2024 年4 月16 日,香港金融管理局(簡稱香港金管局)發布有關分散式分類帳技術(DLT)的指引,支持銀行在風險可控的情況下使用DLT,並表示希望透過明確金管局監管考慮的方式,推動業界更廣泛接受和應用DLT 技術。
金管局的監理原則為“風險為本、科技中立”,主要關注銀行是否有足夠的管控措施,妥善管理因應用DLT 所帶來的額外和獨特風險。一些風險因素在不同DLT 專案中經常出現,金管局因此將相關考慮因素載於指引中,包括:建立適當管治;銀行董事局及高階管理層對銀行使用DLT 負上最終責任,並應制定適當的政策和風險架構等,確保銀行能妥善管理因應用DLT 所衍生的所有風險。
其次是確保DLT 應用專案設計合適,銀行於設計過程可能需要考慮的事項包括:
(i) 不同DLT 網路種類的適用性;
(ii) 智能合約的使用與設計;
(iii) 如何管理可能衍生的法律和第三方風險;及
(iv) 專案能否安全與其它程序達成互通性。
另外,金管局關注持續維護及監察DLT 項目,銀行應設立有效的網路安全措施,妥善管理私人密鑰,遵守有關個人資料和私隱保障的要求,並製定適當的應急計劃和測試安排。
以下為金管局分散式帳本技術(DLT)風險管理指引原文譯本。
背景簡介
自政府2022 年發布《香港虛擬資產發展政策聲明》以來,香港金融管理局注意到授權機構(英文簡稱AI)對探討如何將虛擬資產生態系統背後的分散式帳本技術(DLT)應用於傳統金融市場營運產生了濃厚興趣。隨著這些探索的加速,越來越多的授權機構根據香港金融管理局2022 年1 月28 日的通函中規定的監管期望,與香港金融管理局聯繫,尋求對其計劃中的舉措的意見。
只要它們能夠適當管理相關風險,香港金融管理局支持授權機構採用基於分散式帳本技術(DLT)的解決方案。根據「風險為本、科技中立」的監督原則,香港金融管理局在審查授權機構的DLT 相關提案時,重點關注授權機構是否已建立充分的系統和控制措施,以管理因DLT 採用可能產生的額外風險。
儘管香港金融管理局的具體考慮,會因所審查的特定解決方案而有所不同,但一些常見的風險領域通常與採用分散式帳本技術(DLT)相關。為了促進授權機構對DLT 解決方案的採用,香港金融管理局在本備忘錄中列出了:
(i)通常會在評估授權機構的DLT 相關提案時考慮的關鍵問題;以及
(ii)授權機構在每個領域下通常應展示和/或滿足的能力和條件。
以上考慮因素是非約束性的、非詳盡的,並且會隨著市場和相關技術的發展而不斷演變。因此,雖然授權機構在設計和開發其與DLT 相關的解決方案時可以參考這些要點,香港金融管理局仍會就具體問題繼續與授權機構進行雙邊討論,以確保以上因素適用於具體的個案。
關鍵因素
治理
DLT 關注去中心化,採用DLT 不僅涉及技術的新穎應用,還涉及非傳統的治理理念,因此,董事會和高階管理層對授權機構採用DLT以及充分管理相關風險承擔全部責任。
在實施DLT 解決方案時,授權機構可能會遇到一系列新的DLT 特定風險,包括與治理相關的風險。因此,香港金融管理局期望授權機構的董事會和高階管理層建立充分的系統和控制措施,以減輕這些風險。
作為其中的一部分,授權機構應根據需要審查和更新其相關政策和框架,以反映DLT 特定因素。這些政策和框架包括技術風險管理(例如變更管理、存取控制、網路安全)、業務連續性規劃(BCP)和外包。
關於內部能力,授權機構必須確保擁有足夠的具備DLT 專業知識的員工來支持實施過程,並且其管理層具備足夠的知識來審查和評估授權機構對DLT 採用的戰略和方法。
鑑於技術進步的快速步伐,授權機構應注意為員工提供定期培訓的必要性,並重新配置工作流程,以跟上最新的發展。如果DLT 解決方案涉及面向客戶的元素,授權機構應審查進行DLT 特定消費者教育努力和/或更新現有糾紛處理程序,以及補償和賠償機制的必要性。
應用設計與開發
為特定應用選擇合適的DLT 網路– 考慮到DLT 網路的結構和治理方式(例如,無授權、私有授權或公有授權)對網路的安全性、穩定性、可擴展性和彈性有直接影響,授權機構需為特定應用選擇合適的DLT 網路。
香港金融管理局期望授權機構充分了解可用的不同類型的DLT 網絡,並根據所涉應用的性質和風險,以及自身的法律和監管責任做出適當的選擇。如果授權機構決定選擇可能涉及較高風險的設計選項,香港金融管理局期望類似選項已接受關鍵評估,並確保提供相應的風險管理控制措施。例如,由於開放會員資格和通常更容易受到惡意行為者的攻擊,無許可網路可能不是涉及傳輸敏感資料的應用程式的首選。
但是,如果授權機構能找到適當的措施來管理相關風險(例如加密解決方案,例如零知識證明或鏈上和鏈下解決方案的組合),這些網路無需預設排除在此類應用之外。
設計「適當目的」的智慧合約– 儘管智慧合約可以透過自動化提供效率優勢,但它們可能不適用於所有業務場景,或只能與客製化的控制措施一起部署。
例如,在通常涉及某種程度的人類判斷的情況下(例如複雜的貸款評估),未經檢查的自動化可能不受歡迎,智能合約可能只有在可以加入人工幹預選項的情況下才適用。
如果授權機構認為使用智能合約是適當的,香港金融管理局期望其有效管理與智能合約常見相關的漏洞。這些包括營運風險(例如非惡意編碼錯誤和網路攻擊)、第三方風險(例如用於獲取外部資料的「預言機」的可靠性)和法律風險(例如智能合約的法律基礎是否建立)。
為此,建議授權機構建立嚴格的治理框架,以引入和更新智能合約。有效的框架將評估在特定情況下採用智慧合約的適用性,從營運、技術和法律角度對即將部署的智慧合約進行盡職調查審查,確保必要的風險管理控制措施被納入智慧合約的最終設計中,並涵蓋升級智能合約的程序/考慮事項。如有必要,授權機構應考慮聘請專業建議,包括合適的第三方,在部署智能合約之前對其進行審計。
了解並減輕潛在的法律風險– 將DLT 應用於傳統金融市場活動的法律基礎仍在不斷發展中。例如,關於代幣化產品的發行和交易,在傳統金融系統中,「結算最終性」是一個明確且明確界定的時間點,由強大的法律基礎支撐,而在DLT 安排下,由於使用基於共識的驗證機制,結算最終性達成的時間點可能不那麼明確。根據傳統產品的「代幣化」方式,可能還會對其法律地位和隨後的監管處理方式產生變化。授權機構應意識到這些可能的法律灰色區域,必要時尋求專業建議,並在設計過程中採取措施,減輕隨之而來的法律風險。
有效管理與第三方相關的風險– 香港金融管理局期望授權機構在評估是否採用DLT 解決方案的過程中,已經審查並確定自己能夠管理參與DLT 安排的第三方可能帶來的風險。特別是鑑於DLT 網路基於共識機制運作,因此依賴節點操作員來驗證和確認對帳本的更改,授權機構應根據手頭的應用,充分考慮節點操作員是否足夠值得信賴、可靠和多樣化。
如果發現不足,授權機構應採取充分的風險補償措施。還應考慮DLT 網路的設計可能對其充分管理與第三方相關的風險的能力產生的影響。例如,無許可網路在設計上具有開放的成員資格,並允許任何參與者(包括使用化名的參與者)成為驗證者。在這些情況下,授權機構對所涉及的第三方的控制較少,因此除非它們能夠採用充分的風險管理補償措施,否則授權機構採用這種類型的DLT 解決方案用於高度關鍵或敏感的功能可能不合適。
安全地實現互通性和連接性– 香港金融管理局期望授權機構盡可能將其基於DLT 的系統設計為與傳統與其他基於DLT 相容的解決方案,並能夠與之「溝通」。這可能有助於限制市場碎片化,支援營運效率,並確保DLT 解決方案的長期相關性。
例如,香港金融管理局一直在鼓勵銀行探索部署DLT 來接受存款的潛力(即「代幣化」存款),因為這種存款活動在《銀行條例》下是允許的。在這個過程中,需要注意到的銀行的觀點是,只能在授權機構自己專有網絡內使用的代幣化存款,相比於可以用於銀行間轉賬和結算存儲在不同DLT 網絡上的各種代幣化資產的存款,可能對顧客帶來的額外價值相對較少。考慮到這一點,建議授權機構考慮採用更廣泛被業界接受的技術標準來支援相容性。與任何銀行間措施一樣,授權機構應確保這些連線的安全性,包括保護它們免受網路攻擊、潛在的安全漏洞和資料外洩風險。
持續維護與監控
建立與傳統技術應用相同等級的網路安全機制– 基於DLT 的應用應享有與傳統底層技術相稱的網路安全等級。香港金融管理局期望授權機構採取有效的機制來應對DLT特有的網路風險(例如51%攻擊)以及其他常見的網路安全威脅(例如分散式阻斷服務,即DDoS攻擊)。授權機構也應警惕威脅行為者的新興作案手法和可能影響DLT應用安全性的全新技術發展(例如量子運算),並定期更新其應對能力。
安全管理私鑰– 授權機構存取和保護私鑰的責任取決於其採用DLT 應用的目的,以及是否提供某些服務。鑑於可能性各不相同,香港金融管理局通常期望授權機構證明其已製定了強有力的政策和程序,為其持有或管理的任何私鑰提供與應用的性質和風險、與私鑰相關的底層資產以及授權機構所承擔的職責相適應的安全等級。
例如,為客戶的數位資產提供託管服務的授權機構通常被期望採取更嚴格的安全程序,以確保相關的私鑰(以及適用的助記詞)始終安全地產生、儲存和備份。這可能涉及多種措施,包括實施控制措施以嚴格限制對金鑰的訪問,使用冷存儲並開發異地備份和其他應急安排等。
保證滿足資料隱私和保護要求– 無論資料儲存在集中化帳本或基於DLT 的帳本上,現行的資料隱私和保護要求都繼續適用。因此,授權機構應證明其已建立足夠的系統和控制措施,以確保其持續符合這些要求。
如有需要,應採取緩解措施來管理由於DLT 安排的獨特性質而可能產生的複雜問題。這些措施可能包括但不限於:遵守與資料保留相關的要求的困難(例如應對DLT 網路上資料的不可更改性)、保證個人資料機密性(例如應對某些DLT 網路的透明性質)以及資料本地化(例如在DLT 網路分佈於多個司法管轄區的情況下如何完成資料保存)。
客製化緊急應變計畫與測試安排– 如果授權機構在關鍵功能上採用DLT,香港金融管理局期望其在業務連續性計畫(BCP)中包含特定於DLT 的測試情境(例如常見的DLT 網路攻擊、私鑰的丟失/盜竊以及“分叉”的可能性)和應急安排。
特別是,期望授權機構了解並考慮DLT 網路的獨特運作動態,尤其是那些可能影響系統和容量管理的因素(例如驗證擁堵的可能性以及加急交易需要支付更高費用的需求),在進行規劃和測試時應予以注意。在考慮更極端的情境時,授權機構還應考慮為DLT 解決方案可能暫時或永久不可用的情況提供備份選項的必要性。