区块链在投资者适当性管理应用中的法律问题研究

2023-07-22姜帅智佳琦

金融发展研究 2023年6期

姜帅智佳琦

摘要：区块链及其技术体系应用于投资者适当性管理，能够有效缓解行业数据共享难、投资者风险承受能力评估存在局限性、义务履行回溯合规弊端多、司法举证要求高的痛点。蚂蚁集团的先行实践可以窥见其价值、模型以及前景。然而，该应用需与《个人信息保护法》相兼容，妥善预防风险并进行监管安排。为此，平台建设应明确表述个人信息处理目的，遵循适当性管理法定信息范围，厘清落实“告知—知情—同意”的要求，保障用户个人信息删除权与可携权，考虑通过保险机制预防个人信息损害带来的连带责任效应，使用国产可信硬件构建稳妥的可信计算环境。同时，为应对监管挑战，应制定“监管链—投资者适当性管理链”应用级标准，完善联盟链监管方式。

关键词：区块链；投资者适当性管理；个人信息保护

中图分类号：F830 文献标识码：B 文章编号：1674-2265（2023）06-0074-08

DOI：10.19647/j.cnki.37-1462/f.2023.06.009

一、引言

《证券期货业科技发展“十四五”规划》指出，要建设基于“监管链—业务链”双层架构的证券期货行业新型区块链基础设施，稳步推进监管链跨链对接行业各类业务链，建立链上业务服务体系，支撑监管科技与金融科技协同创新试点探索。在该背景下，上海证券交易所“云链一体化”已实现落地，成为全行业一站式区块链基础设施（上海证券交易所课题组，2021）[1]，为金融行业传统业务与区块链技术深度融合奠定了重要基础。

投资者适当性管理作为金融机构必须履行的法定义务，高度依赖投资者个人信息是其显著特征。金融机构因此负有建立投资者评估数据库并及时更新、充分使用已了解信息和已有评估结果、避免重复采集、提高评估效率的职责①。然而，金融机构现有的投资者数据库的功能主要在于客户统计和日常维护，缺少收集、动态管理投资者适当性管理信息的功能（朱芸阳，2020）[2]，并面临数据共享、数据安全、隐私泄露等诸多难题和隐患。而区块链及其技术体系作为新兴前沿技术，不仅可以大幅提升隐私保护和数据安全水平，实现机构间数据共享，还可以交叉验证投资者风险测评，可信回溯交易记录，大大降低司法举证难度与合规成本。因此，金融行业对于在投资者适当性管理领域运用区块链技术有着迫切需要，有关机构也进行了先行探索。

但新技术的应用往往会带来新的法律问题，其与投资者个人信息的深度融合不仅需与《个人信息保护法》（以下简称《个保法》）相兼容，还要提前预防有關技术风险，特别在涉及监管科技的情况下，各方参与者的角色、义务、责任也需进一步厘清。鉴于此，本文先讨论传统方式下金融业投资者适当性管理的行业痛点，揭示该领域引入区块链技术的必要性，阐述区块链对投资者适当性管理的技术赋能逻辑和现有实践，然后从合规与监管两个维度分析区块链应用于投资者适当性管理的法律问题，提出相应的对策建议，以期推动该领域制度和实践的发展完善。

二、应用逻辑：行业痛点背景下的技术赋能

（一）金融业落实投资者适当性管理制度的行业痛点

目前，我国已建立多层级的投资者适当性管理法律体系。然而，将投资者适当性管理制度落到实处对金融机构而言却是“知易行难”。从2015年开始，关于投资者适当性管理的司法案件快速增长，金融机构因未适当履行投资者适当性管理义务而面临与日俱增的民事、行政责任风险与合规成本。此种局面的形成与金融机构仍沿用工业时代的投资者适当性管理模式紧密相关，具体痛点表现如下：

1. 数据共享难，投资者风险承受能力评估存在局限性。目前，我国金融机构采集的投资者个人信息存储于内部信息系统，基本不与其他金融机构共享，“信息孤岛”与“信息竖井”较为常见。这主要归咎于两点：一方面，由于我国金融业当前实行分业经营，投资者评估数据库建设均按照机构维度展开，实践中各自为政，标准不一，跨行业的互联互通面临巨大困难和较高成本；另一方面，绝大多数金融机构共享个人信息时需严格落实法律要求，面临不菲的风险和成本。根据《个保法》第二十三条和第五十五条，共享个人信息不仅需要获得个人的单独同意，还应在事前进行个人信息保护影响评估。即便金融机构同属一个金融集团，亦不能享受特殊待遇。如共享中对个人信息造成侵害，还会面临严厉的法律责任（邢会强和姜帅，2021）[3]。

上述情况自然对高度依赖信息的投资者适当性管理造成重要影响。适当性义务以“了解客户”“了解产品”“适当性匹配”以及“风险揭示”为核心内容，信息的不对称和不充分可能使其成效从一开始就受到制约。有学者的实证研究就表明，既往司法实践中，金融机构因违反“了解客户”“适当性匹配”义务而引发纠纷的案件最多，且赔率极高（黄辉，2021）[4]。

2. 义务履行回溯合规弊端多，司法举证要求高。《最高人民法院关于印发<全国法院民商事审判工作会议纪要>的通知》（法〔2019〕254号）规定，卖方机构应对其是否履行适当性义务承担举证责任。因此，记录并保存适当性义务履行过程中的相关证据对金融机构而言十分重要。目前实践中主要应用三种留痕方案：第一，线上双录。投资者按照既定的话术录制视频，记录投资者行为过程和金融机构风险警示等环节。第二，录屏。要求投资者允许录制操作屏幕，以记录投资者在屏幕端的行为过程。第三，代码校验。将投资者行为所生成的交易记录和交易附加信息背后的代码进行存储。

这三种方案都存在相应的弊端：首先，线上双录和录屏收集大量个人信息，除收集设备信息外，还可能在操作过程中收集用户账号、密码、通话内容、电话号码和面部等其他信息，此种信息收集不仅违反《个保法》规定的“最小必要原则”，而且有较大的隐私泄露风险。其次，线上双录和录屏对存储空间要求高，监管部门也通常要求将资料保存较长的时间，大大增加了金融机构的成本。再次，由于线上双录对于环境、网络的要求高，操作步骤多，投资者容易出现疲劳、不耐烦等情绪。最后，代码校验方案可读性差，作为证据还需进一步讲解和展示才能让法官知悉其背后的交易过程。而2020年5月1日，最高人民法院修订后的《关于民事诉讼证据的若干规定》正式实施，新增了关于判断电子证据真实性的专门条文，针对计算机系统、数据信息、证据主体提出了更多具体的条件，这进一步提高了金融机构的举证要求和成本（刘品新，2021）[5]。

（二）区块链对投资者适当性管理的技术赋能及实践

区块链具有各节点共享账本一致、链上数据加密不可篡改、痕迹可信存证等技术特性，理论上恰好能够改善当前金融机构在实施投资者适当性管理方面的困境。以数据共享为例，各金融机构如果成为区块链节点，不仅可以依托分布式账本实现数据的充分联通，还可以通过共识机制及时准确地感知用户风险承受能力等级动态。在此基础上，投资者的个人信息也将得到强化保护。一方面，区块链上存储的信息不可篡改，可信执行环境（Trusted Execution Environment，TEE）等隐私计算技术的应用更增强了其安全性（中国信息通信研究院，2021）[6]。另一方面，结合分布式数字身份技术，可以赋予投资者唯一的分布式数字身份（Decentralized IDentity，DID）（毕丹阳等，2021）[7]，有效防止中心化身份机制下投资者信息被第三方收集、盗用、冒名、顶替等问题。除此之外，投资者依托该身份还可以有效减少风险测试疲劳，在首次完成风险承受能力测试后即可在之后的投资交易中直接授权其他金融机构使用该测试结果。如果上述应用图景得以实现，该平台还可以与司法链跨链交互，在发生纠纷时使金融机构进行更有效的举证（伊然，2022）[8]。

基于此种技术赋能的优势，近年来蚂蚁科技集团股份有限公司（以下简称蚂蚁集团）率先在投资者适当性领域进行了积极探索，在集团内部构建了“蚂蚁风测联盟链”。该联盟链能够在获得用户授权的前提下将用户第一次风险测试的数据共享至链上各成员机构，并利用算法及时提示用户更新个人风险测试数据，在改善投资者投资体验的同时，也助推了业务效率的提升。根据运行团队初步反馈，运用联盟链进行投资者适当性管理，保守预估各业务提效6%，其带来的安全、共享价值也较为显著。

图1是本文以蚂蚁风测联盟链为基础融合隐私计算、分布式数字身份等多项技术的投资者适当性管理跨链协作模型，以此说明将区块链技术运用于投资者适当性管理领域给投资者、金融机构和监管者带来的“新力量”。

[可信

代码][可信引擎][可信虚拟机][可信执行环境][可信硬件服务器]

图1：基于联盟链的投资者适当性管理跨链协作平台

基本结构图

首先，平台以金融机构构建的联盟链（以下简称金融链）为基础，节点为参与建设联盟链的金融机构的服務器或计算机中的软件程序，它们共享一份加密不可篡改的账本。智能合约结合监管机构提出的投资者适当性管理要求和各金融机构的个性化要求编译而成，当某金融机构发出适当性匹配请求时，智能合约自动执行。若各节点达成共识，则将匹配结果返回给该机构。以可信计算体系为中心的隐私计算技术从底层硬件服务器到应用软件，打通链下数据源与链上数据，保证数据上链之前的真实性、链上数据的隐私保护和跨链通讯中的数据安全。

其次，用户将身份信息加密存储在金融链上，生成DID数字身份码，利用非对称加密算法等机制，只有用户自己的私钥才能解密获得用户身份的明文信息。用户授权金融链收集其适当性管理相关数据，生成数字档案，当其在金融机构购买理财产品时，可以授权金融机构查询和使用其数字档案，也可以终止授权。数据发生变更时，用户可及时更新数字档案，金融链根据用户数据变化情况，也可通过被授权的金融机构及时通知用户更新档案信息。整个过程中数据加密解密和计算都在可信执行环境中进行，用户档案数据对机构可用不可见，可有效防止隐私泄露。

最后，监管机构建设监管链，与金融链进行跨链交互。监管机构见证整个系统的运行，同享账本，当监管机构定期检查金融机构的适当性管理落实情况，或者用户与金融机构之间发生纠纷时，监管机构可获取金融链上用户的适当性管理相关数据。待时机成熟时，监管机构还可通过跨链交互对投资者信息、产品信息披露、适当性匹配等环节进行实时、事中监管，与金融链实现互联互通、以链治链。

三、应用挑战：基于合规与监管两个维度的考察

如前文所述，联盟链应用于投资者适当性管理将在有效克服既往行业痛点的同时，为整个行业缔造全新的管理运作模式。但是，在这一场景中，区块链投资者适当性管理平台以及作为节点的各金融机构也面临着个人信息保护要求带来的挑战。除此之外，为保障该机制的可持续性，监管者也需克服监管挑战，加入平台建设当中。

（一）区块链应用场景中的个人信息保护

1. 需避免过度处理个人信息。区块链投资者适当性管理平台本身存在着过度处理个人金融信息的隐忧。一方面，“链的完整副本存储在每个完整节点上，这与个人信息最小化原则的精神完全相反”（江海洋，2021）[9]。另一方面，技术应用后很多个人信息处理活动由智能合约运行，虽然提高了业务效率，但也丧失了灵活性，对法律的介入产生隔阂（赵磊，2020）[10]。此外，作为节点的各金融机构对用户风险承受能力测试的需求也不尽相同，其在B端处理的个人信息范围也可能因此而存在较大差异，并由此招致有关风险。

2. 需明晰取得用户同意的进一步要求。区块链投资者适当性管理平台中绝大多数的个人信息处理均离不开用户的同意。这是因为，虽然《个保法》第十三条条第一款第三项规定个人信息处理者为履行法定职责或者法定义务所必需的个人信息处理可以不取得个人同意，但是依据体系解释，这一事由需要法律、行政法规明文规定。在我国当前投资者适当性管理的诸多规则中，符合此情形的仅有《证券法》第八十八条以及《证券投资基金法》第九十八条，且主体被限定为证券公司与基金销售公司。所以，对于不是证券公司和基金销售机构的节点而言，只有其符合《个保法》第十三条第一款的其他豁免事项，方能不经用户同意处理个人信息，且仍要履行告知义务。

此外，关于取得用户同意的相关合规举措也有待具体化。其一，平台上节点众多，部分个人信息处理活动需经由共识机制完成，且上链后不可篡改，具体的告知设计如何与《个保法》第十七条②保持一致仍需寻求妥当安排。其二，平台及其节点处理的个人信息属于“金融机构通过开展业务或者其他渠道获取、加工和保存的个人信息”③，即个人金融信息。该类信息在我国相对特殊，部分内容有特别规定，如有关规章、行业标准就要求金融机构处理个人金融信息时取得个人的明示同意④。

3. 需保障用户的个人信息删除权与可携权。我国《民法典》第一千零三十七条第二款和《个保法》第四十七条规定了个人信息删除权。由于区块链技术只能保证链上数据传输的真实可靠，无法确保上链数据本身是否真实可靠（石超，2020）[11]，如果信息内容本身有误、操作人员致使信息发生错误、用户不当上传信息等情形发生，那么平台及其节点必须保障客户的个人信息删除权（陈奇伟和聂琳峰，2020）[12]。但从技术逻辑来讲，不可篡改是区块链技术的基本特性。如果要进行信息删除，不仅需要改变其他所有区块信息，还需要经过共识机制的认可，除非实施者能够同时控制系统中51%以上的节点，否则单个节点上的修改是无效的，但这通常极难实现。即便实现了对系统中51%以上节点的控制，在公有链上进行分叉仍无法做到完全删除，联盟链中的协作、控制虽然相对容易实现，但独断、中心化的控制容易动摇技术的信任机制，并带来巨大成本（李有星，2022）[13]。

《个保法》第四十五条第三款规定了个人数据可携权，并将行使条件交由网信部门具体规定。这主要是因为引入该权利虽然必要，但对一般的个人信息处理者而言具有较高的技术壁垒和成本负担（邢会强，2020）[14]。虽然目前有关规定付之阙如，但平台及节点仍需要做好相关准备。原因在于，相较于一般的个人信息处理者而言，金融机构通常具备雄厚的资金实力和技术条件，联盟链相较于公有链也具有实施的基础。虽然目前我国国家标准《信息安全技术个人信息安全规范》（GB/T 35273—2020）第8.6条未将金融交易信息列入数据可携权的范围，但在数字经济背景下，将其纳入已然是未来趋势（邢会强，2020）[15]。因此，未来如果有用户发起移转请求，平台及节点则必须提供转移路径，向用户指定的链下机构移转个人信息。

4. 需明确个人信息权益遭受侵害后的法律责任。与常见的个人信息处理方式不同，在区块链上存储、删除个人信息必须由具有计算功能的节点共同见证，达成共识，在这一过程中平台管理者、平台系统操作运营者也会进行一定程度的参与。在个人信息权益遭受侵害发生纠纷的情况下，这可能使区块链投资者适当性管理平台陷入个人信息处理者不明确、诸主体间义务与责任难以分配的难题。然而，当前我国《区块链信息服务管理规定》主要对区块链信息服务提供者进行规制，尚未涉及此种新问题。

5. 需妥当保障数据在链下的真实性。区块链的信任机制限于确保链上信息的真实、准确、完整。但链上信息终究来自链下，也终究要解密使用，这就涉及如何保障链下数据真实性的问题。如果链上链下信息不一致，依据《人民法院在线诉讼规则》第十六条条，链上存储的数据会由此丧失其证明力⑤。目前，对此提供保障的主要是技术路径，即通过隐私计算与可信计算体系协同来实现。然而，这一方案的核心与基础——可信执行环境（TEE）主要使用的Intel Software Guard Extensions（以下简称 SGX）⑥硬件环境面临垄断问题，如果Intel芯片或其服务器出现问题，或者Intel关闭此项功能，将会使项目无法运转（刘千仞等，2020）[16]。

（二）监管者的监管挑战

监管者介入平台的终极原因在于，联盟链并不是完全去中心化的，如果联盟内部参与者达成合谋，链上的数据仍可以被任意篡改，外部参与者和监管机构将无法确认联盟链数据的真实性（赵磊，2020）[17]。因此，监管者加入平台建设是不可或缺的，甚至在一定意义上构成平台发展运行的重要基础。

总的来看，监管者对区块链投资者适当性管理平台实施监管，至少面临着如下挑战。第一，监管中存在投资者适当性管理智能合约与监管文本要求匹配性存疑、算法歧视与偏见问题。具体而言，智能合约是应监管要求和各金融机构的个性化要求编译而成的计算机代码，计算机语言是准确的，而监管者和金融机构提出的适当性管理要求却可能是模糊的。如《证券期货投资者适当性管理办法》（2020年修订）第十条要求经营机构综合考虑收入来源、资产状况、债务、投资知识和经验、风险偏好、诚信状况等因素确定普通投资者的风险承受能力，其中明显存在模糊性的因素就有“收入来源”“投资知识和经验”。即使通过具体严格的标准化、数量化过程形成了精准的智能合约程序，智能合约还可能因数据收集渠道有限、客户画像精准度不足、人类思维认知局限和道德缺陷等限制，带来算法歧视与偏见（许多奇，2023）[18]。

第二，监管者还可能面临监管主体分散、过度监管以及监管能力不足的问题。区块链投资者适当性管理平台的监管主体可能包括证监会、金融监督管理总局、网信办、工信部等多个部门。这很有可能带来法律政策方面的重叠与矛盾，进而加重平台的合规负担。而监管者利用区块链技术，对平台的节点准入、技术细节、算法、投资者适当性管理流程等方面的把控，也會对金融机构的运行造成压力，增加金融机构运行成本（秦勇和韩世鹏，2021）[19]。此外，虽然我国监管机构独立研发监管科技，具有安全、独立、自主的优势，但也存在着起步晚、底子薄、资金和研发不足等问题。根据德勤会计师事务所发布的《监管科技世界》（The RegTech Universe）报告，截至2023年3月，报告覆盖的485个监管科技机构中，英国等欧洲国家以及美国拥有全球最多的监管科技机构，中国尚未有监管科技机构进入名单。

四、应对对策：合规因应与嵌入平台的创新监管

（一）以《个保法》为中心采取合规措施

1. 明确表述个人信息处理目的，遵循法定信息范围。为避免过度处理个人信息，平台及其节点应主动严格落实目的限制原则。该原则实际上是个人信息处理合法、正当、必要、诚信原则的具体体现，对应《个保法》第六条⑦，以“直接相关”为核心要义。

据此，平台及节点应使个人信息处理目的特定、明确。其中“特定”意味着对目的描述需提供足够的细节使之具有辨识度，“明确”则意味着将该目的明白无误地展现（张新宝，2019）[20]，除了使用清晰的言语外，还不能宽泛地表示（程啸，2021）[21]。所以平台及节点应将运用区块链技术更好实现投资者与金融产品或服务达成匹配的目的与处理用户个人信息的场景、流程相结合，充分揭示细节，即可表述为：“上述收集的个人信息将存储于××联盟区块链，用于验证投资者个人真实身份，经投资者授权评估风险承受能力，进而评估投资者是否适合相关金融产品和服务交易。”

在信息范围方面，平台及节点应在收集端遵循“实现目的最小范围”要求，原则上不逾越法定信息。我国《证券法》（2019年修订）第八十八条第一款对证券公司履行适当性义务收集的信息进行了明确列举，即包括投资者的基本情况、财产状况、金融资产状况、投资知识和经验、专业能力。《证券期货投资者适当性管理办法》（2020修订）第六条在此基础上做了更加细致的列举，还囊括了金融机构对专业投资者应当了解的信息。这两项规定也是目前我国投资者适当性立法中层级最高规范对信息范围的明确列举，充分体现了立法部门对信息收集的必要性考量。因此，虽然链上各金融机构风险测试问卷并不统一，但是收集的信息范围均应严格依照上述规定，原则上不应按照上述规定中的兜底性条款展开个人信息收集，除非行业协会的有关问卷内容指引有所细化或者经过了内部论证和审批。

2. 厘清落实“告知—知情—同意”的具体要求。在取得用户同意或处理其个人信息前，除了将上文明确的处理目的、处理信息种类和范围纳入告知内容外，平台及节点还应依据《个保法》第十七条，向用户特别告知处理主体和处理方式。

首先，鉴于处理主体数量较多且会发生变动，比较妥当的方式是除了列出用户直接面对的节点和平台外，将其他个人信息处理者进行特别标识附录在后。如果后续有节点加入或退出，平台应以显著的方式告知用户个人信息处理者的变动，如在用户操作的C端中弹窗或者推送提醒，并留存于专门的告知栏，不应满足于静态的未经提醒的告知。

其次，对处理方式的告知应特别标识采用共识机制进行的个人信息处理行为，如存储、删除，同时告知用户其分布式同步存储的特性。由于区块链不可篡改的特性对用户的删除权利产生的影响，还应告知删除的技术措施和效果，相应地，也应告知用户行使有关权利的方式。考虑到区块链对一般用户而言确实存在较高的理解壁垒，对这些内容的告知应特别重视有效性，一方面，应优化告知的语言，使之简洁易懂，甚至应允许使用简单的图示和较短的视频内容；另一方面，还可考虑在用户后续使用中设置二次告知，此种告知并非现行法律的强制要求，而是平台基于充分保障用户知情权益、管理与用户关系的主动合规措施。此种经验也可被借鉴到对投资者超出自身风险等级购买有关产品和服务的告知中。对于大部分用户而言，其一刹那的选择并未意识到超越现有风险等级的具体后果，连篇累牍的文字告知远不及易懂的图示和短视频的扼要提示。应认识到，告知虚化结果的产生是告知方和被告知方双方共同导致的，重视告知对用户权益保护和权利行使的基础意义，改变告知方的遮掩和不作为是极必要的。

最后，聚焦于同意本身，应严格落实明示同意要求，设置由用户做出肯定性动作的授权形式。《个人金融信息保护技术规范》第3.22条规定，明示同意是指个人金融信息主体通过书面声明或者主动作出肯定性动作，具体包括主动作出声明（电子或纸质形式）、主动勾选、主动点击“同意”“注册”“发送”“拨打”、主动填写或提供等。除此之外，非基于监管的跨链操作等共享行为需按照《个保法》第二十三条和第五十五条取得个人的单独同意，并进行事前影响评估。

3. 依托技术与平台设施保障用户个人信息删除权与可携权。对于个人信息删除权，《个保法》第四十七条第二款规定，“删除个人信息从技术上难以实现的，个人信息处理者应当停止除存储和采取必要的安全保护措施之外的处理”，改变了一审稿中“应当停止处理个人信息”的提法。这在法律层面扩张了“删除”的外延，为通过一定技术手段实现链上信息的删除提供了依据。因此，平台应当优先引入可靠的“删除”技术，如销毁私钥、在智能合约中提前约定不可用数据等可以达到与传统删除同等效果的技术措施，实现个人对链上信息的更正、补充权及基于各种规定发起的删除请求权。

对于数据可携权，平台可以充分利用区块链分布式存储优势，设置專门节点负责受理个人请求，发送个人信息副本和进行个人信息移转。这样的做法还具有两个层面的益处。一是相较于链上节点各自保障数据可携权，充分节约了成本，一定情况下还可由该节点代表平台整体向个人适当收费，冲抵运营成本。二是可以避免形成委托其他个人信息处理者移转个人信息的结构，避免适用《个保法》对委托处理个人信息的严格约束。

4. 明确并预防个人信息损害带来的连带责任效应。平台及节点采用共识机制处理个人信息的独特机制激增了参与主体的数量，因而必须有效识别个人信息处理者，才能明确对应的责任。典型的存储、删除具体过程为，先由存储节点在区块链上写入信息并要求计算节点（计算节点同时也可能是存储节点）见证，而计算节点根据区块链共识机制对信息进行见证后实现最终处理。支持该活动进行的共识机制、节点间协调等则由区块链系统操作运营者在此之前完成。结合《个保法》附则释义，个人信息处理者指在个人信息处理活动中自主决定处理目的、处理方式的组织、个人。那么经由共识机制连接而组成的个人信息处理者大致可以确定，即包括了在链上承担存储、计算功能的节点、区块链系统操作运营者以及对这一过程进行了实质参与的平台管理方。

必须指出的是，此种经由共识机制连接组成的主体结构构成《个保法》第二十条规定的“共同个人信息处理者”，依据该规定，如果侵害个人信息权益造成损害的，所有主体应当依法承担连带责任。此种连带责任可能会打击金融机构加入平台的积极性，对此，可以通过保险机制予以克服，既可以通过向加入节点的经营者收取一定比例的保险费来统一投保责任险，也可以通过成员之间的相互保险机制增强抗风险能力。

5. 构建稳妥的可信计算环境。可信执行环境的原理在于将可信计算基（Trusted Computing Base）缩减到CPU本身，消除对于外部软件以及其他硬件的安全依赖，从而为软件提供更高级别的安全性（袁睿，2020）[22]。因此，可信执行环境中可信计算硬件一般是指可信执行控制单元已被预置集成的商用CPU计算芯片，如果CPU提供方存在难以置信的情形，就不得不预防此种风险。目前，虽然主流的可信执行环境技术以X86指令集架构的Intel SGX技术和ARM指令集架构的TrustZone技术为代表，但国内计算芯片厂商也推出了兆芯ZX-TCT（Trusted Computing Technology）、海光CSV（China Security Virtualization）等自主实现可信执行环境功能的技术（隐私计算联盟和中国信息通信研究院云计算与大数据研究所，2021）[23]。因此，平台应当选用国产可信硬件来实现可信执行环境功能，最大程度确定芯片厂商的可信，避免可能因垄断而造成的风险。

（二）制定“监管链—投资者适当性管理链”应用级标准，完善联盟链监管方式

《证券期货业科技发展“十四五”规划》提出建设基于“监管链—业务链”双层架构的证券期货行业新型区块链基础设施，2022年上证链与证监会监管链跨链对接项目的成功也为“监管链—投资者适当性管理链”跨链监管方案提供了指引（黄一灵，2022）[24]。在此基础上，为应对上文提出的监管挑战，本文认为监管者可采取如下对策：

其一，应明确监管目标。结合监管者介入的必要性可知，一方面，监管者的监管目标在于通过跨链接入区块链投资者适当性管理平台，见证平台及节点中记录的产生、运用及其真实性、完整性，从而充分发挥平台对投资者适当性管理的留痕作用；另一方面，则在于保障处于弱势地位的用户权益，预防、纠正节点及平台的不当行为。

其二，应出台“监管链—投资者适当性管理链”应用级标准，结合现有法律法规明确监管规则。目前我国并未出台专门规制区块链的法律和行政法规，只有《区块链信息服务管理规定》规定了区块链信息服务提供者的相关义务，但远难以回应前文提出的监管问题。不过，在该领域软法可能比硬法更有效。目前我国已提出43项区块链相关标准，除基础标准和信息安全标准外，多数属于业务和应用标准。其中属于金融领域的有行业标准《区块链技术金融应用评估规则》（JR/T 0193-2020）和地方标准《金融行业区块链平台技术规范》（DB4403/T 127-2020），它们主要对区块链平台的技术要求作出了相关规定。参考这一思路，区块链投资者适当性管理平台应会同监管者，根据平台功能对数字身份管理、适当性信息管理、数据格式要求、智能合约与监管文本的匹配要求、智能合约算法要求等作出详细规定，出台应用级标准《基于区块链的投资者适当性管理平台规范》，并将之定位为行业标准。对于智能合约算法的规制，不仅要在应用级标准中作出明确规定以避免歧视和偏见，还应要求平台与节点遵循《互联网信息服务算法推荐管理规定》进行备案，一旦发现算法歧视和偏见，平台及节点应立即研究、更新算法。

其三，应明确监管主体的主次地位，注重监管的适度性和发展性。首先，区块链投资者适当性管理平台的本质是投资者适当性管理的区块链化、智能化，仍具有强烈的金融业务属性，因此，监管主体仍应以金融监管机构为主，其他监管机构为辅。具体来说，金融监管机构既负责通过跨链对投资者适当性管理的监管，也负责监管因技术应用产生的个人信息保护和数据安全等问题。对于后者，《个保法》和《数据安全法》为之提供了依据，即国务院有关部门可以在各自职责范围内负责个人信息保护和监督管理工作，各主管部门承担本行业、本领域数据安全监管职责。其次，监管者的监管行为要遵守行政法的基本原则（秦勇和韩世鹏，2021）[19]。具体来说，要充分遵守目的的正当性、手段的适当性和狭义比例原则，即监管者的目的只能是保护投资者、维护金融安全，应尽可能避免妨碍金融机构和金融科技的发展和繁荣，在有多种监管手段可供选择的情形下，应优先选择对金融机构损害最小的一种，并将其具体落实到“监管链—投资者适当性管理链”应用级标准中。最后，金融监管机构还应积极推动监管科技机构的培育和发展，为监管链的迭代更新及未来监管科技发展存续技术力量，努力构建监管者、监管科技机构、金融机构三者“孪生发展”的生态体系。

注：

①《证券期货投资者适当性管理办法》（2020修订）第十三条。

②《个保法》第十七条规定：“个人信息处理者在处理个人信息前，應当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项：（一）个人信息处理者的名称或者姓名和联系方式；（二）个人信息的处理目的、处理方式，处理的个人信息种类、保存期限；（三）个人行使本法规定权利的方式和程序；（四）法律、行政法规规定应当告知的其他事项。”

③2020年2月13日中国人民银行发布的《个人金融信息保护技术规范》（JR/T 0171-2020）第3.2条。

④《中国人民银行金融消费者权益保护实施办法》第二十九条第一款、中国人民银行《个人金融信息保护技术规范》，JR/T 0171-2020，第3.22条。

⑤《人民法院在线诉讼规则》第十六条规定：“当事人作为证据提交的电子数据系通过区块链技术存储，并经技术核验一致的，人民法院可以认定该电子数据上链后未经篡改，但有相反证据足以推翻的除外。”

⑥SGX是Intel在2013年推出的指令集扩展，旨在以硬件安全为强制性保障，不依赖于固件和软件的安全状态，提供用户空间的可信执行环境。

⑦《个保法》第六条规定：“处理个人信息应当具有明确、合理的目的，并应当与处理目的直接相关，采取对个人权益影响最小的方式。收集个人信息，应当限于实现处理目的的最小范围，不得过度收集个人信息。”

参考文献：

[1]上海证券交易所课题组.区块链在我国资本市场领域核心场景应用研究 [J].证券市场导报，2021，（03）.

[2]朱芸阳.大数据技术在投资者适当性管理中的应用 [J].金融博览，2020，（01）.

[3]邢会强，姜帅.数字经济背景下我国金融控股公司信息共享机制的完善 [J].金融评论，2021，13（06）.

[4]黄辉.金融机构的投资者适当性义务：实证研究与完善建议 [J].法学评论，2021，39（02）.

[5]刘品新.论电子证据的真实性标准 [J].社会科学辑刊，2021，（01）.

[6]中国信息通信研究院.数据价值释放与隐私保护计算应用研究报告（2021年）[EB/OL].http：//www.caict.ac.cn/kxyj/qwfb/ztbg/202111/t20211118_392849.htm.