自2010年中国人民银行制定并发布《非金融机构支付服务管理办法》至今,围绕促进支付行业稳健发展、规范非银行支付机构支付服务行为、防范支付风险以保护消费者的合法权益等目标,监管部门不断提升监管质量和效率,在鼓励支付创新的同时加大力度维护支付安全,推动我国第三方支付行业整体交易规模持续增长。
在此背景下,为配合落实中国人民银行的决策部署,推动执行《金融科技(Fin Tech)发展规划(2019-2021年)》,本文结合“安全支付及其运行监管的关键技术”专题研究项目,以分布式账本技术(Distributed Ledger Technology,DLT)为着眼点,深入探讨了分布式跨平台安全支付监管的设计方案,以实现对跨平台支付数据安全情况的有效监测,对违规支付、异常支付、系统高风险情况的识别和管理,以及对恶意攻击的态势分析和追踪溯源。
目前,分布式账本技术已经在欧美等发达国家的金融领域实践开展了相关试验与应用,特别是在跨境支付领域,瑞波跨境支付系统(Ripple Labs)是这一领域最具代表性的应用之一,并已成功实现银行间的国际结算。在我国,分布式账本技术尚处于小规模模拟应用实验的起步阶段,在监管领域也处于可行性分析的研究阶段。
从2016年国务院发布《“十三五”国家信息化规划》将区块链纳入战略性前沿技术,鼓励开展基础性、前沿性创新研究,至2019年国家互联网信息办公室正式发布《区块链信息服务管理规定》,区块链信息服务监管的时代正式到来。
在此过程中,中国人民银行对DLT的基础研发和前沿布局高度重视,并成立数字货币研究所,从战略导向、前沿导向和安全导向等方面审慎推动DLT向金融服务转化。
一、“DLT+支付”监管科技的应用设想
1. 传统支付系统简介
近年来,随着非银行支付机构的交易场景和支付方式日渐向多样化、复杂化发展,传统监管手段中的标准和技术可能已无法很好地适应当前的支付环境,寻找更合理、高效的风险监控机制和手段以预防、发现资金违法犯罪活动,已成为当前提升监管效率、增强监管能力、更好防范系统性风险的紧迫诉求,而“监管科技”的提出也被认为是能够有效满足监管与合规性要求的一项新技术手段。
结合当前支付行业的科技应用情况来说,以大数据、云计算、人工智能、区块链等技术为代表的新兴科技为监管科技的发展提供了有力的技术支持,同时通过对不同系统层次和领域的新技术进行组合运用,也为充分满足各种业务场景的监管需求提供了可能。
当前,市场上非银行支付机构的支付模式主要有快捷支付、网关支付、虚拟账户支付、条码支付等,而基于生物识别的新兴支付模式也正在逐步推广使用,传统支付系统的基本功能和架构如图1所示。
图1 传统支付系统的基本功能与架构
2. “DLT+支付”的监管应用设计
经过近十年的演变,尽管当前的支付场景及相关技术均已逐渐趋于成熟,且在稳定、灵活、可扩展等方面的特性也日趋完善,但由于传统支付系统大多是基于封闭、集中式的安全防御理念设计,导致各自独立的支付系统往往存在对监管机构不透明的情况,甚至还可能引发行业系统性风险或使得非系统性风险不可控。
分布式账本技术基于其天然特征,为支付领域提供了一种分布式共享、可信任且难篡改的创新型信息存储和传递机制,以及一种本身自带强安全机制的开放式信息系统架构设计方案,并且具有其他信息系统无可比拟的高可靠性。
例如,使用分布式账本技术可从底层架构对传统支付系统进行根本性地融合与改造,并以其独特优势改变传统支付行业的商业模式和运作方式,从而提升行业运作效率,强化监管效能,实现现有第三方支付业态的再次升级与完善,“DLT+支付”的监管应用设计如图2所示。
图2 “DLT+支付”的监管应用设计
(1)支付系统准入风险防控
当前,客户或商户一般需经过签约才能在支付平台开通支付账户,而根据2016年开始实施的《非银行支付机构网络支付业务管理办法》,账户开通之前支付平台应对用户进行实名校验,以规避匿名、假名支付账户的开立。但是,目前大多数支付平台只能通过购买第三方渠道的查询服务方来满足监管要求,不仅合规成本高,且可能存在征信数据来源不可靠甚至违法违规等风险。
针对上述问题,使用分布式账本技术在支付平台与监管平台之间建立数据查询协议,以及在监管平台与公安系统、银行系统等可靠数据渠道间建立数据共享协议,将可实现对支付机构实名制管理的精准把控,在提升身份验证效率的同时降低验证成本,并且从根本上杜绝非法数据来源。
此外,分布式账本技术通过使用非对称的公私钥加密和一致性算法,还可建立起节点之间的匿名制信任体系,使支付平台用户可以在不了解对手身份及信用程度的前提下放心进行支付交易,从而降低甚至避免支付平台对用户身份敏感信息的存储需求,从源头上防范个人敏感信息被泄露和非法买卖等行为。
(2)建立统一的动态风险评估机制
根据《非银行支付机构网络支付业务管理办法》,支付机构应当综合客户类型、身份核实方式、交易行为特征、资信状况等因素,建立客户风险评级管理制度和机制,并动态调整客户风险评级及相关风险控制措施。
实际上,目前支付平台的客户风险评估模型大多使用自定义方式实现,尚无统一的规范和标准,特别是一些中小型平台的风险评估模型,还存在评估因素不足、评估方法不完善、动态调整不及时等问题。除此之外,部分支付平台只能从自身业务领域和客户方获得评估指标,而风险评估模型受限于数据来源少等因素,往往难以达到综合性评估的要求。
对此,为有效界定支付系统用户的风险等级,利用分布式账本技术的数据共享协议和授信机制,将可以扩大支付平台的评估指标来源,综合收集全维度的关键要素;同时,基于分布式账本技术的智能合约,以监管平台通过大数据样本校验形成的指标体系模型为基础,还可构建适用于不同支付平台的风险评估模型,并按时、按条件触发动态评估规则,从而实现支付行业内客户风险评级的统一评估,使其更具参考性。
(3)为交易风险监测系统提供数据支撑
《非银行支付机构网络支付业务管理办法》要求支付机构应建立交易风险监测系统,对疑似欺诈、套现、洗钱、非法融资、恐怖融资等大额或可疑交易,及时预警、响应并采取调查核实、延迟结算、终止服务等风险处置措施,以及对确有嫌疑的风险交易应上报监管机构。
但是,当前现状是风险交易上报数据质量基本取决于支付平台交易风险监测模型的有效性、准确性以及人工处理结果,而由此产生的信息不对称、信息获取不及时、风控数据质量不佳等问题,也成为监管机构对行业风险进行整体管控以及对高风险企业实施准确监管的瓶颈与痛点。
在此背景下,通过在支付平台的私有链或联盟链中加入监管节点,利用分布式账本的分布式共享优势及点对点网络结构,可以有效破解传统支付平台的数据孤岛难题,提升监管方与支付机构之间数据的流通性,助力监管机构全面及时地把控支付风险。
同时,利用分布式账本技术改造支付系统,将可从底层开始规范、优化数据结构,有利于监管平台高效、准确地获取关键数据。此外,利用分布式账本可追溯、不可篡改的技术特性,还可根据时间戳完整地展示真实的支付过程,实现支付主体全流程的资金记录与追溯,从而在综合性、多层次、多主体或创新型的交易场景中有效甄别支付业务和行为的实质,实现穿透式监管。
(4)重点开展智能合约检测与审计
除此之外,以上监管应用的实现离不开分布式账本的智能合约代码设计,如果这种自动化执行的脚本代码存在安全漏洞或者设计缺陷,那么将会对节点成员和整个账本数据造成不可挽回的经济损失,监管目标更是无从实现。
因此,在“DLT+支付”的系统设计与生产实施过程中,监管平台应提供针对智能合约的检测与审计服务,例如建立监管沙箱机制来对分布式账本及其智能合约进行测试、评估、分析及出具审计报告,从而及时发现安全漏洞,避免发生针对智能合约的攻击事件。
二、“DLT+支付”分布式监管模型的总体架构
当使用上述分布式账本技术对传统支付平台进行升级改造时,将可从行业层面设计实现全新的监管框架。具体来说,通过在支付机构的联盟链上部署监管节点,采用接口方式由监管节点采集数据上传至监管平台,再由监管平台利用大数据分析、云计算等监管科技手段对数据进行风险分析处理,即可实现跨支付平台的统一风险监管。
另外,对于监管平台从其他监管系统、金融系统收集的数据信息,也可以通过分布式账本的授信和权限管理功能,面向链上成员提供资信查询、实名校验、名单过滤等普惠金融服务,分布式监管模型的总体架构如图3所示。
图3 分布式监管模型的总体架构
三、分布式账本技术在支付安全监管应用中面临的问题
从技术角度来讲,尽管分布式账本有着得天独厚的优势,但其在应用层面也尚有一定的局限性需要面对。首先,分布式账本技术在具备高安全性的同时,必然带来高投入的成本要求,例如分布式账本需要耗费的计算资源多、存储空间需求大,对网络结构、终端设备等基础设施的要求高且改造工作量大等,且每个参与节点都需要配置专业的技术资源。
其次,分布式账本技术的信任和防篡改机制需依赖加密技术和一致性算法,攻击者可以通过破解密码算法安全性、窃取密钥,或使用DDOS攻击降低节点数量以控制51%以上节点等方式,对账本用户造成不可挽回的损失与影响。总之,分布式账本技术的实际应用仍处于起步阶段,还存在许多未知的安全风险,应用于金融领域的安全性和可靠性仍需要经受实践的进一步考验。
从监管层面来看,分布式账本技术在支付领域的应用也对监管机构提出了更高要求,尤其是作为一项变革性的新兴科技,目前不仅缺少支付相关的法规依据,也缺乏行业标准的指导。需要强调的是,科技创新作为监管助力手段,也应纳入法律监管的范围,只有技术手段与法律监管相互融合、相辅相成,才能真正适应新型支付业态对监管的特殊要求。
综上所述,分布式账本技术凭借其可信任、可溯源、不可抵赖、难篡改等特征属性,天然具有适用于支付风险监管的优势:一是能高效解决数据孤岛问题,促进多方数据融合,便于监管机构全面把握系统风险;
二是可优化数据结构,通过采用分布式共识算法对数据进行维护与更新,并引入监管机构作为监管节点参与数据共享,有助于监管机构随时、及时地获取关键数据;三是可追溯支付过程,并完整展现支付流程,进而解决支付形式掩盖业务实质的创新监管难题。
总而言之,在监管机构跨平台获取支付机构交易数据是有效监管的大前提下,使用分布式账本技术可以优化数据质量、强化数据合规、促进数据共享,从而为监管平台提供更加可靠的数据来源。在此基础上,通过将分布式账本技术与大数据、人工智能等监管科技手段进行优势互补,也有助于构建全新的监管风控体系,从而大幅提升监管机构的风控能力。
