-

一种兼具隐私和所有者自羁系的数字钱币体系结构

来源: 数字货币 时间:2021-01-22 08:10:25
导读: 我们面对的是一个非现金的年代,这应该不是一件好事,虽然资金流转效率提高了,但电子支付代替现金后,我们再也没有了稳私,我们的任何一笔支付都透露了我们的行为状态信息。


如何利用机器学习识别加密项目风险?

加密货币是一种存在于数字世界的交易媒介(另一种支付形式),依靠加密技术使交易安全。加密货币背后的技术允许用户直接向他人发送货币,而不需要通过第三方,如银行。

我们面临的是一个非现金的年月,这应该不是一件好事,虽然资金流转效率提高了,但电子支付取代现金后,我们再也没有了稳私,我们的任何一笔支付都透露了我们的行为状态信息。

数据珍爱,取代不了隐私珍爱。更切底的隐私珍爱就是买卖不带任何信息标签。

本文方案,使用token-based 和 零知识证实来解决,中央银行数字钱币(CBDC)中的数字现金的隐私问题,同时保证钱币政策及羁系的执行。

数据珍爱不能通过设计取代隐私。

we might reasonably trust a central bank with monetary policy but not with transaction data.

我们提出了一种数字钱币的方式,允许没有银行帐户的人举行电子买卖和私隐买卖,包罗互联网购物和销售点购置。我们的提案引入了一个由政府支持、私人运营的数字钱币基础设施,以确保每笔买卖都由银行或钱币服务企业注册,此外,它还依赖于非托管钱包,并辅以零知识证实等隐私增强手艺,以确保买卖信息不被泄露。我们还提出了一种数字钱币的方式,该方式将允许对系统性风险举行更有用和透明的整理、结算和治理。我们以为,我们的系统可以保留现金的显著特征,包罗隐私、所有者托管、可替换性和可接见性,同时还可以保留部门准备金银行和现有的双层银行系统。我们还注释,有可能引入涉及非保管钱包的数字钱币买卖羁系,同时仍然允许非保管钱包珍爱最终用户的隐私。

1 简介

由Tommaso Mancini Griffoli和其他人举行的国际钱币基金组织研究发现,中央银行数字钱币(CBDC)潜在设计特征中存在一种张力[1],我们在这里将其重新塑造并锐化为涉及可伸缩性、控制和隐私的三重逆境,在私有制和使用的靠山下,并非所有三者都能同时完全实现。银行账户具有近乎完善的可扩展性和控制性,但牺牲了隐私。现金有隐私权和限制其可扩展性的控制措施。很难想象一个完全控制的制度,由于它会导致真正的所有权毫无意义,而且在使用中总会有一些渎职行为。完善隐私也是云云,由于在支付机制之外,总是会有软件缺陷、准时攻击和操作平安限制,而完善的可伸缩性不会为不平安的事务巨细提供任何利益。

Mancini Griffoli和他的合著者以为,匿名性是现金的一个显著特征,买卖的隐私是必不能少的,CBDC的详细设计特征可能会对财政完整性发生重大影响[1]。我们的建议提供了一个天真的解决方案,以顺应CBDC的普遍认可的要求和目的,这更类似于现金。详细来说,它通过限制对等事务来提供控制措施。然而,它并没有提供险些完全的控制水平,这在某些设计中似乎被视为一种要求[2],相反,它的零售应用程序露出在其可伸缩性的响应限制下,但不是在有限的环境中通过引入分外的控制无法战胜的限制,在分类帐的操作平面之外。

我们的系统提供了一个调治控制水平的模子,允许政府行为体在三角不能能逆境中微调他们的取舍选择。例如,它可能要求某些(或所有)企业在不网络或讲述限制隐私的分外信息的情形下,不能接受跨越一定规模的支付,或者,它可能要求一些小我私家或非金融企业对其在非托管钱包中的取款量设定一个更大或更小的上限。打个譬喻,它就像一个自动传送带,传送带上的钥匙正试图碰着锁,若是它们是合适的,无论是总体上照样凭据详细情形来确定,那么买卖都是以自动化的方式举行的。为免生疑问,此类自动化可包罗所谓的“嵌入式买卖”,其中付款可无缝集成到买卖中,无需自力机制或对账。

1.1 数字时代的现金

只管零售数字钱币买卖现在被视为一个利基市场,但有理由信赖,这种买卖的局限和使用案例集在未来几十年将扩大。1一个主要缘故原由与许多发达国家现金使用的历久下降有关。事实上,许多零售商已经得出结论,接受现金是可选的,因此,世界上许多司法管辖区都有强制零售商接受现金的立法,包罗丹麦、挪威、中国和美国几个州[4、5]。然而,这种立法珍爱可能不足以维持现金作为一种可行的支付选择。随着零售买卖越来越多地以电子方式举行,与运营现金基础设施相关的可变收入相对于固定成本下降,处置现金的边际成本增添。这种逻辑适用于零售用户,包罗客户和供应商,以及银行和ATM网络运营商。在英国,促进现金流通的ATM网络和银行分行正面临压力,导致现金服务呈螺旋式下降.

现金稀奇赋予其持有人现代零售支付基础设施所没有的某些主要优势,包罗但不限于:

自主托管。没有第三方托管人意味着托管人不能阻止持票人汇款或托管人凭据买卖对手收取差额用度。自主是所有权的一个基本特征,所有权的一个要害先决条件是能够在没有第三方托管人的情形下在多种买卖中提取和使用现金。

真正的可替换性。由于现金不需要任何特定的身份证实,也不与金融托管机构有任何特定的关系,现金的使用者知道他们的钱和其他人的钱一样有价值。不存在买卖对手可以凭据持票人或托管人的身份加以区别对待,也不存在同样数额的钱在差别的人手中的价值也差别。

设计隐私。零售支付留下的数据线索可以用来构建小我私家的详细画象,包罗旅行、财政状态、人际关系等等,这已不是隐秘。电子支付可以用于监控和人口控制这一事实已经众所周知几十年了。我进一步注重到,数据珍爱涉及一旦网络到的私人信息的接见和使用,它与设计上的隐私差别,在设计上,某项手艺的用户不会在第一时间透露私人信息。通过设计珍爱隐私对数据珍爱的主要性已获得充实明白,而政府和企业仍然无法阻止(其他)政府政府和恶意对手的未授权接见,这突出了不网络私人信息的更大需求。

非托管钱包提供了一种在数字买卖中保留类似现金特征的方式,我以为加密钱币的盛行很大水平上源于对私人持有的数字现金的追求。因此作为现金,它们对小我私家隐私和人权至关主要。我们没有理由以为,在线和数字买卖日益占优势的今天,一定会提供一个机遇,通过监测或限制小我私家使用款子的行为,扩大对小我私家的监视和控制局限。

在CBDC的靠山下,非托管钱包在CBDC零售用户和央行之间提供了直接的经济关系,但不是直接的手艺关系。这意味着CBDC代币将组成中央银行的责任。我们的意思并不是说零售CBDC用户需要在央行拥有账户(有帐户也就是第三方托管意昧着存在资金被限制小我私家信息被网络),或者他们需要直接与央行对接。

我们的建议将CBDC界说为一种怪异的金融工具,但它与现金有许多配合的特点,包罗完全抵押,不提供贷款或再抵押的能力。此外,我们并不建议银行票据或银行存款饰演隶属角色。相反,我们以为这三种工具对一个经济体中的家庭和企业都有价值,可以通过接纳CBDC来相互填补,提高小我私家和企业的整体福利[13]。主张破除现金的提案中固有的难题的一个例子是,现金使用的增添主要位于社会经济较低的社区,而驱逐现金将对这些家庭和公司发生晦气影响。

1.2 设计隐私

我们的起点是,虽然国家执法部门要求第三方托管人推行珍爱零售CBDC用户隐私。然而,人们很容易也以为,有关买卖的所有信息都应在执法部门(或其他部门)提出要求时提供给他们阅读,政府行使小我私家与私营部门企业之间的关系提取有关其买卖的此类信息已成为一种公认的做法。

幸运的是,可以在不网络可用于剖析小我私家行为的数据的情形下对金融买卖举行羁系。我们方案的架构特点确保了买卖的隐私性;我们的设计在设计和默认情形下都力图隐私。我们并不以为隐私是可以固定在完全可追踪系统上的器械(例如,使用“匿名凭证”[14,15]),或者依赖于某个第三方提供的平安或珍爱。相反,在隐私基础上适用的某些功效,例如限制匿名的取款规模或限制私人泉源账户的汇款规模,这些功效不属于焦点架构,但可以由计谋治理。

若是CBDC的设计不是为了提供一定的隐私质量,那么一些用户仍然热衷于使用现金。我们建议打破了这个看法,真正的匿名性可以保持的。CBDC可支持私营部门资产替换为无风险资产,以解决平安资产欠缺的问题,稀奇是思量到只管银行存款已被普遍投保,但仍存在一定数额的信贷和剩余流动性风险。此外,还需要半匿名支付方式,以及种种能够用于支付的工具,由于家庭偏好的异质性,使用CBDC具有直接的社会价值。

2020年5月,欧洲央行监事会副主席兼执行委员会成员伊夫•梅尔希(Yves Mersch)认可珍爱隐私的主要性,以为试图削减支付隐私将“不能制止地引发社会、政治和执法问题”。

这一点很主要,缘故原由有三。首先,没有任何基于代币或其他方式的数字钱币可以保证完全匿名:思量准时攻击、软件破绽和操作平安的其他限制的可能性。纵然是钞票也不能到达完全的匿名性:它们的序列号提供了一种可以追踪或符号单个钞票的可能性,只管据我们所知,这种监视方式并不完善,很少使用。然而,我们必须思量那些试图强迫用户进入具有差别匿名属性和总体权衡的支付系统的系统的影响。第二,我们有机遇展示一个能够实现并提供真实隐私衡量标准的系统,而不是有问题的假设,好比系统必须顺应破例接见,或者隐私不是起点,而是应该受到政府珍爱的器械。我们在第2节中形貌了这样一个系统,与迄今为止提出的种种由政府支持的数字钱币系统(在制度上是可支持的,但不是私有的)以及种种涉及密码钱币(如Zcash和Monero)中使用的无允许账本的“外部解决方案”相比,这将组成一种改善制度上不支持)。第三,它注释隐私是非常主要的,我们不应该贸然确立基础设施,或允许确立基础设施,这可能会强行损坏它。与数据珍爱差别的是,数据珍爱是防止在数据网络后未经授权使用数据,隐私是防止小我私家(在某些情形下是企业)在第一时间披露有关其(正当)习惯和行为的信息。数据珍爱不能通过设计取代隐私。由于,作为一种财富,隐私是一种基础的特征,某些权威机构不能“授予”或“保证”。

原则上,应该可以通过设计一种内在珍爱零售CBDC用户权力的羁系方式来容纳隐私。为制止侵略基本隐私和人权,必须接纳详细措施确保:

非第三方托管钱包不得携带永久性识别信息,如与多项买卖相关的唯一标识符或地址,

非第三方托管钱包不得泄露信息,包罗与以前或以后买卖有关的钥匙或地址,这些信息可用于识别其持有人、所有者或资金泉源,

确认买卖对手的义务只能在买卖时施加,以及

为纪录或讲述的目的向提出请求的银行或钱币服务企业提供信息的历程不得涉及非第三方托管钱包自己,而且只有在买卖双方赞成的情形下才气举行。

只有非第三方托管钱包的通俗用户才有可能信赖,若是相关门槛足够高,而且要求纪录或讲述买卖对手信息的情形足够罕有,他们的一样平常流动就不会被纪录在案。此类请求必须涉及数字代币所有人或持有人在每个单独场所的明确赞成,不得成为通俗人举行通俗流动的通例,不得要求非第三方托管钱包或其他小我私家装备披露任何识别其所有人或持有人的信息。

1.3 CBDC和银行业

在第1.2节提到的统一声明中,梅尔希还强调了私营部门在运营支付网络方面的作用的主要性:

“非中介化在经济上效率低下,在执法上也站不住脚。欧盟条约划定欧洲央行在开放市场经济中运作,本质上反映了一种政策选择,即在资源优化设置方面,支持涣散的市场决议。中央银行在整个经济局限内设置资源的历史案例很难成为效率或优越服务的典型。此外,零售CBDC将导致央行权力过分集中。”

在梅尔希揭晓讲话的几个月前,国际钱币基金组织(IMF)副总裁张涛(Tao Zhang)也就当前的一系列CBDC提案揭晓了自己的看法,他示意,这些提案“意味着央行的成本和风险”。我们以为,他的结论来自于迄今为止由中央银行制订的建议,这些建议通常涉及由中央银行自己操作的中央分类账。我们以为,这些建议的设计既不是整体性的,也不是对现在存在的支付、结算和整理模式的填补。相比之下,我们的方式稀奇制止了Mersch和Zhang确定的成本和风险,我们在第2.2节中更详细地形貌了这些成本和风险,而且是对当前系统的普遍填补。

张还先容了由私人银行刊行的代币组成的“综合CBDC”的想法。我们以为,Zhang以为综合CBDC的可取之处也适用于我们提出的解决方案,只是我们提出的解决方案仍然允许“真正的”CBDC,而基础设施将由私营部门的钱币服务企业(MSB)运营,包罗但不限于银行,而且就我们的目的而言,包罗两者传统的商业银行和金融机构以及新的实体,它们的资产只有中央银行的贮备,而其欠债则只有存款。这是一个主要的区别,只管Zhang没有提供合成CBDC手艺特征的详细形貌,但我们假设它不会涉及分布式账本,也不能能有私人买卖,由于私营银行可以领会自己代币的运营和所有权。

然而,一个有用的零售版CBDC并不需要银行业的非中介化。我们设想的CBDC与实物现金比与银行存款有更多的配合点,它不会取代银行存款。它将不具备再抵押的资格,也不会向其持有人支付利息,至少不是传统意义上的利息。我们以为零售版CBDC主要是一种促进支付和消费者买卖的手艺。它不仅仅是一个更具可扩展性的批发版CBDC,反映了零售和批发钱币用户的要求并不相同。零售CBDC用户出于同样的目的,出于同样的缘故原由,他们倾向于银行存款而不是现金,因此他们的历久投资也会倾向于银行存款而不是现金;我们将在第3.2节对此举行进一步讨论。我们还注重到,中央银行不是商业银行的有用替换品,我们将在第3.5节中进一步讨论。

1.4 设计思量

另一个要害问题是,CBDC是否应该是“基于账户/account-based”的,我们的意思是用户将与代表关系的账户举行交互,照样“基于代币令牌/token-based”,我们的意思是CBDC将自力于任何特定关系而存在,就像代币和纸币一样。账户可以示意与第三方托管人或分类账系统自己的关系,并非所有的数字钱币设计都是相同的。例如,只管比特币中的代币令牌被明确设计为自力存在,但以太坊中的代币令牌被明确设计为存在于账户中。这两种体系结构是不对称的:只管基于代币令牌的系统中的令牌可以由第三方托管人代表用户持有,但这样的放置是可选的,而帐户本质上是用来示意持久关系的。

我们以为,我们的方式必须是基于代币令牌的,这意味着零售用户必须能够持有代表托管关系以外的价值的令牌,而且令牌不能强制链接到可用于识别用户或用户的其他令牌的地址或标识符。账户可以与代币基础设施连系使用,只管我们稀奇差别意Bordo和Levin提出的论点,即只有账户可以支付利息,因此所有CBDC都应在账户中持有。稀奇是,CBDC系统是否应该向其持有人支付利息并不显著;我们注重到,现金不应该支付利息(见第1.1节和第3.1节)。详细而言,我们追求的财富价值是代币固有的,由于我们希望零售用户信托代币自己,而不是某些特定的账户授予机构或系统运营商。我们还明确指出:信托不能制造,必须赢得。更主要的是,我们不是通过要求来确立信托,而是通过注释不需要信托来确立信托。我们在第2节中形貌的方式直接解决了这个需求。

此外,在我们的设计模子中提出的CBDC依赖于DLT基础设施,缘故原由有许多,如第2节所述。我们以为,这是现在最合理的实行方式,中央银行可以通过公私伙伴关系或其他互助和羁系模式与私营部门企业互助,提供由私营部门运营的国家支付基础设施。DLT的使用并不意味着家庭和民众零售成员必须与中央银行有直接账户或关系。相反,我们的设计认可了MSB的主要作用,稀奇是在识别、加入和注册新客户、知足律例遵从性要求以及治理他们的帐户(若是适用)方面。

MSB不一定推行银行的所有职能,如贷款信贷。此外,在我们的设计中,我们设想CBDC、银行存款、银行票据和(经授权的MSB)准备金之间按票面价值完全可兑换,以简化其引入,而且不滋扰钱币基础的可替换性和总体组成。无论这在何种水平上涉及限制或引入摩擦,都将是一个政策问题。然而,原则上,现金和银行存款按面值可兑换是一种现实和设计上的需要。刊行和引入CBDC使一种新的政策工具能够调整(dis)激励措施,通过CBDC的种种特征持有CBDC,同时平衡银行存款的可能外逃,我们不以为CBDC是一样平常替换品。

2 我们的方案

我们提出的设计的焦点是基于Goodell和Aste的一篇文章,其中形貌了两种促进数字钱币制度支持的方式。我们基于第二种方式,即制度中介的私人价值交流,其设计完全由受羁系机构运营,具有以下设计特点:

1 提供政府刊行的电子代币,可用于交流价值,而无需成对对账。

2 允许买卖基础设施(支付、结算和整理)由自力的私人机构运营,同时允许中央银行控制钱币政策和CBDC刊行,控制CBDC的确立和销毁,但不控制其刊行。

3 通过设计珍爱零信CBDC用户链接到其事务历史的事务元数据,而不依赖于可信的托管第三方。

4 为羁系机构提供对每笔买卖的可视性(但不包罗买卖对手信息),允许对系统性风险举行剖析。

在本节中,我们将形貌我们的提案背后的焦点假设,并确定分布式账本手艺(DLT)的利益,并支持我们的主张,即基于DLT的体系结构是需要的。然后,我们形貌了我们提出的数字钱币机制若何在系统级事情,确定了体系结构的制度和手艺方面之间的基本接口。最后,我们将注释若何行使我们提出的架构来实现国家行为者的经济刺激目的,并促进小我私家和企业的支付。

2.1 要害假设

我们设想,数字钱币可能由中央银行作为“真正的”中央银行(CBDC)刊行,只管它也可能由政府刊行,代表着对国家资产(如主权财富或国库资产)举行抵押的义务。无论是哪种情形,我们都注重到,在许多国家(包罗英国),没有任何一方(包罗中央银行)被指派卖力设计、维护和更新纪录金融汇款的程序规则,并裁决有关金融汇款真实性的争端。我们还注重到,谋划买卖基础设施和监视支付系统的责任差别于缔造代币和珍爱国家钱币价值的责任。在许多国家,支付、整理和结算系统是一种协作事情。将支持数字钱币的买卖基础设施的运营责任外部化的设计与中央银行在使用数字钱币缔造钱币和实行钱币政策方面的运营角色并不矛盾。

稀奇是,我们质疑这样一种看法,即由于央行没有显著的念头滥用数据,因此所有用户都应该信赖央行的支付数据。向政府提供对私有数据的特殊接见的想法,稀奇是在多个政府之间划分对私有数据的接见的想法,已经被揭穿。稀奇是,当一个表面上不感兴趣的行为体发现自己拥有的器械对其有影响力的邻人有兴趣时,它可以很快成为感兴趣的行为体。因此,我们有理由信赖中央银行的钱币政策,但而不是买卖数据。(we might reasonably trust a central bank with monetary policy but not with transaction data.)

我们对数字钱币的态度与几家中央银行提出的设想有很大差别。我们以为,在零售环境下,数字钱币的目的是提供一种不依赖账户的电子支付机制;在批发环境下,数字钱币的目的是提供一种结算方式,这种结算方式比现在的结算方式更稳健,操作肩负更小。这并不是要缔造一个银行存款的替换品,银行存款仍然是经济上主要的功效所需要的,如部门准备金银行营业、信贷缔造和存款保险。它也不是现金的替换品,现金提供了多种利益,包罗财政包容性、运营稳健性,以及保证买卖在不需要第三方中介的情形下完成。我们的设想,在实践中,数字钱币将主要用于便行使实物现金无法完成的汇款,人们今后用数字钱币支付的可能性不会比今天用现金支付的可能性更大。

只管云云,我们照样计划复制实物现金的一些特征。详细而言,我们力图实现以下特征:

1 对大规模监视的抵制。现金允许其持有者举行买卖,而不必忧郁他们自己的流动数据被网络来举行剖析。在第3.4节中,我们将通过我们提议的系统与现金举行对照,明确证实我们的设计不太可能增添相对于当前系统的敲诈或AML/KYC违规风险。事实上,我们嫌疑这将导致相反的效果,由于在需要遵守某些特定合规规则的受羁系流动中使用数字剖析工具的可能性,而且对受羁系机构的流动举行剖析是有辅助的。

2 保证买卖。现金持有人知道,他们的买卖将乐成,而不需要依赖于第三方中界关系,这可能会阻止、延迟或要求对买卖举行验证。

3 不被歧视。现金让持有人知道他们的钱和其他人的一样,稀奇是它的价值不是由持票人的特征决议的。

我们的设想,许多(但不一定是所有)通俗人和企业都将拥有银行账户,他们将通过这些帐户收付款。这些银行账户有时会因银行的信贷缔造流动而赚取利息。银行能够将数字钱币按面值兑换成现金或央行贮备,而且通常不会持有与存款规模相当的数字钱币钱包。以中央银行为例,银行也可以直接将数字钱币兑换成央行贮备。当小我私家(或企业)要求提取数字钱币时,银行会提供,就像今天提供现金一样。银行手头上的数字钱币数目可能有限,正如它手头上的现金数目可能有限,以知足此类提款请求一样,而且对此类提款的规模和比率也会有限制,就像对现金提款的规模和比率会有限制一样。一旦他们拥有了数字钱币,小我私家和企业就可以使用它举行购置或其他支付,作为基于账户的支付网络或银行转账的替换方案,数字钱币通常会进入受羁系的MSB持有的钱包,就像现金一样。

2.2 分布式账本手艺

分布式账本手艺(DLT)提供了一种在一组对等方之间分管规则制订责任的方式。分布式账本是“在一组DLT节点[对等方]之间共享的账本,并使用一致机制在DLT节点之间同步”。尽治理论上可以使用中央化手艺构建公共数字钱币基础设施,甚至是珍爱隐私的数字钱币基础设施,但我们以为分布式账本的显著特征,包罗但不限于社区共识和不变性,这些是基础设施乐成的需要条件。这不应注释为基础设施必须提供或允许用户之间的对等事务。这应被注释为,该制度必须由一个社区而不是某个特权仲裁者来运作,对已发生买卖的真实的共识应反映出该社区的一致意见。稀奇是,我们依赖DLT在自力介入者之间杀青共识,以便在分类账中添加新条目或在分类账操作规则更改之前,社区的所有成员都必须杀青一致。

在数字钱币的靠山下,分布式账本手艺将通过限制(在手艺层面上)任何单一行为体(包罗央行和政府羁系机构)可以片面决议的内容,为系统的运作和规则提供透明度。这种透明度是对羁系监视的填补,而不是替换。接下来,我们指定谁可以接见分类帐:

账本写入。我们设想,唯一被授权写入分类账的实体将是分类账的运营商,即受羁系的钱币服务商(包罗但不限于银行)和中央银行自己。中央银行应编写确立或销毁CBDC的条目,钱币服务营业应编写通过将代币从一个密钥持有人署名到另一个密钥持有人在系统内“移动”代币的条目。所有参赛作品都将通过协商一致机制获得批准,在协商一致机制中,所有参赛作品都需要获得险些所有参赛者的批准。

分类账读取。我们设想,授权读取分类账分录的一组实体应包罗那些可以写入分类账的实体,以及监视授权写入分类账的各方的羁系机构。我们并不以为有需要使用面向民众的API来读取分类账,只管政府可能希望提供这样一种机制,例如简化对系统的公共监视或促进对可疑流动的考察。

图1显示了数字钱币系统的分类。数字钱币系统包罗CBDC。首先要问的问题是,我们是否需要一个基于代币的系统/token-based,而不是一个基于账户的系统/account-based。使用基于代币的系统有几个利益,包罗大大削减与成对对账和羁系讲述相关的开销。然而,最主要的是,任何基于账户的系统都不能提供隐私,由于其设计一定需要可剖析的账户标识符,这些标识符最终可用于确定任何买卖的双方。因此,我们必须认识到,为了公共利益、增添福利、保持现金的要害性子,必须珍爱基于代币的交流前言,同时向中央银行和政府提供数字支付基础设施平台所需的保证和风险评估工具。

关于基于代币的设计,有一些主要的问题需要问,包罗我们是否需要由央行直接刊行代币,或者由其他机构(“stablecoins”)刊行,或者代币是否可以完全在机构环境之外操作(“加密钱币”)。然而,让我们首先领会为什么分布式账本是需要的。基于代币的系统可以集中起来,依赖一个特定的仲裁者来处置关于每个买卖有用性的争议(可能针对差别的买卖有差别的仲裁者),也可以涣散起来,使用一个分布式账本,通过协商一致的历程验证每个买卖。

详细来说,我们思量的问题是谁是系统操作员。以CBDC为例,只管我们假设中央银行将卖力CBDC代币的设计和刊行,但对于买卖基础设施或支付系统的运营责任,我们没有做出相同的假设,而买卖基础设施或支付系统通常由私营部门组织运营。如前所述,支付、整理和结算系统通常是一种协作事情。事实上,基于银行存款的现代数字支付基础设施依赖于种种介入者,我们设想基于CBDC的数字支付基础设施也会这样做。治理和保障钱币价值的责任不等于治理和监视买卖的责任,监视支付系统的责任也不等于操作支付系统的责任。将支持CBDC的买卖基础设施的运营责任外部化的设计,与中央银行行使CBDC缔造钱币和实行钱币政策的运营角色并不矛盾。

我们还注重到,稳固币/stablecoins会带来系统性风险。他们的设计依赖于与其他资产的挂钩,而这种挂钩最终是可以打消的。因此,稳固币的使用者会给那些卖力维持联系汇率制度的人带来买卖对手风险。这种买卖对手风险意味着,稳固币必须以与其挂钩的资产的折价举行买卖,或者挂钩钱币将由政府行为体(如央行)承销。在前一种情形下,稳固币不太稳固。在后一种情形下,稳固币与法定钱币并没有什么差别。

出于我们将在本节中说明的缘故原由,我们以为需要基于分布式账本手艺的基于代币的解决方案。在我们看来,分布式账本手艺的利益大致可分为三类,所有这三类都与错误局限、系统危害以及由外生或内生风险情景引起的潜在责任有关。我们以为,每一项利益都是不能或缺的,所有这些利益都是团结系统取得乐成的需要条件:

1 消除了作为主控或仲裁能力运行实时系统的直接成本和风险。若是数据库是集中治理的,集中分类账一定依赖于在买卖中具有操控角色的某个中央操作员。这一营业作用将发生以下三方面的影响。首先,中央运营商将负担行政责任,包罗在手艺层面上保证系统可靠性的责任,以及在手艺和人力层面上处置任何破例和争议的责任。第二,由于中央运营商处于影响买卖的职位,它将负担确保买卖按预期举行的成本,以及无论买卖是否按预期举行,都有被指控犯有过失或恶意的风险。第三,由于中央运营商片面决议什么是允许的,什么是不允许的,它可能会被指责没有遵守既定的规则。

2 防止单个行为体或整体片面行动。凭据Michael Siliski[32]的看法,中央仳分类账的治理员可以克制某些用户,或者对某些用户有利而晦气于其他用户;蕴藉或明确地向使用该系统的用户收取用度;窜改买卖的官方纪录;随时更改规则;或者使其在没有忠告的情形下住手运行。

3 为系统操作员确立历程透明性和问责制。由于中央化分类账的治理者可以做出片面的决议,外部考察者无法知道它是否直接推行了自己的职责。稀奇是,其对分类账的治理以及其他方接见分类账的方式由其独家控制,治理员无需公然其对更改协议的兴趣或要求其他方接受其提议的更改。有了DLT,可以通过确保规则的任何更改都明确地与私营部门运营商共享来实现sousveillance。

4 通过竞争和创新空间提高效率和提供服务。将系统运行的责任赋予被激励执行义务的谋划者,将有助于实现主要的服务提供目的,从一审接纳到金融包容和不歧视,通过私营部门的激励(例如支持当地银行),而不是自上而下的政治指令。

分布式账本手艺的每一个优点都与错误局限、系统危害以及围绕中央机构的外部或内部风险因素引起的潜在责任有关。DLT使得将事务的责任分配给msb自己成为可能。详细来说,MSB卖力它写入分类帐的每个事务,而DLT可以用来确立一个(可能)不能变的纪录,将每个事务绑定到提交它的响应MSB,而无需由中央介入者卖力单个事务。

2.3 系统设计概述

我们对CBDC的设计是基于Goodell和Aste[12]所形貌的制度中介私人价值交流的方式,我们在这里详细论述了这一方式,并在此基础上进一步生长。由于第2.2节中论述的缘故原由,本提案使用DLT举行支付。

我们设想了一个允许的分布式账本体系结构,其中介入者将受到MSB的羁系。MSB将包罗银行、其他金融营业,如外汇服务和电汇服务,以及某些非金融营业,如邮局。允许的DLT设计将支持高效的共识机制,如适用的拜占庭容错,其性能可与盛行的支付网络举行对照。稀奇是,Ripple已经证实,它的网络每秒可以可靠地处置1500个事务。只管受欢迎的支付网络运营商Visa声称其系统每秒可处置跨越65000笔买卖,但其现实吞吐量不跨越每秒1700笔买卖。因此,我们预计数字钱币解决方案将有可能在不举行分外创新的情形下到达需要的吞吐量要求。

我们假设,能够将买卖提交到分类账并介入协商一致的只有MSB,即受羁系实体。分类账分录将可供所有介入者查看,我们设想,某些非介入者(如羁系机构和执法部门)将收到MSB的更新,这将允许他们直接维护分类账的副本,这样他们就不需要通过特定的信息请求来查询任何特定的MSB。只管分类账分录自己通常不包罗有关买卖对手的元数据,但政府将知道提交每笔买卖的最高治理局,并假定最高治理局将保留买卖纪录,包罗买卖规模以及他们所掌握的关于买卖对手的任何信息,纵然买卖对手是是有限的,政府将有权获得这些纪录。

我们提出的架构的另一个主要特征是隐私性。只管我们以为数据珍爱不能替换隐私(见第1.2节),但Ulrich Bindseil指出,“其他人会以为更相等的解决方案包罗对电子支付数据的充实珍爱”[28]。在我们提议的设计中,我们可以想象,由于整个网络由受羁系的MSB操作,因此一些人可能会建议确立“主密钥”或其他特殊接见机制,以允许授权机构打破对CBDC零售用户的匿名性。应当抵制确立特殊准入机制的诱惑,此类论点随后获得欧洲和美国决议者的认可,他们一再提到这些机制可能被滥用以及其固有的平安破绽。最终,以数据珍爱取代隐私将为遵法的CBDC零售用户举行正当流动制造一道障碍,数据采集者永远不能能证实数据未经剖析。强迫人们使用依赖于数据珍爱,这是不能能的;此外,罪犯和那些有特权的人将有多种选择,包罗但不限于署理、加密钱币和身份偷窃,作为“外部解决方案”提供给他们,以防立法者试图迫使他们透明化。

与包罗特殊接见机制的设计差别,这种机制允许政府追踪买卖对手的每一笔买卖,因此基本不能实现匿名性,我们的方式现实上是追求提供真实但“部门”的匿名性,其中,买卖对手可以是匿名的,但所有买卖都受与MSB接口的控制。我们信赖,我们的设计是举世无双的,由于它通过确保所有买卖都涉及受羁系的介入者来实现匿名性和控制,但不给政府(或内部人员、攻击者等)直接或通过相关攻击揭穿买卖对手的能力。

为了通过设计知足隐私要求,我们引入了非第三方托管钱包的看法,这是一种通过MSB与账本交互的软件,允许CBDC零售用户将其CBDC代币与任何有关其身份或代币的任何先前所有者的身份的有意义信息断开链接。详细地说,当一个可替换代币从非保管钱包流向MSB时,该买卖不会显示有关代币或其所有者的历史的有意义的信息。为了支持具有我们所形貌的隐私功效的非托管钱包,CBDC系统必须包罗某些隐私增强手艺,如Zcash和Monero等支持隐私的加密钱币所使用的手艺。至少有两种可能的方式:

1 加密地址,佩德森答应和戒指署名。隐形地址通过将公钥与私钥离开来隐藏公钥,为价值吸收者提供隐私珍爱。Pedersen答应,它模糊了买卖方以外的任何人的买卖金额,从分类账纪录中删除了买卖元数据。环署名,允许署名的新闻归属于“一组可能的署名者,而不透露现实发生署名的成员”,为有价值的发送者提供隐私珍爱。

2 零知识证实。零知识证实“允许一偏向另一方证实一条语句是真实的,而不透露除该语句是真实的事实之外的任何信息”,而且可以潜在地用于珍爱所有事务元数据。零知识证实的非交互式方式(如ZK STARKs)比其交互式替换方式具有显著的性能优势,而且基于其丈量的性能,我们预计此类操作将足够快,足以知足销售点或电子商务买卖的需要。

有人以为,诸如零知识证实之类的现代密码手艺很难作为公共基础设施的一部门获得有用明白或实行,只管这种看法忽视了这样的密码手艺已经成熟的现实。此外,另有许多律例没有详细说明用于实现律例遵从性的特定手艺。以美国证券买卖委员会(SEC)在执行第611条规则时接纳的配合羁系方式为例,其中FINRA成员接纳先进手艺,确保所有有市场的订单都以国家最佳出价或报价(NBBO)发送至买卖所。我们建议,最好不要让对政府行为体手艺成熟水平的私见限制我们对公共系统的野心。

图2:典型用户介入生命周期的示意图。小我私家B首先从有在A银行开立账户的企业A处收到一笔通俗付款,存入她在B银行的账户。然后,该小我私家要求B银行将CBDC从B银行提取到她的非第三方托管钱包中。CBDC的分类帐买卖以英镑符号(£)示意。最后,小我私家向C企业付款,C企业将收到的款子存入C银行账户,然后,央行可以选择将中央银行的债券返还给央行,以换取现金或外汇贮备。

2.4 用户介入生命周期

图2形貌了CBDC的典型用户介入生命周期,我们预计这将是我们设计的典型用例。这个用户有一个银行账户,通过银行转帐到她的账户中接受通俗付款。然后,用户要求其银行提取CBDC,CBDC接纳一组代币的形式,通过一组买卖有用地转移到她的非第三方托管钱包中,这些代币被转移到其银行宣布到分类账的差别的、不能被追踪的地址。稍后,用户通过设置为吸收CBDC的银行账户,亲自或在线靠近商户(或其他服务提供商)。用户使用其非第三方托管钱包与企业运营的销售点软件举行交互,该软件署理其非保管钱包与商户银行之间的交互,其中银行将一组买卖宣布到分类账,指示CBDC从用户的非托管钱包转移到银行,贷记并通知商户买卖已乐成处置。账本设计的隐私功效和非托管钱包软件确保用户在买卖历程中不会透露任何有关其身份或代币历史的信息,这些信息可用于识别其身份或形貌其行为。更普各处说,我们设想,数字钱币的零售用户将通过以下四种机制之一吸收:

1 通过将资金从MSB账户兑换成数字钱币。我们划定,拥有MSB账户的小我私家或企业可以选择将数字钱币从该账户提取到非托管钱包中。零售用户在其非托管钱包中持有的数字钱币与现金类似。由于它不是由MSB持有的,以是它不会被追踪,也不会获得真正的利息。(在第3节中,我们建议确立一种机制,通过这种机制,政府可以激励或责罚资产自己,但这不是“真实”的利息,也不会到达相同的目的。)同样,在MSB拥有账户的小我私家或企业可以选择将非托管钱包中的数字钱币存入账户,反转历程,如图3所示。

图3:用户将CBDC存入银行账户的示意图。零售用户将被允许将资金存入自己的账户,若是这种存款频仍或数额伟大,可能会受到某些限制或分外支票的限制。

2 作为从外部泉源吸收数字钱币的吸收者,吸收到带有MSB的帐户中。在这种情形下,用户将是数字钱币支付的吸收者。支付的发送者可能是已知的,例如,若是它是一个带有MSB的帐户,或者它可能是未知的,稀奇是若是它是一个非托管钱包。

3 作为从外部泉源吸收数字钱币的吸收者,吸收到非托管钱包中。非托管钱包从外部泉源吸收数字钱币的任何买卖都必须由MSB举行调整,因此,这种吸收数字钱币的模式与从用户自己的帐户中取款之间的要害区别在于,在这种情形下,收款人没有(或没有使用)MSB的帐户。这种买卖形式如图4所示。我们设想,会有某些执法要求,例如买卖限额或要求收款人向一名文员提供努力的身份证实文件,这些要求将支配MSB在此类买卖中的作用。我们还以为,这一历程作为向没有银行账户的零售用户提供政府支付(出于经济刺激或其他缘故原由)的一种手段可能稀奇有用,如图5所示。

4 通过将实物现金兑换成数字钱币。将实物现金转换为数字钱币的买卖将由MSB凭据适当的规则举行,就像直接从外部泉源吸收数字钱币一样。例如,若是金额跨越某个阈值,MSB可能需要询问有关现金泉源的信息。

图4:消费者之间中介买卖的示意图。希望通过非托管钱包举行买卖的零售CBDC用户必须通过羁系机构或羁系企业在羁系机构开立账户举行买卖。机构在分类账上确立从一个零售CBDC用户的非托管钱包到另一个零售CBDC用户的非托管钱包的买卖,而不为零售CBDC用户确立帐户。

请注重,零售银行账户通常不会代表特定用户持有CBDC,正如零售银行账户会代表特定用户持有现金一样。一家银行会不时地用中央银行的中央银行贮备来交流中央银行的中央银行贮备,反之亦然,并期望该银行能向其零售客户提供中央银行贮备,但须受取款规模和比率的限制。

还要注重,分类账上的信息是由受羁系的金融机构宣布的。这是系统设计的一个主要特点:分类账上的所有买卖都必须由受羁系的MSB宣布,而且由于分类账完全由受羁系的MSB操作,私人介入者不能在其非托管钱包之间直接交流价值。同时,非保管钱包提供了一层间接性,在这种间接性中,最高治理局将无法识别涉及非保管钱包的买卖的买卖对手。银行可能需要领会他们的客户,但商人通常不需要。此外,商户的银行不需要领会商户的客户,商户客户的银行也不需要领会商户或其银行。例如,商家确实需要领会他们的客户,缘故原由通常是关系的实质,而不是支付机制,这种识别应该在支付系统之外处置。

通过提供一种机制,使任何一个组织或团体都无法确立系统中任何小我私家买卖的概况,分布式账本的使用到达了设计的基本要求。除了我们先条件出的要求,即收支非托管钱包的买卖将受到隐秘地址或零知识证实等机制的隐私珍爱,以将流出与流入离开,预计小我私家将使用其非托管钱包与许多差别的买卖对手举行买卖,与买卖对手选择的最高配位数举行互动,而不是与最初为其非托管钱包提供资金的最高配位数举行互动。

图4形貌了小我私家从一个非托管钱包到另一个钱包的买卖机制。他们必须首先确定一个受羁系的MSB,以便将买卖记入分类账,或允许以换取一点用度。MSB将处置从第一个非保管钱包到MSB以及从MSB到第二个非保管钱包的一组事务。MSB可以为将CBDC兑换成现金的小我私家提供类似的服务,反之亦然。据推测,MSB将从其客户那里网络知足合规要求所需的任何信息,只管我们以为,对于亲自举行且规模足够小的买卖,可以放弃强有力的客户身份识别,例如可能相符FATF建议的信息。在两小我私家之间举行小型在线买卖的情形下,我们以为一个属性支持的凭证注释发送方或吸收方有资格举行买卖就足够了。最后,一些MSB可以为零售CBDC用户提供代币命牌夹杂服务,这些用户意外地露出了非托管钱包中令牌的元数据。

图5:使用非托管钱包向零售用户支付的示意图。本例显示了零售用户若何声称自己有资格直接从中央银行或国库或私人银行等机构获得CBDC。用户将向受羁系的MSB注释身份,MSB将执行需要的相符性检查。

关于图5中形貌的假设刺激,我们注重到,若是一个政府计划向一组特定的及格小我私家支付刺激政策,只管这组人可能包罗所有公民或住民,那么它可以使用一个唯一的纳税人识别号来指代每一个这样的小我私家。然后,政府可以要求每一个相符条件的当事人指定一个银行账户、活期账户或钱包来存放资金。这种方式在许多情形下可能有用,只管它可能不适用于没有银行账户的及格小我私家或企业。为了填补这一差距,政府可以要求相符条件的当事人向有资格的MSB注释身份,以供核实,例如邮局,后者将能够执行所需的身份检验程序,以确定潜在接受者是否有权提出与特定纳税人身份有关的索赔号码。一旦完成了这项事情,MSB就可以举行一项买卖,直接将数字钱币交付给小我私家的非托管钱包,从而制止了银行账户的需要。我们建议,这些选择中的每一个都可以提供给小我私家和企业。

2.5 平安思量

由于数字钱币通常依赖于敏感密码信息(如密钥)的使用和治理,我们认识到,允许用户在金融机构账户珍爱之外持有代币的数字钱币也将引入用户治理这些代币平安的责任。用户有一系列可供选择的选项,包罗具有单因素或双因素身份验证的加密装备、第三方保管服务、作为通用装备钱包软件替换品的一次性物理令牌,而只是选择限制他们在任何时候持有的数字钱币的数目。我们以为,所有这些方式都是有用的,而且与许多财政决议一样,最佳选择是每个用户的偏好和风险状态的函数。

我们设想,一小我私家可能与另一小我私家共享与数字钱币相关的私有密码信息(例如,可用于提议买卖的私钥),从而允许另一小我私家代表她举行买卖。我们不以为这种信息交流会组成一种支付,由于在另一方有机遇这样做之前,系统自己没有任何器械可以阻止第一方使用数字钱币。将这种交流定性为“付款答应”而不是付款自己是适当的,类似于提供过时支票,而且没有任何机制阻止人们相互作出答应。一旦小我私家或企业拥有了数字钱币,处置数字钱币的方式就与获取数字钱币的方式相反。

2.6 系统治理

由于隐私增强手艺,MSB和更普遍的社区必须致力于维护、审核、质疑和改善支持此设计隐私特征的手艺。这种维护意味着确立一个平安更新的历程,以及凭据需要顺应新手艺和功效的更新。使用分布式账本手艺所带来的透明度可以为更普遍的社会提供考察和剖析系统运作的基础,包罗系统正常运作的任何转变,以确保买卖方继续受到珍爱,免受手艺庞大的对手的攻击,这些对手有兴趣对CBDC用户举行匿名化,以便对其举行剖析。

最终,谁控制了系统赖以运行的代码,谁就控制了系统的运行。以此类推,思量开发人员社区在处置加密钱币社区中与账本相关的争议方面的作用。基于这个缘故原由,一个中央化的开发者社区肯定会否认涣散账本的利益。这意味着系统中的每个自力介入者都应确立自己的严酷程序,以接受对代码的更改,很可能包罗内部代码审查和平安剖析,无论介入者是否共享相同的代码库,这一历程也可能需要接受民众监视。这种内部和外部监视程序应包罗一个效忠差别的普遍的平安界,稀奇是,必须注重确保能够实时更改以解决新泛起的问题,同时珍爱用户和系统操作员不受后门或其他破绽可能急急引入的影响。这不是一项简朴的义务,只管平安界在Debian等自由软件项目中的事情注释,深度羁系和实时调换相连系是可能的,而且确立了买卖网络的运作程序,如美国的国家市场体系,证实此类调换可以在配合羁系的靠山下举行,并由羁系机构提出正式建议。

从CBDC的角度来看,平台治理和决议主要涉及到身份验证,从而允许买卖。如表1所示,我们的提案主张,基础设施将由私营部门运营,也可能由私营部门独家运营。我买卖的批准通过平台基础设施运营商的共识举行。然而,要想正式成为基础设施运营商和MSB pro tanto,需要获得当地羁系机构的批准,无论羁系若何。在这种情形下,我们假设中央银行卖力监视整理和结算流动。

3 剖析

我们注重到,只管数字钱币系统可以容纳CBDC,但我们提出的数字钱币系统可以归纳综合为一个“价值容器”,它可以扩展到可能代表大量差别的资产及其基础设施,包罗但不限于中央银行或政府资产。在我们的剖析中,我们将重点放在使用我们提出的CBDC设计方案,稀奇是零售版CBDC,作为一种手段,使民众能够普遍使用公共的数字形式的现金。

3.1 现金的零售用途

我们以为,CBDC的一个主要利益是它能够被零售用户放在非第三方托管的钱包中。CBDC应该只在托管账户中持有的论点现实上来自两个假设,第一个假设是不能能对符号化资产直接支付待遇,第二个假设是CBDC的目的主要是解决效率问题,例如买卖成本或钱币政策传导问题,仅此而已。然而,有一些看似合理的机制可以直接对符号化资产举行待遇,而现金作为一种支付手段的不能制止的削减,提出了一个显著比钱币政策传导更深的问题。由于有了现金,人们总是能够使用他们能够完全控制的资产举行金融买卖,而他们的消费习惯无法被形貌追踪,也不会受到第三方的歧视或阻挡。然而,现金使用量的下降注释,现金基础设施可能很快在经济上难以维持,在这种情形下,这些基本权力将因违约而面临作废。因此,CBDC可能首先被视为一个机遇,让零售用户在数字时代继续享受无账户钱币的利益。

我们要问的是,CBDC被看作是一种现代形式的银行存款,照样一种现代形式的现金。若是CBDC是以账户为基础的,适合再抵押,那么在一样平常情形下,它可能会取代银行存款,只管云云CBDC是以代币为基础的,不适合再抵押,那么它会更像现金。在后一种情形下,用户仍有理由(包罗利息和通货膨胀风险)继续倾向于将银行存款作为一种价值储存手段,并将CBDC主要用作支付手段,纵然这两种形式的钱币都可用于这两种目的。

3.2 对流动性的影响

刊行和使用CBDC可能成为央行治理流动性总量的有用工具。例如,若是CBDC被普遍持有和接纳以供使用,它可能会导致总流动性的转变,流动性指的是正在使用和交流的资产,并带有流动性溢价。在某些模式下,CBDC将导致有用的交流,稀奇是思量到它是一种低成本的交流前言,有一个稳固的记账单元,稀奇是在数字钱币(如我们所建议的)在普遍的涣散买卖中使用的情形下,并允许钱币政策传导渠道来增强商业流动。中央银行在控制CBDC的供应和价钱方面拥有一定的能力,包罗通过使用(dis)激励措施,在CBDC和银行存款中发生更高的流动性或更低的溢价,但条件是投资摩擦以更具针对性的方式存在。此外,CBDC可以作为其持有人的日内流动性,而流动性吸收工具不能到达同样的效果。现在,很少有短期钱币市场工具连系了CBDC可能提供的信用度和流动性。因此,CBDC可以对流动性打击施展主要的威慑作用。

对CBDC的一个可能担忧是,在金融危机时代,小我私家可能会从银行存款流向CBDC。只管这样的挤兑是可以想象的,但我们以为,与现金相比,我们提议的CBDC系统不太可能泛起这种情形。详细地说,我们设想小我私家从银行账户中提取CBDC将受到限制,就像他们提取现金受到限制一样。若是挤兑正在举行,其速率将受到此类限制,原则上,政府甚至可以要求银行实行更严酷的限制,或者在紧要情形下完全不允许从银行取款。此外,若是政府选择为银行存款提供一定数额的担保,那么这些存款所提供的其他利益加上担保将抑制这种挤兑。在其他情形下,成本效益和风险回报情形将需要按管辖区举行更详细的剖析。由于我们认识到,纵然在有CBDC的情形下,银行存款也具有主要的效用,因此我们建议CBDC将是存款的填补,银行将在CBDC代币的刊行和储存中施展基础性作用。

3.3 对金融业的影响

我们的数字钱币方式对金融业最直接的影响涉及多个层面的风险治理。通过提高结算速率,数字钱币可用于促进金融机构之间的流动性风险治理。数字钱币也可以用来解决系统性风险,既可以明确地向羁系机构提供对实质上每一笔买卖的看法,也可以隐含地向政府提供实行刺激的工具,同时控制系统中的总杠杆率。

总的来说,DLT提供了一个很有前途的风险缓解工具,我们的设计依赖于由MSB和其他私营部门机构运营的DLT网络,而不是由单个公共(或私营)组织运行的集中式中央化账本。因此,我们的方式解决了与依赖中央仲裁者相关的种种风险:(1)与可用性、可靠性和维护相关的手艺风险;(2)与信托和运营透明度相关的风险;以及(3)财政和执法风险。我们的方式还允许私营部门运营零售支付、整理和结算的基础设施,同时允许政府羁系机构在组织层面监视该系统。由于我们设想的数字钱币将填补而不是取代银行存款,以是我们的方式行使了商业银行的作用,而不会强行削减其资产欠债表。稀奇是,由于我们以为CBDC代币的主要目的将是促进电子支付,而不是作为历久的价值储存,因此我们预计央行的资产欠债表不会因其推出而大幅增添。

3.4 对敲诈和逃税的影响

我们设想,严酷的合规制度将治理MSB的行为及其与客户的关系。我们假设,银行尤其需要对客户身份举行严酷识别,而电汇公司、钱币买卖所和邮局等其他MSB将面临买卖限制以及识别和授权程序的组合。我们假设政府将能够看到发生的每一笔买卖以及确立该买卖的特定MSB,而且我们还假设政府将能够接见MSB需要维护的有关其促进的买卖的纪录。

只管云云,由于我们的系统允许真正的匿名性,它不能提供一种向政府透露买卖双方身份的方式。稀奇是,纵然政府拥有所有纪录,一些买卖也会有非第三方托管钱包作为买卖对手,就像一些现金买卖有匿名买卖对手一样。只管政府可能知道所有零售用户及其数字钱币提款历史,但他们将无法将非第三方托管钱包与特定零售用户联系起来。回忆一下,零售用户将能够从MSB中提取数字钱币,其方式与他们从银行或ATM中提取现金的方式相同,但有类似的限制。零售用户将能够像使用现金一样使用数字钱币,与同样受到供应商举行购置的限制,这些供应商也受到金融机构的剖析,而且知道他们收到代币将受到政府的监控。政府将知道谁最近从非第三方托管钱包中提取了数字钱币,就像他们知道谁最近提取了现金一样,他们还将知道谁最近从非第三方托管钱包中收到了数字钱币。然而,不能能使用数字钱币将特定的现金吸收者与提取现金的特定买卖对手联系起来。我们以为,现金的这种属性对于珍爱零售用户免受对手和其他壮大利益团体(包罗私营部门介入者)的仿制和操作是需要的和基本的。此外,披露每笔买卖的配合买卖对手信息将把发现敲诈的责任转移给执法机构,有用地增添执法机构的肩负,而念头优越的犯罪分子仍然能够使用署理人或泄露账户来实现其目的,纵然每一笔买卖都是完全透明的。

为了治理敲诈,我们的系统设计接纳了一种差别的方式,即面向控制机制和买卖剖析,而不是买卖对手剖析。由于每笔买卖都涉及一个受羁系的金融中介机构,该机构可能会受到AML/KYC律例的约束,因此有一条明确的途径来有用地考察每笔买卖。政府将确保从非第三方托管钱包中提取款子的账户持有人遵守某些规则和限制,包罗但不限于税务监视。这些账户的纪录,加上DLT系统生成的可审计分类账分录,可以实时网络有关应纳税所得额的数据,以支持对账和合规事情。由于所有涉及数字钱币的零售支付最终都将使用统一个分类账,因此识别异常行为(例如商户为非保管钱包的汇款提供无效的目的地账户)将比当前系统更为简朴,而且实时自动合规性将更为主要容易实现的。这种检测甚至不仅可以由政府实时举行,也可以由客户实时举行,从而降低了这种情形在第一时间发生的可能性。

值得思量的是,平安地存储大量实物现金是否比存储大量数字钱币成本更高或更低。原则上,数字钱币可以廉价地在线存储,只管在线系统的攻击面可能有主要的弱点,离线数字媒体的寿命也有限制。请注重,平安保险箱的价钱通常是作为价值的函数,而不是存储成本。此外,使用年份可以明确责罚大量数字钱币的积累,这种方式很难用实物现金复制。

同样值得思量的是,犯罪组织是否可以交流私钥,而不是将买卖纪录在账本上,以此制止与MSB举行互动。我们的看法是,共享私钥相当于共享只能花一次钱的能力,现实上组成了一种答应,否则就如同在非第三方托管钱包的情形下转移位置一样。纵然在没有私人支付系统的情形下,犯罪分子也可以通过种种私人或离线方式交流答应。在一个层面上,不能能监控或限制这种答应的交流,但在另一个层面上,这种交流需要高度的先验信托才气乐成,我们以为,在延续的买卖中,传递性信托关系通常会迅速退化。与此同时,政府在买卖时可以很容易地发现并可能对两次使用统一令牌的贪图举行考察。在我们看来,支付基础设施的隐私珍爱性子所发生的效用保证了一种权衡,然而,思量到执法部门可获得的分外能力和可能确立的机制,再加上可能存在邪恶行为者和流动,这些流动可以通过种种方式和媒体举行,而我们的系统并没有更有用地支持这些流动。

3.5 与其他方案的对照

加入新手交流群:每天早盘分析、币种行情分析

添加助理微信,一对一专业指导:chengqing930520

加入新手交流群:每天早盘分析、币种行情分析,添加助理微信

一对一专业指导:chengqing930520