區塊鏈的網絡安全法觀察*

孫占利

(廣東財經大學 法治與經濟發展研究所,廣東 廣州 510320)

中共中央政治局于2019年10月24日就區塊鏈技術發展現狀和趨勢進行第十八次集體學習。習近平總書記在主持學習時強調，區塊鏈技術的集成應用在新的技術革新和產業變革中起著重要作用，要把區塊鏈作為核心技術自主創新的重要突破口，明確主攻方向，加大投入力度，著力攻克一批關鍵核心技術，加快推動區塊鏈技術和產業創新發展。本文從區塊鏈的安全性分析推進網絡安全體系的結構式創新與發展，立足于我國對區塊鏈的網絡安全法制保障現狀，探討技術與法治耦合保障區塊鏈安全。

一、區塊鏈的安全性有助于推進網絡安全體系的結構式創新與發展

(一)區塊鏈的技術機理使得其具有更高的網絡安全性

美國區塊鏈科學研究所創始人Melanie Swan在其著作《區塊鏈：新經濟的藍圖》中將區塊鏈分為三個階段：以數字貨幣為代表的區塊鏈1.0；以智能合約為代表的區塊鏈2.0；超越貨幣、經濟、市場在司法、政府管理、公證等領域拓展應用的區塊鏈3.0。區塊鏈已經進入了2.0時代，并正在向3.0階段邁進[1]。

從認識論的角度來看，區塊鏈是現實世界與虛擬世界之間的鏈接橋梁，其意義在于重新構造一種信任機制，提升現實世界的有序度;從技術特征層面來看，區塊鏈具有數據不可篡改、智能合約、信息可追溯性、去中心化以及信任共識機制等特征[2]。區塊鏈具有較強的經濟價值、法律價值、管理價值和應用價值，但其在給國家發展帶來機遇、社會帶來便利的同時，也具有一定的風險[3]。

區塊鏈是由共識算法維護和儲存在多個節點上的數據庫，其基礎性的技術機制是去中心化的分布式賬本，各個節點的信息依靠密碼算法可以自動安全地傳遞、驗證及管理，具有分布式、防篡改、高透明、可溯源等特性，非經51%以上的數據節點或算力的同意就無法修改數據，這雖然使得區塊鏈被認為具有無法消錯的缺點，但卻產生了更高的安全性。區塊鏈的技術基礎雖然是開源的，數據對本區塊的所有人廣播和開放，但交易各方的個人信息可以被加密，也可以匿名進行信息傳遞(但可以被驗證)。而且，其智能合約能夠自動執行本需要人工才能完成任務的協議。例如，當事人的支付行為會自動觸發對方當事人履行相應的義務(如通過電子記錄自動轉移標的物的所有權或使用權)。進一步觀察，由于區塊鏈使用去中心化的分布式核算和存儲，任一節點的權利和義務都是均等的，系統中的數據塊由整個系統中所有具有維護功能的節點來共同維護，也即區塊鏈采用基于協商一致的規范和協議使整個系統中的所有節點能夠在去信任的環境下自動安全地交換數據，所有節點通過“全網記賬”自動剔除虛假信息或欺詐信息，不需要任何人為的干預。信任可以傳遞，也可以外溢，從而建立“不信之信”的信任機制，技術信用也就隨之取代了傳統的人工信用，進而在共識機制和技術信用的基礎上建立了一個安全可信的網絡環境。區塊鏈包括公有鏈、聯盟鏈和私有鏈，可適用于不同的應用場景，其安全程度大體上可按私有鏈、聯盟鏈、公有鏈來排序。

(二)區塊鏈的技術發展與區塊鏈安全風險的博弈

盡管在區塊鏈鏈上發起“51%攻擊”的成本很高(目前估計超過10億美元)，但是，一旦政府開始使用區塊鏈存儲有價值的檔案，發起這一攻擊的吸引力就會大增。而且，區塊鏈所存儲的任何數據的質量和準確性，不能由區塊鏈自己來保證。如果沒有一個中心化機構或可信部門負責檢查和驗證區塊鏈上記錄的數據，那么，這些數據的質量和準確性就沒有保障[4]。此外，區塊鏈的數據公開透明導致的隱私權等安全問題也引起了業界的高度關注。區塊鏈技術并未止步不前，而是在不斷發展以解決實踐中出現的安全問題。

中國信息通信研究院、可信區塊鏈推進計劃發布的《區塊鏈白皮書(2019年)》提出，當前，區塊鏈在賬本數據、密碼算法、網絡通信、智能合約、硬件等方面不斷研發和應用多種技術措施保障其安全。賬本數據方面，為滿足賬本數據的一致性和可用性等安全要求，業界普遍采用數據校驗、數據容災備份等技術方案，以保證各節點數據在上鏈過程中的一致性，及鏈上數據因系統故障導致丟失損毀后及時恢復。密碼算法方面，在簽名驗簽、鏈上數據授權訪問等業務流程中，國密加密逐漸成為區塊鏈應用的主流選擇。網絡通信方面，節點認證機制、賬本隔離技術、數據分片技術等網絡準入技術及網絡防護不斷完善，攻擊者利用網絡協議漏洞進行日蝕攻擊、路由攻擊及DDoS攻擊(分布式拒絕服務攻擊)的威脅程度在不斷降低。智能合約方面，隨著形式化驗證技術更加完善，代碼審計手段日益豐富，由合約漏洞導致的安全事件也有所降低。硬件方面，主流硬件供應商在近些年紛紛推出了以可信執行環境(TEE)為代表的硬件安全防護解決方案。此外，區塊鏈的隱私保護手段也日趨多元化，諸多公鏈、聯盟鏈項目在積極探索隱私保護方案。從保護對象來看，隱私保護手段可以分為三類：一是交易信息的隱私保護，對交易的發送者、交易接受者以及交易金額的隱私保護，有混幣、環簽名、機密交易(confidential transaction)和Mimblewimble方案等；二是智能合約的隱私保護，針對合約業務數據的保護方案，包含零知識證明、多方安全計算(MPC)、同態加密等；三是鏈上數據的隱私保護，主要有賬本隔離、私有數據和數據加密授權訪問等解決方案。目前，混幣、機密交易、零知識證明等方案多出現在公鏈項目，在供應鏈金融等對隱私保護有強烈需求的應用場景中，則在以往以數據加密、賬本隔離為主的實現方式的基礎上，逐步出現了基于零知識證明、安全多方計算等隱私保護技術的應用。

區塊鏈的技術發展與區塊鏈安全風險的博弈還將繼續下去，但區塊鏈的安全保障并不限于安全技術保障，也需要在“區塊鏈向善”的理念下，通過鏈上與鏈下的分割與融合治理，在區塊鏈內部自治規則(特別是通過激勵相容機制調動鏈上各方的積極性維護區塊鏈安全)和區塊鏈外部規則(區塊鏈的安全監管法律規范)的共同作用下，強化“以鏈治鏈”，全方位、系統性地保障區塊鏈安全。

(三)區塊鏈推進了安全與效率的平衡

區塊鏈的分布式存儲、信息透明、防篡改等特點，既能夠促進網絡安全，也給網絡安全帶來新的挑戰。首先，區塊鏈的防篡改性質可能被不法利用。由于區塊鏈上存儲著大量公共信息，很可能成為黑客攻擊的目標，黑客如果完成51%的節點攻擊，就可以修改區塊鏈記錄。凡是軟件或程序都存在漏洞，區塊鏈也不例外。區塊鏈漏洞會被人利用來篡改交互記錄，錯誤記錄一旦形成則難以更改。針對區塊鏈記錄被篡改的問題，可以由政府發起建立區塊鏈社區平臺，一方面，對于區塊鏈進行持續檢測，保證區塊鏈無漏洞運行；另一方面，組織強大的技術力量對抗黑客的進攻。其次，區塊鏈的開源性質容易導致隱私泄露。有些交互信息不具備隱私性和敏感性，可以共享，有些則反之。然而，用戶只要在區塊鏈平臺上注冊，就可以查看和下載所有的存儲信息。目前防止隱私泄露的方法主要是用戶假名和加密，但是通過大數據挖掘，依然可以找到信息和用戶之間的相關性，可利用信息分離機制，對于那些敏感性和隱私性信息，在區塊鏈上不放入其原始信息，而是放入信息的證據，這既可以確保區塊鏈節點信息的真實性，也可以保留基礎數據的隱私[5]。最后，區塊鏈在應對網絡攻擊問題上擁有一種特殊的技術機制，即如果攻擊成功，只會造成系統的價值歸零，攻擊者無法得到有價值的回報。因此，區塊鏈的該獨特功能也可以在一定程度上防范攻擊和保障網絡安全。然而，例外的情形也是存在的，特別是在代碼存在漏洞的情況下。例如，The DAO在2016年遭到攻擊，價值近6 000萬美元的以太幣被轉移而非僅僅只是破壞。

安全與效率是法治社會的價值要求。然而，安全與效率二者之間存在矛盾，即在追求安全性時就會損害效率，反之亦然。市場經濟立法一直致力于從平衡的角度來協調二者的關系，但只是一種理想狀態，且不斷受到共享經濟、分享經濟等新業態、新模式的挑戰。區塊鏈對此問題提供了新的解決路徑，即從交易機制上提供了解決安全與效率之間的矛盾的新方式。區塊鏈不僅使得交易變得公開透明，有效解決了信息不對稱問題，而且在區塊鏈交易中，合約或協議可以以智能合約的形式嵌入區塊鏈中，由區塊鏈技術確保合約在履行中不得篡改和自動、實時完成支付及交付等合同履行行為。從組織行為學的角度看，區塊鏈可以被看成是一種新型的組織行為模式，使得去組織化的分布式協同生產成為可能，采用工作量證明等激勵機制促進生產要素的最佳配置，從而提高交易安全和交易效率，彰顯其價值增值。如果說互聯網的功能主要是信息傳遞和信息交互，那么，區塊鏈的應用則促成價值傳遞，這也是區塊鏈被稱為價值互聯網的原因所在。總體而言，區塊鏈的技術機理使得其本身的安全性要高于互聯網，但在看到區塊鏈的安全性有助于推進網絡安全體系的結構式創新與發展的同時，也應看到如何通過技術與法治耦合保障區塊鏈安全已成為亟待解決的問題。

二、我國的網絡安全法制為區塊鏈安全提供了基本法律保障

(一)我國關于網絡安全的一般立法適用于區塊鏈

按照《中華人民共和國網絡安全法》(以下簡稱《網絡安全法》)的規定，網絡是指由計算機或者其他信息終端及相關設備組成的按照一定的規則和程序對信息進行收集、存儲、傳輸、交換、處理的系統。網絡安全是指通過采取必要措施，防范對網絡的攻擊、侵入、干擾、破壞和非法使用以及意外事故，使網絡處于穩定可靠運行的狀態，以及保障網絡數據的完整性、保密性、可用性的能力。因此，《網絡安全法》及其他網絡安全立法是適用于區塊鏈及其行業應用的，而《網絡安全法》則是網絡安全領域的“根本大法”。《網絡安全法》對網絡安全支持與促進、網絡運行安全、網絡信息安全、監測預警與應急處置等做了規定，確立了網絡安全的基本法律遵循。《網絡安全法》規定的法律責任包括民事責任、行政責任及刑事責任，因此，其他相關法律也協同作用于網絡安全的法律保障。

在相關的立法中，《中華人民共和國密碼法》(以下簡稱《密碼法》)與區塊鏈的聯系度非常高，其聯接點就是“密碼”。《密碼法》第2條規定：“本法所稱密碼，是指采用特定變換的方法對信息等進行加密保護、安全認證的技術、產品和服務。”該法將密碼分為核心密碼、普通密碼和商用密碼并據此分別建立密碼的應用及管理制度，將密碼科研、生產、銷售、服務、進出口、檢測、裝備、使用和銷毀等活動都納入了法治軌道，以實現規范密碼應用和管理、促進密碼事業發展、保障網絡與信息安全、維護國家安全和社會公共利益及保護公民、法人和其他組織的合法權益的立法目的。由于加密技術是區塊鏈的關鍵技術，《密碼法》將直接作用于區塊鏈領域，對于區塊鏈技術的研發應用和規范發展具有重大意義。

需要說明的是，區塊鏈并不等同于比特幣，雖然區塊鏈是基于比特幣技術演進而來，但區塊鏈行業有“幣圈”和“鏈圈”之分。此種區別雖不嚴謹，但較能反映此前區塊鏈應用的實踐狀況。2017年9月2日,互聯網金融風險專項整治工作領導小組辦公室向各省市金融辦(局)發布《關于對代幣發行融資開展清理整頓工作的通知》(整治辦函〔2017〕99號)，明確ICO(initial coin offering)本質上屬于未經批準的非法公開融資，涉嫌非法集資、非法發行證券、非法發售代幣募集，以及涉及金融詐騙、傳銷等違法犯罪活動，嚴重擾亂了經濟金融秩序。2017年9月4日，央行等七部委發布《關于防范代幣發行融資風險公告》，主要內容為：任何組織和個人不得非法從事代幣發行融資活動，加強代幣融資交易平臺的管理，各金融機構和非銀行支付機構不得開展與代幣發行融資交易相關的業務，社會公眾應當高度警惕代幣發行融資與交易的風險隱患。雖然數字貨幣是區塊鏈1.0的代表，但并不能代表區塊鏈，且數字貨幣并不必然要借助于區塊鏈，其基礎都是加密算法。因此，雖然與基于區塊鏈的數字貨幣緊密相關，但該公告并不能被認為是關于區塊鏈的專門性規范文件。新近的信息是央行在多年研究的基礎上采用“一幣兩庫三中心”架構和央行、商業銀行雙層運營體系發行數字人民幣(人民幣的數字化形式，不同于比特幣等加密貨幣)。

(二)區塊鏈的專門立法為區塊鏈信息服務確立了行為規范和制度保障

2019年1月10日，國家互聯網信息辦公室發布了《區塊鏈信息服務管理規定》(自2019年2月15日起施行)。《區塊鏈信息服務管理規定》旨在明確區塊鏈信息服務提供者的信息安全管理責任，規范和促進區塊鏈技術及相關服務健康發展，規避區塊鏈信息服務安全風險，為區塊鏈信息服務的提供、使用、管理等提供有效的法律依據，其主要內容如下。

1.管理機構

國家互聯網信息辦公室依據職責負責全國區塊鏈信息服務的監督管理執法工作。省、自治區、直轄市互聯網信息辦公室依據職責負責本行政區域內區塊鏈信息服務的監督管理執法工作(1)《區塊鏈信息服務管理規定》第3條規定：“國家互聯網信息辦公室依據職責負責全國區塊鏈信息服務的監督管理執法工作。省、自治區、直轄市互聯網信息辦公室依據職責負責本行政區域內區塊鏈信息服務的監督管理執法工作。”。

2.區塊鏈信息服務提供者的義務

區塊鏈信息服務提供者的義務主要是：落實信息內容安全管理責任，建立健全用戶注冊、信息審核、應急處置、安全防護等管理制度(2)《區塊鏈信息服務管理規定》第5條規定：“區塊鏈信息服務提供者應當落實信息內容安全管理責任，建立健全用戶注冊、信息審核、應急處置、安全防護等管理制度。”；區塊鏈信息服務提供者應當具備與其服務相適應的技術條件，對于法律、行政法規禁止的信息內容，應當具備對其發布、記錄、存儲、傳播的即時和應急處置能力，技術方案應當符合國家相關標準規范(3)《區塊鏈信息服務管理規定》第6條規定：“區塊鏈信息服務提供者應當具備與其服務相適應的技術條件，對于法律、行政法規禁止的信息內容，應當具備對其發布、記錄、存儲、傳播的即時和應急處置能力，技術方案應當符合國家相關標準規范。”；區塊鏈信息服務提供者應當制定并公開管理規則和平臺公約，與區塊鏈信息服務使用者簽訂服務協議，明確雙方權利義務，要求其承諾遵守法律規定和平臺公約(4)《區塊鏈信息服務管理規定》第7條規定：“區塊鏈信息服務提供者應當制定并公開管理規則和平臺公約，與區塊鏈信息服務使用者簽訂服務協議，明確雙方權利義務，要求其承諾遵守法律規定和平臺公約。”；區塊鏈信息服務提供者應當按照《網絡安全法》的規定，對區塊鏈信息服務使用者進行基于組織機構代碼、身份證件號碼或者移動電話號碼等方式的真實身份信息認證(5)《區塊鏈信息服務管理規定》第8條規定：“區塊鏈信息服務提供者應當按照《中華人民共和國網絡安全法》的規定，對區塊鏈信息服務使用者進行基于組織機構代碼、身份證件號碼或者移動電話號碼等方式的真實身份信息認證。”；區塊鏈信息服務提供者開發上線新產品、新應用、新功能的，應當按照有關規定報國家和省、自治區、直轄市互聯網信息辦公室進行安全評估(6)《區塊鏈信息服務管理規定》第9條規定：“區塊鏈信息服務提供者開發上線新產品、新應用、新功能的，應當按照有關規定報國家和省、自治區、直轄市互聯網信息辦公室進行安全評估。”；區塊鏈信息服務提供者和使用者不得利用區塊鏈信息服務從事危害國家安全、擾亂社會秩序、侵犯他人合法權益等法律、行政法規禁止的活動，不得利用區塊鏈信息服務制作、復制、發布、傳播法律、行政法規禁止的信息內容(7)《區塊鏈信息服務管理規定》第10條規定：“區塊鏈信息服務提供者和使用者不得利用區塊鏈信息服務從事危害國家安全、擾亂社會秩序、侵犯他人合法權益等法律、行政法規禁止的活動，不得利用區塊鏈信息服務制作、復制、發布、傳播法律、行政法規禁止的信息內容。”。

3.信息安全問題的處理

相關規定主要是：區塊鏈信息服務提供者應當配合網信部門依法實施的監督檢查，并提供必要的技術支持和協助；區塊鏈信息服務提供者應當接受社會監督，設置便捷的投訴舉報入口，及時處理公眾投訴舉報(8)《區塊鏈信息服務管理規定》第18條規定：“區塊鏈信息服務提供者應當配合網信部門依法實施的監督檢查，并提供必要的技術支持和協助。區塊鏈信息服務提供者應當接受社會監督，設置便捷的投訴舉報入口，及時處理公眾投訴舉報。”；區塊鏈信息服務提供者提供的區塊鏈信息服務存在信息安全隱患的，應當進行整改，符合法律、行政法規等相關規定和國家相關標準規范后方可繼續提供信息服務(9)《區塊鏈信息服務管理規定》第15條規定：“區塊鏈信息服務提供者提供的區塊鏈信息服務存在信息安全隱患的，應當進行整改，符合法律、行政法規等相關規定和國家相關標準規范后方可繼續提供信息服務。”；區塊鏈信息服務提供者應當對違反法律、行政法規規定和服務協議的區塊鏈信息服務使用者，依法依約采取警示、限制功能、關閉賬號等處置措施，對違法信息內容及時采取相應的處理措施，防止信息擴散，保存有關記錄，并向有關主管部門報告(10)《區塊鏈信息服務管理規定》第16條規定：“區塊鏈信息服務提供者應當對違反法律、行政法規規定和服務協議的區塊鏈信息服務使用者，依法依約采取警示、限制功能、關閉賬號等處置措施，對違法信息內容及時采取相應的處理措施，防止信息擴散，保存有關記錄，并向有關主管部門報告。”；區塊鏈信息服務提供者應當記錄區塊鏈信息服務使用者發布內容和日志等信息，記錄備份應當保存不少于六個月，并在相關執法部門依法查詢時予以提供(11)《區塊鏈信息服務管理規定》第17條規定：“區塊鏈信息服務提供者應當記錄區塊鏈信息服務使用者發布內容和日志等信息，記錄備份應當保存不少于六個月，并在相關執法部門依法查詢時予以提供。”。

總體而言，除了規范性文件和地方性法規中的部分條款涉及到區塊鏈，目前關于區塊鏈的專門立法僅有《區塊鏈信息服務管理規定》。《區塊鏈信息服務管理規定》就區塊鏈的特殊性對其信息服務管理和法律責任等主要問題做了規定，使得相關的監管執法活動有法可依。然而，該規定的內容也僅限于信息服務管理，與區塊鏈安全相關的法律保障內容也就限于信息安全，這是該規定的立法目的和立法范圍所決定的。2017年7月，國家互聯網信息辦公室會同相關部門起草了《關鍵信息基礎設施安全保護條例(征求意見稿)》，該條例已經列入國務院2020年立法工作計劃，其中也包括區塊鏈的安全保護。一些地方也已經頒布了促進和保障區塊鏈發展的政策和規范性文件。例如，2020年5月，廣州市工業和信息化局印發《廣州市推動區塊鏈產業創新發展的實施意見(2020-2022年)》，2020年5月，貴州省人民政府印發《區塊鏈技術應用和產業發展的意見》。可以預見，關于區塊鏈技術和產業創新發展的政策與立法將會駛入“快車道”。

三、進一步推進區塊鏈安全的法律保障

(一)從國家戰略高度重視區塊鏈安全的法律保障

2016年10月，《國務院關于印發“十三五”國家信息化規劃的通知》中首次將區塊鏈列為重點前沿技術，明確提出需加強區塊鏈等新技術的創新、試驗和應用，以實現搶占新一代信息技術主導權。2017年1月，工業和信息化部發布的《軟件和信息技術服務業發展規劃(2016-2020年)》提出區塊鏈等領域創新達到國際先進水平等要求。2017年10月，國務院發布的《關于積極推進供應鏈創新與應用的指導意見》提出要研究利用區塊鏈、人工智能等新興技術，建立基于供應鏈的信用評價機制。

我國已經將區塊鏈列為國家戰略的重要組成部分，各級政府高度關注區塊鏈的研發和應用。十九屆四中全會以來，區塊鏈更是引起了各級政府和社會各界的高度關注，一些省市自治區也紛紛推出了促進區塊鏈技術和產業創新發展的政策，推進區塊鏈技術和產業創新發展也已經成為社會共識。工業和信息化部總經濟師王新哲在“2019可信區塊鏈峰會”上表示，工業和信息化部將加快推進區塊鏈技術產業創新發展，大力推動區塊鏈和經濟社會深度融合，充分發揮區塊鏈技術在帶動技術突破、驅動經濟發展、促進民生改善、推動社會進步等方面的戰略性作用。據王新哲介紹，未來工業和信息化部重點抓好五方面工作：一是跟蹤分析前沿動態，加快完善頂層設計；二是加強核心技術研發，持續提高創新能力；三是加快應用落地步伐，推動區塊鏈與實體經濟融合；四是建立健全標準體系，構建完善產業生態；五是著力強化安全保障，引導產業健康發展[6]。

區塊鏈被認為是重塑世界的新技術，法律視野下的區塊鏈的特點是主體匿名性、交易智能化、管理去中心化、鏈上規則自治化、數據不可變性、信息透明性和對稱性及救濟(或獎懲)自動化。但這只是從技術層面的分析，從組織行為學的角度觀察，區塊鏈的去中心化和共識機制為自組織與自協調機制提供了新的技術化模式。因此，區塊鏈不應被簡單地從技術層面視為新型的勞動工具和進而推動生產力的發展，區塊鏈的深入應用將對社會組織結構乃至生產關系產生深刻變革。“區塊鏈解決信任的問題，它試圖構建一個低摩擦系數的世界，屬于生產力范疇；而通證是重構利益分配，屬于生產關系的范疇。”[7]從網絡安全法的角度看，應當客觀、科學地評價區塊鏈的網絡安全價值，積極拓展區塊鏈的網絡安全功能，充分利用區塊鏈的技術特點推進網絡安全和網絡安全法治的現代化。同時，也應當重視區塊鏈安全的立法、執法監管及司法，規范和保障區塊鏈的安全和創新發展。

(二)從“零信任安全”的理念構建區塊鏈的安全架構和法治保障體系

“零信任安全”理念是當前網絡安全業廣為推崇的新型安全理念，甚至被認為是抵御不斷變化的網絡安全威脅的最好方法。“零信任”一詞是由Forrester Research的分析師約翰·金德維格(John Kindervag)在2010年提出的，其核心思想是“從來不信任，始終在校驗”，將“信任但需要驗證”方法轉化為“驗證而不信任”。Evan Gilman等所著《零信任網絡：在不可信網絡中構建安全系統》是首部介紹零信任網絡的專業技術著作，提出傳統的安全模型有以下缺點：缺乏網絡內部的流量檢查，主機部署缺乏物理及邏輯上的靈活性，存在單點故障，數據中心內部的系統和網絡流量是可信的假定是不正確的，網絡邊界的安全保護一旦被突破，即使只有一臺計算機被攻陷，攻擊者也能夠在“安全的”數據中心內部自由移動[8]。

奇安信身份安全實驗室進一步提出，零信任的核心能力包括以身份為基石、業務安全訪問、持續信任評估和動態訪問控制四個方面的核心能力。(1)以身份為基石。需要為網絡中的人和設備賦予數字身份，身份化的人和設備運行時組合構建訪問主體，并為訪問主體設定其所需的最小權限。(2)業務安全訪問。零信任架構關注業務保護面的構建，要求所有業務默認隱藏，根據授權結果進行最小限度的開放，所有的業務訪問請求都應該進行全流量加密和強制授權。(3)持續信任評估。通過信任評估引擎，實現基于身份的信任評估能力，同時需要對訪問的上下文環境進行風險判定，對訪問請求進行異常行為識別并對信任評估結果進行調整。(4)動態訪問控制。動態訪問控制是零信任架構的安全閉環能力的重要體現。設置靈活的訪問控制基線，基于信任等級實現分級的業務訪問，當訪問上下文和環境存在風險時，需要對訪問權限進行實時干預并評估是否對訪問主體的信任進行降級[9]。

2017年，Google宣布成功完成基于零信任理念構建的新一代網絡安全架構——BeyondCorp項目。2019年7月，美國國防創新委員會公布的《通往零信任(安全)之路》白皮書認為，隨著越來越多的用戶和終端接入網絡，網絡攻擊面增加，現有網絡安全設備正面臨嚴峻考驗，政府和商業部門正在重新評估目前基于“邊界”的網絡安全架構，并考慮采用零信任新架構以提高網絡安全性。白皮書建議國防部以零信任安全的理念作為未來網信安全的政策基礎，即建設零信任架構。零信任架構是另一個安全概念，其中心思想是不應自動信任內部或外部的任何人/事/物，應在授權前對任何試圖接入系統的人/事/物進行驗證[10]。

在當前基于邊界的企業安全防護體系正在消弭的背景下，零信任安全已成為下一代主流安全技術路線。騰訊公司近年來一直致力于零信任安全技術、標準及其應用，繼2019年7月《零信任安全技術-參考框架》在中國通信標準化協會成功立項后，在2019年9月召開的ITU-T SG17安全研究組全體會議上，由騰訊公司聯合國家互聯網應急響應中心、中國移動通信集團設計院、賽門鐵克公司提出的《服務訪問過程持續保護參考框架》國際標準獲得立項，該框架是零信任安全技術參考框架的核心組成部分，重在識別企業用戶在網絡訪問過程中受到的安全威脅，指定訪問過程中的持續保護措施，實時檢測網絡異常的訪問行為，引入授權增強機制。一舉拿下ITU-T國際標準，標志著以騰訊公司為代表的中國互聯網企業在國際標準組織制定中已開始扮演越來越重要的角色，成為規則的制定者和引領者，體現了中國力量在國際網絡安全領域的技術領導力和話語權，更有力地推動了零信任安全技術在全球范圍規模商用的進程[11]。

隨著網絡攻擊日益復雜和激烈，傳統的基于邊界的網絡安全理念已“捉襟見肘”，難以再適應當前嚴峻的網絡安全形勢。區塊鏈分為私有鏈、聯盟鏈和公有鏈，可以根據業務需求和應用場景選擇特定的區塊鏈架構，但總體來說，在區塊鏈環境下，其主體匿名但可以被驗證，數據不可篡改但可被溯源，無管理中心但有共識機制，鏈上各方或許并不了解但可以彼此信任，這些特點恰恰符合網絡安全的“零信任安全”理念。因此，可以認為，區塊鏈將會使得“零信任安全”理念得到進一步鞏固和加強。同時，也應基于“零信任安全”的理念構建區塊鏈的安全系統和法治保障體系。

(三)技術與法治耦合解決區塊鏈安全中的特殊法律問題

國家互聯網信息辦公室有關負責人在《區塊鏈信息服務管理規定》發布會上表示，區塊鏈在給國家發展帶來機遇、給社會生活帶來便利的同時，也帶來了一定的安全風險。通過與傳播領域的結合，被一些不法分子利用以傳播違法有害信息，實施網絡違法犯罪活動，損害公民、法人和其他組織的合法權益。部分區塊鏈信息服務提供者的安全責任意識不強，管理措施和技術保障能力不健全，這對互聯網信息安全提出新的挑戰[12]。

業界對區塊鏈的安全問題也不無擔憂，主要集中于區塊鏈被用于違法犯罪活動、隱私安全、數字貨幣被盜、軟件漏洞、無政府主義和獨裁主義等。例如，區塊鏈技術也受到國內外廣泛關注并快速應用，從數字貨幣到智能合約，并逐步向文化娛樂、社會管理、物聯網等多個領域延伸。隨著區塊鏈應用范圍和深度的逐漸擴大，數字貨幣被盜，智能合約、錢包和挖礦軟件漏洞等安全問題將會更加凸顯[13]。盡管區塊鏈系統的技術創新確實令人興奮，但對“不可信的”技術平臺要慎之又慎，這些平臺會在那些逃避社會的個人之間強制推行一種基于契約的關系[14]。區塊鏈被稱為是“最有可能改變未來十年商業模式的技術”，但也被稱為犯罪活動、龐氏騙局、無政府和獨裁主義的避風港[15]。因此，也需要重視區塊鏈帶來的新型網絡安全問題。中國工程院院士、浙江大學區塊鏈研究中心主任陳純認為，公有鏈已成為新媒體的傳播媒介，因為公有鏈本身具有去中心化、不可篡改、不可刪除、低成本的特點。因此，在沒有監管的前提下，利用公有鏈傳播有害信息、網絡謠言和煽動性、攻擊性信息的成本非常廉價[16]。對于公有區塊鏈來說，由于任何人都可以在其數據庫中寫入數據，其信息內容的監管也成為問題。對此，我國首先就區塊鏈提供信息服務出臺了專門的管理規定。區塊鏈特性使得鏈上數據難以被篡改，區塊鏈可能成為傳播危害公共安全、涉及恐怖主義和不良信息的載體。隨著監管的發展，任何利用公有鏈區塊鏈技術進行與互聯網內容傳播有關的違法犯罪活動，和各國一樣會受到法律的追究。

關于區塊鏈的安全問題，應當區分區塊鏈本身的安全問題和區塊鏈應用的安全問題，雖然二者的形成、防范及制裁往往是伴生的或融合的。對于區塊鏈應用中的網絡安全問題，可以按照《網絡安全法》《民法典》《刑法》等法律法規關于網絡違法犯罪的相關立法進行處理或制裁，在這個問題上，區塊鏈與互聯網并無本質差別，都是違法犯罪的工具。可能的差異在于利用區塊鏈的匿名性等特點或利用比特幣等數字貨幣實施洗錢等犯罪時，將會給偵查或取證帶來較大的難度。區塊鏈本身的安全問題應是區塊鏈安全的法律保障關注的重點。首先，對于區塊鏈的安全性問題不能一概而論，而是應對私有鏈、聯盟鏈及公有鏈進行區別對待，結合三者各自的技術特征和應用功能對其網絡安全問題進行差異化分析并提供與之相適應的法律保障；其次，互聯網時代網絡安全法的一些規則不再適應區塊鏈獨特的技術機制所產生的網絡安全問題，例如，在區塊鏈的分布式記賬中，如何確定個人數據擁有者或控制者和如何確定責任的分擔？如何實現被遺忘權、數據刪除權、數據的可攜帶權？諸如此類的問題將是區塊鏈網絡安全法律保障的難點問題；最后，區塊鏈的分散決策機制和資源配置模式已經得到較為充分的認識，但其對社會組織結構的變革及其可能產生的網絡安全法律問題尚需隨著區塊鏈實踐應用的深入來觀察。

無論是區塊鏈安全，還是區塊鏈的技術研發與產業應用，技術標準、行業標準都是重中之重。如果各機構在不同的標準上不斷建立新的“孤島式”的解決方案，將導致產生無數基于不同標準的、經過重大妥協的、復雜的、封閉的解決方案。只有建立技術標準之后，各公司關于區塊鏈的操作性才會更強；只有建立行業標準，各機構之間才能實現交互操作[17]。2017年5月，工業和信息化部電子標準化研究院發布了《區塊鏈參考架構》標準。2018年3月，工業和信息化部發布《2018年信息化和軟件服務業標準化工作要點》，提出推動組建全國信息化和工業化融合管理標準化技術委員會、全國區塊鏈和分布式記賬技術標準化委員會。2019年11月7日，信息化和軟件服務業司在北京組織召開的區塊鏈標準化工作座談會上，信息化和軟件服務業司相關負責人表示，將聯合有關部門加強區塊鏈標準化研究，加快關鍵急需標準的研制和應用，同時積極對接國際標準組織，提升國際話語權和規則制定權[18]。2020年4月10日，工業和信息化部發布《網絡數據安全標準體系建設指南》(征求意見稿)，征求意見稿提出，到2021年，要初步建立網絡數據安全標準體系，有效落實網絡數據安全管理要求，基本滿足行業網絡數據安全保護需要，推進標準在重點企業、重點領域中的應用，研制網絡數據安全行業標準20項以上。到2023年，要健全完善網絡數據安全標準體系，顯著提高標準技術水平、應用水平和國際化水平，有力促進行業網絡數據安全保護能力提升，研制網絡數據安全行業標準50項以上。2020年2月5日，中國人民銀行正式發布了《金融分布式賬本技術安全規范》(JR/T 0184-2020)金融行業標準。《信息技術 區塊鏈和分布式記賬技術 存證應用指南》《信息技術 區塊鏈和分布式記賬技術 智能合約實施規范》等國家標準正在制定中。2020年4月13日，工業和信息化部發布了《全國區塊鏈和分布式記賬技術標準化技術委員會組建公示》，該技術委員會將承擔起體系化推進區塊鏈標準制定工作的具體任務。

在執法監管方面，我國已經將區塊鏈納入執法監管視野。截止到2020年4月24日，網信辦已經公布了三批區塊鏈信息服務備案編號。備案不同于審批，也不等于對備案主體及其產品和服務的認可，備案登記屬于監督手段，標志著將區塊鏈信息服務納入到了規范化的監管體系中。區塊鏈信息服務企業應當自律、合規發展，也應當接受監管部門的依法監管。同時，監管部門也在著力于探索運用區塊鏈解決政務管理中的信息共享和網絡安全等問題。在執法監管實踐中，如何協調網絡安全與創新發展的關系一直是執法監管的難題。從我國的監管實踐看，包容審慎的執法監管理念已經成為執法監管的共識，透明、高效、信息對稱的一體化、穿透式執法監管體系正在穩步推進，區塊鏈賦能電子政務將進一步推進執法監管體制和機制改革，更有利于在監管中妥善協調網絡安全與創新發展的關系，促進區塊鏈研發和應用的自主、可控，切實保障區塊鏈系統的安全運行。

總體而言，區塊鏈本身具有比互聯網更高的安全性，其分布式賬本可以有效保障信息完整性和不可篡改性，且可采用基于協商一致的規范和協議使整個系統中的所有節點能夠在去信任的環境下不需要任何人為的干預自動安全地交換數據，防止信息泄露和欺詐，對于網絡安全特別是網絡信息安全具有重要的價值。因此，應充分發揮區塊鏈的獨特優勢，運用法律手段推動區塊鏈在各行業、各領域的深入使用。同時，也應重視具有非中心化特征和匿名性特點的區塊鏈的法律監管，防止其中的安全問題及其引發的社會風險，技術與法治耦合推進區塊鏈的安全保障，促進區塊鏈系統的安全運行和區塊鏈產業的可持續發展。例如，《貴陽市大數據安全管理條例》規定：“鼓勵安全責任單位運用區塊鏈等新技術手段，優化數據聚通用架構，強化信任認證和防篡改設計，提升大數據安全防護水平。”[19]

(四)積極促進區塊鏈安全的國際合作

區塊鏈被認為是重塑世界的新技術，已經引起了許多國家的高度重視，但目前區塊鏈的應用尚處于初級階段，區塊鏈的安全問題特別是國際合作問題尚待進一步觀察。然而，可以確定的是，國際社會并不會否定區塊鏈安全的國際合作的必要性。事實上，由于區塊鏈的特殊性及其網絡安全問題并未充分暴露，國際合作的意義更為重大。

歐美發達國家及澳大利亞、日本、韓國等國家高度重視區塊鏈，相繼制定了發展戰略或法律法規。據新華社報道，2018年2月1日，歐盟委員會宣布啟動一項旨在促進歐洲區塊鏈技術發展并幫助歐洲從中獲益的新機制。這個機制具有收集與區塊鏈有關的信息、監測和分析相關趨勢、探索區塊鏈技術的社會經濟潛力并應對相關挑戰等功能。歐盟委員會表示，區塊鏈技術可使在線交易具有很高的可追溯性和安全性，被視為重大技術突破。這一技術將影響數字服務并改變醫療、保險、金融、能源、物流、政府服務等領域的模式[20]。例如，2018年9月，西班牙人民黨的133名代表向西班牙議會下院眾議院提交了與區塊鏈有關的提案，建議政府引入區塊鏈，以改善內部流程和提供決策的可追溯性、穩健性及透明度[21]。2018年，美國俄亥俄州通過《區塊鏈法案》，承認基于區塊鏈的智能合約與數字簽名的法律地位。2019年7月9日，美國參議院商業、科學和運輸委員會批準了《區塊鏈促進法案》，該法案明確要求美國商務部為“區塊鏈”建立標準定義，以及建立新的法律框架，為未來新興技術的應用提供指導和防范風險。2019年3月，澳大利亞公布了一項國家區塊鏈路線圖戰略，該路線圖將重點關注一系列政策領域，包括監管、技能和能力建設，及創新、投資、國際競爭力和合作等[22]。2019年9月，德國經濟與能源部和財政部聯合發布了《德國國家區塊鏈戰略》，說明了德國對區塊鏈的整體觀點，展現了其在區塊鏈方面的目標和原則，并提出了具體的行動措施。

或可預判的是，隨著區塊鏈的創新應用和深入發展，國際社會將會把目光從互聯網時代的網絡安全轉向區塊鏈時代的網絡安全。從國際合作的視域觀察，需要在政策、標準、規則及機制等方面推進區塊鏈安全的國際合作，區塊鏈技術及其應用標準將是首當其沖需要協商解決的問題。2016年9月，國際標準化組織(ISO)成立了區塊鏈和分布式記賬技術委員會(ISO/TC307)，著手開展區塊鏈和分布式記賬技術領域相關標準研制工作，并與其他國際性組織合作研究區塊鏈和分布式記賬技術領域的標準化相關問題。截至2019年7月，ISO/TC307建立了6個工作組(G)和一個研究組(SG)，主要致力于區塊鏈基礎技術、安全隱私和標識智能合約及其應用、治理、用例、互操作等方向的標準制定與研究，目前共有20項左右的在研標準項目。2016年至2017年初，國際電信聯盟通信標準化組織(ITU-T)成立了多個焦點組進行區塊鏈技術與應用研究，同時多個研究組也從不同領域開展區塊鏈應用標準化工作。ITU-T的SG13、SG16、SG1和SG20等研究組分別從未來網絡、多媒體應用、安全與標識、物聯網與智慧城市等領域著手研究區塊鏈應用的標準化，同時，ITU-T FG DLT、FG DFS、FG DIC和EG DPM等幾個焦點組也分別從區塊鏈應用分析、數字金融服務應用、數字貨幣應用和區塊鏈數據處理領域硏究區塊鏈技術與標準化問題。該組織目前已提出十多項區塊鏈國際標準項目，大部分都是由來自中國的企業提出和主導。前文述及，我國也高度重視標準問題，信息化和軟件服務業司將聯合有關部門加強區塊鏈標準化研究，加快關鍵急需標準的研制和應用，同時積極對接國際標準組織，提升國際話語權和規則制定權。

區塊鏈安全的國際合作必然會面臨一些互聯網時代所未遇到的特殊難題。2019年7月，歐洲議會屬下的“科學預見小組”(STOA)發布了《區塊鏈與GDPR：分布式記賬技術能否與歐盟數據保護條例相協調？》，該研究報告分析了區塊鏈與GDPR《通用數據保護條例》的沖突，但并未提出具體可行的對策。在信息化和經濟全球化交融發展的大背景下，雖然可以在某些問題上做出有益的探索，但由一國或區域性國際組織解決相關問題會力不從心。從網絡安全法的角度看，要解決的問題就不僅是區塊鏈與一部立法的沖突與協調問題，而且是各國相關法律的沖突與協調問題，問題的復雜性將使其解決的難度更大。然而，難度并不必然意味著悲觀，互聯網時代的國際安全合作的理念、原則及有益經驗仍然適用于區塊鏈。

人類命運共同體理念是習近平總書記站在人類社會整體發展的高度，基于對世界歷史發展趨勢的深刻理解和科學把握而提出來的[23]。網絡空間命運共同體是人類命運共同體理論在網絡空間的具體體現，是網絡空間和平與發展的共同期望。在2015年第二屆世界互聯網大會上，習近平主席指出，網絡空間是人類共同的活動空間，網絡空間前途命運應由世界各國共同掌握。各國應該加強溝通、擴大共識、深化合作，共同構建網絡空間命運共同體。在本次互聯網大會上，習近平主席就網絡治理提出了“四個原則”和“五點主張”，“四個原則”是指推進全球互聯網治理體系變革，應該堅持四個原則，包括尊重網絡主權、維護和平安全、促進開放合作、構建良好秩序。“五點主張”包括：第一，加快全球網絡基礎設施建設，促進互聯互通，讓更多發展中國家和人民共享互聯網帶來的發展機遇；第二，打造網上文化交流共享平臺，促進交流互鑒，推動世界優秀文化交流互鑒，推動各國人民情感交流、心靈溝通；第三，推動網絡經濟創新發展，促進共同繁榮，促進世界范圍內投資和貿易發展，推動全球數字經濟發展；第四，保障網絡安全，促進有序發展，推動制定各方普遍接受的網絡空間國際規則，共同維護網絡空間和平安全；第五，構建互聯網治理體系，促進公平正義，應該堅持多邊參與、多方參與，更加平衡地反映大多數國家的意愿和利益。習近平主席提出的“四個原則”和“五點主張”展現了網絡治理的中國主張，也體現了世界上絕大多數國家關于網絡治理的共同心愿，對于包括區塊鏈安全在內的網絡安全的國際治理具有重大的指導意義。