研报 | IMF：一文读懂央行数字货币的风险、监管与治理

本文来源： 中钞区块链技术研究院

作者：IMF

译者：练娜、孙丽、叶子逸

编者按

2020年6月26日，IMF发布了一篇关于零售中央银行数字货币的研究综述，通过总结现有研究、各国中央银行实验以及利益相关者之间的讨论，本文对中央银行直接发行的零售CBDC发行目标、设计考虑、相关政策、合规和风险管理等问题进行了详情考察。从是否发行以及在什么情况下发行，到选择正确的运营模式和设计特征，最后是对网络安全风险以及监管和法律框架方面因素的整体讨论，本文旨在为决策者提供一个结构化的框架来组织CBDC的发行决策。

IMF将零售CBDC定义为中央银行或其他货币当局发行并由中央银行负债的数字化主权货币。明确各国央行CBDC的发行目标为权衡CBDC利弊以及选择符合各国国情的设计方案提供了框架。当前,综合各国央行CBDC的发行目标来看：以柬埔寨为例的金融体系不发达国家渴望推出CBDC以改善普惠金融问题，削弱美元化现象以维护本国货币主权；金融体系发达国家如加拿大提出使用CBDC作为现有支付市场的补充工具以提升支付效率，为将来改善跨境金融市场做准备。其他各国发行CBDC的主要目标也包括提高货币政策的有效性、降低现金发行和管理成本、刺激经济、减少私营支付系统市场垄断风险等。

在考虑发行CBDC之前，应致力于建立使公众信任的政策措施和充分发展的技术基础设施，确保CBDC的可行性和稳定性不低于实物货币。另外本文也提出了现有文献中对发行CBDC的风险疑虑，如是否与商业银行存款形成竞争、是否影响金融市场稳定性等。与现金相比，设计良好的CBDC可以增强金融诚信，设计拙劣的CBDC可能会破坏当局对金融诚信标准的遵守。

CBDC的设计驱动力始于对金融诚信、网络安全和隐私风险的全面审查，设计特性取决于政策目标和各国情况。CBDC设计方案需要全面考虑如运行模型、技术平台、匿名性、可用性、可编程以及是否付息等问题。同时，CBDC的发行也面临着法律、治理和监管方面的挑战。各国央行将需要评估CBDC是否属于现行法定货币的定义，其法律框架是否满足CBDC发行条件，现行法律是否限制了设计方案选择?是否需要建立针对CBDC的监管体系？还需要考虑相关的会计标准和间接法律方面，如内部治理能力、透明度和问责要求、内外部审计机制等。

另外，网络风险管理能力对CBDC生态系统来说至关重要，中央银行需要加强两个主要的IT安全组成部分。首先，审查并加强中央银行的IT运营以及安全状况。其次，加强围绕CBDC组件设计、实施和部署的安全决策。其中，业务和流程层风险与人员、流程和技术有关，可以针对每个参与者的角色设计相应安全使用方法，监测应用程序源代码是否存在恶意代码或漏洞；基础设施和应用层风险与高级威胁建模和体系结构风险有关。如第三方托管的CBDC模型可能导致数据主权问题、物理层硬件漏洞和应用层恶意漏洞。

同时，本文提到跨境支付系统的互操作性和标准化是未来CBDC发展的重要考虑因素，各国央行在考虑CBDC设计时应加入足够的灵活性以实现预期的CBDC跨境金融愿景。

执行摘要

中央银行数字货币（CBDC）是主权货币的数字表示，由一个司法管辖区的货币当局发行，并出现在货币当局资产负债表的负债侧。通过对已发表研究的调查，本文详细考察了发行的注意事项，仅关注公众使用的零售CBDC。【1】本文主要研究中央银行直接发行的CBDC，而不是“合成”CBDC（sCBDC），后者是由中央银行准备支持的私营发行的数字货币并由中央银行监管（Adrianand Mancini Griffoli，2019a）。本文的目的并不是提倡发行零售CBDC，而是总结最近的研究、中央银行的实验以及利益相关者之间就这一主题进行的讨论。本文还将总结现有文献，为中央银行和研究人员深入探讨复杂的相关政策问题，而不仅仅是是否发行零售CBDC，包括运营模式、设计考虑和风险管理问题。鉴于对这一主题的实际经验有限，这些只是初步的观察，并不意味着具有规定性、详尽性或普遍性。

从概念上讲，考虑发行CBDC的大多数主要中央银行和货币当局都遵循类似的工作流程，首先明确目标，然后全面评估预期的收益、成本和风险。探索CBDC发行的当局提出了不同的目标，其中两个主要目标是改善金融包容性和维持中央银行在货币体系中的相关性。其他目标包括降低与实物现金相关的成本，提高支付系统的效率，改善货币政策的制定和实施，加强金融诚信，解决与私营支付系统有关的潜在问题，例如隐私权或垄断权，以及最近在COVID-19全球危机之后，加快刺激支付，并使支付系统更具抵御冲击的能力。

另一方面，一些观察家强调了CBDC发行的潜在风险。这些措施包括阻碍货币政策传导，与银行存款竞争，破坏银行中介，以及在银行危机期间促进银行存款向CBDC的挤兑。运营风险包括与网络弹性、资金误用、数据丢失或泄露、外包/第三方依赖性和声誉风险有关的问题。这些也可能导致严重的金融稳定风险。

探索CBDC发行业务的中央银行，正考虑根据中央银行业务的发行、分配、转让等不同的业务模式来执行支付业务。它们都在考虑保留发行功能，但大多数都计划将分配和支付部分外包给私营金融机构。有些专注于在传统的集中账本上运行，而另一些则集中在分布式账本技术（DLT）平台上，在这个平台上，账本在一个私有许可的网络中被复制和共享给多个受信任的参与者。在满足金融诚信标准的同时，平衡确保用户身份和交易数据隐私的需要也是一个重要的设计挑战。一些学术研究者主张向CBDC持有人支付浮动利率以调节需求或提供新的货币政策工具，但很少有中央银行一开始就考虑这么做。

本文还回顾了在创建、发行、分配、冻结、停用和销毁CBDC时需要定义的一些过程、角色和职责。考虑发行CBDC的各国中央银行也在讨论如何在业务、流程和基础设施层预先解决网络安全风险。

考虑超越试点阶段的中央银行正在考虑是否在相应的法律法规中明确规定CBDC作为法定货币的地位。一些中央银行可能发现其治理框架需要修改以适应CBDC的发行（涉及目标和功能、技术要求、内部组织要求以及透明度和问责制的安排）。监管框架也可能需要修改以涵盖新的角色和参与者。

在技术和风险迅速演变的环境下，发行CBDC的决定将使即便是装备最完善的中央银行的技术能力和资源都得到扩展。与此同时，考虑到中央银行的系统重要性以及中央银行面临的重大金融、运营和声誉风险，将重要的中央银行职能外包给外部供应商需要高度谨慎和警惕。本文旨在通过对已发表研究的综合调查，提出是否发行CBDC的一般性基础，并提出具体的操作考虑。

1简介：零售CBDC

除了货币和金融稳定作用外，中央银行在经济中还扮演着核心的公共部门角色，以提供安全、高效和包容性强的支付系统。随着技术、用户需求和法规的变化，支付系统必须适应。在某些经济体中，现金作为一种支付手段正在消失，新的数字支付系统正在挑战中央银行的角色。在另一些国家，私营部门在改善金融包容性和降低与实物货币管理相关的业务成本和风险方面落后。为了应对这些挑战，一些中央银行正在探索发行零售CBDC——一种可广泛使用的数字形式的法定货币（可供公众使用），可以作为法定货币。这样的CBDC将成为中央银行的负债，并构成基础货币供应的一部分。

国际货币基金组织（以下简称IMF）工作人员提出了一个概念框架，从用户和中央银行的角度评估零售CBDC发行情况（Mancini Griffoli等人，2018）。这项评估的结论是，引入CBDC的影响将取决于其设计和国家特色。总的来说，这份报告还没有发现采用CBDC的普遍理由，对CBDC的需求将取决于其他货币形式的吸引力。有人担心，CBDC的发行可能会阻碍货币政策的传导，但本报告的结论是，这不太可能，甚至可能通过更大的金融包容性来加强货币政策传导。与现金相比，设计良好的CBDC可以增强金融诚信，但设计拙劣的CBDC可能会破坏当局对金融诚信标准的遵守。此外，虽然CBDC可能会增加存款机构的融资成本，影响存款机构的融资结构，加剧“跑路”风险，但CBDC分级薪酬和各种政策措施等设计选择也有助于缓解此类担忧。

基于这些结论，本文基于已发表的研究、中央银行的实验以及利益相关者之间正在进行的讨论，对发行零售CBDC的设计、风险和操作考虑进行了更深入的研究。有许多论文对与CBDC对支付、货币政策和金融稳定的影响（BIS，2018）或其对货币政策工具的影响（European Money and FinanceForum，2018; Lariccia，2018）提供了高水平的概述。对CBDC模型及其主要属性的一般性评估（Norges Bank，2018），以及如何设计CBDC通过预先防范流动性紧缩和银行存款的全系统流失（Kumhof和Noone，2018）以确保金融稳定。

本文还基于最新文献，讨论了详细的CBDC设计考虑因素和技术解决方案。Auer和Böhme（2020）提供了基本权衡和相关技术设计选择层次结构的概述，而其他人则探讨了各种选择并描述了潜在技术可能对政策目标组合施加的潜在限制（例如，Shah等人，2020）。关于平台模型旨在提供一个快速、高度安全和有弹性的技术基础设施，将为CBDC支付提供最低限度的必要功能（英国中央银行，2020），并为CBDC提供双重报酬，以解决危机情况下银行结构性脱媒风险和促进银行系统挤兑的风险（Bindseil， 2020）。

本文重点研究了只在发行中央银行边界内使用的CBDC。它列出了在该边界内保持使用的一些最相关要素，包括确保外国游客至少有有限的访问权。然而，跨国家或国际数字支付系统的互操作性和标准化是保持跨境选择为未来发展开放的重要考虑因素。为此，各国中央银行考虑密切协调其CBDC工作，并在CBDC设计中引入足够的灵活性，以促进CBDC实现的跨境互操作性和标准化，这似乎是一种谨慎做法。跨境和金融诚信问题将在单独的文件中讨论。

图1显示了本文将涉及的主要元素。首先介绍CBDC的基本定义（第二节），然后再审查主要发行目标和风险（第三节）。接下来，第四节讨论关键的设计功能，例如商业模式、技术、匿名/透明程度、离线功能以及是否应该引起兴趣。接下来是对治理、法律和监管要求的详细审查（第五节），最后是网络安全考量（第六节）。这个顺序不一定反映CBDC发行决策过程的工作流程，因为有些选择是相互关联的，并且可能会从一个决策反馈到另一个决策。例如，产品设计决策可能会影响决策中考虑的因素，如是否发布CBDC。同样，在试验阶段吸取的经验教训可能会影响产品设计和/或监管考虑。换言之，CBDC决策过程应该被视为动态的、可能有多个反馈循环的迭代过程。根据职责的不同，可以并行处理一些工作流程元素。例如，一个团队可以在监管方面工作，而另一个团队可以设计核心设计原则。

本文旨在对已发表的研究进行全面回顾，并就是否发行CBDC提出一般性考虑，如果决定继续发行，则提出具体的操作考虑。

图1：论文的主要内容

关键问题：

• 发行CBDC的目的是什么？所有的选择都考虑到了吗？与现有选择的相互影响是什么？

• 有法律/监管框架支撑吗？有相关的基础设施吗？

• 所有的风险（宏观经济、货币政策实施、金融稳定性、网络安全）都被识别和解决了吗？

• 关键利益相关者是否参与？是否遵守了适当的项目管理原则和实践？

2CBDC定义

本文将把CBDC定义一个管辖区的中央银行或其他货币当局发行的主权货币的数字表示，并作为其负债。然而，货币数字表示的分类法仍在不断发展，目前还没有一种被普遍接受的CBDC定义。【2】图2给出了指导本文讨论的分类法，将实物现金与四种数字货币（CBDC、sCBDC、稳定币和加密资产），基于是否（i）由中央银行发行，（ii）被视为法定货币，（iii）由中央银行支持，（iv）与法定货币挂钩，（v）允许点对点转账，以及（vi）可编程进行比较。【3】例如，sCBDC由中央银行支持，但不由中央银行发行或直接负债，但可以被视为法定货币。法定货币的概念在第V.A节中有更详细的讨论，但在不同的司法管辖区中，法定货币的概念略有不同，但基本上它界定了在法律上被公认为支付货物或服务和履行金融义务的令人满意的交换媒介的货币形式。此外，所有数字货币都具可编程性。可编程性，将在第四节F中更详细地讨论，是通过智能合约实现的，智能合约将传统合约条款编码成计算机程序并自动执行。【4】

图2：零售货币关键属性

（1）由中央银行准备金支撑

（2）人对人，银行对银行，商户对商户，人对商户等

（3）b-money通常有中央银行准备金作为部分支持，而集中画的电子货币可能有也可能不没有准备金支持。例如，肯尼亚的M-pesa没有，但中国的支付宝和微信完全得到了中央银行的支持。

许多中央银行正在考虑发行零售CBDC的利弊。附件1列出了中央银行根据公开信息正在（或曾经）积极探索CBDC用于零售。【5】至少有四家中央银行（巴哈马、厄瓜多尔、乌克兰和乌拉圭）正在或已经进行有限规模的试点发行，其他国家正在制定计划，例如东加勒比中央银行（Kotaro等人，2020）。

一些国家正在探索零售加密资产，这些资产被用作支付商品或服务以及履行金融债务的交换媒介。这些不是CBDC，因为它们不是该国中央银行发行的法定货币的数字表示，它们是由各国财政部而不是中央银行发行的。例如，马绍尔群岛政府计划推出SOV，这是一种加密资产，将与美元一起成为法定货币，目的是为政府筹集资金。【6】同样，委内瑞拉推出了商品支持的加密资产Petro，试图避开美国和欧盟的制裁（Berman，2018）。

3发行CBDC的动机与政策思考

本节研究了中央银行确定发行或不发行CBDC的动机以及影响这一决定的因素。明确目标为平衡CBDC发行的利弊和在特定国家情况下指导设计方案提供了框架。

A. 中央银行为何探索CBDC发行【7】

中央银行正在考虑发行零售CBDC的广泛目标。这些内容总结如下，并在本小节的其余部分中进行了更深入的审查：

• 面对少数大型公司越来越集中的问题，CBDC可以增强支付系统的竞争性、效率和弹性。

• CBDC可能是支持金融数字化、减少与发行和管理实物现金相关的成本、以及提高金融包容性的方法，特别是在金融系统不发达和许多没有银行账户的公民的国家中。

• CBDC可以提高货币政策的有效性，以实施有针对性的政策，或者利用更细化的支付流量数据来增强宏观经济预测。

• 计息的CBDC可以通过提高经济体对政策利率变化的反应来增强货币政策的传导。这样的CBDC可以用来打破政策利率的“零下限”，已达到现金变得昂贵的程度。

• CBDC还有助于减少或阻止采用私营发行的货币，因为这可能威胁货币主权和金融稳定，并且难以监管。

• 在试图降低美元化的司法管辖区，CBDC可以帮助提高当地货币作为支付手段的吸引力。

• CBDC可以在向没有银行账户的收款人和其他受援国分配财政刺激措施方面发挥作用。

CBDC可能旨在减轻私营支付系统的市场支配地位或降低此类支付系统的集中风险。支付系统可能会趋于自然垄断，反映出强大的网络外部性（用户群体越大，使用给定支付网络的价值就越大，包括净额结算交易节省的成本）、规模经济（降低平均成本，包括高昂的固定开发和维护成本），以及范围经济（从汇总数据以提供额外服务中获得的收益——Bolt，2005，Gowrisankaran和Stavins，2004）。然而，一些私营货币发行商可能无法将运营失败（包括网络攻击）可能造成的系统性中断的社会成本内化，从而可能在安全方面投资不足。此外，垄断性的私营发行商可能滥用这一权力，通过提供部分、不充分和昂贵的服务而导致效率低下。他们还可以将收集到的用户数据商业化，尽管根据进入壁垒的不同，这些数据也可能引发竞争。这些论点或许可以证明CBDC的发行或某些司法管辖区部署快速支付系统的决定是合理的，这也使它们能够控制支付体系结构的一个重要部分。如果垄断引起担忧，反垄断法规和数据保护立法可能是一种应对措施（CGAP，2019）。

CBDC可以改善金融体系不发达和金融渗透性低的国家的金融包容性。在偏远或农村地区较大或人口更多地转向数字货币的国家，用于分配现金的基础设施可能不可用或已经恶化，企业可能会拒绝使用它。它们的商业银行和其他接受存款的机构可能在财政上受到限制，或者没有很高的动力向某些人群提供银行服务。一种政策解决方案可能涉及补贴向边远地区发放现金和/或通过移动货币等其他解决方案为服务不足的人群提供银行服务（例如肯尼亚的M-Pesa和印度的PayTM）。然而，数字金融服务的缺乏可能与薄弱的数字通信基础设施有关，需要优先进行改进。如果金融包容性的障碍源于对实现正规化的厌恶或困难，那么无论是CBDC还是其他数字化举措，都证明是不够的。

发行CBDC和推动金融服务数字化可能会降低发行和管理实物现金的相关成本。Alvez等人（2019）估计，乌拉圭使用现金的私营成本约占GDP的0.6%。在对相关文献的回顾中，他们发现这种私营成本在0.2%（挪威）到0.6%（比利时）之间。Kosse等人（2017）得出的加拿大现金使用量数据（占GDP的0.5%）相近，但Banka（2018）报告阿尔巴尼亚（1.0%）和圭亚那（2.5%）的成本要高得多。成本主要落在银行、公司和家庭身上。尽管引入和维护CBDC可能需要大量的固定成本，但边际运营成本可能较低，尽管需要客户服务。在此基础上，采用CBDC的成本效率案例可能更适合能够吸收固定成本的较大司法管辖区。此外，考虑到数字现金管理与实物现金管理相对复杂（附录2），不应假设数字化必然会降低成本。例如，与实物现金有关的中央银行和商业银行的一些固定成本将继续存在。最后，如表1所示，还有与CBDC相关的额外开发和运营成本。

表1：与开发和运营CBDC相关的成本

成本类别	例子
人力	IT咨询公司、开发商、用户体验专家、钱包维护费用等
基础设施	云或本地服务器
软件	许可、服务费
网络安全	威胁建模、保护、识别、响应管理、渗透测试等。
支持	服务台、培训、沟通

发行CBDC可以提高货币政策的有效性。计息的CBDC可以极端负的政策利率，尽管只有在Rogoff（2014）所述的禁止现金、按照Bordo和Levin（2018）建议的持有成本高昂的情况下，或者对CBDC贬值，现金才可能成为负利率，后者将成为唯一的法定货币（Agarwal和Kimball，2015）。然而，极端的负利率可能会招致公众的批评，并严重削弱公众对中央银行的信心（Mersch，2020）。CBDC还可以基于用户账户余额（Davoodalhosseini等人，2020）或“直升机撒钱【A1】 ”货币刺激措施实施非线性迁移，以减轻自然灾害或公共卫生危机带来的不利影响，或促进其他“前所未有的政策”，如财政政策Boivin等人提出的建议（2019）。CBDC还可以通过激励特定类型的消费者消费来扩大货币流通速度（Scope和Franke，2020）。例如，从当地商人和/或某些行业购买商品时，可以进行“现金返还”支付，或者

持有CBDC可能会收取一笔费用，以激励人们快速消费。中央银行将为持有CBDC代币的公民的CBDC账户或钱包提供信贷。然而，这样做不一定能惠及所有公民，而且中央银行必须决定向每户家庭转移多少资金，考虑到分配的后果，这是一个棘手的问题。最后，更具创新性的货币政策可能会阻碍现有支付系统的创新（英国中央银行，2020），导致中央银行权力过度集中，并与货币政策与财政政策和中央银行独立性分离的概念相悖（Mersch，2020）。中央银行可以利用CBDC制定和实施有针对性的货币政策。中央银行可以利用实时和更精细的上下文支付元数据来加强货币政策制定和宏观经济预测（Bergara和Ponce，2018）。从金融和宏观经济稳定的角度来看，获得历史交易数据以及近实时、更准确地观察经济体对冲击或政策措施的反应的能力将非常有价值（Burgos和Batvia，2018）。这种对支付流量数据的微观视角将有助于决策者认识到季节性、自然灾害或消费者行为的宏观金融影响。【8】中央银行可以利用机器学习和其他高级定量模型收集到的数据为宏观经济预测提供信息，管理流动性和准备，或者确定货币的真实流通速度。基于模式识别的机器学习模型可以帮助预测指定区域或部门对CBDC的需求。在收集和使用微观层面的消费者数据之前，有必要实施适当的数据保护和网络弹性措施，以避免数据被盗或被滥用（见第六节）。如果不采取这些措施，中央银行将面临声誉受损的风险，这将超过CBDC带来的任何潜在利益。【9】

CBDC将有助于维护中央银行的货币主权。基于稳定币的支付系统，如Facebook的Libra，可能会在支付市场获得相当大的份额。特别是在新兴市场和发展中经济体（EMDEs），它们可能通过加速货币替代（如美元化）威胁货币主权，并破坏金融稳定（Diez de los Rios and Zhu，2020；FSB，2020）。向稳定币的广泛迁移可能会减少商业银行的存款，这可能会减少其稳定资金来源以及对交易数据的可见性，并阻碍向经济体提供信贷（Brainard，2020）。跨多个司法管辖区采用的全球稳定市场可能难以监督和/或监管，尤其是对于可能作为稳定币系统中大多数实体的东道主的新兴市场经济体而言，其总部可能位于其他地方（Feyen等人，2020）。设计良好的CBDC或sCBDC可以确保公共资金仍然是相关的记账单位（Brunnermeier等人，2019）。

在试图降低美元化的司法管辖区，中央银行有助于提高本币作为支付手段的吸引力。然而，CBDC本身不会解决美元化的原因，也不会改变外币作为价值准备的吸引力，尤其是在国内政策不健全和宏观不稳定（当前的不稳定或过去的不稳定）导致居民对本币失去信任的情况下。CBDC还可以促进金融包容性，增加在支付中使用当地货币，并可能有助于去美元化，作为综合战略的一部分，该战略通过稳定宏观经济框架的财政一致性，货币和金融政策组合来解决美元化的根本原因，降低通货膨胀，确保健康的金融体系并开发以当地货币计价的工具（例如当地债券市场和针对外汇汇率敞口的对冲工具）。

CBDC可以作为刺激经济和其他政府对点（G2P）直接向家庭支付的支付轨道。例如，2020年3月22日，一份美国众议院COVID-19紧急激励法案草案提到创建“数字美元”来向没有银行账户的美国人支付激励资金。【10】根据这项提案，美国财政部通过美国国税局（IRS）采取行动，如果国税局有足够的信息，可以选择直接存入收款人银行账户或“数字美元钱包”支付（否则通过支票支付）。数字美元钱包（“FedAccounts”）将由联邦准备银行（FRB）直接提供，或由FRB成员银行通过直通FedAccounts间接提供。通过FedAccounts将使个人钱包持有人有权按比例分配给在FRBs主账户中持有的合并准备金余额。每个银行仅出于持有所有资产（仅包括中央银行准备）和维持与转账FedAccounts相关的所有负债的目的而必须成立一个单独的法人实体。数字美元的报酬将以所需准备金和超额准备金利率中较高者为准。它最终被从最终立法中撤消，但这一想法作为一项独立的参议院法案重新发挥了作用。【11】然而，在发行CBDC的同时，还有许多其他直接向家庭转移资金的方式（Rutkowski等人，2020）。

B. 发行 CBDC的风险

CBDC的引入可能会影响货币政策的传导。例如，CBDC将以不可预测的方式改变对基础货币的需求及其构成，还可能改变货币需求对利率变化的敏感性（Carstens，2019）。然而，ManciniGriffoli和其他人（2018）认为，在合理的CBDC设计下，这种影响不太可能显著。事实上，如果CBDC增加金融包容性，从而使更多的家庭和企业接触到利率敏感工具，货币政策传导可能会加强。汇率传导渠道可能会因CBDC的引入而改变，因为它将促进更积极的货币管理，从而在给定的市场汇率变化下导致更强/更快的汇率变动（Armelius等人，2018）。如果中央银行通过将存款回收到银行体系中来提供稳定的资金，那么货币政策影响银行信誉和融资成本的银行贷款传输渠道也将得以维持。

根据设计，如果CBDC与银行存款竞争，它可能会影响金融稳定和银行中介（Fernández Villaverde等人，2020）。CBDC与商业银行存款的竞争程度将部分取决于CBDC支付的利率（如果有的话）。不计息的CBDC最接近模仿现金。零售存款份额较大的银行将面临来自CBDC的竞争，尤其是计息的CBDC，它们可能不得不提高存款利率以保持竞争力。如此高的存款利率将降低息差，银行可能会试图提高贷款利率，尽管这是以贷款需求为代价的。【12】银行的应对能力和保持盈利能力将取决于它们在贷款市场的实力（Agur等人，2019年）。存款保险允许银行以较低的成本用存款为自己筹集资金。如果银行损失的未参保存款多于投保存款，那么发行CBDC可能会降低市场纪律，这可能导致银行承担更大的风险。

这也会增加银行对批发市场融资的依赖性，这对融资成本和市场稳定性都有影响。但是，根据当前监管流动性要求，他们可能会减少贷款和公司债券持有量（国际清算银行，2013和2014）。此外，在资本市场欠发达的国家，这也不是一个可行的选择。但即使在可行的情况下，从存款转为批发资金，也可能导致银行利润下降或提高贷款利率以保持利润率。银行资金也可能变得更加不稳定。【13】在这种情况下，银行可能不得不持有更多的流动性资产以满足监管要求，或可能以牺牲金融包容性或促进增长的政策措施为代价削减贷款。

根据CBDC转换方式的不同，发行CBDC可能会对中央银行资产负债表产生重要影响。如果脱媒得以实现，中央银行可以将从商业银行存款中挪用的资金贷回这些银行，以便它们继续放贷（Brunnermeier和Niepel，2019）。但这意味着中央银行将大幅偏离典型的中央银行授权，它们将不得不决定如何在银行间分配资金，从而为政治干预打开大门。如果只针对现有的实物现金发行，CBDC的破坏性最小，因为它只会导致中央银行资产负债表的负债侧从现金转向CBDC。但是，当针对中央银行准备金发行CBDC时，影响更为模糊，如果用户从商业银行存款中转出，情况就是如此。更具体地说，以准备金支付CBDC的情况下，中央银行资产负债表的规模将保持不变，因为准备金和货币都是负债，但商业银行的资产负债表将出现萎缩。

有人提出了几点建议，以控制资产负债表收缩可能导致的银行业脱媒。Panetta（2018）建议设定持有限额，但这可能会限制支付的数量或规模，因为用户必须知道CBDC持有量才能最终完成支付。Bindseil（2020）提出了一种解决支付终局性问题的方法，即CBDC用户指定一个“瀑布”账户，将持有量超过上限的支付自动转入该账户。这是巴哈马中央银行CBDC试点（CBOB，2019）采用的方法。Kumhof和Noone（2018）提出了一种更激进的方法，限制商业银行按需将存款兑换成CBDC的能力。【14】

Bindseil（2020）认为，尽管有条件，但没有必要引入影响深远的，涉及可转换性的银行和中央银行核心原则。【15】他建议通过分级薪酬制度来控制CBDC的数量，并在一定的持有量上限上加上一个相对有吸引力的利率，而对超出阙值的金额将适用较低的利率。

设计拙劣的CBDC可能会通过提供一个随时可用、安全且流动性强的替代存款来加速银行挤兑。然而，Mancini Griffoli等人（2018）认为，运营风险的增加将取决于银行存款是否被可靠的存款保险覆盖以及危机类型。在许多司法管辖区，可信的存款保险应继续阻止挤兑。【16】此外，许多国家已经存在安全和相对流动的资产，如政府或国有银行债券基金。在个别银行破产的情况下，在大多数司法管辖区，只需点击一个按钮，就可以从一家银行转到另一家银行，因此，在这种情况下，拥有CBDC不太可能影响挤兑的可能性。但是，根据CBDC及其生态系统的设计，包括潜在的可兑换限制，CBDC可能会增加银行业普遍挤兑的风险。另一方面，一旦出现这种挤兑，CBDC可以允许中央银行更快地向陷入困境的商业银行提供流动性，以避免最初助长挤兑的先到先得的局面。此外，CBDC不太可能增加货币或主权危机中的普遍运行风险，因为储户通常会使用所有本地资产进行交易。

跨境可用的准备货币国家的CBDC可能会增加高通胀和汇率波动国家的货币替代（“美元化”）。这些前景以及对国际金融体系的影响需要进一步研究。

C. 发行 CBDC的前提条件

在考虑发行CBDC之前，发达经济体中央银行正在仔细审查法律和制度前提条件。这将包括健全的国家数据隐私保护立法和法规、强大的中央银行网络弹性以及符合相关国际标准的国家支付系统法规。另一个重要的先决条件是有足够的中央银行资源来投入决策过程。

图3显示了一些基本问题，有助于确定一个国家的情况是否适合发行CBDC。目前还没有普遍适用的最佳实践或规定的规则来保证CBDC发行的最终成功，但这种成熟度评估可以促进决策过程，也有助于决策者识别和解决其基础设施、监管框架中的任何差距或不足，治理和风险管理，以及中央银行法规。与其他职能部门和政府机构协调，将确保中央银行权限范围之外的基本要素得到关注。

发行CBDC是一个复杂的国家项目，它将涉及除传统中央银行对口机构（如财政部）之外的多个利益相关者。对CBDC的兴趣和影响也延伸到法律框架。例如，根据现有的法律框架，CBDC可能需要在治理、会计和财务报告标准方面作出改变以认可CBDC。它还将影响多个公共机构，如金融情报机构、税务、资本市场和统计机构，以及监管机构、消费者保护机构和私营部门利益相关者，包括商户和用户。根据当地情况，中央银行可考虑设立一个利益相关者国家咨询委员会，以促进与各利益相关方的沟通和接触，包括通过调查和重点小组。明确的任务授权和利益相关者之间的有效协作有助于确定任务的优先级并最大限度地提高资源效率（Taylor，2019）。

发性CBDC需要充分发展的技术基础设施。开发支持CBDC所需的基础设施包括确保电网、移动网络和互联网覆盖等一般基础设施的高可用性和弹性。根据具体情况，各国可能会选择海底光缆、陆地电话和卫星连接的组合。根据高密度地区对更大带宽的需求以及偏远地区卫星的可靠性或者在停电时作为备份的需求来平衡对电缆和卫星的投资（George，2018）。在某些情况下，发行CBDC的强烈动机可能会加速一国的基础设施投资和金融系统的数字化。

CBDC的发行最好是在国家支付系统发展的大背景下考虑的，是由需求、目标和能力而不是技术驱动的。【17】支付是货币工具（通常是现金和存款债权）在双方（支付人、收款人）之间转移以完成交易的过程。一个国家支付系统是各种制度安排和基础设施的配置，有助于货币价值在各方之间的转移。作为国际指导的一部分，确定国家支付系统中的所有用户需求对于指导发展至关重要（BIS，2016）。CBDC的实施需要对业务和资源需求以及能力进行分析，这些都是从盘点工作和利益相关者协商中得出的。开发有技能和知识丰富的人力资源对发展有形基础设施同样至关重要，包括培训开发、运营和管理CBDC安排的人员，以及支持用户和服务提供商的教育计划。

图3：本文主要内容概述

启动CBDC是一项多层面的工作，它超出了中央银行正常的信息技术项目管理框架。发行CBDC需要政治支持、高级管理层广泛投入，并专注于详细的产品设计选择和操作流程。新货币可能导致重大的破坏，影响货币政策传导、金融稳定、金融部门中介、汇率渠道和支付系统的运行。中央银行发行将需要考虑现有的操作环境和CBDC发行的影响，包括公众接受程度、使用情况、金融部门反应的性质以及消费者的动态。中央银行还必须权衡内部能力的可用性与外包选定业务以处理这一扩大角色的选择。

由于CBDC涉及中央银行运营的许多方面，因此需要考虑其发行对中央银行内部运营的影响。CBDC的实时性要求中央银行拥有足够的技能资源、快速的决策结构和响应时间，以解决紧急问题，确保业务连续性和运营弹性。即使是中央银行外包的业务，也需要开发监控、监督和风险管理功能，评估供应商和第三方风险，并建立系统以应对可能因运营失败、网络漏洞或执行错误而导致的CBDC中断。对于中央银行不外包的业务，需要建立冗余系统和业务连续性。在成本分析中考虑24/7/365CBDC环境的影响非常重要，包括其对人员配置、CBDC生命周期支持和网络安全的影响。

由中央银行发行以及政府信任的CBDC是一种坚定的承诺，是CBDC被接受的关键。就像发行常规实物货币一样，中央银行和政府将必须表现出坚定的决心和准备，采取必要的措施，确保企业和公众认为CBDC的可行性和稳定性不低于实物货币。公众对经济和金融稳定、对数字货币价值以及中央银行本身的信心至关重要。真实或可感知的宏观经济或中央银行相关挑战可能会削弱公众对本国货币或中央银行的信心，需要综合运用不同的宏观经济政策措施和调整。考虑到对基本货币（模拟或数字）的潜在信任的重要性，决策者在考虑发行CBDC之前应致力于在建立信任的政策措施上。

D. 权衡 CBDC的替代方案、成本和收益

关于是否发行CBDC，最终的决定将归结于权衡发行CBDC的成本和收益与其他替代方案的成本和收益。图1提出了一个评估可行性和验证初始假设的模型。最初的决策过程是从彻底了解要解决的问题和全部解决方案开始的。一些国家的中央银行正在努力改进现有的支付系统，以适应数字货币的速度和便利性。例如，美联储（Federal Reserve）正在开发所谓的“快速支付”（fast payments），允许银行间零售支付的准即时和低成本结算（美国联邦委员会，2019）。在某些情况下，部署快速支付将增强对基本支付系统的控制，而无需发布CBDC。在其他国家，类似的系统改善了支付服务，并在支付领域注入了竞争，尤其是如果与其他改革相结合，例如公共数字身份、通用通信标准、开放的应用程序编程接口（API，允许银行应用程序互操作并由第三方开发者扩展），以及数据可移植性和保护标准（Cœuré，2019）。如果考虑发行CBDC的目的是扩大金融包容性或对现金使用减少做出反应，其他选择可能包括推广移动货币，激励私营部门金融机构改进其产品，或改变或制定相关立法，以确保商户接受现金。

在审查了所有备选方案并得出结论后，CBDC发行具有潜在的成本效益并且可以安全地实现目标，衡量CBDC的成本和收益很可能是反复的（图1）。【18】例如，潜在的成本节省和金融普惠收益可以被基础设施升级成本所抵消。对于现金使用急剧下降的国家来说，如果减少垄断是探索CBDC发行的理由，那么缺乏强大的网络安全弹性可能会带来漏洞，对消费者保护和金融稳定产生不利影响。对货币政策实施和金融中介的潜在影响也可能抵消CBDC带来的好处。此外，正如下文所讨论的，运营模式和设计功能的选择可以改变CBDC发行利弊的组合。例如，如果中央银行没有能力直接发行CBDC的能力，那么sCBDC可能值得考虑。

4CBDC设计注意事项

那些认真地探索CBDC发行的中央银行，正专注于一系列关键设计选项。这些包括操作模式、平台（集中式与分布式数据库技术，或基于代币）、匿名/隐私度、可用性/限制以及是否支付利息。这些设计决定将在下文更详细地讨论，这些设计决策是由国家的因素决定的，并兼顾实现政策目标和吸引用户和商户的需要。

CBDC的需求最终将取决于特定国家的现金使用水平和趋势，以及对利益相关者（包括最终用户和商户）的激励。虽然访问CBDC可能比从自动取款机（ATM）取款更方便，但它只能使CBDC像银行借记卡一样（Khiaonarong和Humphrey，2019）。如果CBDC不计息，那么使用CBDC的唯一动机是与现金相比，使用CBDC的便利性和易用性。销售点终端的成本分摊和互操作性设置可以激励商户接受CBDC购买其产品或服务。因此，由于偏爱现金替代品（卡、电子货币、手机支付），在现金使用率已经非常低的国家，CBDC的需求可能很弱。在现金使用率较高的地方，由于缺乏现金替代品，对CBDC的需求可能会更强劲。

设计可能还必须考虑CBDC和其他零售数字支付平台驱逐现金而不再使用的情况。有些人可能买不起必要的硬件，有些人的连接网络环境受限。例如，一项调查发现，17%的英国人口将难以应对无现金社会，主要是穷人和老年人（获得现金审查，2019）。瑞典于2020年1月1日通过了并生效一项立法来解决这一问题，该立法要求银行提供充足的现金服务，尽管它没有强制商户接受现金（Sveriges Riksbank，2020）。下面将讨论CBDC设计特性满足这些特殊需求的一些方法。

认真研究CBDC的中央银行正在使用各种技术在设计过程中衡量用户的观点。通过产品设计过程中的最佳实践，如以用户为中心的设计和用户体验分析，也可以获得最佳的用户满意度和可用性。对于加拿大银行，这包括基于调查和潜在用户焦点群体的分析（加拿大银行，2020，Huynh等人，2020）。例如，Huynh等人（2020）和Sun（2020）发现，最重要的特征是低交易成本、易用性、可承受性和安全感知，其重要性依次递减。在整个迭代设计过程中让用户（包括商户）参与，可以促进采用、增强健壮性并可能灌输信任的高可用性和易访问性产品（交互设计基金会，2019）。

根据英国中央银行（2020）的数据，CBDC成功的关键在于许多因素。CBDC系统应提供24/7支付，包括在某些情况下离线，无计划停机并能够从运营中断中快速恢复。如果对CBDC支付的需求大幅增加，它应该能够处理增加的交易量。支付过程应尽快完成，并确定会完成。用户应该能够进行实时点对点支付，并且过程应该直观，涉及最少的步骤和所需的技术素养水平。CBDC支付系统的设计应尽量减少残疾人士、以及硬件或移动数据网络访问而造成的使用障碍。除此之外，用户在合法交易中希望隐私受到保护，系统应符合所有相关隐私法律法规。所有用户都应该清楚地知道在CBDC中进行支付的成本。

更广泛地说，设计决策过程始于对金融诚信、网络安全和隐私风险的全面审查。诸如减轻金融诚信和网络安全风险之类的关键问题并非空想。相反，它们是架构设计决策的驱动力。在所有情况下，有效执行金融诚信措施都很重要。这就需要确保遵守金融行动特别工作组（FATF）的标准，并采取有效行动减轻洗钱和资助恐怖主义的风险。【19】下文将介绍推动CBDC设计的金融诚信考虑的一些方面。跨不同产品层的网络安全构成了CBDC支付系统的基础，该系统能够抵御欺诈和网络攻击，详见第节。

将灵活性纳入体系结构可以支持CBDC适应未来需求，以应对不断变化的用户需求、法规和技术。灵活的设计可以减少与中央银行选择或需要采用的运营模型或设计功能所需的改造或升级相关的成本。这种类型的体系结构可以允许一种受控的开放体系结构，使第三方（如支付系统提供商）可以在CBDC平台上集成或构建自己的服务。这种开放的体系结构可以促进与CBDC相关的支付服务的竞争市场，尽管其设计应确保没有任何结构性因素可以导致此类提供的垄断市场动态（英国中央银行，2020）。如果这样的支付系统可以互操作并且可以实现预期的跨境CBDC支付，这也将很有用。【20】

本节的其余部分将枚举设计选择，并在结束时对项目管理和业务伙伴选择提出一些想法。

A. CBDC运行模型【21】

中央银行可以对CBDC操作模型采用分层方法（图4）。从广义上讲，在单层模型中，中央银行将执行所有相关任务，从发行CBDC到运行用户钱包（图4，第1层）。在多层模式中，中央银行发行和赎回CBDC，但分配和支付服务将委托给私营部门（第2、3层）。运作模式是一个概念框架，在实践中采用何种模式的最终决定将取决于各国的具体情况。这些可能与金融部门的广度和深度、金融诚信的稳健性、金融市场基础设施标准和监管以及资源和能力限制有关。

图4：中央银行可以采用多层责任

在单层模型中，CBDC交易类似于与商业银行的交易，只是账户将由中央银行持有。支付人通过网络或移动应用程序登录中央银行的一个账户，并请求将资金转移到收款人的账户，也就是在中央银行。中央银行将通过更新总账来确保结算，但前提是要核实支付人使用账户的权限、足够的资金以及收款人账户的真实性。这种模式使中央银行对产品设计和实施有更多的控制权过程。但是，中央银行将需要在分配和支付服务方面发挥更积极的作用，这可能超出其核心任务范围和管理整个流程的能力。此外，各国中央银行将直接与现有的数字支付服务提供商竞争，加剧了金融脱媒的担忧。从概念上讲，单层模式可能适用于一个拥有资源充足、金融部门极不发达的中央银行的国家，因此没有机构承担支付服务的分配和提供，太平洋一些低收入国家和小岛屿国家就是这样。

在多层或“平台”运营模型中，中央银行发行CBDC，但将部分或全部管理账户和支付服务的工作外包（图5）。但是，CBDC仍然是中央银行负债，因此CBDC持有人不会面临约定的支付服务提供商（PSP）的违约风险。Auer和Böhme（2020）提出，通过法律框架可以减轻这种风险，该法律框架将用户CBDC资产的持有与PSP资产负债表分开，这样，这些资产就不会被视为债权人可利用的PSP破产资产的一部分。他们还建议，法律框架还应赋予中央银行权力，将大量用户账户从失败的PSP切换到功能正常的PSP。他们还指出，为了迅速做到这一点，中央银行必须保留所有零售CBDC资产的副本。

由于金融机构在分配和支付服务中扮演着传统角色（图4中的第2、3层），多层模型的破坏性比单层模型小。此外，这种分层方法有助于在不改变系统核心的情况下集成新型消费电子设备，并支持第三方在核心基础上进行构建（Shah等人，2020）。到目前为止，这一直是中央银行CBDC试点和反思中青睐的模式。例如，中国人民银行（PBOC）提出并试行“双层”模式，即中央银行将CBDC分配给选定的银行或支付平台（分配层），这些银行或平台通过其支付系统层将CBDC分发给用户。（Fan，2020）。

Sun（2020）在深入研究支付宝经验的基础上，确定了有助于多层CBDC模式成功的先决条件。首先，生态系统应该为PSP创造经济激励机制，无论他们是商业银行还是金融科技公司，以服务于中央银行利益的方式参与进来（使CBDC广泛面向公众、跨地区等）。对于这类PSP，应该有一个具有成本效益的商业模式，有足够的利差、费用和交叉补贴收入，以及可控的固定和可变成本。此外，法规应为足够多的用户留出空间，以达到临界质量，并激励网络建设，同时促进PSP市场竞争。例如，鼓励竞争性支付系统的互操作性以鼓励新进入者并降低集中度风险的法规应注意不要对网络建设产生不利影响。【22】

图4中未包含的方法是让中央银行允许稳定币发行人和/或私营部门PSP访问其准备金账户（Kumhofand Noone，2018; Adrian and Mancini-Griffoli，2019a）。【23】这样的稳定币发行人和PSP将在中央银行开户，交叉提供者的支付将在中央银行的账本上结算。sCBDC许可证将为扩大中央银行准备金的使用创造条件。只有在严格的条件下并在中央银行的授权范围内才能提供这种访问权限，并且适当的法规将保护准备金，使抵押品不受发行人或其他债权人破产的影响。有关sCBDC优缺点的讨论，请参见框1。

图5：CBDC平台模型

图片来源BOE 2020【24】

商业模式的选择也将对监管产生重要影响。在一个单层生态系统中，只有中央银行需要遵守任何现有的监督和监管规范。在一个多层生态系统中，参与其中的第三方必须接受强有力的监管和监督，以保护客户并避免金融稳定的风险。其中的某些方面可能与加密资产和稳定币运营商以及托管人所受到的影响有一些相似之处。这些将包括市场行为，特别是与客户直接接触的实体的市场行为。第五节详细讨论了CBDC生态系统调控与监管的具体内容。

就sCBDC而言，中央银行可以制定明确的条件，向sCBDC发行方发放许可证。这将包括中央银行或其他机构的严格监督。例如，选定的供应商将负责根据“了解你的客户”和反洗钱条例进行适当的客户筛选、交易监测和报告，以及钱包和客户数据的安全。例如，对谁可以接收和持有sCBDC的控制可能也有助于限制sCBDC在一国境外的传播。

B. 集权与分权 【25】

目前大多数CBDC实验都集中在中心化的架构上。然而，分散或混合架构，甚至无账本的离线点对点存储价值平台是可能的。在数字资产领域，“分权”通常指的是权力下放，以核实和提交交易到账本。在传统的集中式账本（没有分布式组件的客户机-服务器模型）中，交易处理需要付款人连接到中央账本管理员并启动资金转入收款人账户。在付款人被确认为有足够资金进行交易的账户持有人后，账本将被更新。在部分分权模式下，中央银行可以向选定的金融机构发行代币，这些金融机构要么保护资金，要么充当中间人。由于部分准备金制度，银行或持牌存款机构等中介机构将具有更大的灵活性，因为它们不需要交付付款人存入的确切数量的代币。

或者，分布式账本可以在分布式账本技术（DLT）平台上运行，在该平台上可以在多个参与者之间复制和共享账本（英国，2016年）。借助DLT平台，中央银行可以具有集中式，分散式或部分分散式的机构来验证和/或提交交易。最著名的公共和去中心化DLT实现是比特币底层的技术（Nakamoto，2008）。DLT平台可以是“公开的”（任何人都可以访问）或限于一组选定的参与者（“联盟”或“私有”）。账本完整性可以由选定的一组用户（“许可”）或所有网络参与者（“无许可”）管理（有关DLT的详细信息，请参见附件2）。

混合中央银行数字货币【26】

sCBDC与其他形式的货币在两个基本方面有所不同。首先，它是私营公司（sCBDC发行人）而不是中央银行的债务。其次，sCBDC由中央银行准备金支持，因此不同于没有任何资产支持的私营发行的数字货币，例如电子货币，稳定币或加密资产。【27】因此，sCBDC要求中央银行将其准备金的使用范围扩大至非银行金融公司，BigTechs和金融科技初创公司。

准备金支持使sCBDC提供者可以按面值提供可靠的赎回保证。电子货币提供商和银行就存款提供类似的担保。但是，在两种情况下，担保都不一定是可信的，具体取决于客户资金投资的资产以及（对于银行而言）存款保险的存在和获得中央银行流动性的机会。

中央银行可以制定明确的条件，向电子货币提供商发放许可证，包括由中央银行或其他机构进行严格的监督和监管，尽管对从事到期转换的银行的监管较轻。例如，选定的供应商将负责根据金融诚信条例进行适当的客户筛选、交易监测和报告，以及钱包和客户数据的安全。

对中央银行而言，sCBDC相对于直接发行和管理的CBDC的一个优势是成本更低，风险更低。它还充分保留了私营部门在创新和与客户互动方面以及中央银行提供信任和效率方面的比较优势。然而，有一种风险是，公众将sCBDC视为中央银行品牌产品，并不完全理解中央银行对此的有限责任。然而，与今天的商业银行一样，与个人借记卡相关的欺诈或技术故障，不会归咎于中央银行，尽管商业银行可以动用其准备金。

基于管理和监督考虑，基于DLT的许可平台似乎更适合零售CBDC。到目前为止，基于DLT的CBDC实验主要集中在私有许可（集中式权限）平台上，因为这些平台允许控制平台参与者及其对平台的访问，以及基于角色的交易监督和可见性。私营许可的平台也确保了中央银行对货币发行和货币政策的完全控制。无许可平台另一方面，在可扩展性、结算最终性和金融诚信风险管理方面存在不足。【28】方框2总结了一些中央银行考虑基于分布式账本技术的CBDC平台的一些原因。

支付和市场基础设施委员会（CPMI）DLT分析框架概述了使用此类安排的主要考虑因素（国际清算银行，2017）。【29】这些包括处理速度、处理费用、对帐速度和透明度、信用和流动性管理成本以及潜在的智能合约应用程序。安全问题包括运营和网络安全风险，数据管理和保护以及治理将由于基于DLT架构的分布式特性，基于DLT的CBDC的使用可能会暴露更多的系统，因此需要引起更多关注。

离线的点对点储值CBDC平台将采取卡或移动钱包应用程序的形式，在本地存储预付值。这样的CBDC平台可能会对那些将大量人口排除在正规金融部门或互联网接入之外的国家感兴趣。然而，在20世纪90年代，试图通过MintChip、Mondex和VisaCash等可充值智能卡实施此类系统，但未能获得足够的客户接受度，无法实现可行性（Matonis，2012；Bátiz Lazo和Moretta，2016）。当时计算机科学家认为，这种智能卡永远不可能强大到足以支持现有的货币计划（Stalder，2002）。但此后，技术的迅速发展很可能解决了其中一些安全问题，如储值卡复杂的离线动态数据认证/组合动态数据认证安全功能（安全技术联盟，2014）。

C. 金融诚信、隐私和透明

金融行动特别工作组发布了一系列标准，各国应在风险基础上执行这些标准，以防止洗钱和恐怖融资会影响CBDC的设计考虑，包括对金融机构、虚拟资产服务提供商以及指定的非金融企业和专业人员执行客户尽职调查措施、监控交易并报告可疑交易等义务。在大多数情况下，这意味着可能需要收集、传输有关CBDC用户的某些信息，并在必要时提供给主管当局。例如，在洗钱和恐怖分子融资的风险较低的情况下，例如在偶尔的低价值交易中，也可能会采用某种形式的比例关系。

关于数字发展与金融系统完整性之间平衡的进一步指导意见将有望出台。2019年11月4日，FATF公布了数字身份指引草案（FATF，2019年）。该文件寻求金融部门和其他利益相关者对FATF关于确定“根据金融行动特别工作组建议10，如何使用数字身份系统进行客户尽职调查（CDD）的某些要素。”的指导意见。FATF强调，“数字金融交易的增长需要更好地理解如何在数字金融服务领域识别和验证个人身份。”

基于DLT的与传统的集中式账本方法

CBDC平台实施的关键决定是是否在分布式（DLT）平台上运行，而不是在传统的集中式数据库上运行。中央银行仍在辩论每种方法的优缺点，评估诸如安全性、弹性、性能或长期代币化策略之类的参数。

中心化与分散的权力：中央银行考虑基于分布式账本技术的CBDC的关键问题是，部分或完全分散权力以调整其资产负债表上的债权，其所谓的好处是否大于风险。下面将讨论这些风险，以及可以减轻这些风险的一些方法。然而，基于分布式账本技术的账本保存主要是为了克服人们对中央权威机构缺乏信任，因此，基于分布式账本技术的CBDC的理念与中央银行和中央银行货币的一些核心原则之间可能存在紧张关系。

安全性：大多数中央银行在管理集中数据库方面已经有了成熟的安全态势。他们的内部系统通常通过多个保护层来保护，例如审计、中间层服务、身份验证/授权和防火墙。32个CBDC项目将开放这些集中的数据库，这带来了新的安全问题。基于DLT的平台跨多个参与者或“节点”保存数据库的多个副本，这使得恶意尝试更改数据更加困难。考虑发行基于DLT的CBDC的大多数中央银行都选择了“许可”平台，这限制了向自己和选定的金融机构更新数据库的能力。

弹性：无论是集中式平台还是基于DLT的CBDC都不能提供完全的弹性。两者都面临网络安全风险、硬件问题、电源或网络中断或云服务中断。DLT体系结构可以通过减少单点故障来增强恢复能力。此外，当账本返回时，可以通过从其他节点复制账本来恢复一个节点的潜在数据丢失在线。尽管如此它们的弹性、基于DLT的平台可能会遭遇针对网络或应用层的攻击，其中包括批准数据库更新的共识机制（Auer和Böhme，2020年）。

性能：集中式平台通常处理事务的速度更快。作为参考，VISA网络理论上可以处理高达65000宗交易/秒（TPS），而私有DLT平台的速度较慢，约为20 TPS。快速的技术进步有望解决这一问题，新创企业提供的网络将达到10000  TPS（Mearian，2019年）。

在这种情况下，代币化涉及在DLT上记录资产、财产、权利或货币平台。金融生态系统预计将使用资产标记化来促进交付与支付（埃森哲，2019年）。在“遗留”集中式系统上实现数字资产（具有防止双重开支或不变性等属性）可能会很复杂，而无需重新创建DLT体系结构。

各国中央银行一直在探索不同的选择，以在其CBDC设计中，在金融诚信、隐私和透明度要求之间达成恰当的平衡思考。如果对匿名的CBDC交易和持股规模施加严格限制，就可以保持金融诚信。欧洲中央银行（ECB）在概念证明（PoC）中测试了“匿名凭证”。这些代金券允许用户在规定的期限内匿名转移一定数量的CBDC，中央银行或除用户选择的中介机构以外的其他中介机构无法看到用户的身份和交易历史。匿名电子交易限额的执行是自动化的，额外的检查委托给金融诚信机构（ECB，2019）。中国数字货币电子支付（DCEP）平台的设计预计将包括“可控或自愿匿名”。尽管中国人民银行对其用户的身份进行保密，因为他们在首次注册时要求提供真实身份，以防止逃税和洗钱，但用户将能够控制他们向交易对手方暴露的哪些信息处理（Qian，2018）。完全的第三方匿名将危及金融诚信，因此中国人民银行提出的解决方案旨在通过要求仅向中央银行披露交易数据，将匿名程度保持在可控范围内（Fan，2020）。一些稳定币解决方案，也可以应用于CBDC，要求遵守“了解你的客户”（KYC）的要求，尤其是在稳定币兑换成银行账户时，反之亦然。另一方面，CBDC点对点交易中的中间用户不需要识别（Lewis，2019）。但是，在成功实施CBDC的情况下，由于大多数交易都是点对点的，所以交换的频率会很低。基于DLT的CBDC可能包括其他增强隐私的功能例如旋转公钥、零知识证明和安全区域计算（ECB，2019）。

无论选择何种设计，一个重要的考虑因素是如何适应有效的金融诚信措施的实施。在CBDC设计中允许某种程度的匿名性将有助于提高可用性，提供对CBDC更普遍的访问，并缓解数据隐私问题。然而，对于任何数字形式的货币来说，真正的匿名是非常困难的，而且大多数现有的CBDC解决方案都可以考虑充其量是“伪匿名”。即使在注册时不需要身份识别（ECB匿名凭证就是这样），交易元数据也可以用于根据知识图设计用户身份。确保充分的数据隐私保护和遵守金融诚信标准是一项微妙的政治决策，需要立法者、监管机构以及不同职能部门的政策和决策者采取协作方式。

在满足合法用户对隐私的偏爱和减轻政策制定者的金融诚信风险之间需要权衡取舍。完全透明的CBDC，其用户及其所有交易的信息都可由相关部门访问，具有监管优势（因为这可能会促进侦查、监管、监视和执法工作），但对于合法用户而言，吸引力不大。替代现金的匿名性。受到完全身份认证的CBDC可能会使无法获得身份证明的公民处于不利地位，这可能会损害金融包容性。金融交易中完全缺乏匿名性可能会侵犯诸如欧盟通用数据保护条例（GDPR）之类的立法所规定的被遗忘的权利。此外，这可能会加剧隐私权倡导者对数字监视和CBDC被用来对公民实施制裁措施的担忧，尤其是在对公共机构的信任度已经很低的情况下。相反，对于交易和用户完全不透明的CBDC可能会侵犯金融系统的完整性和消费者保护，从而导致大量洗钱和恐怖主义融资风险，因为非法交易和欺诈行为将不会被发现。这一风险可能比现金风险更大，尤其是由于交易的易用性和速度及其潜在的全球影响。

当前的金融隐私辩论涉及主张完全匿名以维护公民的隐私权的主张，以及主张完全透明的金融交易和严格的身份要求的主张。匿名的原因包括减少身份盗用和垃圾邮件的风险，以及被跟踪或抢劫的风险（Kahn等人，2005）。一种低成本的隐私保护支付方法还可以减少共享支付数据所涉及的负外部性的影响，因为一个人披露的数据可以用来干扰其他人的购买习惯（Garratt等人，2019）。Bech和Garratt（2017）指定了两种类型的金融匿名——交易对手方和第三方匿名。交易对手方匿名意味着付款人发起支付时不需要向接收人透露其身份。更严格的第三方匿名性意味着付款方对所有其他方都不可见，包括正在运行支付系统。一些人认为，由于第三方匿名有助于犯罪活动、恐怖主义融资或洗钱，因此不应允许这种做法（Bech和Garratt，2017）。然而，一些用户可能会认为缺乏第三方匿名性会暴露出太多关于用户私营活动的信息（Chaum，1983），而其他研究则怀疑消费者对匿名的重视程度（Bech和Garratt，2017）。

D. 可用性和局限性

最近的CBDC试点对持有量和交易规模施加了限制，要求使货币尽可能地像现金一样，并降低中间化风险。例如，巴哈马“Sand Dollar”试点强加了持有限额，“因此它实际上无法替代传统银行存款”（CBOB，2019）。此外，为了实现更高价值的交易，正如上文所讨论的Bindseil（2020）“瀑布”概念所建议的那样，必须将Sand Dollar钱包链接到国内金融机构的存款账户，超额资产必须存入该账户。英国中央银行（2020）指出，如果用户可以通过多个支付服务提供商持有多个CBDC账户，则需要合并用户持有量以实施限额。为了实现金融普惠和为无银行账户服务的目标，Sand Dollar试点允许无需银行帐户即可拥有钱包，但功能较少。英国中央银行（2002）还建议，根据观察到的CBDC需求及其决定因素，限额可能会随时间变化。【30】

一些中央银行正在考虑引入具有离线功能的CBDC，以提供与现金一样的24/7可用性。当出现临时电力或基础设施中断，或覆盖没有网络接入的区域时，这将是有用的。离线功能是重要的考虑因素，因为任何数字系统，包括数字货币，都可能面临停机或灾难性事件。【31】这些设计包括可充值卡、基于快速响应（QR）码的预付卡和智能芯片钞票。【32】Sveriges Riksbank（2018）认为，基于集中式账本的CBDC可以通过“监管框架来定义不同代理商之间的风险分配方式，可以离线支付多少笔以及金额多少的监管框架”来提供离线功能。如果实体现金没有随着CBDC的引入而终止，那么这将是一种退路，尽管在这里讨论的危机之后，生产和分配现金可能同样具有挑战性。另外，在CBDC将推广的移动支付应用领域，人们可能不再持有现金。上面讨论的一些想法也可以缓解那些买不起必要硬件或互联网连接有限的人的问题，例如预付卡和可充值卡。

另一个关键的设计问题是CBDC是否可以自由兑换成其他形式的中央银行货币和银行存款。这一可兑换限制的目的是限制银行业潜在的脱媒风险，并确保中央银行和银行存款之间的对等性（见上文）。然而，按需可兑换很可能是一个关键的用户需求标准，对其进行限制违反了中央银行的核心原则（Bindseil，2020）。【33】此外，还有其他不太具侵入性的减轻脱媒风险的方法，如持有限额和/或分层再定价（见上文）。

在某些特殊情况下，CBDC可能对外国人开放。可以通过将钱包持有人限定为本国居民以此来阻止外国持有，并且可以在强KYC要求下强制执行。但是，可能有必要允许外国游客使用CBDC，以便他们可以向不接受现金或信用卡/借记卡的交易对手方支付。Sveriges Riksbank（2018）提出了为游客提供特殊钱包的想法，这些钱包的持有和/或充值限制符合该国金融诚信法规的最低要求。Bindseil（2020）认为离线储值卡可能就足够了。

然而，允许CBDC跨境使用会带来超出本文范围的复杂性。获得准备金货币CBDC是否有助于在机构和货币较弱的国家进行货币替代？在多大程度上可以鼓励避险资金流动，从而可能面临耗尽银行、主权或货币危机的国家的资源？最后，如果CBDC被用于跨境交易，中央银行将如何合作？它们会吸收代理银行的一些功能，从而承担额外的流动性、信贷和外汇汇率风险？还是会为特定的中央银行、商业银行或公司之间的跨境支付创建代币？这些都是具有深远影响的深刻而困难的问题，值得进一步研究。

E. 利息和交易费用

CBDC的利息支付可以用来调节需求（见上文）。此外，计息的CBDC将消除利率政策的有效下限，但仅限于对现金可用性的限制。由于纳税申报的要求，支付利息会对匿名性产生不利影响，并给利息计算带来操作上的挑战。在已知交易时间和利率的基于账本的系统中，这可能很简单，但如果允许离线对等交易，则可能并不总是随时可用，离线储值设备就是这种情况（Shah等人，2020）。

Shah等人（2020）提出了应对这些利息计算挑战的几种解决方案。交易时间可以根据用户设备的板载时钟确定，在设备连接到网络时更新利率，尽管这对于仅在充值时才连接的储值设备可能不起作用。另一方法是将设备上的允许金额上限设为不计算利息或需要偶尔连接到网络的金额。

为了使CBDC对支付服务提供商（PSP）具有成本效益，可能还需要交易费用。它们可以是固定金额、百分比或基于交易量的，并且可以根据交易类型或按交易量分层。例如，企业对企业（B2B）和个人对企业（P2B）交易可能比个人对个人（P2P）交易收取更高的费用。在乌克兰国家银行（2019）试点项目中，P2P交易是免费的，但PSP能够对P2B和B2B交易收取高达交易金额的1%，这略低于其他数字支付工具和支付卡的收费。此外，取消CBDC交易的交换费，同时降低/消除现金处理成本，将激励一些零售商鼓励消费者采用并使用CBDC作为更方便的支付工具，前提是放弃的成本不会转嫁给用户。【34】但是，利用税收收入为中央银行与私营银行的竞争提供资金，可能会在一些国家引发政治问题。此外，交易费用可以降低关闭系统的拒绝服务攻击的风险（Eyers，2019）【35】

即使没有立即需要承担CBDC利息或交易费用的需求，添加此类功能也可能是应急计划和设计灵活性中的谨慎部分。由于大规模采用CBDC产生的影响尚未得到检验，因此该功能将为中央银行提供工具，以便在意外后果和CBDC行为对中介产生负面影响的情况下使用。如果中央银行选择引入此功能，瑞典的eKrona将具有内置的支付利息的能力。【36】

CBDC的成本和费用也需要相对于中央银行的政策方法加以考虑。如果CBDC取代实物货币，印刷货币、维持其适用性、建造保险库和仓库、分配现金的费用将显著减少。然而，也会有一些费用需要通过收费来收回。【37】这些成本考虑因素与CBDC服务相关。例如，在一些国家，中央银行用于银行间资金转移系统运作的支出可能很大，需要通过适当的定价政策收回。虽然政策方法可能与采用最低限度的、竞争性的或公共服务的方法有所不同，但最好避免扭曲激励和资源分配不当的补贴（Khiaonarong，2003）。

F. 智能合约和可编程性

智能合约将传统合同的条款编码到计算机程序中并自动执行（BoE，2020，He等人的方框3，2017）。智能合约可以在任何技术堆栈之上进行编码，范围从简单到高度复杂的可执行命令。这些命令可能与值的自动传送或协议允许的任何其他条件功能有关。在基于分布式账本技术的平台上，智能合约原则上可以自动执行和自我执行，而不需要中介机构。BoE（2020）对该功能的几个潜在应用进行了分析，包括在销售点直接向税务机关缴纳营业税，以及与物理设备或物联网（IoT）应用程序的集成。【38】此外，智能合约还可用于根据特定人口或其他特征自动分配经济救济。

另一种可能性是，通过适当的设备管理控制，利用智能合约来确保钱包或销售点设备使用的是软件的最新版本，方法是阻止或限制交易或持有金额，直到完成更新。然而，智能合约会带来新的风险。Fan（2020）认为，智能合约可能会破坏CBDC的法定货币地位，并且在最坏的情况下，将CBDC简化为一种可协商的安全形式，可能会影响其自由可用性。此外，智能合约可能危及用户隐私，减慢货币流通速度，阻碍货币政策传导和宏观审慎政策的执行（Fan，2020）。

BoE（2020）讨论了在CBDC支付系统中实现智能合约的三种主要方法。第一个是在核心账本上构建可编程的货币功能。本文认为，这可能是必要的，以实现与可编程货币相关的全部利益，尽管它可能会损害账本的整体性能和可扩展性。第二种方法是在独立于核心账本的模块上运行智能合约，该模块将处理代码并在需要采取行动时指示核心账本，从而解决性能问题。这将需要仔细考虑诸如用户身份验证和控制此额外功能的过程等方面。第三种选择是将核心智能合约功能限制到使支付服务提供商能够向用户提供更完整的可编程功能范围所需的最低限度，中央银行为提供商之间的安全性和智能合约互操作性设定标准。

G. 技术选型和项目管理

应用选择和采购最佳做法将确保技术解决方案的充分性和稳健性。具有高影响和长期后果的大型技术项目通常由外部顾问管理，通常通过征求建议书（RFP）进行选择，以确保严格的项目管理原则。可能会发布另一份征求建议书，以确定最适合的技术服务合作伙伴。选择标准可能包括但不限于公司以往的经验、规模和财务实力、网络安全专业知识、实施网络和支持合作伙伴。如果中央银行不确定一家公司的技术解决方案是否充分，它可以决定首先根据中央银行的设计、风险和采用标准，通过一系列概念证明（POC）来评估这些解决方案。【39】

在全面实施之前，进行试点以测试公众接受度、影响和用例是CBDC项目成功的关键因素。在选择了技术解决方案和供应商公司之后，中央银行通常会通过试点项目来探索CBDC在现实生活中是如何运作的。在受控环境中探索CBDC的效果可以帮助中央银行探索CBDC用例，并测试公众接受度和影响。基于试验期间获得的数据和知识。与其在一个试点项目中测试所有CBDC功能和设计特性，不如将它们分成多个不同的程序。例如，一个试点可以测试网络安全弹性，而其他试点可以检查金融诚信和金融稳定的影响。确定成功标准、关键绩效指标和预期结果有助于各国中央银行了解试验设计本身或结果本身是否需要重新调整。试点还可以帮助告知真正的实施和维护成本。在实验前设计一个具有明确定义的目标变量和频率的数据收集框架，有助于中央银行评估政策成果的实现。【40】可以考虑由第三方进行独立分析和评估以获得公正的分析。

中央银行可从引进和测试应急和业务连续性计划中获益，这些计划将在业务严重中断、金融系统不稳定或无法满足监管要求的情况下支持试点。为了缩短危机应对时间，帮助减少不确定性，中央银行可以考虑运行危机情景规划和制定危机行动手册，特别是让CBDC参与进来。这将增加中央银行应对预期和意外情况的灵活性，如技术故障、网络漏洞、滥用以及可能违反金融诚信标准的行为。此外，运行CBDC危机情景将使中央银行工作人员对新出现的风险保持敏感，这些风险可能会缩短应对此类风险的响应时间。

项目的全面实施可以从敏捷的迭代方法中获益。这种方法的主要好处是能够解决出现的差距和不足，并能够快速检验假设并做出相应的反应。项目团队或项目管理合作伙伴可以应用敏捷和设计思维方法，允许在代表性关键项目利益相关者（包括最终用户）的参与和反馈下，以增量和迭代方式开发CBDC（Naybour，2015）。将最终用户包括在CBDC开发中可以提高可用性，这将有助于促进用户采用并建立信任。最大限度的利用用户对于任何CBDC的成功都是至关重要的，特别是要促进金融普惠并建立对公共机构信心不足的国家的信任。

除了以用户为中心的方法之外，CBDC的发布还需要精心设计的公共教育活动、变革管理计划和沟通策略。理想情况下，公共外联工作将包括中央银行、其他相关公共机构、金融部门代表、商户和普通公众。这项运动可以像那些用于引进新货币的运动，例如随着加入欧洲货币联盟而在东欧引入欧元。例如，启动钱包，如欧元推出时推出的欧元启动包。强有力的变革管理和沟通战略是必要的，将支持货币在普通民众中的采用。

5法律、治理和监管方面视角

本节将讨论中央银行在考虑CBDC时面临的法律、治理和监管方面的挑战。为了发行CBDC，一些国家可能需要修改他们的法律框架，包括与法定货币、中央银行治理、内部组织和风险管理有关的问题。正如Lönnberg(2013)所言:“加强中央银行的机构能力，确保其拥有所需的资源，是货币改革的关键前提。”“有关面向用户的金融机构(如数字钱包提供商和其他第三方)的规定可能需要修改。”CBDC的法律框架包括确定该体系中各方权利和义务的法律主体。法律框架包括影响支付系统的一般适用法律(财产和合同、银行和金融、破产、信贷和担保、电子文件和数字签名)，以及特定于支付系统的法律(支付工具，包括货币、汇票、支票、电子支付)(BIS, 2006)。【41】

A. 中央银行立法和法定货币

需要仔细审查中央银行的法律框架，以评估发行CBDC的可能性和局限性。管理中央银行的立法构成了中央银行运作的框架，包括宪法、中央银行法以及刑法、银行/金融机构法、消费者保护法、金融真实性法规和预算法。

各国中央银行将需要评估其法律框架允许CBDC发行的程度和条件。相关方面直接涉及纸币(和硬币)作为法定货币的指定、中央银行的现金管理功能和会计要求(例如，国际财务报告标准或当地普遍接受的会计原则)。间接法律方面可包括采购要求、数据安全、外部审计/监督、就具体问题与政府协商的必要性和/或政府向中央银行发出指示的权利(表2列出了需要处理问题的结构清单)。

CBDC要成为法定货币可能需要立法上的改变(Mancini-Griffoli等人，2018)。法定货币的定义通常适用于中央银行发行的纸币和硬币，不同司法管辖区的定义略有不同。例如，债权人在所有司法管辖区并无义务接受法定货币付款。货币的法律概念与主权建立中央发行纸币和硬币的法律框架的权力有关(He等人，2016)。货币是指法律规定的以该计算单位为参照的计算单位和交换媒介。从严格意义上说，货币是指由中央当局(例如某些司法管辖区的中央银行或财政部)发行的纸币和硬币，这些中央当局拥有独家发行纸币和硬币的权利。根据国家的法律框架，货币具有法定货币的地位，债务人一般有权在有关管辖范围内通过强制接受货币来解除货币债务。【42】因此，主权货币的价值和信誉与国家支持该货币的能力有着内在的联系。

货币的法律概念也是基于国家调节货币体系的权力。作为一个法律问题，货币的概念比法定货币的概念更广泛，不仅包括纸币和硬币，还包括某些类型的资产或工具，可以随时转换为这些纸币和硬币(例如活期存款)。虽然货币可以由私营机构(例如，银行)和中央银行创造，但它通常必须以主权当局发行的法定货币计价，并且必须作为该国家内普遍接受的交换媒介(Procter，2012)。

法定货币的概念给中央银行带来了两个相关的问题。首先，将法定货币的这一定义应用于零售CBDC是中央银行需要进一步研究的具体问题。例如,如果零售CBDC将以现有的本国货币计价(目前瑞典试点项目“e-Krona”),这可能并不意味着该零售CBDC作为瑞典法定货币会产生任何后果(也就是说,从创造的那一刻起,零售CBDC将成为法定货币)【43】。例如，如果零售CBDC以除国家规定的法偿性货币之外的任何其他货币计价，中央银行将需要确定这是否需要更改名称。

此外，“法定货币”的概念本身可能需要进一步审查。一些中央银行，如瑞典中央银行，正建议重新审视这一概念本身:在数字化经济中，“法定货币”意味着什么，并要求可能对《中央银行法》进行法律修订(瑞典中央银行，2019)。因此，中央银行还应考虑审查现行关于法定货币的法律规定是否会或应该包括可能的零售CBDC计划。

表2：CBDC法律框架分析

问题	例子	批注
国内有哪些相关法律法规?	宪法、中央银行法(及中央银行章程和/或法规)、银行法、刑法、预算法、税法、金融真实性法规等。	确保对相关立法有完整的了解，包括可能的修订
CBDC的具体法律要求和限制是什么?	货币政策工具、支付系统方面、现金货币管理要求、财务监督工具、会计要求、政府咨询要求以及内部组织要求(如采购、数据安全、外部审计)。	确保全面了解具体的法律要求和限制、它们之间的相互作用以及可能的司法解释。
在法律考虑中需要捕捉哪些潜在需求?	来自政府和公共部门(金融、经济、电信、税务、警察、金融情报单位以及总检察长)的意见;行业咨询:商业部门(银行、保险、养老基金、货币兑换商代表、商会、电信运营商、其他金融科技公司)。	确保对相关利益方对可能的CBDC法律考虑的观点输入接近完整。
在现行法律框架内，CBDC的局限性是什么?	在现有法律框架内，对CBDC的范围、性质和意图提供差距分析，如果有的话，确定哪些法律变更是必要的	在现行法律框架下，对发行CBDC进行可行性分析。
来源：作者

B. 中央银行治理和风险管理

中央银行在审查发行CBDC的利弊时，正在考虑他们的治理、内部组织和风险管理。CBDC将要求委员会和业务层面的工作人员明确了解与CBDC初步考虑有关的关键问题，并在做出发布CBDC的决定后予以执行。这些可能包括:

• CBDC目标(见第三节);

• 与CBDC在政府政策中的地位有关的政策后果 (比如与非现金社会相关的政策);或者，由于在大多数情况下现金仍将存在，涉及到实体货币和数字货币的共存;以及对流动性管理和经营性现金货币管理的影响;

• 技术需求；

• 对内部组织(如能力和专业技能开发)、风险管理(第三方参与/采购和外包风险、网络安全、中央银行其他运营、法律和声誉风险)、数据收集和管理的影响;

• 透明度和责任要求，例如，有关内部审计结果，会计机制，内部和外部沟通。

关于CBDC会计，可能需要进一步明晰。例如，2018年7月，国际会计准则理事会(IASB)发布了一份关于数字货币的工作报告(IASB, 2018)。在报告中，IASB探索了与数字货币相关的各种会计选择。报告指出，数字货币是：（i）不是国际会计准则（IAS）7规定的现金，因为它们不是真实的交换手段，也不是由中央银行发行的–请注意，对于CBDC，这可能有所不同;（ii）鉴于没有合同关系，因此不是IAS32下的金融工具；（iii）根据IAS38可能是无形资产，因为可以将其视为没有实物的可辨认非货币资产。下表3提供了要解决的问题的结构化列表。下表3提供了有待解决的问题的结构化清单。

需要对中央银行进行综合风险管理分析，以评估中央银行在探索CBDC时可能面临的风险。如第六节所述，CBDC相关的网络安全问题会给中央银行带来操作风险。然而，中央银行也可能面临战略和政策风险，以及各种运营风险——包括与欺诈或项目管理不当、外包/第三方风险(当涉及云计算解决方案时)、法律风险、制度文化、治理和决策风险有关的风险。这还可能包括中央银行关键决策者和/或工作人员缺乏技能、专业知识和了解【44】。

政策(或战略)风险来自中央银行活跃的关键领域，如与货币政策相关的风险。随着中央银行职权的扩大，这也可能涉及到与其他领域的政策制定有关的风险，尤其是金融稳定(宏观审慎监管、微观审慎监管、ELA/LOLR和解决方案)。它还可能包括与金融诚信、金融包容性、消费者保护以及中央银行的其他可能目标相关的问题。金融科技也越来越多地在中央银行授权的背景下被讨论。【45】根据国际清算银行(BIS)，大多数中央银行至少将货币政策风险视为货币政策委员会决策过程的一部分(BIS,2009)。一些中央银行在其一般风险管理中包括政策风险管理，其工作理念是中央银行的所有风险都应该从一个单一的框架来处理。中央银行特别注意与货币政策操作有关的风险，在贷款给商业银行时，对担保品实行严格的风险控制标准。

透明度也是CBDC政策的一个重要组成部分。鉴于上述中央银行权限的扩大，中央银行政策和行动的透明度是必要的。这也适用于金融技术相关的活动，包括任何CBDC相关政策。考虑到议题的广度和可能扩展到的中央银行领域，缺乏透明度将给中央银行带来政策风险。国际货币基金组织已经开始制定中央银行透明度准则，该准则将涵盖“自全球金融危机以来许多中央银行开展的更广泛的活动”(IMF，2019)。

与CBDC相关的政策风险的一个例子可以在金融市场基础设施(FMIs)中找到【46】。FMIs在一个国家的整个金融体系中发挥着重要的作用。《2012年CPMI金融市场基础设施(PFMIs)原则》的起草正是为了帮助识别和减轻与FMIs系统性相关的风险。FMIs“促进了货币和其他金融交易的清算、结算和记录，[这]可以加强它们所服务的市场，并在促进金融稳定方面发挥关键作用。”鉴于这一角色，它们还可能“对金融体系构成重大风险，并成为潜在的危机蔓延源头，尤其是在市场承压时期。”(BIS, 2012)

除了政策风险，CBDC还可能导致重大的操作风险。Alwazir 和Khan 2020更详细地探讨了中央银行可能面临的金融技术相关风险，包括选定的中央银行如何试图在其内部组织中降低这些风险的例子。除了与政策相关的风险(如上文提到的FMI的例子)和金融风险外，中央银行还将主要承担与外包/第三方参与相关的操作风险、一般的IT基础设施、网络安全以及与法律相关的风险，即、所有权和责任。正如英国中央银行(2020)所指出的:“在欺诈性付款的情况下，应该有明确的政策规定谁应该负责赔偿。”下面的图6提供了考虑CBDC的中央银行风险领域的示意图概述。

C. 监管注意事项和先决条件

需要确定CBDC设计是否可以被定性为一种支付系统，如果可以，它是否具有系统重要性。如果该设计具有“一套在参与者之间转移资金的工具、程序和规则，包括参与者和机构都可以操作该设计”的特点，它可以被称为一种支付系统(BIS, 2012)。考虑到其在金融体系中可能扮演的角色，确定其系统重要性也将至关重要。关键标准可以像私营支付系统一样，包括处理交易的数量和价值、参与者的数量和类型、服务的市场、互联性和任何可用的替代方案。然而，鉴于公众对CBDC的高期望，CBDC的设计很可能被视为具有系统重要性，无论其目前和潜在的规模大小。因此，一旦CBDC被确定为是具有系统重要性的支付系统，那么它就应该受到更严格的监管和监督，就像中央银行运营的FMI一样。虽然系统重要性主要集中在大额支付系统，但零售支付系统可能也属于这一类。这也与CBDC的设计有关。

表3：CBDC 中央银行内部组织分析

问题	例子	批注
中央银行CBDC的目标和/或功能是什么?	例如，支付体系稳定、价格稳定、金融稳定(宏观审慎监管、微观审慎监管、ELA/LOLR、解决方案)、金融真实性、金融普惠、消费者保护、经济增长。与中央银行战略计划可能性的关联/交互。	CBDC可以服务于中央银行的多个目标。然而，像现有的中央银行工具一样，中央银行需要意识到和平衡目标之间的潜在冲突，才因此需要使用CBDC。
CBDC的技术要求是什么?	例如，对建立和发布CBDC的现有基础设施和技术要求以及局限性进行差距分析。见前面关于技术基础设施和网络安全的小节。	应从风险角度和财政角度评估确定的技术限制(见下一点)，以确保对中央银行可以探索的CBDC可能性有一个现实的概述。
组织的内部要求是什么?	如专业知识的积累和人员培训、风险管理(第三方参与/采购和外包风险、合同安排、网络安全等中央银行运营、法律和声誉风险)、预算要求和限制、数据收集和数据管理要求等。	对内部组织需求的完整概述(也可以部分基于内部和外部审计结果，以及内部和外部组织评估)将有助于确定构建和发布CBDC的相关问题。
如何建立CBDC的透明性和问责制？	例如，内部审计发现，会计机制，内部和外部沟通。	中央银行在CBDC开发方面的透明度将允许对其利益相关者(议会/社会)进行适当的问责，这反过来可能导致加强/明晰中央银行的授权和法律框架(见前小节)。
来源：作者

已被定义为支付系统的CBDC设计也需要遵守安全和效率的公共政策目标。CPSS/IOSCO PFMIs建立了旨在提高支付、清算、结算和记录安排的安全性和效率的原则，更广义地，限制系统风险和促进透明度和金融稳定(BIS, 2012)。支付系统有18条适用原则【47】。PFMIs还为当局规定了五项主要责任，中央银行的监督和CBDC设计的操作责任应引起当局的注意【48】。

图6：CBDC风险环境

监管考虑

考虑通过试点项目或监管沙盒逐步发展CBDC，将有助于当局了解收益和风险，并帮助建立内部能力。他们可能需要雇佣和留住相关领域的专家，比如运营、网络、支付和结算风险。中央银行和金融部门的监管机构应该跟上新技术和风险的步伐。试点和沙箱将在间接运营模式中最为相关，以确保立法、法规和监督涵盖新的活动和机构(例如，大型科技公司)。

CBDC用户可能面临第三方参与的额外风险，如分销商、交易所和钱包服务提供商的违约风险。分销商和交易所接受客户的法定货币，并提供CBDC作为交换。钱包服务提供商可能持有客户的私钥，并可能将客户的CBDC与自己的资产混合在一起。因此，根据实现模型的不同，终端用户可能会面临分销商和交易所的违约风险。现有的金融监管和监督，如电子货币监管，已经解决了法定货币的风险(如钱包服务提供商破产时的资产混合等)。如果CBDC相关实体的这些风险不能通过金融监管得到充分解决，CBDC的适应可能只局限于小额控股和交易，以避免其服务提供商违约的风险

CBDC的安排还需要管理关键第三方服务提供商(CSPs)带来的潜在风险。这样的CSP对FMI的运作功能至关重要，通常包括信息技术和消息传递提供商。由于CBDC的安排可能依赖于专门的软件供应商(用于软件开发和维护)和云服务供应商，因此需要管理相关的风险。当局的CSP在PFMI关注的5个主要领域内监督预期，包括风险识别和管理、信息安全、可靠性和弹性、技术规划和与用户的沟通(BIS, 2012)。在适用的法律框架允许的情况下，FMI的监管者、监督者或监督者可以选择根据这些预期对FMI的CSP进行评估，以促进其稳健性(BIS,2014)。

涉及创建数字代币来结算零售交易的CBDC安排，也将引发与结算批发交易类似的问题。尽管它们的分类不同，但它们的设计选择可能对安排的安全和效率产生影响。这包括可用性、发行和赎回过程、访问、基础资产/资金和索赔、转移机制、隐私和法规遵从性，以及互操作性(BIS, 2019)。以前存在的传统支付、清算和结算安排的强大法律基础可能也不一定明确地延伸到CBDC安排，需要覆盖更广泛的法律确定性来减轻潜在风险。因此，如果CBDC安排被确定为一个支付系统，并被认为具有系统重要性，它将被期待观察PFMI。此外，开发商可以考虑在设计CBDC安排时更符合国际标准。

更普遍的是，为了获得终端用户的信任，需要对参与的第三方进行适当的监管和监督。最近国际货币基金组织金融科技关于加密资产监管和监督的报告讨论了私营加密资产监管框架，包括如何监管私营加密资产的提供、交易和托管(Cuervo等，2019)。虽然CBDC在市场风险等方面比私有加密资产要低，但在其他方面的风险可能是相似的，比如服务提供商的运营风险和违约风险。许多国家现有的货币条例也将为与CBDC合作的实体的适当条例提供有用的参考。对参与第三方进行适当的监管和监督，有利于CBDC生态系统的社会信任实现。此外，CBDC本身(如重要的产品特性)的透明度也很重要，特别是在可能对用户征收费用或负利率的情况下。

6网络安全注意事项

不断变化的复杂网络安全威胁在不同的组件或级别危及CBDC，为恶意用户带来丰厚的回报。网络安全对任何支付基础设施都是一个持续且重大的风险(BIS, 2016)。这就强调了中央银行设计、建设和运行一个安全、有弹性的CBDC生态系统的重要性。这将要求中央银行专注于两个主要的信息技术(IT)安全组成部分:

• 审查并加强中央银行的IT运营弹性及安全状况。主要组件是中央银行内部IT流程、技术和技能，用以维持中央银行网络、集成系统、应用程序和数据的最高级别保障。内部IT流程应与最佳实践相保持一致(例如，美国国土安全部，2016年)，并强化安全运营中心等关键角色，无论是由中央银行内部运营还是委托第三方运营。

• 加强围绕CBDC组件的设计、实施和部署的安全活动以及影响整个CBDC生态系统的安全决策 (见下文)。

下面介绍一种加强CBDC设计、实现和部署的典型双层方法。每一层都需要适当的安全控制和实践。主要目标是按照“深入防御”的方式设计CBDC，并在项目的初始阶段而不是后期阶段考虑安全性。

• 业务和流程层。该层依赖于早期的决策和中央银行的安全工作实践来管理人员、流程和技术。该层的安全性只能与上述中央银行的操作弹性和安全态势相匹配。目标是能够持续降低风险，如弱访问模型、特权升级【49】、滥用特权功能、过度许可、缺乏对源代码的保护、数字货币发行或停用过程中的缺陷。中央银行最好通过专门的独立第三方来验证其运作弹性和安全态势。附录2更详细地讨论了这些层的一些关注点。

• 基础设施和应用层。该层可以利用已建立的框架，如开放系统互连(OSI, 1994)模型，以正确的粒度级别执行威胁建模和架构风险分析。ITU(2019)引入了一个有用的统一安全模型(USM)来连接目标和相应的威胁，以确定一组特定的保护方案。像OSI或USM这样的模型，有时一起使用，可以帮助执行系统安全威胁建模，显著减少在CBDC的基础设施和应用层漏掉重要风险的机会(图7)

与任何易受恶意或非恶意事件影响的关键系统一样，在设计阶段实施了严格的安全活动和适当的预防控制(NIST, 2020)。这些安全威胁预防包括(i) CBDC架构风险分析，以识别任何安全设计缺陷，包括智能合同设计和与CBDC账本集成，无论基于DLT还是非DLT;(ii)安全威胁建模的设计、集成和数据流，以确定总体CBDC目标、威胁和对策;(iii)手动和自动安全代码审核，以验证CBDC的关键组件(包括智能合约)，并识别和补救源代码中的任何漏洞;(iv)手动和自动渗透测试，以检查暴露的组件，达到CBDC生态系统的最高水平的保证。这些活动应由独立的网络安全保障专家进行，并应定期重复进行，以保持整个CBDC生态系统的最高保障水平(附录2)。

图7：OSI威胁，目标，防御模型

数据来源：ITU, 2019

7结论和总结

随着新型数字货币的出现，各国中央银行已开始探索CBDC零售发行。在一些经济体，零售CBDC有望成为解决现金使用减少问题的工具，而其他经济体则寻求创新方法来扩大金融包容性。CBDC发行的根本原因可能因中央银行的授权、宏观金融环境或市场和监管环境而异。

基于对已发表研究的全面调查，本文旨在为决策者提供一个结构化的框架来组织CBDC发行决策。这些决策范围从是否发行以及在何种情况下发行，到选择正确的运营模式、设计特征和项目管理方法，最后是对网络安全风险以及监管和法律框架考虑因素的整体讨论。需要承认的是没有适中的方案，因为各国中央银行可能处于CBDC思考的不同阶段，或者可能从不同角度处理这个问题。

决策的过程始于彻底理解要解决的问题和整套解决方案。在某些情况下，快速支付的部署可以增强对基本支付系统的控制，而无需发行CBDC。另一方面，扩大金融包容性或应对日益减少的现金使用，可能是发行CBDC令人信服的理由。不过，其他原因也可能包括推动移动货币或鼓励私营金融机构改善其产品供应。零售CBDC发行的可靠用例和发行的基本原理是至关重要的，因为它将展现设计和实现过程。

就技术开发最佳实践而言，敏捷的项目管理方法可以优化开发成本，降低项目风险，并促进用户的逐步采用和信任。敏捷方法的迭代特性将支持非线性的决策流程，并确保设计或实现中的任何缺陷或缺口能够立即得到解决。让关键的利益相关方(如终端用户)参与到实现过程中，将确保CBDC的可用性，并有助于建立信任和采用。

操作模式决定了中央银行在CBDC分销和用户参与方面的实际参与程度。例如，一种基于单层直接访问账户的方法将让用户直接在中央银行持有账户，中央银行还提供和管理用户的数字钱包。在双层间接方式下，中央银行将发行CBDC，但私营机构将执行管理账户和提供用户支付服务的工作，或许可以减轻金融脱媒风险。根据sCBDC方案，CBDC的发行实际上是外包给私营数字货币发行者，让他们获得中央银行储备，以换取接受中央银行或其他当局的严格监督。

设计特性取决于CBDC的政策目标和国家情况，而关键设计原则是基础和独立的。网络安全、以用户为中心、灵活性和金融诚信等关键设计原则为特定设计特性提供了基础，这些特性包括技术平台、透明度、可用性、使用限制、是否需要支付利息和使用费。

网络风险管理能力在数字货币世界中变得至关重要。它涵盖了业务和/或基础设施层，每个层都需要独特和适当的安全控制和实践，以减少恶意攻击和破坏。业务层风险围绕人员、流程和技术，而基础设施层风险与高级威胁建模和体系结构风险分析有关。是否将CBDC网络的运行外包给第三方云提供商，以及如何管理相关风险是重要的决策。

法律、治理、内部组织和风险管理问题都是关键的约束和决策因素。CBDC是否属于现行法定货币的定义，现行立法是否允许中央银行发行CBDC和/或它是否限制了设计选择?在中央银行的货币管理权限和职能范围内，CBDC的发行是否可行?还需要考虑相关的会计标准和间接法律方面，如获取、数据安全和外部审计要求，以及内部治理和能力、透明度和问责要求。

中央银行发行CBDC的决定，以及如果发行要如何发行，涉及政策考虑和风险、产品设计、网络安全、运营、技术、法律和监管要求的整体评估。这些可选择方案可以在封闭和可控的环境中进行测试，例如使用敏捷方法的创新中心或监管沙盒，以帮助获得对选择可能带来的影响和风险的更实际的理解。这种方法还将有助于增强中央银行工作人员的能力。

表4概述了上面列出的零售CBDC考虑因素，包括货币基金组织技术支持的可能组成部分：

表4：零售CBDC实施的注意事项总结

	考量	描述	技术支持组件
1	目标	中央银行定义零售CBDC的需求和问题，以及所有可能的(其他)解决方案。中央银行评估现金和非现金的使用和趋势	政策框架、中央银行法、支付和金融市场基础设施
2	实现与基础设施	中央银行定义项目管理方法，并涉及关键利益相关方。中央银行根据政策目标(第一点)和国家情况评估CBDC的设计特点，包括网络安全、用户中心、灵活性和金融诚信等方面。	中央银行网络安全支付和金融市场基础设施
3	法律框架	中央银行确定法律框架的约束，包括法定货币的定义	中央银行法
4	治理、组织、风险管理	中央银行识别与CBDC相关的决策结构、组织结构(包括创新中心和/或沙盒)和运营风险(包括外包/云计算)。	中央银行治理、组织、风险管理、会计、内部审计
来源：作者

8

附录

1. 已发布零售型CBDC的国家【50】

正在开发零售CBDC的辖区(截至2020年5月27日)
哪些国家的中央银行处于零售CBDC探索的后期阶段
巴哈马 (试点启动)	瑞典(PoC启动)
中国 (试点启动)	乌克兰（试点完成）
东加勒比(试点启动)	乌拉圭（试点完成）
南非
已有探索或正在探索发行零售CBDC的中央银行
澳大利亚	牙买加
巴西	日本
加拿大	韩国（PoC启动）
智利	毛里求斯
荷兰	摩洛哥
丹麦	新西兰
厄瓜多尔（已完成试点&项目中止）	挪威
欧洲地区	俄罗斯
芬兰	瑞士
加纳	特立尼达和多巴哥
香港	突尼斯
冰岛	土耳其
印度	英国
印度尼西亚	美国
以色列
中央银行已经或正在探索发行零售CBDC(未经证实)
巴林	黎巴嫩
埃及	巴基斯坦
海地	巴勒斯坦
伊朗	菲律宾
哈萨克斯坦	卢旺达
来源:中央银行或各种新闻来源的超链接。斜体的条目来源于新闻，这一消息尚未通过官方渠道得到证实。

2. 流程、角色和职责

CBDC的生命周期可能至少部分类似于实物现金的生命周期(见图)。在实物版本中，周期的第一部分是基于相关经济数据(包括周期性需求)预测现金货币的需求。例如，这些因素可能与国家假日、合理的可预测冲击(如恶劣天气甚至自然灾害)以及农业周期有关。这对那些农业仍主要基于现金的国家尤其重要。

纸币的设计需要考虑光学和安全相关的特点。根据预测，周期的第二部分是设计纸币和/或硬币。这包括光学设计(通常反映国家身份标志)以及防止或限制伪造的安全问题。乌拉圭e-Peso数字钞票的设计包含了一个序列号，这样就可以通过钱包追踪到特定用户。

CBDC是通过数据库中的一个条目或通过CBDC对应创建的代币而创建的法定货币的数字表示形式，有点像铸造硬币和印刷纸币。CBDC的创建可以由金融管理局完成，也可以像实物货币一样，在充分治理和网络安全措施后进行外包。大多数中央银行试点都将这一步骤外包出去，尽管这需要中央银行识别、减轻和监控一些操作风险(见V.B)。创建过程完成后，金融管理局将发行CBDC。由于创造的过程几乎是瞬间的，发行和创造可以联系起来。虽然铸币可以外包，但发行仍将是金融管理局的特权(见V.A.)。

独立于运作模式之外，应彻底分析登记和身份查验程序、责任和成本。采用直通式流程仍难以实施，例如，ECCB试点就依赖双层体系来降低成本和风险。乌拉圭e-Peso试点项目将符合识别要求的规定完全外包给面向用户的支付系统供应商。中央银行可以利用一些数字身份解决方案来加强在CBDC背景下实施身份识别要求。

各国中央银行需要讨论在哪些情况下，CBDC循环的最后两个可能步骤需要失效和销毁(见上图)。例如，法院禁令或可疑活动可能需要暂时停用CBDC用户帐户或代币，以后可以重新激活这些帐户或代币，而不必进行销毁或重造。应当指出，出于财务完整性的目的，一些冻结措施可以是强制性的和(或)永久性的【51】。

预测可能性的破坏可以支持CBDC更深远的改变。一个涉及CBDC技术改变的例子是如果该技术过时就需要替换。另一个类似的例子可能发生在具有专有技术的第三方提供商损害CBDC的安全性或健壮性时，这将需要切换合作伙伴。在这两种情况下，CBDC销毁的可预测流程有助于确保业务连续性和应对意外挑战。这可以通过一个状态指示器在数据库级别实现，或者在基于DLT的系统环境中，销毁也可以通过将CBDCs传输到一个没有人拥有私钥的钱包中，因此不可能将它们转移出去。

3. 另外的网络安全考虑

业务和流程层

业务层中的安全风险会导致漏洞和设计缺陷，从而导致安全漏洞和信任的丧失。主要关注问题包括。为了降低这种风险，参与者——业务和IT——需要分析每个流程/用例，以深度防御的心态设计CBDC生态系统;同时精确地定义每个参与者的角色和活动，并相应地应用安全方法，如最低权限和最基本需要知道的内容。如果设计不当，零售CBDC的广泛可用性使其更容易被滥用后端系统的特权访问。

CBDC平台的开发、更新和维护过程包含一组不同的安全问题。如果未能保护和监视源代码，可能会导致恶意代码注入到CBDC系统的后端或接口中【52】。必须监测和保护后端和接口应用程序的源代码，并通过适当的过程和安全控制限制访问和修改。此外，在集成之前和应用更新之前，应该系统地检查第三方库是否存在恶意代码或漏洞。

网络主权风险也应在设计和规划阶段考虑，因为整个国家的IT基础设施可能会受到外部行为者的攻击和破坏;因此，任何CBDC都可能崩溃或部分功能失调。

基础设施和应用层

CBDC网络、服务器、数据库和数据应该部署在自己的数据中心还是云/第三方提供商的网络中是关键决策。对于外部托管的CBDC模型，必须围绕一些特定模型的安全风险来规划和设计CBDC。例如，内部威胁对两种部署方法来说都是具有风险的，但在外部托管的CBDC中可能更突出【53】。

在CBDC的设计和规划阶段也应考虑数据主权问题。这是因为，外国云服务提供商处理/存储的敏感、甚至可能是个人数据，最终很可能会落到中央银行管辖范围外。因此，这些数据可能受制于其他国家的法律和法律管辖权，也可能在不经发行中央银行批准或知情的情况下被传唤和披露给其他政府。

云托管的CBDC可能会遭受云提供商的系统、服务和网络组件中的共享漏洞。这些共享的漏洞会严重破坏账簿的完整性，并可能导致CBDC中断或盗窃。一个突出的例子是Cloudflare在2017年发现的Cloudbleed漏洞（Cloudflare是一个广泛使用的云提供商）(Prince, 2017)。Cloudbleed影响了许多客户，对Cloudflare的客户及其敏感数据构成了严重的安全风险。

不管托管模型是什么，CBDC的物理层都可能遭受硬件漏洞。虽然硬件漏洞很少发生;他们往往是严重的，修复非常困难和昂贵。最近在2018年初发现的例子是英特尔x86微处理器的熔断和幽灵漏洞(Schneier, 2018a)。

应用层是大多数数字货币功能和处理发生的地方。CBDC的安全关注点集中在暴露的组件，如网站或web服务等。这些接口是恶意用户的目标，特别是管理接口和特权接口。比特币中心(BitcoinCentral)报告称，他们的网站界面出现了漏洞，恶意用户可以重置其托管提供商的特权账户密码，并将交易锁定在他们的网站之外(Bradbury，2013)。

CBDC存储/备份和访问加密密钥，或身份验证/授权秘密，是攻击者的目标。最近报道的大多数数字货币交换入侵是由于私钥的不当存储和处理以及糟糕的系统设计。在2018年Coincheck泄露事件中，不当的私钥安全处理导致超过4亿美元的损失(路透社，2018)。通过强调在CBDC设计阶段正确处理加密密钥，并就如何保护和访问其加密密钥或身份验证/授权秘密向终端用户提供适当的指导，可以减轻此类泄露的风险。

量子计算是一个不断发展的领域，可能对加密技术构成直接威胁。【54】然而，非对称加密算法的威胁更为突出，而非对称加密算法是基于DLT平台的认证和授权的核心组件(Schneier, 2018b)。虽然量子计算还处于早期阶段，但发展迅速，所以基于DLT平台的加密算法应该考虑到未来的灵活性，以应对量子计算成为威胁的情况。开发“后量子”或“量子安全”密码算法的研究项目已经开始。美国国家标准与技术协会(NIST)已经从69名候选人中选出26名进入半决赛;评选预计将在2024年进行(NIST,2019)。

4. 区块链入门

区块链描述了计算机化账本的格式，其中有效的交易被组织成块。这些区块以密码方式以时间链的形式相互连接，以确保即使在参与者彼此不认识的环境中也是完整的（Mills等人，2016年）。只有新的块可以添加到链中，并且当添加了已验证的块时，不能更改或删除它，从而使链不可变。交易通过参与者网络实时广播，这就不需要进行对账或中介。这可以减少结算时间、降低后台成本和安全数据传输（Casey，2018）。

广义地说，区块链网络可以分为两个维度：谁可以访问网络，谁验证交易。

• 在公有链上，网络的访问和交互是不受限制的，其参与者的身份是半匿名的。（尽管未披露网络参与者的身份，但可以根据参与者的互联网协议（IP）地址、位置和其他识别元数据来确定。【55】）另一方面，联盟链访问仅授予选定的参与者。私有链保留对一个实体的写入权限，尽管读权限可能更开放。

• 在公有链中，任何人都可以参与验证交易，而不是在许可链中只有选定的参与者。验证是确保所有参与节点【56】同步的过程，并且在添加的事务块的合法性上达成一致。添加每个新块之后必须达成共识，只有在此之后，该块才能被视为不可变的。根据设计，这可能导致最终不确定性的同时（英国2016；米尔斯等人，2016；欧洲央行2016；德勤2016）。

网络越受限制（私有的，许可的）就越像传统的集中式系统。在无权限网络和许可网络之间的选择围绕着在网络参与者之间创建信任的能力和扩展能力。

• 无许可平台提供了完全去中介化的机会，但是通过加密验证和同步在网络参与者之间建立信任需要很高的计算能力。增加的计算能力转化为更高的能耗和更低的吞吐量，这抑制了扩展能力。

• 许可的平台基于相对简单的共识机制，因为只有经过批准的参与者才能更新账本。但是，与无许可的平台相比，它们更容易受到网络攻击，因为只有一个受信任的节点才能让网络瘫痪。同样，中央机构必须确定要使用哪个共识，有多少个节点应该参与网络，以及谁授权新节点。此外，还必须有人（确定并验证）网络安全要求，并决定何时升级和验证代码。

共识机制的类型将取决于是否选择许可或无许可的区块链平台。

• 拜占庭容错（PBFT）是最流行的许可区块链共识协议。它可以在系统中存在恶意节点失败或向网络传播错误信息的情况下，就交易的有效性达成共识。协商一致的决定是根据所有参与节点提交的多数票决定的。其目标是通过减少恶意节点的恶意活动来防御系统故障，这些恶意活动旨在阻碍网络的正常运行。然而，由于不存在匿名性，PBFT协议只适用于许可的区块链。

• 工作量证明（PoW）协议是比特币等无许可区块链中最常见的共识机制。“矿工”竞相解决一个密码难题，为链添加下一个块。第一个解决这个难题的矿工，以新铸造的加密资产的形式获得交易费和奖励。这种共识机制需要大量的能源消耗。另一个挑战是交易确认（“终局性”）所需的时间很长，对于比特币来说，最长可达60分钟。

• 权益证明（PoS）共识机制是为公共区块链设计的，旨在克服PoW的挑战，特别是在高能耗方面。矿工们从一开始就购买币中的股份，而不是通过其计算能力进行竞争。被选择来验证下一个区块的可能性取决于风险硬币的数量。验证节点会收取处理费，但不会创建新币。尽管PoS更具能源效率，并且具有更好的终局性，但是只有最高风险的节点才可以控制共识。这可能导致共识权力的集中化，从而加剧参与者之间的不平等并使网络暴露于漏洞中-一个拥有足够利益的单个恶意节点仅需使用财务手段就可能破坏网络（Jenks，2018）。

中央银行已经在支付和结算系统上测试了多个分布式账本技术批发CBDC实现（见表）。【57】主要的分布式账本技术实现是Hyperledger Fabric、Quorum和R3 Corda。与比特币、以太坊等公共平台相比，它们面向金融服务或跨行业使用，具有交易保密性、高可扩展性和治理性等特点，其中主要区别在于数据隐私、智能合约语言的实现，共识规则和跨账本互操作性，如散列时间锁定合同。【58】

注释

【1】本文不涉及批发CBDC（W-CBDC）。W-CBDC仅限于一组预定义的用户组，通常是银行和国家支付系统的其他成员，而零售CBDC则是公众可以广泛访问的。参见WEF（2020年），以了解对CBDC发行考虑因素的更广泛分析，包括W-CBDC。关于W-CBDC的广泛讨论，见BIS（2019年）。

【2】还有其他由法定货币支持的数字货币，但不是由金融管理局发行的，因此不被视为CBDC。这可能包括各种形式的“b-money”，如信用卡和借记卡，以及“电子货币”如储值工具（M-Pesa、支付宝和微信支付）。有关数字货币的更全面的讨论，请参阅阿德里安和曼奇尼·格里弗利（2019a）。

【3】稳定币是与法定货币挂钩的加密资产。加密资产是私营发行的代币，它是价值的数字表示形式，不以法定货币计价，主要依靠加密技术和分布式账本技术作为其感知或固有价值的一部分。许多资产支持的稳定市场已经启动。目前最大的是Tether（2020年6月8日市值92亿美元），其次是USDcoin（7.25亿美元）、Paxos（2.45亿美元）、BinanceUSD（1.7亿美元）TrueUSD（1.4亿美元）

【4】智能合约将传统合约的条款编码为计算机程序，并自动执行（BoE，2020；He和其他人，Box 3，2017）。

【5】所谓“积极”是指已经召集项目认真探索零售CBDC或已进行试点的中央银行。

【6】货币基金组织工作人员估计，收入增长的潜在收益似乎比经济、财务诚信、声誉、治理和法律风险所产生的潜在成本要小得多。鉴于此，并且在缺乏适当的措施来减轻潜在成本和风险的情况下，工作人员建议马绍尔群岛当局认真考虑将SOV的发行作为法定货币（IMF，2018）。

【7】本节主要借鉴了Mancini-Griffoli等人（2018）和Adrian和Mancini-Griffoli（2019b），以及Barontini和Holden（2019），Boar等人（2020）和King（2020）。

【8】例如，如果有一个明确定义的数字通胀目标，CBDC可以设计成在通胀预测与目标趋同（或不一致）时发出通知（Sarwat，2012）。

【9】此外，高级数据分析涉及到高度的复杂性，需要足够的资源、时间和数据。建立、培训、测试和维护机器学习模型需要主题专家（金融部门和货币政策专家）、数据科学家以及可能的后端开发人员投入大量时间。模型的训练和测试需要大量的数据点。因此，只有在CBDC全面运行并生成足够的数据后，数据分析才是一种选择。在使用机器学习技术时，可能会出现意想不到的偏差，这可能会对金融市场参与者的细分市场产生不利影响。此外，强大的网络安全将是必要的，因为安全漏洞可能会对金融系统造成严重破坏。

【10】https://assets.documentcloud.org/documents/6817441/House-Democrats-Counterproposal-For-Stimulus.pdf

【11】https://www.banking.senate.gov/imo/media/doc/SIL203681.pdf

【12】此外，中央银行可以降低政策利率，以应对因银行提高贷款利率而导致的金融状况趋紧，这样银行对CBDC的反应将不会对经济造成收缩。此外，采用CBDC对利率的净影响将取决于中央银行如何引入CBDC，在特定情况下，通过出售政府债券注入CBDC可能导致利率降低（Barrdear和Kumhof，2016）。

【13】零售储户是比批发储户更稳定的资金来源（见Huang和Ratnovski 2011；Gertler等人，2016年）。

【14】Kumhof和Noone（2018）提出了四个设计特征，通过（i）支付可调利率来调节需求，（ii）阻止从准备金到CBDC的转换，（iii）取消银行存款按需可兑换成CBDC的任何担保，从而减轻潜在的脱媒化风险，并确保CBDC与银行存款的平价，以及（iv）只允许针对合格证券（政府证券）发行《中央银行业务公约》。然而，除了对Bindseil（2020）的批评之外，Bjerg（2017）还质疑这些原则是否能够真正确保CBDC和银行存款之间的平等。

【15】然而，Barrdear和Kumhof（2016）运用理论模型提出，仅允许针对政府证券发行CBDC（Kumhof和Noone（2018）四个条件之一）可能导致更高的经济产出。由于债务的高利率和低利率的债务的替代，CBDC的低利率将导致CBDC的违约风险降低。

【16】据国际存款保险公司协会（International Association ofDeposit Insurers）统计，全球有146个国家建立了可靠的存款保险制度。(https://www.iadi.org/en/deposit-insurance-systems/dis-worldwide/)

【17】美国的案例见Brainard（2019年），鉴于对实物货币的需求、美元作为准备货币的作用、满足消费者需求的稳健银行体系，美国将继续分析CBDC的潜在收益和成本，以及在现有的体制框架和适用的保障措施的基础上，广泛提供和不断扩大的各种数字支付选择。

【18】在这一迭代过程中，成本考虑将与适当的安全和安保标准相平衡。最佳做法还将是CBDC安排建立定期审查其效率的机制，包括其成本和定价结构。这可能包括对操作过程的生产力和相应成本下处理方法的相对效益的评估（BIS，2012）。

【19】（FAFT）金融行动特别工作组是一个独立的政府间机构，负责制定和促进各项政策（“金融行动工作组建议”），以保护全球金融体系不受洗钱、资助恐怖主义和大规模毁灭性武器扩散的资助。货币基金组织执行董事会已批准金融行动特别工作组的建议，作为其工作的国际反洗钱和打击资助恐怖主义（AML/CFT）标准。

【20】对互操作性的深入研究超出了本文的范围。然而，在体系结构层面，互操作性工作的例子包括：（i）在分布式账本技术基础设施（“原子交换”）的情况下，最大限度地提高跨链传输的能力；（ii）采用通用数据标准，如ISO20022，以促进跨系统支付；（iii）允许不同钱包提供商之间的跨钱包价值转移。

【21】另见Dyson和Hodgeson（2017年）、Kumhof和Noone（2018年）和Means等人（2018年）

【22】对于一个新的PSP来说，跨PSP的互操作性可能会降低初创企业创新的动力，因为这可能会降低私营开发网络的价值。它还可以通过排除某些技术创新或限制新的商业模式来限制竞争，降低PSP的价值并增加成本。此外，如果一个创新的服务提供商具有更高的风险，那么互操作性可能会增加总体风险。

【23】这个概念并不是全新的。一些中央银行，如中国香港特别行政区金融管理局和瑞士国家银行已经提供特殊许可证，允许非银行的FiTeaTeo公司持有准备金余额，在审批过程中。英格兰银行正在讨论这样的前景。中国人民银行要求国内大型支付服务商支付宝、微信支付以储备形式在中央银行持有客户资金。

【24】“在‘平台’模式下，（中央银行）将提供一个快速、高度安全和具有弹性的技术基础设施，该基础设施将与（中央银行的）RTGS服务并驾齐驱，为CBDC支付提供最低限度的必要功能。这可以作为私营部门支付接口提供商连接的平台，以便提供面向客户的CBDC支付服务。支付接口提供商还可以构建“覆盖服务”（overlay services），即不属于[中央银行]核心基础设施一部分的附加功能，但可以作为增值服务提供给部分或全部用户。除了提供更高级的功能外，这些服务还可以通过实现可编程货币、智能合约和小额支付来满足未来的支付需求。支付接口提供商将根据其可能带来的任何风险接受适当的监管。”（英国中央银行，2020年）

【25】这里使用的术语不同于Khan和Roberds（2009）提出的基于“账户”与“基于代币”的支付系统分类法。这是为了更清楚地区分这一级别的分类与所使用的技术，并避开基于分布式账本技术的平台应被标记为基于账户还是基于代币的争论（Milne，2020年，Shah等人，2020年）。

【26】有关sCBDC概念和考虑因素的更多详细信息，请参见Adrian和Mancini Griffoli（2019a）。

【27】“电子货币”一词也在最近的立法中使用（Adrian和Mancini Griffoli，2019年）。新加坡2019年《支付服务法》强调，“电子货币”以货币计价，与货币“挂钩”，旨在充当“交换媒介”。欧盟委员会2009年关于电子货币的指令对电子货币的定义更为笼统，指的是“为进行支付交易而在收到资金后发行的对发行人的债权”。根据这一定义，即使是预付卡（最初与电子货币有关）也必须是可赎回的。

【28】例如，Xiao（2019）指出，所有的工作证明和基于链的利益证明共识协议只能确保概率的最终性。

【29】CPMI，以前的支付和结算系统委员会，于2014年6月更名。

【30】有关限额设定挑战的更多信息，包括避免不同形式的货币之间的均等性崩溃，请参阅第III.B小节。

【31】1859年卡灵顿事件的再次发生可能会使通信和电源中断长达一年之久，并有可能使任何数字系统无法使用（Lovett，2011年）。

【32】例如，结合区块链、智能芯片和近场通信（NFC）技术的“智能钞票”可以像现金一样使用（Stewart，2018）。智能钞票可以有一个防篡改芯片来保护一个私钥，余额可以通过任何支持NFC的智能手机进行验证，结算可以是即时的，匿名性也可以保留。

【33】英格兰银行2020年4月7日的一次关于1200名参与者的网络研讨会https://youtu.be/EM7NB1\u NtC4)研究发现，35%的受访者认为自由兑换是影响CBDC需求的最重要的设计选择，而不是访问限制（32%）、重置率（25%）和限制（8%）。

【34】银行之间为接受信用卡交易支付交换费。对于ATM取现交易，发卡行向收单银行支付交换费（用于维护ATM）。交换费通常由信用卡网络的运营商设定。

【35】拒绝服务（DoS）攻击的目的是使应用程序编程接口（API）过载，产生大量请求，直到服务停止响应。

【36】 Agur等人（2019）认为，使计息CBDC将避免不计息的CBDC可能造成的福利损失。计息的、与存款竞争激烈的CBDC会降低银行信贷和产出，而像CBDC这样的现金可能会导致现金的消失。本文发现，最佳的CBDC设计权衡了银行中介与维护各种支付工具的社会价值之间的权衡。当网络效应很重要时，计息的CBDC减轻了中央银行的权衡。

【37】例如，美国联邦储备委员会2019年的货币预算为9.55亿美元。这涉及雕刻和印刷局的货币印刷，维持货币适用性，金库成本，保护以及联邦储备银行的一些运输以及伪造威慑。美联储金融服务费有助于收回相关费用。例如，FedCash服务的收费表包括针对订单和存款的统一现金访问政策，以及向存管机构收取的货币再循环费用。

【38】嵌入式智能合约在实施其他货币政策规则方面也可能有用，例如泰勒规则（Constâncio，2017）。

【39】中央银行的风险管理，法律，采购和沟通团队可能会提前介入，以帮助防范声誉风险。无论项目处于哪个阶段，中央银行都可以决定签署保密协议（NDA），因为任何技术和非技术合作伙伴都可能有意或无意地将中央银行置于防御位置。中央银行可以通过被授权就项目进度进行沟通的唯一方来保持对沟通的控制。

【40】收集的数据可以包括有关初始个人/企业银行存款持有量的数据（匿名数据）以及将其替换为数字货币，以评估银行存款的替代程度。例如，平均每日余额，在CBDC中进行的交易比例以及平均交易价值都是评估实验采用和成功的有用指标。

【41】这一系列法律并非详尽无遗，可能因司法管辖区而异。

【42】需要注意的是，法定货币的定义在不同司法管辖区略有不同(He等人，2016)。例如，在一些国家，法定的货币规则允许债务人进行有效的“投标”，即采取必要的步骤完成付款，但债权人没有义务接受该投标。但是，如果债权人拒绝接受有效投标，他将被禁止在法庭上追讨债务。另一方面，在其他国家，拒绝法定货币支付是非法的。鉴于欧元区对法定货币的定义存在差异，欧盟委员会在2010年采纳了一项建议，即法定货币的概念应依靠三个主要要素:(i)强制接受纸币和硬币;(ii)以其全部面值计算;(iii)享有清偿债务的权力。

【43】请注意，零售CBDC作为法定货币的存在与它成为流通中的货币是不同的。如前几节所述，零售CBDC(即使以本国货币计价)只有在中央银行决定发行时才会成为流通货币。

【44】关于中央银行风险管理的更多指导，请参见Khan(2016)。

【45】例如，2018年3月通过的墨西哥金融科技法，以及阿联酋关于中央银行、金融机构组织和活动的法律，特别是关于数字货币和储值设施的法律。

【46】它包括支付系统、中央证券存管、证券结算系统、中央交易对手方和交易仓库。

【47】适用于支付系统的原则是:法律基础、治理框架的全面管理风险、信用风险、抵押品,流动性风险,最终结算,资金结算,价值交换结算系统，参与者违约规则和程序,一般商业风险,保管和投资风险,操作风险,访问和参与需求,分层参与需求、效率和有效性,通信流程和标准,和信息披露的规则,关键流程,和市场数据。

【48】职责有:管理、监督和监管FMIs；管理、监督、监管权力和资源；披露与FMIs有关的政策;FMIs原则的应用;并与其他当局合作。

【49】特权升级是利用应用程序/系统中的漏洞或错误配置，将受限制的访问提升为特权访问，以执行未授权的功能或获得对敏感数据的未授权访问。

【50】表中列出的每个国家都嵌入了关于该国CBDC工作的信息来源的超链接。

【51】例如，根据联合国安理会决议1373.

【52】一个以这样的方式入侵的例子是 “NotPetya”病毒爆发，恶意黑客侵入金融机构广泛使用的一种软件产品的源代码库(Schwartz, 2017)。黑客注入恶意代码，在应用程序中设置后门，以远程访问并渗透银行网络。

【53】Trade.io问题将产生，即内部人员偷走了他们冷热钱包的私营钥匙最终导致750万美元被盗(SwiftSafe, 2018)。另一个例子是Shapeshifter.i问题，即内部人员与外部组织合作窃取了315枚比特币(Sirer, 2016)。

【54】量子计算是基于量子物理的科学;介绍量子位(量子比特)代替传统的计算位(0和1),量子计算机操作通过控制原子的行为(光子和电子)和一个量子位可以叠加在0和1之间存在这有可能使巨大的效率与传统电脑(伯恩哈特,2019)。

【55】元数据是描述或提供其他数据信息的一组数据。

【56】一个节点可以是任何活动的电子设备，包括计算机、电话甚至打印机，只要它连接到internet并具有IP地址。节点的作用是通过维护区块链的副本来支持网络，在某些情况下，还负责处理和验证交易。

【57】另见Shabsigh等人（2020年），了解支付和结算系统中分布式账本技术实验的回顾。

【58】散列时间锁定的契约会同步所有构成付款的动作，因此要么全部发生，要么不发生。这是通过在两个分布式账本技术平台上使用智能合约来锁定或抵押待转让资产来实现的，使用共同秘密时，在两个平台上完成交易；如果在预先商定的时间段内未使用共同秘密，则将两个平台上的锁定或担保资产释放回其原始所有人，即：一旦超时…智能合约是自动执行的计算机程序，根据预定义的一组条件或条件执行预定义的任务。智能合约一旦部署就不能更改，这确保了合同条款的忠实完成”（BoC/MAS，2019）。

【A1】一项极端货币政策。指国家中央银行以税收返还或者其他名义直接发货币给家庭或消费者，刺激消费，降低失业率，克服通货紧缩