區(qū)塊鏈合規(guī)需“量體裁衣”

《法人》特約撰稿 馬明亮 徐明達

從比特幣為代表的區(qū)塊鏈1.0時代到以智能合約為依托的區(qū)塊鏈2.0時代，再到以智能化物聯(lián)網(wǎng)多應(yīng)用場景為趨勢的區(qū)塊鏈3.0時代，區(qū)塊鏈在賦能各領(lǐng)域、為我們生活提供便利的同時，也暗含著技術(shù)風(fēng)險和法律規(guī)制困境。因此，搭建區(qū)塊鏈開發(fā)應(yīng)用的合規(guī)制度體系尤為重要。

區(qū)塊鏈應(yīng)用中的風(fēng)險

區(qū)塊鏈作為一種非對稱加密數(shù)據(jù)庫存儲技術(shù)，在快速發(fā)展的同時，也暗藏一系列新型風(fēng)險。

區(qū)塊鏈的算法風(fēng)險。區(qū)塊鏈技術(shù)的典型特征為非對稱加密技術(shù)，密集性地使用了大量的加密算法與工具。一旦算法本身出現(xiàn)漏洞，區(qū)塊鏈整體就會面臨巨大的運行危機。2014年Heartbleed事件（被稱為“心臟出血”的互聯(lián)網(wǎng)安全漏洞）就是典型的算法風(fēng)險。其中OpenSSL（一個安全套接字層密碼庫，囊括主要的密碼算法、常用的密鑰和證書封裝管理功能及SSL協(xié)議，并提供豐富的應(yīng)用程序供測試或其他目的使用）的源代碼存在一個設(shè)計疏漏，最終導(dǎo)致900個納稅人的社會保障號被盜并被刪除。無獨有偶，2016年，以太幣組織（the Dao）因系統(tǒng)的算法漏洞受到外部攻擊，價值5000萬美元的以太幣資金被盜取。

私鑰的安全風(fēng)險。在區(qū)塊鏈圈中流行這樣一句話：“私鑰不管好，親人兩行淚。”去中心化的區(qū)塊鏈決定了其沒有統(tǒng)一的信任系統(tǒng)，隨之而來的是，一旦密鑰丟失將無法通過其他途徑進行補救。2013年英國IT工程師James Howells誤扔了存有私鑰的硬盤，從而弄丟了7500枚比特幣，造成不可逆的損失。

資料圖片

智能合約與共識機制漏洞可能引發(fā)技術(shù)操作風(fēng)險。區(qū)塊鏈將原本復(fù)雜的交易過程轉(zhuǎn)化為智能合約的自動化技術(shù)過程，這突破了傳統(tǒng)交易的窠臼，但也帶來新的挑戰(zhàn)。在區(qū)塊鏈網(wǎng)絡(luò)中，只有同時控制區(qū)塊鏈系統(tǒng)51%以上節(jié)點，才能實現(xiàn)對單個節(jié)點的修改。雖然區(qū)塊鏈技術(shù)在設(shè)計愿景上是完美的，但算法上暗藏著壟斷風(fēng)險。比如，算力的競爭會使礦機聯(lián)合形成礦池，當(dāng)集中度高于50%時便存在節(jié)點信息被篡改的可能，形成與技術(shù)去中心化相悖的矛盾。

“區(qū)塊鏈+”遍地開花的今天，區(qū)塊鏈的應(yīng)用風(fēng)險不局限于技術(shù)風(fēng)險，還包括法律與道德風(fēng)險。法律風(fēng)險如，區(qū)塊鏈的匿名性為一些犯罪行為提供了可能。道德風(fēng)險如，共識算法下，競爭者為具有競爭力加大硬件使用，進而帶來環(huán)境倫理問題；區(qū)塊鏈的超效率可能在無意間導(dǎo)致眾多數(shù)據(jù)維護工作者失業(yè)。

區(qū)塊鏈應(yīng)用的規(guī)制

中國對區(qū)塊鏈技術(shù)的監(jiān)管與法律規(guī)制一直比較重視。2019年1月10日，國家互聯(lián)網(wǎng)信息辦公室發(fā)布《區(qū)塊鏈信息服務(wù)管理規(guī)定》，確定監(jiān)管主體，同時對監(jiān)管方式、監(jiān)管主體義務(wù)、相應(yīng)法律責(zé)任等作了明確規(guī)定。2021年12月中央網(wǎng)絡(luò)安全和信息化委員會印發(fā)的《“十四五”國家信息化規(guī)劃》，明確要求建立和完善數(shù)字技術(shù)應(yīng)用審查機制和監(jiān)管法律體系，包括明確人工智能、區(qū)塊鏈等關(guān)鍵應(yīng)用法律主體及相關(guān)責(zé)任。

區(qū)塊鏈技術(shù)在具體領(lǐng)域的應(yīng)用過程中，有關(guān)部門也會考慮合法合規(guī)問題。比如，在司法領(lǐng)域，今年7月，最高人民法院發(fā)布關(guān)于加強區(qū)塊鏈司法應(yīng)用的意見，明確要求“確保安全可靠”。各級人民法院要健全事前審核和測試評估機制，確保上鏈數(shù)據(jù)真實性、準(zhǔn)確性、合規(guī)性以及鏈上鏈下數(shù)據(jù)一致性，確保智能合約的合法性、有效性、安全性和可靠性。

不僅如此，如何通過合規(guī)的方式規(guī)制區(qū)塊鏈，中國也做出了探索與嘗試。2017年，國家互聯(lián)網(wǎng)應(yīng)急中心發(fā)起成立的互聯(lián)網(wǎng)金融專家委員會，發(fā)布《合規(guī)區(qū)塊鏈指引》，闡明了合規(guī)區(qū)塊鏈的必要性，并對合規(guī)區(qū)塊鏈作出指引、總結(jié)和展望。但總體來看，由于技術(shù)發(fā)展迅速，目前的監(jiān)管與法律規(guī)制呈現(xiàn)粗線條樣態(tài)，如《區(qū)塊鏈信息服務(wù)管理規(guī)定》只概括地表明了區(qū)塊鏈信息服務(wù)提供者的信息安全管理責(zé)任，并未對區(qū)塊鏈合規(guī)管理的具體制度作出安排。未來，亟待建立完善且成體系的、兼顧數(shù)據(jù)開放和隱私保護的區(qū)塊鏈發(fā)展保障機制。

區(qū)塊鏈的合規(guī)治理

有關(guān)監(jiān)管部門可以考慮通過企業(yè)合規(guī)的方式實現(xiàn)區(qū)塊鏈技術(shù)的健康發(fā)展。在此，筆者初步討論區(qū)塊鏈合規(guī)建設(shè)的目標(biāo)、指導(dǎo)原則與具體路徑。

區(qū)塊鏈合規(guī)治理的目標(biāo)，應(yīng)定義為實現(xiàn)監(jiān)管和技術(shù)創(chuàng)新之間的平衡。與互聯(lián)網(wǎng)的情況相反，目前大多數(shù)區(qū)塊鏈技術(shù)仍處于發(fā)展的初級階段，迄今尚無廣泛適用的技術(shù)標(biāo)準(zhǔn)。因此，有關(guān)監(jiān)管部門應(yīng)當(dāng)根據(jù)業(yè)務(wù)部門的需要開發(fā)區(qū)塊鏈技術(shù)應(yīng)用，在確保監(jiān)管目標(biāo)的同時保持技術(shù)的主要優(yōu)勢。

區(qū)塊鏈合規(guī)治理應(yīng)當(dāng)遵循的原則主要包括三個方面。一是“依法治鏈”與“以鏈治鏈”相結(jié)合原則?！耙婪ㄖ捂湣币环矫媸菍^(qū)塊鏈的技術(shù)要素納入現(xiàn)行法律制度框架內(nèi)，另一方面是將法律規(guī)則的精神編入代碼。“以鏈治鏈”是指以區(qū)塊鏈技術(shù)取代傳統(tǒng)的人力監(jiān)管，通過建立“法鏈”等形式實現(xiàn)對區(qū)塊鏈系統(tǒng)合規(guī)管理。二是分類監(jiān)管原則。“區(qū)塊鏈+”的深入發(fā)展正在重塑社會秩序，為避免因技術(shù)的迅速發(fā)展和法律本身的局限性而形成失序格局，區(qū)塊鏈合規(guī)體系更需要針對不同區(qū)塊鏈類型進行“量體裁衣”式監(jiān)管，搭建不同領(lǐng)域的“個性化”區(qū)塊鏈合規(guī)制度。三是軟性規(guī)制和硬性規(guī)制相結(jié)合原則。法律規(guī)制的滯后性問題在技術(shù)迭代迅速的數(shù)字時代尤為突出，所以，除了國家層面的立法，由特定共同體協(xié)商制定行業(yè)規(guī)范作為有益補充，也許更適宜區(qū)塊鏈發(fā)展。其間，監(jiān)管者與開發(fā)者、利益相關(guān)者之間展開對話協(xié)作，探討區(qū)塊鏈行業(yè)規(guī)范和企業(yè)內(nèi)部規(guī)范。如是，推行法律硬性規(guī)制為主、行業(yè)規(guī)范軟性規(guī)制為輔的模式，實現(xiàn)區(qū)塊鏈行業(yè)的健康可持續(xù)發(fā)展。

目前來看，區(qū)塊鏈合規(guī)治理的具體路徑與方向主要包括以下幾個方面：第一，區(qū)塊鏈合規(guī)標(biāo)準(zhǔn)建設(shè)。有關(guān)監(jiān)管部門應(yīng)當(dāng)進一步完善區(qū)塊鏈的相關(guān)技術(shù)標(biāo)準(zhǔn)、安全規(guī)范和認(rèn)證審核制度，在技術(shù)標(biāo)準(zhǔn)中融入法律要素，通過融合形成標(biāo)準(zhǔn)，實現(xiàn)“事先或靜態(tài)的合法合規(guī)”。比如，司法區(qū)塊鏈技術(shù)標(biāo)準(zhǔn)的建設(shè)方案是根據(jù)司法程序與訴訟規(guī)則、證據(jù)規(guī)則的要求，確定各個區(qū)塊鏈應(yīng)用的責(zé)任主體、歸責(zé)原則、救濟措施等，根據(jù)司法區(qū)塊鏈技術(shù)的特點，從數(shù)據(jù)、技術(shù)、場景應(yīng)用等不同角度出臺具有針對性的規(guī)范及配套制度，以期實現(xiàn)全流程的合法合規(guī)。第二，區(qū)塊鏈算法合規(guī)建設(shè)。這是區(qū)塊鏈合規(guī)的堅實基礎(chǔ)。代碼是互聯(lián)網(wǎng)體系結(jié)構(gòu)的基石，同樣，算法合規(guī)是區(qū)塊鏈合規(guī)化的堅實根基。實現(xiàn)算法合規(guī)實則在筑牢區(qū)塊鏈基礎(chǔ)設(shè)施安全能力。比如，圍繞司法區(qū)塊鏈的算法規(guī)制問題，司法機關(guān)可以參考《互聯(lián)網(wǎng)信息服務(wù)算法推薦管理規(guī)定》，對區(qū)塊鏈算法的可解釋性及透明度義務(wù)進行制度設(shè)計。第三，區(qū)塊鏈技術(shù)安全評估與測評體系建設(shè)。目前，區(qū)塊鏈的關(guān)鍵核心技術(shù)還處在發(fā)展階段，仍然存在某些固有缺陷與風(fēng)險。因此，僅有區(qū)塊鏈應(yīng)用標(biāo)準(zhǔn)無法滿足區(qū)塊鏈應(yīng)用的高質(zhì)量發(fā)展，還需建立專業(yè)全面的合規(guī)評估辦法與測評體系。

目前，在以區(qū)塊鏈為基礎(chǔ)設(shè)施的Web3.0時代，無論是小型聯(lián)盟鏈還是比特幣等大型區(qū)塊鏈平臺，在發(fā)展過程中也都逐步認(rèn)識到了合規(guī)治理的價值。比如，幣安公司（Binance）作為擁有超過1.2億用戶服務(wù)的生態(tài)系統(tǒng)，截至今年9月17日已經(jīng)將合規(guī)團隊擴大到原來的5倍，并擴展內(nèi)部的反洗錢（AML）檢測和分析能力，從廣度和深度多角度打造可靠的合規(guī)團隊，走在了區(qū)塊鏈合規(guī)的前列。

近年來，中國區(qū)塊鏈的集成應(yīng)用不斷融入金融、司法、醫(yī)藥、農(nóng)業(yè)等領(lǐng)域。它不僅作為溯源與存證的工具發(fā)揮作用，而且能夠重組生產(chǎn)關(guān)系，構(gòu)建分布式商業(yè)、分布式司法，同時能夠幫助建立一套適配數(shù)字經(jīng)濟的新金融市場體系。然而，任何缺乏監(jiān)管的新興技術(shù)都可能成為脫韁野馬，并異化為剝削與控制市場發(fā)展的工具。而監(jiān)管部門通過合規(guī)體系建設(shè)的方式，相較于單純的行政管理而言，可以更有效地實現(xiàn)監(jiān)管和技術(shù)創(chuàng)新之間的動態(tài)平衡，更有力地促進區(qū)塊鏈的長效穩(wěn)健發(fā)展。