區塊鏈監管問題研究

魏書音

摘 要：區塊鏈可以在沒有中央權威機構的弱信任環境下，幫助用戶分布式地建立一套信任機制，保障用戶業務數據難以被非法篡改、公開透明、可溯源。同時，其帶來一系列安全風險，包括技術本身存在的安全風險、區塊鏈應用引發市場混亂、區塊鏈技術成為不法分子的犯罪工具。區塊鏈技術本身的特點使得其監管更為困難，包括違法犯罪行為難追蹤、需要國際協作、引發管轄權困境、責任認定困難等，我國亟需加強區塊鏈監管力度，建立健全監管機制，保障區塊鏈技術的健康發展和安全應用。

關鍵詞：區塊鏈技術；區塊鏈安全風險；區塊鏈監管

中圖分類號：DF92 文獻標識碼：A

1 引言

隨著區塊鏈技術的應用范圍和場景的擴大，其應用安全問題也逐漸凸顯，對現有監管機制也帶來了挑戰。一些不法分子打著“金融創新”“區塊鏈”的旗號，通過發行所謂“虛擬貨幣”“虛擬資產”“數字資產”等方式吸收資金，進行非法集資、詐騙。網絡攻擊等安全事件爆發率逐年增加。如2014年12月，世界上最大的比特幣交易所Mt.Gox被盜85萬比特幣，交易所被迫宣布破產；2015年1月，Bitstamp交易所盜幣案——1.9萬枚比特幣，當時價值510萬美元；2016年6月黑客通過ICO項目盜取360萬以太幣；2017年6月1日，韓國數字資產交易平臺Bithumb被黑客入侵，受損賬戶損失數十億韓元；2017年7月1日，BTC-e交易所盜幣案——6.6萬枚，價值9.9億美元。近期，區塊鏈平臺EOS被發現一系列高危漏洞。隨著安全風險的日益擴大，加強區塊鏈監管十分迫切。

2 區塊鏈技術

區塊鏈（Blockchain）是一個鏈式數據結構存儲的分布式賬本（Ledger），利用共識機制、加密算法等保障數據的安全性、一致性。本質上，區塊鏈是分布式存儲、共識機制、點對點通訊、加密算法等計算機技術在互聯網時代的創新應用模式。區塊鏈承載的延伸意義已經遠遠超出了加密數字貨幣這個范疇，區塊鏈可以在沒有中央權威機構的弱信任環境下，幫助用戶分布式地建立一套信任機制，保障用戶業務數據難以被非法篡改、公開透明、可溯源。區塊鏈源于加密數字貨幣比特幣，但其應用前景絕不限于數字貨幣，目前正在向物聯網、智能制造、供應鏈管理、數字資產鑒權等領域快速延伸。

3 區塊鏈監管的必要性

3.1 技術本身的安全風險

（1）程序和代碼的漏洞。2016年6月，國家互聯網應急中心發布了《開源軟件源代碼安全漏洞分析報告》，其中選取了25款具有代表性的區塊鏈軟件，涵蓋了 C、C++、Java、Python、PHP 等編程語言，總計發現高危漏洞746個，中危漏洞 3497個。近年來，因區塊鏈技術漏洞和挖幣病毒的大肆傳播，比特幣被盜或項目失敗事件不斷曝出，資金損失慘重。如2016 年6 月18日，黑客利用 THE DAO的程序漏洞，成功盜取了 360 萬枚以太幣，價值超過 5000 萬美元；8月，因多重簽名漏洞，香港比特幣交易所Bitfines價值7000萬美元的比特幣被盜。2017年初，支付與運輸創業公CoinDash的ICO因其用于籌款的ETH地址被黑客攻擊而項目終止；7月份，英國創業公司加密貨幣錢包提供商Parity在其錢包軟件1.5版本中發現了一個漏洞，導致至少150000ETH被盜；12月，朝鮮黑客攻擊了韓國加密貨幣交易所，價值76億韓元（約合699萬美元）的加密貨幣被盜。

（2）區塊鏈私鑰應用風險。密碼技術是區塊鏈的核心技術之一，保證了區塊鏈不可逆，不可偽造。用戶對區塊鏈中資產和數據的掌控通過私鑰進行的，私鑰是用戶生成且一般通過應用軟件保管，在無中心的區塊鏈體系下，沒有私鑰補發與管理機制，用戶如若存儲的設備出現感染病毒被攻擊等問題，而一旦私鑰丟失或存儲私鑰的應用軟件被黑客破解，失去了對自身數據或者資產的控制權，且因數據無法篡改，無法通過修改區塊鏈而追回數字資產。2017年12月，河南破獲全國首例比特幣盜竊案，嫌犯作案三起涉案兩千多萬元，其主要的犯罪方式就是破解了被害人的比特幣錢包。

（3）算力攻擊問題。區塊鏈依賴于分布式的共識機制建立相互信任。共識機制存在51%漏洞可控制整個區塊鏈。在以工作證明系統為基礎的區塊鏈中，如果單個礦商的散列功率占整個區塊鏈總散列功率的50%以上，那么51%的攻擊可能就會被啟動。區塊鏈節點通過掌握全網超過51%的計算能力就有能力成功篡改和偽造區塊鏈數據。我國的計算能力已占到全網整體計算能力的60%以上，理論上這些服務器可以通過合作實施51%攻擊。隨著數學、密碼學等發展，區塊鏈算法的安全性將受到嚴重威脅，尤其是量子計算對現有公鑰密碼會產生顛覆性的影響。若不盡快應對改進，將形成弱肉強食的叢林法則。此外，還存在隨機漏洞數威脅，比如2014年blockchain.info爆出的隨機數問題。

（4）區塊鏈系統面臨交易頻率過低的問題。共識機制是計算資源的基礎，因其過于復雜可導致區塊鏈本身的效率超載。同時，區塊鏈將產生區塊信息、交易數據、契約字節碼等大量數據，其中包含眾多過時和無用的數據。共識機制和區塊容量限制導致其交易頻率相比大型支付網絡還十分低下。以比特幣為例，每秒鐘處理的交易量不超過10筆，而支付寶在2017年“雙11”當天交易筆數為14.8億筆，峰值每秒完成25.6萬筆交易。

（5）隱私保護問題。共識機制通過數據的公開透明及共享實現，一個區塊的數據中所包含的所有交易的記錄以及賬戶身份信息都會發送全網所有節點進行驗證，交易信息在區塊鏈中是公開的，雖然用戶身份是匿名的，但是隨著大數據等技術的發展，通過對客戶行為和資產等數據的收集分析，可能實現重點目標的定位和識別，而一旦獲取全網數據，則會造成大規模的數據泄露。同時，區塊鏈的隱私保護措施并不是很健全，一旦竊取密鑰可導致機密信息泄露。

3.2 區塊鏈應用引發市場混亂

區塊鏈概念被惡意炒作和過度消費，衍生市場混亂。當前，區塊鏈持續受到廣泛關注，大量區塊鏈初創企業投入巨大人力財力開展相關研究，將區塊鏈技術應用到具體業務中。但是，區塊鏈不等于比特幣等加密數字貨幣，區塊鏈是加密數字貨幣的技術基礎，加密數字貨幣僅僅是區塊鏈技術眾多應用領域的一類典型應用而已。目前，區塊鏈概念被惡意炒作和過度消費，各種加密貨幣利用區塊鏈進行投機圈錢，整個市場泡沫化嚴重。如ICO項目魚龍混雜，許多項目僅憑一紙白皮書即獲得價值數千萬甚至上億元的投資，由于監管不到位難以確保項目真正落地實施，使得投資資金面臨巨大風險，嚴重擾亂交易市場。此外，ICO發行方可保留一定比例代幣，可利用其持幣優勢和信息優勢，操縱代幣價格，謀取巨額利益。

3.3 區塊鏈技術成為不法分子的犯罪工具

在炒作熱潮推動下，區塊鏈技術不斷被不法分子所利用，市場上出現了沒有實際價值的數字貨幣情況下，以區塊鏈為名進行傳銷等違法行為。利用區塊鏈技術產生的各類應用會借助區塊鏈匿名化和去中心化的特點來實施詐騙、勒索、非法集資等犯罪活動。還可利用區塊鏈技術躲避追查，如洗錢等傳統犯罪，也包括網絡攻擊、數據非法交易等互聯網犯罪，如2017年WannaCry勒索病毒事件，攻擊者就是通過比特幣進行交易而逃避追查的。

4 區塊鏈技術引發的監管困境

4.1 違法犯罪行為難追蹤

區塊鏈使用的IPFS協議是一個基于區塊鏈的點對點超媒體協議，這種 “去中心化”模式可以允許個人越過傳統第三方進行“點對點”直接快速交易，這帶來便利化的同時也帶來了監管難題，對現有監管體系構成嚴重挑戰。如數字貨幣交易隱藏深、追蹤難，政府無法按照現行稅制收取比特幣交易稅費。區塊鏈的匿名性使得匿名的用戶信息以及相關的匿名化服務混淆區塊交易鏈，最終導致相關交易數據信息的可追溯性受到限制，不法分子洗錢或恐怖活動將難以追蹤。

4.2 需要國際協作

去中心化并自成體系的技術結構決定了區塊鏈應用具有天然的國際性，隨著應用的逐步成熟，代幣交易中心等也將逐步去中心化，國家監管將失去抓手，只能依靠國際合作與執法援助。

4.3 引發管轄權困境

去中心化的組織跨越國家司法管轄范圍，直接將數據與相關應用部署在各區塊鏈，不再存儲在固定的服務器，發布主體和發布地點都無法確認，傳統的管轄權確認依據將失去作用，需要探索新的管轄權規則。

4.4 責任認定困難

區塊鏈產品不被任何單一的企業、 政府、 個人擁有或控制，如何確定和分配責任就成為一個難題，即使確認區塊鏈組織的創造者必須承擔所有可預見損害的連帶責任，但這個組織是無數匿名者創建的，當組織有違法犯罪行為時，往往難以確定誰是自治組織的創造者。

4.5 監管者的數據處理能力面臨挑戰

區塊鏈技術下形成的數據將大幅度增加，如果全網數據都需要監管者管控，監管者面臨的問題是一個中心化的機構如何處理去中心化的數據，可能面臨缺乏精確的入口來搜尋和使用這些數據的，監管者還要對信息的透明度進行規范，區分各類新型的開放范圍。但區塊鏈技術的匿名性特點又為監管者追蹤交易鏈條以及尋找相應的加密保護密匙帶來非常大困難。

5 我國對區塊鏈應用的監管現狀

5.1 限制在金融領域的應用

我國嚴格控制防范代幣發行融資，叫停比特幣和ICO代幣的集中交易，降低數字資產市場風險。2017年9月4日，中國人民銀行、中央網信辦等七機構聯合發布了《關于防范代幣發行融資風險的公告》，明確代幣發行融資本質上是一種未經批準非法公開融資的行為，要求任何組織和個人不得非法從事代幣發行融資活動，各金融機構和非銀行支付機構不得開展與代幣發行融資交易相關的業務。2017年9月，中國互聯網金融協會發布《關于防范比特幣等所謂“虛擬貨幣”風險的提示》，監管部門開始清退各個比特幣交易所。區塊鏈技術在電子加密貨幣方面的應用受到監管的嚴格限制。

5.2 打擊利用區塊鏈進行概念炒作的行為

區分區塊鏈技術和搭載在區塊鏈技術上的比特幣等數字貨幣、ICO、IMO。2018年1月16日，深交所發布公告稱將密切關注涉及區塊鏈概念的上市公司信息披露和二級市場交易情況，對17家公司采取了問詢、關注和要求停牌核查等監管措施，要求相關公司就涉及區塊鏈的投入、業務和盈利模式、具體進展情況、實現收入及其對公司業績的影響等進行核實澄清并充分提示風險，對于利用區塊鏈概念進行炒作和誤導投資者的違規行為，將及時采取紀律處分措施，同時提示，區塊鏈技術仍處于開發階段，尚難以形成穩定業務，概念炒作跡象比較明顯。

5.3 試行監管沙盒制度

所謂監管沙盒，指的是創建一個“安全空間”，在這個空間內，金融科技企業可以測試其創新的金融產品、服務、商業模式和營銷方式，同時不用在相關活動與現行規范沖突時立即受到監管規則的約束。監管沙盒的概念由英國政府于 2015年3月率先提出，隨后在英國、新加坡、日本等國推廣實驗。加拿大金融市場管理局（AMF）最近確定ICO項目屬于證券類，甚至接受這類 ICO 公司進入監管沙盒。有消息稱，Impak Coin 項目成為了AMF沙盒監管下的第一個項目，這也是首個合規的加拿大 ICO 項目。實際上，此類探索最近也在貴陽、贛州等地出現。2018年7月9日，贛州區塊鏈金融產業沙盒園暨地方新型金融監管沙盒在北京正式啟動；7月25日，在貴陽召開的“區塊鏈ICO行業生態體系建設研討會”發布了《區塊鏈 ICO 貴陽共識》，提出將建立標準沙盒計劃，及各領域子沙盒計劃，深入細節，形成切實可行的監管體制。

此外，2017年10月5日，國務院辦公廳就推進供應鏈創新與應用發布指導意見，其中提到了研究利用區塊鏈、人工智能等新興技術，建立基于供應鏈的信用評價機制。

以上監管措施只是局部性、暫時性、應急性的，對于區塊鏈的監管并沒有形成完整性系統化長遠性思路。一是定義和標準不清晰。目前對區塊鏈本身還未有清新準確的界定，區塊鏈技術標準化不足。二是目前監管措施非常有限，集中在金融領域，沒有針對區塊鏈技術本身風險及其引發的市場和社會秩序混亂的風險進行整體性設計，尚未做好應對準備。三是監管措施不夠成熟。一刀切的限制監管措施雖然對于控制風險十分有限，但是缺乏進一步的前瞻性考慮，監管沙盒的基礎是完備清晰的授權或許可的金融監管體系，需要多部門配合，我國目前還是分業監管體制，若按分業授權或許可，容易產生監管套利或監管混亂，也不符合ICO項目的多元創新特點和測試需要。四是區塊鏈法律地位及其對現有體制機制沖擊研究還不夠深入。去中心化的技術理念對于中心化的制度框架產生了諸多沖擊，區塊鏈技術應用的法律地位，以及關于各方權利義務的確定方式、行為的追蹤、責任分配等都還有未深入研究，與現有制度的融合和協調還未開啟。

6 區塊鏈監管建議

6.1 充分利用技術優勢現實技術監管

一是充分利用區塊鏈的難以篡改、共享賬本、分布式的特性，充分運用區塊鏈技術本身所固有的安全機制，將監管融入技術之中，在架構設計中嵌入監管規則和制度，生成嵌入式智能合約，接入監管手段，甚至讓監管機構參與技術設計，以技術監管技術，用技術手段化解匿名化和去中心化與中心化監管的沖突。二是在不同場景的區塊鏈技術應用中，必須對智能合約、時間戳、密鑰等核心編程的安全性、穩定性、可靠性，做專業分析和權威驗證，防范技術壟斷風險和技術性操作風險。三是針對區塊鏈的技術結構，研發新型專門的風險防控、態勢感知和應急響應等技術手段。

6.2 部門協作與分類治理雙管齊下

一方面，區塊鏈監管涉及各領域行業以及背后龐大的產業鏈，需要各個部門協作。區塊鏈平臺及平臺的提供者、使用者，及其互聯網服務提供商、 搜索引擎、 硬件廠商等相關互聯網服務提供者，這些主體都是區塊鏈安全責任主體，需要理清其權利義務及責任關系，建立完整的責任體系。另一方面，區塊鏈技術是底層技術，在各行各業都有相應的應用場景和模式，特別是與人工智能、數字認證等其他技術結合后， 會衍生出更為豐富的產品和應用。相關部門應注重對各類應用本身以及在本行業領域所可能引發的安全風險，制定相應的監管措施，創新監管模式，有針對地解決各領域出現的特性問題。

6.3 大力促進國際協作

一是加強國際監管合作。區塊鏈項目的運作完全可以實現去中心化，沒有明確司法管轄地，強化國際司法協助與合作對于及時追蹤和打擊非法犯罪行為十分重要，應針對區塊鏈應用建立多邊或雙邊司法協助機制，擴大司法協助國家的范圍，推動建立更廣泛國家參與的區塊鏈違法犯罪的特殊協助機制，實現數據的快速響應和有效提取。二是促進區塊鏈技術國際交流與合作，積極參加相關國際交流活動，構建全球區塊鏈政產學研的交流與對話平臺，推動有關國際標準制定，掌握國際標準話語權與規則制定權。三是積極引進國外區塊鏈技術的前沿技術開發人才，成立研發實驗室。

6.4 加強對相關法律制度的前瞻性研究

一是探索區塊鏈技術應用的法律制度體系。在區塊鏈的分布式記錄模式下，由于缺乏中心化的法律實體，傳統的法律規則很難適用于分布式賬本系統進行監管。建議深入探索區塊鏈技術對現有法律制度的沖擊，平衡和調和去中心化的技術與中心化監管之間的沖突，創新制度措施。二是加強對區塊鏈技術應用的合規審查，強化區塊鏈技術應用相關標準研制，組織開展區塊鏈技術和應用的監督機制和認證體系，使區塊鏈產業合規有序發展。

7 結束語

區塊鏈技術近年來受到各行業的廣泛關注，應用安全問題也逐漸凸顯，現有監管機制還不能有效應對其帶來的安全風險。我國亟需建立區塊鏈安全監管機制，對區塊鏈在各個行業中的應用進行法律上的規范，明確區塊鏈主體法律責任和義務，保障區塊鏈技術的健康發展和安全應用。

參考文獻

[1] 周瑞鈺.區塊鏈技術的法律監管探究[J].北京郵電大學學報（社會科學版）2017（3）：39-45.

[2] 趙田雨.區塊鏈技術的監管困境[J].經濟師，2017（3）：26-27.

[3] 尋朔，柯巖，魏行空.中國ICO監管研究報告[EB/OL]. http：//www.weiyangx.com/269491.html.