PFMI金融区块链系列 （1）

（原文见https://www.bis.org/cpmi/publ/d157.pdf）

译者注：2008年世界金融危机发生之后，国际清算银行支付结算体系委员会（CPSS）和国际证监会组织（IOSCO）联合发布了金融市场基础设施原则——PFMI。他们认为2008年的世界金融危机本来只会是美国金融危机，但是因为世界金融设施没有设计好而又相互联通，以至于美国金融危机蔓延到其他国家成为世界金融危机。所以提出新的金融系统设施标原则来解决这问题，这就是PFMI的来源。这PFMI被美联储（美国央行）、中国人民银行、英国央行、法国央行，欧洲央行、日本央行接受。

PFMI是一种普世的原则，适用于每个国家的金融系统。而且是原则性，金融系统可以使用任何科技例如人工智能、大数据、区块链， 但这些系统都需要符合PFMI。　

区块链思想出于2008年，但是到2015年才被金融机构发现。2015年一月华尔街日报的报导改变历史，区块链走上世界金融舞台。根据华尔街日报，区块链是500多年来最大的金融创新，因为人类从1494年有复式记账法，一直用到今天，是现代金融市场的基石。但区块链带来一个新的记账法，三式记账法。许多人都认为区块链会带来革命式的改变， 因为记账法的改变，带来商业流程的改变，流程的改变，带来组织的改变， 组织的改变，带来市场的改变。例如，根据英国央行，当央行使用区块链来发行法币，央行和商业银行的功能分配会不同，货币政策、清结算、监管机制也大不相同。　

从2015年一月起，许多世界金融机构和央行都在研究区块链，而且大多是以学习当时区块链系统为出发点来使用区块链在金融系统里面， 许多世界重要金融机构也开始从事大型实验，包括加拿大央行、欧洲央行、日本央行、DTCC、SWIFT、新加坡金融管理局。 开始的时候，实验结果大都是“技术还需要发展进步”，后来的报告却越来越正面， 表示区块链慢慢在成熟中。　　

2017年，加拿大央行是世界第一个金融机构使用PFMI来评估区块链系统， 同一年CPMI（Committee on Payments and Market Infrastructures）发布了一个报告，根据PFMI原则讨论在金融系统应用区块链技术会遇到的问题，这2个报告带来一个同样信息：　

金融系统不能因为使用区块链系统而放弃PFMI，反而是区块链系统和其应用系统必须根据PFMI而改变。　

这就是北航数字社会和区块链实验室翻译这份报告的原因。这信息也是实验室在过去一直在提，以后的区块链系统和现在区块链系统必定大不相同的主要原因。现在大部分区块链不符合PFMI， 而且现在还在开发的系统可能也没有使用PFMI来评估或是设计下一代系统。这可能会造成巨大风险，因为设计出来的系统可能无法通过PFMI的评估，以至于这系统不能被金融市场例如监管单位接受， 这样大量的投资都无法有回报。作为加拿大监管单位的加拿大央行已经一再提出区块链系统必须符合PFMI的需求。

这份报告带来另外一个重要信息，区块链系统研发不能只是研究单个机制，而没有考虑整体系统需求和相关机制。例如许多区块链系统都在研究扩展性机制，但是根据PFMI和加拿大央行，考虑“扩展性”的时候没有考虑“可监管性”，扩展性机制就不算成功。因为如果一个区块链系统可以扩展，但扩展后，不能监管，那央行还是不能使用。　

虽然这报告大部分观点和本实验室观点一致，但在小部分上有一点不同的看法。最主要的原因是这报告出于2017年，当时区块链技术和现在区块链技术有一段距离。以前认为不可能或是不好的机制，现在可能有解决方案。　

本文是PFMI金融区块链系列第一篇，代表实验室立场，“金融区块链”会和传统区块链在架构、功能、性能都会不同。例如我们从2017年起就一直在提“交易链”和“清算链”在架构上相差非常大， 一个以延迟为主，一个以吞吐量为主， 在共识算法、数据结构、双花机制上都不同。　　

分布式账本技术在支付、清算、和结算业务中应用分析　

分布式账本（或区块链）技术由于在提高业务效率和灵活性方面深具潜能，在金融界引起了广泛关注，尤其是活跃在支付，清算和结算领域的金融部门。过去几个月里，大量关于新项目、合资、新一轮投资或者DLT白皮书的公告和新闻层出不穷。中央银行也宣布了与DLT相关的研究，并提出多种措施支持私营部门进行相关技术研发。

本报告提出了一个分析框架，帮助央行及其他机构审查和分析DLT技术在支付、清算和结算领域的应用。报告对市场参与者和其他相关方也有价值。该框架主要用于帮助理解DLT应用，并通过深入技术分析，明确DLT在金融系统的关键业务应用的机遇和挑战。通过该框架，央行和其他相关部门可以更好地确定DLT在提升运营效率、促进金融市场更具稳健性和弹性等方面的潜能。

迄今为止，各项进展显示DLT具备潜能，但充分实现其价值尚待时日，还需做大量工作，以确保DLT相关法律基础建立健全、治理结构稳健、技术解决方案满足行业需求、并且具备适度的数据管控满足监管要求。同样显而易见的是，各种变革和效率提高更可能是改进性的而非革命性的。

支付和市场基础设施委员会（CPMI， Committee on Payments and Market Infrastructures）自成立以来，支付、清算和结算领域的创新一直是其核心工作。通过促进技术创新等方式，委员会在降低市场无效（market inefficiency）、增强支付、清算和结算系统安全方面发挥了关键作用。最近，CPMI发布了有关数字货币和快速支付的报告。该报告有望促进各方对话，讨论产业界如何利用创新来支撑稳健、高效和安全的支付、清算和结算业务。

本报告阐明了DLT系统的分析方法，Klaus Löber和工作组为此付出巨大努力，委员会特此表示感谢。　

◆◆1.简介◆◆　

许多人认为，分布式账本技术（DLT）有可能颠覆支付、清算、结算及其相关作业。DLT（包括区块链技术）采用各种成熟的和创新的技术，操作一组同步的账本，这些账本由一个或多个实体共同管理。在许多市场中，受参与者们委托，金融市场基础设施（FMI，Financial Market Infrastructure）集中管理一个中央账本，负责更新数据及保持账本的完整性，并在某些情况下管理特定的风险。DLT在持有和转移资金及其他金融资产时，减少了传统的对于信任托管的中央账本的依赖。

DLT可以从根本上改变资产的维护和存储方式，以及清偿债务、合同执行和风险管理的机制。该技术的支持者强调其在改变金融服务和市场方面的能力：（i）降低复杂性； （ii）提高端到端处理速度，从而提高资产和资金的可用性； （iii）减少跨多个账本管理基础设施的协调工作； （iv）提高交易记录的透明度和不可篡改性； （v）通过分布式数据管理提高网络弹性； （vi）降低运营和金融风险。如果账本信息能够由参与者、政府和其他利益相关者广泛共享，DLT还可以提高市场透明度。（参见：联邦储备委员会财经讨论丛书《支付、清算和结算中的分布式账本技术》.D Mills， K Wang， B Maloneetal.www.federalreserve.gov/econresdata/feds/2016/files/2016095pap.pdf.）

然而，使用DLT并非没有风险。在大多数情况下，无论是采用单个中央账本还是同步的分布式账本，支付、清算和结算的风险都是相同的 。支付和市场基础设施委员会（CPMI）和国际证券委员会组织（IOSCO）在金融市场基础设施原则的报告（PFMI）中提出了处理FMI固有风险的框架。CPMI在有关数字货币的报告中讨论了基于DLT的数字货币的一些风险，包括：（i）新技术有可能引发运营和安全问题，有潜在的不确定性；（ii）与现有流程和基础设施之间缺乏互操作性；（iii）结算最终性有歧义； （iv）法律基础的完备性存在问题；（v）缺乏有效和健全的治理框架； （vi）数据完整性、不可篡改性和隐私保护存在问题。DLT技术还在不断发展，其健壮性尚缺乏足够的证明，难以大规模实施。（参见：CPSS-IOSCO《金融市场基础设施原则》.www.bis.org/cpmi/publ/d101a.pdf；CPMI《数字货币》 www.bis.org/cpmi/publ/d137.pdf.）

本报告旨在为央行和其他主管部门提供一个分析框架，在项目论证、实验或实施各个阶段，审查和分析DLT，理解应用案例并识别机遇和风险。市场参与者也能利用该报告。该框架侧重于分析DLT对效率和安全以及更广泛的金融市场的潜在影响。该框架主要针对许可账本（仅限经批准的用户使用），这是目前金融部门项目筹划的主要类型，相关部门格外关注。　

◆◆2.分布式账本技术◆◆

“分布式账本技术”这个概念存在多种不同理解，这种差异反映了技术和市场不断演化的特点，也反映了新兴应用的范围在不断拓展。在此报告中，DLT指的是一组过程和相关技术，能够维护一个分布在网络中所有节点上的同步的账本（在计算机科学中，节点是网络的基本计算单元。在本报告的上下文中，节点指参与DLT安排的操作的计算机），该账本可以支持网络中的节点安全地发起、验证和记录状态的变化（或更新）。在支付、清算和结算领域，DLT通过使用既定程序和协议，使节点能够进行交易，而不必依赖中央机构来维护单一的账本“黄金拷贝（golden copy）”。

本报告中针对任何基于DLT的技术架构和组织结构，包括应用系统、基础平台、以及不同系统之间的交互联通结构。

2.1背景

2008年，一个化名为Satoshi Nakamoto的人或团体发表了一篇论文《比特币：一种点对点的电子货币系统》（bitcoin.org/bitcoin.pdf.），描述了一种新的加密货币—比特币—和P2P解决方案的机制，可以无需认识的可信赖的第三方，将资产从一方在线转移到另一方。该解决方案结合了许多成熟的技术来验证交易，并将交易添加到“块”中。通过一系列过程和协议，块（或一批交易）被添加到由交易历史构成的链中（称为区块链）。新块被广播到网络中，节点就新的区块链达成一致并更新其本地账本。这种跨节点的协议或共识过程涉及将新块加密链接到区块链中的前一个块，以保持账本的完整性。

自DLT技术现世以来，业界一直在探索超越比特币应用的技术方法，从存储和管理记录的可编程平台，到在共享账本上传输任何数字资产、文件、或信息。金融领域传统上依赖多个账本维护交易信息和余额，DLT的推广应用引起了金融部门的极大关注。金融部门正在探讨DLT应用，特别是在支付、清算和结算领域，因为该技术有可能提高这些领域的效率。DLT有可能简化对账和相关的协调流程，这个过程通常需要协调参与支付、清算和结算的各方，简化该过程将带来潜在的收益。例如，在清算和结算中，这些角色可能包括银行、经纪商、托管、登记、中央证券登记、证券结算系统、中央对手方，交易资料库和支付系统。

随着DLT实验的深入，采用该技术进行支付、清算和结算在实际应用中的一些挑战问题也凸显出来。除了满足业界需求之外，挑战主要来自于系统的安全性、可靠性和可扩展性。为了应对这些挑战，业界已尝试在已有的DLT系统上定制了面向金融领域的应用。通过分析正在使用或考虑使用的系统可以发现，在技术和组织两个方面，金融领域的开发通常都包含某些通用的设计因素。例如，为了维护特定的信任等级，系统倾向于限定参与者或是建立系统管理员。　

2.2技术设计要素

DLT架构有多种设计方式，以支持部分或全部交易流。账本上信息存储的内容以及更新方式，其设计通常涉及若干关键技术。　　

2.2.1账本信息维护

账本保留交易记录和其他信息，是DLT架构的核心。在支付、清算和结算应用中，分布式账本记录资产的所有权或余额，包括数字资产或数字化的实物资产。在账本上发起的数字资产通常称为“原生资产（native assets）”（也称为“原生通证（native tokens）”）；相对而言，数字化表示的资产通常称为“非原生资产（non-native assets）”（也称为“非原生通证（non-native tokens）”）。记录保存的确切形式因架构而异，但所有记录都使用数字账本，其中含有与参与者相对应的交易或余额摘要。本报告中使用“参与者”一词来广泛描述DLT的用户。参与者不一定需要支持交易处理。（参见：欧洲央行系列文章《证券交易中的分布式账本技术》；A Pinna and W Ruttenberg.www.ecb.europa.eu/pub/pdf/scpops/ecbop172.en.pdf.）

账本维护所有交易的历史记录或一组帐户余额，其中，区块链是保持交易历史的账本的一个示例。如前所述，在区块链实现中，交易被批量记录，称为块。块一旦确认有效，就会被连接（或链接）到账本上所有的前期交易。但是，区块链只是一种分布式账本，并非所有分布式账本都必须使用块或链接交易。一种替代方法可能更类似于标准簿记，仅更新用户帐户的余额。

在某些情况下，账本可不限于仅保留资产的所有权记录。例如，通过保留实际合同的条款或其副本，分布式账本可以用作金融合同的中央存储。进一步发展，一些DLT架构允许“自动合同工具”，允许用户在账本上包含自执行代码，以自动履行合同条款。例如，在规定日期自动支付利息和本金。又如，在特定事件触发下，可以自动筹措或分配资金，或是根据约定条款自动终止合同。这类功能通常被业界称为“智能合约”。智能合约在法律意义上往往不是一个“合同”。

2.2.2更新账本

DLT的一个显著特征是，网络中多个节点分工协同更新账本。这些节点可以部署在多个站点、机构甚至管辖区域，如后文所述。图1显示了多个节点更新账本的方式。在此示例中，所有节点互连互通，并各有一份账本副本。根据更新规则设计，账本更新需在限定时间内（延迟）同步到所有副本中。这种说法适用于加入不收限制的分布式帐本。某些解决方案还允许对信息加以限制。

图1多节点分布式账本

　　

2.2.2.a 验证和共识

　　为了同步更新分布式账本，通常采用多个协议进行节点间通信，并保证各节点中，账本的当前状态及其历史记录的一致性。

加密。密码工具--例如公钥加密和公钥基础设施--可用于准入节点的身份识别和授权、数据记录的确认以及账本更新的共识，在DLT中发挥重要作用。公钥加密可以安全地共享加密数据和签署数字文档。公钥基础设施（PKI）是创建、管理、分发、使用、存储和撤销数字证书所需的一组规则、策略和过程，这些数字证书将加密公钥与真实实体关联的。这两种工具都可以应用于DLT以准许授权用户访问该系统并签署交易。节点若申请更新账本，需对此申请提供加密数字签名来认证身份。验证节点将使用加密工具来验证节点是否具有相应的凭据。加密工具也可用于限制对数据的访问，只有经过批准的节点才能查看该信息。

共识。共识机制是网络中的节点就账本的共同状态达成一致的过程。此过程通常依赖于加密工具和通过协议体现的规则或过程，以及经济激励（适用于任何网络配置）或治理架构。共识通常包括两个步骤：

•验证：每个验证节点确认状态变化符合所设计的规则（即发起人有资产所有权，发起人和受益人有权交换资产）。为此，每个验证节点需要依赖于先前状态的记录，可采用“最后约定状态”或者 “先前状态链”进行验证。

•账本更新共识：各节点对账本状态更新达成一致。这一阶段，达成共识的过程涉及解决账本变更冲突的机制或算法。例如，由于这种系统的分布式特性，有可能参与者视图同时将其持有的资产转让给两个不同的参与者。如果系统不设计没有一种机制来商定将哪笔交易提交账本，这种系统将使参与者能够“双花”。关键的挑战是通过在分布的账本间同步状态更改，保证有且只有一次变更操作（变更没有遗漏或是重复操作）。

　　

2.2.2.b节点的技术角色（不论是否区分角色）

网络中的节点可以扮演各种技术角色，角色并非相互排斥，例如：

•系统管理员：控制系统访问，并提供系统服务包括公证、解决争议、制定标准和监管报告。

•资产发行者：允许发行新资产的节点。

•申请者：允许申请账本更新的节点。

•认证者：允许确认状态更新有效性的节点。

•审核员：允许查看账本但不能进行更新的节点。

其他参与者在系统中的潜在角色包括：i）保护私钥并协助资产管理的钱包提供商；i i）开发底层技术并可以管理技术和协议的协议开发者；以及i i i）使用申请节点提交交易的的终端用户。

此外，节点查看账本记录的权限可能不同。例如，有可能允许节点仅能查看它作为交易方的交易，即使它维护完整加密账本的副本。允许对账本进行加密，使得节点仅以解密形式查看它们被允许查看的账本的数据。图2显示了一个账本的实例，该账本分布在具有不同角色或权限的多个节点上。

　　

​

图2多节点分布式账本（节点多功能）

　　

2.2.3流程

用于支付、清算和结算的DLT可以以多种方式设计并执行不同的功能。为了说明在支付交易中，分布式节点、账本和共识的概念，图3显示了分布式账本转账系统的流程示意。

在此示例中，交易处理涉及三个主要步骤：

（a）启动付款，节点A申请账本更新，并使用加密工具对申请进行数字签名，该更新将资金从其账本上的账户转移到节点B的账户。

　　

图3基于DLT的支付系统交易流程

　　

（b）在收到转账请求后，其他节点对A进行身份认证，确保A的加密凭证有对相关记录进行更新的权限。在各项认证操作之中，还需确认A具有足够的资金来支付。节点还参与共识过程，就下一次账本状态更新中所包含的支付记录达成一致。[18]例如，共识过程可以在多轮中发生，其中一个节点有权在每轮中提议更新。接下来，非申请节点投票决定是否更新账本或进入下一个回合。假设账本的更新不与每个节点的账本的状态冲突，则根据预定义的阈值，通过简单的投票过程批准更新。

（c）在节点更新之后，修改资产的属性，该资产后续的所有交易，都将采用节点B的加密凭证。

　　

2.3组织结构设计要素

DLT架构的技术配置和其组织结构的设计相辅相成。架构设计通常决定了各个组织机构的角色权限，包括系统运营职责和访问控制权限。

　　

2.3.1系统运营

DLT组织结构关键设计要素是哪些节点有权利管理系统，包括修改或更新协议和源代码、授予访问权限以及为其他节点分配角色权限。在极端情形下，单个节点可以代表所有参与者，托管和运营系统中的所有节点，并且是负责维护账本的唯一节点。或者，账本还可以由许多节点共同维护，每个节点负责维护账本的一个副本并执行规定的任务。

　　

2.3.2系统访问（无论是受限还是开放访问）

架构可以设计为容纳任意数量的节点。不受限设计对系统访问控制或节点角色权限没有限制。

　　

​

图4一个基于受限DLT的系统实例

在完全开放访问的架构中，网络中的节点不太可能彼此了解。这样的架构可能难以治理，并且管理节点之间交互的整套规则需要主要“线上”执行（编码成协议）。线上治理规则的一个示例是以账本上的流通的资产类型计价进行罚款，而且这个罚款是作为协议的一部分征收。因为不受限的参与者往往是匿名的，所以在不受限的系统中，所以这种类型的机制是必要的，以阻止不当行为。相反，受限制的平台可控制节点对系统的访问。由于访问控制，管理交互的整套规则也可能 “线下”执行。线下的分布式账本治理治理规则可以是针对特定参与者的法律制裁或罚款，因为参与者的身份在加入账本时是已知的（参见：英国科学办公室《分布式账本：超越区块链》.www.gov.uk/government/uploads/system/uploads/attachment_data/file/492972/gs-16-1-distributed-ledger-technology.pdf.）

前面的图1和图2没有将参与实体映射到架构中参与者、所有者或运营者角色的各类节点。如前所述，业界考虑的系统的典型特征是一系列组织结构配置，将节点映射到相关实体角色。图4是一个受限DLT系统的示例，其中验证交易和发行资产的权限集中在单个节点中。在此示例中，节点A是所有验证节点和资产发行节点的系统管理员和操作员；节点B和节点C运营变更申请节点，他们能够提议账本状态的变更申请，但如果没有节点A批准，不能单方面进行此类更改。值得注意的是，节点与实体之间可能存在多种不同的映射方式，图中所示的是业界可以考虑的方式之一。

2.4潜在的配置和权衡

下面的表1重点介绍了组织机构和技术设计的若干可选方案。这也显示出，与当今金融生态系统相比，（DLT及时可能带来的）组织结构的变化程度。根据预期实现的特定目标，DLT可有多种不同的系统设计，定制其技术要素（例如节点数量）以及每个节点所发挥的作用。

表1 DLT系统的潜在配置

系统特征

一个节点维护和更新账本（例如，典型的FMI）

只有授权的节点才能使用服务；节点被限定为不同的固定功能

只有授权的节点才能使用服务；节点可以承担任意功能

任何节点都可以使用服务，承担任意功能

系统运行模式

单节点

多节点

系统接入模式

受限

不受限

节点功能

不同

相同

共识算法

在一个节点内

在一个节点内或者多个节点间

在多个节点间

在最基本的层面上，系统需要平衡无限制访问和限制访问的利弊。例如，无限制访问可以向新节点类型开放服务，并减少支付、清算和结算过程中的关系分层。但是，在大量互不相识的节点之间达成共识，设计存在固有的挑战。无限制访问可能会导致可扩展性和信息安全问题。由于有匿名节点，还需要将安全措施纳入系统的设计和规则（“在账本上”实施的措施）， 以防止网络攻击或非法活动。这些问题非常重要，目前用于支付、清算和结算活动的DLT实现都侧重于限制性架构，这更加贴近于现有的法律和监管框架。

将特定角色分配给多个机构及其节点，这可能会带来其他严重问题。例如，如果仅委托某些节点达成共识，可能更容易（也更快）就账本的状态达成共识；但是，这些节点中的任何一个节点也可能更容易损害账本的完整性。因此，重要的是，参与者了解和信任共识节点的机构。增加共识节点的数量，可以提高网络整体的弹性，但也可能增加延迟。以大量分布式节点为特征的DLT架构，在治理、结算和操作风险管理等方面，有可能引发严重问题。因此，如何选择特定的验证和共识协议，主要由访问规则、机构及其节点作用所决定。

DLT有一系列的设计方案，这表明，支付、清算和结算有多种挑战问题，不适合采用一刀切的方法解决所有问题。表1第一栏中的架构实际上是增量式的设计演化，反映了通过单一节点记录信息的可能途径，就像当前的实现方式。与之对比，表1最后一栏代表了类似比特币的设计。诸如此类的模型本质上是完全去中心化设计，代表了更激进的变化。中间是其他各种可能的架构。对不同设计决策不断实践，反映出业界努力在认清特定应用场景的特定约束的同时，实现和发挥DLT的优势。

　　

◆◆3. 分析框架◆◆

　　

该框架提供了一种结构化方法，分析DLT技术可能的收益和风险，以帮助央行和其他政府部门了解适用于支付、清算和结算领域的DLT架构。该框架基于四个核心组成部分：（i）范围：理解架构（见第3.1节），包括其功能和服务性质，以及有效实现的因素； （ii）效率：分析架构对效率的影响（见第3.2节）； （iii）安全：分析架构对安全的影响（见第3.3节）； （iv）更广泛的影响：分析该架构对金融市场的更广泛影响（见第3.4节）。

该框架应被视为理解DLT架构的起点，提出了管理机构和其他利益攸关方关注的一系列问题。该框架不够全面、详尽；也没有解决DLT或支付、清算和结算所有可能存在的相关问题。对于处于早期发展阶段的架构（可能对某些问题没有具体答案），该框架旨在确定需要进一步开展的工作。此外，该框架没有规定或建议特定的设计元素。

　　

3.1了解架构

　　DLT架构会因其功能、服务性质、设计、技术和流程不同而有很大差异。为了分析这些类型的架构，需要采用结构化方法来理解特定服务的功能和性质，确定有效实现的关键因素。

　　

3.1.1架构的功能和性质是什么？

DLT的核心是信息的账本，通常会有以下账本维护功能：（i）记录保存； （ii）资产转移或更新余额； （iii）使用自动化工具。其他辅助服务或功能（例如数据查找、筛选和分析）也可以作为功能特性。理解服务的功能和性质时，需要理解系统试图产生影响的改进方向、价值链中受到影响的某个部分（或某些部分）、如何设计、以及哪些参与者和用户将受到影响。

　　

3.1.1.a识别解决的问题、低效以及做出的改进

为了理解架构的功能和性质，需要理解DLT如何促进问题的解决以及如何改进现有的服务或流程。例如，简化流程，改善信息流，降低运营成本，扩大金融服务的获取范围并增强包容性。在2016年4月，CPMI和世界银行发表了一份关于支付的金融包容性的报告（www.bis.org/cpmi/publ/d144.pdf.），该报告提出了指导原则，以帮助那些想要在他们的市场，通过支付来提高金融包容性的国家。该报告解决了交易账户的使用障碍（包括存款和电子货币账户）。CPMI-世界银行有关金融包容性的工作组将密切关注DLT的发展情况，分析其对金融包容性的影响。正如下文所言，自动化可以减少人的参与，从而提高效率和准确性。理解架构还应识别系统所能实现的主要收益，同时考虑其成本和新引入的风险。系统可能需要平衡弹性和效率，以获得特定的结果。分析时，重要的是理解所涉及的潜在的权衡关系。

　　

3.1.1.b识别价值链中受影响的部分

识别价值链中受影响的某个或是某些部分，以及这种设计在多大程度上影响市场--引入了新的概念（颠覆性创新）或改进当前产品（渐进式创新），这些分析可以使服务的功能和性质更加清晰。价值链可以有多种分类方式，包括：

•客户识别：与数字身份、符合“认识客户（know-your-customer）”规则、反洗钱要求和反恐融资法规相关的流程。

•交易前：与创建、验证和转移支付、转账指令或其他债务相关的流程，包括验证资产持有、链接清算和结算数据。

•清算：与转账、对账以及在某些情况下确认交易相关的流程，也可能包括交易净额和建立最终结算头寸的流程。

•结算：与转移资产或金融工具相关的流程，或FMI和其参与者根据相关合同条款清偿债务的流程。

•结算后：与结算后采取的某些行动相关的流程，包括对账、记录和报告活动，资产服务（例如，本金和利息支付）以及合同条款的执行（例如，智能合约）。

某些架构可能只影响该过程中的一个或两个步骤。例如，业界正在考虑的一些DLT架构侧重于清算，可能采用新的方式让交易各方共享信息，但不涉及特定的交易结算。其他架构可能会创建一种新的端到端交易处理的方法。例如，一些DLT架构不仅有信息交换，还可能以账本上资产的形式进行价值交换。

　　

3.1.1.c了解设计、技术和相关流程

系统的设计、技术和相关流程可能大相径庭。这些差异反映了所提供服务的性质、技术发展、系统的组织结构、当地市场结构和实践、以及其他管辖因素。要想针对性的解决具体问题或提出改进措施，了解这些因素是非常重要的。（以下CPMI的有关报告有助于理解系统的设计、技术和相关政策：《关于快速支付的报告——提高零售支付的速度和可用性》www.bis.org/cpmi/publ/d154.pdf；《零售支付中的非银行业务》www.bis.org/cpmi/publ/d118.pdf；还有《数字货币》、PMFI）

　　

3.1.1.d识别受影响的市场参与者

确定哪些市场参与者和用户受到架构的影响，这有助于识别对金融系统效率和安全的潜在影响。例如，系统对特定的市场参与群体产生效率收益，就意味着可能会对另一个群体造成风险。需要考虑的潜在市场参与者类别包括FMI、银行、其他金融机构、其客户和相关机构。考虑到金融市场的全球性，受影响的市场参与者可能位于多个司法管辖区。

　　

3.1.2有效实现的关键因素是什么？

考虑并说明可能影响架构开发和使用的因素，这一点很重要。一些架构仅涉及单个节点或一小组节点；而另一些则需要业界大范围使用，因为其潜在的效率提升和其他收益可能依赖于网络。也就是说，只有系统中有大量参与者，才能在业界实现任何潜在的效率提升。此外，有效的实现可能需要市场有更根本性的结构变革，包括改变市场规则和实践。以下环境、技术和财务因素可能在架构实现中发挥作用：

•环境因素：这些因素包括机构对新技术的接受程度、市场因素如规模、市场结构和实践、监管和法律条款、以及行业协调水平。

•技术因素：诸如技术成熟度及其与现有系统和流程的互操作性等因素是技术采纳的要素。

•财务因素：通过节约成本、收入潜力，或两者兼而有之，获得更好的投资回报率，这类项目更有可能被机构和市场采用。

　　

3.2对效率的潜在影响

许多人认为DLT具有提高市场效率的潜力。效率广义上包含架构设计、功能和资源需求。在这种情况下，效率是通过整个资产转移周期的速度和成本、以及对市场需求的服务满足程度来衡量的。兼顾速度和成本两个方面，对账（第3.2.3节）、信用和流动性管理（第3.2.4节）以及自动化（第3.2.5节）将是重要的特征。

　　

3.2.1端到端处理速度

DLT通常被宣扬为能够在单一架构中更快地完成交易结账。DLT可以减少参与者之间信息共享的冲突，简化现有流程。重要的是要考虑到在生态系统层面（即价值链），端到端处理速度的潜在提升；而基础设施本身内的交易结算速度可能会减慢。例如，与实时总结算（RTGS）系统相比，DLT架构可能需要更长时间才能完成结算，因为从技术角度来看，在DLT中验证交易并达成共识的过程，可能比集中处理的方式更为复杂。还可参看第3.3.2节关于结算的讨论。从支付系统的角度来看，银行间和批发市场已使用了多年的实时或接近实时结算，其中批发支付广泛采用RTGS系统，最近一些国家采用零售支付方式。（关于后者，请参阅CPMI《关于快速支付的报告—提高零售支付的速度和可用性》）

　　

关键问题

·就端到端端处理速度而言，该架构如何影响现有的支付、清算和结算流程（或者，如何与现有流程比较）？

　　

3.2.2处理成本

维护和更新分布式账本的总成本需要与当前正在使用的和其他可行替代的方案的成本进行比较。原则上，业界正在探索各种DLT架构，分析各种设计对价值链的某些部分降低成本的潜能。此外，还应考虑对整个市场和社会成本的影响。进而，DLT架构可能导致参与者之间成本分配方式发生变化。例如，由参与者共同维护和更新的共享账本，其维护成本由参与者共同承担，而不是直接由某一个组织（如FMI）全部承担，该组织再向参与者收取费用。在这种模式下，节点运营的参与者可以看到，其所承担的直接成本随着对系统贡献的增加而增长。

　　

关键问题

·与现有流程相比，该架构是否可以降低整体成本？参与者之间如何分配成本？

·在分布式环境中运行系统可能会产生哪些社会成本？

　　

3.2.3对账的速度和透明度

对账是指确保各方保持一致的交易内部记录。由于所需信息以不同的格式记录和存储在不同的账本上，对账过程通常耗费大量时间且需要大量人力投入。如果将交易记录以相同的格式在参与者之间共享，DLT可以减少数据差异，加快对账速度，消除或减少繁重的后台人工操作。参与者能否减少或消除对帐取决于是否可以访问分布账本上的信息； 但是，对账本上信息访问的限制可能会影响参与者继续维持单独内部记录（从而避免需要进行对账）。全部或部分对账数据也可能是与其他市场参与者共享，以提高市场透明度；或与政府机构共享，辅助分析报告。不过，信息共享机制，需平衡“改善对账速度和成本”与“数据保护和隐私”两个方面的需求（参见第3.3.5节）。

关键问题

•该架构对参与者的对账过程有何影响？

•其他参与者、市场和相关机构可以获得哪些交易信息？各方如何获得对信息的访问权限？

　　

3.2.4信贷成本和流动性管理

　　

提高处理速度和减少对账工作，这些改进可能导致在某些市场中可以实现实时或近实时地发生交易。这可能会影响与支付、清算和结算相关的信贷和流动性需求。与RTGS系统一样，实时或近实时转账可以减少信用风险。然而，它也对流动性提出了更高的要求。更快的转账意味着参与者可以更快地获得资金和证券，从而释放可能与抵押品捆绑在一起的流动性，就像今天的FMI一样。当然，并非所有的DLT架构都必然会导致实时或接近实时的交易。对于这些架构，了解它们对信用和流动性功能的影响非常重要。对信贷和流动性的净影响将取决于架构的设计方式以及所引发的相关变化。

关键问题

·该架构对参与者、系统和更广泛市场的新戴河流动性影响是什么？与现有架构相比如何？

　　

3.2.5自动合同工具带来的效率提升

DLT技术的一个关键特性是可编程性，实现自动执行特定功能。自动合同工具（包括智能合约）可以促进、执行或增强协议某些条款的履行（例如，到达日期时，自动执行贷款合同，支付本金和利息）。另一个例子是，将某些数据反馈到账本输入，当数据达到阈值时触发相关操作，如追加保证金通知等。 DLT允许在账本中嵌入信息，从而自动执行应用程序。合同条款的自动执行，可以避免执行交易中人为干预，从而提高效率，也降低了人为错误的可能性。增加自动合同工具以及其他增值功能，可以显著简化后台流程和记录管理。

与此同时，自动执行程序可能会给金融生态系统带来新的挑战和风险。例如，自动化合同工具难免有恶意或错误代码。如果执行了恶意代码或是错误代码，账本上数据完整性就可能有问题，影响可能非常严重。此外，同时自动执行多个合同（及其代码），可能会导致金融生态系统中出现不利和不可预测的行为模式。同样，合同（及其代码）之间相互依赖，形成转账通道，导致无法预料的风险（见第3.4节）。

　　

关键问题

•架构如何保证数据的完整性，包括数据的可追溯性？

•是否考虑数据不可篡改？如果是，那么如何解决数据、交易或处理中的错误？

•架构如何处理数据隐私和机密性。

　　3.3对安全的潜在影响

　　

支付、清算和结算架构的一个关键公共政策目标是识别、监控和管理可能引发的重大风险。技术和系统设计有助于架构的运营和财务更加合理，但也可能成为风险的来源。此外，在极端情况中，架构可能成为传递不稳定性和不确定性的渠道，导致金融危机蔓延。

　　

3.3.1运营和安全风险

DLT架构有能力提高支付、清算和结算活动的安全性，同时也带来新的风险。对安全的最终影响分析需要权衡技术的优缺点和相关的过程变化。

弹性和可靠性。DLT实施的关键驱动因素之一是它有可能加强架构的弹性和可靠性。DLT设计使用多个同步账本和多个处理节点，这种分布式特性降低了单点故障风险。单个故障点定义为系统中的任何部分，无论是服务，活动还是过程，如果它无法正常工作，将导致整个系统的故障。如果架构中的某个账本或节点不可操作或受损，则允许其他节点继续处理交易。鉴于防范网络威胁的重要性，政府特别关注增强运营弹性和可靠性。但是，架构中有许多节点也会让恶意行为有额外的入口点，从而危及账本的机密性、完整性和可用性。

安全。架构的安全性对于金融系统的安全性和稳健性至关重要。密码工具，例如公钥密码技术，在确保现有系统的安全性方面发挥着核心作用，并且在DLT架构中至关重要。虽然当前的加密工具被认为是有效的并且如今被广泛使用，但未来的技术进步可能使现有的加密工具不那么安全和有效。对于治理结构薄弱的架构，这个问题特别令人担忧，因为这种架构可能无法对新出现的安全问题和威胁做出足够快速的反应。将DLT集成到现有基础架构中，或从当前系统过渡到基于DLT的基础架构，也可能产生安全漏洞，这些漏洞并非新技术所固有，但可能会产生巨大的运营影响。因此，架构可能不仅依赖于加密工具本身，而且还可以采用分层的安全方法并利用其他工具。

运营能力和可扩展性。支付、清算和结算架构通常需要应对流量剧烈波动的情况，因此，运营要可扩展。运营能力有两个主要组成部分：（i）每天处理大量数据； （ii）处理潜在的峰值量，包括在市场压力或波动时期。如果架构设计不满足这些要求，有可能会削弱支付、清算或结算活动的安全性。架构的可扩展性取决于若干因素，包括记录中保存的数据类型，使用的共识机制和集中程度。

　　

关键问题

•该架构的主要运营风险是什么，特别是那些可能影响其弹性和可靠性、安全性、运营能力和可扩展性的运营风险？该架构通常如何管理这些风险？

•如果有的话，这些风险及风险管理与传统架构有何不同？

•除了依赖密码技术，架构设计中还有哪些层次的安全防护？

　　

3.3.2结算问题

DLT经常被提及的好处是能够提高金融交易的端到端处理效率（参见第3.2.1节“端到端处理速度”）。除影响支付、清算和结算的效率外，DLT还会影响安全。在这方面，需要考虑结算的关键组成部分：结算资产，如何在业务上实现结算以及如何实现法律概念上的最终结算。

结算资产。如何在系统中实现结算资产，有的设计基于更新账本中的余额（即账本通过借方和贷方记录头寸）；有的基于在账本中转移数字资产（即，账本记录仅存在于账本上的特定数字资产的所有权转移）；还有的基于转移被保管的实物资产的数字表示（即，账本记录其他地方持有的资产的转移）。例如，在支付系统应用中，可以采用更新余额的方式，转移数字货币或更新账户余额，这个过程体现了托管银行持有的货币量的变化。

业务结算。在某些DLT架构中，更新和在账本间同步状态变化可能需要一些时间。例如，第一个更新操作可能不代表结算操作，因为在账本同步过程中，可能需要一段时间才能在节点上实现共识。在使用工作量证明模型（工作量证明是一种常见的共识形式，要求节点同意将交易添加到账本中。一般来说，该机制等待大多数节点同意之后在将交易添加到账本）的架构中，结算是概率性的。也就是说，在账本中确认交易的次数越多，撤销的可能性就越小。如果涉及将一种资产兑换为另一种资产，例如证券兑换现金或将两种货币之间兑换，则结算操作变得更加复杂。在许多涉及价值交换的系统中，通常涉及其他金融市场基础设施。

法定最终结算。最终结算是法律规定的时刻，在该时刻，资产或金融工具的转移，或清偿债务，是不可撤销和无条件的，并且参与者破产或倒闭后也不易被解除。在传统系统中，最终结算是一个清晰的且明确定义的时间点，具有强大的法律基础。对于DLT架构，最终结算可能不那么明确。在依赖共识算法实现最终结算的架构中，可能不一定存在单一的最终结算。此外，在这种情况下，适用的法律框架可能不会明确支持最终结果。

　　

关键问题

• 账本中记录了哪些状态变化（例如，余额，数字资产转移，实物或非物质资产的数字表示转移）？

　　• 资产或记录的法律性质，在架构中如何体现？

　　• 如何在账本上实现业务结算？由谁实现？它与传统系统有何不同？

　　• 适用的法律框架如何规定结算终结？

　　• 对于价值交换结算，如何实现交割与付款、交付与交付以及支付与支付？包括相关自治账本之间、或账本与传统FMI之间的结算。

　　

3.3.3法律风险

拥有完善、明确、透明和可执行的法律基础是支付、清算和结算架构的核心要素。如果对架构的法律依据含糊不清或缺乏确定性，DLT可能会增加法律风险。将该技术应用于支付、清算和结算是一种新的方式，因此某些活动的法律基础可能不如传统系统那样完善（例如，在确定适用的管辖范围或相关法律方面）。反过来，DLT也可用于帮助减少某些法律风险。例如，针对具有法律约束力的协议条款和条件（如合同协议中规定的自动支付利息），实现自动化执行，这可以降低协议中合同条款在约定时间未执行的风险。

架构的法律依据包括一个法律框架，其中包括有关财产、合同和债务等的一般法律和法规。它还包括架构的规则、程序和合同。有一些法律问题，例如所有权和最终结算（见第3.3.2节），应该在架构中明确阐述，参与者理解并有法律支持。例如，资产所有权或资产转移、或相关方权利和义务等问题，法律依据可能并不总是很清楚。架构通常尝试使用标准化规则或合同来定义权利、义务和流程。在这种情况下，重要的是要考虑这些法律架构的可靠性及其可执行性。跨境或多个司法管辖区的交易可能会更加复杂化，在这种情况下，操作的法律依据需要在多个司法管辖区内确认或采纳，并且相互兼容。

　　

关键问题

·该架构是否为其活动设立了明确、健全和可执行的法律基础，特别是，如果在多司法管辖环境中运作？

·如何识别和解决潜在的法律冲突？

·参与者的权利和义务是什么？是如何说明的（例如，在规则、合同或代码中）？争议解决机制（例如，债务问题）是如何制定的？

　　3.3.4治理

　　

治理结构可以提高架构的安全性（例如，加强与架构设计和技术演化相关的决策制定，或利益相关者广泛参与），也会削弱安全性（例如，如果治理结构高度复杂，会降低运营问题的事件响应速度）。如果架构设计涉及信息共享，或是共同维护账本，则需要有特别深思熟虑的治理结构。近期遇到的治理挑战与若干不受限制的DLT应用案例有关，凸显了深入了解变更和事件管理治理架构、加强治理决策执行的重要性。

　　

关键问题

·该架构有哪种治理结构？ 它是否支持合理的决策、风险管理、事件和应急响应，并提供强有力的管理监督？

·架构是否涉及跨节点共享信息或维护账本？如果是，利益相关者（包括直接和间接参与者）都是谁？治理结构如何定义各自的职责？

·对于架构变更，是否有明确的机制进行决策或达成一致？

　　3.3.5数据管理和保护

　　

架构记录、维护和共享数据的方式影响支付、清算和结算的安全性。记录保存系统的基本要求是：系统构建和维护的记录，可以让任何合法节点（“合法实体”一词可能有不同的含义，这取决于上下文。在某些情况下，DLT系统的配置将要求所有参与者具有平等的信息访问权。然而，其他配置可能需要更高级别的交易信息的隐私，在这种系统中只有交易的双方有权知道其细节）来验证记录的相关历史。换句话说，系统应该支持数据的可追溯性。此外，可追溯性要求数据不会丢失、损坏或篡改。数据的完整性对于架构的安全性至关重要。此外，可追溯性可能是遵守“了解客户”规则、反洗钱要求和反恐融资法规的重要要求。但是，可追溯性应该与隐私权以及信息保密之间相权衡。

不同的架构设计可能需要不同级别的隐私保护。在某些架构中，所有节点都可以访问账本的副本，如果系统支持，甚至可能查看所有交易历史记录。但是，在金融部门应用DLT时，参与者可能不希望或不允许数据完全可见。在此情况下，信息访问应当受到限制。例如，数据被加密，节点即使维护完整的账本副本，也只能看到允许查看的账本元素。在某些情况下，节点可能只保存与它们相关的数据。无论所需的隐私级别如何，重要的是要有适当的控制，根据需求限制数据访问，同时允许节点就账本的状态和交易的有效性达成一致。

DLT架构一个可能的优点是记录在账本中的数据不可篡改，这意味着，数据一旦被记录就不能单方面改变。不可篡改性与数据完整性有关，因此对于架构的安全性至关重要。尽管有不可篡改性的需求，但可能需要在特定、有限的情况下更改数据，例如在由于疏忽而发生错误、欺诈和其他事件（其他事件包括删除特定人相关数据的权利）的情况下，账本可能值得更正或撤销交易数据，包括创建新的交易。自执行代码需要特别关注这个问题，编码或其他事件中的错误可能需要快速纠正。因此，需要治理和操作程序来应对异常处理。

　　

关键问题

•架构如何保证数据的完整性，包括数据的可追溯性？

•是否考虑数据不可篡改？如果是，那么如何解决数据、交易或处理中的错误？

•架构如何处理数据隐私和机密性？

3.4对更广泛的金融市场的潜在影响

　　

随着DLT架构的发展并且可能进入产品应用阶段，也可能带来更广泛的市场影响。整个金融体系存在大量盘根错节的联系。例如，金融机构可以参与多个支付系统和其他FMI。此外，证券结算通常需要多个系统参与，例如用于转移价值的支付系统和另外一个用于转移证券的证券结算系统。此外，金融机构、支付系统和其他FMI可能跨越管辖范围。

　　

3.4.1连通性问题和标准制定

业界正在试验许多潜在的DLT架构，并且可能出现多种DLT架构，提供不同的、相似的和互补的功能。因此，一个技术挑战将是，多架构之间、以及与遗留系统之间的互联互通，以便进行各种金融交易。制定技术互操作性标准，可以为互联互通提供基础，这也有助于降低技术实现和系统集成的成本。标准的成功制定，有助于DLT在金融系统推广采纳，这可能会带来网络规模的效率。

关键问题

•架构考虑或使用哪些系统、平台、层或组合？

　　

•架构考虑或使用哪种协议？

•协议代码是开源还是专有？如果是专有的，那么与其他架构协作，其代码的灵活性如何？

　　3.4.2金融市场架构

　　

DLT架构可能会对整个金融市场架构产生影响。在一些实现方式中，DLT可以作为当前架构的增量升级，并且不会显著改变当前的商业实践。在另外一些实现中，例如不受限制的架构，DLT会导致去中介化，影响某些功能或某些节点。商业行为的这种变化可能会影响金融市场的竞争平衡，并对金融市场架构产生影响。还可能引入新的非银行参与者，这是现有监管制度尚未涵盖或未考虑的实体。

关键问题

·该架构如何改变现有中介机构的角色或涉及新的参与者？

·该架构如何改变现有的市场和监管？

　　3.4.3更广泛的金融市场风险

　　

DLT架构可能会对更广泛的金融市场风险产生影响。金融机构，FMI和其他实体之间的相互联系引起了人们的担忧，即如果金融体系的某个领域出现问题，那些问题可能会与其他细分市场以及金融机构联系起来，这可能导致金融不稳定。在互联系统中，DLT的潜在优点是，在关键节点之间共享数据，可能会带来更大的市场透明度和更有效的跨系统风险管理。另一方面，DLT也可能产生负面影响。例如，将来系统配置中，可能具有多种自动化合同工具，宏观经济条件可能会自动触发跨越FMI的追加保证金，从而导致整个金融系统的严重流动性需求并产生系统性事件。因此，重要的是要更好地了解一些可能的自动化工具如何在整个金融系统中相互关联，并评估是否需要额外的保护措施以防止扩散。

关键问题

•在开发和实施阶段，该架构是否会带来更广泛的金融市场风险？将来会带来什么风险？

•该架构与其他系统有哪些互连，包括其他DLT架构？

​