区块链金融的技术风险及其监管
2021-09-10陈斌彬
陈斌彬
(华侨大学法学院,福建泉州,362021)
晚近,随着以比特币为代表的各类虚拟数字货币在全球的涌现,作为其底层技术的区块链备受关注,并迅速蹿红,成为继大数据、人工智能之后众多行业寻求创新转型的又一技术新宠。其中,一贯重视技术发展、数据分析与交易信用的金融业对其更是情有独钟。依普华永道会计师事务所对全球1308家金融机构所作的调查发现,这些机构2018年前将区块链嵌入商业流程的占比为55%,而到2019年底,这个比例已增至70%。[1]我国亦然,自2016年下半年以来,以人民银行的数字票据交易平台、百度金融发行的ABS、深圳微众银行和上海瑞华银行联合开发的贷款清算系统及中国银联积分兑换系统为代表的区块链金融平台蔚然成风。中国软件开发联盟(CSDN)2020年4月发布的《2019—2020中国开发者调查报告》显示,我国区块链技术主要落地在金融业,占其所有场景应用的36%。[2]习近平总书记2019年在中央政治局举行第十八次集体学习中更是指示要把区块链作为我国核心技术自主创新的重要突破口,以推动其和实体经济深度融合,从而解决中小企业贷款融资难、银行贷款难、部门监管难等问题。[3]
可见,在举国对区块链应用怀有美好愿望和抱以极大热情的当下,如何保持冷静头脑,凝聚上述的共识,将总书记的指示落实到区块链管理中,确保区块链技术在金融领域安全有序地运用已成为我国法学界无可回避的一个时代命题。本文不揣浅陋,先是对区块链金融研究作简要的综述,接着介绍区块链技术在金融领域的若干典型场景应用,然后直陈区块链金融技术风险的构成及其隐患,最后收至监管层面,试图从理念重塑和路径转变两个维度探究对其的治理创新之策。
一、区块链金融及其研究综述
(一)区块链金融:区块链技术对金融业的赋能
区块链(Blockchain)”一词最早见诸于日裔美籍的中本聪(Satoshi Nakamoto)在《比特币:一种点对点的电子现金系统》(Bitcoin:A Peer-to-Peer Electronic Cash System)一文,系指由一个个数据区块通过特殊算法关联而成的分布式总账本或数据系统。[4]其中,每一个数据区块皆为总账本的备份数据库,记录了现在和过去系统内发生的所有交易信息,并且形成一个密钥用于验证其记录信息的有效性和作为下一个区块的识别点或接口。正是一个个已经产生交易关系的区块依被记账或挖矿的先后顺序联结构成了“链”表结构,才得以形成今天大众所言的区块链。[5]此时,链上的每一个区块就好比电影胶片的一帧,它既能够演绎当下自身发生的交易实况,又能反复展示前置区块所记录的交易信息。具体到 “区块链金融”,是指区块链技术在金融领域中的应用,或者说是对所有基于区块链技术或系统,通过互联网,应用程序等形式提供金融服务的一种统称。简言之,区块链金融就是用区块链技术赋能和改进金融服务。其既是金融创新的一种方式,也是金融创新的一种结果。这种创新的方式和结果主要体现为三:一是从时空和对象上为企业开辟崭新的融资渠道(如从有实体的IPO到无需实体的ICO);二是从模式上颠覆传统的金融交易方式(如从中心化交易到点对点交易);三是从以往的人工金融履约改变为通过程序代码自动触发执行的智能合约等。
区块链技术的植入使得区块链金融除了具有传统金融业的一般特征之外,还烙上了区块链的技术印记。无疑,这些技术烙印构成了区块链金融的核心特征和竞争力。因此,国内外文献对区块链金融的研究从一开始都从泛化的区块链技术层面切入去论证区块链的“去中心化”“去信任化”“集体维护”与“共识机制”等技术特征对既有金融业的影响。其中,美国著名大数据专家梅兰妮·斯万(Melanie Swan)首次提出“区块链金融”概念。她认为任何金融资产都可在区块链上进行注册和存储,变成数字资产直接在区块链系统上交换和买卖,从而实现真正的万物互联。[6]在国内,学术界第一个将此概念纳入讨论视野的则为中国工商银行市场研究部的周永林研究员,他认为区块链构建了一种全新的互联网金融基础设施,将彻底改变和颠覆现有金融生态系统,带来一场深刻的互联网经济革命。[7]2016年以来,国内外学术界更是掀起了一场以比特币等虚拟数字货币为对象的研究热潮。这些文献颇为丰富,它们的研究触角囊括虚拟数字货币的性质、特征、风险及其对我国现行货币政策和监管制度的挑战与影响等。也有一些学者注意到“币圈”与“链圈”的区别,纷纷跳出单纯数字货币研究的窠臼,尝试从经济或法律视角探讨区块链金融应用的风险及监管制度的调整和因应之策。
总结起来,学者从不同的角度对区块链金融的运作及其对现行金融监管挑战做了较多拓展性的研究。然而,他们对区块链金融运作风险的研究普遍停留于宏观审慎层面而较少涉及微观技术风险的治理,尤其对如何发挥法律在区块链金融技术风险治理中的规范作用少之又少。本文拟从法律监管角度重点探讨对其技术风险的防范与治理,冀望能对我国区块链金融监管的优化有所裨益。
(二)区块链金融的若干典型应用
虽然区块链技术的介入使得区块链金融异军突起,并对传统金融市场的基础设施和服务供给方式产生冲击,甚至带来了结构性的金融变革,但区块链技术的这种加持和赋能是以金融业为归依。其同互联网技术无异,只是一种立基于互联网之上为金融业服务的更先进的工具而已,并不能替代金融的基本功能。进言之,区块链金融同先前的互联网金融一样,本质上并没有超越以信用为基础,以货币为对象的资金融通的范畴,亦不能改变金融体系的内在运作规律和其为实体经济服务的天职。并且,区块链并未脱离互联网,它与微信、支付宝一样,仍是建立在互联网应用层之上的软件集合技术。按照节点开放程度的不同,区块链金融可分为公有链、私有链与联盟链金融三种。其中,公有链完全对世界开放,任何节点皆可主动进出,不存在限制;私有链只对特定的人开放,但须经特定组织的授权;联盟链的开放程度则介于公有链和私有链之间。由于其具有高性能、安全隐私、高可用性与高扩展性等四项关键技术优势[8],且写入速度得益于节点数量的可控性和共识机制的差异,能较好容易满足高吞吐量场景下的金融业务需求,所以日益成为区块链金融的行业发展主流。整体而言,当前全球区块链金融正处在起步阶段,尚未有大规模的成熟应用,主要表现为加密数字货币、支付结算、证券融资与保险销售等金融基础服务领域的一些局部试点。下面简要述之:
1.区块链+货币
“区块链+货币”是以区块链作为底层技术发行的各类数字货币(crypto currency)。其分为不与法定货币挂钩和与法定货币挂钩的数字货币两种。前者又称社群数字货币,如最早的比特币及近几年市面上出现的以太坊、运输币、莱特币等。据统计,截至 2020年2月8日,全球有5096种社群数字货币在20445个交易平台上进行交易,市值超过 2805亿美元,每天交易金额超过134亿美元。[9]后者包括由各国央行直接发行并以所在国家的信用背书,同现金一样可在社会流通的法定数字货币。我国从2014年就紧锣密鼓地进行数字货币DCEP(Digital Currency Electronic Payment)的研发和推进,目前已在各大商业银行内部完成落地场景测试,有望成为全球首发法定数字货币的国家。[10]
2.区块链+银行
“区块链+银行”主要是指向基于区块链进行的价值转移即支付结算活动。[11]区块链的跨境电子支付从两个方面颠覆了传统的以银行为中心的支付结算活动。首先是区块链的去中心化可以实现跨国收付款账户之间点对点的交互,从而简化缩短现有的支付流程,降低中介费用;其次是区块链的可延展性使之无须人工干预就能实现24小时不间断的服务,使支付近乎于“实时”完成,既提高支付效率又大大减少在途资金。2018年9月,中国银行通过区块链跨境支付系统,成功完成了河北雄安与韩国首尔两地间客户的美元国际汇款,开启了国内商业银行首笔应用自主研发区块链支付系统完成的国际汇款业务。
3.区块链+证券
“区块链+证券”是指基于区块链进行的证券发行、交易、登记、存管与交割等活动。很多国家基于数字货币进行的首次代币发行(ICO)等融资活动就属于区块链证券发行的范畴。2015年美国NASDAQ推出的私人股权交易市场Linq就是区块链技术在证券交易中的首次应用。客户在Linq市场上可以借助区块链技术完成和记录证券交易,实现证券登记。2020年7月,我国证监会也开始在北京、上海、江苏、浙江、深圳5个地区开展区域性股权市场区块链新型金融基础设施建设试点工作,鼓励非上市股权“上链”进行登记、托管和交易。
4.区块链+保险
“区块链+保险”是指基于区块链开展的各类保险业务和保险活动。如2016年3月和7月,我国阳光保险分别推出的“阳光贝”积分服务和微信保险卡“飞常惠”航空意外险就开启了国内区块链保险产品研发与销售的先河。2018年8月,法国保险巨头安盛保险集团开发的一款名为“Fizzy”就是国际上首款自动化销售和索赔的新区块链保险产品。在该保险产品中,保险公司把投保协议条款写入区块链智能合约中,通过执行智能合约自动触发赔偿机制,从而降低人工成本,极大地提升了投保人的客户体验。
三、 区块链金融的技术风险与监管逻辑
(一)区块链金融的技术风险
在“去中心化”“去信任化”“集体维护”和“可编程延展”的架构特征下,区块链金融不仅可以去除传统金融以银行为媒介的间接交易模式,实现点对点交易,而且还能彻底解决交易的信任问题,使交易无须借助外部人工的力量就能按照预设条件自动触发进行。无疑,这些都是传统金融乃至互联网金融所不能具备或无法企及的。因此,称区块链金融是一种突破性创新(destructive innovation)并不为过。然而,“创新”与“风险”是一体两面,就像太阳再大总会有阴影。人们在享受区块链金融创新带来高效便利的同时,理应不忘区块链金融技术所伴生的种种风险。这些风险既有技术自身不完备带来的静态风险,更有技术被人为不当操作和恶意使用所引致的动态风险。
1.区块链金融技术的静态风险
没有任何一项技术是100%安全的。技术之缺陷或漏洞乃一切技术静态风险产生之根源。区块链金融亦不例外,其所端赖的区块链技术并非一项单纯的技术,而是集分布式、共识机制和加密算法等于一体的底层架构。这些集合技术的不完备使之蕴含如下的静态风险:
首先,区块链的分布式和共识机制存在着被“51%攻击”的漏洞。[12]区块链通过分布式和共识算法技术进行集体维护,继而实现数据和系统安全,然由于这种集体维护的节点记账遵循的是少数服从多数的原则,故其一贯标榜的“不可篡改”并非绝对。攻击者只要控制51%及其以上记账节点就能变更区块初创数据或者重新让区块接受自己预设的版本,从而重置整个系统。该情形不仅较容易发生在区块链系统参与节点不多的初期,也可能在参与节点较多的中后期。即便理论上中后期外部攻击的成本如学者断言相当高昂,但只要当算力赚取的Token(如比特币)价格下跌,矿工激励减少或算法自动减少奖励到让挖矿者发现攻击比遵守共识算法更有利可图时,矿工也会铤而走险,不惜耗费巨大算力去攻击系统。2018年5月和2020年1月,美国比特币黄金(Bitcoin Gold)交易所两次遭到恶意矿工51%攻击而损失惨重就是典型例证。[13]
其次,区块链智能合约的刚性循环执行存在失控的风险。如果把区块链看作一个数据库,智能合约就是驱使区块链技术应用到现实中的、可以自动执行的程序。由于执行智能合约的代码只会识别数据,不能辨别人的目的与动机,所以即便合约中存在着重大误解或欺诈,自身也无法识别并终止执行或提供可修改的替代方案。可见,这种软件技术的缺陷使得合同法上的合同变更、撤销和解除等制度无从适用。一旦合约被攻击,其只能将错就错地执行交易而无法及时止损。在2016年发生的the DAO事件中,黑客正是利用以太坊智能合约的此一漏洞窃取了平台350万个总价超6000万美元的以太币。[14]事后,交易的不可逆使得以太坊只能对区块链进行硬分叉,在其他未受污染链条的基础上另起炉灶,从而激起区块链的信任危机。[15]难怪有学者告诫道,“智能合约并不安全,其只是一项不成熟的实验性科技。如非必要,切勿在其上运行关键任务应用!”[16]
再次,区块链的密码学技术也非无懈可击。运用密码学原理确保数据安全传输是区块链技术的又一关键。区块链正是运用密码学中的非对称秘密技术,将交易中的密码分为公钥( public key) 和私钥( private key)以确保数据价值交换的安全,即买方通过公钥将加密数据发给卖方,卖方通过私钥提取加密数据。但问题是,随着量子计算的应用和密码破译技术的进步,这种公私钥所倚仗的哈希算法二(SHA-2)也非万无一失,未来被破解的可能性很大。[17]而且,私钥多由个人拥有与保管,一旦发生遗忘或密匙管理软件遭遇病毒感染而丢失,则储存在区块链中的数据不但无法被获取,而且存在被泄露或公开的风险。
2.区块链金融技术的动态风险
如果说静态风险是一种客观存在,技术的动态风险则为技术研发者和应用者的主观不当行为所致。简言之,技术的动态风险源自于技术研发与应用主体的道德风险。由于区块链金融产品的研发与应用,很大程度上是在信息数据、程序代码、算法系统等基础上进行的,个中的技术原理和参数对于终端的金融消费者而言缺乏可理解性。[18]在此情形下,科技公司或区块链平台就有可能利用上述的“技术黑箱”和“算法鸿沟”进行恶意决策或不当操作。
比如,对科技公司而言,一旦他们带有某种利益取向进行某个区块链金融项目研发,则很可能会利用技术开发的先机牟求私利,包括运用技术设置操作暗门以窥探隐私,暗中收集数据,或者利用算法如进行投资操纵,推荐与之利益高度攸关的金融产品喂养或引诱投资者过度投资和负债,还有实施大数据杀熟,损害投资者公平性等。总之,技术的价值取向很大程度上受制于技术研发者和应用者的主观偏好,很难不偏不倚。在大多数人对区块链技术尚处于无知或半无知的今天,承担区块链金融技术研发的科技公司利用技术作恶牟利可谓轻而易举。
再如,对机构平台而言,由于区块链金融节点之间的交换所遵循的是固定的计算机算法,在区块链中,每个参与节点的身份是一串数字代码。例如,比特币依赖于区块链,区块链由全世界通过匿名交易分类账链接在一起的匿名计算机运行。数字货币通过计算机处理能力、互联网技术以及密码学来实现自动化,以便将价值从一个人转移到另一个人。正因为区块链去中心化的运营模式和交易的匿名不可逆,区块链金融平台很容易为不法分子所利用或与之相勾结,沦为洗钱诈骗的平台。2013年10月被美国联邦调查局(FBI)强制关闭的“丝绸之路”(Silk Road)就是利用了匿名网络TOR建立市场,并以比特币为信用工具,用以买卖双方交易毒品和其他物品。[19]我国曾有很多交易平台或明或暗打着区块链的幌子,以提供投资理财为名,将区块链金融包装为大众“造富神话”而大肆吹嘘炒作,甚至偏离区块链技术的发展轨迹进行非法集资和构造庞氏骗局。2017年上半年我国各地许多“三无”(即平台无监管、项目无审核和投资无门槛)ICO项目炒作成风,乱象频出就是典型的例证。
(二)区块链金融技术风险的监管逻辑
“技术是一种双面现象,一方面有一个操作者,另一方面有一个对象,当操作者与对象都是人时,技术行为就是一种权力的实施。”[20]具体到区块链金融,其潜在的技术风险一旦外化必会带来整个产业运营的方向性偏差,令其标榜的“安全高效”价值丧失殆尽。尤其是涉及人性和权力实施的动态风险,因其关涉技术系统研发、应用和运行维护各个环节,潜在的危害性和破坏力更大。是故,区块链的去中心化并非去监管化。对其风险的防范单靠技术自身的迭代升级是无法奏效的,亟需政府或权威第三方的介入。我们唯有跳出“链圈”之外,将区块链的研发标准、设计流程和算法决策等技术要素事先纳入法律调整的范畴,使技术伦理法律化,才能有效地减少科技公司(金融机构)不良的主观动机和约束其滥用技术的不当行为,避免区块链技术在金融业的运用陷入“科林格里奇困境”。
再者,区块链金融的技术风险具有复合性。如上所析,区块链技术虽改变了金融业的供给主体与服务模式,但没有改变金融的风险属性。进言之,传统金融业中固有的三大风险(市场风险、流动性风险和信用风险)等并没有因为区块链技术的嵌入而消亡。相反地,它们在区块链各构成技术(如同向的算法联动和智能执行程序编码等)的加持和改造下,变得更具隐蔽性、破坏性和顺周期性。并且,区块链金融的技术风险极易通过区块链的交易管道与这些传统的金融风险叠加交织,从而在金融业、科技企业和市场基础设施运营企业之间迅速传递膨胀,形成更大范围的系统性金融风险隐患,危及金融消费者的利益和社会的稳定。
总之,作为支撑和维系区块链金融交易安全与稳定的基础架构,区块链技术既非必然中立,也非必然向善。面对区块链金融诸多难以预知的技术风险,监管层应予以警觉。中国银行前行长、现任中国互联网金融协会区块链研究工作小组组长李礼辉呼吁政府极有必要介入区块链技术规则和法律规则的制定。[21]而总书记在前文的中央政治局专题集体学习会上更是高屋建瓴地指示要加强对区块链技术的引导和规范,积极探索发展规律和建立适应区块链技术机制的安全保障体系,把依法治网落实到区块链管理上,推动区块链安全有序发展。[3]因此,无论从减缓技术研发或应用主体的微观道德风险,还是从守住宏观的系统性金融风险底线的角度看,用法律制度回应和监管区块链金融的技术风险不仅必要,而且意义重大。其已然构成推动区块链金融有序发展须臾不可缺的制度保障。
四、区块链金融技术风险的监管现状与革新路径
(一)我国区块链金融的监管现状
作为全球排名第二的金融科技大国,我国对区块链金融的监管实践一直走在世界各国的前列。自2013年底人民银行等五部委发布了《关于防范比特币风险的通知》以来,国家相关部委及下属机构就针对“区块链+货币”的各种风险问题陆续出台多个通知与公告,见表1。总结和梳理这些监管文件,可见当前我国在区块链金融监管上存在理念滞后、主体单一、手段僵化和规范模糊等不足。
表1 我国涉及区块链金融的监管文件及内容
首先,理念滞后是指我国监管层过分注重区块链金融的绝对安全而忽略对其的创新激励。以ICO为例,监管层在其风险未现初期一直对之置若罔闻,而在目睹2017年上半年ICO野蛮生长带来炒作乱象之后,又旋即走向另一极端,对之祭起“封杀”的监管大旗。这种为追求零风险而不惜封杀整个行业的举措映射出监管层追求金融绝对安全的单一价值取向。这种单一价值取向显然与区块链金融天生寻求自由创新的品性格格不入,很可能会因此扼杀区块链技术的数字融资潜能及作用的发挥,使之错失发展机遇。
其次,主体单一系指我国对包含区块链金融在内的整个金融科技的监管主体仍限于政府部门。目前,无论是原有的“一行两会”抑或是新增的国家网信办,它们都清一色为国家的行政监管机构。虽然行政监管兼具有立法与执法的双重职能,可以自主制定监管规则,但这种行政监管规则往往偏好“命令和控制”,容易产生适用上的监管刚性,缺乏实时性和适用性,对创新主体动向和风险变动现状跟进不足。一言以蔽之,区块链金融的尖端技术性、高速发展性与高度复杂性特征使得仅靠政府进行单一监管已远远不够。[22]
再次,手段僵化是指我国监管层对ICO的监管过于机械刚性,既无交涉裁量的余地,又无预测和限制的尺度。前已述及,作为基于区块链构架技术的一种常见融资方式,ICO本属全球性投资现象,并无原罪。然从表1可见,监管层出台的所有文件均一刀式地将之定性为“非法”行为而加以取缔。这些禁止性规定看似可以一劳永逸地消弭ICO炒作带来的风险,但往往适得其反,“禁而不止”。事实上,我国自2017年下半年取缔以来,很多ICO平台从地上转为地下,或改头换面成IFO、IEO或以IMO方式打着共享经济的旗号卷土重来,继续炒作;或干脆“出海”在境外注册并通过部署境外服务器向境内原有客户提供交易服务,从而又掀起新一轮的“炒币”热。由此可见,采用“一棍子打死”的监管手段僵化粗暴,势必会造成监管反弹和诱发无休止的“道魔之争”,虽可“禁标”但却不能“治本”。
最后,规范不足是指我国现有的涉及区块链金融的法律监管规范不仅模糊不清,可操作性差,而且对其动态技术风险的防范付诸阙如。以表1中的《区块链信息服务管理规定》为例,其第9条虽注意到技术自身应具备的基本安全性而要求区块链信息服务提供者开发上线新产品、新应用、新功能的,应当按照有关规定报国家和省、自治区、直辖市互联网信息办公室进行 “安全评估”。然此处的“有关规定”指什么规定、如何评估、评估时间多长都未提及,令区块链金融服务的提供者无所适从。无独有偶,其第14条接着要求“国家和省、自治区、直辖市互联网信息办公室对区块链信息服务备案信息实行定期查验,区块链信息服务提供者应当在规定时间内登录区块链信息服务备案管理系统,提供相关信息”。而这里的定期查验如何进行?时间多长?区块链信息服务提供者不在规定时间内登录备案管理系统,提供相关信息,需要承担何种后果?同样无从得知。更令人匪夷所思的是,此管理规定不加区分地将区块链技术研发者和经营者合称为信息服务提供者。这种合二为一的界定方式显然抹煞了区块链技术研发和应用主体的行为边界,无法廓清两者的风险责任,自然也就谈不上对区块链金融技术动态风险的审慎对待和精准防控。
(二)我国应对区块链金融技术风险的监管路径革新
技术的革新往往会带来社会生活颠覆性的变化。区块链技术作为信息技术又一次飞跃发展的典型代表,进入金融领域不过十几年光景,但其独特的运行逻辑和架构却给金融监管带来了很大的冲击和挑战。面对这种冲击和挑战,监管层应与时俱进,选择区别于线下传统金融的监管进路,以在维护区块链金融市场创新活力与风险防范之间求得平衡。为此,需要在我国加强区块链金融监管理念的更新,完成从“绝对安全”到“相对安全”的重塑,并采取监管革新之策。
1.扩展监管主体:从政府单一监管到多元共管
区块链金融运行的一大特征是“去中心化”。然而,在笔者看来,这种“去中心化”更多的是强调各个节点(主体)之间的地位平等和协同互动,所要去掉和反对的只是那些操纵和控制整个系统交易的中心节点,并不意味着没有“中心”的存在。事实上,由于区块链金融需要一个用户友好型界面以供社会公众使用,因此其本身也可能通过第三方中介机构实现中心化。进言之,区块链金融交易之所以不存在“中心”与“非中心”之分,恰是因为每个交易节点都是中心之故。因此,与其说区块链金融是“去中心化”,还不如说它是“泛中心化”或“多中心化”。而这种“泛中心化”或“多中心化”本质上“不是凭借某一个中心权威,通过一体化的上级指挥与下级服从的长链条来维系自身的运转,而是受特定规则制约并在社会一般规则体系中找到各自的定位以实现相互关系的整合”。[23]无疑,区块链金融的这种“泛中心化”或“多中心化”运营模式与传统的以政府为单一主体的监管模式高度不匹配。并且,区块链金融技术的高度复杂性和专业性决定了作为研发和应用主体的科技公司或金融机构(平台)要比监管机构更具专业和信息优势。它们不仅通晓技术的来龙去脉,而且直接储存和掌握着一线交易的所有数据,更有能力识别技术的风险症结和确认监管的重心所在。监管层唯有与之合作,才能及时、全面、客观了解区块链金融的运作逻辑和跟踪其创新风险实况,确保监管的有的放矢和对症下药。2017年美国发布的《金融科技框架》就强调监管机构应努力与金融科技公司进行密切且开放的合作,从政府单向主导的“公私合作”变为政府与企业相互平等的“公私协作”以探索达成目标的创新性监管手段。[24]
为此,在区块链金融的监管上,从政府单一的监管转变到由政府、行业协会和区块链科技公司的合作监管已成趋势。在这种多元共管模式中,各主体相互独立,政府机构虽仍是权力中心,但不再直接实施行政干预,而更多是运用委托、授权、指引等手段赋予其他主体以一定监管权限,以充分发挥社会团体、科技企业等的监管主体作用,促成政府的行政监管、行业的自律监管和企业的自我规制这三者的协调合作。总之,这种多元共管不仅可以调动各方的监管资源和智识,达致监管力量的优势互补,还能真正反映区块链金融从业者的呼声,确保做出的监管策略更具针对性和包容性,在维护市场稳定的同时能避免矫枉过正。
2.优化监管方法:从刚性的传统监管到柔性的适应性监管
怎样监管,采用何种方法监管,这是确定区块链金融多元合作监管主体之后必须考虑的核心问题。虽然从整体属性上看,区块链金融技术风险具有引发更大范围系统性金融风险的隐患,但区块链金融的结构类型,参与交易的节点数量和风险首现的环节等因素的差异,都决定了不同的区块链金融项目具有不同的风险暴露程度和方式。是故,监管层不宜沿袭以往命令-控制型手段,要求所有项目一刀切地适用同一监管规则。相反地,应立基于这些差异性,实施与之相称的“适应性监管”(adaptive regulation)举措。从国外来看,监管沙盒(Regulatory Sandbox)、创新指导窗口(innovation Hub)、创新加速器(innovation Accelerator)等都是适应性监管的实践表现。以最受学者推崇的监管沙盒为例,监管层一方面可在一定范围内(沙盒)豁免金融科技企业繁杂的合规要求,为其创新方案的落地提供真实的缓冲与试验空间;另一方面则可以此近距离和持续地观察、捕捉创新产品的风险演化动态及其对金融消费者权益的影响,并在与创新企业不断沟通互动中调适和修订监管策略,使之在风险防范和创新激励间臻于平衡。
具体到区块链金融监管中,针对当前“禁而不止”的ICO融资行为,笔者建议我国可以借鉴上述做法,推行中国版的“监管沙盒”,即在沙盒内对一些有价值的ICO项目的上市审批、投资者限制、信息披露等实施监管豁免或提供个别指导,允许它们开展测试而不必顾及风险后果。如此,监管层就可在测试中把握ICO项目的技术细节、创新行为和产品特点,从而调整监管的频度和力度,建立契合区块链技术创新以及行业发展需求的ICO监管框架。
3.充实监管规范:从反面的简单禁令到正面的监管指引
区块链金融之所以近年来屡被黑客攻击或被利用为进一步违法的工具,主要的原因在于我国未能对之建立起有效的法律治理规则。虽然我国已颁发了不少涉及比特币和ICO的监管文件(见表1),但这些监管文件都是反面的禁令,即以不承认监管对象的合法性为预设前提而取缔之。此举简单“粗暴”,不仅折射出监管层对ICO风险的无知与恐慌,而且未能对行业发展形成正面的指引,规范价值大打折扣。事实上,正是区块链技术的植入和加持才使得区块链金融风险较传统金融业的风险更为隐蔽复杂和无远弗届,故欲对区块链金融风险施以有效的监管,除了延续已有的面向传统金融经营主体的审慎监管和行为监管规则之外,还应在此基础上针对区块链金融的技术风险构建起特别的技术应用规范,以实现法律治理和技术治理的双重监管。建议我国可从以下几个方面加以充实和完善:
一是制定区块链金融的技术安全标准。虽然技术不能尽善尽美,但制定一整套贯穿区块链技术开发应用流程的安全标准如设备安全、数据安全、系统安全、密钥安全及数据接口安全和算法安全等,不仅可以促进不同版本的区块链金融产品或服务的有效衔接,减少投资者资金因系统技术安全漏洞而遭致黑客攻击盗取的风险,而且还能抑制研发人员利用技术开发先机可能滋生的作恶动机。建议我国可以对标现行国际标准化组织(ISO)发布的《分布式块存储系统总体技术要求》这一区块链技术标准倡议,结合本国实情先行制定统一的区块链金融技术标准,以指引区块链技术的规范开发和有序应用。
二是补齐区块链金融技术研发与应用的基本流程规范,包括区块链金融机构的分级分类和市场准入、安全评估、投资者适当性、信息披露、有序退出等。在这些规范中,区块链金融市场准入的完善最显迫切和必要。虽然我国现行的监管立法有对区块链技术应用落地提出了事前的备案要求,但仅限于“名称、服务类别、服务形式、应用领域、服务器地址”等简单信息,而对决定区块链应用核心逻辑的算法却付诸阙如。建议监管层今后应将算法纳入现行的区块链金融信息备案管理系统。通过算法的强制备案,监管层可以提前对某一具体的区块链金融产品的运作策略和风险要点进行整体把握,从而剔除掉那些打着“区块链技术”旗号肆意集资、从事金融诈骗等非法活动的“伪创新”,减缓算法黑箱带来的欺诈风险。此外,监管层还应主动与科技企业合作,听取行业和技术专家的意见,及早制定行之有效的技术安全评估办法、查验指引和探索包括区块链技术在内的金融科技手段应用于监管的可行性和应用方式,通过引入监管科技手段实时监测区块链金融技术风险的演化动态,以弥补上述《区块链信息服务管理规定》在此方面的规范空白。
三是确立区块链金融技术主体的风险责任。法律责任具有惩罚、救济和预防的功能。明确风险责任既是实现强化行为约束的保障,也是充分回应技术风险爆发和损害的基础。[25]如前所析,在区块链金融技术风险的生成、传导和爆发过程中,作为技术研发主体的科技公司和技术应用主体的金融机构都难辞其咎。然目前我国的监管立法却将两者合为一体,统一冠以“区块链信息服务提供者”,这就导致两者的责任边界不清,不利于风险的预防。因为相比金融机构,现实中的科技公司既可以凭藉其非金融机构的身份逃离于传统金融监管体系之外,又可依非合同法上的相对关系对抗终端金融消费者的苛责,从而在一定程度上免于承担公私法上的风险责任。相反地,作为一线的金融机构受制于服务合同关系往往要为整个产品的技术风险责任兜底。此一情形既不利于对技术研发者不当行为的约束和震慑,也会打击金融机构发展区块链金融产品的热情。是故,除非技术自身不可克服的缺陷与漏洞,否则监管立法应规定两者在技术研发或应用环节中不仅要遵循不低于技术标准的注意义务,而且还应对金融消费者负有最终的安全保障义务。如此就可让终端的金融消费者在受到技术滥用侵害时可径直突破合同相对性原理,上溯到研发环节向科技公司追责,以此约束科技公司制造技术风险后又试图转嫁给金融机构的投机做法。当然,无论是科技公司抑或是金融机构,在确立各自风险责任时不应简单地基于两者实施技术不当行为的具体环节做形式上的判定,还应结合“业务实质”标准“穿透”到风险的始作俑者,并配之于严格而非过错的责任归责原则。如此才能真正让那些制造风险的技术主体在“自作自受”中自发产生约束自身道德风险的动力,从而在源头上实现技术风险的最优控制。
结语
区块链金融本应因技术创新而出生,当然也要依靠技术创新而成长。技术创新之于区块链金融就好比空气和水之于人体。没有技术创新,区块链金融也就失去了生命线。因此监管若不能为区块链金融的技术创新保驾护航也就失去了意义。然而,区块链金融创新带来的技术风险隐忧和以比特币为代表的“区块链+货币”的野蛮生长史又决定了监管是须臾不可或缺的。综合而言,区块链技术创新与金融监管应是一种相互支持与制约的生态系统,是一种利于区块链金融向善发展的全景图。所谓“愚者暗于成事,智者见于未萌”,对监管层来说,如何与时俱进,针对我国区块链金融亟需依靠技术创新成长壮大和技术创新会带来未知风险的双重现实,选择区别于传统金融机构的监管理念、监管方法和监管规范,以此实现区块链金融市场创新与风险防范之间的平衡将是一个极大的挑战。并且,这种挑战绝非毕其功于一役,而将伴随着区块链金融发展的始末。
