多方共同维护、防抵赖防篡改 区块链金融顶层设计出台央行首次明确定义
区块链金融应用顶层设计终于来了!
继今年3月发布《金融分布式账本技术安全规范》之后,近日央行向各金融机构下发了金融行业标准《推动区块链技术规范应用的通知》(下称“通知”)及《区块链技术金融应用评估规则》(下称“规则”),要求各类金融机构定期开展外部安全评估、开展区块链技术应用的备案工作。
这是央行首次颁发区块链在金融领域应用的相关规范文件。从技术要素评估、性能评估、安全性评估等方面,提出了区块链在金融领域应用实施需要考虑的三大维度,并对产品设计、软件开发和系统运营给出了具体的技术指标、评估方法和标准。
目前,金融领域是区块链技术应用最为广泛、商业化最成熟的领域,此次文件的出台对整个行业的影响不言而喻。
7月22日,专注于隐私计算领域的区块链技术公司矩阵元首席技术官曲俊杰对21世纪经济报道记者表示:“很高兴在规则中看到了用户隐私保护的定义,建议拓展开来,不妨加入交易内容隐私保护内容。但是我本人对智能合约的图灵完备略有不同意见,金融系统有其独特性,对智能合约的某些功能做限制,或许会加强整个系统的安全性。”
规则中的实现难点
根据21世纪经济报道记者获得的文件显示,央行要求金融机构建立健全区块链技术应用风险防范机制,定期开展外部安全评估,推动区块链技术在金融领域的规范应用,开展区块链技术应用的备案工作。
同时要求,行业协会加强区块链技术金融应用行业自律管理,建立健全自律检查、信息共享等机制。该文件具体涉及各类银行、证券公司、基金公司、期货公司、私募、保险以及支付行业,包括涉及区块链技术的金融业务系统、科技产品。
曲俊杰对21世纪经济报道记者表示,规则中一些条款实现起来有难度,比如说在启动条件上,规则要求测试版本与上线版本完全一致。“在一些场合下技术上有实现难度,原因在于区块链的创始区块可能包含有金融相关的关键信息,以及链的关键信息。一是可能造成不必要的信息泄露,二是区块链的测试数据存在‘混入’生产环境的可能。”
其次,规则里提出了传统金融常见的数据归档概念,在区块链这样7×24小时不间断运转的体系中,会有时间差问题(edge case,race condition等),处理起来难度很大。
另外,针对新加入的节点,如何同步“归档”数据,没有看到一个明确定义。扩容是保障区块链“长寿”的另一个关键,文中有比较明确的要求,从技术角度指明了方向。
跨链交易对技术实现提出了更大的挑战,比如如何实现跨链身份的互通(穿透式数字身份),如何兼容不同的数据格式,如何保障原子化交易等。还有一个常见的挑战是不同体系的互联互通,IP地址的隐藏,防火墙策略的设置等。
央行首次定义“区块链”
在《区块链技术金融应用评估规则》中,央行给出了区块链的定义:一种有多方共同维护,使用密码学保证传输和访问安全,能够实现数据一致性、防篡改、防抵赖的技术。
这是央行第一次公开定义了什么是区块链, 关键词包括“多方共同维护”“防篡改和防抵赖”,这是区块链立身的根本。其次,数据一致性,即通过共识机制来保证数据的可靠保存与传输,则是区块链的核心功能。
值得注意的是,一些在区块链讨论中常常出现的概念,并没有在此次文件中出现,比如“去中心化”“通证”。
“之前其实央行官员在很多公开场合都提过边界问题,所以行业龙头企业都对外说的是,多中心化或者弱中心化的区块链治理。所以对银行和区块链行业的主要公司来说,这些规则都在预料范围内,影响不大。”一位区块链企业的负责人7月22日对21世纪经济报道记者表示。
另外一个影响就是,对于区块链性能有了比较规范的评价体系,“对于规范做链的公司后续技术指标有了官方依据。现在很多公司对外讲技术的时候,时常把技术包装得很夸张,像3D零知识证明、百万级TPS等,这种浮夸的时代也终结了。所以对一些主打魔改fabric、支持通证的小公司可能影响比较大,可能需要把技术资料大改一遍。”前述负责人表示。
央行将从技术要素评估、性能评估、安全性评估等三大维度对金融体系的区块链系统、应用进行规范,规范内容十分详尽。
在技术要素评估上,分为账本技术、共识协议、智能合约、节点通讯等10个方面,深入到项目实施的方方面面,既考虑了所选择技术手段的先进性和功能性,也兼顾了技术的安全性和可靠性。在性能方面,单独列出,在吞吐率、同步性等方面提出明确要求。
安全也是重点。《规则》中既涵盖了信息系统中的固有问题,如基础软硬件,隐私保护、运维等,也针对区块链的特点,在共识协议、智能合约、账本数据等方面提出了具体要求。