节点,监管部门可以很快地完成数据出境评估和批准的工作。

问:我的企业主要利用区块链从事金融信息处理业务,哪些情况下,可以不用征求用户同意,并进行采集数据?

虽然《规范》中没有明确无需征求用户同意采集用户数据的情形,但《规范》明确了本规范的所有隐私保护行为应符合17年生效的《个人信息安全规范》所规定的基本原则,且符合金融业相关基本要求。但是,近日《个人信息安全规范》已完成修订,央行也发布了《个人金融信息保护技术规范》,因此,建议相关企业要按照这两个标准的要求完善数据合规工作。

结合这两个标准关于无需征求用户同意采集用户数据的情形,在利用区块链系统采集个人金融信息时,在以下情形可无需征得信息主体同意

1、与履行国家法律法规及行业主管部门有关规定的义务相关的;
2、与国家安全、国防安全直接相关的;
3、与公共安全、公共卫生、重大公共利益直接相关的;
4、与犯罪侦查、起诉、审判和判决执行等直接相关的;
5、出于维护个人金融信息主体或其他主体的生命、财产等重大合法权益但又很难得到本人同意的;
6、个人金融信息主体自行向社会公众公开的;
7、根据个人金融信息主体要求签订和履行合同所必需的;
8、从合法公开披露的信息中收集个人金融信息的,如合法的新闻报道、政府信息公开等渠道;
9、用于维护所提供的金融产品或服务的安全穏定运行所必需的,例如识别、处置金融产品或服务中的欺诈或被盗用等。

值得注意的是,尽管国家标准和行业标准在一定程度上体现出监管部门在个人金融信息保护上的监管态度与思路,但是《规范》不具有强制执行力,这些例外情形并不一定可以突破《网络安全法》等强制性法律法规规定中的原则性要求。 
 
问:《规范》对于DCEP(央行数字货币)有何影响?

在前述问题的回答已经提到了,关于区块链的交易情景中,《规范》中明确了“应对交易内容信息以及交易方信息至少其一进行加密”、“应确保参与方以及审计方拥有对加密信息解密验证的能力”、“应确保除交易参与方以及审计方外,他人无法从加密信息获取任何其他信息”、“应确保任何人可对加密的信息进行有效性和正确性的验证”等要求。其实,我们可以从这些要求中推断出央行对即将发布的DCEP将如何实现身份管理和匿名性的平衡。

另外,本《规范》作为首个金融区块链底层技术安全的行业标准,可以为DCEP区块链系统在建设和运行的安全方面“查漏补缺”,为DCEP的成功落地和使用打下坚实的基础。 



王艺

华商律师事务所

高级合伙人

主要执业领域为数据合规,金融科技,争议解决




声明

以上所刊登的文章仅代表作者本人观点,不得视为华商律师事务所或其律师出具的任何形式之法律意见或建议,如需转载或引用该文章,请私信沟通并于转载时在文章开头处注明来源于公众号“广东华商律师事务所”及作者姓名。





华商
往期精彩推荐


华商重磅 ▎挺进华东,锚定大湾区!华商南京分所、佛山分所正式签约
华商重磅 ▎华商大湾区布局再落子!东莞分所正式签约,佛山分所签署筹备意向书华商原创 ▎新冠疫情对走出去融资业务影响之“重大不利影响”条款适用简析
华商业绩 ▎连中三标!华商成功中标市人社局、市住建局及市规划资源局深汕管理局三个政府法律服务项目华商业绩 ▎华商助力华盛昌在深交所中小板成功上市华商原创 ▎最新!防疫物资出口的最新监管态度及要求华商业绩 ▎华商助力雷赛智能在深交所中小板成功上市华商业绩 ▎华商所成功入选广东联通法律服务供应商库
华商业绩 ▎华商助力九尊数字互娱在港交所主板成功上市华商业绩 ▎华商所成功入选深圳市市场监督管理局法律供应商库
华商业绩 | 华商助力「玉禾田」在深交所创业板上市
华商业绩 ▎华商助力中集租赁第2号ABS产品成功获批,发行规模3.93亿元



您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存