歷時一年半，金融行業(yè)區(qū)塊鏈標(biāo)準(zhǔn)來了！

近日，為落實《中國金融業(yè)信息技術(shù)“十三五”發(fā)展規(guī)劃》和《金融科技（Fintech）發(fā)展規(guī)劃（2019-2021年）》的要求，規(guī)范分布式賬本技術(shù)在金融領(lǐng)域的應(yīng)用，提升分布式賬本技術(shù)的信息安全保障能力，中國人民銀行編制并正式發(fā)布《金融分布式賬本技術(shù)安全規(guī)范》（下稱《規(guī)范》），2020年2月5日起正式實施。

分布式賬本技術(shù)是密碼算法、共識機制、點對點通訊協(xié)議、分布式存儲等多種核心技術(shù)高度融合形成的一種分布式基礎(chǔ)架構(gòu)與計算范式。發(fā)布并實施此標(biāo)準(zhǔn)有助于金融機構(gòu)按照合適的安全要求進行系統(tǒng)部署和維護，避免出現(xiàn)安全短板，為分布式賬本技術(shù)大規(guī)模應(yīng)用提供業(yè)務(wù)保障能力和信息安全風(fēng)險約束能力，對產(chǎn)業(yè)應(yīng)用形成良性的促進作用。

《規(guī)范》共有17章節(jié)，分別包括范圍、規(guī)范性引用文件、術(shù)語和定義、縮略語、安全體系框架、基礎(chǔ)硬件、基礎(chǔ)軟件、密碼算法、節(jié)點通信、賬本數(shù)據(jù)、共識協(xié)議、智能合約、身份管理、隱私保護、監(jiān)管支撐、運維要求與治理機制，規(guī)定了金融分布式賬本技術(shù)的安全體系，并適用于在金融領(lǐng)域從事分布式賬本系統(tǒng)建設(shè)或服務(wù)運營的機構(gòu)。

共識協(xié)議應(yīng)滿足可監(jiān)管性等要求

在共識協(xié)議方面，《規(guī)范》要求，應(yīng)根據(jù)業(yè)務(wù)特點選用適宜的共識協(xié)議，包括但不限于工作量證明、權(quán)益證明、授權(quán)股權(quán)證明、拜占庭容錯等，應(yīng)滿足不同共識協(xié)議安全運行所必須的前提要求，且業(yè)務(wù)激勵規(guī)則和技術(shù)運維安全上的機制。

具體來看，《規(guī)范》要求共識協(xié)議滿足合法性、正確性、終局性、一致性、不可偽造性、可用性、健壯性、容錯性、可監(jiān)管性、低延遲、激勵相容、可拓展性等。其中，可監(jiān)管性要求單次共識過程和系統(tǒng)運行的整個共識歷史都應(yīng)可審計、可監(jiān)管，該歷史應(yīng)不可被篡改。

身份管理應(yīng)滿足監(jiān)管審計要求

在身份管理方面，《規(guī)范》提出，應(yīng)實現(xiàn)有效的用戶身份管理，主要功能包括身份注冊、身份核實、賬戶管理、憑證生命周期管理、身份鑒別、節(jié)點標(biāo)識管理、身份更新和撤銷等，并應(yīng)保障身份信息的安全性，并對身份進行監(jiān)管審計。

所謂身份，是指涉及自然人及法人等實體的屬性的集合。賬戶是身份的一個屬性集合，分為系統(tǒng)用戶賬戶和應(yīng)用賬戶。在金融分布式賬本系統(tǒng)中，一個身份可對應(yīng)多個賬戶。每個賬戶應(yīng)關(guān)聯(lián)一個身份標(biāo)識?！兑?guī)范》要求，身份注冊機構(gòu)應(yīng)接受監(jiān)管部門的緊急干預(yù)和審計追蹤。

在身份監(jiān)管方面，《規(guī)范》要求，監(jiān)管信息應(yīng)至少包括金融監(jiān)管信息，具體為現(xiàn)工作單位/就讀學(xué)校、行業(yè)類型、居住國家/地區(qū)、民族、居民/非居民、出生日期、個人月收入、稅務(wù)信息等監(jiān)管數(shù)據(jù)項和反洗錢特色數(shù)據(jù)項。在審計方面，《規(guī)范》要求，應(yīng)對身份、賬戶、憑證的訪問和更改提供安全審計功能，審計記錄包括訪問的日期、時間、用戶標(biāo)識、數(shù)據(jù)等審計相關(guān)信息。

對隱私信息采取分級保護策略

《規(guī)范》提出，個人信息收集目的應(yīng)明確和合法，任何與目的不符合的方式不可采用。信息收集應(yīng)遵循最小化原則，個人信息收集應(yīng)僅限于一切與信息收集目的相關(guān)且必要的數(shù)據(jù)。

《規(guī)范》要求，應(yīng)將隱私信息按照敏感程度進行分級，并設(shè)置對應(yīng)的隱私保護策略。低隱私保護要求類別信息經(jīng)過組合、關(guān)聯(lián)和分析后可能產(chǎn)生高隱私保護要求類別信息，應(yīng)根據(jù)實際情況采用對應(yīng)的高隱私保護策略。隱私保護策略包括信息公開可驗證、信息加密可驗證以及信息由交易驗證節(jié)點驗證等。

應(yīng)支持監(jiān)管機構(gòu)訪問最底層數(shù)據(jù)，為監(jiān)管機構(gòu)提供交易干預(yù)的技術(shù)手段

《規(guī)范》指出，金融分布式賬本系統(tǒng)具有架構(gòu)去中心、數(shù)據(jù)多副本、交易點對點、記錄不可篡改的特點，與中心化系統(tǒng)有很大差異，不僅需要法律監(jiān)管規(guī)則，也需要技術(shù)監(jiān)管規(guī)則，以優(yōu)化系統(tǒng)設(shè)計、保證系統(tǒng)安全、提高監(jiān)管效率、降低合規(guī)成本。

在系統(tǒng)監(jiān)管上，《規(guī)范》要求，應(yīng)支持監(jiān)管機構(gòu)接入，以滿足信息審計和披露的要求；應(yīng)支持監(jiān)管部門的監(jiān)管活動，包括但不限于設(shè)置監(jiān)管規(guī)則，提取交易記錄，按需查詢、分析特定業(yè)務(wù)數(shù)據(jù)等；應(yīng)支持監(jiān)管機構(gòu)訪問最底層數(shù)據(jù)，實現(xiàn)穿透式監(jiān)管。

在信息管理上，應(yīng)支持還原匿名標(biāo)識中用戶的真實身份以及相關(guān)交易信息，配合交易審查，加強KYC（知道你的客戶）管理；在事件處理上，當(dāng)系統(tǒng)或交易出現(xiàn)問題時，應(yīng)能主動報警，采取糾正措施，并報送事件信息；在交易干預(yù)上，應(yīng)具備限制交易權(quán)限、凍結(jié)賬戶等功能，為監(jiān)管機構(gòu)提供交易干預(yù)的技術(shù)手段；在智能合約監(jiān)管上，應(yīng)能按需將監(jiān)管要求編碼寫入智能合約強制執(zhí)行，根據(jù)需要為監(jiān)管機構(gòu)提供交易行為統(tǒng)計數(shù)據(jù)，評價智能合約所提供服務(wù)的合規(guī)性。

全國金融標(biāo)準(zhǔn)化技術(shù)委員會官網(wǎng)的公告稱，《金融分布式賬本技術(shù)安全規(guī)范》由全國金融標(biāo)準(zhǔn)化技術(shù)委員會歸口管理，由中國人民銀行數(shù)字貨幣研究所提出并負責(zé)起草，中國人民銀行科技司、中國工商銀行（5.420， -0.02，-0.37%）、中國農(nóng)業(yè)銀行（3.440， -0.02， -0.58%）、中國銀行（3.570， -0.02，-0.56%）、中國建設(shè)銀行（6.640， -0.07， -1.04%）、國家開發(fā)銀行等單位共同參與起草?！兑?guī)范》經(jīng)過廣泛征求意見和論證，并通過了全國金融標(biāo)準(zhǔn)化技術(shù)委員會審查。