區(qū)塊鏈的網絡安全法觀察

孫占利

摘要：從網絡安全法的角度觀察，相較于互聯(lián)網，區(qū)塊鏈的分布式賬本等技術及其應用具有更高的網絡安全性，并正在采取新的技術措施加強其安全性。然而，區(qū)塊鏈技術和應用并非絕對安全，技術與法治耦合保障區(qū)塊鏈安全就成為亟待解決的問題。為此，應當從網絡安全戰(zhàn)略的高度重視區(qū)塊鏈的安全應用，從“零信任安全”的理念構建區(qū)塊鏈的安全架構和法治保障體系，在區(qū)別私有鏈、聯(lián)盟鏈及公有鏈的技術特性和區(qū)分區(qū)塊鏈技術安全與應用安全的基礎上解決區(qū)塊鏈產生的特殊網絡安全法律問題，運用網絡安全法律手段促進和保障區(qū)塊鏈技術和產業(yè)的創(chuàng)新發(fā)展，在政策、標準、規(guī)則及機制等方面推進區(qū)塊鏈安全的國際合作，踐行網絡空間人類命運共同體理念。

關鍵詞：區(qū)塊鏈;分布式賬本;智能合約;網絡安全;信息安全

中圖分類號：TP311.13;TP393.08

文獻標識碼：A

文章編號：1673-8268（2021）01-0036-11

中共中央政治局于2019年10月24日就區(qū)塊鏈技術發(fā)展現(xiàn)狀和趨勢進行第十八次集體學習。習近平總書記在主持學習時強調，區(qū)塊鏈技術的集成應用在新的技術革新和產業(yè)變革中起著重要作用，要把區(qū)塊鏈作為核心技術自主創(chuàng)新的重要突破口，明確主攻方向，加大投入力度，著力攻克一批關鍵核心技術，加快推動區(qū)塊鏈技術和產業(yè)創(chuàng)新發(fā)展。本文從區(qū)塊鏈的安全性分析推進網絡安全體系的結構式創(chuàng)新與發(fā)展，立足于我國對區(qū)塊鏈的網絡安全法制保障現(xiàn)狀，探討技術與法治耦合保障區(qū)塊鏈安全。

一、區(qū)塊鏈的安全性有助于推進網絡安全體系的結構式創(chuàng)新與發(fā)展

（一）區(qū)塊鏈的技術機理使得其具有更高的網絡安全性

美國區(qū)塊鏈科學研究所創(chuàng)始人Melanie Swan在其著作《區(qū)塊鏈：新經濟的藍圖》中將區(qū)塊鏈分為三個階段：以數(shù)字貨幣為代表的區(qū)塊鏈1.0;以智能合約為代表的區(qū)塊鏈2.0;超越貨幣、經濟、市場在司法、政府管理、公證等領域拓展應用的區(qū)塊鏈3.0。區(qū)塊鏈已經進入了2.0時代，并正在向3.0階段邁進[1]。

從認識論的角度來看，區(qū)塊鏈是現(xiàn)實世界與虛擬世界之間的鏈接橋梁，其意義在于重新構造一種信任機制，提升現(xiàn)實世界的有序度;從技術特征層面來看，區(qū)塊鏈具有數(shù)據不可篡改、智能合約、信息可追溯性、去中心化以及信任共識機制等特征[2]。區(qū)塊鏈具有較強的經濟價值、法律價值、管理價值和應用價值，但其在給國家發(fā)展帶來機遇、社會帶來便利的同時，也具有一定的風險[3]。

區(qū)塊鏈是由共識算法維護和儲存在多個節(jié)點上的數(shù)據庫，其基礎性的技術機制是去中心化的分布式賬本，各個節(jié)點的信息依靠密碼算法可以自動安全地傳遞、驗證及管理，具有分布式、防篡改、高透明、可溯源等特性，非經51%以上的數(shù)據節(jié)點或算力的同意就無法修改數(shù)據，這雖然使得區(qū)塊鏈被認為具有無法消錯的缺點，但卻產生了更高的安全性。區(qū)塊鏈的技術基礎雖然是開源的，數(shù)據對本區(qū)塊的所有人廣播和開放，但交易各方的個人信息可以被加密，也可以匿名進行信息傳遞（但可以被驗證）。而且，其智能合約能夠自動執(zhí)行本需要人工才能完成任務的協(xié)議。例如，當事人的支付行為會自動觸發(fā)對方當事人履行相應的義務（如通過電子記錄自動轉移標的物的所有權或使用權）。進一步觀察，由于區(qū)塊鏈使用去中心化的分布式核算和存儲，任一節(jié)點的權利和義務都是均等的，系統(tǒng)中的數(shù)據塊由整個系統(tǒng)中所有具有維護功能的節(jié)點來共同維護，也即區(qū)塊鏈采用基于協(xié)商一致的規(guī)范和協(xié)議使整個系統(tǒng)中的所有節(jié)點能夠在去信任的環(huán)境下自動安全地交換數(shù)據，所有節(jié)點通過“全網記賬”自動剔除虛假信息或欺詐信息，不需要任何人為的干預。信任可以傳遞，也可以外溢，從而建立“不信之信”的信任機制，技術信用也就隨之取代了傳統(tǒng)的人工信用，進而在共識機制和技術信用的基礎上建立了一個安全可信的網絡環(huán)境。區(qū)塊鏈包括公有鏈、聯(lián)盟鏈和私有鏈，可適用于不同的應用場景，其安全程度大體上可按私有鏈、聯(lián)盟鏈、公有鏈來排序。

（二）區(qū)塊鏈的技術發(fā)展與區(qū)塊鏈安全風險的博弈

盡管在區(qū)塊鏈鏈上發(fā)起“51%攻擊”的成本很高（目前估計超過10億美元），但是，一旦政府開始使用區(qū)塊鏈存儲有價值的檔案，發(fā)起這一攻擊的吸引力就會大增。而且，區(qū)塊鏈所存儲的任何數(shù)據的質量和準確性，不能由區(qū)塊鏈自己來保證。如果沒有一個中心化機構或可信部門負責檢查和驗證區(qū)塊鏈上記錄的數(shù)據，那么，這些數(shù)據的質量和準確性就沒有保障[4]。此外，區(qū)塊鏈的數(shù)據公開透明導致的隱私權等安全問題也引起了業(yè)界的高度關注。區(qū)塊鏈技術并未止步不前，而是在不斷發(fā)展以解決實踐中出現(xiàn)的安全問題。

中國信息通信研究院、可信區(qū)塊鏈推進計劃發(fā)布的《區(qū)塊鏈白皮書（2019年）》提出，當前，區(qū)塊鏈在賬本數(shù)據、密碼算法、網絡通信、智能合約、硬件等方面不斷研發(fā)和應用多種技術措施保障其安全。賬本數(shù)據方面，為滿足賬本數(shù)據的一致性和可用性等安全要求，業(yè)界普遍采用數(shù)據校驗、數(shù)據容災備份等技術方案，以保證各節(jié)點數(shù)據在上鏈過程中的一致性，及鏈上數(shù)據因系統(tǒng)故障導致丟失損毀后及時恢復。密碼算法方面，在簽名驗簽、鏈上數(shù)據授權訪問等業(yè)務流程中，國密加密逐漸成為區(qū)塊鏈應用的主流選擇。網絡通信方面，節(jié)點認證機制、賬本隔離技術、數(shù)據分片技術等網絡準入技術及網絡防護不斷完善，攻擊者利用網絡協(xié)議漏洞進行日蝕攻擊、路由攻擊及DDoS攻擊（分布式拒絕服務攻擊）的威脅程度在不斷降低。智能合約方面，隨著形式化驗證技術更加完善，代碼審計手段日益豐富，由合約漏洞導致的安全事件也有所降低。硬件方面，主流硬件供應商在近些年紛紛推出了以可信執(zhí)行環(huán)境（TEE）為代表的硬件安全防護解決方案。此外，區(qū)塊鏈的隱私保護手段也日趨多元化，諸多公鏈、聯(lián)盟鏈項目在積極探索隱私保護方案。從保護對象來看，隱私保護手段可以分為三類：一是交易信息的隱私保護，對交易的發(fā)送者、交易接受者以及交易金額的隱私保護，有混幣、環(huán)簽名、機密交易（confidential transaction）和Mimblewimble方案等;二是智能合約的隱私保護，針對合約業(yè)務數(shù)據的保護方案，包含零知識證明、多方安全計算（MPC）、同態(tài)加密等;三是鏈上數(shù)據的隱私保護，主要有賬本隔離、私有數(shù)據和數(shù)據加密授權訪問等解決方案。目前，混幣、機密交易、零知識證明等方案多出現(xiàn)在公鏈項目，在供應鏈金融等對隱私保護有強烈需求的應用場景中，則在以往以數(shù)據加密、賬本隔離為主的實現(xiàn)方式的基礎上，逐步出現(xiàn)了基于零知識證明、安全多方計算等隱私保護技術的應用。

區(qū)塊鏈的技術發(fā)展與區(qū)塊鏈安全風險的博弈還將繼續(xù)下去，但區(qū)塊鏈的安全保障并不限于安全技術保障，也需要在“區(qū)塊鏈向善”的理念下，通過鏈上與鏈下的分割與融合治理，在區(qū)塊鏈內部自治規(guī)則（特別是通過激勵相容機制調動鏈上各方的積極性維護區(qū)塊鏈安全）和區(qū)塊鏈外部規(guī)則（區(qū)塊鏈的安全監(jiān)管法律規(guī)范）的共同作用下，強化“以鏈治鏈”，全方位、系統(tǒng)性地保障區(qū)塊鏈安全。

（三）區(qū)塊鏈推進了安全與效率的平衡

區(qū)塊鏈的分布式存儲、信息透明、防篡改等特點，既能夠促進網絡安全，也給網絡安全帶來新的挑戰(zhàn)。首先，區(qū)塊鏈的防篡改性質可能被不法利用。由于區(qū)塊鏈上存儲著大量公共信息，很可能成為黑客攻擊的目標，黑客如果完成51%的節(jié)點攻擊，就可以修改區(qū)塊鏈記錄。凡是軟件或程序都存在漏洞，區(qū)塊鏈也不例外。區(qū)塊鏈漏洞會被人利用來篡改交互記錄，錯誤記錄一旦形成則難以更改。針對區(qū)塊鏈記錄被篡改的問題，可以由政府發(fā)起建立區(qū)塊鏈社區(qū)平臺，一方面，對于區(qū)塊鏈進行持續(xù)檢測，保證區(qū)塊鏈無漏洞運行;另一方面，組織強大的技術力量對抗黑客的進攻。其次，區(qū)塊鏈的開源性質容易導致隱私泄露。有些交互信息不具備隱私性和敏感性，可以共享，有些則反之。然而，用戶只要在區(qū)塊鏈平臺上注冊，就可以查看和下載所有的存儲信息。目前防止隱私泄露的方法主要是用戶假名和加密，但是通過大數(shù)據挖掘，依然可以找到信息和用戶之間的相關性，可利用信息分離機制，對于那些敏感性和隱私性信息，在區(qū)塊鏈上不放入其原始信息，而是放入信息的證據，這既可以確保區(qū)塊鏈節(jié)點信息的真實性，也可以保留基礎數(shù)據的隱私[5]。最后，區(qū)塊鏈在應對網絡攻擊問題上擁有一種特殊的技術機制，即如果攻擊成功，只會造成系統(tǒng)的價值歸零，攻擊者無法得到有價值的回報。因此，區(qū)塊鏈的該獨特功能也可以在一定程度上防范攻擊和保障網絡安全。然而，例外的情形也是存在的，特別是在代碼存在漏洞的情況下。例如，The DAO在2016年遭到攻擊，價值近6 000萬美元的以太幣被轉移而非僅僅只是破壞。

安全與效率是法治社會的價值要求。然而，安全與效率二者之間存在矛盾，即在追求安全性時就會損害效率，反之亦然。市場經濟立法一直致力于從平衡的角度來協(xié)調二者的關系，但只是一種理想狀態(tài)，且不斷受到共享經濟、分享經濟等新業(yè)態(tài)、新模式的挑戰(zhàn)。區(qū)塊鏈對此問題提供了新的解決路徑，即從交易機制上提供了解決安全與效率之間的矛盾的新方式。區(qū)塊鏈不僅使得交易變得公開透明，有效解決了信息不對稱問題，而且在區(qū)塊鏈交易中，合約或協(xié)議可以以智能合約的形式嵌入區(qū)塊鏈中，由區(qū)塊鏈技術確保合約在履行中不得篡改和自動、實時完成支付及交付等合同履行行為。從組織行為學的角度看，區(qū)塊鏈可以被看成是一種新型的組織行為模式，使得去組織化的分布式協(xié)同生產成為可能，采用工作量證明等激勵機制促進生產要素的最佳配置，從而提高交易安全和交易效率，彰顯其價值增值。如果說互聯(lián)網的功能主要是信息傳遞和信息交互，那么，區(qū)塊鏈的應用則促成價值傳遞，這也是區(qū)塊鏈被稱為價值互聯(lián)網的原因所在。總體而言，區(qū)塊鏈的技術機理使得其本身的安全性要高于互聯(lián)網，但在看到區(qū)塊鏈的安全性有助于推進網絡安全體系的結構式創(chuàng)新與發(fā)展的同時，也應看到如何通過技術與法治耦合保障區(qū)塊鏈安全已成為亟待解決的問題。

二、我國的網絡安全法制為區(qū)塊鏈安全提供了基本法律保障

（一）我國關于網絡安全的一般立法適用于區(qū)塊鏈

按照《中華人民共和國網絡安全法》（以下簡稱《網絡安全法》）的規(guī)定，網絡是指由計算機或者其他信息終端及相關設備組成的按照一定的規(guī)則和程序對信息進行收集、存儲、傳輸、交換、處理的系統(tǒng)。網絡安全是指通過采取必要措施，防范對網絡的攻擊、侵入、干擾、破壞和非法使用以及意外事故，使網絡處于穩(wěn)定可靠運行的狀態(tài)，以及保障網絡數(shù)據的完整性、保密性、可用性的能力。因此，《網絡安全法》及其他網絡安全立法是適用于區(qū)塊鏈及其行業(yè)應用的，而《網絡安全法》則是網絡安全領域的“根本大法”。《網絡安全法》對網絡安全支持與促進、網絡運行安全、網絡信息安全、監(jiān)測預警與應急處置等做了規(guī)定，確立了網絡安全的基本法律遵循。《網絡安全法》規(guī)定的法律責任包括民事責任、行政責任及刑事責任，因此，其他相關法律也協(xié)同作用于網絡安全的法律保障。

在相關的立法中，《中華人民共和國密碼法》（以下簡稱《密碼法》）與區(qū)塊鏈的聯(lián)系度非常高，其聯(lián)接點就是“密碼”。《密碼法》第2條規(guī)定：“本法所稱密碼，是指采用特定變換的方法對信息等進行加密保護、安全認證的技術、產品和服務。”該法將密碼分為核心密碼、普通密碼和商用密碼并據此分別建立密碼的應用及管理制度，將密碼科研、生產、銷售、服務、進出口、檢測、裝備、使用和銷毀等活動都納入了法治軌道，以實現(xiàn)規(guī)范密碼應用和管理、促進密碼事業(yè)發(fā)展、保障網絡與信息安全、維護國家安全和社會公共利益及保護公民、法人和其他組織的合法權益的立法目的。由于加密技術是區(qū)塊鏈的關鍵技術，《密碼法》將直接作用于區(qū)塊鏈領域，對于區(qū)塊鏈技術的研發(fā)應用和規(guī)范發(fā)展具有重大意義。

需要說明的是，區(qū)塊鏈并不等同于比特幣，雖然區(qū)塊鏈是基于比特幣技術演進而來，但區(qū)塊鏈行業(yè)有“幣圈”和“鏈圈”之分。此種區(qū)別雖不嚴謹，但較能反映此前區(qū)塊鏈應用的實踐狀況。2017年9月2日，互聯(lián)網金融風險專項整治工作領導小組辦公室向各省市金融辦（局）發(fā)布《關于對代幣發(fā)行融資開展清理整頓工作的通知》（整治辦函〔2017〕99號），明確ICO（initial coin offering）本質上屬于未經批準的非法公開融資，涉嫌非法集資、非法發(fā)行證券、非法發(fā)售代幣募集，以及涉及金融詐騙、傳銷等違法犯罪活動，嚴重擾亂了經濟金融秩序。2017年9月4日，央行等七部委發(fā)布《關于防范代幣發(fā)行融資風險公告》，主要內容為：任何組織和個人不得非法從事代幣發(fā)行融資活動，加強代幣融資交易平臺的管理，各金融機構和非銀行支付機構不得開展與代幣發(fā)行融資交易相關的業(yè)務，社會公眾應當高度警惕代幣發(fā)行融資與交易的風險隱患。雖然數(shù)字貨幣是區(qū)塊鏈1.0的代表，但并不能代表區(qū)塊鏈，且數(shù)字貨幣并不必然要借助于區(qū)塊鏈，其基礎都是加密算法。因此，雖然與基于區(qū)塊鏈的數(shù)字貨幣緊密相關，但該公告并不能被認為是關于區(qū)塊鏈的專門性規(guī)范文件。新近的信息是央行在多年研究的基礎上采用“一幣兩庫三中心”架構和央行、商業(yè)銀行雙層運營體系發(fā)行數(shù)字人民幣（人民幣的數(shù)字化形式，不同于比特幣等加密貨幣）。

（二）區(qū)塊鏈的專門立法為區(qū)塊鏈信息服務確立了行為規(guī)范和制度保障

2019年1月10日，國家互聯(lián)網信息辦公室發(fā)布了《區(qū)塊鏈信息服務管理規(guī)定》（自2019年2月15日起施行）。《區(qū)塊鏈信息服務管理規(guī)定》旨在明確區(qū)塊鏈信息服務提供者的信息安全管理責任，規(guī)范和促進區(qū)塊鏈技術及相關服務健康發(fā)展，規(guī)避區(qū)塊鏈信息服務安全風險，為區(qū)塊鏈信息服務的提供、使用、管理等提供有效的法律依據，其主要內容如下。

1.管理機構

國家互聯(lián)網信息辦公室依據職責負責全國區(qū)塊鏈信息服務的監(jiān)督管理執(zhí)法工作。省、自治區(qū)、直轄市互聯(lián)網信息辦公室依據職責負責本行政區(qū)域內區(qū)塊鏈信息服務的監(jiān)督管理執(zhí)法工作《區(qū)塊鏈信息服務管理規(guī)定》第3條規(guī)定：“國家互聯(lián)網信息辦公室依據職責負責全國區(qū)塊鏈信息服務的監(jiān)督管理執(zhí)法工作。省、自治區(qū)、直轄市互聯(lián)網信息辦公室依據職責負責本行政區(qū)域內區(qū)塊鏈信息服務的監(jiān)督管理執(zhí)法工作。”。

2.區(qū)塊鏈信息服務提供者的義務

區(qū)塊鏈信息服務提供者的義務主要是：落實信息內容安全管理責任，建立健全用戶注冊、信息審核、應急處置、安全防護等管理制度《區(qū)塊鏈信息服務管理規(guī)定》第5條規(guī)定：“區(qū)塊鏈信息服務提供者應當落實信息內容安全管理責任，建立健全用戶注冊、信息審核、應急處置、安全防護等管理制度。”;區(qū)塊鏈信息服務提供者應當具備與其服務相適應的技術條件，對于法律、行政法規(guī)禁止的信息內容，應當具備對其發(fā)布、記錄、存儲、傳播的即時和應急處置能力，技術方案應當符合國家相關標準規(guī)范《區(qū)塊鏈信息服務管理規(guī)定》第6條規(guī)定：“區(qū)塊鏈信息服務提供者應當具備與其服務相適應的技術條件，對于法律、行政法規(guī)禁止的信息內容，應當具備對其發(fā)布、記錄、存儲、傳播的即時和應急處置能力，技術方案應當符合國家相關標準規(guī)范。”;區(qū)塊鏈信息服務提供者應當制定并公開管理規(guī)則和平臺公約，與區(qū)塊鏈信息服務使用者簽訂服務協(xié)議，明確雙方權利義務，要求其承諾遵守法律規(guī)定和平臺公約《區(qū)塊鏈信息服務管理規(guī)定》第7條規(guī)定：“區(qū)塊鏈信息服務提供者應當制定并公開管理規(guī)則和平臺公約，與區(qū)塊鏈信息服務使用者簽訂服務協(xié)議，明確雙方權利義務，要求其承諾遵守法律規(guī)定和平臺公約。”;區(qū)塊鏈信息服務提供者應當按照《網絡安全法》的規(guī)定，對區(qū)塊鏈信息服務使用者進行基于組織機構代碼、身份證件號碼或者移動電話號碼等方式的真實身份信息認證《區(qū)塊鏈信息服務管理規(guī)定》第8條規(guī)定：“區(qū)塊鏈信息服務提供者應當按照《中華人民共和國網絡安全法》的規(guī)定，對區(qū)塊鏈信息服務使用者進行基于組織機構代碼、身份證件號碼或者移動電話號碼等方式的真實身份信息認證。”;區(qū)塊鏈信息服務提供者開發(fā)上線新產品、新應用、新功能的，應當按照有關規(guī)定報國家和省、自治區(qū)、直轄市互聯(lián)網信息辦公室進行安全評估《區(qū)塊鏈信息服務管理規(guī)定》第9條規(guī)定：“區(qū)塊鏈信息服務提供者開發(fā)上線新產品、新應用、新功能的，應當按照有關規(guī)定報國家和省、自治區(qū)、直轄市互聯(lián)網信息辦公室進行安全評估。”;區(qū)塊鏈信息服務提供者和使用者不得利用區(qū)塊鏈信息服務從事危害國家安全、擾亂社會秩序、侵犯他人合法權益等法律、行政法規(guī)禁止的活動，不得利用區(qū)塊鏈信息服務制作、復制、發(fā)布、傳播法律、行政法規(guī)禁止的信息內容《區(qū)塊鏈信息服務管理規(guī)定》第10條規(guī)定：“區(qū)塊鏈信息服務提供者和使用者不得利用區(qū)塊鏈信息服務從事危害國家安全、擾亂社會秩序、侵犯他人合法權益等法律、行政法規(guī)禁止的活動，不得利用區(qū)塊鏈信息服務制作、復制、發(fā)布、傳播法律、行政法規(guī)禁止的信息內容。”。

3.信息安全問題的處理

相關規(guī)定主要是：區(qū)塊鏈信息服務提供者應當配合網信部門依法實施的監(jiān)督檢查，并提供必要的技術支持和協(xié)助;區(qū)塊鏈信息服務提供者應當接受社會監(jiān)督，設置便捷的投訴舉報入口，及時處理公眾投訴舉報《區(qū)塊鏈信息服務管理規(guī)定》第18條規(guī)定：“區(qū)塊鏈信息服務提供者應當配合網信部門依法實施的監(jiān)督檢查，并提供必要的技術支持和協(xié)助。區(qū)塊鏈信息服務提供者應當接受社會監(jiān)督，設置便捷的投訴舉報入口，及時處理公眾投訴舉報。”;區(qū)塊鏈信息服務提供者提供的區(qū)塊鏈信息服務存在信息安全隱患的，應當進行整改，符合法律、行政法規(guī)等相關規(guī)定和國家相關標準規(guī)范后方可繼續(xù)提供信息服務《區(qū)塊鏈信息服務管理規(guī)定》第15條規(guī)定：“區(qū)塊鏈信息服務提供者提供的區(qū)塊鏈信息服務存在信息安全隱患的，應當進行整改，符合法律、行政法規(guī)等相關規(guī)定和國家相關標準規(guī)范后方可繼續(xù)提供信息服務。”;區(qū)塊鏈信息服務提供者應當對違反法律、行政法規(guī)規(guī)定和服務協(xié)議的區(qū)塊鏈信息服務使用者，依法依約采取警示、限制功能、關閉賬號等處置措施，對違法信息內容及時采取相應的處理措施，防止信息擴散，保存有關記錄，并向有關主管部門報告《區(qū)塊鏈信息服務管理規(guī)定》第16條規(guī)定：“區(qū)塊鏈信息服務提供者應當對違反法律、行政法規(guī)規(guī)定和服務協(xié)議的區(qū)塊鏈信息服務使用者，依法依約采取警示、限制功能、關閉賬號等處置措施，對違法信息內容及時采取相應的處理措施，防止信息擴散，保存有關記錄，并向有關主管部門報告。”;區(qū)塊鏈信息服務提供者應當記錄區(qū)塊鏈信息服務使用者發(fā)布內容和日志等信息，記錄備份應當保存不少于六個月，并在相關執(zhí)法部門依法查詢時予以提供《區(qū)塊鏈信息服務管理規(guī)定》第17條規(guī)定：“區(qū)塊鏈信息服務提供者應當記錄區(qū)塊鏈信息服務使用者發(fā)布內容和日志等信息，記錄備份應當保存不少于六個月，并在相關執(zhí)法部門依法查詢時予以提供。”。

總體而言，除了規(guī)范性文件和地方性法規(guī)中的部分條款涉及到區(qū)塊鏈，目前關于區(qū)塊鏈的專門立法僅有《區(qū)塊鏈信息服務管理規(guī)定》。《區(qū)塊鏈信息服務管理規(guī)定》就區(qū)塊鏈的特殊性對其信息服務管理和法律責任等主要問題做了規(guī)定，使得相關的監(jiān)管執(zhí)法活動有法可依。然而，該規(guī)定的內容也僅限于信息服務管理，與區(qū)塊鏈安全相關的法律保障內容也就限于信息安全，這是該規(guī)定的立法目的和立法范圍所決定的。2017年7月，國家互聯(lián)網信息辦公室會同相關部門起草了《關鍵信息基礎設施安全保護條例（征求意見稿）》，該條例已經列入國務院2020年立法工作計劃，其中也包括區(qū)塊鏈的安全保護。一些地方也已經頒布了促進和保障區(qū)塊鏈發(fā)展的政策和規(guī)范性文件。例如，2020年5月，廣州市工業(yè)和信息化局印發(fā)《廣州市推動區(qū)塊鏈產業(yè)創(chuàng)新發(fā)展的實施意見（20202022年）》，2020年5月，貴州省人民政府印發(fā)《區(qū)塊鏈技術應用和產業(yè)發(fā)展的意見》。可以預見，關于區(qū)塊鏈技術和產業(yè)創(chuàng)新發(fā)展的政策與立法將會駛入“快車道”。

三、進一步推進區(qū)塊鏈安全的法律保障

（一）從國家戰(zhàn)略高度重視區(qū)塊鏈安全的法律保障

2016年10月，《國務院關于印發(fā)“十三五”國家信息化規(guī)劃的通知》中首次將區(qū)塊鏈列為重點前沿技術，明確提出需加強區(qū)塊鏈等新技術的創(chuàng)新、試驗和應用，以實現(xiàn)搶占新一代信息技術主導權。2017年1月，工業(yè)和信息化部發(fā)布的《軟件和信息技術服務業(yè)發(fā)展規(guī)劃（20162020年）》提出區(qū)塊鏈等領域創(chuàng)新達到國際先進水平等要求。2017年10月，國務院發(fā)布的《關于積極推進供應鏈創(chuàng)新與應用的指導意見》提出要研究利用區(qū)塊鏈、人工智能等新興技術，建立基于供應鏈的信用評價機制。

我國已經將區(qū)塊鏈列為國家戰(zhàn)略的重要組成部分，各級政府高度關注區(qū)塊鏈的研發(fā)和應用。十九屆四中全會以來，區(qū)塊鏈更是引起了各級政府和社會各界的高度關注，一些省市自治區(qū)也紛紛推出了促進區(qū)塊鏈技術和產業(yè)創(chuàng)新發(fā)展的政策，推進區(qū)塊鏈技術和產業(yè)創(chuàng)新發(fā)展也已經成為社會共識。工業(yè)和信息化部總經濟師王新哲在“2019可信區(qū)塊鏈峰會”上表示，工業(yè)和信息化部將加快推進區(qū)塊鏈技術產業(yè)創(chuàng)新發(fā)展，大力推動區(qū)塊鏈和經濟社會深度融合，充分發(fā)揮區(qū)塊鏈技術在帶動技術突破、驅動經濟發(fā)展、促進民生改善、推動社會進步等方面的戰(zhàn)略性作用。據王新哲介紹，未來工業(yè)和信息化部重點抓好五方面工作：一是跟蹤分析前沿動態(tài)，加快完善頂層設計;二是加強核心技術研發(fā)，持續(xù)提高創(chuàng)新能力;三是加快應用落地步伐，推動區(qū)塊鏈與實體經濟融合;四是建立健全標準體系，構建完善產業(yè)生態(tài);五是著力強化安全保障，引導產業(yè)健康發(fā)展[6]。

區(qū)塊鏈被認為是重塑世界的新技術，法律視野下的區(qū)塊鏈的特點是主體匿名性、交易智能化、管理去中心化、鏈上規(guī)則自治化、數(shù)據不可變性、信息透明性和對稱性及救濟（或獎懲）自動化。但這只是從技術層面的分析，從組織行為學的角度觀察，區(qū)塊鏈的去中心化和共識機制為自組織與自協(xié)調機制提供了新的技術化模式。因此，區(qū)塊鏈不應被簡單地從技術層面視為新型的勞動工具和進而推動生產力的發(fā)展，區(qū)塊鏈的深入應用將對社會組織結構乃至生產關系產生深刻變革。“區(qū)塊鏈解決信任的問題，它試圖構建一個低摩擦系數(shù)的世界，屬于生產力范疇;而通證是重構利益分配，屬于生產關系的范疇。”[7]從網絡安全法的角度看，應當客觀、科學地評價區(qū)塊鏈的網絡安全價值，積極拓展區(qū)塊鏈的網絡安全功能，充分利用區(qū)塊鏈的技術特點推進網絡安全和網絡安全法治的現(xiàn)代化。同時，也應當重視區(qū)塊鏈安全的立法、執(zhí)法監(jiān)管及司法，規(guī)范和保障區(qū)塊鏈的安全和創(chuàng)新發(fā)展。

（二）從“零信任安全”的理念構建區(qū)塊鏈的安全架構和法治保障體系

“零信任安全”理念是當前網絡安全業(yè)廣為推崇的新型安全理念，甚至被認為是抵御不斷變化的網絡安全威脅的最好方法。“零信任”一詞是由Forrester Research的分析師約翰·金德維格（John Kindervag）在2010年提出的，其核心思想是“從來不信任，始終在校驗”，將“信任但需要驗證”方法轉化為“驗證而不信任”。Evan Gilman等所著《零信任網絡：在不可信網絡中構建安全系統(tǒng)》是首部介紹零信任網絡的專業(yè)技術著作，提出傳統(tǒng)的安全模型有以下缺點：缺乏網絡內部的流量檢查，主機部署缺乏物理及邏輯上的靈活性，存在單點故障，數(shù)據中心內部的系統(tǒng)和網絡流量是可信的假定是不正確的，網絡邊界的安全保護一旦被突破，即使只有一臺計算機被攻陷，攻擊者也能夠在“安全的”數(shù)據中心內部自由移動[8]。

奇安信身份安全實驗室進一步提出，零信任的核心能力包括以身份為基石、業(yè)務安全訪問、持續(xù)信任評估和動態(tài)訪問控制四個方面的核心能力。（1）以身份為基石。需要為網絡中的人和設備賦予數(shù)字身份，身份化的人和設備運行時組合構建訪問主體，并為訪問主體設定其所需的最小權限。（2）業(yè)務安全訪問。零信任架構關注業(yè)務保護面的構建，要求所有業(yè)務默認隱藏，根據授權結果進行最小限度的開放，所有的業(yè)務訪問請求都應該進行全流量加密和強制授權。（3）持續(xù)信任評估。通過信任評估引擎，實現(xiàn)基于身份的信任評估能力，同時需要對訪問的上下文環(huán)境進行風險判定，對訪問請求進行異常行為識別并對信任評估結果進行調整。（4）動態(tài)訪問控制。動態(tài)訪問控制是零信任架構的安全閉環(huán)能力的重要體現(xiàn)。設置靈活的訪問控制基線，基于信任等級實現(xiàn)分級的業(yè)務訪問，當訪問上下文和環(huán)境存在風險時，需要對訪問權限進行實時干預并評估是否對訪問主體的信任進行降級[9]。

2017年，Google宣布成功完成基于零信任理念構建的新一代網絡安全架構——BeyondCorp項目。2019年7月，美國國防創(chuàng)新委員會公布的《通往零信任（安全）之路》白皮書認為，隨著越來越多的用戶和終端接入網絡，網絡攻擊面增加，現(xiàn)有網絡安全設備正面臨嚴峻考驗，政府和商業(yè)部門正在重新評估目前基于“邊界”的網絡安全架構，并考慮采用零信任新架構以提高網絡安全性。白皮書建議國防部以零信任安全的理念作為未來網信安全的政策基礎，即建設零信任架構。零信任架構是另一個安全概念，其中心思想是不應自動信任內部或外部的任何人/事/物，應在授權前對任何試圖接入系統(tǒng)的人/事/物進行驗證[10]。

在當前基于邊界的企業(yè)安全防護體系正在消弭的背景下，零信任安全已成為下一代主流安全技術路線。騰訊公司近年來一直致力于零信任安全技術、標準及其應用，繼2019年7月《零信任安全技術參考框架》在中國通信標準化協(xié)會成功立項后，在2019年9月召開的ITU-T SG17安全研究組全體會議上，由騰訊公司聯(lián)合國家互聯(lián)網應急響應中心、中國移動通信集團設計院、賽門鐵克公司提出的《服務訪問過程持續(xù)保護參考框架》國際標準獲得立項，該框架是零信任安全技術參考框架的核心組成部分，重在識別企業(yè)用戶在網絡訪問過程中受到的安全威脅，指定訪問過程中的持續(xù)保護措施，實時檢測網絡異常的訪問行為，引入授權增強機制。一舉拿下ITU-T國際標準，標志著以騰訊公司為代表的中國互聯(lián)網企業(yè)在國際標準組織制定中已開始扮演越來越重要的角色，成為規(guī)則的制定者和引領者，體現(xiàn)了中國力量在國際網絡安全領域的技術領導力和話語權，更有力地推動了零信任安全技術在全球范圍規(guī)模商用的進程[11]。

隨著網絡攻擊日益復雜和激烈，傳統(tǒng)的基于邊界的網絡安全理念已“捉襟見肘”，難以再適應當前嚴峻的網絡安全形勢。區(qū)塊鏈分為私有鏈、聯(lián)盟鏈和公有鏈，可以根據業(yè)務需求和應用場景選擇特定的區(qū)塊鏈架構，但總體來說，在區(qū)塊鏈環(huán)境下，其主體匿名但可以被驗證，數(shù)據不可篡改但可被溯源，無管理中心但有共識機制，鏈上各方或許并不了解但可以彼此信任，這些特點恰恰符合網絡安全的“零信任安全”理念。因此，可以認為，區(qū)塊鏈將會使得“零信任安全”理念得到進一步鞏固和加強。同時，也應基于“零信任安全”的理念構建區(qū)塊鏈的安全系統(tǒng)和法治保障體系。

（三）技術與法治耦合解決區(qū)塊鏈安全中的特殊法律問題

國家互聯(lián)網信息辦公室有關負責人在《區(qū)塊鏈信息服務管理規(guī)定》發(fā)布會上表示，區(qū)塊鏈在給國家發(fā)展帶來機遇、給社會生活帶來便利的同時，也帶來了一定的安全風險。通過與傳播領域的結合，被一些不法分子利用以傳播違法有害信息，實施網絡違法犯罪活動，損害公民、法人和其他組織的合法權益。部分區(qū)塊鏈信息服務提供者的安全責任意識不強，管理措施和技術保障能力不健全，這對互聯(lián)網信息安全提出新的挑戰(zhàn)[12]。

業(yè)界對區(qū)塊鏈的安全問題也不無擔憂，主要集中于區(qū)塊鏈被用于違法犯罪活動、隱私安全、數(shù)字貨幣被盜、軟件漏洞、無政府主義和獨裁主義等。例如，區(qū)塊鏈技術也受到國內外廣泛關注并快速應用，從數(shù)字貨幣到智能合約，并逐步向文化娛樂、社會管理、物聯(lián)網等多個領域延伸。隨著區(qū)塊鏈應用范圍和深度的逐漸擴大，數(shù)字貨幣被盜，智能合約、錢包和挖礦軟件漏洞等安全問題將會更加凸顯[13]。盡管區(qū)塊鏈系統(tǒng)的技術創(chuàng)新確實令人興奮，但對“不可信的”技術平臺要慎之又慎，這些平臺會在那些逃避社會的個人之間強制推行一種基于契約的關系[14]。區(qū)塊鏈被稱為是“最有可能改變未來十年商業(yè)模式的技術”，但也被稱為犯罪活動、龐氏騙局、無政府和獨裁主義的避風港[15]。因此，也需要重視區(qū)塊鏈帶來的新型網絡安全問題。中國工程院院士、浙江大學區(qū)塊鏈研究中心主任陳純認為，公有鏈已成為新媒體的傳播媒介，因為公有鏈本身具有去中心化、不可篡改、不可刪除、低成本的特點。因此，在沒有監(jiān)管的前提下，利用公有鏈傳播有害信息、網絡謠言和煽動性、攻擊性信息的成本非常廉價[16]。對于公有區(qū)塊鏈來說，由于任何人都可以在其數(shù)據庫中寫入數(shù)據，其信息內容的監(jiān)管也成為問題。對此，我國首先就區(qū)塊鏈提供信息服務出臺了專門的管理規(guī)定。區(qū)塊鏈特性使得鏈上數(shù)據難以被篡改，區(qū)塊鏈可能成為傳播危害公共安全、涉及恐怖主義和不良信息的載體。隨著監(jiān)管的發(fā)展，任何利用公有鏈區(qū)塊鏈技術進行與互聯(lián)網內容傳播有關的違法犯罪活動，和各國一樣會受到法律的追究。

關于區(qū)塊鏈的安全問題，應當區(qū)分區(qū)塊鏈本身的安全問題和區(qū)塊鏈應用的安全問題，雖然二者的形成、防范及制裁往往是伴生的或融合的。對于區(qū)塊鏈應用中的網絡安全問題，可以按照《網絡安全法》《民法典》《刑法》等法律法規(guī)關于網絡違法犯罪的相關立法進行處理或制裁，在這個問題上，區(qū)塊鏈與互聯(lián)網并無本質差別，都是違法犯罪的工具。可能的差異在于利用區(qū)塊鏈的匿名性等特點或利用比特幣等數(shù)字貨幣實施洗錢等犯罪時，將會給偵查或取證帶來較大的難度。區(qū)塊鏈本身的安全問題應是區(qū)塊鏈安全的法律保障關注的重點。首先，對于區(qū)塊鏈的安全性問題不能一概而論，而是應對私有鏈、聯(lián)盟鏈及公有鏈進行區(qū)別對待，結合三者各自的技術特征和應用功能對其網絡安全問題進行差異化分析并提供與之相適應的法律保障;其次，互聯(lián)網時代網絡安全法的一些規(guī)則不再適應區(qū)塊鏈獨特的技術機制所產生的網絡安全問題，例如，在區(qū)塊鏈的分布式記賬中，如何確定個人數(shù)據擁有者或控制者和如何確定責任的分擔？如何實現(xiàn)被遺忘權、數(shù)據刪除權、數(shù)據的可攜帶權？諸如此類的問題將是區(qū)塊鏈網絡安全法律保障的難點問題;最后，區(qū)塊鏈的分散決策機制和資源配置模式已經得到較為充分的認識，但其對社會組織結構的變革及其可能產生的網絡安全法律問題尚需隨著區(qū)塊鏈實踐應用的深入來觀察。

無論是區(qū)塊鏈安全，還是區(qū)塊鏈的技術研發(fā)與產業(yè)應用，技術標準、行業(yè)標準都是重中之重。如果各機構在不同的標準上不斷建立新的“孤島式”的解決方案，將導致產生無數(shù)基于不同標準的、經過重大妥協(xié)的、復雜的、封閉的解決方案。只有建立技術標準之后，各公司關于區(qū)塊鏈的操作性才會更強;只有建立行業(yè)標準，各機構之間才能實現(xiàn)交互操作[17]。2017年5月，工業(yè)和信息化部電子標準化研究院發(fā)布了《區(qū)塊鏈參考架構》標準。2018年3月，工業(yè)和信息化部發(fā)布《2018年信息化和軟件服務業(yè)標準化工作要點》，提出推動組建全國信息化和工業(yè)化融合管理標準化技術委員會、全國區(qū)塊鏈和分布式記賬技術標準化委員會。2019年11月7日，信息化和軟件服務業(yè)司在北京組織召開的區(qū)塊鏈標準化工作座談會上，信息化和軟件服務業(yè)司相關負責人表示，將聯(lián)合有關部門加強區(qū)塊鏈標準化研究，加快關鍵急需標準的研制和應用，同時積極對接國際標準組織，提升國際話語權和規(guī)則制定權[18]。2020年4月10日，工業(yè)和信息化部發(fā)布《網絡數(shù)據安全標準體系建設指南》（征求意見稿），征求意見稿提出，到2021年，要初步建立網絡數(shù)據安全標準體系，有效落實網絡數(shù)據安全管理要求，基本滿足行業(yè)網絡數(shù)據安全保護需要，推進標準在重點企業(yè)、重點領域中的應用，研制網絡數(shù)據安全行業(yè)標準20項以上。到2023年，要健全完善網絡數(shù)據安全標準體系，顯著提高標準技術水平、應用水平和國際化水平，有力促進行業(yè)網絡數(shù)據安全保護能力提升，研制網絡數(shù)據安全行業(yè)標準50項以上。2020年2月5日，中國人民銀行正式發(fā)布了《金融分布式賬本技術安全規(guī)范》（JR/T 01842020）金融行業(yè)標準。《信息技術 區(qū)塊鏈和分布式記賬技術 存證應用指南》《信息技術 區(qū)塊鏈和分布式記賬技術 智能合約實施規(guī)范》等國家標準正在制定中。2020年4月13日，工業(yè)和信息化部發(fā)布了《全國區(qū)塊鏈和分布式記賬技術標準化技術委員會組建公示》，該技術委員會將承擔起體系化推進區(qū)塊鏈標準制定工作的具體任務。

在執(zhí)法監(jiān)管方面，我國已經將區(qū)塊鏈納入執(zhí)法監(jiān)管視野。截止到2020年4月24日，網信辦已經公布了三批區(qū)塊鏈信息服務備案編號。備案不同于審批，也不等于對備案主體及其產品和服務的認可，備案登記屬于監(jiān)督手段，標志著將區(qū)塊鏈信息服務納入到了規(guī)范化的監(jiān)管體系中。區(qū)塊鏈信息服務企業(yè)應當自律、合規(guī)發(fā)展，也應當接受監(jiān)管部門的依法監(jiān)管。同時，監(jiān)管部門也在著力于探索運用區(qū)塊鏈解決政務管理中的信息共享和網絡安全等問題。在執(zhí)法監(jiān)管實踐中，如何協(xié)調網絡安全與創(chuàng)新發(fā)展的關系一直是執(zhí)法監(jiān)管的難題。從我國的監(jiān)管實踐看，包容審慎的執(zhí)法監(jiān)管理念已經成為執(zhí)法監(jiān)管的共識，透明、高效、信息對稱的一體化、穿透式執(zhí)法監(jiān)管體系正在穩(wěn)步推進，區(qū)塊鏈賦能電子政務將進一步推進執(zhí)法監(jiān)管體制和機制改革，更有利于在監(jiān)管中妥善協(xié)調網絡安全與創(chuàng)新發(fā)展的關系，促進區(qū)塊鏈研發(fā)和應用的自主、可控，切實保障區(qū)塊鏈系統(tǒng)的安全運行。

總體而言，區(qū)塊鏈本身具有比互聯(lián)網更高的安全性，其分布式賬本可以有效保障信息完整性和不可篡改性，且可采用基于協(xié)商一致的規(guī)范和協(xié)議使整個系統(tǒng)中的所有節(jié)點能夠在去信任的環(huán)境下不需要任何人為的干預自動安全地交換數(shù)據，防止信息泄露和欺詐，對于網絡安全特別是網絡信息安全具有重要的價值。因此，應充分發(fā)揮區(qū)塊鏈的獨特優(yōu)勢，運用法律手段推動區(qū)塊鏈在各行業(yè)、各領域的深入使用。同時，也應重視具有非中心化特征和匿名性特點的區(qū)塊鏈的法律監(jiān)管，防止其中的安全問題及其引發(fā)的社會風險，技術與法治耦合推進區(qū)塊鏈的安全保障，促進區(qū)塊鏈系統(tǒng)的安全運行和區(qū)塊鏈產業(yè)的可持續(xù)發(fā)展。例如，《貴陽市大數(shù)據安全管理條例》規(guī)定：“鼓勵安全責任單位運用區(qū)塊鏈等新技術手段，優(yōu)化數(shù)據聚通用架構，強化信任認證和防篡改設計，提升大數(shù)據安全防護水平。”[19]

（四）積極促進區(qū)塊鏈安全的國際合作

區(qū)塊鏈被認為是重塑世界的新技術，已經引起了許多國家的高度重視，但目前區(qū)塊鏈的應用尚處于初級階段，區(qū)塊鏈的安全問題特別是國際合作問題尚待進一步觀察。然而，可以確定的是，國際社會并不會否定區(qū)塊鏈安全的國際合作的必要性。事實上，由于區(qū)塊鏈的特殊性及其網絡安全問題并未充分暴露，國際合作的意義更為重大。

歐美發(fā)達國家及澳大利亞、日本、韓國等國家高度重視區(qū)塊鏈，相繼制定了發(fā)展戰(zhàn)略或法律法規(guī)。據新華社報道，2018年2月1日，歐盟委員會宣布啟動一項旨在促進歐洲區(qū)塊鏈技術發(fā)展并幫助歐洲從中獲益的新機制。這個機制具有收集與區(qū)塊鏈有關的信息、監(jiān)測和分析相關趨勢、探索區(qū)塊鏈技術的社會經濟潛力并應對相關挑戰(zhàn)等功能。歐盟委員會表示，區(qū)塊鏈技術可使在線交易具有很高的可追溯性和安全性，被視為重大技術突破。這一技術將影響數(shù)字服務并改變醫(yī)療、保險、金融、能源、物流、政府服務等領域的模式[20]。例如，2018年9月，西班牙人民黨的133名代表向西班牙議會下院眾議院提交了與區(qū)塊鏈有關的提案，建議政府引入區(qū)塊鏈，以改善內部流程和提供決策的可追溯性、穩(wěn)健性及透明度[21]。2018年，美國俄亥俄州通過《區(qū)塊鏈法案》，承認基于區(qū)塊鏈的智能合約與數(shù)字簽名的法律地位。2019年7月9日，美國參議院商業(yè)、科學和運輸委員會批準了《區(qū)塊鏈促進法案》，該法案明確要求美國商務部為“區(qū)塊鏈”建立標準定義，以及建立新的法律框架，為未來新興技術的應用提供指導和防范風險。2019年3月，澳大利亞公布了一項國家區(qū)塊鏈路線圖戰(zhàn)略，該路線圖將重點關注一系列政策領域，包括監(jiān)管、技能和能力建設，及創(chuàng)新、投資、國際競爭力和合作等[22]。2019年9月，德國經濟與能源部和財政部聯(lián)合發(fā)布了《德國國家區(qū)塊鏈戰(zhàn)略》，說明了德國對區(qū)塊鏈的整體觀點，展現(xiàn)了其在區(qū)塊鏈方面的目標和原則，并提出了具體的行動措施。

或可預判的是，隨著區(qū)塊鏈的創(chuàng)新應用和深入發(fā)展，國際社會將會把目光從互聯(lián)網時代的網絡安全轉向區(qū)塊鏈時代的網絡安全。從國際合作的視域觀察，需要在政策、標準、規(guī)則及機制等方面推進區(qū)塊鏈安全的國際合作，區(qū)塊鏈技術及其應用標準將是首當其沖需要協(xié)商解決的問題。2016年9月，國際標準化組織（ISO）成立了區(qū)塊鏈和分布式記賬技術委員會（ISO/TC307），著手開展區(qū)塊鏈和分布式記賬技術領域相關標準研制工作，并與其他國際性組織合作研究區(qū)塊鏈和分布式記賬技術領域的標準化相關問題。截至2019年7月，ISO/TC307建立了6個工作組（G）和一個研究組（SG），主要致力于區(qū)塊鏈基礎技術、安全隱私和標識智能合約及其應用、治理、用例、互操作等方向的標準制定與研究，目前共有20項左右的在研標準項目。2016年至2017年初，國際電信聯(lián)盟通信標準化組織（ITU-T）成立了多個焦點組進行區(qū)塊鏈技術與應用研究，同時多個研究組也從不同領域開展區(qū)塊鏈應用標準化工作。ITU-T的SG13、SG16、SG1和SG20等研究組分別從未來網絡、多媒體應用、安全與標識、物聯(lián)網與智慧城市等領域著手研究區(qū)塊鏈應用的標準化，同時，ITU-T FG DLT、 FG DFS、 FG DIC和EG DPM等幾個焦點組也分別從區(qū)塊鏈應用分析、數(shù)字金融服務應用、數(shù)字貨幣應用和區(qū)塊鏈數(shù)據處理領域硏究區(qū)塊鏈技術與標準化問題。該組織目前已提出十多項區(qū)塊鏈國際標準項目，大部分都是由來自中國的企業(yè)提出和主導。前文述及，我國也高度重視標準問題，信息化和軟件服務業(yè)司將聯(lián)合有關部門加強區(qū)塊鏈標準化研究，加快關鍵急需標準的研制和應用，同時積極對接國際標準組織，提升國際話語權和規(guī)則制定權。

區(qū)塊鏈安全的國際合作必然會面臨一些互聯(lián)網時代所未遇到的特殊難題。2019年7月，歐洲議會屬下的“科學預見小組”（STOA）發(fā)布了《區(qū)塊鏈與GDPR：分布式記賬技術能否與歐盟數(shù)據保護條例相協(xié)調？》，該研究報告分析了區(qū)塊鏈與GDPR《通用數(shù)據保護條例》的沖突，但并未提出具體可行的對策。在信息化和經濟全球化交融發(fā)展的大背景下，雖然可以在某些問題上做出有益的探索，但由一國或區(qū)域性國際組織解決相關問題會力不從心。從網絡安全法的角度看，要解決的問題就不僅是區(qū)塊鏈與一部立法的沖突與協(xié)調問題，而且是各國相關法律的沖突與協(xié)調問題，問題的復雜性將使其解決的難度更大。然而，難度并不必然意味著悲觀，互聯(lián)網時代的國際安全合作的理念、原則及有益經驗仍然適用于區(qū)塊鏈。

人類命運共同體理念是習近平總書記站在人類社會整體發(fā)展的高度，基于對世界歷史發(fā)展趨勢的深刻理解和科學把握而提出來的[23]。網絡空間命運共同體是人類命運共同體理論在網絡空間的具體體現(xiàn)，是網絡空間和平與發(fā)展的共同期望。在2015年第二屆世界互聯(lián)網大會上，習近平主席指出，網絡空間是人類共同的活動空間，網絡空間前途命運應由世界各國共同掌握。各國應該加強溝通、擴大共識、深化合作，共同構建網絡空間命運共同體。在本次互聯(lián)網大會上，習近平主席就網絡治理提出了“四個原則”和“五點主張”，“四個原則”是指推進全球互聯(lián)網治理體系變革，應該堅持四個原則，包括尊重網絡主權、維護和平安全、促進開放合作、構建良好秩序。“五點主張”包括：第一，加快全球網絡基礎設施建設，促進互聯(lián)互通，讓更多發(fā)展中國家和人民共享互聯(lián)網帶來的發(fā)展機遇;第二，打造網上文化交流共享平臺，促進交流互鑒，推動世界優(yōu)秀文化交流互鑒，推動各國人民情感交流、心靈溝通;第三，推動網絡經濟創(chuàng)新發(fā)展，促進共同繁榮，促進世界范圍內投資和貿易發(fā)展，推動全球數(shù)字經濟發(fā)展;第四，保障網絡安全，促進有序發(fā)展，推動制定各方普遍接受的網絡空間國際規(guī)則，共同維護網絡空間和平安全;第五，構建互聯(lián)網治理體系，促進公平正義，應該堅持多邊參與、多方參與，更加平衡地反映大多數(shù)國家的意愿和利益。習近平主席提出的“四個原則”和“五點主張”展現(xiàn)了網絡治理的中國主張，也體現(xiàn)了世界上絕大多數(shù)國家關于網絡治理的共同心愿，對于包括區(qū)塊鏈安全在內的網絡安全的國際治理具有重大的指導意義。

參考文獻：

[1]SWAN M.Blockchain：Blueprint for a New Economy[M].California：OReilly Media，2015：Preface ix.

[2]李丹，龍會芳，盧艷茹.基于區(qū)塊鏈技術的學術期刊出版誠信體系構建[J].重慶工商大學學報（社會科學版），2020（5）：116-121.

[3]劉繼明，孫成，袁野.中國區(qū)塊鏈熱點領域與前沿路徑——基于CiteSpace計量分析[J].重慶郵電大學學報（社會科學版），2020（6）：121-129.

[4]普里馬韋拉·德·菲利皮，亞倫·賴特.監(jiān)管區(qū)塊鏈：代碼之治[M].衛(wèi)東亮，譯.北京：中信出版社，2019：121-122.

[5]王延川.區(qū)塊鏈：鋪就數(shù)字社會的信任基石[N].光明日報，2019-11-17（7）.

[6]工信部：加強區(qū)塊鏈核心技術研發(fā) 建立健全標準[EB/OL].（2019-11-08）[2020-02-09].http：//www.chinanews.com/cj/2019/11-08/9002190.shtml.

[7]陳源，胡慧超，劉蘊如，等.通證學[M].北京：機械工業(yè)出版社，2019：7.

[8]埃文·吉爾曼，道格·巴斯.零信任網絡：在不可信網絡中構建安全系統(tǒng)[M].奇安信身份安全實驗室，譯.北京：人民郵電出版社，2019：1-2.

[9]專訪奇安信身份安全實驗室：零信任安全，新身份邊界[EB/OL].（2019-09-03）[2020-02-19].https：//yq.aliyun.com/articles/716966.

[10]吳海.為提高網絡安全性 美國防創(chuàng)新委員會敦促國防部實施零信任架構[EB/OL].（2019-07-22）[2020-03-19].http：//www.sohu.com/a/328525346_635792.

[11]實力認證！騰訊主導確立全球首個零信任安全國際標準[EB/OL].（2019-09-11）[2020-03-19].http：//www.ce.cn/xwzx/gnsz/gdxw/201909/11/t20190911_33133591.shtml.

[12]國家互聯(lián)網信息辦公室發(fā)布《區(qū)塊鏈信息服務管理規(guī)定》[EB/OL].（2019-01-10）[2020-03-09].http：//www.cac.gov.cn/2019-01/10/c_1123971138.htm.

[13]王小群，韓志輝，徐劍，等.2018年我國互聯(lián)網網絡安全態(tài)勢綜述[J].保密科學技術，2019（5）：4-9.

[14]SCOTT B.How Can Cryptocurrency and Blockchain Technology Play a Role in Building Social and Solidarity Finance？[M]//羅伯特·赫里安.批判區(qū)塊鏈.王延川，郭明龍，譯.上海：上海人民出版社，2019：160.

[15]凱文·沃巴赫.信任，但需要驗證：論區(qū)塊鏈為何需要法律[J].林少偉，譯.東方法學，2018（4）：83-115.

[16]洪恒飛，江耘.陳純院士：中國區(qū)塊鏈發(fā)展亟待突破四項核心技術[N].科技日報，2019-11-01（1）.

[17]黃曉艷.區(qū)塊鏈創(chuàng)建信任——訪中國工程院院士陳純[J].高科技與產業(yè)化，2017（7）：30-33.

[18]工信部信息化和軟件服務業(yè)司.信息化和軟件服務業(yè)司組織召開區(qū)塊鏈標準化工作座談會[EB/OL].（2019-11-08）[2020-02-09].http：//www.miit.gov.cn/newweb/n1146285/n1146352/n3054355/n3057656/n3057660/c7510946/content.html.

[19]貴陽市大數(shù)據安全管理條例[EB/OL].（2020-04-14）[2020-05-07].http：//www.gzza.gov.cn/zfxxgkml/fgwj/dffg/202004/t20200414_55946695.html.

[20]王子辰.歐盟啟動新機制“擁抱”區(qū)塊鏈技術[EB/OL].（2018-02-02）[2020-03-10].http：//www.xinhua-net.com/2018-02/02/c_1122358539.htm.

[21]吳捷.西班牙立法推進區(qū)塊鏈應用在公共治理[EB/OL].（2018-09-14）[2020-03-20].https：//www.jutui-lian.com/article-62541-1.html.

[22]鄧圩，張悅，施維，等.各國如何迎接區(qū)塊鏈時代的到來？[EB/OL].（2019-11-29）[2020-03-02].http：//world.people.com.cn/n1/2019/1129/c1002-31481994.html.

[23]楊抗抗.“人類命運共同體”研究：文獻回顧與進路展望[J].重慶郵電大學學報（社會科學版），2020（3）：1-8.

Abstract：From the perspective of the Network Security Law， compared with the Internet， blockchains innovative technologies and their applications， such as distributed ledger， have a higher level of network security. With more technical measures adopted， the security of blockchain would be further strengthened. However， blockchain technology and its applications are not absolutely secure; hence， the coupling of technology and law to ensure blockchain security has become an urgent issue. Therefore， we should attach great importance to the security application of blockchain， build a system of blockchain security to guarantee the rule by law with the idea of “zero trust security”， solve blockchains legal security issues respectively based on the characteristics of private chain， alliance chain and public chain， use legal methods to facilitate the innovation of blockchain technology， promote international cooperation in policies， standards， rules and mechanisms， and put the concept of a community of shared future of mankind in cyberspace into practice.

Keywords：blockchain; distributed ledger; smart contract; network security; information security

（編輯：劉仲秋）