数币如何保护个人隐私穆长春：现行电子支付工具中安全等级最高

中国人民银行数字货币研究所所长穆长春在第五届数字中国建设峰会数字人民币产业发展分论坛上表示，数字人民币对用户隐私的保护是目前电子支付工具中最高的。

在数字人民币的体系中，数字人民币从多个维度考虑了对用户个人隐私的保护。比如，数字人民币的“双层运行”制度，有利于确保个人信息在没有法律授权的情况下不能被查询或使用；Rmb只根据客户意愿收集必要的个人信息。

穆长春还指出，数字人民币将承担与法定货币或现金相同的反洗钱和反恐怖融资义务，央行的数字货币不应具有与现金相同的匿名性，以防止数字人民币成为电信诈骗、网络赌博、洗钱、贩毒甚至恐怖组织犯罪的工具。

“需要强调的是，在仍然发行实物现金的前提下，公众仍然可以获得实物现金提供的完全匿名性，不会因为数字人民币的发行而被剥夺。”穆长春表示，可控不等于控制和支配，而是防控风险、打击犯罪，是维护公共利益和金融安全的客观需要。人民币的可控匿名性将为公众提供更好、更安全的支付服务发挥积极作用。

设计中已经考虑到个人隐私保护。

大数据时代，消费者越来越重视个人隐私保护。虽然以移动支付为代表的电子支付比传统现金支付更方便，但仍有消费者选择现金交易。一个重要原因是，现金交易是匿名的，自然会保护消费者的隐私。

"数字人民币的设计需要保护个人隐私."穆长春表示，数字人民币主要定位于流通中的现金，也就是说数字形式的现金，其设计要满足个人匿名交易的合理需求，保护消费者的隐私。

他认为，数字人民币应该符合日常小额现金支付的习惯，保证相关支付交易的保密性。人民币应该是匿名的，这样才能保证消费者在使用数字人民币进行交易时，消费者的个人信息不会被商家和其他未经授权的第三方获取。人民币还应加强个人信息的使用和保护，确保运营机构采集的客户基本信息、生成的交易和消费行为信息不会泄露。

“双层运作”制度有利于保障个人信息安全。

穆长春介绍，数字人民币的“双层运行”制度，有利于确保个人信息在没有法律授权的情况下不能被查询和使用。在“双层运营”体系中，运营机构收集服务和运营所必需的个人信息，钱包服务产生的个人信息由运营机构收集和存储。为满足机构间交易和对账的需要，人民银行只处理通过互联互通平台传递的机构间交易信息。

同时，匿名数字人民币钱包采用匿名技术处理，钱包之间的所有个人信息数据对交易对手和其他商业机构都是匿名的。对于社会公众的正常交易和消费，上述主体无法获得完整的交易信息和消费行为信息，以保护消费者的个人隐私。

“只有在涉嫌违法和可疑交易被触发时，相关权限方可依法向运营机构查询和使用用户个人信息。”穆长春表示，在法律法规授权范围内严格控制了知晓和使用范围，并采取了安全防护措施。

穆长春指出，人民银行严格遵守网络安全法、个人信息保护法等法律法规，通过先进的技术手段和严格的管理机制，确保个人信息安全。在技术层面，采用访问控制安全措施、多重身份认证等技术手段保护数据安全，防止数据的非授权访问、泄露、使用、修改、损坏或丢失。

他认为，在管理机制上，内部设置“防火墙”，通过个人管理、业务隔离、分级授权、岗位制衡、内部审计等制度安排，严格执行信息安全和隐私保护管理。与人民币相关的数字信息将被加密和密封，所有客户信息将被去标记。未经法律授权，无论中国人民银行内部人员还是外部任何单位和个人均不得随意查询或使用；凡擅自查询或使用个人信息的，将依法追究法律责任。

人民币钱包和银行账户的松耦合可以实现小额匿名。

穆长春指出，数字人民币钱包与银行账户的松散耦合，减少了交易环节对金融中介的依赖，技术上可以实现少量匿名。

“数字人民币钱包根据客户身份识别的强弱，分为不同档次的钱包。四类数字钱包，只需手机号即可开通。”穆长春指出，根据《网络安全法》、《个人信息保护法》等相关法律法规，电信运营商不得随意向包括中国人民银行在内的第三方泄露手机号码对应的客户信息。所以用手机号开的四类钱包其实都是匿名的。

同时，数字人民币钱包按载体分为软钱包和硬钱包。在钱包矩阵下，四类软钱包及其硬钱包都是匿名钱包，可以满足公众线上线下小额匿名交易的需求。而准账户模式的硬钱包在发行时与用户身份不相关联，可以充分发挥硬钱包在小额匿名支付领域的积极作用。

此外，数字人民币钱包根据权限归属分为母钱包和子钱包。用户可以在电商平台开通妈妈钱包下的子钱包进行支付。数字人民币对所有用户信息进行去识别，除了开通子钱包时与电商平台账户关联的用户的手机号码外，不会向电商平台提供其他信息，如银行卡号、银行卡有效期等信息，有效保护公众隐私。

Rmb只根据客户意愿收集必要的个人信息。

穆长春指出，基于双层操作系统和钱包矩阵的设计，数字人民币遵循自主、透明、最小化的原则，根据用户意愿收集与处理目的直接相关的必要个人信息。

“数字人民币app仅收集和处理必要的个人信息，以确保注册、登录、密码修改和检索等基本存款账户功能的实现。”穆长春介绍，运营机构在向用户提供数字人民币钱包服务时，也只是采集必要的身份信息和交易信息，以保证数字人民币支付等基本业务功能的实现。此外，为确保用户财产安全，数字人民币仅收集风险控制所需信息，用于加强用户数字人民币钱包的风险识别，防范被盗、恶意挂失、网络诈骗等风险。

值得注意的是，用户有权随时关闭相关权限，数字人民币app将立即停止对个人信息的处理活动，充分保障用户对相关权限的自主管理。

“对于选择拒绝提供权限的用户，数字人民币app将严格执行。”穆长春介绍，数字人民币app并没有采用“打包”授权的方式供用户获取相关权限，而是根据具体的业务和场景，在合理和必要的情况下，在明确告知用户使用目的后，单独向用户申请相关权限，在获得用户同意后才会获得相应的权限。通过详细列出提供服务需要打开的权限以及对应的业务场景，让用户充分了解自己需要授权的权限。

“完全匿名”是不现实的。

人民币数字钱包矩阵的设计遵循“小额匿名、大额依法可追溯”的原则。而保护隐私是否意味着完全匿名？

对此，穆长春表示，如果只注重个人隐私保护，而忽视数字时代金融产品和服务的便利性、规模化、跨地域带来的风险，央行的数字货币将被违法犯罪所利用，造成严重后果。人民币应符合反洗钱和反恐怖融资的国际标准以及国内法律法规的要求。

事实上，为了维护金融安全和稳定，各国央行和国际组织在探索央行数字货币的匿名性时，都将风险防范作为重要前提，不符合反洗钱、反恐怖融资和反逃税要求的设计都会被一票否决。

穆长春进一步解释说，数字货币，即央行，更具有便携性，如果提供和现金一样的匿名性，将极大地方便洗钱等非法交易。所以央行数字货币不应该有和现金一样的匿名性。

“数字人民币需要防范电信诈骗等风险。”穆长春直言，数字货币——央行收集的用户信息比传统的银行账户和电子支付更少，比实物现金更便携。如果匿名度过高，就会给不法分子提供新的作案土壤。大量非法交易将从电子支付流入数字货币——央行，成为电信诈骗、网络赌博、洗钱、贩毒甚至恐怖组织犯罪的工具，这也将达不到FATF等国际组织的要求。

此外，穆长春还表示，为确保数字人民币可控匿名要求的有效落实，需要在顶层制度设计上做出多项安排，如建立信息隔离机制，明确数字钱包查询、冻结、扣划的法律条件，建立相应的惩罚机制，完善数字人民币反洗钱、反恐怖融资等法律法规。此外，在数字人民币监管将加强监管技术应用实践方面，也将积极运用大数据、人工智能、云计算等技术丰富金融监管手段，提高识别、防范和化解跨行业、跨市场金融风险的能力。

新京报壳牌财经记者范姜

编辑方静怡校对吴兴发。