区块链监管问题研究
2018-03-01魏书音
魏书音
摘 要:区块链可以在没有中央权威机构的弱信任环境下,帮助用户分布式地建立一套信任机制,保障用户业务数据难以被非法篡改、公开透明、可溯源。同时,其带来一系列安全风险,包括技术本身存在的安全风险、区块链应用引发市场混乱、区块链技术成为不法分子的犯罪工具。区块链技术本身的特点使得其监管更为困难,包括违法犯罪行为难追踪、需要国际协作、引发管辖权困境、责任认定困难等,我国亟需加强区块链监管力度,建立健全监管机制,保障区块链技术的健康发展和安全应用。
关键词:区块链技术;区块链安全风险;区块链监管
中图分类号:DF92 文献标识码:A
1 引言
随着区块链技术的应用范围和场景的扩大,其应用安全问题也逐渐凸显,对现有监管机制也带来了挑战。一些不法分子打着“金融创新”“区块链”的旗号,通过发行所谓“虚拟货币”“虚拟资产”“数字资产”等方式吸收资金,进行非法集资、诈骗。网络攻击等安全事件爆发率逐年增加。如2014年12月,世界上最大的比特币交易所Mt.Gox被盗85万比特币,交易所被迫宣布破产;2015年1月,Bitstamp交易所盗币案——1.9万枚比特币,当时价值510万美元;2016年6月黑客通过ICO项目盗取360万以太币;2017年6月1日,韩国数字资产交易平台Bithumb被黑客入侵,受损账户损失数十亿韩元;2017年7月1日,BTC-e交易所盗币案——6.6万枚,价值9.9亿美元。近期,区块链平台EOS被发现一系列高危漏洞。随着安全风险的日益扩大,加强区块链监管十分迫切。
2 区块链技术
区块链(Blockchain)是一个链式数据结构存储的分布式账本(Ledger),利用共识机制、加密算法等保障数据的安全性、一致性。本质上,区块链是分布式存储、共识机制、点对点通讯、加密算法等计算机技术在互联网时代的创新应用模式。区块链承载的延伸意义已经远远超出了加密数字货币这个范畴,区块链可以在没有中央权威机构的弱信任环境下,帮助用户分布式地建立一套信任机制,保障用户业务数据难以被非法篡改、公开透明、可溯源。区块链源于加密数字货币比特币,但其应用前景绝不限于数字货币,目前正在向物联网、智能制造、供应链管理、数字资产鉴权等领域快速延伸。
3 区块链监管的必要性
3.1 技术本身的安全风险
(1)程序和代码的漏洞。2016年6月,国家互联网应急中心发布了《开源软件源代码安全漏洞分析报告》,其中选取了25款具有代表性的区块链软件,涵盖了 C、C++、Java、Python、PHP 等编程语言,总计发现高危漏洞746个,中危漏洞 3497个。近年来,因区块链技术漏洞和挖币病毒的大肆传播,比特币被盗或项目失败事件不断曝出,资金损失惨重。如2016 年6 月18日,黑客利用 THE DAO的程序漏洞,成功盗取了 360 万枚以太币,价值超过 5000 万美元;8月,因多重签名漏洞,香港比特币交易所Bitfines价值7000万美元的比特币被盗。2017年初,支付与运输创业公CoinDash的ICO因其用于筹款的ETH地址被黑客攻击而项目终止;7月份,英国创业公司加密货币钱包提供商Parity在其钱包软件1.5版本中发现了一个漏洞,导致至少150000ETH被盗;12月,朝鲜黑客攻击了韩国加密货币交易所,价值76亿韩元(约合699万美元)的加密货币被盗。
(2)区块链私钥应用风险。密码技术是区块链的核心技术之一,保证了区块链不可逆,不可伪造。用户对区块链中资产和数据的掌控通过私钥进行的,私钥是用户生成且一般通过应用软件保管,在无中心的区块链体系下,没有私钥补发与管理机制,用户如若存储的设备出现感染病毒被攻击等问题,而一旦私钥丢失或存储私钥的应用软件被黑客破解,失去了对自身数据或者资产的控制权,且因数据无法篡改,无法通过修改区块链而追回数字资产。2017年12月,河南破获全国首例比特币盗窃案,嫌犯作案三起涉案两千多万元,其主要的犯罪方式就是破解了被害人的比特币钱包。
(3)算力攻击问题。区块链依赖于分布式的共识机制建立相互信任。共识机制存在51%漏洞可控制整个区块链。在以工作证明系统为基础的区块链中,如果单个矿商的散列功率占整个区块链总散列功率的50%以上,那么51%的攻击可能就会被启动。区块链节点通过掌握全网超过51%的计算能力就有能力成功篡改和伪造区块链数据。我国的计算能力已占到全网整体计算能力的60%以上,理论上这些服务器可以通过合作实施51%攻击。随着数学、密码学等发展,区块链算法的安全性将受到严重威胁,尤其是量子计算对现有公钥密码会产生颠覆性的影响。若不尽快应对改进,将形成弱肉强食的丛林法则。此外,还存在随机漏洞数威胁,比如2014年blockchain.info爆出的随机数问题。
(4)区块链系统面临交易频率过低的问题。共识机制是计算资源的基础,因其过于复杂可导致区块链本身的效率超载。同时,区块链将产生区块信息、交易数据、契约字节码等大量数据,其中包含众多过时和无用的数据。共识机制和区块容量限制导致其交易频率相比大型支付网络还十分低下。以比特币为例,每秒钟处理的交易量不超过10笔,而支付宝在2017年“双11”当天交易笔数为14.8亿笔,峰值每秒完成25.6万笔交易。
(5)隐私保护问题。共识机制通过数据的公开透明及共享实现,一个区块的数据中所包含的所有交易的记录以及账户身份信息都会发送全网所有节点进行验证,交易信息在区块链中是公开的,虽然用户身份是匿名的,但是随着大数据等技术的发展,通过对客户行为和资产等数据的收集分析,可能实现重点目标的定位和识别,而一旦获取全网数据,則会造成大规模的数据泄露。同时,区块链的隐私保护措施并不是很健全,一旦窃取密钥可导致机密信息泄露。
3.2 区块链应用引发市场混乱
区块链概念被恶意炒作和过度消费,衍生市场混乱。当前,区块链持续受到广泛关注,大量区块链初创企业投入巨大人力财力开展相关研究,将区块链技术应用到具体业务中。但是,区块链不等于比特币等加密数字货币,区块链是加密数字货币的技术基础,加密数字货币仅仅是区块链技术众多应用领域的一类典型应用而已。目前,区块链概念被恶意炒作和过度消费,各种加密货币利用区块链进行投机圈钱,整个市场泡沫化严重。如ICO项目鱼龙混杂,许多项目仅凭一纸白皮书即获得价值数千万甚至上亿元的投资,由于监管不到位难以确保项目真正落地实施,使得投资资金面临巨大风险,严重扰乱交易市场。此外,ICO发行方可保留一定比例代币,可利用其持币优势和信息优势,操纵代币价格,谋取巨额利益。
3.3 区块链技术成为不法分子的犯罪工具
在炒作热潮推动下,区块链技术不断被不法分子所利用,市场上出现了没有实际价值的数字货币情况下,以区块链为名进行传销等违法行为。利用区块链技术产生的各类应用会借助区块链匿名化和去中心化的特点来实施诈骗、勒索、非法集资等犯罪活动。还可利用区块链技术躲避追查,如洗钱等传统犯罪,也包括网络攻击、数据非法交易等互联网犯罪,如2017年WannaCry勒索病毒事件,攻击者就是通过比特币进行交易而逃避追查的。
4 区块链技术引发的监管困境
4.1 违法犯罪行为难追踪
区块链使用的IPFS协议是一个基于区块链的点对点超媒体协议,这种 “去中心化”模式可以允许个人越过传统第三方进行“点对点”直接快速交易,这带来便利化的同时也带来了监管难题,对现有监管体系构成严重挑战。如数字货币交易隐藏深、追踪难,政府无法按照现行税制收取比特币交易税费。区块链的匿名性使得匿名的用户信息以及相关的匿名化服务混淆区块交易链,最终导致相关交易数据信息的可追溯性受到限制,不法分子洗钱或恐怖活动将难以追踪。
4.2 需要國际协作
去中心化并自成体系的技术结构决定了区块链应用具有天然的国际性,随着应用的逐步成熟,代币交易中心等也将逐步去中心化,国家监管将失去抓手,只能依靠国际合作与执法援助。
4.3 引发管辖权困境
去中心化的组织跨越国家司法管辖范围,直接将数据与相关应用部署在各区块链,不再存储在固定的服务器,发布主体和发布地点都无法确认,传统的管辖权确认依据将失去作用,需要探索新的管辖权规则。
4.4 责任认定困难
区块链产品不被任何单一的企业、 政府、 个人拥有或控制,如何确定和分配责任就成为一个难题,即使确认区块链组织的创造者必须承担所有可预见损害的连带责任,但这个组织是无数匿名者创建的,当组织有违法犯罪行为时,往往难以确定谁是自治组织的创造者。
4.5 监管者的数据处理能力面临挑战
区块链技术下形成的数据将大幅度增加,如果全网数据都需要监管者管控,监管者面临的问题是一个中心化的机构如何处理去中心化的数据,可能面临缺乏精确的入口来搜寻和使用这些数据的,监管者还要对信息的透明度进行规范,区分各类新型的开放范围。但区块链技术的匿名性特点又为监管者追踪交易链条以及寻找相应的加密保护密匙带来非常大困难。
5 我国对区块链应用的监管现状
5.1 限制在金融领域的应用
我国严格控制防范代币发行融资,叫停比特币和ICO代币的集中交易,降低数字资产市场风险。2017年9月4日,中国人民银行、中央网信办等七机构联合发布了《关于防范代币发行融资风险的公告》,明确代币发行融资本质上是一种未经批准非法公开融资的行为,要求任何组织和个人不得非法从事代币发行融资活动,各金融机构和非银行支付机构不得开展与代币发行融资交易相关的业务。2017年9月,中国互联网金融协会发布《关于防范比特币等所谓“虚拟货币”风险的提示》,监管部门开始清退各个比特币交易所。区块链技术在电子加密货币方面的应用受到监管的严格限制。
5.2 打击利用区块链进行概念炒作的行为
区分区块链技术和搭载在区块链技术上的比特币等数字货币、ICO、IMO。2018年1月16日,深交所发布公告称将密切关注涉及区块链概念的上市公司信息披露和二级市场交易情况,对17家公司采取了问询、关注和要求停牌核查等监管措施,要求相关公司就涉及区块链的投入、业务和盈利模式、具体进展情况、实现收入及其对公司业绩的影响等进行核实澄清并充分提示风险,对于利用区块链概念进行炒作和误导投资者的违规行为,将及时采取纪律处分措施,同时提示,区块链技术仍处于开发阶段,尚难以形成稳定业务,概念炒作迹象比较明显。
5.3 试行监管沙盒制度
所谓监管沙盒,指的是创建一个“安全空间”,在这个空间内,金融科技企业可以测试其创新的金融产品、服务、商业模式和营销方式,同时不用在相关活动与现行规范冲突时立即受到监管规则的约束。监管沙盒的概念由英国政府于 2015年3月率先提出,随后在英国、新加坡、日本等国推广实验。加拿大金融市场管理局(AMF)最近确定ICO项目属于证券类,甚至接受这类 ICO 公司进入监管沙盒。有消息称,Impak Coin 项目成为了AMF沙盒监管下的第一个项目,这也是首个合规的加拿大 ICO 项目。实际上,此类探索最近也在贵阳、赣州等地出现。2018年7月9日,赣州区块链金融产业沙盒园暨地方新型金融监管沙盒在北京正式启动;7月25日,在贵阳召开的“区块链ICO行业生态体系建设研讨会”发布了《区块链 ICO 贵阳共识》,提出将建立标准沙盒计划,及各领域子沙盒计划,深入细节,形成切实可行的监管体制。
此外,2017年10月5日,国务院办公厅就推进供应链创新与应用发布指导意见,其中提到了研究利用区块链、人工智能等新兴技术,建立基于供应链的信用评价机制。
以上监管措施只是局部性、暂时性、应急性的,对于区块链的监管并没有形成完整性系统化长远性思路。一是定义和标准不清晰。目前对区块链本身还未有清新准确的界定,区块链技术标准化不足。二是目前监管措施非常有限,集中在金融领域,没有针对区块链技术本身风险及其引发的市场和社会秩序混乱的风险进行整体性设计,尚未做好应对准备。三是监管措施不够成熟。一刀切的限制监管措施虽然对于控制风险十分有限,但是缺乏进一步的前瞻性考虑,监管沙盒的基础是完备清晰的授权或许可的金融监管体系,需要多部门配合,我国目前还是分业监管体制,若按分业授权或许可,容易产生监管套利或监管混乱,也不符合ICO项目的多元创新特点和测试需要。四是区块链法律地位及其对现有体制机制冲击研究还不够深入。去中心化的技术理念对于中心化的制度框架产生了诸多冲击,区块链技术应用的法律地位,以及关于各方权利义务的确定方式、行为的追踪、责任分配等都还有未深入研究,与现有制度的融合和协调还未开启。
6 区块链监管建议
6.1 充分利用技术优势现实技术监管
一是充分利用区块链的难以篡改、共享账本、分布式的特性,充分运用区块链技术本身所固有的安全机制,将监管融入技术之中,在架构设计中嵌入监管规则和制度,生成嵌入式智能合约,接入监管手段,甚至让监管机构参与技术设计,以技术监管技术,用技术手段化解匿名化和去中心化与中心化监管的冲突。二是在不同场景的区块链技术应用中,必须对智能合约、时间戳、密钥等核心编程的安全性、稳定性、可靠性,做专业分析和权威验证,防范技术垄断风险和技术性操作风险。三是针对区块链的技术结构,研发新型专门的风险防控、态势感知和应急响应等技术手段。
6.2 部门协作与分类治理双管齐下
一方面,区块链监管涉及各领域行业以及背后庞大的产业链,需要各个部门协作。区块链平台及平台的提供者、使用者,及其互联网服务提供商、 搜索引擎、 硬件厂商等相关互联网服务提供者,这些主体都是区块链安全责任主体,需要理清其权利义务及责任关系,建立完整的责任体系。另一方面,区块链技术是底层技术,在各行各业都有相应的应用场景和模式,特别是与人工智能、数字认证等其他技术结合后, 会衍生出更为丰富的产品和应用。相关部门应注重对各类应用本身以及在本行业领域所可能引发的安全风險,制定相应的监管措施,创新监管模式,有针对地解决各领域出现的特性问题。
6.3 大力促进国际协作
一是加强国际监管合作。区块链项目的运作完全可以实现去中心化,没有明确司法管辖地,强化国际司法协助与合作对于及时追踪和打击非法犯罪行为十分重要,应针对区块链应用建立多边或双边司法协助机制,扩大司法协助国家的范围,推动建立更广泛国家参与的区块链违法犯罪的特殊协助机制,实现数据的快速响应和有效提取。二是促进区块链技术国际交流与合作,积极参加相关国际交流活动,构建全球区块链政产学研的交流与对话平台,推动有关国际标准制定,掌握国际标准话语权与规则制定权。三是积极引进国外区块链技术的前沿技术开发人才,成立研发实验室。
6.4 加强对相关法律制度的前瞻性研究
一是探索区块链技术应用的法律制度体系。在区块链的分布式记录模式下,由于缺乏中心化的法律实体,传统的法律规则很难适用于分布式账本系统进行监管。建议深入探索区块链技术对现有法律制度的冲击,平衡和调和去中心化的技术与中心化监管之间的冲突,创新制度措施。二是加强对区块链技术应用的合规审查,强化区块链技术应用相关标准研制,组织开展区块链技术和应用的监督机制和认证体系,使区块链产业合规有序发展。
7 结束语
区块链技术近年来受到各行业的广泛关注,应用安全问题也逐渐凸显,现有监管机制还不能有效应对其带来的安全风险。我国亟需建立区块链安全监管机制,对区块链在各个行业中的应用进行法律上的规范,明确区块链主体法律责任和义务,保障区块链技术的健康发展和安全应用。
参考文献
[1] 周瑞钰.区块链技术的法律监管探究[J].北京邮电大学学报(社会科学版)2017(3):39-45.
[2] 赵田雨.区块链技术的监管困境[J].经济师,2017(3):26-27.
[3] 寻朔,柯岩,魏行空.中国ICO监管研究报告[EB/OL]. http://www.weiyangx.com/269491.html.