中国人民银行数字货币研究所所长穆长春在第五届数字中国建设峰会数字人民币产业发展分论坛上表示,数字人民币对用户隐私的保护,在现行电子支付工具中是等级最高的。

在数字人民币的体系中,数字人民币已经从多个维度考虑了对用户的个人隐私保护。如数字人民币的“双层运营”体系,有利于保障非经依法授权不得查询、使用个人信息;数字人民币根据客户意愿仅收集必要个人信息等。

穆长春还指出,数字人民币将承担与法定货币或现金相同的反洗钱和反恐怖融资的义务,央行数字货币不应具有与现钞同等的匿名性,防止数字人民币沦为电信诈骗、网络赌博、洗钱、毒品贩卖甚至恐怖组织犯罪的工具。


(资料图片仅供参考)

“需要强调的是,在实物现钞依然发行的前提下,公众仍然可获得实物现钞所提供的完全匿名性,不会因数字人民币的发行而被剥夺。”穆长春表示,可控并不意味着控制和支配,而是防控风险和打击犯罪,这是维护公众利益和金融安全的客观需要。数字人民币的可控匿名将为公众提供体验更好、更加安全的支付服务起到积极作用。

从设计上已考虑个人隐私保护

大数据时代,消费者对个人隐私保护日益重视。以移动支付为代表的电子支付虽然比传统现金支付更便利,但是仍然有消费者选择现金交易,一个重要的原因是现金交易具备匿名性,对消费者的隐私形成天然保护。

“数字人民币的设计需要保护个人隐私。”穆长春表示,数字人民币主要定位于流通中的现金(M0),也就是说数字形态的现金,设计理应满足个人匿名交易的合理需求,保护消费者隐私。

他认为,数字人民币应符合日常小额现金支付的习惯,确保相关支付交易的保密性。数字人民币应明确匿名对象,确保消费者使用数字人民币进行交易时,其个人信息不被商户和其他未经法律授权的第三方获取。数字人民币还应加强个人信息的使用和保护,确保运营机构收集的客户基本信息、产生的交易和消费行为信息不会被泄露。

“双层运营”体系有利于保障个人信息安全

穆长春介绍,数字人民币的“双层运营”体系,有利于保障非经依法授权不得查询、使用个人信息。在“双层运营”体系中,运营机构收集服务与运营所必需的个人信息,钱包服务产生的个人信息由运营机构收集和存储。人民银行为满足跨机构交易和对账等需要,仅处理经过互联互通平台转接的跨机构交易信息。

同时,匿名数字人民币钱包之间用匿名化的技术处理,所有钱包之间有关个人信息的数据对交易对手和其他商业机构匿名。对于公众正常的交易和消费,上述主体均无法获取完整的交易信息和消费行为信息,以保护消费者的个人隐私。

“只有当触发涉嫌非法可疑交易等情况时,有关权力机关才可以依法向运营机构查询、使用用户个人信息。“穆长春表示,严格将知悉和使用范围控制在法律法规授权内,并采取安全保护措施。

穆长春指出,人民银行严格遵守《网络安全法》、《个人信息保护法》等法律法规,通过先进的技术手段以及严格的管理机制,确保个人信息安全。技术层面上,采用权限访问控制安全措施和多重身份认证等技术手段保护数据安全,防止数据遭到未经授权的访问、披露、使用、修改、损坏或丢失。

他认为,管理机制上,内部设置“防火墙”,通过专人管理、业务隔离、分级授权、岗位制衡、内部审计等制度安排,严格落实信息安全及隐私保护管理。数字人民币相关信息将加密封存,所有客户信息进行去标识化处理,非经合法授权,无论是人民银行内部人员还是外部的任何单位和个人,均不得随意查询、使用;未经授权查询或使用个人信息的,将依法追究法律责任。

数字人民币钱包与银行账户松耦合可以实现小额匿名

穆长春指出,数字人民币钱包与银行账户的松耦合,减轻了交易环节对金融中介的依赖,从技术上可以实现小额匿名。

“数字人民币钱包按照客户身份识别强度分为不同等级的钱包。数字人民币的四类钱包仅用手机号就可以开立。”穆长春指出,根据《网络安全法》、《个人信息保护法》等相关法律法规规定,电信运营商不得随意将手机号对应的客户信息披露给包括人民银行在内的第三方,因此,用手机号开立的四类钱包实际处在匿名状态。

同时,数字人民币钱包按照载体分为软钱包和硬钱包,在钱包矩阵下四类软钱包和其所属的硬钱包均为匿名钱包,能够满足公众线上和线下小额匿名交易的需求。而准账户模式的硬钱包发行时不与使用者身份相关联,能够充分发挥硬钱包在小额匿名支付领域的积极作用。

此外,数字人民币钱包按照权限归属分为母钱包和子钱包,用户可以在母钱包下开通子钱包用于电商平台支付,数字人民币对于所有用户信息进行去标识化处理,除开通子钱包时用于关联电商平台账号的用户手机号码外,不会向电商平台提供其他信息,如银行卡号、银行卡有效期等信息,有效保护公众个人隐私。

数字人民币根据客户意愿仅收集必要个人信息

穆长春指出,基于双层运营体系和钱包矩阵的设计,数字人民币遵循自主、透明、最小化原则,根据用户意愿,收集与处理目的直接相关的必要个人信息。

“数字人民币app仅收集处理必要个人信息,确保注册、登录、密码修改及找回等基本账户功能的实现。”穆长春介绍,运营机构向用户提供数字人民币钱包服务时,同样仅收集必要的身份信息和交易信息,确保数字人民币支付等基本业务功能的实现。此外,为确保用户财产安全,数字人民币仅收集风险控制所需信息,用以加强用户数字人民币钱包风险识别,防止被盗、恶意挂失、网络欺诈等风险。

值得注意的是,用户有权随时关闭相关权限,数字人民币app将立即停止有关个人信息的处理活动,充分保障用户自主管理相关权限。

“对于用户选择拒绝提供权限的,数字人民币app将严格执行。”穆长春介绍,数字人民币app没有采用让用户“一揽子”授权的方式获得相关权限,而是根据具体业务和场景,在合理必要的情况下,在向用户明确告知使用目的后,单独向用户申请有关权限,在取得用户同意后才会获得相应的权限。通过详细列明提供服务所需开启的权限及对应的业务场景,使用户全面了解其需要授权的权限情况。

“完全匿名”不切实际

数字人民币的钱包矩阵设计遵循“小额匿名、大额依法可溯”的原则。而保护隐私是否意味着需要完全匿名?

对此,穆长春表示,如果仅仅关注个人隐私保护,忽视数字时代下金融产品和服务便利化、规模化、跨地域所带来的风险,央行数字货币将会被违法犯罪所利用,产生严重后果。数字人民币应满足反洗钱、反恐怖融资国际标准及国内法律法规要求。

实际上,为维护金融安全和稳定,各国中央银行、国际组织在探索央行数字货币的匿名性时均将防范风险作为重要前提,对于无法满足反洗钱、反恐怖融资及反逃税等要求的设计将被一票否决。

穆长春进一步解释称,央行数字货币便携性更强,如果提供与现钞同样的匿名性,将极大地便利洗钱等不法交易行为。因此,央行数字货币不应具有与现钞同等的匿名性。

“数字人民币需要防范电信诈骗等风险。”穆长春直言,央行数字货币收集的用户信息少于传统银行账户和电子支付,较实物现金又更为便携,如果匿名程度过高,将为不法分子提供新的犯罪土壤,大量的非法交易将从电子支付流入央行数字货币,沦为电信诈骗、网络赌博、洗钱、毒品贩卖甚至恐怖组织犯罪的工具,也将无法满足FATF等国际组织的要求。

此外,穆长春还表示,为确保数字人民币可控匿名要求的有效落实,需要在顶层制度设计上作出多项安排,如建立信息隔离机制,明确数字钱包查询、冻结、扣划的法律条件,建立相应的处罚机制,完善数字人民币反洗钱、反恐怖融资等法规制度。此外,在数字人民币监管将强化监管科技应用实践方面,还将积极利用大数据、人工智能、云计算等技术丰富金融监管手段,提升跨行业、跨市场交叉性金融风险的甄别、防范和化解能力。

贝壳财经记者 姜樊

编辑 方静怡 校对 吴兴发

推荐内容