摘 要：数字人民币在线支付的结算最终性，不受破产撤销权的冲击，还可以援引欺诈、胁迫的一般性规定，以及按份共有的分割权实现不正确支付的“回转”。单方离线支付的结算最终性仍适用赴偿之债或往取之债的规则。双方离线支付的结算最终性取决于不同的技术方案。重复支付只存在狭窄的空间，需要通过系统设计限定在风险可控的范围。因为数据篡改所致的重复支付，属于一般社会风险，可以适用假币规则。另一种重复支付的根源在于，承载数字人民币的加密币串没有在不同数字钱包实现转移，以及不附带“冻结”等移转限制。中国人民银行在未来的完全双层运营模式下，不再承担个人信息保护的责任，而运营机构理应按照个人敏感信息的规则，处理用户使用数字人民币所产生的信息。

关键词：数字人民币；离线支付；重复支付；可控匿名性；个人敏感信息

作者简介：李建星，上海政法学院佘山特聘岗教授，主要从事民商法、电子支付法研究。

基金项目：国家社会科学基金重大项目“互联网交易制度和民事权利保护研究”（项目编号：20amp;ZD192）和国家社会科学基金后期资助项目“电子支付的私法结构”（项目编号：21FFXB025）的阶段性成果。

中图分类号：D923；F822 ""文献标识码：A ""文章编号：1001-4403（2023）05-0116-12

DOI：10.19563/j.cnki.sdzs.2023.05.010

数字人民币是否安全，成为其能否被广泛接受的前提。随着数字人民币更深度地介入日常生活与交易实践，普通公众担忧，使用数字人民币将导致所有的个人交易信息都被国家掌握；国家无法保障公众的个人信息安全，侵蚀隐私。①【①这种担心在欧洲同样存在。根据欧洲中央银行2021年的最新调查，公众对数字欧元最关注的是用户隐私问题。See European Central Bank.Eurosystem report on the public consultation on a digital euro，p.3.】专业研究者则关注，数字人民币存储是否安全，会否遭受运营机构的随意扣划，会否受到运营机构破产的影响，是否会发生重复支付以及应当如何分配当中的责任。

上述对于数字人民币安全性的担忧，贯穿于“存储—支付—个人信息”三大板块。其中，数字人民币的运营系统设计与法律规范的互相配合，已经为存储安全提供了较高的保障。用户对数字人民币享有绝对性的效力，进而使得运营机构不得直接扣划数字钱包内的数字人民币；用户在运营机构破产时，可以全额取回数字人民币，无须受制于《存款保险条例》的50万元限额。②【②参见李建星：《数字人民币私权论》，《东方法学》2022年第2期，第85页。】但是，支付安全与个人信息安全两者间依然存在诸多争议、疑惑，亟待化解。现有的支付安全规则，通常以电子支付工具为承载的账面货币为调整对象。但是，此类规则可否适用于以及在多大程度上适用至未来将作为数字化法定货币的数字人民币，缺乏明确的回应。再者，数字人民币的运营系统设计试图突破现时电子支付的边界，支持离线支付功能的实现。那么，现时的支付安全规则可否为离线支付功能提供充分的制度保障呢？前述问题均可以归结为，数字人民币创新运营系统所要求的安全性与既有法律规范间的制度供给存在矛盾。

为了回应上述问题，已经有学者着手讨论离线交易的安全性。①【①参见柯达：《数字人民币离线支付的法律规制》，《上海财经大学学报》2023年2期，第59页。】还有学者关注个人信息保护问题，或者建议对“告知-同意”规则进行分层构造以满足信息处理的灵活需求，②【②参见孔霜依：《我国法定数字货币流通中的个人信息私法保护规则研究》，《浙江金融》2021年第11期，第56页；赵玲：《消费者个人金融信息权益的法律保护研究》，《金融论坛》2022年第12期，第42页。】或者提倡强化中国人民银行与运营机构的个人信息保护职责，③【③参见柯达：《基于公私利益衡量：论我国法定数字货币的个人信息保护》，《南京社会科学》2023年第5期，第80-93页。。】或者主张统一按照安全保障义务，依照侵权责任来处理安全保障问题。④【④参见袁俊宇：《数字人民币运营机构安全保障义务的廓清与实现》，《当代法学》2023年第2期，第50页。】但是，前述观点还有进一步探究的空间。着眼于公法的观点，只揭示了当事人遵守监管义务的范围与程序，无法指明出现争议后当事人可以采取的救济措施。面对不同交易场景的安全保障问题，着眼于统一侵权责任思路的精准度不足。鉴于此，本文以数字人民币的安全保障为主题，详细阐述其在在线支付、离线支付、个人信息三个子问题的安全保障构造。

一、在线支付安全保障论

（一）在线支付安全面临的挑战

1.正确支付的结算最终性未明

鉴于部分国际支付系统无法实现资金即时到账，造成收款人的流动性危机，以麻省理工学院“数字货币行动计划”为主导的联合课题组发布报告要求，法定数字货币须具有结算最终性（Finality），法定数字货币可以模仿现金的确定性与即时清算，以延缓数字移转所遭遇的迟延问题。⑤【⑤See Narula，et al.CBDC：expanding financial inclusion or deepening the divide？，p.37.】此项要求可以细致拆解出两项内容：第一，付款人做出支付行为，与金钱债务清偿间尽量不存在时间差；第二，金钱债务的清偿不存在“可逆性”，导致收款人“得而复失”。前项内容已经在数字人民币上得以落实。《中国数字人民币的研发进展白皮书》提出，数字人民币通过钱包进行资金转移，可实现“支付即结算”。付款人在通过数字人民币钱包移转时，向运营机构发出指令，指示其将数字钱包内的、一定价值的数字人民币交付给收款人。运营机构作为占有辅助人，确保特定价值的加密币串进入收款人的数字钱包。换言之，交易双方都使用数字钱包，可以实现点对点的数字人民币转移，无须经过中央银行跨行支付系统。这提高了结算效果，有效地避免了因为经历多个流程，“拉长”付款人做出支付行为与清偿债务的时间差的情况。

然而，数字人民币清偿金钱债务是否存在“可逆性”，要回答这一问题就必须回应破产撤销权的挑战。例如，在运营机构已经进入破产受理时，或者处于受理破产申请前一年或六个月内，其将数字人民币支付给收款人的行为是否构成偏颇清偿，⑥【⑥参见韩长印、张玉海：《借贷合同加速到期条款的破产法审视》，《法学》2015年第11期，第46页；徐阳光、陈科林：《民法典视域下的破产撤销权》，《人民司法》2022年第4期，第7页。】以及被管理人是否有权请求法院予以撤销（《企业破产法》第31、32条）呢？如果上述问题的答案为肯定的，那么，中国人民银行所规划的“支付即结算”将受到极大的冲击。

有提议类推一般账面货币（Buchgeld）清算规则，予以解决该问题。基于《大额支付系统业务处理办法》第22条：“参与者发起的支付业务需要撤销的，应通过大额支付系统发送撤销请求。大额支付系统未清算资金的，立即办理撤销；已清算资金的，不能撤销。”①【①类似的法律规范还有《小额支付系统业务处理办法》第18条第1款，“付款行对发起的普通贷记业务、定期贷记业务、普通借记业务回执和定期借记业务回执需要撤销的，可向小额支付系统发送撤销申请。申请撤销的业务未纳入轧差的，系统立即办理撤销；已纳入轧差的，不能撤销”。】此规定旨在阻断破产撤销权的效力，防止商业银行已经执行账面货币的支付行为被撤销，从而引发金钱债务的“可逆性”。那么，此规则是否有必要类推至数字人民币，以保障其支付安全呢？还是可以寻求其他的规范构造予以解决？

2.不正确支付的“回转”方式存疑

麻省理工学院“数字货币行动计划”联合课题组发布的报告还要求，在法定数字货币系统内部，设置收款人向付款人“回转”的独立机制，解决以下三种案型：其一，付款人受到欺诈或强迫做出支付行为；其二，付款人后悔做出支付行为；其三，付款人错误支付，包括了付款错误或金额错误。②【②See Narula，et al.CBDC：expanding financial inclusion or deepening the divide？，p.37.该报告还要求设置独立的争端解决机制。】但中国人民银行并未规划在数字人民币的运营系统中予以回应。

在数字人民币相应法律规范阙如的背景下，裁判者遵循错误转账的惯常思路，处理既有争议。例如在“姜某与张某不当得利纠纷”中，原告姜某在数字人民币转账中错误操作，将3 000元数字人民币转账至被告张某账户中。法院依据不当得利的规范构造做出裁判：“原告姜某误将3 000元转入被告的账户内，被告得到利益，造成原告损失，符合不当得利的构成要件，双方形成不当得利关系。对此被告应将取得的不当利益款3 000元返还给受损失一方即本案原告姜某。”③【③辽宁省康平县人民法院（2022）辽0123民初1144号民事判决书。】但是，法院并未区分原告是将所涉的数字人民币转入被告的银行账户，抑或数字钱包中。倘若所涉的数字人民币进入被告数字钱包，甚至是下属的特定子钱包，便可以维持其各自的独立性。因为数字人民币继续保持为加密币串的形态，加密币串包含数字冠字号、金额、中国人民银行签名等诸多信息，其中，数字冠字号类似于纸币上的冠字号码，具有唯一性。故而，继续遵循不当得利的规范构造处理该类案件，就未免妥当。由此，有必要进一步追问，是应当设置独立机制，并建构相应规范呢？抑或可以立足于现行法律规范体系，做出周全回应呢？

（二）在线支付安全的回应

1.结算最终性不受破产撤销权的冲击

之所以要针对商业银行破产做出特别规定，将其支付行为排除在偏颇清偿之外，存在两方面理由。第一，其支付行为已经满足破产撤销权的事实构成。因为用户资金归属于商业银行，商业银行使用自身财产为用户执行支付行为，减少了自身责任财产。第二，从价值衡量角度讲，不应撤销支付行为。撤销商业银行在破产临界期的所有支付行为，牵涉众多主体的资金安全性，既无必要，甚至也缺乏追回的可能性。基于前述两点理由的平衡，为了避免商业银行的正常支付行为受到破产撤销权的影响，比较法通常采取专门立法的方式予以回应。④【④例如，《欧盟支付与证券结算系统的结算最终性指令》（Directive on settlement finality in payment and securities settlement systems）第7条规定，破产程序不能对支付系统参与银行，在破产程序开始前的相关权利与义务，产生溯及力。】

但是，数字人民币支付本身就不满足破产撤销权的事实构成，也就不需要另行阻断其效力了。正如之前所述，付款人对数字人民币的支配具有绝对性。运营机构作为付款人的占有辅助人，确保特定价值的加密币串进入收款人的数字钱包。在数字人民币的加密币串进入收款人的数字钱包前，付款人持续对其享有物权。在此之后，收款人对此笔数字人民币享有物权。这个过程中，该笔数字人民币从来没有进入过运营机构的责任财产内，也就不存在运营机构执行支付行为，减少自身责任财产的可能性。所以，使用数字人民币清偿金钱债务，无须类推适用《大额支付系统业务处理办法》第22条，对抗破产撤销权。

2.不正确支付“回转”的既定机制

麻省理工学院“数字货币行动计划”联合课题组提出的三种情形，均可以通过既有的法律规范，做出周全回应。

第一，欺诈或强迫做出支付行为，依照意思表示撤销规则处理。在私法自治的框架下，私人主体根据自身的自由意志，做出行为，并承担相应的法律后果，对自己的行为负责。但是，若在意志的形成与表达的过程中，受到他人的不当干扰，就超出私人主体为此负责的范围。同理，针对受欺诈或胁迫的情形，付款人援引欺诈、胁迫的一般性规定（《民法典》第148—150条），可以撤销数字人民币支付行为的效力，实现所涉资金的“回转”。

第二，付款人后悔做出数字人民币的支付行为，大多不能通过撤销实现“回转”。数字人民币系统中的支付指令与通常的支付指令相同（《非银行支付机构网络支付业务管理办法》第2条），均是用户要求金融机构为其执行资金移转的依据，可以定性为意思表示。①【①李建星、施越：《电子支付中的四方关系及其规范架构》，《浙江社会科学》2017年第11期，第54页。】《民法典》对意思表示的规范方向，以可撤销为原则，不得撤销为例外。②【②参见赵文杰：《要约》，《中德私法研究》第13卷，北京大学出版社2016年版，第298页。】另外，《电子支付指引（第一号）》第19条第2款规定，“发起行执行通过安全程序的电子支付指令后，客户不得要求变更或撤销电子支付指令”。前述规范可以归纳出，付款人原则上可以撤销支付指令，例外是支付服务提供者已执行该项指令。设置例外的意旨在于，维护支付行为的自动化。③【③Vgl Jungmann.in：MüKo BGB，2023，§675p Rn.2.《德国民法典》为了执行欧盟支付服务指令，采取了更加前置的规范构造。其第675p条第1款规定，支付指令一旦到达就不能撤回。】

不过，出于数字人民币“支付即结算”的特性，上述规范所构造的“原则-例外”将发生“逆转”。付款人在通过数字人民币钱包移转时，向运营机构发出指令，指示其将数字钱包内的、一定价值的数字人民币交付给收款人。运营机构立即执行指令，确保特定价值的加密币串进入收款人的数字钱包。所以，“支付即结算”特性要求运营机构立即执行支付指令，使得支付指令可撤销的原则丧失适用余地。换言之，付款人无法因为后悔发出指令，而获得所涉资金的“回转”。

第三，付款人实现数字人民币错误转账的资金“回转”，可以借助比不当得利更有利的法律构造。账面货币的错误支付，需要通过不当得利的规范结构实现返还，主要原因在于付款人、收款人均只有对其支付服务提供者的债权，也不存在货币的独立性与特定性。从现时裁判趋势来看，即便是在账面货币之中，如果能实现特定性，裁判者也会给予付款人更有利的法律地位。在“明策伟华有限公司、福建广林福茶业有限责任公司等执行异议之诉”④【④福建省宁德市中级人民法院（2021）闽09民终339号民事判决书。】中，因涉案款项汇入的是法院已冻结账户，且根据银行交易记录，涉案款项汇入该账户后无其他任何资金往来，其性质应为特定物。基于此，案外人要求返还的实际上仍是原错汇的特定物性质的银行存款，故有权排除对申请执行人的一般强制执行。与此相较，数字人民币错误支付进入他人数字钱包的场合，因为数字冠字号维持了加密币串的互相独立，错误支付的数字人民币即便进入他人数字钱包，依然可以维持独立性与特定性。按照动产附合的观点，付款人与收款人按价值共有该数字钱包中的数字人民币。加之，《民法典》第303条明确规定了按份共有的分割权。符合条件的共有人行使此项形成权提出分割，其他共有人就负有配合分割的义务。

所以，错误支付的付款人针对数字人民币发生混合的情形，可以径行提出分割。此形成权生效后，数字人民币的物权随即复归，并允许用户行使所有物返还请求权。⑤【⑤李建星：《数字人民币私权论》，《东方法学》2022年第2期，第89页。】相较于不当得利的规范构造，此构造更有助于实现付款人的资金安全。收款人已经处于破产状态，按照不当得利的规范构造，付款人必须与其他债权人平等受偿，不享有任何的优先性；相反，按照“分割权+所有物返还请求权”的规范构造，付款人可以随之行使破产取回权（《企业破产法》第38条），获得了优先于其他债权人的法律地位。此种有利于资金安全的构造，可以降低用户的疑虑，助推数字人民币的流通与使用。

二、离线支付安全保障论

（一）作为法定数字货币关键功能的离线支付

根据国际清算银行的定义，法定数字货币的离线支付系指，缺乏网络或电子信息时，（零售型法定数字货币）设备间可以在无须连接到分类账的情况下，即可实现价值移转。①【①②See Bank for International Settlements.A handbook for offline payments with CBDC，p.19，p.102.】这一功能在国际上通常被视为实现普惠金融的重要工具。②金融是否具有普惠性，通常以金融服务账户的获取、注册和使用情况来衡量。根据世界银行在2021年公布的数据显示，大约14亿人，几乎占世界成年人口的四分之一，仍然没有银行账户。③【③See World Bank.The global findex database 2021，p.17.】制约普惠金融的因素有多种，既有用户自身年龄、智力、身体状态的限制，也有互联网、电力供应等各种基础设施的不足。后种制约因素可以被具有离线支付功能的法定数字货币大大缓解。所以，不少国家的央行已经在法定数字货币中，着重开发离线支付功能。比如，巴哈马考虑到各个岛屿间可能存在网络通信断开的情况，在法定数字货币“沙元”中设置了离线功能。用户可以在交易系统通信中断时，继续进行支付行为。④【④参见邓颖、高雪馨：《央行数字货币的灾害应对机制：以巴哈马沙元为例》，《清华金融评论》2022年第1期，第65页。】再如，根据媒体报道，韩国银行在2023年5月18日和三星公司达成合作开发的意图，计划通过智能手机和智能手表，支持离线状态下的法定数字货币交易。⑤【⑤https：//www.nfcw.com/2023/05/18/383885/bank-of-korea-and-samsung-to-test-offline-cbdc-payments-using-nfc/.加拿大、瑞典央行也在开发央行数字货币的离线支付功能。】

通过具有离线支付功能的法定数字货币实现普惠金融的考量，同样存在于我国。《国务院推进普惠金融发展规划（2016—2020）》做出定义，“普惠金融是指立足机会平等要求和商业可持续原则，以可负担的成本为有金融服务需求的社会各阶层和群体提供适当、有效的金融服务。小微企业、农民、城镇低收入人群、贫困人群和残疾人、老年人等特殊群体是当前我国普惠金融重点服务对象”。根据《中国普惠金融指标分析报告（2021年）》的数据，截至2021年末，中国人均拥有9.61个银行账户；人均持有6.55张银行卡。⑥【⑥⑦参见中国人民银行金融消费权益保护局：《中国普惠金融指标分析报告（2021年）》，第6、9页。】超过85%的受访者使用数字支付。⑦但是，反过来看，即便在支付服务高度发达的我国，依然有10%左右的人口未能使用数字支付。其中，部分缘由就在于，地处偏远无法使用互联网服务。而且，从交易场景来看，飞机、地下停车场等通信网络覆盖不佳的场所，也有必要突破现有电子支付的边界，开发数字人民币的离线功能，为其创造更广阔的适用空间。

数字人民币已经具备了收、付单方离线与双方离线支付功能，支持通过移动设备（手机、含可视芯片卡的硬钱包等）在近距离内的支付行为。单方离线支付可以通过二维码、芯片、密码卡实现。最近，还发展出了依靠手机SIM卡形式的硬钱包。在断网、熄屏、无电关机情况下，付款人无须扫描或调出二维码，直接使用手机触碰收款人的POS机，即可付款。这对于不擅长使用智能手机的老年人群较为友好，有助于缩小“数字鸿沟”。双方离线支付在2021年的雄安新区就已经率先实现。收、付双方均处于离线的状态，也可以通过特定设备间的触碰，完成支付行为，包括手机与近场通信（Near Field Communication，NFC）标签的触碰、手机与手机的触碰、手机与POS机的触碰等多种形式。

（二）离线支付安全面临的挑战

1.离线支付结算最终性的复杂性

数字人民币离线支付结算最终性的复杂性，需要与在线支付的结算最终性对比来看。收、付双方通过数字钱包进行在线的资金移转，数字人民币无须经过复杂的转换、清算程序，通过地址间的交易，就直接清偿了金钱之债，获得了实物人民币所不具有的便捷性、流畅性。相对应，付款人的数字钱包余额减少，收款人的数字钱包余额增加。运营机构即时在以联盟链为基础设置的分布式账本上，记载此项交易信息。由此，收款人可以使用该笔资金另行支付。可见，在线支付的场合中，加密币串的移转、数字钱包余额增减、分布式账本记载、收款人可用性，四项内容同时实现。

不过，双方离线支付无法同时实现上述四项内容。根据四项内容的分离情况，数字人民币双方离线支付可区分出下述三种技术方案：第一，分布式账本迟延记载方案。付款人做出支付行为后，加密币串从付款人的数字钱包移转到收款人的，并发生相应余额增减；但是，离线状态导致运营机构无法在分布式账本上记载，进而收款人无法使用该笔资金用作另行支付。只有在连接上互联网并处于在线状态后，分布式账本记载了交易信息，才使得收款人可以使用该笔资金另行支付。由此，加密币串的移转、数字钱包余额增减与分布式账本记载、收款人可用性存在长时间的间隔。此方案已经运用在公共交通中。①【①https：//www.woshipm.com/it/5308200.html.】第二，币串“冻结”方案。付款人做出支付行为后，加密币串处于被“冻结”状态，只有在连接上互联网并处于在线状态后，才能实现上述四项内容。此方案由中国人民银行数字货币研究所所持有的专利提出。②【②参见《基于数字货币的离线支付方法、终端及代理投放设备说明书》，CN 109493016 B，第6页。】第三，“各方状态不变”方案。付款人做出支付行为后，各方的利益状态并未发生改变，只有在连接上互联网并处于在线状态后，才能实现上述四项内容。

那么，基于上述技术方案的双方离线支付功能是否会突破中国人民银行所规划的“支付即”特征？如何确定不同技术方案中的债务清偿时间？尤其是避免出现大规模的迟延支付，冲击数字人民币的被接受度。现有文献仅提及分布式账本迟延记载方案中的金钱债务清偿时间，且存在分歧。有观点主张，以收款人实际获得该笔资金为债务清偿时间。③【③参见穆长春在第十一届中国支付清算论坛上，所作的“关于数字人民币价值特征法律问题的思考”的主旨演讲。】相反观点判定，以收款人获取该笔资金可用性为准，“技术上只有再次连线时，支付信息才能够到达结算处进而完成结算”④【④石文静：《数字人民币合同关系：双层架构及其法律效果》，《安徽师范大学学报（人文社会科学版》2023年第4期，第101页。】。然而，如何解决币串“冻结”方案、“各方状态不变”方案的相应问题，缺乏探讨。而且，是否需要区分单方离线、双方离线，采取不同规则，也缺乏细致审视。

2.重复支付的存在空间与责任分配缺乏考量

重复支付，又被称为“双花”，系指同一个数字代币用于多次支付。其被视为法定数字货币离线支付功能的最大风险。⑤【⑤See Bank for International Settlements.A handbook for offline payments with CBDC，pp.102-105.】为了应对重复支付，各国央行通常采取技术层面的限制举措。例如，英格兰银行提出多重的管控措施，包括了针对数据篡改，装置防篡改硬件；设置离线限额，降低重复支付的规模与影响；记录必要的付款人和收款人数据，以支持双重消费检测和纠正措施。⑥【⑥See Bank of England.The digital pound：technology working paper，p.79.】但是，上述三种数字人民币离线支付技术方案均会存在重复支付吗？更进一步，假如中国人民银行已经从技术层面，限定数字人民币的离线支付功能，依然发生重复支付，又应当按照何种法律构造分配民事责任呢？

现有观点试图回应第二项疑问，并提出两项建议：其一，要求商业银行建立相应的信用评价机制；其二，参照银行卡盗刷相关法律规定，要求商业银行承担相应的赔偿责任。⑦【⑦参见柯达：《数字人民币离线支付的法律规制》，《上海财经大学学报》2023年第2期，第59页。】不过，后一种建议与持卡人向发卡行主张请求权的盗刷规制方向背道而驰。《最高人民法院关于审理银行卡民事纠纷案件若干问题的规定》第4—15条构建了银行卡盗刷的三层责任分配。其核心在于，持卡人通过主张资金偿还请求权以及损害赔偿请求权，实现发卡行的先行偿付。⑧【⑧参见李建星：《银行卡盗刷责任的三层分配》，《人大法律评论》编辑部主编：《人大法律评论》2021年第1辑，第251页；张尧：《信用卡消费交易中冒名风险的归责与分配》，《广东社会科学》2023年第3期，第284页。】数字人民币的重复支付，一方面，涉及收款人是否可以取得相应数额的数字人民币；另一方面，关联到中国人民银行或运营机构是否有权向促成重复支付的付款人主张返还所涉资金，而非付款人要求前者承担赔偿责任。

（三）离线支付安全的应对

1.结算最终性的区分适用

单方离线与双方离线支付的结算最终性，应当有所区别。因为单方离线意味着，其中一方已经连接上了互联网并处于在线状态。该方的运营机构可以即时到分布式账本上记载交易信息，并允许收款人将该笔资金用于另行支付。此类似于现时的电子支付实践。相反，双方离线并不具备同样的实践基础，甚至以突破现时电子支付的边界为目标。所以，两者也应遵循不同的结算最终性规则。

（1）单方离线支付的结算最终性。收款人单方离线与“支付宝”“扫码支付”的原理相同，均属于赴偿之债。“扫码支付”允许收款人一端的单方离线。其流程呈现为，付款人在线登陆“支付宝”，进入“扫一扫”界面→付款人使用钱包的“扫码付”，扫描收款人提供的支付二维码或订单二维码→付款人确认支付。这是由付款人主动发起支付流程，将其账户的特定金额移转到收款人账户，与转账基本相同。同理，在数字人民币收款人单方离线的场合，付款人扫描收款人出示的二维码或触碰其收款设备，就需要确保加密币串从其数字钱包移转到收款人的，并发生相应余额增减；其数字钱包的运营机构即时到分布式账本上，记载此项交易信息，使得收款人可以使用该笔资金另行支付。于此，付款人做出支付行为与金钱债务清偿间，几乎不存在时间差。假如不可控因素导致付款人的账户余额减少，收款人的账户余额却未相应增加，或者收款人无法使用该笔资金另行支付，付款人均应再次付款。

付款人单方离线与“支付宝”“条码支付”的原理相同，均属于往取之债。“条码支付”允许付款人一端的单方离线。其大致流程是，付款人在离线的状态下，打开“支付宝”的付款二维码→收款人在收银系统操作生成带有支付金额的订单→收款人用扫码设备来扫描付款人提供的付款二维码，实现收款。这是由收款人主动发起，将付款人账户的特定金额划拨至自己账户，属于自动划账。①【①李建星：《数字人民币支付工具论》，《探索与争鸣》2023年第6期，第137页。】同理，在数字人民币付款人单方离线的场合，付款人只需要把锁屏状态的设备触碰收款人的收款设备，那么，收款人数字钱包的运营机构负责将付款人数字钱包内的加密币串划拨至本方钱包内，并进行相应的余额增减；该运营机构即时到分布式账本上，记载此项交易信息，使得收款人可以使用该笔资金另行支付。于此，付款人做出支付行为与金钱债务清偿间，一样几乎不存在时间差。假如不可控因素导致付款人的账户余额减少，收款人账户余额未相应增加，或收款人无法使用该笔资金另行支付，付款人无须再次付款。

（2）双方离线支付的结算最终性。双方离线支付虽然突破了现时电子支付的边界，但是，其也并未完全超出法律规范的调整范围。比较法在处理当事人风险承担与债务清偿时间上，存在两种典型模式：第一，风险承担与债务清偿的时间分离模式。以银行转账为原型，付款人与收款人风险承担的分水岭是，收款支付服务提供者的账户收到付款金额的时点。②【②Vgl Omlor.in：Staudinger BGB，2021，vor§244 Rn.B38，Rn.B43.】而金钱债务获得清偿的时间是，该笔资金被记入债权人（收款人）的账户，因为至此时，债权人（收款人）才获得对该笔资金的实际处置权限。第二，风险承担与债务清偿的时间合并模式。二者统一为，以收款支付服务提供者至少已无条件决定贷记收款人账户的时点。③【③⑥罗斯·克兰斯顿等：《银行法原理》（第三版），吕琦译，法律出版社2022年版，第336、340页。】而《国际商事合同通则》第6.1.8条第2款采取折中模式，规定为，“通过划拨付款时，当划拨至收款人银行时生效，付款人义务解除”。重要时刻发生在将资金记入债权人的账户之前。④【④⑤See Vogenauer/du Plessis（eds.）.Commentary on the UNIDROIT Principles of International Commercial Contracts （PICC），2.nd.，Art 6.18 para 5，para 6.】

如果采纳《国际商事合同通则》第6.1.8条第2款的观点，数字人民币双方离线支付的结算最终性，显然无须顾及收款人对于该笔资金的可用性。之所以要采纳此规则，既有源于当事人间的，也有源于当事人之外的。在当事人之间，“如果付款人和收款人之间的付款完成取决于收款人账户的贷记，就会使付款人受制于收款人银行内部变化无常的贷记程序”⑤。比如，收款人与收款支付服务提供者间存在争端，后者有权拒绝在收款人账户中做出贷记。于此，显然不应继续维持付款人的支付义务。在当事人之外，支付指令需要核对，被质疑为洗钱或恐怖融资，可能有禁止向收款人付款的冻结令，针对收款人母国国民的制裁令。⑥按此，使用数字人民币清偿金钱债务的时点，可以与分布式账本记载、收款人可用性等完全“脱钩”。

上述结论适用于双方离线的三种技术方案，可以更清晰地揭示当中的结算最终性。以分布式账本迟延记载方案在公交出行的场景为例，乘客在线期间，把金额充值到乘车二维码、IC卡（公交卡）或者手机钱包等载体中；乘车业务系统通过离线刷卡进行扣款。此种扣款方式更加接近自动划账。按照其内在构造，债务的履行应通过借记来实现，风险转移发生在收款支付服务提供者兑现借记，以及将支付金额从付款人账户中扣除的时点。①【①Vgl Omlor.in：Staudinger BGB，2021，vor§244 Rn.B38，Rn.B43.】可见，分布式账本迟延记载方案实现了加密币串的移转以及账户余额的增减，已经构成了债务清偿。相反，币串“冻结”方案、“各方状态不变”方案并未引发财产移转，原则上还不足以构成债务清偿。但是，为了避免使用两种方案引发付款人的制度性、大规模迟延支付责任，有必要从当事人的合意着手，搭建复杂的解释方案予以排除。具体可以解释为，当事人一旦选定了币串“冻结”方案、“各方状态不变”方案为构造的双方离线支付功能，就达成了一个“附条件”的清偿协议：付款人做出支付行为，中止了其迟延支付责任；在收款人完成在线划拨后，债务获得了清偿；假如因为付款人资金不足，导致收款人无法完成在线划拨，付款人自债务届期时承担迟延支付责任。

三种技术方案在责任财产的归属上也存在重大差异。分布式账本迟延记载方案已经直接实现了加密币串的移转，所以，该笔资金已经不再归属于付款人的责任财产。相反，币串“冻结”方案、“各方状态不变”方案并未发生财产的移转。因此，倘若付款人进入破产程序，该部分数字人民币仍需要作为破产财产，被付款人的债权人平等分配。

2.重复支付的存在空间与责任分配方式

（1）重复支付的存在空间。假若把重复支付的原因归结至数据篡改与延时记载二者，同时结合数字人民币的三种技术方案，就可指明重复支付的存在空间。

首先，数据篡改所造成的重复支付，在三种技术方案均存在。付款人或其他人可能会通过技术手段，攻破数字人民币的系统，使得数字钱包余额增加或余额不变但可多次使用。但是，钱包数据篡改所导致数字人民币重复支付，与其说是数字人民币的特有风险，不如说是因为通过有形载体承载货币价值所带来的一般性风险。缘由在于，地铁卡等多用途预付卡同样存在数据被篡改，并用于支付的可能性。杭州中院审理的一起盗窃罪案件，即凸显此项风险的普遍性。被害单位某公司在杭州制作发售不记名通用卡，该卡可连续充值及卡内余额可用于加盟店商户购物、换购加油卡等消费。2015年7月至12月，被告人先后购买3 000余张尚未充值的该不记名通用卡，利用计算机程序等破解其密钥，以写入金额数据的方式对通用卡非法充值。而后，被告人将非法充值后的通用卡以明显低于面额的价格出售给他人套现或通过中间人购买商品。②【②武胜、沈励：《破解、修改计算机程序对消费卡充值套现构成盗窃罪》，《人民司法（案例）》2017年第32期，第19页。】不过，因为篡改数字人民币系统与多用途预付卡在攻击对象与篡改结果上存在不同，所以，二者有必要采取完全差异化的责任分配构造。

然后，延时记载所造成的重复支付，只存在于“各方状态不变”方案中。分布式账本迟延记载方案已经实现加密币串的移转、币串“冻结”方案实现加密币串的“冻结”，从技术上阻断了同一个数字代币用于多次支付的可能性。比如，甲的数字钱包中有数字人民币200元。按照分布式账本迟延记载方案，其已经向乙的数字钱包付款，自然无法再以此向丙、丁进行重复支付了。相反，“各方状态不变”方案并未对数字钱包中的数字人民币施加任何限制，故而，甲有可能就此200元分别向乙、丙、丁重复支付。由此可知，诱发重复支付并不是因为分布式账本的延时记载，其真正根源于，承载数字人民币的加密币串并未发生在不同数字钱包间的转移，甚至不附带任何转移的限定。

（2）数据篡改的责任分配。数字人民币数据篡改的责任分配应当与多用途预付卡、账面货币的不同。商业银行提供的账面货币同样存在通过数据篡改增加数额的可能。①【①http：//news.cctv.com/2019/06/07/ARTIVl7B03NpUbXmzaf6yuS0190607.shtml.】此时，属于付款人与支付服务提供者间的资金关系存在瑕疵，应当由后者向前者按照垫付的必要费用偿还请求权（《民法典》921条第2句）②【②李建星：《互联网非授权支付的责任分担规则》，《法律科学》2020年第4期，第86页。】或者不当得利请求权予以追偿。但是，付款人或其他人通过技术手段攻破数字人民币的系统，使得数字钱包余额增加或余额不变但可多次使用，③【③目前的伪造货币罪、变造货币罪是根据实物货币制定的。伪造数字人民币是未经授权进行确权登记新的货币或者非法增加分布式账本记录条目的行为。参见尚柏延、冯卫国：《法定数字货币的刑法问题及其立法完善》，《江淮论坛》2021年第1期，第125页。】实则冲击的是货币公共信用，侵犯了国家的货币发行权。④【④参见高铭暄、王红：《数字货币时代我国货币犯罪的前瞻性刑法思考》，《刑法论丛》2019年第2期，第253页。】

当事人间的金钱交易，本应以真币为给付客体。然而，付款人以假币作为支付工具，当然不能产生债务清偿的效果。所以，应当由收款人继续向付款人主张支付真币。比如，甲通过侵入“数字人民币APP”，将数字钱包的账户数额由0元改成了200元，并转给了不知情的出卖人乙。于是，应判定为甲的假币移转给了乙，不能清偿金钱债务。此种结论也不会诱发乙的刑事风险。因为《刑法》第172条的持有、使用假币罪须以“明知”为前提。

（3）“延时记载”的责任分配。当事人一旦选定了“各方状态不变”方案为构造的双方离线功能，就意味着需要承担因为延时所造成的风险，可能存在多个债权人就同一笔资金可以主张权利的可能。因为多个数字人民币数额有限，先成立的权利会压制后成立的权利。最先获得相应数字人民币的债权人，实现了债务目的。而在债务人与债权人之间，债务人对于无法划拨资金的债权人继续负有付款义务。

三、个人信息安全保障论

（一）可控匿名性下的个人信息安全挑战

1.通行的折中方案

为了实现个人隐私与国家监控违法交易的平衡，各国央行大多反对法定数字货币采用“完全匿名”。比如，欧洲中央银行在《探索法定数字货币的匿名性》报告中指出，数字化对支付生态系统构成重大挑战，要求在一定程度的隐私和遵守反洗钱、反恐怖融资法规之间取得平衡，包括在一定程度上为用户的小额交易提供隐私保护，同时确保大额交易遵守反洗钱和反恐怖融资的要求。⑤【⑤See European Central Bank.Exploring anonymity in central bank digital currencies，2019，Focus（4），p.6.】按照这种思路，匿名性可以结合采用以下两项要素。

第一，以交易数额为基准，界分匿名性的程度。在一定数额之下，个人信息保护诉求高，违法使用资金概率小、成本高，可以匿名方式进行交易。在一定数额之上，存在较高的违法使用资金风险，应要求用户完善个人信息或备份交易信息，确保资金可追踪性。

第二，允许用户自由选择匿名性的程度。英国的“数字磅”国家方案提出的，与隐私相关之设计目标有二：其一，用户可以在一系列钱包服务中做出选择，接受不同程度的身份验证；其二，用户可以在法律、银行和政府设定的参数范围内，改变其隐私偏好，以满足其隐私需求。⑥【⑥See Bank of England.The digital pound：technology working paper，p.20.】简言之，用户可以在便利性与匿名性间做出选择，这也是个人信息自决⑦【⑦赵精武：《破除隐私计算的迷思：治理科技的安全风险与规制逻辑》，《华东政法大学学报》2022年第3期，第46页。】在数字人民币系统中的体现。

2.数字人民币可控匿名性需要回应的三项挑战

各国央行的思路⑧【⑧巴哈马中央银行发行的数字沙元也区分出不同类型的身份验证要求。包括了第一级简化版、第二级日常版、第三级增强版。开设第一级账号不需要官方身份证号，只要用户提供名字、出生日期等信息就可。相反，开设第三级账号要求用户必须遵守巴哈马中央银行发布的《反洗钱/打击资助恐怖主义准则》中公布的强化尽职调查措施。See Central Bank of the Bahamas.Project sand dollar：a bahamas payments system modernisation initiative，pp.23-25.】，与中国人民银行的规划相近。《中国数字人民币的研发进展白皮书》规划建构起“小额匿名、大额依法可溯”为原则的可控匿名性。在交易额界分匿名性方面，数字人民币区分出四类钱包。其中，四类钱包为匿名钱包，远程开立，仅验证手机号码，无须绑定银行账户，其对标小额现钞消费场景，单笔支付限额为2 000元。一类、二类、三类钱包为实名，单笔支付限额随实名强度的增强而提高。另外，也允许自由选择匿名性的程度，根据自身需求，开立不同的数字人民币钱包类型，以及升级钱包类型。比如，用户要升级为一级钱包账户，就需要携带身份证、银行卡到银行网点验证个人身份、有效身份证、手机号码、银行账户等。用户在可控匿名性中，提供个人信息的自由度高于银行与支付机构提供的支付工具。因为后者均需要与用户的银行账户进行完全绑定，不具有匿名性的空间。

（1）四类钱包是否可以实现完全匿名？还有意见质疑，四类钱包依然无法实现完全匿名。具体论据有二。论据之一，分类账势必记载交易信息与个人信息；①【①See Armelius.On the possibility of a cash-like CBDC，p.11.】论据之二，可通过法定数字货币的编号实时监测和追踪货币资金流向。②【②参见吴心弘、裴平：《法定数字货币：理论基础、运行机制与政策效应》，《苏州大学学报（哲学社会科学版）》2022年第2期，第112页。】然而，两项论据都未能“击穿”四类钱包的完全匿名性。所谓的匿名性，在于实现交易信息与个人信息的分离。信息处理者单凭交易信息，无法获知个人信息；相反，亦同。例如，公安机关在查询100元数字人民币的流动时，无法关联至特定用户。四类钱包的系统设计层面，已经为交易信息与个人信息的分离留出了极大的空间。③【③倘若在使用实践层面，交易信息跟个人信息分离的余地更大。例如，硬件钱包的权利变更，可以剥离分布式账本，直接在用户间实现权利变动。】首先，短期外籍来华人士可以通过境外手机号下载的数字人民币APP开通四类钱包，使用现金兑换数字人民币。此境外手机号是否与个人信息关联都存疑，更不用说由中国监管机关查询。然后，境内手机号也同样可以隔离个人信息与交易信息。根据《电话用户真实身份信息登记规定》第7条、第16条第1款，电信管理机构可以查询到电信业务经营者保存的电话用户真实身份信息，但是，其不掌握用户使用四类钱包的交易信息。相反，中国人民银行设置的分布式账本记载了交易信息，却不掌握用户的身份信息。只要二者间存在“防火墙”，就能实现完全匿名性。④【④See Cheng P.Decoding the rise of central bank digital currency in China：designs，problems，and prospects.Journal of Banking Regulation，2023，24，p.167.】

现时已有不法分子利用数字钱包实施信息网络犯罪，并隐瞒犯罪所得，也不构成动摇“小额匿名、大额依法可溯”原则的理由。这与其说是因为数字钱包匿名性的特有风险，不如说是不法分子借助金融系统从事违法资金使用的普遍问题。如被告人从多人处收购银行卡，并将银行卡号提供给他人。之后，上述银行卡被用于他人犯罪，并接收犯罪赃款。被告人再以“数字人民币”“USDT”“无卡存现”等多种方式转移赃款⑤【⑤参见陕西省洛南县人民法院（2023）陕1021刑初42号刑事判决书。】。可见，不法分子借助银行卡、第三方支付工具进行资金违法使用与数字钱包的风险持平。

（2）中国人民银行在维护个人信息安全的地位为何？中国人民银行在维护个人信息安全的地位不明确，核心在于，其是否作为个人信息的处理者，以及是否负有保障个人信息安全的义务。有观点主张，因为中国人民银行仍然是信息集中点，⑥【⑥参见李晶：《法定数字货币发行权的运行风险及其法律规制》，《学术交流》2022年第7期，第52页。】所以，其不仅应享有必要的法定数字货币权力，还必须承担损失赔偿义务和隐私保护义务等货币义务。⑦【⑦参见刘少军：《法定数字货币的法理与权义分配研究》，《中国政法大学学报》2018年第3期，第172页；李晶：《论法定数字货币的法律性质及其监管》，《上海政法学院学报》2022年第2期，第145页。】相反观点主张，因为中国人民银行是国家机关，并不直接对接数字人民币用户，二者之间并无民事法律关系。⑧【⑧参见袁俊宇：《数字人民币运营机构安全保障义务的廓清与实现》，《当代法学》2023年第2期，第54页。】回应此争议，必须区分出实然与应然两阶段，分别审视中国人民银行的个人信息处理范围。

（3）运营机构如何履行个人信息处理的合规义务？运营机构在向数字人民币的用户提供服务时，理应遵守《金融消费者权益保护实施办法》《个人金融信息保护技术规范》等。运营机构在收集用户信息时，以“知情-同意”为基础，遵循“自主、透明、最小化原则”，依法处理个人信息，不得违反比例原则收集过多信息。如今的合规关键点在于，用户使用数字人民币所产生的信息可否被认定为敏感个人信息，运营机构是否符合敏感个人信息的处理规则。

（二）个人信息安全的应对

1.中国人民银行保护个人信息安全的阶段区分

虽然，数字人民币试点范围已扩大至17个省（市）的26个地区，但是其依然处于试点阶段。在此阶段，法定数字货币研究所向用户提供“数字人民币APP”，以此直接向用户流通数字人民币。所以，现阶段还处于有限“双层运营”模式。在未来的完全“双层运营”模式中，中国人民银行只以运营机构作为交易相对人，向其发行数字人民币，再由运营机构向用户流通。两个阶段的个人信息安全维护也应有所差异。

（1）有限“双层运营”模式阶段。中国人民银行在通过“数字人民币APP”向公众流通数字人民币时，也意识到遵守《个人信息保护法》的必要性。所以，中国人民银行的早期规划是，设计了一个双层的信息管理系统：认证中心存储关键的个人数据，如用户的识别和加密密钥信息；登记中心负责记录钱包地址、交易量、支付费用和其他与交易有关的信息。登记中心所处理的内容无法对应到某个具体用户。在两个中心之间，中国人民银行构建了物理防火墙，以防止两个中心之间未经授权的信息共享，①【①参见姚前：《中国法定数字货币原型构想》，《中国金融》2016年第17期，第14页。】使得每个中心都很难追踪单笔交易。即便现时并未采取多个中心的组织架构，在交易信息与个人信息间设置物理隔离，同样至关重要。

（2）完全“双层运营”模式阶段。在未来的完全“双层运营”模式阶段，中国人民银行不再承担个人信息保护的责任。中国人民银行从数字人民币中获得的交易信息与身份信息，并不多于现在跨行支付的。以中国人民银行运营的大额支付系统为例，以电子方式实时处理同城和异地的每笔金额在规定起点以上的大额贷记支付业务和紧急的小额贷记支付业务，支付指令实时发送，逐笔全额清算资金。根据《大额支付系统业务处理手续》，大额支付系统收到发起行发来的贷记支付报文，通过会计分录将分别显示收、付双方的银行、账户名称与支付金额。②【②《大额支付系统业务处理手续》规定的会计分录方式是，发起清算行、接收清算行均为银行业金融机构时，借：××存款——××行户；贷：大额支付往来——人民银行ACS户。借：大额支付往来——人民银行ACS户；贷：××存款——××行户。可见，此种会计分录同样记载了交易金额与收、付双方的账户信息。】这与数字人民币分布式账本上记载的内容大致相同。倘若中国人民银行现时无须就中央银行跨行支付系统所获得的信息，承担个人信息保护义务，那么，在完全“双层运营”模式阶段也不应受到此项义务的约束。届时，中国人民银行只是处理经过互联互通平台转接的跨机构交易信息而已。③【③赵玲：《消费者个人金融信息权益的法律保护研究》，《金融论坛》2022年第12期，第41页。】

2.运营机构应遵循个人敏感信息的要求

运营机构处理个人信息，是执行数字人民币的支付指令的客观需要。其可以全面获取用户的个人信息以及其他运营机构所掌握的用户部分信息。④【④参见柯达：《基于公私利益衡量：论我国法定数字货币的个人信息保护》，《南京社会科学》2023年第5期，第86页。】《个人信息保护法》第28条第1款“敏感个人信息”明确包括了金融账户。假若数字人民币的使用需要关联银行账户，就造成运营机构可以处理账户信息、身份信息、交易信息等，⑤【⑤参见个人信息保护课题组：《个人信息保护国际比较研究》（第2版），中国金融出版社2021年版，第129页。】可以定性为具有金融价值的个人敏感信息。这要求运营机构作为个人信息处理者，承担更谨慎的合规义务。

《金融消费者权益保护实施办法》第31条规定，收集消费者金融信息，需要以适当方式提醒用户注意，在取得其同意之后才能开展后续行为。再结合《个人信息保护法》第14条，运营机构处理用户使用数字人民币所产生的信息，还需要获得用户的“单独同意”。这需要具体审核各个运营机构的个人信息处理流程，判定其是否已经采取了由场景触发、通过单独展示的方式告知，并获得个人的明确、真实、自愿同意。①【①程啸、王苑：《个人信息保护法教程》，中国人民大学出版社2023年版，第125页。】运营机构违反了此项义务，必须向用户承担损害赔偿责任。2023年7月，为落实《中华人民共和国数据安全法》有关要求，中国人民银行起草了《中国人民银行业务领域数据安全管理办法（征求意见稿）》，面向社会公开征求意见。该意见稿确立了“谁管业务，谁管业务数据，谁管数据安全”基本原则。金融机构的每个业务部门应该对自己的业务数据负责，同时也要负责数据的安全。运营机构涉及数字人民币相关个人信息的业务部门必须依法合规开展业务，履行个人信息与数据安全的保护义务。

四、结语

保障数字人民币的动态与静态安全，依然是发展数字经济中的一个重要议题。上述结论只是尽可能地立足于现有法律的解释论成果，还必须结合立法论与妥当的运营系统设计，才能够全面地保障数字人民币的安全。就立法论而言，国家似乎只准备针对数字人民币进行最低限度的立法，并无大规模修订、增补法律法规的迹象。但是，不做出充分的制度供给，势必会造成调整数字人民币的“制度赤字”。例如，中国人民银行虽然经过综合评估确定了10家数字人民币指定运营机构。但是，这些运营机构应当遵守的动态与静态安全保障义务，至今未明。出于遵循公权力行使的基本逻辑，新增法律法规予以展示，势在必行。就运营系统设计而言，必须选取更安全的技术方案，实现离线支付。“各方状态不变”方案容易诱发重复支付；币串“冻结”方案也会扰乱结算最终性。所以，这两种技术方案都不应纳入运营系统之中，以免冲击数字人民币的支付安全性。

E-CNY’s Security Protection Theory

LI Jian-xing

（Shanghai Institute of Justice，Shanghai University of Political Science and Law，Shanghai 201701，China）

Abstract：The finality of settlement of e-CNY online payments is not affected by the right of avoidance in bankruptcy，and the general provisions on fraud and duress，as well as the right of severance in community of shares，may also be invoked to achieve the “reversal” of incorrect payments.Settlement finality of unilateral offline payments is still subject to the rules of promissory or take-or-pay debts.The settlement finality of two-party offline payments depends on different technical solutions.Duplicate payments exist only in a narrow space and need to be limited by system design to a manageable risk.Duplicate payments due to data tampering are a general social risk to which the rules on counterfeiting can be applied.Another source of duplicate payments is that crypto strings carrying e-CNY are not transferred across digital wallets and are not accompanied by transfer restrictions such as “freezing”.The PBOC will no longer be responsible for the protection of personal information under the future fully two-tiered operating model，and the operators will be expected to handle the information generated by users using e-CNY in accordance with the rules on sensitive personal information.

Key words：e-CNY;offline payment;duplicate payments;controlled anonymity;sensitive personal information