我们面对的是一个非现金的年代，这应该不是一件好事，虽然资金流转效率提高了，但电子支付代替现金后，我们再也没有了稳私，我们的任何一笔支付都透露了我们的行为状态信息。

数据保护，代替不了隐私保护。更切底的隐私保护就是交易不带任何信息标签。

本文方案，使用token-based 和 零知识证明来解决，中央银行数字货币（CBDC）中的数字现金的隐私问题，同时保证货币政策及监管的执行。

数据保护不能通过设计取代隐私。

we might reasonably trust a central bank with monetary policy but not with transaction data.

来源：https://arxiv.org/pdf/2101.05259.pdf

翻译：币友_Anthony

我们提出了一种数字货币的方法，允许没有银行帐户的人进行电子交易和私隐交易，包括互联网购物和销售点购买。我们的提案引入了一个由政府支持、私人运营的数字货币基础设施，以确保每笔交易都由银行或货币服务企业注册，此外，它还依赖于非托管钱包，并辅以零知识证明等隐私增强技术，以确保交易信息不被泄露。我们还提出了一种数字货币的方法，该方法将允许对系统性风险进行更有效和透明的清算、结算和管理。我们认为，我们的系统可以保留现金的显著特征，包括隐私、所有者托管、可替代性和可访问性，同时还可以保留部分准备金银行和现有的双层银行系统。我们还表明，有可能引入涉及非保管钱包的数字货币交易监管，同时仍然允许非保管钱包保护最终用户的隐私。

1 简介

由Tommaso Mancini Griffoli和其他人进行的国际货币基金组织研究发现，中央银行数字货币（CBDC）潜在设计特征中存在一种张力[1]，我们在这里将其重新塑造并锐化为涉及可伸缩性、控制和隐私的三重困境，在私有制和使用的背景下，并非所有三者都能同时完全实现。银行账户具有近乎完美的可扩展性和控制性，但牺牲了隐私。现金有隐私权和限制其可扩展性的控制措施。很难想象一个完全控制的制度，因为它会导致真正的所有权毫无意义，而且在使用中总会有一些渎职行为。完美隐私也是如此，因为在支付机制之外，总是会有软件缺陷、定时攻击和操作安全限制，而完美的可伸缩性不会为不安全的事务大小提供任何好处。

Mancini Griffoli和他的合著者认为，匿名性是现金的一个显著特征，交易的隐私是必不可少的，CBDC的具体设计特征可能会对财务完整性产生重大影响[1]。我们的建议提供了一个灵活的解决方案，以适应CBDC的广泛认可的要求和目标，这更类似于现金。具体来说，它通过限制对等事务来提供控制措施。然而，它并没有提供几乎完全的控制程度，这在某些设计中似乎被视为一种要求[2]，相反，它的零售应用程序暴露在其可伸缩性的相应限制下，但不是在有限的环境中通过引入额外的控制无法克服的限制，在分类帐的操作平面之外。

我们的系统提供了一个调节控制程度的模型，允许政府行为体在三角不可能困境中微调他们的取舍选择。例如，它可能要求某些（或所有）企业在不收集或报告限制隐私的额外信息的情况下，不能接受超过一定规模的支付，或者，它可能要求一些个人或非金融企业对其在非托管钱包中的取款量设定一个更大或更小的上限。打个比方，它就像一个自动传送带，传送带上的钥匙正试图碰到锁，如果它们是合适的，无论是总体上还是根据具体情况来确定，那么交易都是以自动化的方式进行的。为免生疑问，此类自动化可包括所谓的“嵌入式交易”，其中付款可无缝集成到交易中，无需独立机制或对账。

1.1 数字时代的现金

尽管零售数字货币交易目前被视为一个利基市场，但有理由相信，这种交易的范围和使用案例集在未来几十年将扩大。1一个重要原因与许多发达国家现金使用的长期下降有关。事实上，许多零售商已经得出结论，接受现金是可选的，因此，世界上许多司法管辖区都有强制零售商接受现金的立法，包括丹麦、挪威、中国和美国几个州[4、5]。然而，这种立法保护可能不足以维持现金作为一种可行的支付选择。随着零售交易越来越多地以电子方式进行，与运营现金基础设施相关的可变收入相对于固定成本下降，处理现金的边际成本增加。这种逻辑适用于零售用户，包括客户和供应商，以及银行和ATM网络运营商。在英国，促进现金流通的ATM网络和银行分行正面临压力，导致现金服务呈螺旋式下降.

现金特别赋予其持有人现代零售支付基础设施所没有的某些重要优势，包括但不限于：

自主托管。没有第三方托管人意味着托管人不能阻止持票人汇款或托管人根据交易对手收取差额费用。自主是所有权的一个基本特征，所有权的一个关键先决条件是能够在没有第三方托管人的情况下在多种交易中提取和使用现金。

真正的可替代性。因为现金不需要任何特定的身份证明，也不与金融托管机构有任何特定的关系，现金的使用者知道他们的钱和其他人的钱一样有价值。不存在交易对手可以根据持票人或托管人的身份加以区别对待，也不存在同样数额的钱在不同的人手中的价值也不同。

设计隐私。零售支付留下的数据线索可以用来构建个人的详细画象，包括旅行、财务状况、人际关系等等，这已不是秘密。电子支付可以用于监控和人口控制这一事实已经众所周知几十年了。我进一步注意到，数据保护涉及一旦收集到的私人信息的访问和使用，它与设计上的隐私不同，在设计上，某项技术的用户不会在第一时间透露私人信息。通过设计保护隐私对数据保护的重要性已得到充分理解，而政府和企业仍然无法阻止（其他）政府当局和恶意对手的未授权访问，这突出了不收集私人信息的更大需求。

非托管钱包提供了一种在数字交易中保留类似现金特征的方法，我认为加密货币的流行很大程度上源于对私人持有的数字现金的追求。因此作为现金，它们对个人隐私和人权至关重要。我们没有理由认为，在线和数字交易日益占优势的今天，必然会提供一个机会，通过监测或限制个人使用金钱的行为，扩大对个人的监督和控制范围。

在CBDC的背景下，非托管钱包在CBDC零售用户和央行之间提供了直接的经济关系，但不是直接的技术关系。这意味着CBDC代币将构成中央银行的责任。我们的意思并不是说零售CBDC用户需要在央行拥有账户（有帐户也就是第三方托管意昧着存在资金被限制个人信息被收集），或者他们需要直接与央行对接。

我们的建议将CBDC定义为一种独特的金融工具，但它与现金有许多共同的特点，包括完全抵押，不提供贷款或再抵押的能力。此外，我们并不建议银行票据或银行存款扮演从属角色。相反，我们认为这三种工具对一个经济体中的家庭和企业都有价值，可以通过采用CBDC来相互补充，提高个人和企业的整体福利[13]。主张废除现金的提案中固有的困难的一个例子是，现金使用的增加主要位于社会经济较低的社区，而驱逐现金将对这些家庭和公司产生不利影响。

1.2 设计隐私

我们的出发点是，虽然国家执法部门要求第三方托管人履行保护零售CBDC用户隐私。然而，人们很容易也认为，有关交易的所有信息都应在执法部门（或其他部门）提出要求时提供给他们阅读，政府利用个人与私营部门企业之间的关系提取有关其交易的此类信息已成为一种公认的做法。

幸运的是，可以在不收集可用于分析个人行为的数据的情况下对金融交易进行监管。我们方案的架构特点确保了交易的隐私性；我们的设计在设计和默认情况下都力求隐私。我们并不认为隐私是可以固定在完全可追踪系统上的东西（例如，使用“匿名凭证”[14，15]），或者依赖于某个第三方提供的安全或保护。相反，在隐私基础上适用的某些功能，例如限制匿名的取款规模或限制私人来源账户的汇款规模，这些功能不属于核心架构，但可以由策略管理。

如果CBDC的设计不是为了提供一定的隐私质量，那么一些用户仍然热衷于使用现金。我们建议打破了这个概念，真正的匿名性可以保持的。CBDC可支持私营部门资产替换为无风险资产，以解决安全资产短缺的问题，特别是考虑到尽管银行存款已被广泛投保，但仍存在一定数额的信贷和剩余流动性风险。此外，还需要半匿名支付方式，以及各种能够用于支付的工具，由于家庭偏好的异质性，使用CBDC具有直接的社会价值。

2020年5月，欧洲央行监事会副主席兼执行委员会成员伊夫•梅尔希（Yves Mersch）承认保护隐私的重要性，认为试图减少支付隐私将“不可避免地引发社会、政治和法律问题”。

这一点很重要，原因有三。首先，没有任何基于代币或其他方式的数字货币可以保证完全匿名：考虑定时攻击、软件漏洞和操作安全的其他限制的可能性。即使是钞票也不能达到完全的匿名性：它们的序列号提供了一种可以追踪或标记单个钞票的可能性，尽管据我们所知，这种监视方法并不完善，很少使用。然而，我们必须考虑那些试图强迫用户进入具有不同匿名属性和总体权衡的支付系统的系统的影响。第二，我们有机会展示一个能够实现并提供真实隐私衡量标准的系统，而不是有问题的假设，比如系统必须适应例外访问，或者隐私不是出发点，而是应该受到当局保护的东西。我们在第2节中描述了这样一个系统，与迄今为止提出的各种由政府支持的数字货币系统（在制度上是可支持的，但不是私有的）以及各种涉及密码货币（如Zcash和Monero）中使用的无许可账本的“外部解决方案”相比，这将构成一种改进制度上不支持）。第三，它表明隐私是非常重要的，我们不应该贸然创建基础设施，或允许创建基础设施，这可能会强行破坏它。与数据保护不同的是，数据保护是防止在数据收集后未经授权使用数据，隐私是防止个人（在某些情况下是企业）在第一时间披露有关其（合法）习惯和行为的信息。数据保护不能通过设计取代隐私。因为，作为一种财产，隐私是一种基础的特征，某些权威机构不能“授予”或“保证”。

原则上，应该可以通过设计一种内在保护零售CBDC用户权利的监管方法来容纳隐私。为避免侵犯基本隐私和人权，必须采取具体措施确保：

• 非第三方托管钱包不得携带永久性识别信息，如与多项交易相关的唯一标识符或地址，
• 非第三方托管钱包不得泄露信息，包括与以前或以后交易有关的钥匙或地址，这些信息可用于识别其持有人、所有者或资金来源，
• 确认交易对手的义务只能在交易时施加，以及
• 为记录或报告的目的向提出请求的银行或货币服务企业提供信息的过程不得涉及非第三方托管钱包本身，并且只有在交易双方同意的情况下才能进行。
• 只有非第三方托管钱包的普通用户才有可能相信，如果相关门槛足够高，并且要求记录或报告交易对手信息的情况足够罕见，他们的日常活动就不会被记录在案。此类请求必须涉及数字代币所有人或持有人在每个单独场合的明确同意，不得成为普通人进行普通活动的常规，不得要求非第三方托管钱包或其他个人设备披露任何识别其所有人或持有人的信息。

1.3 CBDC和银行业

在第1.2节提到的同一声明中，梅尔希还强调了私营部门在运营支付网络方面的作用的重要性：

“非中介化在经济上效率低下，在法律上也站不住脚。欧盟条约规定欧洲央行在开放市场经济中运作，本质上反映了一种政策选择，即在资源优化配置方面，支持分散的市场决策。中央银行在整个经济范围内配置资源的历史案例很难成为效率或良好服务的典范。此外，零售CBDC将导致央行权力过度集中。”

在梅尔希发表讲话的几个月前，国际货币基金组织（IMF）副总裁张涛（Tao Zhang）也就当前的一系列CBDC提案发表了自己的看法，他表示，这些提案“意味着央行的成本和风险”。我们认为，他的结论来自于迄今为止由中央银行制定的建议，这些建议通常涉及由中央银行自己操作的中央分类账。我们认为，这些建议的设计既不是整体性的，也不是对目前存在的支付、结算和清算模式的补充。相比之下，我们的方法特别避免了Mersch和Zhang确定的成本和风险，我们在第2.2节中更具体地描述了这些成本和风险，并且是对当前系统的广泛补充。

张还介绍了由私人银行发行的代币组成的“综合CBDC”的想法。我们认为，Zhang认为综合CBDC的可取之处也适用于我们提出的解决方案，只是我们提出的解决方案仍然允许“真正的”CBDC，而基础设施将由私营部门的货币服务企业（MSB）运营，包括但不限于银行，并且就我们的目的而言，包括两者传统的商业银行和金融机构以及新的实体，它们的资产只有中央银行的储备，而其负债则只有存款。这是一个重要的区别，尽管Zhang没有提供合成CBDC技术特征的具体描述，但我们假设它不会涉及分布式账本，也不可能有私人交易，因为私营银行可以了解自己代币的运营和所有权。

然而，一个有效的零售版CBDC并不需要银行业的非中介化。我们设想的CBDC与实物现金比与银行存款有更多的共同点，它不会取代银行存款。它将不具备再抵押的资格，也不会向其持有人支付利息，至少不是传统意义上的利息。我们认为零售版CBDC主要是一种促进支付和消费者交易的技术。它不仅仅是一个更具可扩展性的批发版CBDC，反映了零售和批发货币用户的要求并不相同。零售CBDC用户出于同样的目的，出于同样的原因，他们倾向于银行存款而不是现金，因此他们的长期投资也会倾向于银行存款而不是现金；我们将在第3.2节对此进行进一步讨论。我们还注意到，中央银行不是商业银行的有效替代品，我们将在第3.5节中进一步讨论。

1.4 设计考虑

另一个关键问题是，CBDC是否应该是“基于账户/account-based”的，我们的意思是用户将与代表关系的账户进行交互，还是“基于代币令牌/token-based”，我们的意思是CBDC将独立于任何特定关系而存在，就像代币和纸币一样。账户可以表示与第三方托管人或分类账系统本身的关系，并非所有的数字货币设计都是相同的。例如，尽管比特币中的代币令牌被明确设计为独立存在，但以太坊中的代币令牌被明确设计为存在于账户中。这两种体系结构是不对称的：尽管基于代币令牌的系统中的令牌可以由第三方托管人代表用户持有，但这样的安排是可选的，而帐户本质上是用来表示持久关系的。

我们认为，我们的方法必须是基于代币令牌的，这意味着零售用户必须能够持有代表托管关系以外的价值的令牌，并且令牌不能强制链接到可用于识别用户或用户的其他令牌的地址或标识符。账户可以与代币基础设施结合使用，尽管我们特别不同意Bordo和Levin提出的论点，即只有账户可以支付利息，因此所有CBDC都应在账户中持有。特别是，CBDC系统是否应该向其持有人支付利息并不明显；我们注意到，现金不应该支付利息（见第1.1节和第3.1节）。具体而言，我们寻求的财产价值是代币固有的，因为我们希望零售用户信任代币本身，而不是某些特定的账户授予机构或系统运营商。我们还明确指出：信任不能制造，必须赢得。更重要的是，我们不是通过要求来建立信任，而是通过表明不需要信任来建立信任。我们在第2节中描述的方法直接解决了这个需求。

此外，在我们的设计模型中提出的CBDC依赖于DLT基础设施，原因有很多，如第2节所述。我们认为，这是目前最合理的实施方法，中央银行可以通过公私伙伴关系或其他合作和监管模式与私营部门企业合作，提供由私营部门运营的国家支付基础设施。DLT的使用并不意味着家庭和公众零售成员必须与中央银行有直接账户或关系。相反，我们的设计认可了MSB的重要作用，特别是在识别、加入和注册新客户、满足法规遵从性要求以及管理他们的帐户（如果适用）方面。

MSB不一定履行银行的所有职能，如贷款信贷。此外，在我们的设计中，我们设想CBDC、银行存款、银行票据和（经授权的MSB）准备金之间按票面价值完全可兑换，以简化其引入，并且不干扰货币基础的可替代性和总体构成。无论这在何种程度上涉及限制或引入摩擦，都将是一个政策问题。然而，原则上，现金和银行存款按面值可兑换是一种实际和设计上的需要。发行和引入CBDC使一种新的政策工具能够调整（dis）激励措施，通过CBDC的各种特征持有CBDC，同时平衡银行存款的可能外逃，我们不认为CBDC是一般替代品。

2 我们的方案

我们提出的设计的核心是基于Goodell和Aste的一篇文章，其中描述了两种促进数字货币制度支持的方法。我们基于第二种方法，即制度中介的私人价值交换，其设计完全由受监管机构运营，具有以下设计特点：

• 1 提供政府发行的电子代币，可用于交换价值，而无需成对对账。
• 2 允许交易基础设施（支付、结算和清算）由独立的私人机构运营，同时允许中央银行控制货币政策和CBDC发行，控制CBDC的创建和销毁，但不控制其发行。
• 3 通过设计保护零信CBDC用户链接到其事务历史的事务元数据，而不依赖于可信的托管第三方。
• 4 为监管机构提供对每笔交易的可视性（但不包括交易对手信息），允许对系统性风险进行分析。
• 在本节中，我们将描述我们的提案背后的核心假设，并确定分布式账本技术（DLT）的好处，并支持我们的主张，即基于DLT的体系结构是必要的。然后，我们描述了我们提出的数字货币机制如何在系统级工作，确定了体系结构的制度和技术方面之间的基本接口。最后，我们将解释如何利用我们提出的架构来实现国家行为者的经济刺激目标，并促进个人和企业的支付。

2.1 关键假设

我们设想，数字货币可能由中央银行作为“真正的”中央银行（CBDC）发行，尽管它也可能由政府发行，代表着对国家资产（如主权财富或国库资产）进行抵押的义务。无论是哪种情况，我们都注意到，在许多国家（包括英国），没有任何一方（包括中央银行）被指派负责设计、维护和更新记录金融汇款的程序规则，并裁决有关金融汇款真实性的争端。我们还注意到，经营交易基础设施和监督支付系统的责任不同于创造代币和保护国家货币价值的责任。在许多国家，支付、清算和结算系统是一种协作工作。将支持数字货币的交易基础设施的运营责任外部化的设计与中央银行在使用数字货币创造货币和实施货币政策方面的运营角色并不矛盾。

特别是，我们质疑这样一种观点，即由于央行没有明显的动机滥用数据，因此所有用户都应该相信央行的支付数据。向当局提供对私有数据的特殊访问的想法，特别是在多个当局之间划分对私有数据的访问的想法，已经被揭穿。特别是，当一个表面上不感兴趣的行为体发现自己拥有的东西对其有影响力的邻居有兴趣时，它可以很快成为感兴趣的行为体。因此，我们有理由相信中央银行的货币政策，但而不是交易数据。（we might reasonably trust a central bank with monetary policy but not with transaction data.）

我们对数字货币的态度与几家中央银行提出的设想有很大不同。我们认为，在零售环境下，数字货币的目的是提供一种不依赖账户的电子支付机制；在批发环境下，数字货币的目的是提供一种结算方式，这种结算方式比目前的结算方式更稳健，操作负担更小。这并不是要创造一个银行存款的替代品，银行存款仍然是经济上重要的功能所需要的，如部分准备金银行业务、信贷创造和存款保险。它也不是现金的替代品，现金提供了多种好处，包括财务包容性、运营稳健性，以及保证交易在不需要第三方中介的情况下完成。我们的设想，在实践中，数字货币将主要用于便利用实物现金无法完成的汇款，人们今后用数字货币支付的可能性不会比今天用现金支付的可能性更大。

尽管如此，我们还是打算复制实物现金的一些特性。具体而言，我们力求实现以下特性：

• 1 对大规模监视的抵抗。现金允许其持有者进行交易，而不必担心他们自己的活动数据被收集来进行分析。在第3.4节中，我们将通过我们提议的系统与现金进行比较，明确证明我们的设计不太可能增加相对于当前系统的欺诈或AML/KYC违规风险。事实上，我们怀疑这将导致相反的效果，因为在需要遵守某些特定合规规则的受监管活动中使用数字分析工具的可能性，并且对受监管机构的活动进行分析是有帮助的。
• 2 保证交易。现金持有人知道，他们的交易将成功，而不需要依赖于第三方中界关系，这可能会阻止、延迟或要求对交易进行验证。
• 3 不被歧视。现金让持有人知道他们的钱和其他人的一样，特别是它的价值不是由持票人的特征决定的。
• 我们的设想，许多（但不一定是所有）普通人和企业都将拥有银行账户，他们将通过这些帐户收付款。这些银行账户有时会因银行的信贷创造活动而赚取利息。银行能够将数字货币按面值兑换成现金或央行储备，而且通常不会持有与存款规模相当的数字货币钱包。以中央银行为例，银行也可以直接将数字货币兑换成央行储备。当个人（或企业）要求提取数字货币时，银行会提供，就像今天提供现金一样。银行手头上的数字货币数量可能有限，正如它手头上的现金数量可能有限，以满足此类提款请求一样，而且对此类提款的规模和比率也会有限制，就像对现金提款的规模和比率会有限制一样。一旦他们拥有了数字货币，个人和企业就可以使用它进行购买或其他支付，作为基于账户的支付网络或银行转账的替代方案，数字货币通常会进入受监管的MSB持有的钱包，就像现金一样。

2.2 分布式账本技术

分布式账本技术（DLT）提供了一种在一组对等方之间分担规则制定责任的方法。分布式账本是“在一组DLT节点[对等方]之间共享的账本，并使用一致机制在DLT节点之间同步”。尽管理论上可以使用中心化技术构建公共数字货币基础设施，甚至是保护隐私的数字货币基础设施，但我们认为分布式账本的显著特征，包括但不限于社区共识和不变性，这些是基础设施成功的必要条件。这不应解释为基础设施必须提供或允许用户之间的对等事务。这应被解释为，该制度必须由一个社区而不是某个特权仲裁者来运作，对已发生交易的真实的共识应反映出该社区的一致意见。特别是，我们依靠DLT在独立参与者之间达成共识，以便在分类账中添加新条目或在分类账操作规则更改之前，社区的所有成员都必须达成一致。

在数字货币的背景下，分布式账本技术将通过限制（在技术层面上）任何单一行为体（包括央行和政府监管机构）可以单方面决定的内容，为系统的运作和规则提供透明度。这种透明度是对监管监督的补充，而不是替代。接下来，我们指定谁可以访问分类帐：

• 账本写入。我们设想，唯一被授权写入分类账的实体将是分类账的运营商，即受监管的货币服务商（包括但不限于银行）和中央银行本身。中央银行应编写创建或销毁CBDC的条目，货币服务业务应编写通过将代币从一个密钥持有人签名到另一个密钥持有人在系统内“移动”代币的条目。所有参赛作品都将通过协商一致机制获得批准，在协商一致机制中，所有参赛作品都需要得到几乎所有参赛者的批准。
• 分类账读取。我们设想，授权读取分类账分录的一组实体应包括那些可以写入分类账的实体，以及监督授权写入分类账的各方的监管机构。我们并不认为有必要使用面向公众的API来读取分类账，尽管政府可能希望提供这样一种机制，例如简化对系统的公共监督或促进对可疑活动的调查。