万字详解加拿大央行CBDC分析报告
內容較長敬請諒解,可以慢慢看或分幾次看完
一、CBDC中的隱私技術
數字貨幣與電子支付中的隱私模式和技術,究竟指的是什么?
加拿大銀行的研究已經確定,支付中的隱私技術為公共利益提供了好處(Garratt和Van Oordt,2019)。本文概述了什么是在中央銀行數字貨幣(CBDC)系統中技術上可行的隱私保護。CBDC中的隱私不僅僅是匿名或完全公開的二元選擇。系統設計人員可以選擇哪些類型的信息需要保密,對哪些人保密。由于隱私并不是銀行唯一的職權范圍,因此界定隱私需要與外部各方協商。我們在本說明中的做法是:
開發一個評估不同的隱私模式的框架
了解制定各種隱私模式的技術工具
提出CBDC隱私設計方法的建議
列出主要的風險和權衡
關鍵信息
有許多加密技術和操作設計可以做到細粒度的隱私設計,這需要了解關于隱私和披露的詳細要求。
銀行可以設計一個CBDC系統,比商業產品提供的隱私級別更高——但要有權衡。一些需求的組合是不可行的,或許可能導致較高的操作成本和過度的復雜性以及風險。此外,用戶的整體隱私將取決于用戶行為和CBDC生態系統中其他實體的隱私策略等因素。
實現現金類隱私的技術還不成熟。它們的部署有限,都不符合“了解你的客戶”(KYC)和反洗錢(AML)規定。它們的風險包括隱藏的漏洞、缺乏可伸縮性和復雜的操作。
維護隱私和遵守法規(后者需要披露信息)對于CBDC來說是一分為二的。為了防止欺詐,主動披露信息的必要性使得情況更加復雜。
通過第三方對CBDC架構和操作的審查,可以增強公眾對銀行制定的隱私設計的信任。
(一)系統隱私分析
提供一系列的隱私服務的多樣化支付系統
目前存在或可能用于支付系統的隱私技術種類繁多,從現金、借記卡和信用卡到公共和私有分布式賬本技術(DLTs)、集中系統和離線設備。不同的系統對用戶可用的隱私有顯著的不同。例如,大多數用戶都意識到,廣義上說,使用現金是高度隱私的,而信用卡提供的隱私較少。我們的目標是更精確地分類系統之間的隱私差異性。
分析、比較和定義CBDC系統需求的框架
我們認為一個CBDC系統由持有額度和交易組成,其中‘持有額度’有所有者(O)和余額(B),‘交易’有付款人(Pr)、收款人(Pe)和金額(A)。隱私是指持有額度和交易數據對參與實體隱藏的程度。這些實體有很多——付款人的銀行或貨幣服務公司(MSB)、收款人的現金服務公司、政府機構、支付提供商和公眾——每個實體對持有和交易的可見度都不同。我們提出了一個框架,其中系統的隱私配置文件是對每個實體保密的詳細信息的程度的組合。這個公式允許我們比較不同技術的隱私配置文件。
我們在表1中總結了以下代表性技術的隱私級別,解決方式分別有:
1). 磁條信用卡
2). EMV芯片信用卡
3). 電子轉賬
4). 借記卡
5). 許可DLT
6). 公共DLT(如比特幣)的托管和高級使用
7). 由多個不同分類賬組成的分級分類賬系統
8). 基于設備的系統,根據KYC規則使用設備分配給可識別客戶或分配給匿名客戶
9). 現金
基于脫機設備的系統(如PUF Cash,一種基于物理上不可克隆功能的系統(見Calhoun等人,2019)最接近于實現類似現金的隱私。
表:支付技術的隱私配置文件
注: 分數越高/顏色越黑代表更多隱私性
對于某一實體(如商戶),一個系統可能更為私人化,而對于另一實體(如政府)則不那么私人化。隱私也可能因用戶的行為而有所不同:例如,通過在線賬戶支付可能會泄露個人信息。在設計CBDC系統的隱私,我們必須考慮許多微妙的問題:
1). 應該將所有交易例行地披露給政府,還是只披露部分交易(如設置美元限額)?
2). 執法部門是否應該能夠明確知道個人的財產,即使只是大概知道?
3). 應該對商戶隱藏支付人的身份嗎?
4). 應該向付款人的MSB顯示哪些交易細節?
5). 用戶是否可以在某種程度上在KYC規則之外進行交易?
6). 通過使用一個框架來記錄CBDC隱私需求,系統設計者可以確保它們覆蓋所有實體,并使用具有類似隱私配置文件的系統的設計思想。
(二)隱私技術和設計
采用隱私設計
根據Cavoukian(2011)的觀點,從一開始就在系統中設計符合法規的隱私是很重要的。隱私保護設計是一個眾所周知的方法,它要求在整個設計過程中主動地保護隱私。另一種選擇,即先進行功能設計,然后再添加隱私和合規性,會帶來不必要的權衡風險。
組合制定隱私架構以實現理想的設計
隱私設計可以運用構建不同完備度的區塊和權衡:
1). 群簽名
(Chaum和Van Heyst,1991)允許一組實體在進行交易時隱藏其身份,只顯示“群體中有人”進行了交易。
2). 密鑰共享
(Shamir,1979)或多重簽名(Itakura和Nakamura,1983)方案可以保證只有在足夠數量的實體(例如五個中的三個)同意時,敏感數據才會被泄露。
3). 零知識證明
(Blum, Feldm和Micali,1988)可以在不披露數據的情況下驗證有關數據聲明 (例如,他們可以在不披露數據的情況下證明一筆交易的賬戶余額足夠)。
4). 同態加密
(Rivest, Adleman和Dertouzos,1978)允許對模糊數據進行數學運算(例如,對加密的余額支付利息)。
5). 多方計算
(Yao,1982)允許多個實體安全地將他們的數據提供到一個聯合數據集中,以進行欺詐檢測,同時保持他們的數據相互保密。
6). 差分隱私
(Dwork和Roth,2014)和匿名化是確保個人身份信息不能從敏感數據集中提取的技術。對于研究和數據分析等用途,這些數據既安全又私密。
系統設計者可以探索更多未涉及到的潛在應用技術:例如,私有信息檢索(Chor等,1998)和可否認加密(Canetti等,1997)。其中大多數都足夠靈活,可以跨各種技術平臺(例如,集中式、DLT和基于設備)使用,并且可以組合和定制以實現細粒度的CBDC隱私目標。
(三)隱私和監管
了解CBDC業務模型、屬性和技術平臺對于選擇正確的構造并適當地將它們組合是至關重要的。
例如,考慮一個由MSBs驗證私人交易的系統。如果業務模型聲明MSBs是高度可信的,那么隱私協議可以通過假設驗證者是誠實的來簡化。如果沒有,所選協議必須防止不誠實的驗證者,這將帶來更高的復雜性。如果金額是隱藏的,并且政策規定了一個計息CBDC,那么所選方案的加密計算必須支持對利息支付。
此外,隱私技術的選擇將取決于所選擇的平臺。典型的驗證系統由生成驗證的驗證者(如最終用戶)和檢查驗證的驗證者(如系統)組成。在DLT系統中,多個節點執行驗證,因此系統設計者需要確保驗證協議是高效的,集中式系統可以容忍較慢的驗證。另一個需要考慮的問題是驗證效率和驗證大小之間的權衡——實現快速驗證生成的算法通常會導致較大的驗證。這對于受有限存儲限制的基于設備的解決方案來說可能是一個挑戰。基于設備的解決方案還必須確保所選方案能夠在分散的CBDC網絡連接和有限計算能力的限制下運行。
CBDC系統需要遵守法規(例如KYC和AML),這可以決定隱私的級別和隱私技術的選擇。KYC可能要求實體存儲對個人數據進行適當分類。一般來說,在遵守法規的同時實現高水平的隱私是復雜的。然而,設計師可以建立一個具有混合隱私級別的系統。在這種情況下,不受監管的持有額度和交易(為用戶提供最大的隱私)將被允許在限制范圍內進行(例如,設置最大限額),而受監管的持有和交易則不受限制。
(四)權衡和風險
高水平隱私權衡
一般來說,由于需要保護的信息較少,較低的隱私級別更容易實現。為了獲得更高的隱私,系統必須將信息封裝在可靠的控件中。這增加了復雜性,也增加了運營成本。它還增加了計算開銷,因此無論DLT還是非DLT平臺,擴展到種群大小都是具有挑戰性的或不切實際的。例如,比特幣(Nakamoto,2008)是具有完全可見交易的公開DLT。Zcash(Hopwood et al.,2020)也是一個公共DLT,但具有基于零知識證明的完全私有交易。這些隱私結構非常復雜,不能伸縮,并且需要用戶的計算開銷,比常規交易要慢得多。
新興密碼技術的風險
諸如零知識證明之類的密碼技術還處于起步階段,目前仍處于活躍的研究領域。在更成熟的技術領域中,使用它們所需的技能并不廣泛可用。即使是在私營企業,也很少有系統將這些技術應用于生產。這里的風險是,它們的技術復雜性和不成熟可能掩蓋漏洞。此外,目前所知的部署還沒有擴大到全國范圍。在這種情況下的風險是存在將這些技術應用于加拿大地區和未來使用的未知技術障礙,如在物聯網端點的微支付。.
二、設計一種普遍可獲得的CBDC
CBDC應該具備與現金類似的通用可訪問功能
通用訪問性是加拿大央行的政策和設計目標。加拿大央行有制造便于獲得的紙幣的歷史[1],加拿大的城市、農村和偏遠地區都可以獲得。現金用戶不需要銀行賬戶或數字網絡,也不需要支付費用。央行設計的每一張紙幣都便于包括盲人和部分失明的人使用。我們目前的研究探索了如果央行決定發行數字貨幣(CBDC),該如何設計CBDC才能進行普遍使用。
關鍵信息
CBDC應該像現金一樣容易獲得。CBDC是一種數字產品,可以設計成包含現金的許多屬性(例如,易用性、便攜性、離線功能)。使用CBDC應該是一種積極的和具有包容性的體驗——從獲得它,到在交易中使用它,到得到它的支持服務的幫助。
CBDC的多種形式可以體現通用訪問的設計原則。央行正在探索CBDC的多種形式,包括傳統的在線和移動技術,以及定制設備和無設備解決方案。我們將就這些選項與利益相關者和終端用戶進行廣泛的磋商。
CBDC可以通過專用通用訪問設備(UAD)使用。央行正在研究一種可以在安全存儲和傳輸CBDC的同時實現通用訪問的定制設備潛在概念。該設備可以結合現金的屬性,并利用專門的技術。這種手段應以低成本制造并由央行發行,以確保最大限度的包容性。
UAD可能具有智能手機所沒有的彈性。UAD可以嵌入本地安全的價值存儲,獨立于網絡,并在本地電源上長期運行。如果存在基礎設施故障,UAD可以防止數字交易的中斷。
(一)通用訪問性
央行試圖設計一個最大限度地提高包容性和可用性的CBDC。它應該能夠為有或沒有智能手機的人服務。它還應該支持在線和離線交易。CBDC需要為以下人群服務:
1). 全年齡段人群
2). 盲人或者喪失部分視力人群
3). 身體或認知有困難,可能影響他們使用科技的人
4). 低收入或固定收入的人(例如:,使用CBDC必須讓這些人負擔得起)
5). 尚未建立銀行賬戶或信貸的新加拿大人
6). 居住在網絡覆蓋有限的偏遠地區的人
7). 網絡暫時或長期無法覆蓋時的所有加拿大人
8). 停電期間所有加拿大人
與紙幣一樣,央行將與這些群體廣泛協商,以確保解決方案符合他們的需求。
CBDC應該為整個加拿大人群設計。在設計階段必須小心,因為小問題可能會變成重大的實現問題。央行承諾采用一種設計方法,力求:
1) 通過廣泛的咨詢了解用戶群體
2) 分析他們的具體需求
3) 考慮多種設計選項
4) 開發一個原型用以收集早期反饋和改進
我們認識到好的設計應該使全體人民受益。例如,設計一種服務于部分視力殘疾人群的CBDC,將在較低的光線或能見度的情況下使每個人受益。
(二)數字化現金
CBDC是一種數字化產品,可以在設計時包含現金的許多屬性。UAD可以體現以下類似現金的屬性:
類現金功能的單一用途設計
適當的大小(即:可將現金或信用卡放在錢包里)
進行小額交易的效率(例如,父母給孩子午餐錢)
類代幣化的離線存儲和價值交換能力
便于編制預算的視覺和物理特征
單位成本低
除了列出的現金屬性外,UAD還可以用于在線交易。這將增加那些由于各種原因無法使用信用卡或借記卡而必須支付現金的個人的數字化包容性。UAD還可以結合數字技術,增強殘疾人的可訪問性。例如,與存取現金不同, UAD附值無需離開家就可以完成。
(三)傳統和定制的設備
CBDC可以為用戶提供多種技術選擇,包括傳統的在線瀏覽器和移動設備。傳統設備已經具備了可訪問性特征。例如,internet瀏覽器可以配置顯示大字體的文本,而移動設備允許語音命令和針對能見度有限或色盲的調整。
央行將繼續研究可提高包容性和可獲得性的定制設備和技術,可選的技術樣式包括單組件設備、雙組件系統和無設備解決方案,每一種都可能包括生物識別技術。
單組件設備
加拿大央行進行了一項探索性設計過程,以開發具有通用訪問功能的概念性單組件設備。從一個7歲女孩的角色開始,我們確定了各種用例,例如領取津貼、在學校購買午餐和在線購買游戲。我們創建了一個交互式模擬,它有一個有余額顯示和轉賬功能的大型平板顯示器,允許在銷售點支付和設備對設備支付。輔助功能包括大字體、音頻引導和單手操作。它比信用卡還厚,還能放進錢包。
雙組件系統
我們還探索了雙組件系統。一個概念驗證的UAD設計包括一個內置的以電子墨水顯示當前余額的儲值卡。這種卡可以在銷售點設備上使用,也可以與智能手機配對用于在線和點對點交易。卡也可以插入到一個緊湊的外圍設備,直接在不同卡之間進行點對點轉賬。
無設備解決方案和第三方設計
單組件和雙組件系統都可以有多種設計選擇,無設備設計也存在。創新提高了生物識別技術(如指紋和面部識別)的可用性和安全性。央行的方法是將多個設計原型化,并對其性能進行評估。如果央行能夠監督第三方提供附加的設計,以確保它們符合隱私、安全和通用訪問的標準,那么可能允許第三方提供附加設計。
(四)彈性和成本
危機中的彈性
UAD在危機時期具有很強的韌性。它可以被設計成在本地存儲的價值,使用本地電源在沒有中央網絡的情況下運行。設備可以被設計成僅靠本地電源就可以長期運行,并有可能獲得自然能源(如陽光)。或者,如果電源丟失,資金仍然可以通過嵌入式價值存儲恢復。然而,允許設備長期離線存儲價值存在一定的安全風險,我們正在研究(Minwalla,2020)。
成本最小化
應盡量減少每個UAD的成本,以便能夠廣泛分配和根據需要定期更換。如果不附加給個人用戶,UADs可以交換其持有的價值,保持設備的低成本應該使這類交換更容易。這一功能可以進一步支持雙組件系統,這張卡可以交換商品或服務。
(五)可識別和具有加拿大代表性
加拿大紙幣蘊含了信心和驕傲,CBDC也可以做到這一點。紙幣的設計遵循了一套原則,使其具有安全性、功能性、可立即識別性、包容性和易用性。紙幣結合了藝術和技術。它們將可視內容與安全特性和功能需求集成在一起。其結果是美觀的紙幣在加拿大人中具有廣泛的吸引力。UAD的設計可以遵循類似的原則,并結合當前紙幣的可視性和安全性元素。這將使加拿大人認識到該設備是加拿大央行的產品,并充滿信任地采用它。
三、CBDC的安全性
CBDC系統的安全性是維系公眾信任的基本要素,若把現有的不同CBDC解決方案進行分類,我們圍繞CBDC系統中涉及的安全問題做出全面的分析。
構建和部署中央銀行數字貨幣所涉及的安全問題,安全性是CBDC系統的基本質量,除了確保底層存儲和價值轉移的安全之外,安全性還涉及隱私和彈性方面問題。必須減輕威脅以保護資金的完整性和用戶的機密性,一個安全的CBDC系統將保持公眾對央行的信任。
關鍵信息
如果加拿大銀行選擇發布一個CBDC,那么安全性必須從一開始就針對CBDC的所有用例進行設計。透過持續測試、驗證保障措施、遵循最佳的實踐做法及定期對主要系統組件進行外部審計,可確保運作的安全性。
依賴于中心化或分布式設計的解決方案會冒著犧牲保密性的風險最大化完整性和可用性。圍繞嵌入價值存儲的專用設備構建的解決方案以犧牲完整性為代價消除了系統范圍內的風險。混合解決方案可以最大化可用性,但會增加風險和成本。
公開的DLT不符合CBDC系統的風險配置。私有和有許可的DLT在設計上提供了冗余和支付真實性(不可抵賴性),但增加了操作復雜性和漏洞。共享賬本更加透明但不那么保密;分層賬本以犧牲完整性為代價增加了隱私。
用以在本地存儲價值的專用單一用途設備對于網絡級別的攻擊或自然行為是健壯的。支持離線使用的CBDC“幾乎和現金一樣”(見Shah et al. 2020)。但是,設備確實會帶來完整性風險,可能會被損壞或被盜。專用設備加上可用的驗證服務是一種可行的CBDC選項。
CBDC一旦發布,可能會受到反對加拿大最佳利益的大型組織和國家越來越多的關注。央行必須采取適當的控制和程序,以降低這些高級長期威脅引發的大規模攻擊的風險。
(一)分類
基本原理
安全性建立在機密性、完整性和可用性的概念上。除了這些品質之外,CBDC系統還必須確保央行擁有發行和贖回的唯一權力。CBDC系統將需要利用成熟的網絡安全技術和流程建立分層防御戰略。由于安全性是CBDC的主要屬性,因此對安全性的考慮可能會約束所選CBDC解決方案的屬性和用例。
機密性
機密性意味著財產、交易和身份的隱私。存儲的信息應該與操作CBDC系統所需的信息一樣少,機密信息的泄露大大增加了違約的嚴重程度。了解您的客戶(KYC)要求以及反洗錢(AML)和反恐融資(ATF)立法(見Darbha和Arora 2020)可能需要存儲和連接個人身份信息(PII)以進行價值存儲和交易。
完整性
在所有CBDC用例中,必須加強對偽造和雙花的防護,同時也必須確保所有交易的正確性和最終性。與實物鈔票不同,CBDC系統的核心風險是雙花問題——也就是說,能夠多次消費相同價值。數字簽名可以消除偽造,但是需要額外的拷貝保護機制來避免雙花問題:這些機制包括在本地價值存儲設備中的防篡改硬件、在中心分類帳中的組織權威或在分布式分類帳系統中的共識。
可用性
在CBDC環境中,可用性意味著系統抵御大規模網絡攻擊的能力。中斷,如分布式拒絕服務攻擊(DDoS)或僵尸網絡攻擊,可能會暫時限制或禁用對系統的訪問。標準的網絡安全技術可以加強公共終端以及連接系統以減輕此類攻擊的影響。
系統組件
CBDC系統可以向下拆分為便于進行安全性分析的功能子組件。不管是特定CBDC解決方案的性質及其底層的價值存儲,所有CBDC解決方案都將由一個面向用戶的、可交互連接遠程“后端”系統的“前端”組件構成。
前端組件可以是:
1)專用設備
2)在移動設備或桌面平臺上運行的軟件應用程序
3)網絡界面
4)或者以上內容的結合
5)后端系統可至少包括:
6)安全、私密、有彈性的數據存儲系統
7)用于連接前端組件的一組面向公眾的訪問點
8)支持組件和冗余組件(例如,防火墻,備份)
通過這種方式拆分CBDC解決方案,中央銀行可以在組件層和解決方案層對CBDC系統進行安全威脅評估。
從安全的角度來看,系統風險與價值存儲的位置有關。將價值本地存儲在前端組件上的系統必須專注于保護終端用戶設備和應用程序免受安全威脅,而將價值遠程存儲的系統必須更多地關注后端系統的安全性。將本地和遠程價值存儲連接到一個統一的CBDC系統混合設計可能最大化可用性,但由于威脅矢量置換導致增加了系統風險。
根據值存儲的位置,CBDC的某些屬性會產生互斥。在線支付很容易通過中心化系統實現,而離線交易很容易通過專用設備實現。交易的隱私性是另一個需要考慮的屬性,因為本地價值存儲設備可能會嵌入交易歷史記錄。離線支付形式在災難(停電、網絡故障)和危機時具有極強的彈性。這些因素和其他考慮描繪了擬議的CBDC系統風險預測。
(二)技術選擇
一個典型的中心化系統是一個用以儲存賬戶和交易的集中式分類賬本,其中賬戶余額來源于分類賬的當前狀態。這樣的系統可以是基于余額或價值的,可以建立在中心化、分布式或聯盟基礎設施上。這些賬戶可以是偽匿名的,并且可以轉讓,只要知道一個隱私就足以證明其所有權。
中心化系統的安全配置文件是成熟和可充分理解的。使用標準的IT安全策略,如專用鏈接、防火墻和白名單,可以減輕威脅。前端組件將連接到需要防止DDoS和其他網絡攻擊的公共可用終端。
開放的DLT不適合作為CBDC解決方案。開放的DLT的安全狀況不能保證由央行控制貨幣發行或成員的參與。存在可能被有組織的犯罪分子或國家利用(高級長期威脅)來執行大規模攻擊的威脅。這樣的方法包括:
1)控制大部分節點
2)模擬節點來執行惡意操作
3)利用智能合同中的漏洞(設計、工具和實現)
4)銀行將繼續監測開放DLTs,并將其作為一種創新和新出現的風險為在CBDC內使用有許可的DLTs提供了信息。
從安全角度來看,有許可的DLT類似于集中式賬本,并且比開放的DLTs更適合CBDC解決方案。無論它們是共享架構還是分層架構,有許可的DLTs都將允許中央銀行:
1)控制發行(成員被審查并執行特定角色)
2)基于控制和訪問管理策略的粒度控制參與
3)通過密碼技術、賬本層和私有通道的組合來控制機密性
4)執行不可抵賴性以減輕參與方之間的爭議
有許可的DLTs仍容易受到串通、模仿和流氓行為等風險的影響。
此外,節點互連、共識機制和隱私技術仍然容易受到與開放DLT系統相同的威脅。在參與機構中運行的單個節點成為高價值目標,因此每個節點可能需要類似于典型的中心化系統的分層防御策略。
因此,從基礎設施安全性的角度來看,使用有許可的DLT節省的成本可能微不足道。有限的訪問權限和強大的治理可以保護節點互連和防止典型DLT攻擊的共識機制。但這需要參與實體之間的協調。
從隱私和商業模式的角度來看,持有額度和交易數據可能被分割給中介機構的分級分類賬系統很有吸引力;然而,分層DLT的部署可能會降低安全性。層與層之間的同步錯誤會導致雙花的風險,因為惡意的參與者可能會利用網絡級別的攻擊來中斷分類帳節點之間的通信。
與中心化系統不同的另一個極端是專用設備。單一用途的專用CBDC設備是可移植和安全的,可以在設備上本地存儲價值、憑證、交易日志和其他輔助數據。均支持在線和點對點CBDC傳輸,網絡訪問是可選的,使得專用設備在網絡連接異常或缺失的危機時刻高度可用。
1)防篡改
設備通常依賴于防篡改硬件(例如,安全元件、物理不可克隆函數或等效的硬件)來維護CBDC的完整性和機密性。泄露會導致機密性和完整性的損失,因為用戶憑證、資金和交易數據都有被泄露的風險。此外,還必須保護由銀行政策產生的限制(例如交易金額和余額的限制),因為修改這些限制可能導致CBDC資金的濫用。
文獻方面還不清楚防篡改設備是否能在長時間離線使用時不被攻破。為了保護CBDC長時間離線運行,可能需要額外的防御層,形式如下:
(1)本地驗證機制以防止盜竊 (PIN、密碼或生物識別)
(2)對余額、交易數量和交易價值進行嚴格限制,以減輕違約的影響,并強制執行“反洗錢AML”法規
(3)設備上的分析——或者更實際地說,可信驗證服務的周期同步——以允許識別可疑的交易
(4)持續可用(24/7/365)驗證服務,增強消費者和商家信心
延伸的離線使用,類似于現金的使用,仍然是一個開放的問題,銀行正在積極跟蹤這一研究領域。防篡改硬件加上驗證服務可能是一種可行的CBDC產品。
(2)智能手機集成
CBDC可以本地存儲在智能手機上,盡管這種情況下的安全性是出了名的困難。這是因為智能手機可以運行多個并發應用程序,擁有開放的物理端口,并可以連接到任意網絡。因此,在智能手機上運行任何CBDC價值存儲和支持的應用程序都將面臨復雜的、多因素的威脅。此外,制造商對該平臺實施控制,可以限制對關鍵系統組件的訪問,包括嵌入安全模塊(secure enclaves)和用戶身份識別模塊卡(SIM)。
軟件本身目前不足以在智能手機環境中保護CBDC資產,盡管在這一領域已經取得了進展。成熟的技術——如同態加密、白盒加密和虛擬安全組件——有望在中長期提高軟件安全性;這些技術能否與市面上現有的防篡改設備實現相同性,還有待觀察。
中心化和分布式系統不能從本質上支持離線交易;后端鏈接是必要的。將中心化系統與專用設備相結合的混合設計在滿足許多不同類型終端用戶的需求方面大有希望。一些可以綁定到中心化系統上以實現離線訪問的技術示例包括:
1)側通道
2)哈希時間鎖合約
3)代幣化機制(Chaum 1983; Rivest 和 Shamir 1997; Calhoun et al. 2019)
4)承諾機制(Pedersen 1991)
5)簽名機制(Schnorr 1989)
這些技術中有許多還沒有在生產環境中測試過。此外,由于系統耦合,威脅會成倍增加。例如,承諾機制中的加密缺陷可能泄露用戶隱私,危及用戶資金。類似地,在代幣化機制中,設備的漏洞可能使該設備能夠非法地創建但合法地存放CBDC資金。由于技術組合而產生的安全威脅必須像每種技術各自面臨的威脅一樣被充分了解。
(三)仍在討論中的話題
生物識別是一種方便的身份驗證機制,可以減少交易期間的摩擦。生物識別技術簡化了身份驗證,可以實現無設備的CBDC。系統設計者必須小心地將生物識別技術集成到CBDC中。這是因為標識符一旦泄露就不能更改,惡意實體可能試圖利用生物識別存儲來冒充用戶或進行欺詐。使用生物識別技術是可行的,如果:
1)生物識別被安全存儲在防篡改硬件內,以及
2)與后端系統的交互(存款/取款)依賴于其他身份驗證機制(參見Darbha和Arora 2020)
使用云技術部署CBDC可以提高可用性。可以動態配置部署在云中的數據庫和端點,以擴展操作負載并最大化全國可用性。然而,必須考慮重要的警告:
1)依賴自定義硬件的CBDC解決方案可能很難或不可能集成到遠程云平臺。
2)央行需要保證供應商采取適當的預防措施,將CBDC特定資源與其他客戶隔離,以防止信息泄露。
3)CBDC系統只能在供應商保證敏感數據位于境內的情況下將PII數據存儲在云端。
一個正在運作的CBDC將吸引有組織犯罪集團和有能力發起大規模襲擊的國家的注意。主要的威脅包括:
1)持續或持久的網絡攻擊(DDoS,僵尸網絡)導致關鍵的CBDC服務中斷
2)用于基礎設施和終端用戶設備組件的供應鏈攻擊
3)用于終端用戶設備和應用程序的側通道攻擊
針對終端用戶的社會工程攻擊被認為不是主要威脅,但對有組織犯罪來說是一種有吸引力的途徑。雖然不是傳統的攻擊,但虛假信息的活動可能會使CBDC新技術受到質疑,并可能對銀行在公眾眼中的感知能力產生負面影響。
DLT系統容易受到DDoS攻擊,因為每個交易都需要與其他節點進行網絡交互。專用設備也可能受到影響,但程度較輕,因為此類攻擊可能暫時中斷登錄服務、取款/存款功能和驗證服務。如果參與者利用現有的僵尸網絡,他們可以用最少的時間和資源來協調DDoS攻擊。這與向防篡改集成電路注入后門的攻擊形成對比,后者需要專業知識、特定設備上的受保護信息和制造過程的訪問權限。此外,硬件惡意部分可以追溯到一個特定的制造步驟,而在一個精心實施的DDoS攻擊中,參與者可以保持看似可信的推諉能力。
即使成功的大規模攻擊不會危及CBDC的完整性,它們也會侵蝕公眾對該系統的信心。因此,CBDC系統需要持續的監測和定期審計,以評估彈性。此外,所選擇的解決方案需要遵循最佳實踐來降低風險,并在出現新漏洞時保持組件狀態更新。
加密敏捷性可以定義CBDC的長期運行安全性。隨著支撐CBDC的計算環境和密碼學的發展,以前被認為是萬無一失的算法將會出現新的缺陷和攻擊。采用加密敏捷的CBDC應該能夠修補或升級底層的原語操作,同時最小化運行停機時間。
從表面上看,中心化和DLT系統在加密方面更加靈活。需要修補的組件更少,而且這些組件具有健壯的連通性。專用設備對加密敏捷性提出了挑戰,因為如果設備丟失或遺忘或作為應急儲蓄保存,可能會在很長一段時間內保持離線狀態。有年份的設備有望在不損害整個系統的安全保證的情況下進行互操作。管理離線問題的技術解決方案確實存在:例如,使用非充電電池來限制設備的壽命,或預先編程固定的交易數,超出此限額設備需要重新連接。適當預備加密敏捷性將確保CBDC系統的長期可行性。
隨著量子計算的實用性越來越強,密碼原語的量子硬度將變得越來越重要。現有的加密操作將需要被量子硬度的變體所取代。因此,量子準備(Quantum preparedness)是整個加密敏捷計劃的基本元素。
(四)治理
界限
CBDC可以被歸類為關鍵金融基礎設施。因此,它可能必須遵守國家關鍵基礎設施戰略(加拿大公共安全2009),并成為銀行財務管理基礎設施的核心組成部分。存儲和使用敏感數據做分析可能需要遵守《隱私法》。
中央銀行控制
專用CBDC設備將通過將銀行控制的防篡改硬件合并到通用或自定義格式來實現垂直集成(詳見Miedema等人2020)。單一用途設備的所有組件(硬件、固件、軟件和加密)都將屬于中央銀行的權限。當錯誤和攻擊途徑出現時,央行可以直接或通過可信渠道采取果斷行動,以減輕入侵的影響。央行可以在市場上發布補丁,或者移除或替換有缺陷的產品,就像它目前對紙幣所做的那樣。可視和隱蔽的安全特征可以集成到設備中,使篡改變得顯而易見,以此增強公眾信心。
央行可以讓部分設備或應用程序公開,以促進創新。漏洞獎勵可以用來吸引更大的有道德黑客和學術技術社區來識別系統中的漏洞。央行可以選擇允許有執照的供應商在發行自己的參考設備或應用程序之外,也可以發行自己的前端設備和應用程序,只要存在合適的治理和監管模式,并且能夠保持央行發行的排他性。
合規
為了遵守AML和ATF法規,CBDC系統可能需要與其他政府機構共享信息,包括執法部門。如果合規性引入了后門訪問(例如,“Master”密鑰),那么CBDC解決方案的機密性和完整性可能會受到損害,因為這樣的后門可能會被未授權的參與者破壞。銀行需要探索當局要求的通過正當法律程序以揭露信息的像執法一樣的解決方案。例如,多個機構可以持有解密密鑰的片段,只有在法院發布批準后才能釋出。
標準
目前,還不存在CBDC安全性的標準,盡管個別子組件可能受到現有標準約束(例如FIPS-140 [NIST 2001]和防篡改設備的通用標準),生態系統標準正被積極探索。現有的安全標準,如PCI-DSS、EMV和GlobalPlatform有助于確保當前支付系統的安全。中央銀行可以選擇對CBDC實施類似的標準。鑒于CBDC可以采取的形式多樣化,以及對首選方案的有限共識,短期內不太可能建立標準。銀行可以選擇與政府機構、其他中央銀行和行業聯盟就標準和規章進行協調。
(五)安全性是CDBC的基本質量
安全性必須從一開始就加以設計。分類法旨在對市場上已有的許多CBDC解決方案進行分類和分析,開放DLTs仍然不適合CBDC使用。CBDC的完整性是核心風險,必須在所有CBDC用例中進行管理。本地價值存儲解決方案在危機時期提供了極強的彈性,但也帶來了本地完整性風險。混合系統將所有CBDC用例的訪問最大化,同時也在危機期間保留了可用性。可運行的CBDC系統將是犯罪組織和其他國家的首要目標,需要適當的安全措施來最小化風險,以及持續監控威脅。
四、CBDC的采用和使用:來自現場和實驗室實驗的一些見解
綜合過去推出的新型支付方式經驗以及相關研究,分享關于如何成功采用加拿大央行CBDC的見解。
歷史上新支付方法的推出和相關實驗室實驗中對加拿大中央銀行數字貨幣的可能采用和使用的見解。主題:中央銀行研究;數字貨幣和金融科技。
關鍵信息
成功啟動和維持中央銀行數字貨幣(CBDC)的采用和使用的必要條件是確保CBDC在支付領域有一個明確的利基地位 。
一種可行的方法是將CBDC設計成“增強型現金”,以降低現金的攜帶和處理成本,實現電子轉賬,同時保留現金獨特的理想特征。
CBDC理想的設計特征包括通用的可訪問性、透明和每筆交易費用低、高度的隱私性和強大的離線功能。
由于網絡效應,當且僅當消費者和商戶都從現狀中獲益時,才會持續采用并使用CBDC作為個人對企業(P2B)支付方式。啟用P2P(people-to-person,P2P)功能有助于抓住消費者,促進P2B的使用。
(一)明確的利基很重要
一種新的支付方式,如中央銀行數字貨幣(CBDC)的成功推出、持續采用和使用需要強有力的用戶案例,沒有明顯優勢的新支付方式是不可能成功的。這可以從幾項新的支付方式的成敗中看出。
一個值得注意的成功項目是八達通卡,它是可反復擦寫和非接觸式存儲的智能卡,用于在香港的在線或離線系統中進行電子支付。八達通卡于一九九七年九月推出,目的是為該地區的公共交通系統收取車費,現已擴展至大多數便利店、超市和快餐店的零售付款。其他常見的八達通支付應用包括停車收費表、停車場、加油站、自動售貨機、公共圖書館和游泳池。八達通卡之所以成功,一個根本原因是它在推出時的獨特利基:與其繁重的“車票”前身相比,非接觸式卡大大加快了車費支付速度,緩解了繁忙城市公共交通系統的瓶頸。
一個值得注意的失敗項目是Mondex的儲值卡。上世紀90年代初,Mondex在全球范圍內對該卡進行了50多次試用,但收效甚微。最根本的缺陷是,Mondex卡與它要取代的實物現金相比,沒有任何明顯的優勢。它的好處包括有可能節省與紙幣和硬幣有關的手續費并使電子商務能夠付款。它還保持了現金的離線交易能力。但Mondex被認為在隱私、可信度和潛在成本方面不如現金。Mondex聲稱交易是私營的,這一說法引起了爭議。此外,Mondex結余是由私營銀行發行的,對這些余額的存款保險覆蓋范圍尚不清楚。盡管Mondex在試點項目期間為信用卡的使用提供了補貼,但尚不清楚未來將收取哪些費用。
(二)理想的設計特點
加拿大人有很多支付方式,包括現金、(非接觸式)借記卡和信用卡、Interac電子轉賬、移動支付應用程序(如Apple Pay和Google Pay)以及在線支付賬戶(如PayPal)。銀行賬戶、手機和互聯網接入的普及率非常高。中央銀行提供的電子支付工具可能具有比較優勢。
在加拿大,由于網上購物的擴張、非接觸式支付卡的相對易用性以及為替代支付方式(主要是信用卡)提供的激勵措施越來越多,用于交易的現金份額正在下降。然而,加拿大人在某些情況下仍然看重現金作為一種支付方式,因為它比其他支付方式具有某些獨特的優勢。這些優勢包括:
1) 通用無障礙(每個人都可以使用現金)
2)交易時不收取中介費
3)高度的隱私
4)離線傳輸的能力
一些用戶喜歡現金的優勢,但不能將其用于虛擬(電子)轉賬。旨在模擬現金而不需要實物面對面交易的CBDC可以吸引這些用戶。
在本節,我們將為CBDC這樣的現金系統確定一些用例。我們從上述三種理想的實物現金特征的數字化中得出這些案例。假設CBDC被商戶接受,我們將分析每種功能如何吸引消費者,反之亦然。
CBDC具有通用的可訪問性,在交易點不收取中介費,可以為頻繁的低價值交易提供透明且相對便宜的數字支付選擇。在加拿大,借記卡和信用卡(特別是非接觸卡)是個人對企業(P2B)交易的有效支付手段。Interac e-Transfer允許加拿大人通過其銀行賬戶相互轉賬,自2015年以來,在個人對人(P2P)和P2B支付中越來越流行。與私營電子支付方式相比,現金具有更大的可訪問性,每個人無論是否可以訪問互聯網、銀行賬戶或移動設備都可以使用它。現金對于頻繁的低價值交易也有相對的成本優勢。在交易時,現金支付不涉及中介成本。相反,商戶向收單機構支付手續費,使用借記卡的每筆交易收取固定費用,或者按信用卡銷售額的一定比例收取。對于消費者來說,大多數免費或低收費的銀行賬戶都會給予一定數量的免費交易,但超過免費期限的交易都會支付罰款,為了[l2] 避免這些罰款,對于頻繁的低價值交易,消費者可能更喜歡現金而不是借記卡和內部電子轉賬。小商戶在協商支付服務費時往往沒有什么議價能力,他們可能更喜歡現金,以避免與信用卡支付相關的費用。
與現金一樣,CBDC也可以設計為具有包容性,這樣用戶就不需要銀行、互聯網接入或電話就可以使用它。例如,中央銀行可以為公眾提供免費的設備來存儲CBDC。與現金一樣,CBDC也是中央銀行負債,公眾在交易時可以自由使用。中央銀行鑄幣稅收入可以用于支付開發和維護CBDC設備的成本以及創建CBDC并確保其安全性的成本。
用戶可能更喜歡支付隱私,以防止其他人不當地使用他們的交易歷史記錄詳細信息。Borgonovo等人的實驗研究(2019)表明人們將隱私視為支付方式的重要特征。隨著電子支付的使用不斷增加,收集、存儲和分析在線消費者數據的成本繼續下降,人們對隱私的擔憂可能會增加(例如,見Hoofnagle,Urban and Li 2012;Garratt and van Oordt 2019;Kahn 2019)。用戶在付款時可以有更多的選擇來分享(或不分享)信息。
具有高隱私級別的CBDC對于隱私非常重要的電子交易是有用的。許多隱私保護技術基于密碼學(例如,用戶數據的加密)和操作安排(例如,在沒有串通動機的多個代理之間分配解密密鑰片段)。啟用具有強大隱私控制的交易模式(例如,通過不依賴手機或互聯網的設備)也可能會有所幫助。但是,使用CBDC進行在線交易或使用任何電子支付方式來復制現金交易所提供的相同級別的隱私,即使不是不可能,也是很困難的。此外,充分保護電子隱私將涉及更廣泛的法律和監管干預,以限制和限制私營信息的使用。
加拿大大多數現有的信用卡支付都需要互聯網連接來驗證信用卡信息。當支付系統因停電或互聯網故障而出現故障時,會給消費者帶來不便。對于商戶來說,風險可能更大,因為他們有失去銷售額和客戶的風險。即使可以離線讀取借記卡或信用卡并存儲交易數據,也只有在連接恢復時才能進行實際的卡處理。因此,離線接受信用卡存在風險。具有更強大的離線功能的CBDC可以作為停電和互聯網故障時的備用支付方法。它也可能是某些類型企業的主要支付方式,如食品卡車或戶外農貿市場。
最后,像現金這樣的CBDC支付方式很難并不會取代現有的支付方式。相反,CDBC應該致力于填補支付領域的空白,尤其是在無現金環境發展的情況下。它應該與其他支付方式共存,使支付系統更加健全和高效。
(三)啟動注意事項
上一節指出了像CBDC這樣的現金可以吸引消費者和商戶的領域,前提是對方愿意接受或使用它。支付方式的采用涉及到網絡效應。對于消費者來說,如果更多的商戶接受新的支付方式,采用新的支付方式的好處會增加。反之亦然:當更多的消費者使用新的支付方式時,商戶會從中受益。
由于網絡效應,一種社會效率更高的支付方式可能沒有機會起飛。Arifovic、Duffy和Jiang(ADJ,2017)在受控實驗室環境中提供了證據。在他們的研究中,消費者和商戶新的支付方式相對于現有的支付方式,涉及到跨交易成本都較低。但商戶必須支付固定的費用,例如,租用或購買終端,建立和維護一個新的賬戶,他們必須培訓員工使用新系統。切換到新的支付方式是社會最優的,因為它可以最小化總交易成本,但ADJ(2017)記錄了在采用過程中的強大網絡效應。在固定采用成本較高的情況下,如果完全采用新的支付方式,商戶的境況相對于現狀會更差。在這種情況下,商戶的反應是擔心失去生意,一開始接受新的支付方式,但最終隨著時間的推移學會抵制新的支付方式,把經濟拉回到社會效率低下的舊支付方式。在這一過程中,由于支付選擇的不匹配,也會產生較大的效率損失。ADJ研究的一個教訓是,支付系統的雙方都必須從轉換到CBDC的現狀中獲益,才能實現平穩和持續的采用和使用。
在相關工作中,Huynh、Nicholls和Shcherbakov(2019)研究了2013年支付方式(MOP)調查和2015年零售商支付方式成本調查的數據,以研究網絡效應在零售支付系統中的作用。它們量化了消費者和商戶之間反饋循環的重要性。從這項工作中得到的一個教訓是,由于網絡效應的強度取決于它們是來自消費者還是商戶,因此有效地引入CBDC應該考慮對市場各方提供的采納/接受激勵的響應彈性。
這是一些非常成功的支付系統所遵循的路線,例如瑞典的Swish、中國的微信支付以及最近加拿大的Interac e-Transfer。Swish(2012年推出)最初用于個人之間的交易,但很快就開始用于跳蚤市場和其他小型支付活動中,信用卡讀卡器成本太高或不切實際。希望避免信用卡手續費和簡化在線支付的小公司很快也效仿了這一做法。微信是一款中文多功能短信、社交媒體和移動支付應用。微信支付是微信中的數字錢包,允許用戶進行移動支付和在聯系人之間匯款。微信支付的使用在2014年1月開始普及,當時微信推出了一個分發虛擬紅包的功能,虛擬化了中國春節期間朋友和家人交換一包錢的傳統。從那時起,微信支付迅速擴展到P2B支付。它已成為中國日常小額交易的主要電子支付方式,已成為日常生活的一部分。在加拿大,Interac e-Transfer遵循了類似的路線:它最初打算用于P2P傳輸,但也擴展到P2B交易(Interac e-Transfer將在下面進一步討論)。
引入一種專門針對P2B支付的新支付方法可能更具挑戰性,因為它需要市場消費者和商戶雙方的協調。一種方法是將CBDC設計成一種通用的、相對便宜且簡單的P2P支付方式,以獲取消費者群,從而為擴展到P2B支付奠定基礎。
除了以本國貨幣計價的支付方式的創新外,還對比特幣等新的私營數字貨幣進行了許多試驗。比特幣的交易使用率很低,受到其價值劇烈波動的阻礙。根據加拿大銀行2018年比特幣綜合調查(Henry等人。2019年),盡管公眾對加密貨幣認知度很高(89%),但只有5%的加拿大人擁有比特幣,4%的加拿大人在上一年使用比特幣從企業進行購買。Libra計劃作為一種數字貨幣,由金融資產支持,以實現國內和跨境資金轉移,可能實現比比特幣更穩定的價值,并為CBDC帶來更多競爭。
在這種情況下,政府可以采取一些行動來減輕來自私營貨幣的威脅。Jiang和Zhang(2018)在實驗室中研究兩種貨幣之間的競爭,目標人群選擇是否接受本國貨幣和外國貨幣。他們的研究表明,如果沒有匯率風險和政府干預,這兩種貨幣都很容易被接受。然而,有利于政府貨幣的政策將大大降低外國貨幣的廣泛可接受性。這項研究的一個教訓是,為了減輕Libra等私營數字貨幣的威脅,有利于加元的交易政策(例如,規定稅收和政府服務必須以加元支付)可能會有所幫助。
(四)不斷發展的零售支付格局中的CBDC
鑒于零售支付領域的新發展,CBDC的利基定位對于其成功采用和使用更為重要
在加拿大,公共部門正在采取各種新舉措來加強零售支付領域的競爭。其中一個值得注意的項目是實時軌道(RTR),一個快速處理小額支付的新平臺。RTR將由“加拿大支付”運營,并將向新的支付服務提供商(PSP)開放。通過RTR進入新的PSP可以促進創新和競爭,并為最終用戶提供更便宜和更方便的支付服務。另一方面,非接觸式卡等電子支付技術的新發展加快了每筆交易的處理時間,有效降低了卡支付的每筆交易成本。因此,這些非接觸式卡的小額交易也逐漸取代現金交易。近年來,內部電子轉賬也經歷了快速增長,因為一些銀行已經開始使用個人支票賬戶提供無限制的免費電子轉賬交易,而自動存款和請求付款等電子轉賬功能也使之成為可能更方便消費者和商戶使用。
為了得到持續的采用和使用,CBDC的設計不僅要跟上私營電子支付方式的發展,而且要在某些方面更出類拔萃。鑒于零售支付的新發展,就成本和易用性而言,CBDC要比私營電子支付手段更好是更難做到的。因此,CBDC的利基在于實物現金相對于常規(基于賬戶)私營電子支付方式的獨特、理想的特點:
通用性
透明性
較低的每筆交易費用
高度的隱私性
強大的離線能力
可以想象的是,隨著時間的推移,競爭將促使私營PSP沿著這些維度改進。但是追求這些目標可能不會產生足夠的利潤,無法成為私營PSP的首要任務。加拿大銀行的任務是為加拿大人的經濟福祉做出貢獻(如《加拿大銀行法》所定義),它可以為公眾提供一種獨特的支付手段,這種支付方式提供私營部門可能無法提供的功能。
五、中央銀行數字貨幣對銀行存款的潛在影響
發行CBDC對商業銀行的資金流動性和盈利能力會產生潛在的短期影響。只要采用合理的設計方案,系統重要性銀行能很好地抵抗這種短期負面影響。
理論上,以加元計價的零售CBDC可能會和銀行存款產生競爭。我們利用2018年和2019年的監管數據,分析存款競爭加劇對加拿大六大銀行收入和流動性的潛在影響。
主題: 數字貨幣和金融科技; 金融機構;金融穩定
(一)簡介
消費者可以以現金形式或商業銀行存款形式持有資金。現金和銀行存款都可以作為一種支付方式和價值儲存手段。基于這種意義,對于消費者來說,現金與銀行存款存在“競爭”。
我們預計央行數字貨幣(CBDC)將與銀行存款形成競爭。即使CBDC的設計目的不是為了制造競爭(例如限制交易規模或不賺取利息),但這種情況可能會真實存在。這種競爭將加劇,因為CBDC是一種可以像現金一樣用作價值儲存手段和交易支付手段的新型安全資產。
對銀行來說,銀行存款是一種相對廉價和穩定的資金來源。對存款的競爭加劇,可能會促使銀行考慮其它資金來源。凈收入和流動性(凈現金流入)可能會減少,而為了反映新常態,商業模式可能會隨著時間而改變。在其他條件不變的情況下,這些變化可能會通過縮短資金到期日和降低銀行內部產生資本的能力而影響金融穩定。
為了研究這種可能性,我們利用2018年和2019年(COVID-19之前)的監管數據進行了敏感性分析,以評估引入CBDC會如何因競爭加劇而影響凈收入和流動性。我們發現,加拿大最大的6家銀行可能會吸收對凈收入和流動性的潛在沖擊,但盈利能力會出現暫時的下降。
為了進行分析,我們考慮了采用CBDC的三種假設場景,并假設CBDC被設計為具有與現金類似的特性。使用這些采用場景,我們分析為增加資金成本將影響盈利能力,以及資金穩定性降低(短期資金)將影響資金流動性。
為了分離對收入和流動性的具體影響,我們做以下假設:
銀行維持他們的貸款或費用收入。
銀行維持他們的商業模式。
銀行可以用其他資金來源取代存款資金。
資金成本對存款需求并不敏感。
(二)CBDC將與零售銀行存款展開競爭
作為一種應急措施,加拿大銀行正在創造發行類似現金的零售CBDC(加拿大銀行2020)的能力。CBDC將以加元計價,不賺取利息,面向零售客戶(個人和小企業)。
CBDC的采用將取決于設計,銀行部門如何應對CBDC的競爭,消費者如何反應,以及隨著新技術的引入金融系統如何演變。在目前的設計假設下,存款中對引入CBDC最敏感的似乎是以加元計價的零售存款(如支票存款)。
以加元計價的支票存款約占銀行總資產的5%(圖1)。為了考慮潛在的溢出效應,我們還考量了一些備選方案,其中包括可能對CBDC敏感的非支票零售存款(儲蓄),假設銀行客戶將其用作價值存儲手段。支票存款和儲蓄賬戶存款規模略高于銀行總資產的10%。
圖:對CBDC敏感的零售存款占銀行資產的5%- 10%
(三)采用比率決定面臨風險的存款量
為了探索CBDC對銀行資金的可能影響,我們考慮了使用三個層面的場景,包括當前對紙幣的需求,個人銀行存款的余額和可比的支付方法(表1),探索對銀行的潛在影響,但這不意味著對采用的預測。
表:基于現金和存款余額的采用場景(截至2019年4月)
以下是我們考慮的采用場景:
900億加元。例如,如果未償付現金仍以目前的水平流通,并且額外發行了900億加元CBDC,就可能發生銀行存款減少的情況。鑒于現金僅占銀行資產的2%左右,加元存款的5%,這種情況不太可能對銀行資金產生重大影響。
這相當于2800億加元。盡管這些存款是銀行資金的傳統來源,但在資產中所占比例相對較小(5%),加元存款資金占16%。因此,對于D-SIBs而言,CBDC相對于支票存款的競爭似乎是可控的。如果CBDC具有支票帳戶的所有特性、方便性和可信任性,就會出現這種情況。
這種情況可能發生在消費者對加拿大銀行系統失去信心,選擇放棄儲蓄利息轉而尋求由央行背書的CBDC的安全性。
借記卡、支票和現金是CBDC最類似的支付方式。2018年,消費者通過這三種方式在實體店和網上支付的金額分別達到2430億加元、650億加元和930億加元(詳見附錄,TSI 2019) 。另一大類付款(“其他”)包括預先授權的票據付款、電匯和其他銀行轉賬。這些“其他”支付方式的總價值為2640億加元,如果CBDC設計包含這些支付方式,其中一部分將可以被取代。借記卡、支票和“其他”支付方式的總價值為5710億澳元。
(四)盈利能力和資金流動性可能會收到負面影響
為了減少存款外流,銀行可以提高支付給那些需求價格彈性高的儲戶的利息。銀行還需要用其他成本更高、波動性更大的資金來源來彌補損失的存款。在其他條件相同的情況下,這些行為可能導致銀行盈利能力下降(另見Chiu et al. 2019)。
為了評估凈收入對CBDC的敏感性,我們分析了當每個場景的有效利率分別增長25個基點(bps)、50個基點和184個基點時對存款的影響。增幅最大的是截至2018年第四季度的有效批發定期存款利率。表2報告了國內系統重要性銀行對凈息差、稅前凈利潤和股本回報率(ROE)的影響。我們假設銀行客戶在一個季度內采用CBDC,銀行沒有機會將增加的資金成本轉嫁給借款人。
表:加拿大最大的六家銀行對利息收入的平均影響
注:對凈資產收益率的影響以年度計量;其他影響按季度計算。
資料來源:2018年第4季度加拿大銀行資產負債表(M4)和損益表(P3)的監管文件。
在場景A中,稅前凈收入將減少0.6%到3.0%。9個案例中有3個案例的凈收入下降僅超過5%,主要是在采用率高且利率顯著提高的情況下(場景B,+184個基點; 場景C,+50 bps或更高)。這些結果表明,存款成本的增加對凈收入的影響大于CBDC采用程度對凈收入的影響。即使在最極端的情況下國內系統重要性銀行的凈收入會大幅下降,其他條件都相同時,國內系統重要性銀行仍將保持高利潤,平均ROE下降不到一個百分點。在過去兩年(2018-19年),國內系統重要性銀行的平均ROE約為15%。
雖然我們關注的是利息收入,但手續費也可能受到影響,因為客戶持有的銀行賬戶可能會減少從而減少相關收益。支票賬戶也是一種重要的銀行產品,它能幫助銀行獲得客戶,并導致其他產品的交叉銷售。如果客戶取消銀行支票賬戶,這對收益的影響可能比利息成本上升和費用收入減少更廣泛。但是,其他產品的交叉補貼可以維持對交易帳戶的需求,減少向CBDC的流出。更高的利率也會減少存款的流出,但會對凈收入產生負面影響,正如我們已經展示的那樣。
存款活動減少的一線希望是,降低與維護營業網點相關的成本。這些成本在短期內可能是固定的,但儲戶的減少可能會導致銀行的分支機構減少,從而在長期內降低成本。
銀行的流動性狀況在一定程度上取決于其資金來源的穩定性。穩定的資金通常是長期,價格波動小,以及不太可能取出的。穩定的資金可確保現金流入繼續超過現金流出,使銀行能夠在較長一段時間內滿足其資金需求,即使在財務高度緊張的情況下也是如此。
近年來,零售存款一直是一個穩定的資金來源。如果銀行需要用不太穩定、短期的資金來源取代零售存款,那么在壓力時期現金流入超過現金流出的預計月數可能會減少。對于我們的這部分分析,我們使用凈累積現金流(NCCF)監管備案文件來評估一個CBDC對正現金流預期月數的流動性影響。我們使用三種采用場景來粗略估計可以被不太穩定資金來源替代的存款數量。然后,我們假設這些存款將被三種逐漸減少的穩定存款產品所取代:無保險存款和兩種批發活期存款(表3)。存款的穩定性通過徑流率來衡量,徑流率是在壓力事件期間存款可提取的速度。徑流率的增加會減少未來銀行現金流入超過流出的月份。這種衡量的意思是,凈正現金流月數越大,銀行應對意外流動性沖擊的時間就越多。
表:銀行在大多數情況下能夠承受CBDC的流動性沖擊
資料來源:2019年4月加拿大各銀行監管備案文件(凈累積現金流)
在CBDC采用率較低的情況下(如場景A),對銀行流動性的影響要么為零,要么極小。如果采用場景B,當徑流率1時影響幾乎很小或沒有,而徑流率為3時的預計正現金流月數僅會有兩個月的減少。只有在場景C與資金穩定性下降相結合的情況下,預期現金流才會大幅下降。這些結果表明,在其他條件相同的情況下,大多數情況下,由于CBDC的引入國內系統重要性銀行都能承受由于CBDC的引入造成的短期資金流動性沖擊。
(五)總結
基于敏感性分析和CBDC的假設設計,我們發現國內系統重要性銀行能夠很好地吸收引入CBDC對盈利能力和流動性可能產生的暫時性潛在負面影響。銀行擁有較高的股本收益率(ROE)和流動性水平,因此在合理的采用方案下可以吸收沖擊。我們只在極端情況下觀察到對凈收入的巨大影響,即所有支票存款受到影響,利息支出急劇增長。考慮到存款資金的當前成本和CBDC設計不承擔利息,這種情況不太可能出現。利率的小幅上升加上類似現金的需求不會對金融體系的穩定或銀行ROE的競爭力構成威脅。當我們考察流動性時,結果也類似:銀行將保持健康的流動性水平,只有在最極端的情況下,流動性才會成為一個令人擔憂的問題。
(六)附錄
*返現交易的價值已轉為現金。
**復合年增長率來源:《主要支付重點》,《加拿大支付2019年預測報告》,國際科技戰略(TSI)
***鳴謝內容來源: 中鈔區塊鏈技術研究院,如有侵權聯系刪除
總結
以上是生活随笔為你收集整理的万字详解加拿大央行CBDC分析报告的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 倾斜摄影 正摄影_如何安全地在线购买摄影
- 下一篇: 计算机图形学笔记(六)