邓建鹏:区块链的安全风险与国际监管趋势
区块链的安全风险与国际监管趋势
邓建鹏
中央财经大学法学院教授
(邓建鹏,区块链+法律监管顶级研究专家,本文刊于《中国信息安全》2018年第12期,更多内容,参见邓建鹏 等:《区块链国际监管与合规应对》,2019年1月正式出版)
区块链是近十年来互联网与信息技术领域出现的伟大创新,推动信息互联网向价值互联网的转型,可能在诸多产业领域影响甚至挑战现行模式和制度。其近年来得到诸多国家监管机构重视。
但是,在区块链技术快速发展的同时,也带来诸多风险。和互联网革命不同,比特币――区块链技术产生伊始,并非完全技术中立或价值中立,其自带一定的风险。发展至今,区块链尤其是在虚拟货币、虚拟货币交易所和ICO(包括各种变相的ICO)领域,风险巨大,一大波“韭菜”被庄家收割,一些散户投资者血本无归,极端者甚至走向天台!在区块链行业,需要纳入监管的业务活动主要有两类:一是以虚拟货币相关的交易服务,如虚拟货币交易所和虚拟货币支付业务,等等;二是ICO融资。这些业务可能涉及金融安全风险,也可能涉及网络安全风险。另外,个别国家将通过区块链提供信息服务亦纳入监管范围。
区块链相关的金融安全风险主要涉及如下问题,首先是交易所数据造假的风险。通常交易所数据没有严格对接监管机构,大部分国家的金融监管机构无力进行严格监管。在这种情况下交易所可能数据造假,产生许多风险或违法违规行为。比如,交易所可以长期持续的私下挪用原属交易客户的虚拟货币。
其次,是交易所给普通投资者带来所杠杆交易风险。大量交易所缺乏有效的投资者适当性控制,杠杆交易无涨跌幅限制。有的交易平台和庄家联手,与全球的正常市场行情走势偏离一定幅度,出现自己交易所场内的特定行情。此时交易平能联合庄家操纵市场,以把交易客户的仓位拉爆(即强制平仓),获取巨额利益。这时相当于交易所很大程度上控制了普通交易客户的财富。受限于当前中国的监管政策,虚拟货币交易交易所均注册在海外,在缺乏严格监管的前提下,交易客户均无法获得有效证据,因此,维权最后往往成为不可能的任务。与之相关,大量境外区块链项目融资(ICO)时,亦未提供有效的投资者适当性控制,向广大毫无风险承担能力的普通民众融资,致使普通投资者损失惨重。
其三是市场操纵的风险。个别交易机构(或者联合起来)通过拥有客户的巨量资金和比特币,可能操纵比特币价格甚至直接与客户对赌,以获取非法利益。另一种类似情况是,个别交易所纵容ICO项目发行方掌握的区块链项目优势,在交易所操纵某一代币的价格获利。根据2018年9月美国纽约州检察署(OAG)的调查报告,诸如虚拟货币交易所Bitfinex仅需要用户通过电子提交相关信息即可开通交易,其既不需要严格身份认证的文件材料执行虚拟货币交易,也不采取措施屏蔽VPN访问,OAG认为有理由来质疑这个平台对市场操纵和交易滥用到底采取的行动极为有限。这个行业还没有执行像传统交易所那样严肃的市场监管,没有监控和惩处可疑的交易活动。一个平台如果不能在第一时间发现市场操纵和其它滥用行为,就不可能采取行动来保护用户。交易所信息不透明为市场操纵提供了诸多机会。一家名叫gate.io交易所,其在官网并并未向公众披露运营地点。我们据2018年9月美国纽约州检察署(OAG)的调查报告,获知该交易所主要面向中国客户。OAG认为:“Gate.io每天虚拟货币交易额有数千万美元,但关于其运营商的地理位置,却没有任何公开消息来源。然而,该公司在提交给OAG的书面内容中表示其平台运营主要在中国进行。”
其四是内幕交易的风险。交易平台的员工或者ICO项目方容易获悉一些有利的内部交易信息,比如某一代币所对应的区块链项目最新的研发进展(无论是负面还是重大利好),并据此提前作出抛售或者大量买入,从而获得巨大利益,或者规避损失。
最后是网络安全的风险。大量交易所自身的网络安全防范不到位。由于交易所集中了大量交易客户的资金(虚拟货币或法定货币),很容易吸引世界各地黑客的注意。多数知名交易所均曾受到网络攻击,致使交易平台存储的虚拟货币被盗。此其中,尤以日本比特币交易平台Mt.Gox为代表,其被盗比特币市值当时高达1.2亿美元,投资者损失极为惨重。近年来,交易所的网络安全风险并未得到有效解决,交易客户资金依然面临着巨大风险。另外,ICO融资过程也容易成为黑客攻击对象,其中以DAO项目为典型代表。
在没有监管者对交易机构的资金与虚拟货币托管、网络安全标准、反洗钱机制以及信息披露等基本规范提出要求的情况下,世界上大量虚拟货币交易机构和一些ICO融资项目当前完全依靠各自道德自律维系运营。仅凭交易机构高管或项目实际控制人道德自律,则其稳定性极为脆弱,风险显著。因此,区块链相关风险引起世界各国金融监管机构高度重视。
自2017年以来,区块链相关监管状态在国际上大致呈现四种不同的态度:其一,忧虑和拥抱,认为区块链的发展可能给社会带来福利,同时又担心其中一些负面因素将冲击现有金融体系的稳定与安全;其二,合理监管,力求通过法律、法规和各种政策,积极应对和规划,将区块链纳入监管之中;其三、积极拥抱,一些空间领域和经济体量偏小的国家和地区希望通过积极鼓励区块链产业的发展,借机打造成世界区块链产业中心;其四、无视或无知,一些国家自身经济政治乱象横出,尚无暇应对这一新趋势,处于无视状态,或因认识有限,没有能力面对这一新事物,处于无知状态。对于前三种状态,笔者经梳理各国监管政策,总结归纳各国如下大致共通性原则,值得中国监管机构重视:
首先,协调监管政策的稳定性和灵活性。除了监管沙盒机制,为了鼓励技术创新,有的国家降低金融科技公司获得许可证的障碍。其次,尽可能促进监管法规与已有金融法规相衔接。区块链产业属于新业态,部分更改了金融的表现形式。但是,国家正常的立法通常速度慢,效率低。因此,一些国家(如新加坡、瑞士等)将这些新的金融形式纳入传统金融法规中加以调整。这样避免了法律真空。
其三,严守底线监管。无论区块链领域带来什么样的潜在金融风险,都必然存在一些传统金融监管中已有的底线要求。因此,在区块链相关的监管政策中,必然包括反洗钱、反恐怖主义融资、严格执行用户识别机制、客户权益保护,等等。比如,监管者对交易所的监管,侧重于检查是否有操纵市场,是否有违反外汇相关的法律规定等。
其四,新兴技术与行业存在着诸多不可知因素,政策的制定需要监管者与行业之间有着良好沟通与协商机制。比如针对交易所后续年费收取额度,直布罗陀金融服务委员会(GFSC)与行业进行沟通和接触,再确定具体的收费。新加坡的金管局(MAS)经常与从业者之间保持沟通与交流,以便为后续出台相关监管政策提供基础。
其五,凡涉及证券性质倾向的通证风险更高,均属于严格监管范围之内。与“一刀切”模式不同,不少国家对ICO及其发行的代币进入类型化监管。国外这种监管模式对代币分类,不同情况的法规和监管政策各有千秋,在对高风险类型的通证(主要是具有证券性质的)提出高要求外,对其它类型的代币,一般都降低要求,从而鼓励行业创新。
其六,发挥行业协会的功能,强化监管机构与行业协会的沟通和协商,并以此为基础,最终制定更为成熟的监管规则。在这方面,韩国的相应行业协会值得我们参考和借鉴。在2018年4月,韩国区块链行业协会为14个交易所制定了新规则。
此外,美国国会多次召开的听证会模式,亦值得我们重视。召开听证会的价值在于,通过充分论证或辩论,可以把立法机构、从业者以及研究专家的关注焦点和忧虑彻底表述出来,在论证过程中逐渐达成对同一问题的共识,这有助于最后形成的政策与法律不会过分偏离事实与时代趋势,使达成的政策或法律并非监管者一己之愿,有助于行业创新与控制风险,避免对行业造成负面影响。
最后,正确发挥司法指引的功能。区块链领域相关的法律远不完善,造成该领域缺乏预定规则,给相关人员的权益保护造成困境。因此,通过司法过程的个案处理,有助于为行业达成指引性功能,为后续规则的制定打下基础。
针对上述区块链国际监管通用规则为基础,笔者认为,未来区块链国际监管存在如下趋势:
首先,经济体量巨大的金融业发达国家(如西欧、美国或日本等),将进一步加快和完善区块链领域的相关监管与立法,这将涉及非常广泛的领域,包括智能合约、区块链资产支付、比特币ATM机、区块链资产保险、区块链资产质押和借贷、区块链产权登记、区块链存证、挖矿、区块链资产征税、区块链媒体、虚拟货币交易、区块链资产ETF基金和区块链资产衍生品交易(期货合约),等等。当前,西欧、美国和日本的立法机构历经多次调研、访谈和论证,紧密跟踪该领域发展,其监管与立法已经初具雏形。因此,这些国家的监管与立法将更加日趋完善和严密,利用监管空白获利的空间将越来越小。这些国家的区块链企业(如虚拟货币交易所)将跨国开展竞争,日趋白热化,服务水平提升,但盈利能力将下降。
其次,经济体量(以及空间面积)较小的金融发达国家和地区(如香港、新加坡、马耳他、百幕大和直布罗陀等),有着较强的危机意识,在这种有前景的新兴技术出现后,不约而同的力争打造区域性甚至全球区块链研发和产业中心,力争引领区块链发展潮流。这些国家或地区经济总量、市场空间和潜在投资人比较有限,加之监管机构采取内紧外松策略,使区块链相关风险外溢。因此,这些国家和地区以积极的姿态拥抱区块链,直接将之纳长效监管机制之下,相关行为将包括沙盒监管、发放牌照、鼓励银行为相关企业开设虚拟账户以及制定更多极其灵活的法律,比方税收优惠、某些义务豁免,甚至个别企业可以同监管机构协商设定特定的规则。由于风险外溢缘故,监管宽松,门槛将比前述经济体量大国要更低。
最后,有的经济体量大国人口众多,监管机构受维稳压力等因素要求,针对区块链金融相关领域采取一刀切式的禁令政策,鼓励“不发币”的区块链产业,比如联盟链或私有链,具体是与存证、溯源和供应链金融等方面结合。但公有链是区块链产业长足发展的主流,政府监管与鼓励的两难,使一些区块链企业表面不“不发币”,在各级地方政府力推下发展区块链,事实上却寻找业务关联方,在新加坡等地发币,力图切割风险,同时达到符合本国监管的基本精神。不过,随着国际监管趋势逐渐明朗,三至五年后,此种经济体量大国不得不正式将区块链纳入长效监管机制中,以谨慎开放的资态对待诸如虚拟货币交易所或ICO等等。但是,在这三五年内,国内一些企业将若临寒冬,有雄厚实力者,方见明媚春光。此类经济体量大国人口众多,特别是赌博(投机)文化浓厚。我们认为,未来合理的监管政策应该是循序渐进,一点一点逐渐放开,若抽丝剥笋,而非一步到位,以免对诸如币价等产生重大冲击,给许多投资者造成巨额损失。