万字详解加拿大央行CBDC分析报告
內(nèi)容較長(zhǎng)敬請(qǐng)諒解,可以慢慢看或分幾次看完
一、CBDC中的隱私技術(shù)
數(shù)字貨幣與電子支付中的隱私模式和技術(shù),究竟指的是什么?
加拿大銀行的研究已經(jīng)確定,支付中的隱私技術(shù)為公共利益提供了好處(Garratt和Van Oordt,2019)。本文概述了什么是在中央銀行數(shù)字貨幣(CBDC)系統(tǒng)中技術(shù)上可行的隱私保護(hù)。CBDC中的隱私不僅僅是匿名或完全公開的二元選擇。系統(tǒng)設(shè)計(jì)人員可以選擇哪些類型的信息需要保密,對(duì)哪些人保密。由于隱私并不是銀行唯一的職權(quán)范圍,因此界定隱私需要與外部各方協(xié)商。我們?cè)诒菊f明中的做法是:
開發(fā)一個(gè)評(píng)估不同的隱私模式的框架
了解制定各種隱私模式的技術(shù)工具
提出CBDC隱私設(shè)計(jì)方法的建議
列出主要的風(fēng)險(xiǎn)和權(quán)衡
關(guān)鍵信息
有許多加密技術(shù)和操作設(shè)計(jì)可以做到細(xì)粒度的隱私設(shè)計(jì),這需要了解關(guān)于隱私和披露的詳細(xì)要求。
銀行可以設(shè)計(jì)一個(gè)CBDC系統(tǒng),比商業(yè)產(chǎn)品提供的隱私級(jí)別更高——但要有權(quán)衡。一些需求的組合是不可行的,或許可能導(dǎo)致較高的操作成本和過度的復(fù)雜性以及風(fēng)險(xiǎn)。此外,用戶的整體隱私將取決于用戶行為和CBDC生態(tài)系統(tǒng)中其他實(shí)體的隱私策略等因素。
實(shí)現(xiàn)現(xiàn)金類隱私的技術(shù)還不成熟。它們的部署有限,都不符合“了解你的客戶”(KYC)和反洗錢(AML)規(guī)定。它們的風(fēng)險(xiǎn)包括隱藏的漏洞、缺乏可伸縮性和復(fù)雜的操作。
維護(hù)隱私和遵守法規(guī)(后者需要披露信息)對(duì)于CBDC來說是一分為二的。為了防止欺詐,主動(dòng)披露信息的必要性使得情況更加復(fù)雜。
通過第三方對(duì)CBDC架構(gòu)和操作的審查,可以增強(qiáng)公眾對(duì)銀行制定的隱私設(shè)計(jì)的信任。
(一)系統(tǒng)隱私分析
提供一系列的隱私服務(wù)的多樣化支付系統(tǒng)
目前存在或可能用于支付系統(tǒng)的隱私技術(shù)種類繁多,從現(xiàn)金、借記卡和信用卡到公共和私有分布式賬本技術(shù)(DLTs)、集中系統(tǒng)和離線設(shè)備。不同的系統(tǒng)對(duì)用戶可用的隱私有顯著的不同。例如,大多數(shù)用戶都意識(shí)到,廣義上說,使用現(xiàn)金是高度隱私的,而信用卡提供的隱私較少。我們的目標(biāo)是更精確地分類系統(tǒng)之間的隱私差異性。
分析、比較和定義CBDC系統(tǒng)需求的框架
我們認(rèn)為一個(gè)CBDC系統(tǒng)由持有額度和交易組成,其中‘持有額度’有所有者(O)和余額(B),‘交易’有付款人(Pr)、收款人(Pe)和金額(A)。隱私是指持有額度和交易數(shù)據(jù)對(duì)參與實(shí)體隱藏的程度。這些實(shí)體有很多——付款人的銀行或貨幣服務(wù)公司(MSB)、收款人的現(xiàn)金服務(wù)公司、政府機(jī)構(gòu)、支付提供商和公眾——每個(gè)實(shí)體對(duì)持有和交易的可見度都不同。我們提出了一個(gè)框架,其中系統(tǒng)的隱私配置文件是對(duì)每個(gè)實(shí)體保密的詳細(xì)信息的程度的組合。這個(gè)公式允許我們比較不同技術(shù)的隱私配置文件。
我們?cè)诒?中總結(jié)了以下代表性技術(shù)的隱私級(jí)別,解決方式分別有:
1). 磁條信用卡
2). EMV芯片信用卡
3). 電子轉(zhuǎn)賬
4). 借記卡
5). 許可DLT
6). 公共DLT(如比特幣)的托管和高級(jí)使用
7). 由多個(gè)不同分類賬組成的分級(jí)分類賬系統(tǒng)
8). 基于設(shè)備的系統(tǒng),根據(jù)KYC規(guī)則使用設(shè)備分配給可識(shí)別客戶或分配給匿名客戶
9). 現(xiàn)金
基于脫機(jī)設(shè)備的系統(tǒng)(如PUF Cash,一種基于物理上不可克隆功能的系統(tǒng)(見Calhoun等人,2019)最接近于實(shí)現(xiàn)類似現(xiàn)金的隱私。
表:支付技術(shù)的隱私配置文件
注: 分?jǐn)?shù)越高/顏色越黑代表更多隱私性
對(duì)于某一實(shí)體(如商戶),一個(gè)系統(tǒng)可能更為私人化,而對(duì)于另一實(shí)體(如政府)則不那么私人化。隱私也可能因用戶的行為而有所不同:例如,通過在線賬戶支付可能會(huì)泄露個(gè)人信息。在設(shè)計(jì)CBDC系統(tǒng)的隱私,我們必須考慮許多微妙的問題:
1). 應(yīng)該將所有交易例行地披露給政府,還是只披露部分交易(如設(shè)置美元限額)?
2). 執(zhí)法部門是否應(yīng)該能夠明確知道個(gè)人的財(cái)產(chǎn),即使只是大概知道?
3). 應(yīng)該對(duì)商戶隱藏支付人的身份嗎?
4). 應(yīng)該向付款人的MSB顯示哪些交易細(xì)節(jié)?
5). 用戶是否可以在某種程度上在KYC規(guī)則之外進(jìn)行交易?
6). 通過使用一個(gè)框架來記錄CBDC隱私需求,系統(tǒng)設(shè)計(jì)者可以確保它們覆蓋所有實(shí)體,并使用具有類似隱私配置文件的系統(tǒng)的設(shè)計(jì)思想。
(二)隱私技術(shù)和設(shè)計(jì)
采用隱私設(shè)計(jì)
根據(jù)Cavoukian(2011)的觀點(diǎn),從一開始就在系統(tǒng)中設(shè)計(jì)符合法規(guī)的隱私是很重要的。隱私保護(hù)設(shè)計(jì)是一個(gè)眾所周知的方法,它要求在整個(gè)設(shè)計(jì)過程中主動(dòng)地保護(hù)隱私。另一種選擇,即先進(jìn)行功能設(shè)計(jì),然后再添加隱私和合規(guī)性,會(huì)帶來不必要的權(quán)衡風(fēng)險(xiǎn)。
組合制定隱私架構(gòu)以實(shí)現(xiàn)理想的設(shè)計(jì)
隱私設(shè)計(jì)可以運(yùn)用構(gòu)建不同完備度的區(qū)塊和權(quán)衡:
1). 群簽名
(Chaum和Van Heyst,1991)允許一組實(shí)體在進(jìn)行交易時(shí)隱藏其身份,只顯示“群體中有人”進(jìn)行了交易。
2). 密鑰共享
(Shamir,1979)或多重簽名(Itakura和Nakamura,1983)方案可以保證只有在足夠數(shù)量的實(shí)體(例如五個(gè)中的三個(gè))同意時(shí),敏感數(shù)據(jù)才會(huì)被泄露。
3). 零知識(shí)證明
(Blum, Feldm和Micali,1988)可以在不披露數(shù)據(jù)的情況下驗(yàn)證有關(guān)數(shù)據(jù)聲明 (例如,他們可以在不披露數(shù)據(jù)的情況下證明一筆交易的賬戶余額足夠)。
4). 同態(tài)加密
(Rivest, Adleman和Dertouzos,1978)允許對(duì)模糊數(shù)據(jù)進(jìn)行數(shù)學(xué)運(yùn)算(例如,對(duì)加密的余額支付利息)。
5). 多方計(jì)算
(Yao,1982)允許多個(gè)實(shí)體安全地將他們的數(shù)據(jù)提供到一個(gè)聯(lián)合數(shù)據(jù)集中,以進(jìn)行欺詐檢測(cè),同時(shí)保持他們的數(shù)據(jù)相互保密。
6). 差分隱私
(Dwork和Roth,2014)和匿名化是確保個(gè)人身份信息不能從敏感數(shù)據(jù)集中提取的技術(shù)。對(duì)于研究和數(shù)據(jù)分析等用途,這些數(shù)據(jù)既安全又私密。
系統(tǒng)設(shè)計(jì)者可以探索更多未涉及到的潛在應(yīng)用技術(shù):例如,私有信息檢索(Chor等,1998)和可否認(rèn)加密(Canetti等,1997)。其中大多數(shù)都足夠靈活,可以跨各種技術(shù)平臺(tái)(例如,集中式、DLT和基于設(shè)備)使用,并且可以組合和定制以實(shí)現(xiàn)細(xì)粒度的CBDC隱私目標(biāo)。
(三)隱私和監(jiān)管
了解CBDC業(yè)務(wù)模型、屬性和技術(shù)平臺(tái)對(duì)于選擇正確的構(gòu)造并適當(dāng)?shù)貙⑺鼈兘M合是至關(guān)重要的。
例如,考慮一個(gè)由MSBs驗(yàn)證私人交易的系統(tǒng)。如果業(yè)務(wù)模型聲明MSBs是高度可信的,那么隱私協(xié)議可以通過假設(shè)驗(yàn)證者是誠(chéng)實(shí)的來簡(jiǎn)化。如果沒有,所選協(xié)議必須防止不誠(chéng)實(shí)的驗(yàn)證者,這將帶來更高的復(fù)雜性。如果金額是隱藏的,并且政策規(guī)定了一個(gè)計(jì)息CBDC,那么所選方案的加密計(jì)算必須支持對(duì)利息支付。
此外,隱私技術(shù)的選擇將取決于所選擇的平臺(tái)。典型的驗(yàn)證系統(tǒng)由生成驗(yàn)證的驗(yàn)證者(如最終用戶)和檢查驗(yàn)證的驗(yàn)證者(如系統(tǒng))組成。在DLT系統(tǒng)中,多個(gè)節(jié)點(diǎn)執(zhí)行驗(yàn)證,因此系統(tǒng)設(shè)計(jì)者需要確保驗(yàn)證協(xié)議是高效的,集中式系統(tǒng)可以容忍較慢的驗(yàn)證。另一個(gè)需要考慮的問題是驗(yàn)證效率和驗(yàn)證大小之間的權(quán)衡——實(shí)現(xiàn)快速驗(yàn)證生成的算法通常會(huì)導(dǎo)致較大的驗(yàn)證。這對(duì)于受有限存儲(chǔ)限制的基于設(shè)備的解決方案來說可能是一個(gè)挑戰(zhàn)。基于設(shè)備的解決方案還必須確保所選方案能夠在分散的CBDC網(wǎng)絡(luò)連接和有限計(jì)算能力的限制下運(yùn)行。
CBDC系統(tǒng)需要遵守法規(guī)(例如KYC和AML),這可以決定隱私的級(jí)別和隱私技術(shù)的選擇。KYC可能要求實(shí)體存儲(chǔ)對(duì)個(gè)人數(shù)據(jù)進(jìn)行適當(dāng)分類。一般來說,在遵守法規(guī)的同時(shí)實(shí)現(xiàn)高水平的隱私是復(fù)雜的。然而,設(shè)計(jì)師可以建立一個(gè)具有混合隱私級(jí)別的系統(tǒng)。在這種情況下,不受監(jiān)管的持有額度和交易(為用戶提供最大的隱私)將被允許在限制范圍內(nèi)進(jìn)行(例如,設(shè)置最大限額),而受監(jiān)管的持有和交易則不受限制。
(四)權(quán)衡和風(fēng)險(xiǎn)
高水平隱私權(quán)衡
一般來說,由于需要保護(hù)的信息較少,較低的隱私級(jí)別更容易實(shí)現(xiàn)。為了獲得更高的隱私,系統(tǒng)必須將信息封裝在可靠的控件中。這增加了復(fù)雜性,也增加了運(yùn)營(yíng)成本。它還增加了計(jì)算開銷,因此無論DLT還是非DLT平臺(tái),擴(kuò)展到種群大小都是具有挑戰(zhàn)性的或不切實(shí)際的。例如,比特幣(Nakamoto,2008)是具有完全可見交易的公開DLT。Zcash(Hopwood et al.,2020)也是一個(gè)公共DLT,但具有基于零知識(shí)證明的完全私有交易。這些隱私結(jié)構(gòu)非常復(fù)雜,不能伸縮,并且需要用戶的計(jì)算開銷,比常規(guī)交易要慢得多。
新興密碼技術(shù)的風(fēng)險(xiǎn)
諸如零知識(shí)證明之類的密碼技術(shù)還處于起步階段,目前仍處于活躍的研究領(lǐng)域。在更成熟的技術(shù)領(lǐng)域中,使用它們所需的技能并不廣泛可用。即使是在私營(yíng)企業(yè),也很少有系統(tǒng)將這些技術(shù)應(yīng)用于生產(chǎn)。這里的風(fēng)險(xiǎn)是,它們的技術(shù)復(fù)雜性和不成熟可能掩蓋漏洞。此外,目前所知的部署還沒有擴(kuò)大到全國(guó)范圍。在這種情況下的風(fēng)險(xiǎn)是存在將這些技術(shù)應(yīng)用于加拿大地區(qū)和未來使用的未知技術(shù)障礙,如在物聯(lián)網(wǎng)端點(diǎn)的微支付。.
二、設(shè)計(jì)一種普遍可獲得的CBDC
CBDC應(yīng)該具備與現(xiàn)金類似的通用可訪問功能
通用訪問性是加拿大央行的政策和設(shè)計(jì)目標(biāo)。加拿大央行有制造便于獲得的紙幣的歷史[1],加拿大的城市、農(nóng)村和偏遠(yuǎn)地區(qū)都可以獲得。現(xiàn)金用戶不需要銀行賬戶或數(shù)字網(wǎng)絡(luò),也不需要支付費(fèi)用。央行設(shè)計(jì)的每一張紙幣都便于包括盲人和部分失明的人使用。我們目前的研究探索了如果央行決定發(fā)行數(shù)字貨幣(CBDC),該如何設(shè)計(jì)CBDC才能進(jìn)行普遍使用。
關(guān)鍵信息
CBDC應(yīng)該像現(xiàn)金一樣容易獲得。CBDC是一種數(shù)字產(chǎn)品,可以設(shè)計(jì)成包含現(xiàn)金的許多屬性(例如,易用性、便攜性、離線功能)。使用CBDC應(yīng)該是一種積極的和具有包容性的體驗(yàn)——從獲得它,到在交易中使用它,到得到它的支持服務(wù)的幫助。
CBDC的多種形式可以體現(xiàn)通用訪問的設(shè)計(jì)原則。央行正在探索CBDC的多種形式,包括傳統(tǒng)的在線和移動(dòng)技術(shù),以及定制設(shè)備和無設(shè)備解決方案。我們將就這些選項(xiàng)與利益相關(guān)者和終端用戶進(jìn)行廣泛的磋商。
CBDC可以通過專用通用訪問設(shè)備(UAD)使用。央行正在研究一種可以在安全存儲(chǔ)和傳輸CBDC的同時(shí)實(shí)現(xiàn)通用訪問的定制設(shè)備潛在概念。該設(shè)備可以結(jié)合現(xiàn)金的屬性,并利用專門的技術(shù)。這種手段應(yīng)以低成本制造并由央行發(fā)行,以確保最大限度的包容性。
UAD可能具有智能手機(jī)所沒有的彈性。UAD可以嵌入本地安全的價(jià)值存儲(chǔ),獨(dú)立于網(wǎng)絡(luò),并在本地電源上長(zhǎng)期運(yùn)行。如果存在基礎(chǔ)設(shè)施故障,UAD可以防止數(shù)字交易的中斷。
(一)通用訪問性
央行試圖設(shè)計(jì)一個(gè)最大限度地提高包容性和可用性的CBDC。它應(yīng)該能夠?yàn)橛谢驔]有智能手機(jī)的人服務(wù)。它還應(yīng)該支持在線和離線交易。CBDC需要為以下人群服務(wù):
1). 全年齡段人群
2). 盲人或者喪失部分視力人群
3). 身體或認(rèn)知有困難,可能影響他們使用科技的人
4). 低收入或固定收入的人(例如:,使用CBDC必須讓這些人負(fù)擔(dān)得起)
5). 尚未建立銀行賬戶或信貸的新加拿大人
6). 居住在網(wǎng)絡(luò)覆蓋有限的偏遠(yuǎn)地區(qū)的人
7). 網(wǎng)絡(luò)暫時(shí)或長(zhǎng)期無法覆蓋時(shí)的所有加拿大人
8). 停電期間所有加拿大人
與紙幣一樣,央行將與這些群體廣泛協(xié)商,以確保解決方案符合他們的需求。
CBDC應(yīng)該為整個(gè)加拿大人群設(shè)計(jì)。在設(shè)計(jì)階段必須小心,因?yàn)樾栴}可能會(huì)變成重大的實(shí)現(xiàn)問題。央行承諾采用一種設(shè)計(jì)方法,力求:
1) 通過廣泛的咨詢了解用戶群體
2) 分析他們的具體需求
3) 考慮多種設(shè)計(jì)選項(xiàng)
4) 開發(fā)一個(gè)原型用以收集早期反饋和改進(jìn)
我們認(rèn)識(shí)到好的設(shè)計(jì)應(yīng)該使全體人民受益。例如,設(shè)計(jì)一種服務(wù)于部分視力殘疾人群的CBDC,將在較低的光線或能見度的情況下使每個(gè)人受益。
(二)數(shù)字化現(xiàn)金
CBDC是一種數(shù)字化產(chǎn)品,可以在設(shè)計(jì)時(shí)包含現(xiàn)金的許多屬性。UAD可以體現(xiàn)以下類似現(xiàn)金的屬性:
類現(xiàn)金功能的單一用途設(shè)計(jì)
適當(dāng)?shù)拇笮?即:可將現(xiàn)金或信用卡放在錢包里)
進(jìn)行小額交易的效率(例如,父母給孩子午餐錢)
類代幣化的離線存儲(chǔ)和價(jià)值交換能力
便于編制預(yù)算的視覺和物理特征
單位成本低
除了列出的現(xiàn)金屬性外,UAD還可以用于在線交易。這將增加那些由于各種原因無法使用信用卡或借記卡而必須支付現(xiàn)金的個(gè)人的數(shù)字化包容性。UAD還可以結(jié)合數(shù)字技術(shù),增強(qiáng)殘疾人的可訪問性。例如,與存取現(xiàn)金不同, UAD附值無需離開家就可以完成。
(三)傳統(tǒng)和定制的設(shè)備
CBDC可以為用戶提供多種技術(shù)選擇,包括傳統(tǒng)的在線瀏覽器和移動(dòng)設(shè)備。傳統(tǒng)設(shè)備已經(jīng)具備了可訪問性特征。例如,internet瀏覽器可以配置顯示大字體的文本,而移動(dòng)設(shè)備允許語音命令和針對(duì)能見度有限或色盲的調(diào)整。
央行將繼續(xù)研究可提高包容性和可獲得性的定制設(shè)備和技術(shù),可選的技術(shù)樣式包括單組件設(shè)備、雙組件系統(tǒng)和無設(shè)備解決方案,每一種都可能包括生物識(shí)別技術(shù)。
單組件設(shè)備
加拿大央行進(jìn)行了一項(xiàng)探索性設(shè)計(jì)過程,以開發(fā)具有通用訪問功能的概念性單組件設(shè)備。從一個(gè)7歲女孩的角色開始,我們確定了各種用例,例如領(lǐng)取津貼、在學(xué)校購(gòu)買午餐和在線購(gòu)買游戲。我們創(chuàng)建了一個(gè)交互式模擬,它有一個(gè)有余額顯示和轉(zhuǎn)賬功能的大型平板顯示器,允許在銷售點(diǎn)支付和設(shè)備對(duì)設(shè)備支付。輔助功能包括大字體、音頻引導(dǎo)和單手操作。它比信用卡還厚,還能放進(jìn)錢包。
雙組件系統(tǒng)
我們還探索了雙組件系統(tǒng)。一個(gè)概念驗(yàn)證的UAD設(shè)計(jì)包括一個(gè)內(nèi)置的以電子墨水顯示當(dāng)前余額的儲(chǔ)值卡。這種卡可以在銷售點(diǎn)設(shè)備上使用,也可以與智能手機(jī)配對(duì)用于在線和點(diǎn)對(duì)點(diǎn)交易。卡也可以插入到一個(gè)緊湊的外圍設(shè)備,直接在不同卡之間進(jìn)行點(diǎn)對(duì)點(diǎn)轉(zhuǎn)賬。
無設(shè)備解決方案和第三方設(shè)計(jì)
單組件和雙組件系統(tǒng)都可以有多種設(shè)計(jì)選擇,無設(shè)備設(shè)計(jì)也存在。創(chuàng)新提高了生物識(shí)別技術(shù)(如指紋和面部識(shí)別)的可用性和安全性。央行的方法是將多個(gè)設(shè)計(jì)原型化,并對(duì)其性能進(jìn)行評(píng)估。如果央行能夠監(jiān)督第三方提供附加的設(shè)計(jì),以確保它們符合隱私、安全和通用訪問的標(biāo)準(zhǔn),那么可能允許第三方提供附加設(shè)計(jì)。
(四)彈性和成本
危機(jī)中的彈性
UAD在危機(jī)時(shí)期具有很強(qiáng)的韌性。它可以被設(shè)計(jì)成在本地存儲(chǔ)的價(jià)值,使用本地電源在沒有中央網(wǎng)絡(luò)的情況下運(yùn)行。設(shè)備可以被設(shè)計(jì)成僅靠本地電源就可以長(zhǎng)期運(yùn)行,并有可能獲得自然能源(如陽光)。或者,如果電源丟失,資金仍然可以通過嵌入式價(jià)值存儲(chǔ)恢復(fù)。然而,允許設(shè)備長(zhǎng)期離線存儲(chǔ)價(jià)值存在一定的安全風(fēng)險(xiǎn),我們正在研究(Minwalla,2020)。
成本最小化
應(yīng)盡量減少每個(gè)UAD的成本,以便能夠廣泛分配和根據(jù)需要定期更換。如果不附加給個(gè)人用戶,UADs可以交換其持有的價(jià)值,保持設(shè)備的低成本應(yīng)該使這類交換更容易。這一功能可以進(jìn)一步支持雙組件系統(tǒng),這張卡可以交換商品或服務(wù)。
(五)可識(shí)別和具有加拿大代表性
加拿大紙幣蘊(yùn)含了信心和驕傲,CBDC也可以做到這一點(diǎn)。紙幣的設(shè)計(jì)遵循了一套原則,使其具有安全性、功能性、可立即識(shí)別性、包容性和易用性。紙幣結(jié)合了藝術(shù)和技術(shù)。它們將可視內(nèi)容與安全特性和功能需求集成在一起。其結(jié)果是美觀的紙幣在加拿大人中具有廣泛的吸引力。UAD的設(shè)計(jì)可以遵循類似的原則,并結(jié)合當(dāng)前紙幣的可視性和安全性元素。這將使加拿大人認(rèn)識(shí)到該設(shè)備是加拿大央行的產(chǎn)品,并充滿信任地采用它。
三、CBDC的安全性
CBDC系統(tǒng)的安全性是維系公眾信任的基本要素,若把現(xiàn)有的不同CBDC解決方案進(jìn)行分類,我們圍繞CBDC系統(tǒng)中涉及的安全問題做出全面的分析。
構(gòu)建和部署中央銀行數(shù)字貨幣所涉及的安全問題,安全性是CBDC系統(tǒng)的基本質(zhì)量,除了確保底層存儲(chǔ)和價(jià)值轉(zhuǎn)移的安全之外,安全性還涉及隱私和彈性方面問題。必須減輕威脅以保護(hù)資金的完整性和用戶的機(jī)密性,一個(gè)安全的CBDC系統(tǒng)將保持公眾對(duì)央行的信任。
關(guān)鍵信息
如果加拿大銀行選擇發(fā)布一個(gè)CBDC,那么安全性必須從一開始就針對(duì)CBDC的所有用例進(jìn)行設(shè)計(jì)。透過持續(xù)測(cè)試、驗(yàn)證保障措施、遵循最佳的實(shí)踐做法及定期對(duì)主要系統(tǒng)組件進(jìn)行外部審計(jì),可確保運(yùn)作的安全性。
依賴于中心化或分布式設(shè)計(jì)的解決方案會(huì)冒著犧牲保密性的風(fēng)險(xiǎn)最大化完整性和可用性。圍繞嵌入價(jià)值存儲(chǔ)的專用設(shè)備構(gòu)建的解決方案以犧牲完整性為代價(jià)消除了系統(tǒng)范圍內(nèi)的風(fēng)險(xiǎn)。混合解決方案可以最大化可用性,但會(huì)增加風(fēng)險(xiǎn)和成本。
公開的DLT不符合CBDC系統(tǒng)的風(fēng)險(xiǎn)配置。私有和有許可的DLT在設(shè)計(jì)上提供了冗余和支付真實(shí)性(不可抵賴性),但增加了操作復(fù)雜性和漏洞。共享賬本更加透明但不那么保密;分層賬本以犧牲完整性為代價(jià)增加了隱私。
用以在本地存儲(chǔ)價(jià)值的專用單一用途設(shè)備對(duì)于網(wǎng)絡(luò)級(jí)別的攻擊或自然行為是健壯的。支持離線使用的CBDC“幾乎和現(xiàn)金一樣”(見Shah et al. 2020)。但是,設(shè)備確實(shí)會(huì)帶來完整性風(fēng)險(xiǎn),可能會(huì)被損壞或被盜。專用設(shè)備加上可用的驗(yàn)證服務(wù)是一種可行的CBDC選項(xiàng)。
CBDC一旦發(fā)布,可能會(huì)受到反對(duì)加拿大最佳利益的大型組織和國(guó)家越來越多的關(guān)注。央行必須采取適當(dāng)?shù)目刂坪统绦?#xff0c;以降低這些高級(jí)長(zhǎng)期威脅引發(fā)的大規(guī)模攻擊的風(fēng)險(xiǎn)。
(一)分類
基本原理
安全性建立在機(jī)密性、完整性和可用性的概念上。除了這些品質(zhì)之外,CBDC系統(tǒng)還必須確保央行擁有發(fā)行和贖回的唯一權(quán)力。CBDC系統(tǒng)將需要利用成熟的網(wǎng)絡(luò)安全技術(shù)和流程建立分層防御戰(zhàn)略。由于安全性是CBDC的主要屬性,因此對(duì)安全性的考慮可能會(huì)約束所選CBDC解決方案的屬性和用例。
機(jī)密性
機(jī)密性意味著財(cái)產(chǎn)、交易和身份的隱私。存儲(chǔ)的信息應(yīng)該與操作CBDC系統(tǒng)所需的信息一樣少,機(jī)密信息的泄露大大增加了違約的嚴(yán)重程度。了解您的客戶(KYC)要求以及反洗錢(AML)和反恐融資(ATF)立法(見Darbha和Arora 2020)可能需要存儲(chǔ)和連接個(gè)人身份信息(PII)以進(jìn)行價(jià)值存儲(chǔ)和交易。
完整性
在所有CBDC用例中,必須加強(qiáng)對(duì)偽造和雙花的防護(hù),同時(shí)也必須確保所有交易的正確性和最終性。與實(shí)物鈔票不同,CBDC系統(tǒng)的核心風(fēng)險(xiǎn)是雙花問題——也就是說,能夠多次消費(fèi)相同價(jià)值。數(shù)字簽名可以消除偽造,但是需要額外的拷貝保護(hù)機(jī)制來避免雙花問題:這些機(jī)制包括在本地價(jià)值存儲(chǔ)設(shè)備中的防篡改硬件、在中心分類帳中的組織權(quán)威或在分布式分類帳系統(tǒng)中的共識(shí)。
可用性
在CBDC環(huán)境中,可用性意味著系統(tǒng)抵御大規(guī)模網(wǎng)絡(luò)攻擊的能力。中斷,如分布式拒絕服務(wù)攻擊(DDoS)或僵尸網(wǎng)絡(luò)攻擊,可能會(huì)暫時(shí)限制或禁用對(duì)系統(tǒng)的訪問。標(biāo)準(zhǔn)的網(wǎng)絡(luò)安全技術(shù)可以加強(qiáng)公共終端以及連接系統(tǒng)以減輕此類攻擊的影響。
系統(tǒng)組件
CBDC系統(tǒng)可以向下拆分為便于進(jìn)行安全性分析的功能子組件。不管是特定CBDC解決方案的性質(zhì)及其底層的價(jià)值存儲(chǔ),所有CBDC解決方案都將由一個(gè)面向用戶的、可交互連接遠(yuǎn)程“后端”系統(tǒng)的“前端”組件構(gòu)成。
前端組件可以是:
1)專用設(shè)備
2)在移動(dòng)設(shè)備或桌面平臺(tái)上運(yùn)行的軟件應(yīng)用程序
3)網(wǎng)絡(luò)界面
4)或者以上內(nèi)容的結(jié)合
5)后端系統(tǒng)可至少包括:
6)安全、私密、有彈性的數(shù)據(jù)存儲(chǔ)系統(tǒng)
7)用于連接前端組件的一組面向公眾的訪問點(diǎn)
8)支持組件和冗余組件(例如,防火墻,備份)
通過這種方式拆分CBDC解決方案,中央銀行可以在組件層和解決方案層對(duì)CBDC系統(tǒng)進(jìn)行安全威脅評(píng)估。
從安全的角度來看,系統(tǒng)風(fēng)險(xiǎn)與價(jià)值存儲(chǔ)的位置有關(guān)。將價(jià)值本地存儲(chǔ)在前端組件上的系統(tǒng)必須專注于保護(hù)終端用戶設(shè)備和應(yīng)用程序免受安全威脅,而將價(jià)值遠(yuǎn)程存儲(chǔ)的系統(tǒng)必須更多地關(guān)注后端系統(tǒng)的安全性。將本地和遠(yuǎn)程價(jià)值存儲(chǔ)連接到一個(gè)統(tǒng)一的CBDC系統(tǒng)混合設(shè)計(jì)可能最大化可用性,但由于威脅矢量置換導(dǎo)致增加了系統(tǒng)風(fēng)險(xiǎn)。
根據(jù)值存儲(chǔ)的位置,CBDC的某些屬性會(huì)產(chǎn)生互斥。在線支付很容易通過中心化系統(tǒng)實(shí)現(xiàn),而離線交易很容易通過專用設(shè)備實(shí)現(xiàn)。交易的隱私性是另一個(gè)需要考慮的屬性,因?yàn)楸镜貎r(jià)值存儲(chǔ)設(shè)備可能會(huì)嵌入交易歷史記錄。離線支付形式在災(zāi)難(停電、網(wǎng)絡(luò)故障)和危機(jī)時(shí)具有極強(qiáng)的彈性。這些因素和其他考慮描繪了擬議的CBDC系統(tǒng)風(fēng)險(xiǎn)預(yù)測(cè)。
(二)技術(shù)選擇
一個(gè)典型的中心化系統(tǒng)是一個(gè)用以儲(chǔ)存賬戶和交易的集中式分類賬本,其中賬戶余額來源于分類賬的當(dāng)前狀態(tài)。這樣的系統(tǒng)可以是基于余額或價(jià)值的,可以建立在中心化、分布式或聯(lián)盟基礎(chǔ)設(shè)施上。這些賬戶可以是偽匿名的,并且可以轉(zhuǎn)讓,只要知道一個(gè)隱私就足以證明其所有權(quán)。
中心化系統(tǒng)的安全配置文件是成熟和可充分理解的。使用標(biāo)準(zhǔn)的IT安全策略,如專用鏈接、防火墻和白名單,可以減輕威脅。前端組件將連接到需要防止DDoS和其他網(wǎng)絡(luò)攻擊的公共可用終端。
開放的DLT不適合作為CBDC解決方案。開放的DLT的安全狀況不能保證由央行控制貨幣發(fā)行或成員的參與。存在可能被有組織的犯罪分子或國(guó)家利用(高級(jí)長(zhǎng)期威脅)來執(zhí)行大規(guī)模攻擊的威脅。這樣的方法包括:
1)控制大部分節(jié)點(diǎn)
2)模擬節(jié)點(diǎn)來執(zhí)行惡意操作
3)利用智能合同中的漏洞(設(shè)計(jì)、工具和實(shí)現(xiàn))
4)銀行將繼續(xù)監(jiān)測(cè)開放DLTs,并將其作為一種創(chuàng)新和新出現(xiàn)的風(fēng)險(xiǎn)為在CBDC內(nèi)使用有許可的DLTs提供了信息。
從安全角度來看,有許可的DLT類似于集中式賬本,并且比開放的DLTs更適合CBDC解決方案。無論它們是共享架構(gòu)還是分層架構(gòu),有許可的DLTs都將允許中央銀行:
1)控制發(fā)行(成員被審查并執(zhí)行特定角色)
2)基于控制和訪問管理策略的粒度控制參與
3)通過密碼技術(shù)、賬本層和私有通道的組合來控制機(jī)密性
4)執(zhí)行不可抵賴性以減輕參與方之間的爭(zhēng)議
有許可的DLTs仍容易受到串通、模仿和流氓行為等風(fēng)險(xiǎn)的影響。
此外,節(jié)點(diǎn)互連、共識(shí)機(jī)制和隱私技術(shù)仍然容易受到與開放DLT系統(tǒng)相同的威脅。在參與機(jī)構(gòu)中運(yùn)行的單個(gè)節(jié)點(diǎn)成為高價(jià)值目標(biāo),因此每個(gè)節(jié)點(diǎn)可能需要類似于典型的中心化系統(tǒng)的分層防御策略。
因此,從基礎(chǔ)設(shè)施安全性的角度來看,使用有許可的DLT節(jié)省的成本可能微不足道。有限的訪問權(quán)限和強(qiáng)大的治理可以保護(hù)節(jié)點(diǎn)互連和防止典型DLT攻擊的共識(shí)機(jī)制。但這需要參與實(shí)體之間的協(xié)調(diào)。
從隱私和商業(yè)模式的角度來看,持有額度和交易數(shù)據(jù)可能被分割給中介機(jī)構(gòu)的分級(jí)分類賬系統(tǒng)很有吸引力;然而,分層DLT的部署可能會(huì)降低安全性。層與層之間的同步錯(cuò)誤會(huì)導(dǎo)致雙花的風(fēng)險(xiǎn),因?yàn)閻阂獾膮⑴c者可能會(huì)利用網(wǎng)絡(luò)級(jí)別的攻擊來中斷分類帳節(jié)點(diǎn)之間的通信。
與中心化系統(tǒng)不同的另一個(gè)極端是專用設(shè)備。單一用途的專用CBDC設(shè)備是可移植和安全的,可以在設(shè)備上本地存儲(chǔ)價(jià)值、憑證、交易日志和其他輔助數(shù)據(jù)。均支持在線和點(diǎn)對(duì)點(diǎn)CBDC傳輸,網(wǎng)絡(luò)訪問是可選的,使得專用設(shè)備在網(wǎng)絡(luò)連接異常或缺失的危機(jī)時(shí)刻高度可用。
1)防篡改
設(shè)備通常依賴于防篡改硬件(例如,安全元件、物理不可克隆函數(shù)或等效的硬件)來維護(hù)CBDC的完整性和機(jī)密性。泄露會(huì)導(dǎo)致機(jī)密性和完整性的損失,因?yàn)橛脩魬{證、資金和交易數(shù)據(jù)都有被泄露的風(fēng)險(xiǎn)。此外,還必須保護(hù)由銀行政策產(chǎn)生的限制(例如交易金額和余額的限制),因?yàn)樾薷倪@些限制可能導(dǎo)致CBDC資金的濫用。
文獻(xiàn)方面還不清楚防篡改設(shè)備是否能在長(zhǎng)時(shí)間離線使用時(shí)不被攻破。為了保護(hù)CBDC長(zhǎng)時(shí)間離線運(yùn)行,可能需要額外的防御層,形式如下:
(1)本地驗(yàn)證機(jī)制以防止盜竊 (PIN、密碼或生物識(shí)別)
(2)對(duì)余額、交易數(shù)量和交易價(jià)值進(jìn)行嚴(yán)格限制,以減輕違約的影響,并強(qiáng)制執(zhí)行“反洗錢AML”法規(guī)
(3)設(shè)備上的分析——或者更實(shí)際地說,可信驗(yàn)證服務(wù)的周期同步——以允許識(shí)別可疑的交易
(4)持續(xù)可用(24/7/365)驗(yàn)證服務(wù),增強(qiáng)消費(fèi)者和商家信心
延伸的離線使用,類似于現(xiàn)金的使用,仍然是一個(gè)開放的問題,銀行正在積極跟蹤這一研究領(lǐng)域。防篡改硬件加上驗(yàn)證服務(wù)可能是一種可行的CBDC產(chǎn)品。
(2)智能手機(jī)集成
CBDC可以本地存儲(chǔ)在智能手機(jī)上,盡管這種情況下的安全性是出了名的困難。這是因?yàn)橹悄苁謾C(jī)可以運(yùn)行多個(gè)并發(fā)應(yīng)用程序,擁有開放的物理端口,并可以連接到任意網(wǎng)絡(luò)。因此,在智能手機(jī)上運(yùn)行任何CBDC價(jià)值存儲(chǔ)和支持的應(yīng)用程序都將面臨復(fù)雜的、多因素的威脅。此外,制造商對(duì)該平臺(tái)實(shí)施控制,可以限制對(duì)關(guān)鍵系統(tǒng)組件的訪問,包括嵌入安全模塊(secure enclaves)和用戶身份識(shí)別模塊卡(SIM)。
軟件本身目前不足以在智能手機(jī)環(huán)境中保護(hù)CBDC資產(chǎn),盡管在這一領(lǐng)域已經(jīng)取得了進(jìn)展。成熟的技術(shù)——如同態(tài)加密、白盒加密和虛擬安全組件——有望在中長(zhǎng)期提高軟件安全性;這些技術(shù)能否與市面上現(xiàn)有的防篡改設(shè)備實(shí)現(xiàn)相同性,還有待觀察。
中心化和分布式系統(tǒng)不能從本質(zhì)上支持離線交易;后端鏈接是必要的。將中心化系統(tǒng)與專用設(shè)備相結(jié)合的混合設(shè)計(jì)在滿足許多不同類型終端用戶的需求方面大有希望。一些可以綁定到中心化系統(tǒng)上以實(shí)現(xiàn)離線訪問的技術(shù)示例包括:
1)側(cè)通道
2)哈希時(shí)間鎖合約
3)代幣化機(jī)制(Chaum 1983; Rivest 和 Shamir 1997; Calhoun et al. 2019)
4)承諾機(jī)制(Pedersen 1991)
5)簽名機(jī)制(Schnorr 1989)
這些技術(shù)中有許多還沒有在生產(chǎn)環(huán)境中測(cè)試過。此外,由于系統(tǒng)耦合,威脅會(huì)成倍增加。例如,承諾機(jī)制中的加密缺陷可能泄露用戶隱私,危及用戶資金。類似地,在代幣化機(jī)制中,設(shè)備的漏洞可能使該設(shè)備能夠非法地創(chuàng)建但合法地存放CBDC資金。由于技術(shù)組合而產(chǎn)生的安全威脅必須像每種技術(shù)各自面臨的威脅一樣被充分了解。
(三)仍在討論中的話題
生物識(shí)別是一種方便的身份驗(yàn)證機(jī)制,可以減少交易期間的摩擦。生物識(shí)別技術(shù)簡(jiǎn)化了身份驗(yàn)證,可以實(shí)現(xiàn)無設(shè)備的CBDC。系統(tǒng)設(shè)計(jì)者必須小心地將生物識(shí)別技術(shù)集成到CBDC中。這是因?yàn)闃?biāo)識(shí)符一旦泄露就不能更改,惡意實(shí)體可能試圖利用生物識(shí)別存儲(chǔ)來冒充用戶或進(jìn)行欺詐。使用生物識(shí)別技術(shù)是可行的,如果:
1)生物識(shí)別被安全存儲(chǔ)在防篡改硬件內(nèi),以及
2)與后端系統(tǒng)的交互(存款/取款)依賴于其他身份驗(yàn)證機(jī)制(參見Darbha和Arora 2020)
使用云技術(shù)部署CBDC可以提高可用性。可以動(dòng)態(tài)配置部署在云中的數(shù)據(jù)庫(kù)和端點(diǎn),以擴(kuò)展操作負(fù)載并最大化全國(guó)可用性。然而,必須考慮重要的警告:
1)依賴自定義硬件的CBDC解決方案可能很難或不可能集成到遠(yuǎn)程云平臺(tái)。
2)央行需要保證供應(yīng)商采取適當(dāng)?shù)念A(yù)防措施,將CBDC特定資源與其他客戶隔離,以防止信息泄露。
3)CBDC系統(tǒng)只能在供應(yīng)商保證敏感數(shù)據(jù)位于境內(nèi)的情況下將PII數(shù)據(jù)存儲(chǔ)在云端。
一個(gè)正在運(yùn)作的CBDC將吸引有組織犯罪集團(tuán)和有能力發(fā)起大規(guī)模襲擊的國(guó)家的注意。主要的威脅包括:
1)持續(xù)或持久的網(wǎng)絡(luò)攻擊(DDoS,僵尸網(wǎng)絡(luò))導(dǎo)致關(guān)鍵的CBDC服務(wù)中斷
2)用于基礎(chǔ)設(shè)施和終端用戶設(shè)備組件的供應(yīng)鏈攻擊
3)用于終端用戶設(shè)備和應(yīng)用程序的側(cè)通道攻擊
針對(duì)終端用戶的社會(huì)工程攻擊被認(rèn)為不是主要威脅,但對(duì)有組織犯罪來說是一種有吸引力的途徑。雖然不是傳統(tǒng)的攻擊,但虛假信息的活動(dòng)可能會(huì)使CBDC新技術(shù)受到質(zhì)疑,并可能對(duì)銀行在公眾眼中的感知能力產(chǎn)生負(fù)面影響。
DLT系統(tǒng)容易受到DDoS攻擊,因?yàn)槊總€(gè)交易都需要與其他節(jié)點(diǎn)進(jìn)行網(wǎng)絡(luò)交互。專用設(shè)備也可能受到影響,但程度較輕,因?yàn)榇祟惞艨赡軙簳r(shí)中斷登錄服務(wù)、取款/存款功能和驗(yàn)證服務(wù)。如果參與者利用現(xiàn)有的僵尸網(wǎng)絡(luò),他們可以用最少的時(shí)間和資源來協(xié)調(diào)DDoS攻擊。這與向防篡改集成電路注入后門的攻擊形成對(duì)比,后者需要專業(yè)知識(shí)、特定設(shè)備上的受保護(hù)信息和制造過程的訪問權(quán)限。此外,硬件惡意部分可以追溯到一個(gè)特定的制造步驟,而在一個(gè)精心實(shí)施的DDoS攻擊中,參與者可以保持看似可信的推諉能力。
即使成功的大規(guī)模攻擊不會(huì)危及CBDC的完整性,它們也會(huì)侵蝕公眾對(duì)該系統(tǒng)的信心。因此,CBDC系統(tǒng)需要持續(xù)的監(jiān)測(cè)和定期審計(jì),以評(píng)估彈性。此外,所選擇的解決方案需要遵循最佳實(shí)踐來降低風(fēng)險(xiǎn),并在出現(xiàn)新漏洞時(shí)保持組件狀態(tài)更新。
加密敏捷性可以定義CBDC的長(zhǎng)期運(yùn)行安全性。隨著支撐CBDC的計(jì)算環(huán)境和密碼學(xué)的發(fā)展,以前被認(rèn)為是萬無一失的算法將會(huì)出現(xiàn)新的缺陷和攻擊。采用加密敏捷的CBDC應(yīng)該能夠修補(bǔ)或升級(jí)底層的原語操作,同時(shí)最小化運(yùn)行停機(jī)時(shí)間。
從表面上看,中心化和DLT系統(tǒng)在加密方面更加靈活。需要修補(bǔ)的組件更少,而且這些組件具有健壯的連通性。專用設(shè)備對(duì)加密敏捷性提出了挑戰(zhàn),因?yàn)槿绻O(shè)備丟失或遺忘或作為應(yīng)急儲(chǔ)蓄保存,可能會(huì)在很長(zhǎng)一段時(shí)間內(nèi)保持離線狀態(tài)。有年份的設(shè)備有望在不損害整個(gè)系統(tǒng)的安全保證的情況下進(jìn)行互操作。管理離線問題的技術(shù)解決方案確實(shí)存在:例如,使用非充電電池來限制設(shè)備的壽命,或預(yù)先編程固定的交易數(shù),超出此限額設(shè)備需要重新連接。適當(dāng)預(yù)備加密敏捷性將確保CBDC系統(tǒng)的長(zhǎng)期可行性。
隨著量子計(jì)算的實(shí)用性越來越強(qiáng),密碼原語的量子硬度將變得越來越重要。現(xiàn)有的加密操作將需要被量子硬度的變體所取代。因此,量子準(zhǔn)備(Quantum preparedness)是整個(gè)加密敏捷計(jì)劃的基本元素。
(四)治理
界限
CBDC可以被歸類為關(guān)鍵金融基礎(chǔ)設(shè)施。因此,它可能必須遵守國(guó)家關(guān)鍵基礎(chǔ)設(shè)施戰(zhàn)略(加拿大公共安全2009),并成為銀行財(cái)務(wù)管理基礎(chǔ)設(shè)施的核心組成部分。存儲(chǔ)和使用敏感數(shù)據(jù)做分析可能需要遵守《隱私法》。
中央銀行控制
專用CBDC設(shè)備將通過將銀行控制的防篡改硬件合并到通用或自定義格式來實(shí)現(xiàn)垂直集成(詳見Miedema等人2020)。單一用途設(shè)備的所有組件(硬件、固件、軟件和加密)都將屬于中央銀行的權(quán)限。當(dāng)錯(cuò)誤和攻擊途徑出現(xiàn)時(shí),央行可以直接或通過可信渠道采取果斷行動(dòng),以減輕入侵的影響。央行可以在市場(chǎng)上發(fā)布補(bǔ)丁,或者移除或替換有缺陷的產(chǎn)品,就像它目前對(duì)紙幣所做的那樣。可視和隱蔽的安全特征可以集成到設(shè)備中,使篡改變得顯而易見,以此增強(qiáng)公眾信心。
央行可以讓部分設(shè)備或應(yīng)用程序公開,以促進(jìn)創(chuàng)新。漏洞獎(jiǎng)勵(lì)可以用來吸引更大的有道德黑客和學(xué)術(shù)技術(shù)社區(qū)來識(shí)別系統(tǒng)中的漏洞。央行可以選擇允許有執(zhí)照的供應(yīng)商在發(fā)行自己的參考設(shè)備或應(yīng)用程序之外,也可以發(fā)行自己的前端設(shè)備和應(yīng)用程序,只要存在合適的治理和監(jiān)管模式,并且能夠保持央行發(fā)行的排他性。
合規(guī)
為了遵守AML和ATF法規(guī),CBDC系統(tǒng)可能需要與其他政府機(jī)構(gòu)共享信息,包括執(zhí)法部門。如果合規(guī)性引入了后門訪問(例如,“Master”密鑰),那么CBDC解決方案的機(jī)密性和完整性可能會(huì)受到損害,因?yàn)檫@樣的后門可能會(huì)被未授權(quán)的參與者破壞。銀行需要探索當(dāng)局要求的通過正當(dāng)法律程序以揭露信息的像執(zhí)法一樣的解決方案。例如,多個(gè)機(jī)構(gòu)可以持有解密密鑰的片段,只有在法院發(fā)布批準(zhǔn)后才能釋出。
標(biāo)準(zhǔn)
目前,還不存在CBDC安全性的標(biāo)準(zhǔn),盡管個(gè)別子組件可能受到現(xiàn)有標(biāo)準(zhǔn)約束(例如FIPS-140 [NIST 2001]和防篡改設(shè)備的通用標(biāo)準(zhǔn)),生態(tài)系統(tǒng)標(biāo)準(zhǔn)正被積極探索。現(xiàn)有的安全標(biāo)準(zhǔn),如PCI-DSS、EMV和GlobalPlatform有助于確保當(dāng)前支付系統(tǒng)的安全。中央銀行可以選擇對(duì)CBDC實(shí)施類似的標(biāo)準(zhǔn)。鑒于CBDC可以采取的形式多樣化,以及對(duì)首選方案的有限共識(shí),短期內(nèi)不太可能建立標(biāo)準(zhǔn)。銀行可以選擇與政府機(jī)構(gòu)、其他中央銀行和行業(yè)聯(lián)盟就標(biāo)準(zhǔn)和規(guī)章進(jìn)行協(xié)調(diào)。
(五)安全性是CDBC的基本質(zhì)量
安全性必須從一開始就加以設(shè)計(jì)。分類法旨在對(duì)市場(chǎng)上已有的許多CBDC解決方案進(jìn)行分類和分析,開放DLTs仍然不適合CBDC使用。CBDC的完整性是核心風(fēng)險(xiǎn),必須在所有CBDC用例中進(jìn)行管理。本地價(jià)值存儲(chǔ)解決方案在危機(jī)時(shí)期提供了極強(qiáng)的彈性,但也帶來了本地完整性風(fēng)險(xiǎn)。混合系統(tǒng)將所有CBDC用例的訪問最大化,同時(shí)也在危機(jī)期間保留了可用性。可運(yùn)行的CBDC系統(tǒng)將是犯罪組織和其他國(guó)家的首要目標(biāo),需要適當(dāng)?shù)陌踩胧﹣碜钚』L(fēng)險(xiǎn),以及持續(xù)監(jiān)控威脅。
四、CBDC的采用和使用:來自現(xiàn)場(chǎng)和實(shí)驗(yàn)室實(shí)驗(yàn)的一些見解
綜合過去推出的新型支付方式經(jīng)驗(yàn)以及相關(guān)研究,分享關(guān)于如何成功采用加拿大央行CBDC的見解。
歷史上新支付方法的推出和相關(guān)實(shí)驗(yàn)室實(shí)驗(yàn)中對(duì)加拿大中央銀行數(shù)字貨幣的可能采用和使用的見解。主題:中央銀行研究;數(shù)字貨幣和金融科技。
關(guān)鍵信息
成功啟動(dòng)和維持中央銀行數(shù)字貨幣(CBDC)的采用和使用的必要條件是確保CBDC在支付領(lǐng)域有一個(gè)明確的利基地位 。
一種可行的方法是將CBDC設(shè)計(jì)成“增強(qiáng)型現(xiàn)金”,以降低現(xiàn)金的攜帶和處理成本,實(shí)現(xiàn)電子轉(zhuǎn)賬,同時(shí)保留現(xiàn)金獨(dú)特的理想特征。
CBDC理想的設(shè)計(jì)特征包括通用的可訪問性、透明和每筆交易費(fèi)用低、高度的隱私性和強(qiáng)大的離線功能。
由于網(wǎng)絡(luò)效應(yīng),當(dāng)且僅當(dāng)消費(fèi)者和商戶都從現(xiàn)狀中獲益時(shí),才會(huì)持續(xù)采用并使用CBDC作為個(gè)人對(duì)企業(yè)(P2B)支付方式。啟用P2P(people-to-person,P2P)功能有助于抓住消費(fèi)者,促進(jìn)P2B的使用。
(一)明確的利基很重要
一種新的支付方式,如中央銀行數(shù)字貨幣(CBDC)的成功推出、持續(xù)采用和使用需要強(qiáng)有力的用戶案例,沒有明顯優(yōu)勢(shì)的新支付方式是不可能成功的。這可以從幾項(xiàng)新的支付方式的成敗中看出。
一個(gè)值得注意的成功項(xiàng)目是八達(dá)通卡,它是可反復(fù)擦寫和非接觸式存儲(chǔ)的智能卡,用于在香港的在線或離線系統(tǒng)中進(jìn)行電子支付。八達(dá)通卡于一九九七年九月推出,目的是為該地區(qū)的公共交通系統(tǒng)收取車費(fèi),現(xiàn)已擴(kuò)展至大多數(shù)便利店、超市和快餐店的零售付款。其他常見的八達(dá)通支付應(yīng)用包括停車收費(fèi)表、停車場(chǎng)、加油站、自動(dòng)售貨機(jī)、公共圖書館和游泳池。八達(dá)通卡之所以成功,一個(gè)根本原因是它在推出時(shí)的獨(dú)特利基:與其繁重的“車票”前身相比,非接觸式卡大大加快了車費(fèi)支付速度,緩解了繁忙城市公共交通系統(tǒng)的瓶頸。
一個(gè)值得注意的失敗項(xiàng)目是Mondex的儲(chǔ)值卡。上世紀(jì)90年代初,Mondex在全球范圍內(nèi)對(duì)該卡進(jìn)行了50多次試用,但收效甚微。最根本的缺陷是,Mondex卡與它要取代的實(shí)物現(xiàn)金相比,沒有任何明顯的優(yōu)勢(shì)。它的好處包括有可能節(jié)省與紙幣和硬幣有關(guān)的手續(xù)費(fèi)并使電子商務(wù)能夠付款。它還保持了現(xiàn)金的離線交易能力。但Mondex被認(rèn)為在隱私、可信度和潛在成本方面不如現(xiàn)金。Mondex聲稱交易是私營(yíng)的,這一說法引起了爭(zhēng)議。此外,Mondex結(jié)余是由私營(yíng)銀行發(fā)行的,對(duì)這些余額的存款保險(xiǎn)覆蓋范圍尚不清楚。盡管Mondex在試點(diǎn)項(xiàng)目期間為信用卡的使用提供了補(bǔ)貼,但尚不清楚未來將收取哪些費(fèi)用。
(二)理想的設(shè)計(jì)特點(diǎn)
加拿大人有很多支付方式,包括現(xiàn)金、(非接觸式)借記卡和信用卡、Interac電子轉(zhuǎn)賬、移動(dòng)支付應(yīng)用程序(如Apple Pay和Google Pay)以及在線支付賬戶(如PayPal)。銀行賬戶、手機(jī)和互聯(lián)網(wǎng)接入的普及率非常高。中央銀行提供的電子支付工具可能具有比較優(yōu)勢(shì)。
在加拿大,由于網(wǎng)上購(gòu)物的擴(kuò)張、非接觸式支付卡的相對(duì)易用性以及為替代支付方式(主要是信用卡)提供的激勵(lì)措施越來越多,用于交易的現(xiàn)金份額正在下降。然而,加拿大人在某些情況下仍然看重現(xiàn)金作為一種支付方式,因?yàn)樗绕渌Ц斗绞骄哂心承┆?dú)特的優(yōu)勢(shì)。這些優(yōu)勢(shì)包括:
1) 通用無障礙(每個(gè)人都可以使用現(xiàn)金)
2)交易時(shí)不收取中介費(fèi)
3)高度的隱私
4)離線傳輸?shù)哪芰?/p>
一些用戶喜歡現(xiàn)金的優(yōu)勢(shì),但不能將其用于虛擬(電子)轉(zhuǎn)賬。旨在模擬現(xiàn)金而不需要實(shí)物面對(duì)面交易的CBDC可以吸引這些用戶。
在本節(jié),我們將為CBDC這樣的現(xiàn)金系統(tǒng)確定一些用例。我們從上述三種理想的實(shí)物現(xiàn)金特征的數(shù)字化中得出這些案例。假設(shè)CBDC被商戶接受,我們將分析每種功能如何吸引消費(fèi)者,反之亦然。
CBDC具有通用的可訪問性,在交易點(diǎn)不收取中介費(fèi),可以為頻繁的低價(jià)值交易提供透明且相對(duì)便宜的數(shù)字支付選擇。在加拿大,借記卡和信用卡(特別是非接觸卡)是個(gè)人對(duì)企業(yè)(P2B)交易的有效支付手段。Interac e-Transfer允許加拿大人通過其銀行賬戶相互轉(zhuǎn)賬,自2015年以來,在個(gè)人對(duì)人(P2P)和P2B支付中越來越流行。與私營(yíng)電子支付方式相比,現(xiàn)金具有更大的可訪問性,每個(gè)人無論是否可以訪問互聯(lián)網(wǎng)、銀行賬戶或移動(dòng)設(shè)備都可以使用它。現(xiàn)金對(duì)于頻繁的低價(jià)值交易也有相對(duì)的成本優(yōu)勢(shì)。在交易時(shí),現(xiàn)金支付不涉及中介成本。相反,商戶向收單機(jī)構(gòu)支付手續(xù)費(fèi),使用借記卡的每筆交易收取固定費(fèi)用,或者按信用卡銷售額的一定比例收取。對(duì)于消費(fèi)者來說,大多數(shù)免費(fèi)或低收費(fèi)的銀行賬戶都會(huì)給予一定數(shù)量的免費(fèi)交易,但超過免費(fèi)期限的交易都會(huì)支付罰款,為了[l2] 避免這些罰款,對(duì)于頻繁的低價(jià)值交易,消費(fèi)者可能更喜歡現(xiàn)金而不是借記卡和內(nèi)部電子轉(zhuǎn)賬。小商戶在協(xié)商支付服務(wù)費(fèi)時(shí)往往沒有什么議價(jià)能力,他們可能更喜歡現(xiàn)金,以避免與信用卡支付相關(guān)的費(fèi)用。
與現(xiàn)金一樣,CBDC也可以設(shè)計(jì)為具有包容性,這樣用戶就不需要銀行、互聯(lián)網(wǎng)接入或電話就可以使用它。例如,中央銀行可以為公眾提供免費(fèi)的設(shè)備來存儲(chǔ)CBDC。與現(xiàn)金一樣,CBDC也是中央銀行負(fù)債,公眾在交易時(shí)可以自由使用。中央銀行鑄幣稅收入可以用于支付開發(fā)和維護(hù)CBDC設(shè)備的成本以及創(chuàng)建CBDC并確保其安全性的成本。
用戶可能更喜歡支付隱私,以防止其他人不當(dāng)?shù)厥褂盟麄兊慕灰讱v史記錄詳細(xì)信息。Borgonovo等人的實(shí)驗(yàn)研究(2019)表明人們將隱私視為支付方式的重要特征。隨著電子支付的使用不斷增加,收集、存儲(chǔ)和分析在線消費(fèi)者數(shù)據(jù)的成本繼續(xù)下降,人們對(duì)隱私的擔(dān)憂可能會(huì)增加(例如,見Hoofnagle,Urban and Li 2012;Garratt and van Oordt 2019;Kahn 2019)。用戶在付款時(shí)可以有更多的選擇來分享(或不分享)信息。
具有高隱私級(jí)別的CBDC對(duì)于隱私非常重要的電子交易是有用的。許多隱私保護(hù)技術(shù)基于密碼學(xué)(例如,用戶數(shù)據(jù)的加密)和操作安排(例如,在沒有串通動(dòng)機(jī)的多個(gè)代理之間分配解密密鑰片段)。啟用具有強(qiáng)大隱私控制的交易模式(例如,通過不依賴手機(jī)或互聯(lián)網(wǎng)的設(shè)備)也可能會(huì)有所幫助。但是,使用CBDC進(jìn)行在線交易或使用任何電子支付方式來復(fù)制現(xiàn)金交易所提供的相同級(jí)別的隱私,即使不是不可能,也是很困難的。此外,充分保護(hù)電子隱私將涉及更廣泛的法律和監(jiān)管干預(yù),以限制和限制私營(yíng)信息的使用。
加拿大大多數(shù)現(xiàn)有的信用卡支付都需要互聯(lián)網(wǎng)連接來驗(yàn)證信用卡信息。當(dāng)支付系統(tǒng)因停電或互聯(lián)網(wǎng)故障而出現(xiàn)故障時(shí),會(huì)給消費(fèi)者帶來不便。對(duì)于商戶來說,風(fēng)險(xiǎn)可能更大,因?yàn)樗麄冇惺ヤN售額和客戶的風(fēng)險(xiǎn)。即使可以離線讀取借記卡或信用卡并存儲(chǔ)交易數(shù)據(jù),也只有在連接恢復(fù)時(shí)才能進(jìn)行實(shí)際的卡處理。因此,離線接受信用卡存在風(fēng)險(xiǎn)。具有更強(qiáng)大的離線功能的CBDC可以作為停電和互聯(lián)網(wǎng)故障時(shí)的備用支付方法。它也可能是某些類型企業(yè)的主要支付方式,如食品卡車或戶外農(nóng)貿(mào)市場(chǎng)。
最后,像現(xiàn)金這樣的CBDC支付方式很難并不會(huì)取代現(xiàn)有的支付方式。相反,CDBC應(yīng)該致力于填補(bǔ)支付領(lǐng)域的空白,尤其是在無現(xiàn)金環(huán)境發(fā)展的情況下。它應(yīng)該與其他支付方式共存,使支付系統(tǒng)更加健全和高效。
(三)啟動(dòng)注意事項(xiàng)
上一節(jié)指出了像CBDC這樣的現(xiàn)金可以吸引消費(fèi)者和商戶的領(lǐng)域,前提是對(duì)方愿意接受或使用它。支付方式的采用涉及到網(wǎng)絡(luò)效應(yīng)。對(duì)于消費(fèi)者來說,如果更多的商戶接受新的支付方式,采用新的支付方式的好處會(huì)增加。反之亦然:當(dāng)更多的消費(fèi)者使用新的支付方式時(shí),商戶會(huì)從中受益。
由于網(wǎng)絡(luò)效應(yīng),一種社會(huì)效率更高的支付方式可能沒有機(jī)會(huì)起飛。Arifovic、Duffy和Jiang(ADJ,2017)在受控實(shí)驗(yàn)室環(huán)境中提供了證據(jù)。在他們的研究中,消費(fèi)者和商戶新的支付方式相對(duì)于現(xiàn)有的支付方式,涉及到跨交易成本都較低。但商戶必須支付固定的費(fèi)用,例如,租用或購(gòu)買終端,建立和維護(hù)一個(gè)新的賬戶,他們必須培訓(xùn)員工使用新系統(tǒng)。切換到新的支付方式是社會(huì)最優(yōu)的,因?yàn)樗梢宰钚』偨灰壮杀?#xff0c;但ADJ(2017)記錄了在采用過程中的強(qiáng)大網(wǎng)絡(luò)效應(yīng)。在固定采用成本較高的情況下,如果完全采用新的支付方式,商戶的境況相對(duì)于現(xiàn)狀會(huì)更差。在這種情況下,商戶的反應(yīng)是擔(dān)心失去生意,一開始接受新的支付方式,但最終隨著時(shí)間的推移學(xué)會(huì)抵制新的支付方式,把經(jīng)濟(jì)拉回到社會(huì)效率低下的舊支付方式。在這一過程中,由于支付選擇的不匹配,也會(huì)產(chǎn)生較大的效率損失。ADJ研究的一個(gè)教訓(xùn)是,支付系統(tǒng)的雙方都必須從轉(zhuǎn)換到CBDC的現(xiàn)狀中獲益,才能實(shí)現(xiàn)平穩(wěn)和持續(xù)的采用和使用。
在相關(guān)工作中,Huynh、Nicholls和Shcherbakov(2019)研究了2013年支付方式(MOP)調(diào)查和2015年零售商支付方式成本調(diào)查的數(shù)據(jù),以研究網(wǎng)絡(luò)效應(yīng)在零售支付系統(tǒng)中的作用。它們量化了消費(fèi)者和商戶之間反饋循環(huán)的重要性。從這項(xiàng)工作中得到的一個(gè)教訓(xùn)是,由于網(wǎng)絡(luò)效應(yīng)的強(qiáng)度取決于它們是來自消費(fèi)者還是商戶,因此有效地引入CBDC應(yīng)該考慮對(duì)市場(chǎng)各方提供的采納/接受激勵(lì)的響應(yīng)彈性。
這是一些非常成功的支付系統(tǒng)所遵循的路線,例如瑞典的Swish、中國(guó)的微信支付以及最近加拿大的Interac e-Transfer。Swish(2012年推出)最初用于個(gè)人之間的交易,但很快就開始用于跳蚤市場(chǎng)和其他小型支付活動(dòng)中,信用卡讀卡器成本太高或不切實(shí)際。希望避免信用卡手續(xù)費(fèi)和簡(jiǎn)化在線支付的小公司很快也效仿了這一做法。微信是一款中文多功能短信、社交媒體和移動(dòng)支付應(yīng)用。微信支付是微信中的數(shù)字錢包,允許用戶進(jìn)行移動(dòng)支付和在聯(lián)系人之間匯款。微信支付的使用在2014年1月開始普及,當(dāng)時(shí)微信推出了一個(gè)分發(fā)虛擬紅包的功能,虛擬化了中國(guó)春節(jié)期間朋友和家人交換一包錢的傳統(tǒng)。從那時(shí)起,微信支付迅速擴(kuò)展到P2B支付。它已成為中國(guó)日常小額交易的主要電子支付方式,已成為日常生活的一部分。在加拿大,Interac e-Transfer遵循了類似的路線:它最初打算用于P2P傳輸,但也擴(kuò)展到P2B交易(Interac e-Transfer將在下面進(jìn)一步討論)。
引入一種專門針對(duì)P2B支付的新支付方法可能更具挑戰(zhàn)性,因?yàn)樗枰袌?chǎng)消費(fèi)者和商戶雙方的協(xié)調(diào)。一種方法是將CBDC設(shè)計(jì)成一種通用的、相對(duì)便宜且簡(jiǎn)單的P2P支付方式,以獲取消費(fèi)者群,從而為擴(kuò)展到P2B支付奠定基礎(chǔ)。
除了以本國(guó)貨幣計(jì)價(jià)的支付方式的創(chuàng)新外,還對(duì)比特幣等新的私營(yíng)數(shù)字貨幣進(jìn)行了許多試驗(yàn)。比特幣的交易使用率很低,受到其價(jià)值劇烈波動(dòng)的阻礙。根據(jù)加拿大銀行2018年比特幣綜合調(diào)查(Henry等人。2019年),盡管公眾對(duì)加密貨幣認(rèn)知度很高(89%),但只有5%的加拿大人擁有比特幣,4%的加拿大人在上一年使用比特幣從企業(yè)進(jìn)行購(gòu)買。Libra計(jì)劃作為一種數(shù)字貨幣,由金融資產(chǎn)支持,以實(shí)現(xiàn)國(guó)內(nèi)和跨境資金轉(zhuǎn)移,可能實(shí)現(xiàn)比比特幣更穩(wěn)定的價(jià)值,并為CBDC帶來更多競(jìng)爭(zhēng)。
在這種情況下,政府可以采取一些行動(dòng)來減輕來自私營(yíng)貨幣的威脅。Jiang和Zhang(2018)在實(shí)驗(yàn)室中研究?jī)煞N貨幣之間的競(jìng)爭(zhēng),目標(biāo)人群選擇是否接受本國(guó)貨幣和外國(guó)貨幣。他們的研究表明,如果沒有匯率風(fēng)險(xiǎn)和政府干預(yù),這兩種貨幣都很容易被接受。然而,有利于政府貨幣的政策將大大降低外國(guó)貨幣的廣泛可接受性。這項(xiàng)研究的一個(gè)教訓(xùn)是,為了減輕Libra等私營(yíng)數(shù)字貨幣的威脅,有利于加元的交易政策(例如,規(guī)定稅收和政府服務(wù)必須以加元支付)可能會(huì)有所幫助。
(四)不斷發(fā)展的零售支付格局中的CBDC
鑒于零售支付領(lǐng)域的新發(fā)展,CBDC的利基定位對(duì)于其成功采用和使用更為重要
在加拿大,公共部門正在采取各種新舉措來加強(qiáng)零售支付領(lǐng)域的競(jìng)爭(zhēng)。其中一個(gè)值得注意的項(xiàng)目是實(shí)時(shí)軌道(RTR),一個(gè)快速處理小額支付的新平臺(tái)。RTR將由“加拿大支付”運(yùn)營(yíng),并將向新的支付服務(wù)提供商(PSP)開放。通過RTR進(jìn)入新的PSP可以促進(jìn)創(chuàng)新和競(jìng)爭(zhēng),并為最終用戶提供更便宜和更方便的支付服務(wù)。另一方面,非接觸式卡等電子支付技術(shù)的新發(fā)展加快了每筆交易的處理時(shí)間,有效降低了卡支付的每筆交易成本。因此,這些非接觸式卡的小額交易也逐漸取代現(xiàn)金交易。近年來,內(nèi)部電子轉(zhuǎn)賬也經(jīng)歷了快速增長(zhǎng),因?yàn)橐恍┿y行已經(jīng)開始使用個(gè)人支票賬戶提供無限制的免費(fèi)電子轉(zhuǎn)賬交易,而自動(dòng)存款和請(qǐng)求付款等電子轉(zhuǎn)賬功能也使之成為可能更方便消費(fèi)者和商戶使用。
為了得到持續(xù)的采用和使用,CBDC的設(shè)計(jì)不僅要跟上私營(yíng)電子支付方式的發(fā)展,而且要在某些方面更出類拔萃。鑒于零售支付的新發(fā)展,就成本和易用性而言,CBDC要比私營(yíng)電子支付手段更好是更難做到的。因此,CBDC的利基在于實(shí)物現(xiàn)金相對(duì)于常規(guī)(基于賬戶)私營(yíng)電子支付方式的獨(dú)特、理想的特點(diǎn):
通用性
透明性
較低的每筆交易費(fèi)用
高度的隱私性
強(qiáng)大的離線能力
可以想象的是,隨著時(shí)間的推移,競(jìng)爭(zhēng)將促使私營(yíng)PSP沿著這些維度改進(jìn)。但是追求這些目標(biāo)可能不會(huì)產(chǎn)生足夠的利潤(rùn),無法成為私營(yíng)PSP的首要任務(wù)。加拿大銀行的任務(wù)是為加拿大人的經(jīng)濟(jì)福祉做出貢獻(xiàn)(如《加拿大銀行法》所定義),它可以為公眾提供一種獨(dú)特的支付手段,這種支付方式提供私營(yíng)部門可能無法提供的功能。
五、中央銀行數(shù)字貨幣對(duì)銀行存款的潛在影響
發(fā)行CBDC對(duì)商業(yè)銀行的資金流動(dòng)性和盈利能力會(huì)產(chǎn)生潛在的短期影響。只要采用合理的設(shè)計(jì)方案,系統(tǒng)重要性銀行能很好地抵抗這種短期負(fù)面影響。
理論上,以加元計(jì)價(jià)的零售CBDC可能會(huì)和銀行存款產(chǎn)生競(jìng)爭(zhēng)。我們利用2018年和2019年的監(jiān)管數(shù)據(jù),分析存款競(jìng)爭(zhēng)加劇對(duì)加拿大六大銀行收入和流動(dòng)性的潛在影響。
主題: 數(shù)字貨幣和金融科技; 金融機(jī)構(gòu);金融穩(wěn)定
(一)簡(jiǎn)介
消費(fèi)者可以以現(xiàn)金形式或商業(yè)銀行存款形式持有資金。現(xiàn)金和銀行存款都可以作為一種支付方式和價(jià)值儲(chǔ)存手段。基于這種意義,對(duì)于消費(fèi)者來說,現(xiàn)金與銀行存款存在“競(jìng)爭(zhēng)”。
我們預(yù)計(jì)央行數(shù)字貨幣(CBDC)將與銀行存款形成競(jìng)爭(zhēng)。即使CBDC的設(shè)計(jì)目的不是為了制造競(jìng)爭(zhēng)(例如限制交易規(guī)模或不賺取利息),但這種情況可能會(huì)真實(shí)存在。這種競(jìng)爭(zhēng)將加劇,因?yàn)镃BDC是一種可以像現(xiàn)金一樣用作價(jià)值儲(chǔ)存手段和交易支付手段的新型安全資產(chǎn)。
對(duì)銀行來說,銀行存款是一種相對(duì)廉價(jià)和穩(wěn)定的資金來源。對(duì)存款的競(jìng)爭(zhēng)加劇,可能會(huì)促使銀行考慮其它資金來源。凈收入和流動(dòng)性(凈現(xiàn)金流入)可能會(huì)減少,而為了反映新常態(tài),商業(yè)模式可能會(huì)隨著時(shí)間而改變。在其他條件不變的情況下,這些變化可能會(huì)通過縮短資金到期日和降低銀行內(nèi)部產(chǎn)生資本的能力而影響金融穩(wěn)定。
為了研究這種可能性,我們利用2018年和2019年(COVID-19之前)的監(jiān)管數(shù)據(jù)進(jìn)行了敏感性分析,以評(píng)估引入CBDC會(huì)如何因競(jìng)爭(zhēng)加劇而影響凈收入和流動(dòng)性。我們發(fā)現(xiàn),加拿大最大的6家銀行可能會(huì)吸收對(duì)凈收入和流動(dòng)性的潛在沖擊,但盈利能力會(huì)出現(xiàn)暫時(shí)的下降。
為了進(jìn)行分析,我們考慮了采用CBDC的三種假設(shè)場(chǎng)景,并假設(shè)CBDC被設(shè)計(jì)為具有與現(xiàn)金類似的特性。使用這些采用場(chǎng)景,我們分析為增加資金成本將影響盈利能力,以及資金穩(wěn)定性降低(短期資金)將影響資金流動(dòng)性。
為了分離對(duì)收入和流動(dòng)性的具體影響,我們做以下假設(shè):
銀行維持他們的貸款或費(fèi)用收入。
銀行維持他們的商業(yè)模式。
銀行可以用其他資金來源取代存款資金。
資金成本對(duì)存款需求并不敏感。
(二)CBDC將與零售銀行存款展開競(jìng)爭(zhēng)
作為一種應(yīng)急措施,加拿大銀行正在創(chuàng)造發(fā)行類似現(xiàn)金的零售CBDC(加拿大銀行2020)的能力。CBDC將以加元計(jì)價(jià),不賺取利息,面向零售客戶(個(gè)人和小企業(yè))。
CBDC的采用將取決于設(shè)計(jì),銀行部門如何應(yīng)對(duì)CBDC的競(jìng)爭(zhēng),消費(fèi)者如何反應(yīng),以及隨著新技術(shù)的引入金融系統(tǒng)如何演變。在目前的設(shè)計(jì)假設(shè)下,存款中對(duì)引入CBDC最敏感的似乎是以加元計(jì)價(jià)的零售存款(如支票存款)。
以加元計(jì)價(jià)的支票存款約占銀行總資產(chǎn)的5%(圖1)。為了考慮潛在的溢出效應(yīng),我們還考量了一些備選方案,其中包括可能對(duì)CBDC敏感的非支票零售存款(儲(chǔ)蓄),假設(shè)銀行客戶將其用作價(jià)值存儲(chǔ)手段。支票存款和儲(chǔ)蓄賬戶存款規(guī)模略高于銀行總資產(chǎn)的10%。
圖:對(duì)CBDC敏感的零售存款占銀行資產(chǎn)的5%- 10%
(三)采用比率決定面臨風(fēng)險(xiǎn)的存款量
為了探索CBDC對(duì)銀行資金的可能影響,我們考慮了使用三個(gè)層面的場(chǎng)景,包括當(dāng)前對(duì)紙幣的需求,個(gè)人銀行存款的余額和可比的支付方法(表1),探索對(duì)銀行的潛在影響,但這不意味著對(duì)采用的預(yù)測(cè)。
表:基于現(xiàn)金和存款余額的采用場(chǎng)景(截至2019年4月)
以下是我們考慮的采用場(chǎng)景:
900億加元。例如,如果未償付現(xiàn)金仍以目前的水平流通,并且額外發(fā)行了900億加元CBDC,就可能發(fā)生銀行存款減少的情況。鑒于現(xiàn)金僅占銀行資產(chǎn)的2%左右,加元存款的5%,這種情況不太可能對(duì)銀行資金產(chǎn)生重大影響。
這相當(dāng)于2800億加元。盡管這些存款是銀行資金的傳統(tǒng)來源,但在資產(chǎn)中所占比例相對(duì)較小(5%),加元存款資金占16%。因此,對(duì)于D-SIBs而言,CBDC相對(duì)于支票存款的競(jìng)爭(zhēng)似乎是可控的。如果CBDC具有支票帳戶的所有特性、方便性和可信任性,就會(huì)出現(xiàn)這種情況。
這種情況可能發(fā)生在消費(fèi)者對(duì)加拿大銀行系統(tǒng)失去信心,選擇放棄儲(chǔ)蓄利息轉(zhuǎn)而尋求由央行背書的CBDC的安全性。
借記卡、支票和現(xiàn)金是CBDC最類似的支付方式。2018年,消費(fèi)者通過這三種方式在實(shí)體店和網(wǎng)上支付的金額分別達(dá)到2430億加元、650億加元和930億加元(詳見附錄,TSI 2019) 。另一大類付款(“其他”)包括預(yù)先授權(quán)的票據(jù)付款、電匯和其他銀行轉(zhuǎn)賬。這些“其他”支付方式的總價(jià)值為2640億加元,如果CBDC設(shè)計(jì)包含這些支付方式,其中一部分將可以被取代。借記卡、支票和“其他”支付方式的總價(jià)值為5710億澳元。
(四)盈利能力和資金流動(dòng)性可能會(huì)收到負(fù)面影響
為了減少存款外流,銀行可以提高支付給那些需求價(jià)格彈性高的儲(chǔ)戶的利息。銀行還需要用其他成本更高、波動(dòng)性更大的資金來源來彌補(bǔ)損失的存款。在其他條件相同的情況下,這些行為可能導(dǎo)致銀行盈利能力下降(另見Chiu et al. 2019)。
為了評(píng)估凈收入對(duì)CBDC的敏感性,我們分析了當(dāng)每個(gè)場(chǎng)景的有效利率分別增長(zhǎng)25個(gè)基點(diǎn)(bps)、50個(gè)基點(diǎn)和184個(gè)基點(diǎn)時(shí)對(duì)存款的影響。增幅最大的是截至2018年第四季度的有效批發(fā)定期存款利率。表2報(bào)告了國(guó)內(nèi)系統(tǒng)重要性銀行對(duì)凈息差、稅前凈利潤(rùn)和股本回報(bào)率(ROE)的影響。我們假設(shè)銀行客戶在一個(gè)季度內(nèi)采用CBDC,銀行沒有機(jī)會(huì)將增加的資金成本轉(zhuǎn)嫁給借款人。
表:加拿大最大的六家銀行對(duì)利息收入的平均影響
注:對(duì)凈資產(chǎn)收益率的影響以年度計(jì)量;其他影響按季度計(jì)算。
資料來源:2018年第4季度加拿大銀行資產(chǎn)負(fù)債表(M4)和損益表(P3)的監(jiān)管文件。
在場(chǎng)景A中,稅前凈收入將減少0.6%到3.0%。9個(gè)案例中有3個(gè)案例的凈收入下降僅超過5%,主要是在采用率高且利率顯著提高的情況下(場(chǎng)景B,+184個(gè)基點(diǎn); 場(chǎng)景C,+50 bps或更高)。這些結(jié)果表明,存款成本的增加對(duì)凈收入的影響大于CBDC采用程度對(duì)凈收入的影響。即使在最極端的情況下國(guó)內(nèi)系統(tǒng)重要性銀行的凈收入會(huì)大幅下降,其他條件都相同時(shí),國(guó)內(nèi)系統(tǒng)重要性銀行仍將保持高利潤(rùn),平均ROE下降不到一個(gè)百分點(diǎn)。在過去兩年(2018-19年),國(guó)內(nèi)系統(tǒng)重要性銀行的平均ROE約為15%。
雖然我們關(guān)注的是利息收入,但手續(xù)費(fèi)也可能受到影響,因?yàn)榭蛻舫钟械你y行賬戶可能會(huì)減少?gòu)亩鴾p少相關(guān)收益。支票賬戶也是一種重要的銀行產(chǎn)品,它能幫助銀行獲得客戶,并導(dǎo)致其他產(chǎn)品的交叉銷售。如果客戶取消銀行支票賬戶,這對(duì)收益的影響可能比利息成本上升和費(fèi)用收入減少更廣泛。但是,其他產(chǎn)品的交叉補(bǔ)貼可以維持對(duì)交易帳戶的需求,減少向CBDC的流出。更高的利率也會(huì)減少存款的流出,但會(huì)對(duì)凈收入產(chǎn)生負(fù)面影響,正如我們已經(jīng)展示的那樣。
存款活動(dòng)減少的一線希望是,降低與維護(hù)營(yíng)業(yè)網(wǎng)點(diǎn)相關(guān)的成本。這些成本在短期內(nèi)可能是固定的,但儲(chǔ)戶的減少可能會(huì)導(dǎo)致銀行的分支機(jī)構(gòu)減少,從而在長(zhǎng)期內(nèi)降低成本。
銀行的流動(dòng)性狀況在一定程度上取決于其資金來源的穩(wěn)定性。穩(wěn)定的資金通常是長(zhǎng)期,價(jià)格波動(dòng)小,以及不太可能取出的。穩(wěn)定的資金可確保現(xiàn)金流入繼續(xù)超過現(xiàn)金流出,使銀行能夠在較長(zhǎng)一段時(shí)間內(nèi)滿足其資金需求,即使在財(cái)務(wù)高度緊張的情況下也是如此。
近年來,零售存款一直是一個(gè)穩(wěn)定的資金來源。如果銀行需要用不太穩(wěn)定、短期的資金來源取代零售存款,那么在壓力時(shí)期現(xiàn)金流入超過現(xiàn)金流出的預(yù)計(jì)月數(shù)可能會(huì)減少。對(duì)于我們的這部分分析,我們使用凈累積現(xiàn)金流(NCCF)監(jiān)管備案文件來評(píng)估一個(gè)CBDC對(duì)正現(xiàn)金流預(yù)期月數(shù)的流動(dòng)性影響。我們使用三種采用場(chǎng)景來粗略估計(jì)可以被不太穩(wěn)定資金來源替代的存款數(shù)量。然后,我們假設(shè)這些存款將被三種逐漸減少的穩(wěn)定存款產(chǎn)品所取代:無保險(xiǎn)存款和兩種批發(fā)活期存款(表3)。存款的穩(wěn)定性通過徑流率來衡量,徑流率是在壓力事件期間存款可提取的速度。徑流率的增加會(huì)減少未來銀行現(xiàn)金流入超過流出的月份。這種衡量的意思是,凈正現(xiàn)金流月數(shù)越大,銀行應(yīng)對(duì)意外流動(dòng)性沖擊的時(shí)間就越多。
表:銀行在大多數(shù)情況下能夠承受CBDC的流動(dòng)性沖擊
資料來源:2019年4月加拿大各銀行監(jiān)管備案文件(凈累積現(xiàn)金流)
在CBDC采用率較低的情況下(如場(chǎng)景A),對(duì)銀行流動(dòng)性的影響要么為零,要么極小。如果采用場(chǎng)景B,當(dāng)徑流率1時(shí)影響幾乎很小或沒有,而徑流率為3時(shí)的預(yù)計(jì)正現(xiàn)金流月數(shù)僅會(huì)有兩個(gè)月的減少。只有在場(chǎng)景C與資金穩(wěn)定性下降相結(jié)合的情況下,預(yù)期現(xiàn)金流才會(huì)大幅下降。這些結(jié)果表明,在其他條件相同的情況下,大多數(shù)情況下,由于CBDC的引入國(guó)內(nèi)系統(tǒng)重要性銀行都能承受由于CBDC的引入造成的短期資金流動(dòng)性沖擊。
(五)總結(jié)
基于敏感性分析和CBDC的假設(shè)設(shè)計(jì),我們發(fā)現(xiàn)國(guó)內(nèi)系統(tǒng)重要性銀行能夠很好地吸收引入CBDC對(duì)盈利能力和流動(dòng)性可能產(chǎn)生的暫時(shí)性潛在負(fù)面影響。銀行擁有較高的股本收益率(ROE)和流動(dòng)性水平,因此在合理的采用方案下可以吸收沖擊。我們只在極端情況下觀察到對(duì)凈收入的巨大影響,即所有支票存款受到影響,利息支出急劇增長(zhǎng)。考慮到存款資金的當(dāng)前成本和CBDC設(shè)計(jì)不承擔(dān)利息,這種情況不太可能出現(xiàn)。利率的小幅上升加上類似現(xiàn)金的需求不會(huì)對(duì)金融體系的穩(wěn)定或銀行ROE的競(jìng)爭(zhēng)力構(gòu)成威脅。當(dāng)我們考察流動(dòng)性時(shí),結(jié)果也類似:銀行將保持健康的流動(dòng)性水平,只有在最極端的情況下,流動(dòng)性才會(huì)成為一個(gè)令人擔(dān)憂的問題。
(六)附錄
*返現(xiàn)交易的價(jià)值已轉(zhuǎn)為現(xiàn)金。
**復(fù)合年增長(zhǎng)率來源:《主要支付重點(diǎn)》,《加拿大支付2019年預(yù)測(cè)報(bào)告》,國(guó)際科技戰(zhàn)略(TSI)
***鳴謝內(nèi)容來源: 中鈔區(qū)塊鏈技術(shù)研究院,如有侵權(quán)聯(lián)系刪除
總結(jié)
以上是生活随笔為你收集整理的万字详解加拿大央行CBDC分析报告的全部?jī)?nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 倾斜摄影 正摄影_如何安全地在线购买摄影
- 下一篇: 【Python3】23.求平方根---牛