历时一年半,金融行业区块链标准来了!
近日,为落实《中国金融业信息技术“十三五”发展规划》和《金融科技(Fintech)发展规划(-年)》的要求,规范分布式账本技术在金融领域的应用,提升分布式账本技术的信息安全保障能力,中国人民银行编制并正式发布《金融分布式账本技术安全规范》(下称《规范》),年2月5日起正式实施。
分布式账本技术是密码算法、共识机制、点对点通讯协议、分布式存储等多种核心技术高度融合形成的一种分布式基础架构与计算范式。发布并实施此标准有助于金融机构按照合适的安全要求进行系统部署和维护,避免出现安全短板,为分布式账本技术大规模应用提供业务保障能力和信息安全风险约束能力,对产业应用形成良性的促进作用。
《规范》共有17章节,分别包括范围、规范性引用文件、术语和定义、缩略语、安全体系框架、基础硬件、基础软件、密码算法、节点通信、账本数据、共识协议、智能合约、身份管理、隐私保护、监管支撑、运维要求与治理机制,规定了金融分布式账本技术的安全体系,并适用于在金融领域从事分布式账本系统建设或服务运营的机构。
共识协议应满足可监管性等要求
在共识协议方面,《规范》要求,应根据业务特点选用适宜的共识协议,包括但不限于工作量证明、权益证明、授权股权证明、拜占庭容错等,应满足不同共识协议安全运行所必须的前提要求,且业务激励规则和技术运维安全上的机制。
具体来看,《规范》要求共识协议满足合法性、正确性、终局性、一致性、不可伪造性、可用性、健壮性、容错性、可监管性、低延迟、激励相容、可拓展性等。其中,可监管性要求单次共识过程和系统运行的整个共识历史都应可审计、可监管,该历史应不可被篡改。
身份管理应满足监管审计要求
在身份管理方面,《规范》提出,应实现有效的用户身份管理,主要功能包括身份注册、身份核实、账户管理、凭证生命周期管理、身份鉴别、节点标识管理、身份更新和撤销等,并应保障身份信息的安全性,并对身份进行监管审计。
所谓身份,是指涉及自然人及法人等实体的属性的集合。账户是身份的一个属性集合,分为系统用户账户和应用账户。在金融分布式账本系统中,一个身份可对应多个账户。每个账户应关联一个身份标识。《规范》要求,身份注册机构应接受监管部门的紧急干预和审计追踪。
在身份监管方面,《规范》要求,监管信息应至少包括金融监管信息,具体为现工作单位/就读学校、行业类型、居住国家/地区、民族、居民/非居民、出生日期、个人月收入、税务信息等监管数据项和反洗钱特色数据项。在审计方面,《规范》要求,应对身份、账户、凭证的访问和更改提供安全审计功能,审计记录包括访问的日期、时间、用户标识、数据等审计相关信息。
对隐私信息采取分级保护策略
《规范》提出,个人信息收集目的应明确和合法,任何与目的不符合的方式不可采用。信息收集应遵循最小化原则,个人信息收集应仅限于一切与信息收集目的相关且必要的数据。
《规范》要求,应将隐私信息按照敏感程度进行分级,并设置对应的隐私保护策略。低隐私保护要求类别信息经过组合、关联和分析后可能产生高隐私保护要求类别信息,应根据实际情况采用对应的高隐私保护策略。隐私保护策略包括信息公开可验证、信息加密可验证以及信息由交易验证节点验证等。
应支持监管机构访问最底层数据,为监管机构提供交易干预的技术手段
《规范》指出,金融分布式账本系统具有架构去中心、数据多副本、交易点对点、记录不可篡改的特点,与中心化系统有很大差异,不仅需要法律监管规则,也需要技术监管规则,以优化系统设计、保证系统安全、提高监管效率、降低合规成本。
在系统监管上,《规范》要求,应支持监管机构接入,以满足信息审计和披露的要求;应支持监管部门的监管活动,包括但不限于设置监管规则,提取交易记录,按需查询、分析特定业务数据等;应支持监管机构访问最底层数据,实现穿透式监管。
在信息管理上,应支持还原匿名标识中用户的真实身份以及相关交易信息,配合交易审查,加强KYC(知道你的客户)管理;在事件处理上,当系统或交易出现问题时,应能主动报警,采取纠正措施,并报送事件信息;在交易干预上,应具备限制交易权限、冻结账户等功能,为监管机构提供交易干预的技术手段;在智能合约监管上,应能按需将监管要求编码写入智能合约强制执行,根据需要为监管机构提供交易行为统计数据,评价智能合约所提供服务的合规性。
全国金融标准化技术委员会