央行数字货币数据使用与隐私保护 柯兰·墨菲,孙涛,郑永莎,田中直子,张尼古拉斯,维克多·布杜,法兰西斯·索洛门,凯瑟琳·高,莫拉娜·维辛尼奇,克里斯蒂娜·米加尼 NOTE/2024/004 FINTECHNOTE 央行数字货币数据使用与隐私保护 由KieranMurphy、SunTao、YongSarahZhou、NatsukiTsuda、NicolasZhang、VictorBudau、FrankosiligiSolomon、KathleenKao和Morana准备 1 Vucinic和KristinaMiggiani2024年8月 1 PadmaSandhyaHurreeGobin和JoseCarlosMorenoRamirez(STA)以及MariaSoledadMartinezPeria和ItaiAgur(RES )的贡献。 ©2024国际货币基金组织 央行数字货币数据使用与隐私保护 Note2024/004 肯恩·墨菲,孙涛,永莎拉·周,那都克·津达,尼古拉斯·张,维克多·布杜,弗兰科·西里吉·索罗门,凯瑟琳·高,莫拉纳·乌辛奇,克里斯蒂娜·米加尼安* 免责声明:金融科技笔记提供了国际货币基金组织(IMF)工作人员对政策制定者在重要议题上的实际建议。金融科技笔记中表达的观点是作者的观点,并不一定代表IMF、其执行董事会或IMF管理层的意见。 推荐引用:墨菲,基兰,孙涛,周永莎,那须智树,张尼可拉斯,巴杜亚克,福拉索·西里吉·索罗门,高凯瑟琳,莫拉纳·乌辛尼,克里斯蒂娜·米加尼。2024年。“中央银行数字货币数据使用与隐私保护。”国际货币基金组织金融科技笔记2024/004,华盛顿特区,国际货币基金组织。 出版物订单可以在线,传真或通过邮件进行: 国际货币基金组织,出版服务部,邮递区号92780 ,华盛顿特区20090,美国电话:(202)623-7430 传真:(202)623-7201电子邮件:publications@imf.org网址:bookstore.IMF.org,elibrary.IMF.org 本报告在董和的监督下撰写。它得益于国际货币基金组织(IMF)几位工作人员的宝贵反馈。作者特别感谢汤马索·曼契尼-格里佛 (TommasoMancini-Griffoli)提供了宝贵的评论。 Contents 缩写.v 1.引言.1 2.CBDC数据生成.5 3.CBDC数据使用与隐私保护风险.11 4.一种平衡CBDC数据使用与隐私保护之间权衡✁框架.15 5.管理CBDC数据使用与隐私保护之间权衡✁工具.20 6.结论.29 参考文献.43 BOXES 1、国际数据保护法律框架212、GDPR与CBDC Figures 1.CBDC数据使用。.112.隐私保护权衡前沿。183.数据共享安排。.19. TABLES 1.由各种✯付工具生成✁数据.62.中央银行数字货币 (CBDC)✁高和低数据强度设计.83.CBDC利益 相关者、数据使用及隐私保护.17 附件 一.可能✁CBDC在货币统计中✁应用.30二.G 20数据缺口倡议-3与CBDC.32三.大型科技支付 与隐私——CBDC设计是否有可借鉴之处?............................................33四.跨境考虑与方法................... ...................................................................35五.通过设计和科技保护隐私的三步法................................... ..................................................39 首字母缩略词 人工智能.人工智能 反洗钱.反洗钱 央行数字货币.中央✲行数字货币 CCPA.加利福尼亚州✲费者隐私法 资本流动措施.资本流动措施 反恐融资.反恐融资 延迟净结算.延迟净结算 欧洲央行.欧洲中央✲行 快速✯付系统.快速✯付系统 欧盟✁一般数据保护条例.欧洲联盟✁一般数据保护条例 了解你✁客户.了解你✁客户 多方计算.多方计算 增强隐私技术.增强隐私技术 个人可识别信息.个人可识别信息 ✯付服务提供商.✯付服务提供商 零知识证明.零知识证明 1.Introduction 中央银行数字货币(CBDC)作为一种中央银行资金的数字形式,可能允许收集和存储“数字轨迹”——数据 。与现金相比,CBDC可能被设计成潜在地包含丰富的个人数据,囊括交易历史、用户人口统计信息以及行为模式。个人数据能够建立当事人身份与交易之间的联系。 如同其他支付数据一样,CBDC(中央银行数字货币)数据可能具有经济价值。数据是非竞争性的。数据作为基础设施资源,可以被无限数量的用户用于无限目的,作为生产商品和服务的投入(OECD,2015)。CBDC数据有可能被金融机构收集,这些机构随后可以利用这些数据来发展基于数据驱动的业务。 此外,央行的CBDC数据使用有助于实现政策目标。它能帮助减少信息不对称,可能助力提升金融包容性 ,促进支付系统互操作性,推动创新和市场竞争。它还能为各利益相关方提供更及时的世界状态信息,从而改善宏观经济政策制定和合规监管。与负责执法和国家安全的机构不同,这些机构根据国家法律框架可能有权合法访问个人数据。如果相关法律法规允许,CBDC数据使用将使这些机构能够增加追踪或预防非法和欺诈活动的能力,以提高可追溯性。 许多中央银行已经获取了个人数据,并且具备数据保护的经验,这些经验可以应用于CBDC(中央银行数字货币)数据使用中。当前,中央银行运营着诸如快速支付系统(FPS)等支付系统。通过这些系统处理的所有个人数据都必须遵循当地的《数据保护法》和标准。因此,许多中央银行对于数据保护的要求有深入理解。 2 在启动CBDC之前保护个人数据。 然而,CBDC的数据使用可能对隐私构成风险,进而损害中央银行货币的信任度。隐私涵盖保护个人空间 、享有独处的权利、控制并保障个人信息以及尊严、自主性乃至人类自由等方面(Acquisti,Taylor,andWagman2016)。一些作者认为,隐私是货币本质的一部分(Kahn,McAndrews,andRoberds2005) 。如果设计或管理不当,CBDC对个人数据的使用可能会导致隐私风险,如数据泄露、滥用、网络攻击和跨境支付数据流动等事件,从而也影响CBDC的采纳。确实,仅靠技术无法确保隐私保护。例如,即使在理论上,即便技术能够提供强大的保护机制,但在实际应用中仍可能存在漏洞,使得隐私仍然面临风险。 3 匿名交易可以重新识别,数据可以用元数据去匿名化(Fleder和Shah2020)。 2 请参阅以下示例:T2(europa.eu)的隐私声明和联邦储备委员会-隐私计划。 3 隐私并不等同于匿名性(Auer等人,2021)。交易匿名指的是交易方的身份不被揭示或无法得知。而交易私密则意味着与交易相关的信息(例如交易金额和时间)不会被透露。 隐私问题随着时间的推移而增加(Goldfarb和Tucker2012a)。然而,隐私的概念是 4 全球范围内并不一致,各地区的法律法规差异显著。隐私问题复杂且难以界定——隐私对于不同的人来说意味着不同的内容,而他们自己的偏好也可能模棱两可。消费者往往在数据何时被收集、用途以及后果方面处于信息不完全或不对称的地位。态度之间的差异导致了这些挑战。 5 和行为——"隐私悖论"——表明个人可能声称的隐私担忧比其行为所显示的要多。隐私悖论使得校准适当的政策干预变得困难。 尽管现有的数字支付系统中已显现出许多隐私问题,CBDC(中央银行数字货币)可能会带来新的挑战。CBDC可能被视为国家监控的工具。有人可能担心政府或央行会利用它来控制或限制用户使用CBDC进行的支付,从而损害公众对央行货币的信任。尽管私人部门通常拥有广泛的数据访问权限,这一问题与官方部门数据收集和使用的争议相比,一般被认为是可以接受且未被广泛质疑的。对于存在严重治理和腐败风险的国家来说,这尤其令人担忧。然而,公众对于国家监控与商业监控的态度在不同国家之间也存在差异 。 而有些社会可能对商业实体的信任度超过政府机构。哈佛商学院全球企业研究学院与爱德曼信任研究院在2024年的年度调查中,针对28个国家的32000名受访者进行了研究发现,当对所有28个国家进行平均时,更多的人(63%)信任企业而非 6 政府(51%)。然而,当结果按单个国家进行分析时,政府在4个国家中被更多信任,而在24个国家中,企业被更多信任。 中央银行在设计CBDC时面临重要的权衡:它们需要在CBDC数据使用与隐私保护之间找到平衡。与其它数字支付类似,CBDC的这种权衡可能因国家的文化规范、社会偏好、法律要求和传统,以及公众对公共机构与私人机构的信任程度不同而有所不同。此外,这种权衡的程度可能取决于数据的精细度:如果汇总的数据足以提取价值,那么权衡可能是不存在的——只要用户相信他们的个人数据不会被使用。然而,在需要精细个人数据以提取价值的情况下,这种权衡就变得更为重要。 7 关闭可能更高。 本注释提供了一个框架,以帮助各国应对中央银行数字货币(CBDC)数据使用与隐私保护之间的权衡,并提供了工具来辅助这一过程。本章节专注于面向零售的CBDC,涉及数据访问问题。 4 世界经济论坛,中央银行数字货币的隐私和保密选择,2021年11月, https://www3.weforum.org/docs/WEF_Privacy_and_Confidentiality_Options_for_CBDC_2021.pdf。 5 “隐私悖论”这一术语最初由Athey、Catalini和Tucker(2017)首次提出并记录,尽管自那时以来针对数字支付的实证研究发现,隐私扮演了重要角色,这表明对于数字支付而言,并不存在悖论(例如,欧洲中央银行,2022)。 6 Seehttps://www.edelman.com/trust/2024/trust-baromete.r 7 应指出,国际社会已经在这一权衡取舍的某些方面达成了共识,例如在中央银行数字货币(CBDC)上应用反洗钱(AML)和打击恐怖主义融资(CFT)的法律与规定。 批发环境下的隐私保护考虑与传统实时全额结算(RTGS)系统类似。这强调了机构安排、数据收集、访问和存储政策、设计选择和技术解决方案的作用。在特定的隐私偏好水平下,中央银行可以通过建立坚实的透明度和责任制度、制定稳健的政策,并适当地采用“设计即隐私”方法(包括隐私增强技术PETs) ,以及采用隐私保护技术来促进CBDC数据的更有效利用。 调查结果摘要 CBDC提供了一个可能改善数据使用与隐私保护之间权衡的机会,相较于私营数字支付系统。面对与私营数字支付系统类似的权衡,中央银行可能在取得更好的平衡方面拥有数个潜在优势。他们拥有强大的召集力量,并能清晰地阐述原则和政策以促进隐私并协调“设计即隐私”方法在CBDC生态系统中的采用。中央银行可以通过加强沟通和消费者教育来减少隐私担忧。他们可以提供多样化的CBDC设计选择,以满足不同隐私偏好的需求。中央银行可以通过避免数据孤岛、鼓励数据共享来促进创新和竞争。最后,中央银行也处于更佳位置与其他相关部门合作,确保 8 法律和监管框架的一致性,以建立对CBDC的信任。 鉴于隐私偏好可能的多样性,中央银行可能希望提供多种CBDC设计以满足不同用户的需求。对于小额交易,CBDC可以设计为与现金的接近替代品,为用户提供高度的隐私保护。在这种情况下,应采用稳健的机构安排、政策和技术解决方案,确保CBDC使用符合反洗钱/打击恐怖融资(AML/CFT)法律法规,至少达到与现金相同的水平。请注意,现金在很大程度上具有匿名性,这意味着它可用于非法交易。对于小额交易,CBDC设计的一个变体可以选择允许用户请求