寰球密码简报(第7期)丨美CRS报告聚焦区块链应用实践、局限性和监管考量
CRS区块链的系列报告进一步显示:(1)主题多元:涉及区块链技术应用的经济与金融、贸易、司法和执法、外交事务、能源与自然资源等领域;(2)内容全面:围绕区块链新兴应用、潜在风险、监管框架等方面展开;(3)问题清晰:涉及金融稳定性、消费者保护、反洗钱、隐私保护、国际制裁等政策考量问题。
2018年2月28日发布的《区块链:背景和政策问题》(Blockchain: Background and Policy Issues)比较早地从网络安全政策视角阐释了区块链应用实践和其局限性,提出了其应用的潜在风险性和挑战,提醒国会在审查有关技术使用规范外,考虑监督其为政务服务,以及(或者)在私营部门使用的规制;考虑评估新技术应用下国会已有政策目标的实现性;以及考虑区块链技术鉴定、研究和管理机构的设置等问题,对至今而言区块链政策制度的架构具有参考价值。该研究机构后续发布的多项报告均因此而提及应尽快探讨区块链技术应用,以及是否需要进行监管和如何监管的问题。
本期简报对《区块链:背景和政策问题》报告中区块链技术应用实践、风险和挑战、应对需考虑事项进行了翻译整理。主要内容如下:
一、区块链应用领域
区块链在某些领域的应用存在巨大潜力,正在使用、正在试验或已经讨论的区块链应用实例主要包括:
1.加密货币比特币是最受欢迎的加密货币,获得了最大的市场份额,旨在让有价值的数字资产作为一种商品或服务进行交换。在这些系统中,任何人均可创建一个包含私钥、公钥和地址的电子钱包。用户获取加密货币后将其添加到区块链上,买方实现购买过程需用私钥解锁加密货币,然后将其转让给卖方,卖方再用私钥锁定货币。交易被发布到区块链上,以便所有用户都能验证发现买卖双方加密货币的变更情况。
2.网络安全鉴于区块链具有数字化性质,因此被建议用来解决网络安全挑战。非对称密钥加密可用于创建身份从而增加通信的可信度;哈希及默克尔树可实现数据完整性检查;区块链还被建议应用于网络供应链风险管理,来确保从开发转向最终用户使用过程中硬件和软件的完整性。
3.医疗保健区块链技术可应用于电子健康记录(EHR)中患者信息的维护管理。有建议指出,在区块链上对患者和医疗服务提供者进行身份验证,以便能够共享电子健康信息。该方案中,健康信息记录会被发布到区块链上,患者可使用区块链授权访问该记录。然而,区块链在医疗领域的应用会涉及到联邦法律,这些法律在一定程度上会限制其使用。
4.身份管理区块链技术可用于身份管理,其使用非对称加密算法和不可变交易,为身份认证提供了相对安全的运行环境。用户用私钥验证交易,然后将其发布到区块链,其他用户也能因此验证发现公钥或地址的资源分配。这旨在确保只有拥有私钥的用户才有权进行交易,并合理解决双重支付问题。然而,这种形式的身份管理需要连接互联网并同时运行计算设备才能工作。私人实体可以要求用户维护其区块链的兼容设备以及在区块链上执行交易所需的互联网连接,但其他实体(如公共部门)仅使用区块链身份管理模式时会遇到困难,一些客户可能因缺乏交易所需的计算元素,从而产生成本分摊问题。
5.识别来源由于非对称加密能够对用户进行身份验证,因此区块链可应用于识别商品来源。准确识别来源可确保用户成为商品的合法消费者。支持者利用区块链发现了不需经第三方中介许可即实现财产、权利或商品转移的交易模式,该种模式大大降低成本。
6.智能合同区块链的数字化特性将其与智能合约相关联。智能联系人将某些条件属性编为代码,以便机器自行验证是否满足条件并启动资产转移。除了参与交易的各方当事人外,区块链平台上的其他用户也可提供处理或验证合同交易所必需的计算资源,这有助于核实在分类账上的交易记录,帮助用户在交易中获得资助。
7.供应链管理区块链上实物和数字商品的供应链管理类似于智能合约应用,该过程中商品被标记为数字值,使用公钥和私钥将其转移。这些交易被添加到区块链中,使参与者能够对商品从创造到分销、零售甚至到最终用户的处置进行追踪。由于商品本身不含可追踪代码,因此必须在其上附加追踪器(如可扫描代码或可追踪的传感器)。
二、区块链应用风险和挑战
由于区块链具有加密属性,在应用推广方面具有一定优势,但同时也存在一些缺陷和风险,从而阻碍其应用推广。
1.数据可移植性用户一旦选定某个区块链后便无法删除以往的交易记录,也无法将其传输到新系统,因为这些交易是区块链的一部分,对链的任何更改都将导致用户无法为新区块生成合法的哈希值。此外,如果用户试图在区块链间进行数据复制,由于没有一定的数据构建标准,来自原区块链的数据元素无法完整嵌入到另一个区块链中,也无法正确处理公私密钥或哈希值。区块链技术缺乏标准,这不仅表现在数据的存储方式,还表现在公私密钥和哈希值的生成方式以及数据在点对点间的传播方式。
2.尚未明确的事项和使用其他任何技术一样,使用者必须检查区块链的业务层面、法律层面和技术层面。区块链技术正处于开发和采用的初级阶段,一些潜在问题尚未显现,用户可能面临诸多没有答案的问题。例如,员工是否能从技术使用中获得收益,使用新技术的法律含义是什么等。
3.密钥安全私钥的创建、存储和丧失控制都会造成问题。如果用户将存储其私钥的设备损坏,攻击者便可访问其私钥,并实现资源转移。若用户的硬盘发生故障,或者忘记甚至丢失了私钥,与公钥绑定的资源将被永久性锁定,与该资产相关的其他交易也将被禁止。
4.用户串通和控制区块链上的用户群体可能会联合计算资源,共谋挖掘区块。而在某些区块链实施过程中,这是被允许和鼓励的。但是,用户群体可能对区块创建及区块发布产生意想不到的影响。此外,具有足够计算能力的单个用户或用户群体(攻击者)可能通过重新创建区块链,进而更改先前交易并向用户广播。即便新创建的区块链实属非法,但由于其将是最长之链,用户可能会自动接受它。这种现象被称为51%的攻击。
5.用户感悟和安全性用户必须具备一定的适配度和知识水平,才能正确安全地使用某项技术。随着区块链技术的开发、采用和使用,可能需要类似的设计要求或标准来实现安全有效的非专业用户参与,以确保技术的正确使用和安全采用。
三、区块链技术使用规范应考虑事项
区块链已经被用来执行金融交易,但仍处于早期发展阶段,对监管和立法提出诸多挑战。为应对这些挑战,研究报告建议除了立法审查技术使用情况外,国会还应考虑以下事项:
(1)监督区块链在政府事务中的使用。报告指出美多部门在研究区块链作为提高政府事务效率的一种途径,寻找更好的方法来提高身份、资产、数据和合同的管理水平。诸如国家标准和技术研究院(NIST)在创建区块链的测试平台,该平台承担样本或者共享服务角色,其他联邦机构可以通过平台检查区块链的应用程序和使用情况,同时也提供区块链技术方面的一手经验和局限性信息,为其他使用者是否使用该技术,以及与私营部门就该技术进行互动提供经验。
(2)规制区块链在私营部门中的使用。例如,证券交易委员会和商品期货交易委员会等机构正向行业发布涉及区块链技术的警示意见。在某些情况下,这些行动是为了积极地宣布,目前规范其他交易的法律框架也可以适用于区块链上的交易。
(3)建议国会评估是否机构完成了国会的政策目标。这些目标可能是技术无关的,或者已经确立的,或者国会可能通过一系列部门为紧急技术采用确立新的政策目标。
(4)考虑区块链技术鉴定、研究和管理机构的设置。研究报告认为:1)当新技术仅应用于特定行业时,通过单一机构进行监管(例如成立专门机构对核能进行监管);2)随着技术广泛应用,国会一般选择让多个联邦部门进行联合监管,不同监管部门对不同的技术应用领域进行监管(DHS负责信息通信技术在联邦机构中应用的安全,商务部负责为信息通信技术的发展制定指南)。
最后,报告认为,随着区块链技术越来越成熟,特别是在应用更加广泛的情况下,国会对区块链技术兴趣可能会持续增长。
附:报告中文目录
(撰稿、翻译:赵丽莉 校对:何治乐)
报告原文
https://fas.org/sgp/crs/misc/R45116.pdf
关于“寰球密码法律政策发展动态简报”
为深入研讨我国密码法相关制度与现实挑战,凝聚国内外密码与网络安全精英,合力推动我国密码产业发展,苏州信息安全法学所密码法研究中心特别编辑“寰球密码法律政策发展动态”简报,供政府、产业及学术同仁参考。以期联合政产学研力量,为我国密码工作在法治轨道上稳步前行提供智力支撑。编委会(筹)、编辑部采取开放组织形式,欢迎各界同仁予以各种方式积极参与和支持,踊跃投稿!
主 编:马民虎
副 主 编:黄道丽 朱莉欣
责任编辑:原浩 赵丽莉 马宁 方婷 何治乐 冯潇洒 谢永红 赵婧琳 郝静雯
联系电话:0512—69562805,17792480296
投稿邮箱:xieyonghong2015@xjtu.edu.cn
往期简报回顾
“苏州信息安全法学所”