邓建鹏:对区块链监管草案的技术探讨
(作者为中央财经大学法学院教授,区块链+法律监管顶级研究专家,本文发表于《证券日报》2018年11月10日版,更多内容参见邓建鹏、孙朋磊:《区块链国际监管与合规应对》,预计2018年末出版)
不久前,国家互联网信息办公室发布《区块链信息服务管理规定(征求意见稿)》(下文简称《区块链监管草案》)。这份《区块链监管草案》是中国监管机构首次尝试对区块链行业推出的长效监管规则。因此,《区块链监管草案》一公布,即深受各界瞩目。笔者试从技术可行性角度,探讨《区块链监管草案》未来实施时可能遇到的障碍,为草案的进一步完善,贡献自己的绵薄之力!
《区块链监管草案》第二条规定,“本规定所称区块链信息服务,是指基于区块链技术或者系统通过互联网站、应用程序等形式,向社会公众提供信息服务。本规定所称区块链信息服务提供者,是指向社会公众提供区块链信息服务的主体或者节点,以及为区块链信息服务的主体提供技术支持的机构或者组织;本规定所称区块链信息服务使用者,是指使用区块链信息服务的机构或者个人。”
众所周知,区块链(特别是公有区块链)具有分布式加密、分布式记账和分布式存储的特征。任何人都可以随时随地参与记账(被业界俗称“挖矿”),发送交易及读取系统数据。公有链上的信息具有不可篡改性。比特币、以太坊正是时下最主流的公有链。以比特币的底层技术──区块链为例,其每经过约一个小时、先后六个区块确认后,就无人能单方面修改已记录在区块上的信息。就算发起业界所谓的“51%攻击”,也只能自改变发动攻击时刻起之后的区块信息,而且成本巨大,通常高到攻击者难以承担。
根据《区块链监管草案》,区块链信息服务的主体包括提供技术支持的机构或者组织。“矿工”们投资的矿机相当于用来运行区块链程序,对交易进行打包确认的节点,他们可以被认定为区块链“信息服务提供者”提供技术支持的机构或者组织。理论上,他们属于《区块链监管草案》监管的对象。同EOS的21个超级节点不同,诸如比特币或以太坊等众多区块链的矿工分散在世界各地,数量极为庞大。截至2018年10月26日,比特币核心节点数是10042个,以太坊节点数是13614 个。他们既可以随时介入“挖矿”,亦可随时退出“挖矿”行业,具有极大不确定性。监管难度很大,跨境监管则超越当前《区块链监管草案》的范围。一旦无法实现跨境监管,效果似较为有限。
其次,矿工监测区块链中的内容存在一定难度。监管者把含有违法信息的关键词提交给矿工,要求他们监测。但是区块链的特性决定了矿工的矿机没有太多选择权。如果一些区块因存在某些违法信息,境内矿工选择不打包(即不将此信息记录在区块),一方面矿工将损失收益(没有完成记账就没有比特币激励),另一方面境外矿工必将抢先打包此类区块,导致监管遭遇失效。毕竟,许多矿机散布在境外,超越了中国监管者的管辖范围。
值得注意的是,矿工对区块链的数据内容没有决定权,无法删除、修改任何公有链上已经存在的数据。区块链上的用户账号就是地址,密码就是私钥。没有人能删除、关闭公有链上的账号。多数区块链采用竞争挖矿机制,矿工无法针对哪个具体用户进行提供服务或者拒绝服务。矿工要么挖矿,要么只能选择关机拔电源,停止挖矿。因此,笔者认为,监管区块链上的矿工,从技术角度而言,监管效果可能比较有限。因为矿工难以拥有根据《区块链监管草案》应该具备的各种应急处置能力,比如限制违法使用者的功能、关闭账号或消除违法违规信息,等等。
与通过互联网几乎免费传播信息不同,如果违法用户通过区块链借以传播违法信息,其成本比较高昂。以比特币区块链为例,目前每笔比特币交易最低费用大约25元,每笔交易一般只能置放50个字。较高成本限制了人们将其作为媒体四处传播信息。不同的区块链,信息上链的费用各有千秋,但是都存在一定成本。
与区块链专业人士采用命令行窗口访问区块链或执行相关程序不同,普通用户一般通过区块链浏览器访问公有链上的信息。区块链浏览器是浏览区块链相关信息的主要窗口,每一个区块所记载的内容都可以从区块链浏览器窗口上查阅。区块链浏览器提供区块链上数据的查询搜索、展示和统计汇总等信息。目前存在针对某一个区块链网络的浏览器,例如Blockchain.com, etherscan.io, 也有面向多个区块链网络的浏览器,例如tokenview.com,等等。区块链浏览器相当于区块链领域的百度或谷歌。因此,区块链浏览器服务商可被视作“区块链信息服务提供者”,或“为区块链信息服务的主体提供技术支持的机构或者组织”。但是,对于区块链网络上的违法信息,区块链浏览器只能选择性地屏蔽。从当前技术角度而言,此类浏览器似没有能力从区块链网络上将其删除或者修改,也无法对其发布者限制功能或关闭账号。
《区块链监管草案》第十条规定,“区块链信息服务提供者应当按照《中华人民共和国网络安全法》的规定,对区块链信息服务使用者进行基于身份证件号码或者移动电话号码等方式的真实身份信息认证。用户不进行真实身份信息认证的,区块链信息服务提供者不得为其提供相关服务。”笔者认为此项规定应主要面向对用户提供在区块链上发送交易,写入信息的区块链信息服务者。区块链浏览器一般只提供查询和浏览服务,不需要用户注册和登录。如果仅仅查询和浏览区块链上的公开信息,就需要用户进行真实身份认证,必将给区块链的应用带来极大不便。而在区块链上发送交易、写入信息时,用户需要有明确的区块链地址。这使得区块链信息服务提供者可以在分配区块链地址之前对用户进行真实身份认证。
很多区块链应用也向公众提供信息服务,如区块链钱包、区块链媒体、区块链社交或区块链交易所等。如果这些应用涉及到通过区块链技术提供信息查询和浏览服务,则与上述区块链浏览器的功能类似,对于区块链网络上的不合法信息,也只能选择性地屏蔽相应信息,没有技术能力将其删除或者修改,也无法对其发布者限制功能或关闭账号。因此,对于《区块链监管草案》第十一条要求信息服务提供者对一些违法信息上传至区块链,应具备各种应急处置能力。笔者认为,当前或超出大部分区块链网络节点的能力。
对私有链或联盟链而言,私有区块链网络的写入权限由某个组织或者机构全权控制,数据读取权限受该组织或个人规定。如果私有链向公众提供信息服务,其责任主体非常明确,其“区块链信息服务提供者”就是该私有链组织或者机构。联盟链仅限于联盟成员参与,链上各个节点通常有与之相对应的实体机构或者组织,参与者通过授权加入网络并组成利益相关联盟,共同维护区块链运行。如果联盟链向公众提供信息服务,则其责任主体也较为明确,其“区块链信息服务提供者”就是该联盟链的成员组织或者机构。