首页 > 文章中心 > 网络安全资产梳理方案

网络安全资产梳理方案

前言:想要写出一篇令人眼前一亮的文章吗?我们特意为您整理了5篇网络安全资产梳理方案范文,相信会为您的写作带来帮助,发现更多的写作思路和灵感。

网络安全资产梳理方案

网络安全资产梳理方案范文第1篇

本文梳理了分布式账户(Distributed Ledger Technology)和区块链(Blockchain)、数字货币(Digital Currency)、首次代币发行(Initial Coin Offering,ICO)等主要概念、分类与发展现状,分析比较了主要国家或地区的监管原则和监管方式,并结合我国实际情况提出了思考和建议。

二、主要概念与发展现状(一)分布式账户

目前,分布式账户尚无统一权威定义。英国金融行为监管局将分布式账户定义为一种技术模式方案,在网络中实现对参与者交易活动的同步记载(FCA,2017)。数据记载需满足以下条件:一是唯一性,交易与记录一一对应;二是记录连续不间断;三是记录格式标准统一;四是加密不可篡改。这些数据同步分发给网络中所有参与者进行存储、调取和比对。目前的主要应用领域为交易簿记、资产确权和身份验证等。与此相比,传统的“中心化”模式由单一的中央机构或系统,如央行支付系统、证券交易所等完成相关交易及其记载。需要指出的是,分布式账户并不是一项全新技术,而是随着共享数据库、加密技术、点对点传输网络等技术发展,进一步形成的多类技术组合方案(见图1)。

(二)区块链

区块链是分布式账户最主要也最具代表性的技术,具体为:网络中的所有参与者同步记录某一交易活动信息,并互相验证信息真实性,防范信息被篡改。在区块链模式下(见图 2),网络中的每一个参与者(即节点 Nodes)都拥有一个分布式账户,用以记录交易数据。当交易发生后,交易双方可以向网络提交信息,交易信息经加密后即不可篡改,并以命名为区块(Block)的数据包形式存在。每一个区块都要同时发送给网络中的其他参与者,与其分布式账户中的历史记录同步比对验证,只有网络中绝大多数(如需超过 51%)参与者均认可所载信息的真实性和有效性,这一区块才能存入网络中的各个分布式账户,并与已在账本中存档的区块相链接(Chain),形成区块链(李文红和蒋则沈,2017)。

图 1:“中心化”记账模式示意图

图 2:区块链等“去中心化”记账模式示意图

区块链最早应用于比特币等数字货币的生成、存储和交易,目前正探索向支付清算、会计、审计、证券交易、风险管理等领域扩展。业界普遍认为,支付行业可能会首先成为其应用的重点领域。例如,2015 年底,纳斯达克市场推出了基于区块链技术的交易平台,用以实现部分非流通股票的交易和结算。瑞银集团在伦敦成立了区块链研发实验室,探索区块链在支付结算等方面的运用。中国银联与 IBM 合作,在 2016 年尝试推出了基于区块链技术的跨行积分兑换系统。

国际上总体认为,分布式账户、区块链技术发展尚处于起步阶段,只在限定区域或机构内实施了小范围研发和应用,其效果还有待实践检验。主要原因为:

一是运行效率尚不及传统的“中心化”模式。由于信息同步记入网络中所有参与者的账户,需要进行大量重复运算。二是运行成本较高。需大量消耗硬件设备、网络和电力能源等,且随着网络扩展和参与者增加,成本还会同步增长。因此,目前仅适用于少数场景:一是缺乏所有成员共同信任的权威机构;二是无需实时或高效地记录交易和存取数据;三是获取的收益可以覆盖高额的设备投入和资源消耗成本。分布式账户、区块链技术能否突破这些制约因素,实现大规模推广并产生变革性影响,还有待观察。

同时,分布式账户、区块链技术也可能对金融稳定产生影响。例如,此项技术具有“多边互信”“去中心化”等特征,交易活动脱离中央清算机制,可能会增加交易各方之间的风险敞口,增大风险监测和管控难度;同时,也可能降低用户对银行等传统金融中介和交易所的依赖,影响现有金融机构的竞争力。一些科技企业在未受监管的情况下涉足金融业务,容易造成不公平竞争。在系统层面,还可能增加机构之间的关联性和金融体系的复杂性,强化羊群效应和市场共振,增强风险波动和顺周期性,影响金融稳定。

(三)比特币等数字货币

数字货币又称加密货币(Cryptocurrency)或虚拟货币(Virtual Currency)。按照发行主体划分,数字货币可分为法定数字货币和私人数字货币两类。法定数字货币是指由中央银行依法发行,具备无限法偿性,具有价值尺度、流通手段、支付手段和价值贮藏等功能的数字化形式货币。私人数字货币理论上不应称为“货币”,其本质是市场机构或个人自行设计发行,并约定应用规则的数字化符号,性质上类似于在一定范围内可流通的商品。

比特币为一种典型的私人数字货币,是区块链技术在全球的首个实际应用案例。比特币由参与者通过计算机,按照非常复杂的运算规则,以解出所设定数学算题的方式生成。比特币本质上是按照规定算法生成的具有唯一性的数字信息,记载于所有比特币参与者组成的全球开放网络中。在每个参与者的服务器上,均可按照区块链的约定规则,同步记录并更新比特币的生成、存储、交易信息。根据其算法,比特币预计在 2040 年左右达到 2100 万个的生成上限,从而形成所谓的“发行量恒定”。

比特币及其理论兴起的背景为,2008 年全球金融危机爆发后,主要发达国家先后实施非常规货币政策,出现流动性快速增加、货币贬值等问题,引发市场对中央银行货币发行机制的质疑。比特币提出的“发行量恒定”“去中心化”“全体参与者共同约定”等理念,在一定程度上契合了公众对改进货币发行机制的诉求,获得了一定的尝试和发展空间。

由于比特币仅为数字符号,缺乏内在价值和衡量标准,其价格主要由供需决定。近年来,随着后续投资者快速增长和入场资金大幅增加,以及多数持币者囤积居奇,比特币的供需失衡不断加剧,价格总体呈现大涨大落趋势,并出现较为明显的投机炒作现象。根据数字货币的主要服务提供商(CoinMarketCap)综合多个交易平台数据生成的价格,自 2009 年问世至今,比特币价格由 0 美元涨至2017 年底的 1.3 万美元,最高价位为 2017 年 12 月 19 日的 1.9 万美元,之后一路走跌。截至 2018 年 3 月底,比特币价格为 6883 美元,较最高点下跌逾六成。

此外,依托比特币概念,市场出现了 ICO 等融资活动。ICO 是企业或个人在网络上公布创业项目方案(白皮书),以自行定义的代币(Token)公开募集比特币或其他具有一定流通性的私人数字货币,进而换取资金支持创业项目的行为。由于缺乏监管约束、行业自律和透明度等原因,在部分地区出现了欺诈和伪造项目,形成规避监管的非法证券发行或非法集资渠道。

三、国际组织与相关国家/地区的监管方式(一)关于分布式账户、区块链技术

近年来,国际组织和各国监管机构普遍对分布式账户、区块链等新技术在金融业的应用与潜在风险予以密切关注,并加强跟踪研究。金融科技虽然发展较快,但尚未产生新的金融模式,仍未超越存款、贷款、支付、证券发行、投资咨询、资产管理等金融业务范畴。因此,各国监管机构普遍遵循“技术中立”原则,按照金融本质而不是技术形式实施监管。对属于金融领域的业务活动实施“穿透定性”,相应纳入现行金融监管体系。在新技术、新模式还未成熟稳定的情况下,尚未有监管机构另行建立监管制度安排。

在国际组织层面,2016 年 2 月,金融稳定理事会在纽约联储举行会议,专门讨论区块链的发展和潜在影响。参会者达成初步共识:应更积极地关注、监测区块链的发展应用情况,与业界保持充分沟通,但现阶段暂不需要制定专门的法规制度(FSB,2016)。2017 年 2 月,国际清算银行下设的支付与市场基础设施委员会研究认为,分布式账户可能会深刻改变资产持有形式、交易合约履行和风险管理等实践,但还处于发展过程中,现阶段尚未获取充分证据,表明在短期内可以得到广泛应用(CPMI,2017)。

在国家/地区层面,美国证监会认为,在证券活动中应用区块链,只是用“分布式账户”记账方式代替传统的中央记账方法,改变了交易形式,但并未改变交易本质,因此仍需严格遵守证券活动的法律法规并接受监管(SEC,2017)。英国金融行为监管局表示,将始终坚持“技术中立”原则,不按照技术类型或具体形式,而是针对金融活动及机构实施监管。就分布式账户而言,现阶段暂无必要改变现有监管体系和方式(FCA,2017)。瑞士金融市场监管局也表示,“技术中立”是金融监管的基本原则,也是现行法律法规的基础。任何违反监管规定的行为,无论基于何种技术,都要接受监管机构的调查和惩处(FINMA,2016)。

与此同时,各国监管机构也普遍加强了对新技术的关注研究。美国证监会于2017年成立由 75 名成员组成的分布式账户工作组开展应用研究和风险识别,同时加强内外协调沟通。瑞士政府建立了由财政部、司法部、金融市场监管局等组成的联合工作组,以加强对区块链和 ICO 活动的跟踪研究。新加坡金管局于 2016年 11 月启动了分布式账户技术试验项目,与银行业协会、商业银行、技术公司共同探索在跨行支付结算领域的应用,并与香港金管局签署合作备忘录,加强分布式账户应用于跨境贸易融资的双边合作。

(二)关于私人数字货币

1. 关于私人数字货币的性质认定

各国普遍表示,比特币等私人数字货币不是法定货币,并不断向投资者进行风险提示。各国央行和监管机构普遍表示,私人数字货币不具有普遍的可接受性和法偿性,本质上不是货币。同时,鉴于与美元等主权货币的兑换比率波动剧烈,其市场风险、流动性风险和信用风险可能会影响消费者权益、金融秩序和社会稳定。从消费者权益保护角度,中国、美国、欧洲、加拿大、俄罗斯、新加坡、香港地区等监管机构均了风险提示,提醒数字货币参与者关注投资风险、技术风险和法律风险,并防范黑客攻击、反洗钱、反恐怖融资、依法纳税等方面的潜在风险。例如,2018 年 1 月,日本大型数字货币交易所 Coincheck 遭网上黑客技术攻击,失窃约 5.2 亿个数字货币,市价约为 5.23 亿美元。

目前,各国对私人数字货币是否为金融工具意见不一,其性质需根据具体情形进行判定。如德国财政部认为数字货币是一种金融工具,欧洲银行业监管局和英国金融行为监管局则表示,数字货币本身不是银行存款或金融工具。美联储认为,数字货币缺乏内在价值,没有安全资产支持,也不是任何机构的负债,难以简单对其进行定性(美联储,2017)。与此同时,美国商品期货交易委员会认为,对于符合《商品交易法案》所定义“商品”特征的数字货币,应作为大宗商品进行监管(CFTC,2015);美国证监会认为,目前难以证明所有数字货币均不符合“证券”特征,对于符合“证券”特征的数字货币,应纳入证券发行框架进行监管(SEC,2017)。

2. 关于私人数字货币的监管方式

各国对比特币等私人数字货币的监管方式主要分为两类:一是对与私人数字货币相关的金融业务进行限制甚至禁止,二是将与私人数字货币相关的金融业务纳入现行监管框架。

(1)对与数字货币相关的金融业务实施严格限制或禁止。2013 年,我国明确禁止金融机构和第三方支付机构参与比特币交易活动。人民银行等部门于2013 年 12 月《关于防范比特币风险的通知》,要求“各金融机构和支付机构不得以比特币为产品或服务定价,不得买卖或作为中央对手买卖比特币,不得承保与比特币相关的保险业务或将比特币纳入保险责任范围,不得直接或间接为客户提供其他与比特币相关的服务”。相关服务包括:结算、法币兑换、托管、抵押、发行金融产品,将比特币为信托、基金的投资标的等(人民银行等,2013)。2017 年,我国对集中数字货币交易活动进行了整治。人民银行、银监会等部门于 2017 年 9 月《关于防范代币发行融资风险的公告》,禁止网络平台开展法定货币与代币、“虚拟货币”相互之间的兑换、定价、信息中介等业务(人民银行等,2017)。随后,要求各地政府综合采取电价、土地、税收和环保等措施,引导辖内从事比特币生产(俗称“挖矿”)的企业有序退出。部分地方政府要求电力系统停止对比特币生产活动供电,并取消其他相关优惠政策。2017 年底以来,一些境内人士转向境外(以日本、香港为主)网站平台进行交易。2018 年初,又进一步要求地方政府对于在当地注册的集中数字货币交易场所,包括采用“出海”形式继续为国内用户提供服务的网站平台,持续加强清理整顿。中国互联网金融协会也进一步强化风险提示,提醒投资者关注境内外政策风险,远离非法金融活动,并强调境外平台同样存在系统安全、市场操纵和洗钱等风险隐患(中国互联网金融协会,2018)。

在其他国家,如俄罗斯政府认为比特币的推广及匿名支付,会对本国法定货币产生替代效应,影响公众对法币的信心,故予以禁止。泰国央行禁止银行参与任何数字货币交易活动,包括自身投资或交易数字货币、设立交易平台、为交易提供信用卡等支付或融资工具、提供投资咨询等。韩国政府于 2017 年底组建跨部门数字货币对策小组防范数字货币过度投机行为。此后,禁止未成年人和非居民开设数字货币账户,禁止金融机构为数字货币购买、投资或相关抵押担保活动提供服务,要求数字货币交易平台于 2018 年 1 月 1 日起暂停开立新的账户。目前,韩国政府正在研究对数字货币交易实施实名身份认证,禁止匿名交易。欧洲银行业监管局和意大利监管机构也表示,不鼓励银行和其他金融机构持有数字货币或参与交易。

(2)将与比特币等私人数字货币相关的金融活动,按照业务属性纳入现行

监管框架。虽然各国对私人数字货币是否为金融工具意见不一,因而暂未将商户或个人单纯购买、持有、出售或开发私人数字货币的行为纳入金融监管,但对于与数字货币相关的金融活动,则普遍认为应至少根据其业务属性纳入相应的监管框架。需要纳入监管的业务活动主要有三类:一是以数字货币为基础资产的衍生品交易,如美国商品期货交易委员会和英国金融行为监管局等。二是为数字货币交易提供的支付服务。如法国审慎监管局表示,任何使用法定货币为比特币买卖提供资金划转服务的行为均属于支付业务,需持有支付服务机构牌照。瑞典认为比特币交易属于货币兑换业务,或涉及资金支付业务,提供交易服务的机构应按照法律规定接受监管。日本于 2017 年 4 月修订《支付服务法案》,明确将数字货币涉及的支付业务纳入监管范畴。三是私人数字货币交易平台。多数国家要求将其视同交易场所,按照法定程序申领牌照并接受持续监管。如日本金融监督厅于2017 年 9 月同意注册 11 家数字货币交易平台,并提出了信息披露、系统安全、资产隔离、内控检查等监管要求,还要求遵守反洗钱、打击犯罪活动、可疑资金报告等法律规定。对于难以定性的业务,监管机构通常要求从业机构事前主动进行合规评估,由监管机构分析定性后明确适用的监管框架,或纳入监管沙盒观察测试(如英国金融行为监管局)。

在美国,纽约州金融服务局于 2015 年《数字货币监管法案》,对“数字货币业务活动”进行了界定,即支付、兑换、托管、代客买卖数字货币以及控制、管理或发行数字货币。凡是在纽约州从事上述一项或多项业务,均需事先从纽约州金融服务局申领牌照,并遵守资本要求、资产托管、消费者保护、信息披露、反洗钱等相关规定。银行机构开展上述业务,也需事先获得批准并遵守相关规定。

(三)关于首次代币发行

目前,各国普遍认定 ICO 活动本质上为一种公开融资活动,多数国家将其界定为证券发行行为。与数字货币做法类似,各国也主要有两种监管方式。

一是对 ICO 活动予以禁止。在我国,人民银行等七部委于 2017 年 9 月联合《关于防范代币发行融资风险的公告》,将 ICO 定性为未经批准非法公开融资的行为,涉嫌非法发售代币票券、非法发行证券以及非法集资、金融诈骗、传销等违法犯罪活动,禁止各类代币发行融资活动。同时,禁止各金融机构和第三方支付机构开展与代币发行融资交易相关的业务(人民银行等,2017)。2017 年9 月,韩国金融监督院宣布将禁止所有形式的首次代币发行融资,无论其采取什么技术,使用什么名义。

二是纳入证券监管范畴。美国证监会明确表示:第一,ICO 本质是企业从投资者募集资金,并按预先约定分配收益。按照联邦法律,任何证券活动,无论使用何种技术和术语,其性质认定均取决于业务本质。“ICO 代币”符合证券的法定特征,须纳入《证券法》实施监管。第二,如果网络平台开展代币推介销售,必须按照《证券法》事先在证监会进行注册,否则属于违法行为(SEC,2017)。第三,证监会与商品期货交易委员会在 2018 年《关于对数字货币采取措施的联合声明》,明确表示,不论是以数字货币、代币还是其他名义开展的违法违规行为,都要进行穿透分析,判定其业务实质并依法采取监管措施。此外,两家监管机构还多次向投资者警示公告,提示市场操纵和欺诈风险(SEC 和CFTC,2018)。英国金融行为监管局也于 2017 年 9 月风险警示,指出 ICO代币价值波动性较大,大多数 ICO 公司设立在海外或不受监管,投资具有高风险和高投机性,提示消费者谨慎投资(FCA,2017)。香港证监会于 2017 年 9 月《有关首次代币发行的声明》,表示虽然一般 ICO 发行或销售的数码代币被视为“虚拟商品”,但若符合《证券及期货条例》的“证券”特征,则需接受香港证券法规监管。第一,若该代币代表对发行企业拥有的股权或所有权权利,则应视为“股份”;第二,若发行人可于指定日期向持有人偿还本金和利息,则应视为“债券”;第三,若 ICO 项目管理者集中管理募集资金并投资于不同项目,代币持有人有权分享相关投资回报,则应视为“集合资产管理计划”。上述活动及与之相关的交易、咨询、推介、投资管理行为均属于受监管的证券活动,无论经营主体是否在香港境内,只要以香港公众为服务对象,就必须事先获得相应牌照并受证监会监管(SFC,2017)。新加坡金管局于 2017 年 8 月声明:第一,任何数字代币如果涉及发行股权、债权凭证以及集合资产管理计划等《证券期货法》监管的行为,发行前必须向金管局注册并提交相关文件;第二,任何发行机构和交易服务机构必须依照《金融顾问法》规定,取得法定牌照;第三,任何提供数字代币二级市场交易服务的机构,均需向金管局申领交易所或市场运营商牌照;第四,严格遵守反洗钱、反恐融资等相关规定(MAS,2017)。2018 年 5 月24 日,新加坡金管局向境内 8 家数字货币交易平台发出正式警告,所有平台未经金管局批准,不得交易任何具有证券或期货合约属性的产品,正在开展的交易业务必须立即停止。同时,金管局还叫停了一起具有股权发行性质的 ICO 活动,责令发行方终止发行行为、回收代币并向投资者退还资金。

(四)关于法定数字货币

近年来,各国普遍加强了对法定数字货币的研究,部分国家开始探索数字法币发行、流通的技术研发和制度安排,但多数国家尚未提出实质性的具体发行计划。美联储表示,面向公众发行法定数字货币涉及法律、技术可靠性、网络安全、洗钱、个人隐私等诸多问题,需要严谨论证,避免对已经较为成熟的支付体系和金融稳定产生不利影响(美联储,2017)。欧央行提出,欧元区的法定数字货币尚处于研究论证阶段。数字法币设计必须充分考虑能否实现维护物价稳定目标,并基于技术安全性、中立性、使用效率和公众支付的自由选择权等四项基本原则,综合衡量必要性(ECB,2012,2015 和 2017)。

法定数字货币可分为两种发行模式:一是中央银行单层投放模式,又称为零售发行模式。即中央银行不通过商业银行,而是直接面向社会发行、管理、回收法定数字货币。单层投放模式在理论上有利于提升发行效率、降低流通成本,但同时也具有许多不确定性:第一,对货币政策框架和金融稳定形成挑战。法定数字货币在银行存款之外,为公众提供了新的无风险资产选择,对货币供应量 M0、M1、M2 和货币政策传导渠道均会产生影响。资金存放形式从银行存款转变为数字法币,也会影响商业银行体系的存款创造和贷款发放功能,进而影响金融稳定。第二,可能存在技术安全问题。法定数字货币由央行集中管理,有可能受到网络攻击,成为洗钱等犯罪活动载体,央行必须有能力长期确保数字货币的安全性。第三,匿名性问题。央行是否应集中保存公众隐私信息,仍存在争议。由于单层投放模式将从根本上改变现行货币发行体制,多数国家持谨慎态度。英格兰银行表示,当前还没有发行法定数字货币的具体计划。美联储认为,现阶段不宜采用单层投放模式,其当前的优先考虑也不是发行数字法币,而是以现有银行体系和支付系统为基础,充分利用新技术提高银行和支付系统的运行效率,并密切跟踪分布式账户、区块链等新技术的发展应用。

二是中央银行—商业银行双层投放模式,又称批发发行模式。双层投放模式是指沿用现行纸币流通模式,由中央银行向商业银行发行数字货币,再委托商业银行向公众提供法定数字货币存取等服务。在实施效果上,该模式仅是对 M0 的替代或补充,不会因央行信用优势而形成对 M1、M2 的替代挤出,有助于保持现行货币发行流通体系的连续性,也防止技术风险过度集中于央行。目前,各国普遍倾向于采用这一模式,已有部分国家启动了试验项目。如加拿大央行、新加坡金管局基于分布式账户技术,参照中央银行与商业银行之间的大额支付系统,在模拟环境下探索数字货币实时投放。人民银行于 2014 年成立法定数字货币研究小组,2017 年正式成立数字货币研究所,已经开始研发试验工作,并侧重于研究双层投放发行模式。

四、思考与建议(一)遵循“技术中立”原则,按照金融业务本质实施监管,维护市场公平竞争

技术创新有助于扩大金融服务渠道、提高经营效率,但代替不了金融的基本功能,也没有改变金融风险的隐蔽性、传染性和突发性。无论是科技企业还是金融机构,只要从事同类金融业务,都应在现行法律法规框架下,接受相应的市场准入和持续监管,遵循同等的业务规则和风险管理要求,以维护公平竞争,防止监管套利,避免“劣币驱逐良币”。

(二)及时“穿透定性”,防止冒用“技术”名义违法违规开展金融业务

按照全国金融工作会议关于强化金融监管、将所有金融业务纳入监管的要求,进一步梳理我国现存的金融科技/互联网金融业务,透过其名称、形式和渠道,分析业务实质、法律关系和风险特征,明确哪些业务需要持牌经营及其所适用的监管规则(李文红,2017)。目前,与分布式账户、区块链、数字货币相关的资金交易结算、衍生产品交易、运营交易场所等活动均为法定金融业务,须纳入相应的金融监管框架,在许可范围内合规审慎经营。

(三)加强对金融机构与科技企业合作的监管

在鼓励金融机构积极运用分布式账户、区块链、大数据、云计算、人工智能等新技术同时,应加强对其与科技企业合作的监管,要求其强化对信息科技风险、外包风险和其他操作风险的管控,尤其应确保在业务外包时仍要承担风险管控主体责任,对科技企业等外包服务机构建立尽职调查、风险评估和持续监测制度,不能因业务外包而降低风险管控标准。