萬字詳解加拿大央行CBDC分析報告 « 創投圈

萬字詳解加拿大央行CBDC分析報告

欄目:商業頭條 點擊: 321 次

內容較長敬請諒解,可以慢慢看或分幾次看完

一、CBDC中的隱私技術

數字貨幣與電子支付中的隱私模式和技術,究竟指的是什麼?

加拿大銀行的研究已經確定,支付中的隱私技術為公共利益提供了好處(Garratt和Van Oordt,2019)。本文概述了什麼是在中央銀行數字貨幣(CBDC)系統中技術上可行的隱私保護。 CBDC中的隱私不僅僅是匿名或完全公開的二元選擇。系統設計人員可以選擇哪些類型的信息需要保密,對哪些人保密。由於隱私並不是銀行唯一的職權範圍,因此界定隱私需要與外部各方協商。我們在本說明中的做法是:

1. 開發一個評估不同的隱私模式的框架

2. 了解制定各種隱私模式的技術工具

3. 提出CBDC隱私設計方法的建議

4. 列出主要的風險和權衡

關鍵信息

1. 有許多加密技術和操作設計可以做到細粒度的隱私設計,這需要了解關於隱私和披露的詳細要求。

2. 銀行可以設計一個CBDC系統,比商業產品提供的隱私級別更高——但要有權衡。一些需求的組合是不可行的,或許可能導致較高的操作成本和過度的複雜性以及風險。此外,用戶的整體隱私將取決於用戶行為和CBDC生態系統中其他實體的隱私策略等因素。

3. 實現現金類隱私的技術還不成熟。它們的部署有限,都不符合“了解你的客戶”(KYC)和反洗錢(AML)規定。它們的風險包括隱藏的漏洞、缺乏可伸縮性和復雜的操作。

4. 維護隱私和遵守法規(後者需要披露信息)對於CBDC來說是一分為二的。為了防止欺詐,主動披露信息的必要性使得情況更加複雜。

5. 通過第三方對CBDC架構和操作的審查,可以增強公眾對銀行製定的隱私設計的信任。

(一)系統隱私分析

1. 提供一系列的隱私服務的多樣化支付系統

目前存在或可能用於支付系統的隱私技術種類繁多,從現金、借記卡和信用卡到公共和私有分佈式賬本技術(DLTs)、集中系統和離線設備。不同的系統對用戶可用的隱私有顯著的不同。例如,大多數用戶都意識到,廣義上說,使用現金是高度隱私的,而信用卡提供的隱私較少。我們的目標是更精確地分類系統之間的隱私差異性。

2. 分析、比較和定義CBDC系統需求的框架

我們認為一個CBDC系統由持有額度和交易組成,其中'持有額度'有所有者(O)和余額(B),'交易'有付款人(Pr)、收款人(Pe)和金額( A)。隱私是指持有額度和交易數據對參與實體隱藏的程度。這些實體有很多——付款人的銀行或貨幣服務公司(MSB)、收款人的現金服務公司、政府機構、支付提供商和公眾——每個實體對持有和交易的可見度都不同。我們提出了一個框架,其中系統的隱私配置文件是對每個實體保密的詳細信息的程度的組合。這個公式允許我們比較不同技術的隱私配置文件。

我們在表1中總結了以下代表性技術的隱私級別,解決方式分別有:

1). 磁條信用卡

2). EMV芯片信用卡

3). 電子轉賬

4). 借記卡

5). 許可DLT

6). 公共DLT(如比特幣)的託管和高級使用

7). 由多個不同分類賬組成的分級分類賬系統

8). 基於設備的系統,根據KYC規則使用設備分配給可識別客戶或分配給匿名客戶

9). 現金

基於脫機設備的系統(如PUF Cash,一種基於物理上不可克隆功能的系統(見Calhoun等人,2019)最接近於實現類似現金的隱私。

表:支付技術的隱私配置文件

cbdc.jpg

注: 分數越高/顏色越黑代表更多隱私性

3. 多個實體和行為的依賴

對於某一實體(如商戶),一個系統可能更為私人化,而對於另一實體(如政府)則不那麼私人化。隱私也可能因用戶的行為而有所不同:例如,通過在線賬戶支付可能會洩露個人信息。在設計CBDC系統的隱私,我們必須考慮許多微妙的問題:

1). 應該將所有交易例行地披露給政府,還是只披露部分交易(如設置美元限額)?

2). 執法部門是否應該能夠明確知道個人的財產,即使只是大概知道?

3). 應該對商戶隱藏支付人的身份嗎?

4). 應該向付款人的MSB顯示哪些交易細節?

5). 用戶是否可以在某種程度上在KYC規則之外進行交易?

6). 通過使用一個框架來記錄CBDC隱私需求,系統設計者可以確保它們覆蓋所有實體,並使用具有類似隱私配置文件的系統的設計思想。

(二)隱私技術和設計

1. 採用隱私設計

根據Cavoukian(2011)的觀點,從一開始就在系統中設計符合法規的隱私是很重要的。隱私保護設計是一個眾所周知的方法,它要求在整個設計過程中主動地保護隱私。另一種選擇,即先進行功能設計,然後再添加隱私和合規性,會帶來不必要的權衡風險。

2. 組合製定隱私架構以實現理想的設計

隱私設計可以運用構建不同完備度的區塊和權衡:

1). 群簽名

(Chaum和Van Heyst,1991)允許一組實體在進行交易時隱藏其身份,只顯示“群體中有人”進行了交易。

2). 密鑰共享

(Shamir,1979)或多重簽名(Itakura和Nakamura,1983)方案可以保證只有在足夠數量的實體(例如五個中的三個)同意時,敏感數據才會被洩露。

3). 零知識證明

(Blum, Feldm和Micali,1988)可以在不披露數據的情況下驗證有關數據聲明 (例如,他們可以在不披露數據的情況下證明一筆交易的賬戶餘額足夠)。

4). 同態加密

(Rivest, Adleman和Dertouzos,1978)允許對模糊數據進行數學運算(例如,對加密的餘額支付利息)。

5). 多方計算

(Yao,1982)允許多個實體安全地將他們的數據提供到一個聯合數據集中,以進行欺詐檢測,同時保持他們的數據相互保密。

6). 差分隱私

(Dwork和Roth,2014)和匿名化是確保個人身份信息不能從敏感數據集中提取的技術。對於研究和數據分析等用途,這些數據既安全又私密。

系統設計者可以探索更多未涉及到的潛在應用技術:例如,私有信息檢索(Chor等,1998)和可否認加密(Canetti等,1997)。其中大多數都足夠靈活,可以跨各種技術平台(例如,集中式、DLT和基於設備)使用,並且可以組合和定制以實現細粒度的CBDC隱私目標。

(三)隱私和監管

1. 商業模式、屬性和平台的最優組合

了解CBDC業務模型、屬性和技術平台對於選擇正確的構造並適當地將它們組合是至關重要的。

例如,考慮一個由MSBs驗證私人交易的系統。如果業務模型聲明MSBs是高度可信的,那麼隱私協議可以通過假設驗證者是誠實的來簡化。如果沒有,所選協議必須防止不誠實的驗證者,這將帶來更高的複雜性。如果金額是隱藏的,並且政策規定了一個計息CBDC,那麼所選方案的加密計算必須支持對利息支付。

此外,隱私技術的選擇將取決於所選擇的平台。典型的驗證系統由生成驗證的驗證者(如最終用戶)和檢查驗證的驗證者(如係統)組成。在DLT系統中,多個節點執行驗證,因此系統設計者需要確保驗證協議是高效的,集中式系統可以容忍較慢的驗證。另一個需要考慮的問題是驗證效率和驗證大小之間的權衡——實現快速驗證生成的算法通常會導致較大的驗證。這對於受有限存儲限制的基於設備的解決方案來說可能是一個挑戰。基於設備的解決方案還必須確保所選方案能夠在分散的CBDC網絡連接和有限計算能力的限制下運行。

2. 遵守隱私和技術法規的影響

CBDC系統需要遵守法規(例如KYC和AML),這可以決定隱私的級別和隱私技術的選擇。 KYC可能要求實體存儲對個人數據進行適當分類。一般來說,在遵守法規的同時實現高水平的隱私是複雜的。然而,設計師可以建立一個具有混合隱私級別的系統。在這種情況下,不受監管的持有額度和交易(為用戶提供最大的隱私)將被允許在限制範圍內進行(例如,設置最大限額),而受監管的持有和交易則不受限制。

(四)權衡和風險

1. 高水平隱私權衡

一般來說,由於需要保護的信息較少,較低的隱私級別更容易實現。為了獲得更高的隱私,系統必須將信息封裝在可靠的控件中。這增加了複雜性,也增加了運營成本。它還增加了計算開銷,因此無論DLT還是非DLT平台,擴展到種群大小都是具有挑戰性的或不切實際的。例如,比特幣(Nakamoto,2008)是具有完全可見交易的公開DLT。 Zcash(Hopwood et al.,2020)也是一個公共DLT,但具有基於零知識證明的完全私有交易。這些隱私結構非常複雜,不能伸縮,並且需要用戶的計算開銷,比常規交易要慢得多。

2. 新興密碼技術的風險

諸如零知識證明之類的密碼技術還處於起步階段,目前仍處於活躍的研究領域。在更成熟的技術領域中,使用它們所需的技能並不廣泛可用。即使是在私營企業,也很少有系統將這些技術應用於生產。這裡的風險是,它們的技術複雜性和不成熟可能掩蓋漏洞。此外,目前所知的部署還沒有擴大到全國范圍。在這種情況下的風險是存在將這些技術應用於加拿大地區和未來使用的未知技術障礙,如在物聯網端點的微支付。 .

二、設計一種普遍可獲得的CBDC

CBDC應該具備與現金類似的通用可訪問功能

通用訪問性是加拿大央行的政策和設計目標。加拿大央行有製造便於獲得的紙幣的歷史[1],加拿大的城市、農村和偏遠地區都可以獲得。現金用戶不需要銀行賬戶或數字網絡,也不需要支付費用。央行設計的每一張紙幣都便於包括盲人和部分失明的人使用。我們目前的研究探索瞭如果央行決定發行數字貨幣(CBDC),該如何設計CBDC才能進行普遍使用。

關鍵信息

1. CBDC應該像現金一樣容易獲得。 CBDC是一種數字產品,可以設計成包含現金的許多屬性(例如,易用性、便攜性、離線功能)。使用CBDC應該是一種積極的和具有包容性的體驗——從獲得它,到在交易中使用它,到得到它的支持服務的幫助。

2. CBDC的多種形式可以體現通用訪問的設計原則。央行正在探索CBDC的多種形式,包括傳統的在線和移動技術,以及定制設備和無設備解決方案。我們將就這些選項與利益相關者和終端用戶進行廣泛的磋商。

3. CBDC可以通過專用通用訪問設備(UAD)使用。央行正在研究一種可以在安全存儲和傳輸CBDC的同時實現通用訪問的定制設備潛在概念。該設備可以結合現金的屬性,並利用專門的技術。這種手段應以低成本製造並由央行發行,以確保最大限度的包容性。

4. UAD可能具有智能手機所沒有的彈性。 UAD可以嵌入本地安全的價值存儲,獨立於網絡,並在本地電源上長期運行。如果存在基礎設施故障,UAD可以防止數字交易的中斷。

(一)通用訪問性

1. 包容性最大化

央行試圖設計一個最大限度地提高包容性和可用性的CBDC。它應該能夠為有或沒有智能手機的人服務。它還應該支持在線和離線交易。 CBDC需要為以下人群服務:

1). 全年齡段人群

2). 盲人或者喪失部分視力人群

3). 身體或認知有困難,可能影響他們使用科技的人

4). 低收入或固定收入的人(例如:,使用CBDC必須讓這些人負擔得起)

5). 尚未建立銀行賬戶或信貸的新加拿大人

6). 居住在網絡覆蓋有限的偏遠地區的人

7). 網絡暫時或長期無法覆蓋時的所有加拿大人

8). 停電期間所有加拿大人

與紙幣一樣,央行將與這些群體廣泛協商,以確保解決方案符合他們的需求。

2. 為所有人服務

CBDC應該為整個加拿大人群設計。在設計階段必須小心,因為小問題可能會變成重大的實現問題。央行承諾採用一種設計方法,力求:

1) 通過廣泛的諮詢了解用戶群體

2) 分析他們的具體需求

3) 考慮多種設計選項

4) 開發一個原型用以收集早期反饋和改進

我們認識到好的設計應該使全體人民受益。例如,設計一種服務於部分視力殘疾人群的CBDC,將在較低的光線或能見度的情況下使每個人受益。

(二)數字化現金

1. 附有現金屬性的專用通用訪問設備(UAD)

CBDC是一種數字化產品,可以在設計時包含現金的許多屬性。 UAD可以體現以下類似現金的屬性:

類現金功能的單一用途設計

適當的大小(即:可將現金或信用卡放在錢包裡)

進行小額交易的效率(例如,父母給孩子午餐錢)

類代幣化的離線存儲和價值交換能力

便於編制預算的視覺和物理特徵

單位成本低

2. UAD數字化現金

除了列出的現金屬性外,UAD還可以用於在線交易。這將增加那些由於各種原因無法使用信用卡或借記卡而必須支付現金的個人的數字化包容性。 UAD還可以結合數字技術,增強殘疾人的可訪問性。例如,與存取現金不同, UAD附值無需離開家就可以完成。

(三)傳統和定制的設備

1. 技術選擇

CBDC可以為用戶提供多種技術選擇,包括傳統的在線瀏覽器和移動設備。傳統設備已經具備了可訪問性特徵。例如,internet瀏覽器可以配置顯示大字體的文本,而移動設備允許語音命令和針對能見度有限或色盲的調整。

央行將繼續研究可提高包容性和可獲得性的定制設備和技術,可選的技術樣式包括單組件設備、雙組件系統和無設備解決方案,每一種都可能包括生物識別技術。

2. 單組件設備

加拿大央行進行了一項探索性設計過程,以開發具有通用訪問功能的概念性單組件設備。從一個7歲女孩的角色開始,我們確定了各種用例,例如領取津貼、在學校購買午餐和在線購買遊戲。我們創建了一個交互式模擬,它有一個有餘額顯示和轉賬功能的大型平板顯示器,允許在銷售點支付和設備對設備支付。輔助功能包括大字體、音頻引導和單手操作。它比信用卡還厚,還能放進錢包。

3. 雙組件系統

我們還探索了雙組件系統。一個概念驗證的UAD設計包括一個內置的以電子墨水顯示當前餘額的儲值卡。這種卡可以在銷售點設備上使用,也可以與智能手機配對用於在線和點對點交易。卡也可以插入到一個緊湊的外圍設備,直接在不同卡之間進行點對點轉賬。

4. 無設備解決方案和第三方設計

單組件和雙組件系統都可以有多種設計選擇,無設備設計也存在。創新提高了生物識別技術(如指紋和麵部識別)的可用性和安全性。央行的方法是將多個設計原型化,並對其性能進行評估。如果央行能夠監督第三方提供附加的設計,以確保它們符合隱私、安全和通用訪問的標準,那麼可能允許第三方提供附加設計。

(四)彈性和成本

1. 危機中的彈性

UAD在危機時期具有很強的韌性。它可以被設計成在本地存儲的價值,使用本地電源在沒有中央網絡的情況下運行。設備可以被設計成僅靠本地電源就可以長期運行,並有可能獲得自然能源(如陽光)。或者,如果電源丟失,資金仍然可以通過嵌入式價值存儲恢復。然而,允許設備長期離線存儲價值存在一定的安全風險,我們正在研究(Minwalla,2020)。

2. 成本最小化

應盡量減少每個UAD的成本,以便能夠廣泛分配和根據需要定期更換。如果不附加給個人用戶,UADs可以交換其持有的價值,保持設備的低成本應該使這類交換更容易。這一功能可以進一步支持雙組件系統,這張卡可以交換商品或服務。

(五)可識別和具有加拿大代表性

加拿大紙幣蘊含了信心和驕傲,CBDC也可以做到這一點。紙幣的設計遵循了一套原則,使其具有安全性、功能性、可立即識別性、包容性和易用性。紙幣結合了藝術和技術。它們將可視內容與安全特性和功能需求集成在一起。其結果是美觀的紙幣在加拿大人中具有廣泛的吸引力。 UAD的設計可以遵循類似的原則,並結合當前紙幣的可視性和安全性元素。這將使加拿大人認識到該設備是加拿大央行的產品,並充滿信任地採用它。

三、CBDC的安全性

CBDC系統的安全性是維繫公眾信任的基本要素,若把現有的不同CBDC解決方案進行分類,我們圍繞CBDC系統中涉及的安全問題做出全面的分析。

構建和部署中央銀行數字貨幣所涉及的安全問題,安全性是CBDC系統的基本質量,除了確保底層存儲和價值轉移的安全之外,安全性還涉及隱私和彈性方面問題。必須減輕威脅以保護資金的完整性和用戶的機密性,一個安全的CBDC系統將保持公眾對央行的信任。

關鍵信息

1. 安全必須滲透到CBDC的設計中

如果加拿大銀行選擇發布一個CBDC,那麼安全性必須從一開始就針對CBDC的所有用例進行設計。透過持續測試、驗證保障措施、遵循最佳的實踐做法及定期對主要係統組件進行外部審計,可確保運作的安全性。

2. 潛在的CBDC設計提供不同級別的安全性

依賴於中心化或分佈式設計的解決方案會冒著犧牲保密性的風險最大化完整性和可用性。圍繞嵌入價值存儲的專用設備構建的解決方案以犧牲完整性為代價消除了系統範圍內的風險。混合解決方案可以最大化可用性,但會增加風險和成本。

3. 有許可的分佈式賬本技術(DLT)系統如果作為CBDC解決方案部署,將需要額外的安全保障

公開的DLT不符合CBDC系統的風險配置。私有和有許可的DLT在設計上提供了冗餘和支付真實性(不可抵賴性),但增加了操作複雜性和漏洞。共享賬本更加透明但不那麼保密;分層賬本以犧牲完整性為代價增加了隱私。

4. 本地價值存儲設備具有極強的彈性

用以在本地存儲價值的專用單一用途設備對於網絡級別的攻擊或自然行為是健壯的。支持離線使用的CBDC“幾乎和現金一樣”(見Shah et al. 2020)。但是,設備確實會帶來完整性風險,可能會被損壞或被盜。專用設備加上可用的驗證服務是一種可行的CBDC選項。

5. CBDC生態系統一旦部署,將成為高價值目標

CBDC一旦發布,可能會受到反對加拿大最佳利益的大型組織和國家越來越多的關注。央行必須採取適當的控制和程序,以降低這些高級長期威脅引發的大規模攻擊的風險。

(一)分類

1. 基本原理

安全性建立在機密性、完整性和可用性的概念上。除了這些品質之外,CBDC系統還必須確保央行擁有發行和贖回的唯一權力。 CBDC系統將需要利用成熟的網絡安全技術和流程建立分層防禦戰略。由於安全性是CBDC的主要屬性,因此對安全性的考慮可能會約束所選CBDC解決方案的屬性和用例。

2. 機密性

機密性意味著財產、交易和身份的隱私。存儲的信息應該與操作CBDC系統所需的信息一樣少,機密信息的洩露大大增加了違約的嚴重程度。了解您的客戶(KYC)要求以及反洗錢(AML)和反恐融資(ATF)立法(見Darbha和Arora 2020)可能需要存儲和連接個人身份信息(PII)以進行價值存儲和交易。

3. 完整性

在所有CBDC用例中,必須加強對偽造和雙花的防護,同時也必須確保所有交易的正確性和最終性。與實物鈔票不同,CBDC系統的核心風險是雙花問題——也就是說,能夠多次消費相同價值。數字簽名可以消除偽造,但是需要額外的拷貝保護機制來避免雙花問題:這些機制包括在本地價值存儲設備中的防篡改硬件、在中心分類帳中的組織權威或在分佈式分類帳系統中的共識。

4. 可用性

在CBDC環境中,可用性意味著系統抵禦大規模網絡攻擊的能力。中斷,如分佈式拒絕服務攻擊(DDoS)或殭屍網絡攻擊,可能會暫時限製或禁用對系統的訪問。標準的網絡安全技術可以加強公共終端以及連接系統以減輕此類攻擊的影響。

5. 系統組件

CBDC系統可以向下拆分為便於進行安全性分析的功能子組件。不管是特定CBDC解決方案的性質及其底層的價值存儲,所有CBDC解決方案都將由一個面向用戶的、可交互連接遠程“後端”系統的“前端”組件構成。

前端組件可以是:

1)專用設備

2)在移動設備或桌面平台上運行的軟件應用程序

3)網絡界面

4)或者以上內容的結合

5)後端系統可至少包括:

6)安全、私密、有彈性的數據存儲系統

7)用於連接前端組件的一組面向公眾的訪問點

8)支持組件和冗餘組件(例如,防火牆,備份)

通過這種方式拆分CBDC解決方案,中央銀行可以在組件層和解決方案層對CBDC系統進行安全威脅評估。

6. 風險預測

從安全的角度來看,系統風險與價值存儲的位置有關。將價值本地存儲在前端組件上的系統必須專注於保護終端用戶設備和應用程序免受安全威脅,而將價值遠程存儲的系統必須更多地關注後端系統的安全性。將本地和遠程價值存儲連接到一個統一的CBDC系統混合設計可能最大化可用性,但由於威脅矢量置換導致增加了系統風險。

根據值存儲的位置,CBDC的某些屬性會產生互斥。在線支付很容易通過中心化系統實現,而離線交易很容易通過專用設備實現。交易的隱私性是另一個需要考慮的屬性,因為本地價值存儲設備可能會嵌入交易歷史記錄。離線支付形式在災難(停電、網絡故障)和危機時具有極強的彈性。這些因素和其他考慮描繪了擬議的CBDC系統風險預測。

(二)技術選擇

1. 中心化系統

一個典型的中心化系統是一個用以儲存賬戶和交易的集中式分類賬本,其中賬戶餘額來源於分類賬的當前狀態。這樣的系統可以是基於餘額或價值的,可以建立在中心化、分佈式或聯盟基礎設施上。這些賬戶可以是偽匿名的,並且可以轉讓,只要知道一個隱私就足以證明其所有權。

中心化系統的安全配置文件是成熟和可充分理解的。使用標準的IT安全策略,如專用鏈接、防火牆和白名單,可以減輕威脅。前端組件將連接到需要防止DDoS和其他網絡攻擊的公共可用終端。

2. 開放的分佈式賬本技術

開放的DLT不適合作為CBDC解決方案。開放的DLT的安全狀況不能保證由央行控制貨幣發行或成員的參與。存在可能被有組織的犯罪分子或國家利用(高級長期威脅)來執行大規模攻擊的威脅。這樣的方法包括:

1)控制大部分節點

2)模擬節點來執行惡意操作

3)利用智能合同中的漏洞(設計、工具和實現)

4)銀行將繼續監測開放DLTs,並將其作為一種創新和新出現的風險為在CBDC內使用有許可的DLTs提供了信息。

3. 有許可分佈式賬本技術

從安全角度來看,有許可的DLT類似於集中式賬本,並且比開放的DLTs更適合CBDC解決方案。無論它們是共享架構還是分層架構,有許可的DLTs都將允許中央銀行:

1)控制發行(成員被審查並執行特定角色)

2)基於控制和訪問管理策略的粒度控制參與

3)通過密碼技術、賬本層和私有通道的組合來控制機密性

4)執行不可抵賴性以減輕參與方之間的爭議

有許可的DLTs仍容易受到串通、模仿和流氓行為等風險的影響。

此外,節點互連、共識機制和隱私技術仍然容易受到與開放DLT系統相同的威脅。在參與機構中運行的單個節點成為高價值目標,因此每個節點可能需要類似於典型的中心化系統的分層防禦策略。

因此,從基礎設施安全性的角度來看,使用有許可的DLT節省的成本可能微不足道。有限的訪問權限和強大的治理可以保護節點互連和防止典型DLT攻擊的共識機制。但這需要參與實體之間的協調。

從隱私和商業模式的角度來看,持有額度和交易數據可能被分割給中介機構的分級分類賬系統很有吸引力;然而,分層DLT的部署可能會降低安全性。層與層之間的同步錯誤會導致雙花的風險,因為惡意的參與者可能會利用網絡級別的攻擊來中斷分類帳節點之間的通信。

4. 專用設備

與中心化系統不同的另一個極端是專用設備。單一用途的專用CBDC設備是可移植和安全的,可以在設備上本地存儲價值、憑證、交易日誌和其他輔助數據。均支持在線和點對點CBDC傳輸,網絡訪問是可選的,使得專用設備在網絡連接異常或缺失的危機時刻高度可用。

1)防篡改

設備通常依賴於防篡改硬件(例如,安全元件、物理不可克隆函數或等效的硬件)來維護CBDC的完整性和機密性。洩露會導致機密性和完整性的損失,因為用戶憑證、資金和交易數據都有被洩露的風險。此外,還必須保護由銀行政策產生的限制(例如交易金額和余額的限制),因為修改這些限制可能導致CBDC資金的濫用。

文獻方面還不清楚防篡改設備是否能在長時間離線使用時不被攻破。為了保護CBDC長時間離線運行,可能需要額外的防禦層,形式如下:

(1)本地驗證機制以防止盜竊 (PIN、密碼或生物識別)

(2)對余額、交易數量和交易價值進行嚴格限制,以減輕違約的影響,並強制執行“反洗錢AML”法規

(3)設備上的分析——或者更實際地說,可信驗證服務的周期同步——以允許識別可疑的交易

(4)持續可用(24/7/365)驗證服務,增強消費者和商家信心

延伸的離線使用,類似於現金的使用,仍然是一個開放的問題,銀行正在積極跟踪這一研究領域。防篡改硬件加上驗證服務可能是一種可行的CBDC產品。

2)智能手機集成

CBDC可以本地存儲在智能手機上,儘管這種情況下的安全性是出了名的困難。這是因為智能手機可以運行多個並發應用程序,擁有開放的物理端口,並可以連接到任意網絡。因此,在智能手機上運行任何CBDC價值存儲和支持的應用程序都將面臨複雜的、多因素的威脅。此外,製造商對該平台實施控制,可以限制對關鍵系統組件的訪問,包括嵌入安全模塊(secure enclaves)和用戶身份識別模塊卡(SIM)。

軟件本身目前不足以在智能手機環境中保護CBDC資產,儘管在這一領域已經取得了進展。成熟的技術——如同態加密、白盒加密和虛擬安全組件——有望在中長期提高軟件安全性;這些技術能否與市面上現有的防篡改設備實現相同性,還有待觀察。

5. 混合系統

中心化和分佈式系統不能從本質上支持離線交易;後端鏈接是必要的。將中心化系統與專用設備相結合的混合設計在滿足許多不同類型終端用戶的需求方面大有希望。一些可以綁定到中心化系統上以實現離線訪問的技術示例包括:

1)側通道

2)哈希時間鎖合約

3)代幣化機制(Chaum 1983; Rivest 和 Shamir 1997; Calhoun et al. 2019)

4)承諾機制(Pedersen 1991)

5)簽名機制(Schnorr 1989)

這些技術中有許多還沒有在生產環境中測試過。此外,由於系統耦合,威脅會成倍增加。例如,承諾機制中的加密缺陷可能洩露用戶隱私,危及用戶資金。類似地,在代幣化機制中,設備的漏洞可能使該設備能夠非法地創建但合法地存放CBDC資金。由於技術組合而產生的安全威脅必須像每種技術各自面臨的威脅一樣被充分了解。

(三)仍在討論中的話題

1. 生物識別技術

生物識別是一種方便的身份驗證機制,可以減少交易期間的摩擦。生物識別技術簡化了身份驗證,可以實現無設備的CBDC。系統設計者必須小心地將生物識別技術集成到CBDC中。這是因為標識符一旦洩露就不能更改,惡意實體可能試圖利用生物識別存儲來冒充用戶或進行欺詐。使用生物識別技術是可行的,如果:

1)生物識別被安全存儲在防篡改硬件內,以及

2)與後端系統的交互(存款/取款)依賴於其他身份驗證機制(參見Darbha和Arora 2020)

2. 雲技術

使用雲技術部署CBDC可以提高可用性。可以動態配置部署在雲中的數據庫和端點,以擴展操作負載並最大化全國可用性。然而,必須考慮重要的警告:

1)依賴自定義硬件的CBDC解決方案可能很難或不可能集成到遠程雲平台。

2)央行需要保證供應商採取適當的預防措施,將CBDC特定資源與其他客戶隔離,以防止信息洩露。

3)CBDC系統只能在供應商保證敏感數據位於境內的情況下將PII數據存儲在雲端。

3. 大規模攻擊

一個正在運作的CBDC將吸引有組織犯罪集團和有能力發起大規模襲擊的國家的注意。主要的威脅包括:

1)持續或持久的網絡攻擊(DDoS,殭屍網絡)導致關鍵的CBDC服務中斷

2)用於基礎設施和終端用戶設備組件的供應鏈攻擊

3)用於終端用戶設備和應用程序的側通道攻擊

針對終端用戶的社會工程攻擊被認為不是主要威脅,但對有組織犯罪來說是一種有吸引力的途徑。雖然不是傳統的攻擊,但虛假信息的活動可能會使CBDC新技術受到質疑,並可能對銀行在公眾眼中的感知能力產生負面影響。

DLT系統容易受到DDoS攻擊,因為每個交易都需要與其他節點進行網絡交互。專用設備也可能受到影響,但程度較輕,因為此類攻擊可能暫時中斷登錄服務、取款/存款功能和驗證服務。如果參與者利用現有的殭屍網絡,他們可以用最少的時間和資源來協調DDoS攻擊。這與向防篡改集成電路注入後門的攻擊形成對比,後者需要專業知識、特定設備上的受保護信息和製造過程的訪問權限。此外,硬件惡意部分可以追溯到一個特定的製造步驟,而在一個精心實施的DDoS攻擊中,參與者可以保持看似可信的推諉能力。

即使成功的大規模攻擊不會危及CBDC的完整性,它們也會侵蝕公眾對該系統的信心。因此,CBDC系統需要持續的監測和定期審計,以評估彈性。此外,所選擇的解決方案需要遵循最佳實踐來降低風險,並在出現新漏洞時保持組件狀態更新。

4. 加密敏捷性和量子硬度

加密敏捷性可以定義CBDC的長期運行安全性。隨著支撐CBDC的計算環境和密碼學的發展,以前被認為是萬無一失的算法將會出現新的缺陷和攻擊。採用加密敏捷的CBDC應該能夠修補或升級底層的原語操作,同時最小化運行停機時間。

從表面上看,中心化和DLT系統在加密方面更加靈活。需要修補的組件更少,而且這些組件具有健壯的連通性。專用設備對加密敏捷性提出了挑戰,因為如果設備丟失或遺忘或作為應急儲蓄保存,可能會在很長一段時間內保持離線狀態。有年份的設備有望在不損害整個系統的安全保證的情況下進行互操作。管理離線問題的技術解決方案確實存在:例如,使用非充電電池來限制設備的壽命,或預先編程固定的交易數,超出此限額設備需要重新連接。適當預備加密敏捷性將確保CBDC系統的長期可行性。

隨著量子計算的實用性越來越強,密碼原語的量子硬度將變得越來越重要。現有的加密操作將需要被量子硬度的變體所取代。因此,量子準備(Quantum preparedness)是整個加密敏捷計劃的基本元素。

(四)治理

1. 界限

CBDC可以被歸類為關鍵金融基礎設施。因此,它可能必須遵守國家關鍵基礎設施戰略(加拿大公共安全2009),並成為銀行財務管理基礎設施的核心組成部分。存儲和使用敏感數據做分析可能需要遵守《隱私法》。

2. 中央銀行控制

專用CBDC設備將通過將銀行控制的防篡改硬件合併到通用或自定義格式來實現垂直集成(詳見Miedema等人2020)。單一用途設備的所有組件(硬件、固件、軟件和加密)都將屬於中央銀行的權限。當錯誤和攻擊途徑出現時,央行可以直接或通過可信渠道採取果斷行動,以減輕入侵的影響。央行可以在市場上發布補丁,或者移除或替換有缺陷的產品,就像它目前對紙幣所做的那樣。可視和隱蔽的安全特徵可以集成到設備中,使篡改變得顯而易見,以此增強公眾信心。

央行可以讓部分設備或應用程序公開,以促進創新。漏洞獎勵可以用來吸引更大的有道德黑客和學術技術社區來識別系統中的漏洞。央行可以選擇允許有執照的供應商在發行自己的參考設備或應用程序之外,也可以發行自己的前端設備和應用程序,只要存在合適的治理和監管模式,並且能夠保持央行發行的排他性。

3. 合規

為了遵守AML和ATF法規,CBDC系統可能需要與其他政府機構共享信息,包括執法部門。如果合規性引入了後門訪問(例如,“Master”密鑰),那麼CBDC解決方案的機密性和完整性可能會受到損害,因為這樣的後門可能會被未授權的參與者破壞。銀行需要探索當局要求的通過正當法律程序以揭露信息的像執法一樣的解決方案。例如,多個機構可以持有解密密鑰的片段,只有在法院發布批准後才能釋出。

4. 標準

目前,還不存在CBDC安全性的標準,儘管個別子組件可能受到現有標準約束(例如FIPS-140 [NIST 2001]和防篡改設備的通用標準),生態系統標準正被積極探索。現有的安全標準,如PCI-DSS、EMV和GlobalPlatform有助於確保當前支付系統的安全。中央銀行可以選擇對CBDC實施類似的標準。鑑於CBDC可以採取的形式多樣化,以及對首選方案的有限共識,短期內不太可能建立標準。銀行可以選擇與政府機構、其他中央銀行和行業聯盟就標準和規章進行協調。

(五)安全性是CDBC的基本質量

安全性必須從一開始就加以設計。分類法旨在對市場上已有的許多CBDC解決方案進行分類和分析,開放DLTs仍然不適合CBDC使用。 CBDC的完整性是核心風險,必須在所有CBDC用例中進行管理。本地價值存儲解決方案在危機時期提供了極強的彈性,但也帶來了本地完整性風險。混合系統將所有CBDC用例的訪問最大化,同時也在危機期間保留了可用性。可運行的CBDC系統將是犯罪組織和其他國家的首要目標,需要適當的安全措施來最小化風險,以及持續監控威脅。

四、CBDC的採用和使用:來自現場和實驗室實驗的一些見解

綜合過去推出的新型支付方式經驗以及相關研究,分享關於如何成功採用加拿大央行CBDC的見解。

歷史上新支付方法的推出和相關實驗室實驗中對加拿大中央銀行數字貨幣的可能採用和使用的見解。主題:中央銀行研究;數字貨幣和金融科技。

關鍵信息

1. 成功啟動和維持中央銀行數字貨幣(CBDC)的採用和使用的必要條件是確保CBDC在支付領域有一個明確的利基地位 。

2. 一種可行的方法是將CBDC設計成“增強型現金”,以降低現金的攜帶和處理成本,實現電子轉賬,同時保留現金獨特的理想特徵。

3. CBDC理想的設計特徵包括通用的可訪問性、透明和每筆交易費用低、高度的隱私性和強大的離線功能。

4. 由於網絡效應,當且僅當消費者和商戶都從現狀中獲益時,才會持續採用並使用CBDC作為個人對企業(P2B)支付方式。啟用P2P(people-to-person,P2P)功能有助於抓住消費者,促進P2B的使用。

(一)明確的利基很重要

一種新的支付方式,如中央銀行數字貨幣(CBDC)的成功推出、持續採用和使用需要強有力的用戶案例,沒有明顯優勢的新支付方式是不可能成功的。這可以從幾項新的支付方式的成敗中看出。

一個值得注意的成功項目是八達通卡,它是可反复擦寫和非接觸式存儲的智能卡,用於在香港的在線或離線系統中進行電子支付。八達通卡於一九九七年九月推出,目的是為該地區的公共交通系統收取車費,現已擴展至大多數便利店、超市和快餐店的零售付款。其他常見的八達通支付應用包括停車收費表、停車場、加油站、自動售貨機、公共圖書館和游泳池。八達通卡之所以成功,一個根本原因是它在推出時的獨特利基:與其繁重的“車票”前身相比,非接觸式卡大大加快了車費支付速度,緩解了繁忙城市公共交通系統的瓶頸。

一個值得注意的失敗項目是Mondex的儲值卡。上世紀90年代初,Mondex在全球範圍內對該卡進行了50多次試用,但收效甚微。最根本的缺陷是,Mondex卡與它要取代的實物現金相比,沒有任何明顯的優勢。它的好處包括有可能節省與紙幣和硬幣有關的手續費並使電子商務能夠付款。它還保持了現金的離線交易能力。但Mondex被認為在隱私、可信度和潛在成本方面不如現金。 Mondex聲稱交易是私營的,這一說法引起了爭議。此外,Mondex結餘是由私營銀行發行的,對這些餘額的存款保險覆蓋範圍尚不清楚。儘管Mondex在試點項目期間為信用卡的使用提供了補貼,但尚不清楚未來將收取哪些費用。

(二)理想的設計特點

1. 有前途的途徑可能是設計CBDC,以模擬現金的理想功能同時提高交易能力

加拿大人有很多支付方式,包括現金、(非接觸式)借記卡和信用卡、Interac電子轉賬、移動支付應用程序(如Apple Pay和Google Pay)以及在線支付賬戶(如PayPal)。銀行賬戶、手機和互聯網接入的普及率非常高。中央銀行提供的電子支付工具可能具有比較優勢。

在加拿大,由於網上購物的擴張、非接觸式支付卡的相對易用性以及為替代支付方式(主要是信用卡)提供的激勵措施越來越多,用於交易的現金份額正在下降。然而,加拿大人在某些情況下仍然看重現金作為一種支付方式,因為它比其他支付方式具有某些獨特的優勢。這些優勢包括:

1) 通用無障礙(每個人都可以使用現金)

2)交易時不收取中介費

3)高度的隱私

4)離線傳輸的能力

一些用戶喜歡現金的優勢,但不能將其用於虛擬(電子)轉賬。旨在模擬現金而不需要實物面對面交易的CBDC可以吸引這些用戶。

在本節,我們將為CBDC這樣的現金系統確定一些用例。我們從上述三種理想的實物現金特徵的數字化中得出這些案例。假設CBDC被商戶接受,我們將分析每種功能如何吸引消費者,反之亦然。

CBDC具有通用的可訪問性,在交易點不收取中介費,可以為頻繁的低價值交易提供透明且相對便宜的數字支付選擇。在加拿大,借記卡和信用卡(特別是非接觸卡)是個人對企業(P2B)交易的有效支付手段。 Interac e-Transfer允許加拿大人通過其銀行賬戶相互轉賬,自2015年以來,在個人對人(P2P)和P2B支付中越來越流行。與私營電子支付方式相比,現金具有更大的可訪問性,每個人無論是否可以訪問互聯網、銀行賬戶或移動設備都可以使用它。現金對於頻繁的低價值交易也有相對的成本優勢。在交易時,現金支付不涉及中介成本。相反,商戶向收單機構支付手續費,使用借記卡的每筆交易收取固定費用,或者按信用卡銷售額的一定比例收取。對於消費者來說,大多數免費或低收費的銀行賬戶都會給予一定數量的免費交易,但超過免費期限的交易都會支付罰款,為了[l2] 避免這些罰款,對於頻繁的低價值交易,消費者可能更喜歡現金而不是藉記卡和內部電子轉賬。小商戶在協商支付服務費時往往沒有什麼議價能力,他們可能更喜歡現金,以避免與信用卡支付相關的費用。

與現金一樣,CBDC也可以設計為具有包容性,這樣用戶就不需要銀行、互聯網接入或電話就可以使用它。例如,中央銀行可以為公眾提供免費的設備來存儲CBDC。與現金一樣,CBDC也是中央銀行負債,公眾在交易時可以自由使用。中央銀行鑄幣稅收入可以用於支付開發和維護CBDC設備的成本以及創建CBDC並確保其安全性的成本。

2. 作為一種具有增強隱私功能的電子支付手段,CBDC可能具有潛在的優勢

用戶可能更喜歡支付隱私,以防止其他人不當地使用他們的交易歷史記錄詳細信息。 Borgonovo等人的實驗研究(2019)表明人們將隱私視為支付方式的重要特徵。隨著電子支付的使用不斷增加,收集、存儲和分析在線消費者數據的成本繼續下降,人們對隱私的擔憂可能會增加(例如,見Hoofnagle,Urban and Li 2012;Garratt and van Oordt 2019;Kahn 2019 )。用戶在付款時可以有更多的選擇來分享(或不分享)信息。

具有高隱私級別的CBDC對於隱私非常重要的電子交易是有用的。許多隱私保護技術基於密碼學(例如,用戶數據的加密)和操作安排(例如,在沒有串通動機的多個代理之間分配解密密鑰片段)。啟用具有強大隱私控制的交易模式(例如,通過不依賴手機或互聯網的設備)也可能會有所幫助。但是,使用CBDC進行在線交易或使用任何電子支付方式來複製現金交易所提供的相同級別的隱私,即使不是不可能,也是很困難的。此外,充分保護電子隱私將涉及更廣泛的法律和監管干預,以限制和限制私營信息的使用。

3. 支持離線轉賬的CBDC可以補充對停電和斷網敏感的現有支付方式

加拿大大多數現有的信用卡支付都需要互聯網連接來驗證信用卡信息。當支付系統因停電或互聯網故障而出現故障時,會給消費者帶來不便。對於商戶來說,風險可能更大,因為他們有失去銷售額和客戶的風險。即使可以離線讀取借記卡或信用卡並存儲交易數據,也只有在連接恢復時才能進行實際的卡處理。因此,離線接受信用卡存在風險。具有更強大的離線功能的CBDC可以作為停電和互聯網故障時的備用支付方法。它也可能是某些類型企業的主要支付方式,如食品卡車或戶外農貿市場。

最後,像現金這樣的CBDC支付方式很難並不會取代現有的支付方式。相反,CDBC應該致力於填補支付領域的空白,尤其是在無現金環境發展的情況下。它應該與其他支付方式共存,使支付系統更加健全和高效。

(三)啟動注意事項

1. 由於網絡效應,重要的是商戶和消費者都能從切換到CBDC中受益,以實現P2B支付的成功採用和使用

上一節指出了像CBDC這樣的現金可以吸引消費者和商戶的領域,前提是對方願意接受或使用它。支付方式的採用涉及到網絡效應。對於消費者來說,如果更多的商戶接受新的支付方式,採用新的支付方式的好處會增加。反之亦然:當更多的消費者使用新的支付方式時,商戶會從中受益。

由於網絡效應,一種社會效率更高的支付方式可能沒有機會起飛。 Arifovic、Duffy和Jiang(ADJ,2017)在受控實驗室環境中提供了證據。在他們的研究中,消費者和商戶新的支付方式相對於現有的支付方式,涉及到跨交易成本都較低。但商戶必須支付固定的費用,例如,租用或購買終端,建立和維護一個新的賬戶,他們必須培訓員工使用新系統。切換到新的支付方式是社會最優的,因為它可以最小化總交易成本,但ADJ(2017)記錄了在採用過程中的強大網絡效應。在固定採用成本較高的情況下,如果完全採用新的支付方式,商戶的境況相對於現狀會更差。在這種情況下,商戶的反應是擔心失去生意,一開始接受新的支付方式,但最終隨著時間的推移學會抵制新的支付方式,把經濟拉回到社會效率低下的舊支付方式。在這一過程中,由於支付選擇的不匹配,也會產生較大的效率損失。 ADJ研究的一個教訓是,支付系統的雙方都必須從轉換到CBDC的現狀中獲益,才能實現平穩和持續的採用和使用。

在相關工作中,Huynh、Nicholls和Shcherbakov(2019)研究了2013年支付方式(MOP)調查和2015年零售商支付方式成本調查的數據,以研究網絡效應在零售支付系統中的作用。它們量化了消費者和商戶之間反饋循環的重要性。從這項工作中得到的一個教訓是,由於網絡效應的強度取決於它們是來自消費者還是商戶,因此有效地引入CBDC應該考慮對市場各方提供的採納/接受激勵的響應彈性。

2. 使CBDC易於P2P傳輸可能有助於吸引消費者並促進P2B支付的使用

這是一些非常成功的支付系統所遵循的路線,例如瑞典的Swish、中國的微信支付以及最近加拿大的Interac e-Transfer。 Swish(2012年推出)最初用於個人之間的交易,但很快就開始用於跳蚤市場和其他小型支付活動中,信用卡讀卡器成本太高或不切實際。希望避免信用卡手續費和簡化在線支付的小公司很快也效仿了這一做法。微信是一款中文多功能短信、社交媒體和移動支付應用。微信支付是微信中的數字錢包,允許用戶進行移動支付和在聯繫人之間匯款。微信支付的使用在2014年1月開始普及,當時微信推出了一個分發虛擬紅包的功能,虛擬化了中國春節期間朋友和家人交換一包錢的傳統。從那時起,微信支付迅速擴展到P2B支付。它已成為中國日常小額交易的主要電子支付方式,已成為日常生活的一部分。在加拿大,Interac e-Transfer遵循了類似的路線:它最初打算用於P2P傳輸,但也擴展到P2B交易(Interac e-Transfer將在下面進一步討論)。

引入一種專門針對P2B支付的新支付方法可能更具挑戰性,因為它需要市場消費者和商戶雙方的協調。一種方法是將CBDC設計成一種通用的、相對便宜且簡單的P2P支付方式,以獲取消費者群,從而為擴展到P2B支付奠定基礎。

3. 為了減輕私營數字貨幣對採用CBDC的威脅,政府有利於加元的交易政策可能會有所幫助

除了以本國貨幣計價的支付方式的創新外,還對比特幣等新的私營數字貨幣進行了許多試驗。比特幣的交易使用率很低,受到其價值劇烈波動的阻礙。根據加拿大銀行2018年比特幣綜合調查(Henry等人。2019年),儘管公眾對加密貨幣認知度很高(89%),但只有5%的加拿大人擁有比特幣,4%的加拿大人在上一年使用比特幣從企業進行購買。 Libra計劃作為一種數字貨幣,由金融資產支持,以實現國內和跨境資金轉移,可能實現比比特幣更穩定的價值,並為CBDC帶來更多競爭。

在這種情況下,政府可以採取一些行動來減輕來自私營貨幣的威脅。 Jiang和Zhang(2018)在實驗室中研究兩種貨幣之間的競爭,目標人群選擇是否接受本國貨幣和外國貨幣。他們的研究表明,如果沒有匯率風險和政府乾預,這兩種貨幣都很容易被接受。然而,有利於政府貨幣的政策將大大降低外國貨幣的廣泛可接受性。這項研究的一個教訓是,為了減輕Libra等私營數字貨幣的威脅,有利於加元的交易政策(例如,規定稅收和政府服務必須以加元支付)可能會有所幫助。

(四)不斷發展的零售支付格局中的CBDC

鑑於零售支付領域的新發展,CBDC的利基定位對於其成功採用和使用更為重要

在加拿大,公共部門正在採取各種新舉措來加強零售支付領域的競爭。其中一個值得注意的項目是實時軌道(RTR),一個快速處理小額支付的新平台。 RTR將由“加拿大支付”運營,並將向新的支付服務提供商(PSP)開放。通過RTR進入新的PSP可以促進創新和競爭,並為最終用戶提供更便宜和更方便的支付服務。另一方面,非接觸式卡等電子支付技術的新發展加快了每筆交易的處理時間,有效降低了卡支付的每筆交易成本。因此,這些非接觸式卡的小額交易也逐漸取代現金交易。近年來,內部電子轉賬也經歷了快速增長,因為一些銀行已經開始使用個人支票賬戶提供無限制的免費電子轉賬交易,而自動存款和請求付款等電子轉賬功能也使之成為可能更方便消費者和商戶使用。

為了得到持續的採用和使用,CBDC的設計不僅要跟上私營電子支付方式的發展,而且要在某些方面更出類拔萃。鑑於零售支付的新發展,就成本和易用性而言,CBDC要比私營電子支付手段更好是更難做到的。因此,CBDC的利基在於實物現金相對於常規(基於賬戶)私營電子支付方式的獨特、理想的特點:

1. 通用性

2. 透明性

3. 較低的每筆交易費用

4. 高度的隱私性

5. 強大的離線能力

可以想像的是,隨著時間的推移,競爭將促使私營PSP沿著這些維度改進。但是追求這些目標可能不會產生足夠的利潤,無法成為私營PSP的首要任務。加拿大銀行的任務是為加拿大人的經濟福祉做出貢獻(如《加拿大銀行法》所定義),它可以為公眾提供一種獨特的支付手段,這種支付方式提供私營部門可能無法提供的功能。

五、中央銀行數字貨幣對銀行存款的潛在影響

發行CBDC對商業銀行的資金流動性和盈利能力會產生潛在的短期影響。只要採用合理的設計方案,系統重要性銀行能很好地抵抗這種短期負面影響。

理論上,以加元計價的零售CBDC可能會和銀行存款產生競爭。我們利用2018年和2019年的監管數據,分析存款競爭加劇對加拿大六大銀行收入和流動性的潛在影響。

主題: 數字貨幣和金融科技; 金融機構;金融穩定

(一)簡介

消費者可以以現金形式或商業銀行存款形式持有資金。現金和銀行存款都可以作為一種支付方式和價值儲存手段。基於這種意義,對於消費者來說,現金與銀行存款存在“競爭”。

我們預計央行數字貨幣(CBDC)將與銀行存款形成競爭。即使CBDC的設計目的不是為了製造競爭(例如限制交易規模或不賺取利息),但這種情況可能會真實存在。這種競爭將加劇,因為CBDC是一種可以像現金一樣用作價值儲存手段和交易支付手段的新型安全資產。

對銀行來說,銀行存款是一種相對廉價和穩定的資金來源。對存款的競爭加劇,可能會促使銀行考慮其它資金來源。淨收入和流動性(淨現金流入)可能會減少,而為了反映新常態,商業模式可能會隨著時間而改變。在其他條件不變的情況下,這些變化可能會通過縮短資金到期日和降低銀行內部產生資本的能力而影響金融穩定。

為了研究這種可能性,我們利用2018年和2019年(COVID-19之前)的監管數據進行了敏感性分析,以評估引入CBDC會如何因競爭加劇而影響淨收入和流動性。我們發現,加拿大最大的6家銀行可能會吸收對淨收入和流動性的潛在衝擊,但盈利能力會出現暫時的下降。

為了進行分析,我們考慮了採用CBDC的三種假設場景,並假設CBDC被設計為具有與現金類似的特性。使用這些採用場景,我們分析為增加資金成本將影響盈利能力,以及資金穩定性降低(短期資金)將影響資金流動性。

為了分離對收入和流動性的具體影響,我們做以下假設:

1. 銀行維持他們的貸款或費用收入。

2. 銀行維持他們的商業模式。

3. 銀行可以用其他資金來源取代存款資金。

4. 資金成本對存款需求並不敏感。

(二)CBDC將與零售銀行存款展開競爭

作為一種應急措施,加拿大銀行正在創造發行類似現金的零售CBDC(加拿大銀行2020)的能力。 CBDC將以加元計價,不賺取利息,面向零售客戶(個人和小企業)。

CBDC的採用將取決於設計,銀行部門如何應對CBDC的競爭,消費者如何反應,以及隨著新技術的引入金融系統如何演變。在目前的設計假設下,存款中對引入CBDC最敏感的似乎是以加元計價的零售存款(如支票存款)。

以加元計價的支票存款約佔銀行總資產的5%(圖1)。為了考慮潛在的溢出效應,我們還考量了一些備選方案,其中包括可能對CBDC敏感的非支票零售存款(儲蓄),假設銀行客戶將其用作價值存儲手段。支票存款和儲蓄賬戶存款規模略高於銀行總資產的10%。

圖:對CBDC敏感的零售存款佔銀行資產的5%- 10%

CBDC.jpg

(三)采用比率决定面临风险的存款量

为了探索CBDC对银行资金的可能影响,我们考虑了使用三个层面的场景,包括当前对纸币的需求,个人银行存款的余额和可比的支付方法(表1),探索对银行的潜在影响,但这不意味着对采用的预测。

表:基於現金和存款餘額的採用場景(截至2019年4月)

CBDC.jpg

以下是我们考虑的采用场景:

1.场景A假设容易受CBDC竞争的存款数量与未偿付现金数量大致相同

900亿加元。例如,如果未偿付现金仍以目前的水平流通,并且额外发行了900亿加元CBDC,就可能发生银行存款减少的情况。鉴于现金仅占银行资产的2%左右,加元存款的5%,这种情况不太可能对银行资金产生重大影响。

2.场景B假设所有以加元计价的零售支票存款都将面临CBDC的竞争

这相当于2800亿加元。尽管这些存款是银行资金的传统来源,但在资产中所占比例相对较小(5%),加元存款资金占16%。因此,对于D-SIBs而言,CBDC相对于支票存款的竞争似乎是可控的。如果CBDC具有支票帐户的所有特性、方便性和可信任性,就会出现这种情况。

3.场景C所有以加元零售支票和储蓄存款都容易受到CBDC的冲击(5850亿加元)

这种情况可能发生在消费者对加拿大银行系统失去信心,选择放弃储蓄利息转而寻求由央行背书的CBDC的安全性。

借记卡、支票和现金是CBDC最类似的支付方式。2018年,消费者通过这三种方式在实体店和网上支付的金额分别达到2430亿加元、650亿加元和930亿加元(详见附录,TSI 2019) 。另一大类付款(“其他”)包括预先授权的票据付款、电汇和其他银行转账。这些“其他”支付方式的总价值为2640亿加元,如果CBDC设计包含这些支付方式,其中一部分将可以被取代。借记卡、支票和“其他”支付方式的总价值为5710亿澳元。

(四)盈利能力和资金流动性可能会收到负面影响

为了减少存款外流,银行可以提高支付给那些需求价格弹性高的储户的利息。银行还需要用其他成本更高、波动性更大的资金来源来弥补损失的存款。在其他条件相同的情况下,这些行为可能导致银行盈利能力下降(另见Chiu et al. 2019)。

1.盈利能力

为了评估净收入对CBDC的敏感性,我们分析了当每个场景的有效利率分别增长25个基点(bps)、50个基点和184个基点时对存款的影响。增幅最大的是截至2018年第四季度的有效批发定期存款利率。表2报告了国内系统重要性银行对净息差、税前净利润和股本回报率(ROE)的影响。我们假设银行客户在一个季度内采用CBDC,银行没有机会将增加的资金成本转嫁给借款人。

表:加拿大最大的六家銀行對利息收入的平均影響

CBDC.jpg

注:對淨資產收益率的影響以年度計量;其他影響按季度計算。

資料來源:2018年第4季度加拿大銀行資產負債表(M4)和損益表(P3)的監管文件。

在场景A中,税前净收入将减少0.6%到3.0%。9个案例中有3个案例的净收入下降仅超过5%,主要是在采用率高且利率显著提高的情况下(场景B,+184个基点; 场景C,+50 bps或更高)。这些结果表明,存款成本的增加对净收入的影响大于CBDC采用程度对净收入的影响。即使在最极端的情况下国内系统重要性银行的净收入会大幅下降,其他条件都相同时,国内系统重要性银行仍将保持高利润,平均ROE下降不到一个百分点。在过去两年(2018-19年),国内系统重要性银行的平均ROE约为15%。

虽然我们关注的是利息收入,但手续费也可能受到影响,因为客户持有的银行账户可能会减少从而减少相关收益。支票账户也是一种重要的银行产品,它能帮助银行获得客户,并导致其他产品的交叉销售。如果客户取消银行支票账户,这对收益的影响可能比利息成本上升和费用收入减少更广泛。但是,其他产品的交叉补贴可以维持对交易帐户的需求,减少向CBDC的流出。更高的利率也会减少存款的流出,但会对净收入产生负面影响,正如我们已经展示的那样。

存款活动减少的一线希望是,降低与维护营业网点相关的成本。这些成本在短期内可能是固定的,但储户的减少可能会导致银行的分支机构减少,从而在长期内降低成本。

2.  资金流动性

银行的流动性状况在一定程度上取决于其资金来源的稳定性。稳定的资金通常是长期,价格波动小,以及不太可能取出的。稳定的资金可确保现金流入继续超过现金流出,使银行能够在较长一段时间内满足其资金需求,即使在财务高度紧张的情况下也是如此。

近年来,零售存款一直是一个稳定的资金来源。如果银行需要用不太稳定、短期的资金来源取代零售存款,那么在压力时期现金流入超过现金流出的预计月数可能会减少。对于我们的这部分分析,我们使用净累积现金流(NCCF)监管备案文件来评估一个CBDC对正现金流预期月数的流动性影响。我们使用三种采用场景来粗略估计可以被不太稳定资金来源替代的存款数量。然后,我们假设这些存款将被三种逐渐减少的稳定存款产品所取代:无保险存款和两种批发活期存款(表3)。存款的稳定性通过径流率来衡量,径流率是在压力事件期间存款可提取的速度。径流率的增加会减少未来银行现金流入超过流出的月份。这种衡量的意思是,净正现金流月数越大,银行应对意外流动性冲击的时间就越多。

表:銀行在大多數情況下能夠承受CBDC的流動性衝擊

CBDC.jpg

在CBDC采用率较低的情况下(如场景A),对银行流动性的影响要么为零,要么极小。如果采用场景B,当径流率1时影响几乎很小或没有,而径流率为3时的预计正现金流月数仅会有两个月的减少。只有在场景C与资金稳定性下降相结合的情况下,预期现金流才会大幅下降。这些结果表明,在其他条件相同的情况下,大多数情况下,由于CBDC的引入国内系统重要性银行都能承受由于CBDC的引入造成的短期资金流动性冲击。

(五)总结

基于敏感性分析和CBDC的假设设计,我们发现国内系统重要性银行能够很好地吸收引入CBDC对盈利能力和流动性可能产生的暂时性潜在负面影响。银行拥有较高的股本收益率(ROE)和流动性水平,因此在合理的采用方案下可以吸收冲击。我们只在极端情况下观察到对净收入的巨大影响,即所有支票存款受到影响,利息支出急剧增长。考虑到存款资金的当前成本和CBDC设计不承担利息,这种情况不太可能出现。利率的小幅上升加上类似现金的需求不会对金融体系的稳定或银行ROE的竞争力构成威胁。当我们考察流动性时,结果也类似:银行将保持健康的流动性水平,只有在最极端的情况下,流动性才会成为一个令人担忧的问题。

(六)附录

CBDC.jpg

*返現交易的價值已轉為現金。

**複合年增長率來源:《主要支付重點》,《加拿大支付2019年預測報告》,國際科技戰略(TSI)

***文章來源:中鈔區塊鏈技術研究院,如有侵權聯繫刪除



聲明: 本文由( 創投圈 )編輯整理,轉載請保留鏈接: 萬字詳解加拿大央行CBDC分析報告