jakiro
2024 年 4 月 16 日,香港金融管理局(簡稱香港金管局)發布 有關分布式分類帳技術(DLT)的指引 ,支持銀行在風險可控的情況下使用 DLT,並表示希望通過明確金管局監管考慮的方式,推動業界更廣泛接受和應用 DLT 技術。
金管局的監管原則為「風險為本、科技中立」,主要關注銀行是否有足夠的管控措施,妥善管理因應用 DLT 所帶來的額外和獨特風險。一些風險因素在不同 DLT 項目中經常出現,金管局因此將相關考慮因素載於指引中,包括: 建立適當管治;銀行董事局及高級管理層對銀行使用 DLT 負上最終責任,並應制定適當的政策和風險框架等 ,確保銀行能妥善管理因應用 DLT 所衍生的所有風險。
其次是確保 DLT 應用項目設計合適,銀行於設計過程可能需要考慮的事項包括:
(i) 不同 DLT 網絡種類的適用性;
(ii) 智能合約的使用和設計;
(iii) 如何管理可能衍生的法律和第三方風險;及
(iv) 項目能否安全與其它程序達成互通性。
另外, 金管局關注持續維護及監察 DLT 項目,銀行應設立有效的網絡安全措施,妥善管理私人密鑰 ,遵守有關個人資料和私隱保障的要求,並制定適當的應急計劃和測試安排。
以下為金管局分布式帳本技術(DLT)風險管理指引原文譯文。
背景簡介
自政府 2022 年發布《香港虛擬資產發展政策聲明》以來,香港金融管理局注意到授權機構(英文簡稱 AI)對探索如何將虛擬資產生態系統背後的分布式帳本技術(DLT)應用於傳統金融市場運營產生了濃厚興趣。隨著這些探索的加速,越來越多的授權機構根據香港金融管理局 2022 年 1 月 28 日的通函中規定的監管期望,與香港金融管理局聯繫,尋求對其計劃中的舉措的意見。
只要它們能夠適當管理相關風險,香港金融管理局支持授權機構採用基於分布式帳本技術(DLT)的解決方案。根據「風險為本、科技中立」的監督原則,香港金融管理局在審查授權機構的 DLT 相關提案時, 重點關注授權機構是否已建立充分的系統和控制措施 ,以管理因 DLT 採用可能產生的額外風險。
儘管香港金融管理局的具體考慮,會因所審查的特定解決方案而有所不同,但一些常見的風險領域通常與採用分布式帳本技術(DLT)相關。為了促進授權機構對 DLT 解決方案的採用,香港金融管理局在本備忘錄中列出了:
(i)通常會在評估授權機構的 DLT 相關提案時考慮的關鍵問題;以及
(ii)授權機構在每個領域下通常應展示和/或滿足的能力和條件。
以上考慮因素是非約束性的、非詳盡的,並且會隨著市場和相關技術的發展而不斷演變。因此,雖然授權機構在設計和開發其與 DLT 相關的解決方案時可以參考這些要點,香港金融管理局仍會就具體問題繼續與授權機構進行雙邊討論,以確保以上因素適用於具體的個案。
關鍵因素
治理
DLT 關注去中心化,採用 DLT 不僅涉及技術的新穎應用,還涉及非傳統的治理理念,因此, 董事會和高級管理層對授權機構採用DLT以及充分管理相關風險承擔全部責任 。
在實施 DLT 解決方案時,授權機構可能會遇到一系列新的 DLT 特定風險,包括與治理相關的風險。因此,香港金融管理局期望授權機構的董事會和高級管理層建立充分的系統和控制措施,以減輕這些風險。
作為其中的一部分,授權機構應根據需要審查和更新其相關政策和框架,以反映 DLT 特定因素。這些政策和框架包括技術風險管理(例如變更管理、訪問控制、網絡安全)、業務連續性規劃(BCP)和外包。
關於內部能力,授權機構必須確保擁有足夠的具備 DLT 專業知識的員工來支持實施過程,並且其管理層具備足夠的知識來審查和評估授權機構對 DLT 採用的戰略和方法。
鑑於技術進步的快速步伐,授權機構應注意為員工提供定期培訓的必要性 ,並重新配置工作流程,以跟上最新的發展。如果 DLT 解決方案涉及面向客戶的元素,授權機構應審查進行 DLT 特定消費者教育努力和/或更新現有糾紛處理程序,以及補償和賠償機制的必要性。
應用設計與開發
為特定應用選擇合適的 DLT 網絡 — 考慮到 DLT 網絡的結構和治理方式(例如,無許可、私有許可或公有許可)對網絡的安全性、穩定性、可擴展性和彈性有直接影響,授權機構需為特定應用選擇合適的 DLT 網絡。
香港金融管理局期望授權機構充分了解可用的不同類型的 DLT 網絡,並根據所涉應用的性質和風險,以及自身的法律和監管責任作出適當的選擇。如果授權機構決定選擇可能涉及較高風險的設計選項,香港金融管理局期望類似選項已接受關鍵評估,並確保提供相應的風險管理控制措施。例如,由於開放成員資格和通常更容易受到惡意行為者的攻擊,無許可網絡可能不是涉及傳輸敏感數據的應用程式的首選。
但是,如果授權機構能找到適當的措施來管理相關風險(例如加密解決方案,如零知識證明或鏈上和鏈下解決方案的組合),這些網絡無需默認排除在此類應用之外。
設計「合適目的」的智能合約 — 儘管智能合約可以通過自動化提供效率優勢,但它們可能不適用於所有業務場景,或者只能與定製的控制措施一起部署。
例如,在通常涉及某種程度的人類判斷的情況下(例如複雜的貸款評估),未經檢查的自動化可能不受歡迎,智能合約可能只有在可以加入人工幹預選項的情況下才適用。
如果授權機構認為使用智能合約是合適的,香港金融管理局期望其有效管理與智能合約常見相關的漏洞。這些包括運營風險(例如非惡意編碼錯誤和網絡攻擊)、第三方風險(例如用於獲取外部數據的「預言機」的可靠性)和法律風險(例如智能合約的法律基礎是否建立)。
為此, 建議授權機構建立嚴格的治理框架,用於引入和更新智能合約。有效的框架將評估在特定情況下採用智能合約的適用性,從運營、技術和法律角度對即將部署的智能合約進行盡職調查審查,確保必要的風險管理控制措施被納入智能合約的最終設計中,並涵蓋升級智能合約的程序/考慮事項。 如有必要,授權機構應考慮聘請專業建議,包括合適的第三方,在部署智能合約之前對其進行審計。
了解和減輕潛在的法律風險 — 將 DLT 應用於傳統金融市場活動的法律基礎仍在不斷發展。例如,關於代幣化產品的發行和交易,在傳統金融系統中,「結算最終性」是一個明確且明確界定的時間點,由強大的法律基礎支撐,而在 DLT 安排下,由於使用基於共識的驗證機制,結算最終性達成的時間點可能不那麼明確。根據傳統產品的「代幣化」方式,可能還會對其法律地位和隨後的監管處理方式產生變化。授權機構應意識到這些可能的法律灰色區域,必要時尋求專業建議,並在設計過程中採取措施,減輕隨之而來的法律風險。
有效管理與第三方相關的風險 — 香港金融管理局期望授權機構在評估是否採用 DLT 解決方案的過程中,已經審查並確定自己能夠管理參與 DLT 安排的第三方可能帶來的風險。特別是鑑於 DLT 網絡基於共識機制運作,因此依賴節點操作員來驗證和確認對帳本的更改,授權機構應根據手頭的應用,充分考慮節點操作員是否足夠值得信賴、可靠和多樣化。
如果發現不足,授權機構應採取充分的風險補償措施。還應考慮 DLT 網絡的設計可能對其充分管理與第三方相關的風險的能力產生的影響。例如,無許可網絡在設計上具有開放的成員資格,並允許任何參與者(包括使用化名的參與者)成為驗證者。在這些情況下,授權機構對所涉及的第三方的控制較少,因此除非它們能夠採用充分的風險管理補償措施,否則授權機構採用這種類型的 DLT 解決方案用於高度關鍵或敏感的功能可能不合適。
安全地實現互操作性和連接性 — 香港金融管理局期望授權機構儘可能將其基於 DLT 的系統設計為兼容傳統與其他基於 DLT 的解決方案,並能夠與之「溝通」。這可能有助於限制市場碎片化,支持運營效率,並確保 DLT 解決方案的長期相關性。
例如,香港金融管理局一直在鼓勵銀行探索部署 DLT 來接受存款的潛力(即「代幣化」存款) ,因為這種存款活動在《銀行條例》下是允許的。在此過程中,需注意到的銀行的觀點是, 只能在授權機構自己專有網絡內使用的代幣化存款,相比於可以用於銀行間轉帳和結算存儲在不同 DLT 網絡上的各種代幣化資產的存款,可能對客戶帶來的額外價值相對較少。 考慮到這一點,建議授權機構考慮採用更廣泛被行業接受的技術標準來支持兼容性。與任何銀行間舉措一樣,授權機構應確保這些連接的安全性,包括保護它們免受網絡攻擊、潛在的安全漏洞和數據洩露風險。
持續維護與監控
建立與傳統技術應用相同級別的網絡安全機制 — 基於 DLT 的應用應享有與傳統底層技術相稱的網絡安全級別。香港金融管理局期望授權機構採取有效的機制來應對DLT特有的網絡風險(例如51%攻擊)以及其他常見的網絡安全威脅(例如分布式拒絕服務,即DDoS攻擊)。授權機構還應警惕威脅行為者的新興作案手法和可能影響DLT應用安全性的全新技術發展(例如量子計算),並定期更新其應對能力。
安全管理私鑰 — 授權機構訪問和保護私鑰的責任取決於其採用 DLT 應用的目的,以及其是否提供某些服務。鑑於可能性各不相同,香港金融管理局通常期望授權機構證明其已制定了強有力的政策和程序,為其持有或管理的任何私鑰提供與應用的性質和風險、與私鑰相關的底層資產以及授權機構承擔的職責相適應的安全級別。
例如,為客戶的數字資產提供託管服務的授權機構通常被期望採取更嚴格的安全程序,以確保相關的私鑰(以及適用的助記詞)始終安全生成、存儲和備份。這可能涉及多種措施,包括實施控制措施以嚴格限制對密鑰的訪問,使用冷存儲並開發異地備份和其他應急安排等。
保證滿足數據隱私和保護要求 — 無論數據存儲在集中化帳本還是基於 DLT 的帳本上,現行的數據隱私和保護要求都繼續適用。因此,授權機構應證明其已建立足夠的系統和控制措施,以確保其持續符合這些要求。
如有需要,應採取緩解措施來管理由於 DLT 安排的獨特性質而可能產生的複雜問題。這些措施可能包括但不限於:遵守與數據保留相關的要求的困難(例如應對 DLT 網絡上數據的不可更改性)、保證個人數據機密性(例如應對某些 DLT 網絡的透明性質)以及數據本地化(例如在 DLT 網絡分布於多個司法管轄區的情況下如何完成數據保存)。
定製應急計劃和測試安排 — 如果授權機構在關鍵功能上採用 DLT,香港金融管理局期望其在業務連續性計劃(BCP)中包含特定於 DLT 的測試場景(例如常見的 DLT 網絡攻擊、私鑰的丟失/盜竊以及「分叉」的可能性)和應急安排。
特別是,期望授權機構了解並考慮 DLT 網絡的獨特運行動態,尤其是那些可能影響系統和容量管理的因素(例如驗證擁堵的可能性以及加急交易需要支付更高費用的需求),在進行規劃和測試時應予以注意。在考慮更極端的情景時,授權機構還應考慮為 DLT 解決方案可能暫時或永久不可用的情況提供備份選項的必要性。
