央行数字货币数据使用与隐私保护

央行数字货币数据使用与隐私保护 柯兰·墨菲,孙涛,郑永莎,田中直子,张尼古拉斯,维克多·布杜,法兰西斯·索洛门,凯瑟琳·高,莫拉娜·维辛尼奇,克里斯蒂娜·米加尼 NOTE/2024/004 FINTECHNOTE 央行数字货币数据使用与隐私保护 由KieranMurphy、SunTao、YongSarahZhou、NatsukiTsuda、NicolasZhang、VictorBudau、FrankosiligiSolomon、KathleenKao和Morana准备 1 Vucinic和KristinaMiggiani2024年8月 1 PadmaSandhyaHurreeGobin和JoseCarlosMorenoRamirez（STA）以及MariaSoledadMartinezPeria和ItaiAgur（RES ）的贡献。 ©2024国际货币基金组织 央行数字货币数据使用与隐私保护 Note2024/004 肯恩·墨菲，孙涛，永莎拉·周，那都克·津达，尼古拉斯·张，维克多·布杜，弗兰科·西里吉·索罗门，凯瑟琳·高，莫拉纳·乌辛奇，克里斯蒂娜·米加尼安* 免责声明:金融科技笔记提供了国际货币基金组织（IMF）工作人员对政策制定者在重要议题上的实际建议。金融科技笔记中表达的观点是作者的观点，并不一定代表IMF、其执行董事会或IMF管理层的意见。 推荐引用:墨菲,基兰,孙涛,周永莎，那须智树，张尼可拉斯，巴杜亚克，福拉索·西里吉·索罗门，高凯瑟琳，莫拉纳·乌辛尼，克里斯蒂娜·米加尼。2024年。“中央银行数字货币数据使用与隐私保护。”国际货币基金组织金融科技笔记2024/004，华盛顿特区，国际货币基金组织。 出版物订单可以在线，传真或通过邮件进行： 国际货币基金组织，出版服务部，邮递区号92780 ，华盛顿特区20090，美国电话：(202)623-7430 传真：(202)623-7201电子邮件：publications@imf.org网址：bookstore.IMF.org，elibrary.IMF.org 本报告在董和的监督下撰写。它得益于国际货币基金组织（IMF）几位工作人员的宝贵反馈。作者特别感谢汤马索·曼契尼-格里佛 （TommasoMancini-Griffoli）提供了宝贵的评论。 Contents 缩写.v 1.引言.1 2.CBDC数据生成.5 3.CBDC数据使用与隐私保护风险.11 4.一种平衡CBDC数据使用与隐私保护之间权衡✁框架.15 5.管理CBDC数据使用与隐私保护之间权衡✁工具.20 6.结论.29 参考文献.43 BOXES 1、国际数据保护法律框架212、GDPR与CBDC Figures 1.CBDC数据使用。.112.隐私保护权衡前沿。183.数据共享安排。.19. TABLES 1.由各种✯付工具生成✁数据.62.中央银行数字货币 （CBDC）✁高和低数据强度设计.83.CBDC利益 相关者、数据使用及隐私保护.17 附件 一.可能✁CBDC在货币统计中✁应用.30二.G 20数据缺口倡议-3与CBDC.32三.大型科技支付 与隐私——CBDC设计是否有可借鉴之处？............................................33四.跨境考虑与方法................... ...................................................................35五.通过设计和科技保护隐私的三步法................................... ..................................................39 首字母缩略词 人工智能.人工智能 反洗钱.反洗钱 央行数字货币.中央✲行数字货币 CCPA.加利福尼亚州✲费者隐私法 资本流动措施.资本流动措施 反恐融资.反恐融资 延迟净结算.延迟净结算 欧洲央行.欧洲中央✲行 快速✯付系统.快速✯付系统 欧盟✁一般数据保护条例.欧洲联盟✁一般数据保护条例 了解你✁客户.了解你✁客户 多方计算.多方计算 增强隐私技术.增强隐私技术 个人可识别信息.个人可识别信息 ✯付服务提供商.✯付服务提供商 零知识证明.零知识证明 1.Introduction 中央银行数字货币（CBDC）作为一种中央银行资金的数字形式，可能允许收集和存储“数字轨迹”——数据 。与现金相比，CBDC可能被设计成潜在地包含丰富的个人数据，囊括交易历史、用户人口统计信息以及行为模式。个人数据能够建立当事人身份与交易之间的联系。 如同其他支付数据一样，CBDC（中央银行数字货币）数据可能具有经济价值。数据是非竞争性的。数据作为基础设施资源，可以被无限数量的用户用于无限目的，作为生产商品和服务的投入（OECD,2015）。CBDC数据有可能被金融机构收集，这些机构随后可以利用这些数据来发展基于数据驱动的业务。 此外，央行的CBDC数据使用有助于实现政策目标。它能帮助减少信息不对称，可能助力提升金融包容性 ，促进支付系统互操作性，推动创新和市场竞争。它还能为各利益相关方提供更及时的世界状态信息，从而改善宏观经济政策制定和合规监管。与负责执法和国家安全的机构不同，这些机构根据国家法律框架可能有权合法访问个人数据。如果相关法律法规允许，CBDC数据使用将使这些机构能够增加追踪或预防非法和欺诈活动的能力，以提高可追溯性。 许多中央银行已经获取了个人数据，并且具备数据保护的经验，这些经验可以应用于CBDC（中央银行数字货币）数据使用中。当前，中央银行运营着诸如快速支付系统（FPS）等支付系统。通过这些系统处理的所有个人数据都必须遵循当地的《数据保护法》和标准。因此，许多中央银行对于数据保护的要求有深入理解。 2 在启动CBDC之前保护个人数据。 然而，CBDC的数据使用可能对隐私构成风险，进而损害中央银行货币的信任度。隐私涵盖保护个人空间 、享有独处的权利、控制并保障个人信息以及尊严、自主性乃至人类自由等方面（Acquisti,Taylor,andWagman2016）。一些作者认为，隐私是货币本质的一部分（Kahn,McAndrews,andRoberds2005） 。如果设计或管理不当，CBDC对个人数据的使用可能会导致隐私风险，如数据泄露、滥用、网络攻击和跨境支付数据流动等事件，从而也影响CBDC的采纳。确实，仅靠技术无法确保隐私保护。例如，即使在理论上，即便技术能够提供强大的保护机制，但在实际应用中仍可能存在漏洞，使得隐私仍然面临风险。 3 匿名交易可以重新识别，数据可以用元数据去匿名化(Fleder和Shah2020)。 2 请参阅以下示例：T2(europa.eu)的隐私声明和联邦储备委员会-隐私计划。 3 隐私并不等同于匿名性（Auer等人，2021）。交易匿名指的是交易方的身份不被揭示或无法得知。而交易私密则意味着与交易相关的信息（例如交易金额和时间）不会被透露。 隐私问题随着时间的推移而增加(Goldfarb和Tucker2012a)。然而，隐私的概念是 4 全球范围内并不一致，各地区的法律法规差异显著。隐私问题复杂且难以界定——隐私对于不同的人来说意味着不同的内容，而他们自己的偏好也可能模棱两可。消费者往往在数据何时被收集、用途以及后果方面处于信息不完全或不对称的地位。态度之间的差异导致了这些挑战。 5 和行为——"隐私悖论"——表明个人可能声称的隐私担忧比其行为所显示的要多。隐私悖论使得校准适当的政策干预变得困难。 尽管现有的数字支付系统中已显现出许多隐私问题，CBDC（中央银行数字货币）可能会带来新的挑战。CBDC可能被视为国家监控的工具。有人可能担心政府或央行会利用它来控制或限制用户使用CBDC进行的支付，从而损害公众对央行货币的信任。尽管私人部门通常拥有广泛的数据访问权限，这一问题与官方部门数据收集和使用的争议相比，一般被认为是可以接受且未被广泛质疑的。对于存在严重治理和腐败风险的国家来说，这尤其令人担忧。然而，公众对于国家监控与商业监控的态度在不同国家之间也存在差异 。 而有些社会可能对商业实体的信任度超过政府机构。哈佛商学院全球企业研究学院与爱德曼信任研究院在2024年的年度调查中，针对28个国家的32000名受访者进行了研究发现，当对所有28个国家进行平均时，更多的人（63%）信任企业而非 6 政府（51%）。然而，当结果按单个国家进行分析时，政府在4个国家中被更多信任，而在24个国家中，企业被更多信任。 中央银行在设计CBDC时面临重要的权衡：它们需要在CBDC数据使用与隐私保护之间找到平衡。与其它数字支付类似，CBDC的这种权衡可能因国家的文化规范、社会偏好、法律要求和传统，以及公众对公共机构与私人机构的信任程度不同而有所不同。此外，这种权衡的程度可能取决于数据的精细度：如果汇总的数据足以提取价值，那么权衡可能是不存在的——只要用户相信他们的个人数据不会被使用。然而，在需要精细个人数据以提取价值的情况下，这种权衡就变得更为重要。 7 关闭可能更高。 本注释提供了一个框架，以帮助各国应对中央银行数字货币（CBDC）数据使用与隐私保护之间的权衡，并提供了工具来辅助这一过程。本章节专注于面向零售的CBDC，涉及数据访问问题。 4 世界经济论坛，中央银行数字货币的隐私和保密选择，2021年11月， https://www3.weforum.org/docs/WEF_Privacy_and_Confidentiality_Options_for_CBDC_2021.pdf。 5 “隐私悖论”这一术语最初由Athey、Catalini和Tucker（2017）首次提出并记录，尽管自那时以来针对数字支付的实证研究发现，隐私扮演了重要角色，这表明对于数字支付而言，并不存在悖论（例如，欧洲中央银行，2022）。 6 Seehttps://www.edelman.com/trust/2024/trust-baromete.r 7 应指出，国际社会已经在这一权衡取舍的某些方面达成了共识，例如在中央银行数字货币（CBDC）上应用反洗钱（AML）和打击恐怖主义融资（CFT）的法律与规定。 批发环境下的隐私保护考虑与传统实时全额结算（RTGS）系统类似。这强调了机构安排、数据收集、访问和存储政策、设计选择和技术解决方案的作用。在特定的隐私偏好水平下，中央银行可以通过建立坚实的透明度和责任制度、制定稳健的政策，并适当地采用“设计即隐私”方法（包括隐私增强技术PETs） ，以及采用隐私保护技术来促进CBDC数据的更有效利用。 调查结果摘要 CBDC提供了一个可能改善数据使用与隐私保护之间权衡的机会，相较于私营数字支付系统。面对与私营数字支付系统类似的权衡，中央银行可能在取得更好的平衡方面拥有数个潜在优势。他们拥有强大的召集力量，并能清晰地阐述原则和政策以促进隐私并协调“设计即隐私”方法在CBDC生态系统中的采用。中央银行可以通过加强沟通和消费者教育来减少隐私担忧。他们可以提供多样化的CBDC设计选择，以满足不同隐私偏好的需求。中央银行可以通过避免数据孤岛、鼓励数据共享来促进创新和竞争。最后，中央银行也处于更佳位置与其他相关部门合作，确保 8 法律和监管框架的一致性，以建立对CBDC的信任。 鉴于隐私偏好可能的多样性，中央银行可能希望提供多种CBDC设计以满足不同用户的需求。对于小额交易，CBDC可以设计为与现金的接近替代品，为用户提供高度的隐私保护。在这种情况下，应采用稳健的机构安排、政策和技术解决方案，确保CBDC使用符合反洗钱/打击恐怖融资（AML/CFT）法律法规，至少达到与现金相同的水平。请注意，现金在很大程度上具有匿名性，这意味着它可用于非法交易。对于小额交易，CBDC设计的一个变体可以选择允许用户请求