歷時一年半，金融行業(yè)區(qū)塊鏈標準來了！

近日，為落實《中國金融業(yè)信息技術“十三五”發(fā)展規(guī)劃》和《金融科技（Fintech）發(fā)展規(guī)劃（2019-2021年）》的要求，規(guī)范分布式賬本技術在金融領域的應用，提升分布式賬本技術的信息安全保障能力，中國人民銀行編制并正式發(fā)布《金融分布式賬本技術安全規(guī)范》（下稱《規(guī)范》），2020年2月5日起正式實施。

分布式賬本技術是密碼算法、共識機制、點對點通訊協(xié)議、分布式存儲等多種核心技術高度融合形成的一種分布式基礎架構與計算范式。發(fā)布并實施此標準有助于金融機構按照合適的安全要求進行系統(tǒng)部署和維護，避免出現(xiàn)安全短板，為分布式賬本技術大規(guī)模應用提供業(yè)務保障能力和信息安全風險約束能力，對產(chǎn)業(yè)應用形成良性的促進作用。

《規(guī)范》共有17章節(jié)，分別包括范圍、規(guī)范性引用文件、術語和定義、縮略語、安全體系框架、基礎硬件、基礎軟件、密碼算法、節(jié)點通信、賬本數(shù)據(jù)、共識協(xié)議、智能合約、身份管理、隱私保護、監(jiān)管支撐、運維要求與治理機制，規(guī)定了金融分布式賬本技術的安全體系，并適用于在金融領域從事分布式賬本系統(tǒng)建設或服務運營的機構。

共識協(xié)議應滿足可監(jiān)管性等要求

在共識協(xié)議方面，《規(guī)范》要求，應根據(jù)業(yè)務特點選用適宜的共識協(xié)議，包括但不限于工作量證明、權益證明、授權股權證明、拜占庭容錯等，應滿足不同共識協(xié)議安全運行所必須的前提要求，且業(yè)務激勵規(guī)則和技術運維安全上的機制。

具體來看，《規(guī)范》要求共識協(xié)議滿足合法性、正確性、終局性、一致性、不可偽造性、可用性、健壯性、容錯性、可監(jiān)管性、低延遲、激勵相容、可拓展性等。其中，可監(jiān)管性要求單次共識過程和系統(tǒng)運行的整個共識歷史都應可審計、可監(jiān)管，該歷史應不可被篡改。

身份管理應滿足監(jiān)管審計要求

在身份管理方面，《規(guī)范》提出，應實現(xiàn)有效的用戶身份管理，主要功能包括身份注冊、身份核實、賬戶管理、憑證生命周期管理、身份鑒別、節(jié)點標識管理、身份更新和撤銷等，并應保障身份信息的安全性，并對身份進行監(jiān)管審計。

所謂身份，是指涉及自然人及法人等實體的屬性的集合。賬戶是身份的一個屬性集合，分為系統(tǒng)用戶賬戶和應用賬戶。在金融分布式賬本系統(tǒng)中，一個身份可對應多個賬戶。每個賬戶應關聯(lián)一個身份標識?！兑?guī)范》要求，身份注冊機構應接受監(jiān)管部門的緊急干預和審計追蹤。

在身份監(jiān)管方面，《規(guī)范》要求，監(jiān)管信息應至少包括金融監(jiān)管信息，具體為現(xiàn)工作單位/就讀學校、行業(yè)類型、居住國家/地區(qū)、民族、居民/非居民、出生日期、個人月收入、稅務信息等監(jiān)管數(shù)據(jù)項和反洗錢特色數(shù)據(jù)項。在審計方面，《規(guī)范》要求，應對身份、賬戶、憑證的訪問和更改提供安全審計功能，審計記錄包括訪問的日期、時間、用戶標識、數(shù)據(jù)等審計相關信息。

對隱私信息采取分級保護策略

《規(guī)范》提出，個人信息收集目的應明確和合法，任何與目的不符合的方式不可采用。信息收集應遵循最小化原則，個人信息收集應僅限于一切與信息收集目的相關且必要的數(shù)據(jù)。

《規(guī)范》要求，應將隱私信息按照敏感程度進行分級，并設置對應的隱私保護策略。低隱私保護要求類別信息經(jīng)過組合、關聯(lián)和分析后可能產(chǎn)生高隱私保護要求類別信息，應根據(jù)實際情況采用對應的高隱私保護策略。隱私保護策略包括信息公開可驗證、信息加密可驗證以及信息由交易驗證節(jié)點驗證等。

應支持監(jiān)管機構訪問最底層數(shù)據(jù)，為監(jiān)管機構提供交易干預的技術手段

《規(guī)范》指出，金融分布式賬本系統(tǒng)具有架構去中心、數(shù)據(jù)多副本、交易點對點、記錄不可篡改的特點，與中心化系統(tǒng)有很大差異，不僅需要法律監(jiān)管規(guī)則，也需要技術監(jiān)管規(guī)則，以優(yōu)化系統(tǒng)設計、保證系統(tǒng)安全、提高監(jiān)管效率、降低合規(guī)成本。

在系統(tǒng)監(jiān)管上，《規(guī)范》要求，應支持監(jiān)管機構接入，以滿足信息審計和披露的要求；應支持監(jiān)管部門的監(jiān)管活動，包括但不限于設置監(jiān)管規(guī)則，提取交易記錄，按需查詢、分析特定業(yè)務數(shù)據(jù)等；應支持監(jiān)管機構訪問最底層數(shù)據(jù)，實現(xiàn)穿透式監(jiān)管。

在信息管理上，應支持還原匿名標識中用戶的真實身份以及相關交易信息，配合交易審查，加強KYC（知道你的客戶）管理；在事件處理上，當系統(tǒng)或交易出現(xiàn)問題時，應能主動報警，采取糾正措施，并報送事件信息；在交易干預上，應具備限制交易權限、凍結賬戶等功能，為監(jiān)管機構提供交易干預的技術手段；在智能合約監(jiān)管上，應能按需將監(jiān)管要求編碼寫入智能合約強制執(zhí)行，根據(jù)需要為監(jiān)管機構提供交易行為統(tǒng)計數(shù)據(jù)，評價智能合約所提供服務的合規(guī)性。

全國金融標準化技術委員會官網(wǎng)的公告稱，《金融分布式賬本技術安全規(guī)范》由全國金融標準化技術委員會歸口管理，由中國人民銀行數(shù)字貨幣研究所提出并負責起草，中國人民銀行科技司、中國工商銀行（5.420， -0.02，-0.37%）、中國農(nóng)業(yè)銀行（3.440， -0.02， -0.58%）、中國銀行（3.570， -0.02，-0.56%）、中國建設銀行（6.640， -0.07， -1.04%）、國家開發(fā)銀行等單位共同參與起草。《規(guī)范》經(jīng)過廣泛征求意見和論證，并通過了全國金融標準化技術委員會審查。