區塊鏈風險治理:困境與規制

湯媛媛

(1.長春財經學院，吉林 長春 130122； 2.國家法官學院吉林分院，吉林 長春 130033)

一、引 言

2008年中本聰在《比特幣：一種點對點電子現金系統》的文章中首次提出區塊鏈概念。隨之，區塊鏈技術迅猛發展，從最初的以比特幣為代表的數字貨幣，解決了貨幣和支付活動中的去中心化問題，到以以太坊為代表的智能合約的出現，區塊鏈技術正在不斷與產業廣泛融合升級。世界各國對區塊鏈技術的關注度持續上升并都在不同程度上有所進步。我國于2016年2月將區塊鏈技術納入“十三五”規劃，將其提升到國家戰略高度。目前，區塊鏈技術正作為新的技術革新和產業變革中的核心力量發揮著巨大的作用。技術革命必將帶來法律變革，區塊鏈作為現代科學技術應用于復雜社會關系的新型載體，離不開法律的監管和保障。法律借助區塊鏈技術而更趨客觀與中立，區塊鏈借助法律制度而更趨安全和值得信賴。

二、區塊鏈的技術風險與法律風險

(一)區塊鏈自身發展的技術風險

區塊鏈技術是通過加密運算、點對點網絡、共識算法等互聯網技術，為所有參與其中的人提供一種去中心化的全新商業運行模式。去中心化的分布式記賬的特點在于無需以信任特定主體為前提， 共識的密碼學算法使得參與者無法造假，不可篡改的所有交易信息被儲存在密碼保護的不同區塊中，通過點對點的匿名用戶同步記錄，實現數據的分布式共享。

1.代碼漏洞可能引發的風險。區塊鏈的運行是依靠代碼實現的，代碼在區塊鏈數據庫中被寫入和讀取。[1]技術的進步和發展中存在一些漏洞是必然的。正如2016年6月發生的以太坊歷史上最大的“The Dao 事件”，黑客正是利用了以太坊中私募基金合約Dao的代碼漏洞，將價值5000萬美元的以太幣轉移到自己的私人賬戶，且黑客的操作手法完全符合代碼的運行邏輯。類似的事件并未在“The Dao”事件后停止，2017年7月，智能合約平臺Parity出現代碼漏洞，黑客盜取了價值3000萬美元的數字貨幣ETH；2018年1月，日本智能合約平臺Coincheck系統被黑客攻擊，時價5.3億美元的新經幣被盜。這些事件表明，有漏洞的代碼一旦被發布，根本無法修補。[2]因為代碼一旦被發布到區塊鏈上，就無法更改。同時，由于區塊鏈系統是開放、透明的，任何人都可以下載使用，這就給黑客鉆營代碼漏洞提供了機會。而這種風險是由區塊鏈系統自身的漏洞所導致的。因為“區塊鏈系統內各節點并非完全匿名，而是通過類似電子郵件的地址標識來實現數據傳輸。由于區塊鏈數據是完全公開透明的，隨著各類反匿名身份甄別技術的發展，實現部分重點目標的定位和識別仍是有可能的。”[3]

2.交易被篡改的風險。安全性是區塊鏈技術應用必須考慮的問題。雖然區塊鏈運行依靠密碼運算增強了系統的安全性，但并非天衣無縫。區塊鏈的工作量證明程序還是存在51%攻擊問題的可能性的。“節點通過掌握全網超過50%的算力就有能力成功篡改和偽造區塊鏈數據。”隨著區塊鏈技術的不斷發展，攻破區塊鏈的成本可能會逐漸降低，且面對高利誘惑，不排除有不法之徒愿意挑戰高難度技術。“Bitcoin Gold 黑客攻擊案”就是一個例證，黑客通過安置大量服務器進行51%的攻擊，控制了Bitcoin Gold 超過一半的網絡哈希率 ，最終獲利1800萬美元。

3.私鑰丟失的風險。區塊鏈采用的是密碼算術技術進行的信息有效傳遞，節點間無需建立信任，系統中每個參與的節點都可以匿名。參與交易的人員通過地址傳遞信息，即使獲取了全部的區塊信息也無法知道參與交易的人員到底是誰，唯有掌握私鑰的人才能開啟自己的“錢包” ，那么區塊鏈上加密貨幣所有人持有的私鑰就是使用和支配財產的唯一憑證。一旦用戶丟失了秘鑰或錢包服務提供商受到黑客的攻擊，私鑰的安全就難以保證，而追回加密貨幣的可能性幾乎為零。2014年，黑客從著名的比特幣交易所 Mt.Gox 竊取了價值4億美元的比特幣，Mt.Gox 隨之倒閉。2016年，另一家主要交易所Bitfinex 也遭到黑客攻擊，竊走價值7000萬美元的貨幣。

4.效率風險。區塊鏈在分布式記賬的基礎上實現了各分布節點之間的共識，無論系統采用的證明機制是工作量證明還是其他方式，記賬過程都需要在全網間進行通信。采用全網通信的方式會造成資源的浪費，包括機器本身的資源消耗以及為了運行這些機器所消耗的其他資源，如人力、財力、電力等。此外，因為每筆交易的記錄都需要通過每一個區塊鏈條的承認，交易記錄的生成需要大多數節點進行區塊確認，節點基數越大，就需要多達成一次共識，確認所需的時點就越長。尤其對于廣大用戶開放的共有鏈更是如此，雖然節點越多意味著系統越公開和安全，但節點的增多也帶來了效率下降的悖論。所以采用區塊鏈進行記錄的數據內容的交易頻度不能過高，否則就會因為確認速度不及交易速度而產生風險。正如中國人民銀行數字貨幣研究所所長姚前所說的，“從目前的情況來看，區塊鏈的性能問題主要表現為吞吐量和存儲帶寬的能力遠不能滿足整個社會的支付需求。比特幣交易結算每秒鐘可完成7、8筆到10筆，坦率來說，這個速度是銀行難以接受的，更是廣大客戶無法承受的”。 如果將其應用于交易頻次大、資金大的證券交易系統，更是形成了對區塊鏈效率的嚴重挑戰。

(二)區塊鏈的法律風險

1.區塊鏈的匿名性引發的法律風險。由于區塊鏈中每個節點的用戶都是匿名的，參與交易的各方都是通過地址傳遞信息，即使獲取了全部的區塊信息也無法識別參與者真實身份。正因如此，人們更關心的是交易的實質內容，而忽視了交易參與者的真實身份，從而給冒用他人身份或者使用虛假身份從事不法行為的人提供了可乘之機。隱藏真實身份的代碼增加了審查和干預的難度，為恐怖組織轉移資金、勒索財產、販賣毒品、拐賣兒童等非法犯罪行為提供了便利。

2.區塊鏈的去中心化引發的法律風險。區塊鏈的去中心化分布式系統無需中心機構來構建分布式節點之間的信任關系。交易參與人可以自證并直接交易，不需要依賴第三方機構的信任背書。這種去中心化的區塊鏈金融一旦應用，勢必對當下政府管理部門的職權地位和現行法律法規造成挑戰。如美國的Equibit平臺，就是通過區塊鏈技術實現的點對點的股權登記和股權交易的網絡，實現24小時不間斷股權發行和即時交易。 在技術的推動下，私權自治體現得更加徹底，公權的公信力已顯得有些多余。技術革新引發對公權力的抗衡是無法回避的問題。

3.區塊鏈的數字貨幣引發的法律風險。數字貨幣是一種不以物理貨幣形式存在的，基于網絡節點和數字加密的虛擬貨幣。無特定發行主體、總量固定、交易過程安全的核心屬性使得數字貨幣越發受到推崇。我們最為熟知的比特幣(Bitcoin)、以太幣(Ethereum)、瑞波幣(Ripple)和萊特幣(Litecoin)在加密貨幣中占據較大的市場份額。加密貨幣的真實身份與實際交易的弱關聯性，往往是導致黑市交易、逃稅、洗錢等犯罪行為的中介。如行為人提供比特幣賬戶、協助將贓款轉換為比特幣、通過比特幣為中介將資金運往境外；網絡敲詐分子攻擊他人計算機或加密他人文件，以此威脅用戶向某個比特幣賬戶打錢；恐怖組織利用比特幣購買殺傷性武器或恐怖融資；貪腐分子利用比特幣直接兌換的優勢，隱蔽其貪腐行為等等，都可能成功地避開監管部門通過銀行交易記錄追蹤每筆資金的來龍去脈。

另外，以發行ICO 方式的區塊鏈違法犯罪行為也氣焰囂張。很多ICO項目都是打著科技創新下新型融資手段的幌子，欺詐公眾財產。很多的代幣購買者不了解投資的項目盲目投入資金，而其投資的項目可能是騙局；許多投資人甚至并不了解比特幣與區塊鏈，便蜂擁而至地投入到ICO市場中。如“傳銷幣”和“空氣幣”就是打著區塊鏈和虛擬貨幣的名義蹭熱度，誘騙他人投資。因此，2017年9月，央行等七部委發布《關于防范代幣發行融資風險的公告》全面叫停ICO。筆者認為，ICO實質上并非區塊鏈技術本身的問題，而是在于缺少監管和規制的技術，這必然給不法分子以可乘之機。

三、區塊鏈風險治理中的監管困境

(一)無幣區塊鏈的困境

近年來，中央和地方政府相繼出臺文件鼓勵區塊鏈產業的發展，但同時監管機構又采取全面禁止境內開設虛擬貨幣交易所和面向中國公民發行ICO的舉措。這兩方面的共同作用實質上助推了 “無幣區塊鏈”的發展，即監管機構鼓勵企業在不發行代幣的前提下，推動各種區塊鏈技術的發展和應用。然而，這兩者之間本身是存在一定矛盾的。關于代幣與區塊鏈關系，有研究者指出:“代幣在公有鏈相關項目中，是一種維持商業生態的必需品，可作為通行證、激勵、權益證明、價值儲存的媒介以及支付與清算的手段。”[4]一般情況下，“幣”在區塊鏈系統中被賦予了一種激勵作用，區塊鏈系統需不需要這種激勵作用的“幣”，取決于這個區塊鏈系統本身。區塊鏈根據公開范圍的不同分為公有鏈 、私有鏈 和聯盟鏈 。如果區塊鏈是公有鏈，面向大眾的應用，往往需要發幣。幣作為激勵載體，能吸引盡可能多的用戶甚至投資者。但如果是聯盟鏈，如數家銀行之間搭建的區塊鏈，其節點需經過許可方可加入，不需要另外吸引開發者、用戶甚至投資者加入，這樣的業務場景不需要幣。因此，“無幣區塊鏈”的概念在聯盟鏈或私有鏈中存在踐行可能。[5]但公有鏈是整個區塊鏈的主流，一刀切式的監管則會影響區塊鏈產業的正常發展。

(二)虛擬貨幣法律定位缺失的困境

我國對虛擬貨幣法律上的定位存在缺失。2013年中國人民銀行發布《關于防范比特幣風險的通知》，認為比特幣屬于虛擬商品，個人可以合法持有和買賣。2017年《民法總則》第127條提出 “網絡虛擬財產”的法律概念，且確定了網絡虛擬財產應受法律保護的原則。但是，《民法總則》并沒有明確規定如何保護網絡虛擬財產。

目前看來，2013年央行的通知是存在較大局限的。其一，虛擬貨幣種類繁多，其中可在市場上交易的就高達兩千余種，并仍在快速增長和演化中，該規范性文件僅限于對比特幣作出規定，顯然規范的對象過于狹窄;其二，虛擬貨幣雖具有虛擬財產或虛擬商品特質，但并不局限于此，如比特幣、以太坊等主流虛擬貨幣越來越呈現數字貨幣性質及金融屬性，這也正是金融監管介入的重要原因。法律對于虛擬貨幣法律屬性和法律適用的缺失必然導致司法實踐的裁判不一。

(三)智能合約的法律困境

智能合約概念的出現早于比特幣，其專屬于區塊鏈。密碼學家尼克薩博早在1994年就提出了智能合約的理念，但由于當時不存在安全的合約執行環境，所以難以在實踐中應用。[6]直到中本聰提出了比特幣的概念，隨著區塊鏈技術的發展，智能合約的落地應用在技術上才逐漸成為可能，因為比特幣是利用智能合約來交易的。其法律層面的困境在于，智能合約與《合同法》到底是什么關系？智能合約是否屬于《合同法》規制的對象？這個本質問題會在法律維度下引發一系列問題：智能合約中的代碼是否屬于有形表現所載內容的形式？智能合約中的當事人交易形式如何認定？傳統合同中的要約與承諾是否適用于智能合約？智能合約是否可以被撤銷或撤回？智能合約的內容如果違法如何得到有效控制和監管？智能合約發生糾紛管轄法院如何確定？等等。這一系列問題都是傳統法律的空白，在很大程度上對傳統合同法中的契約精神構成了挑戰，對法官理解案件事實與提升審判能力也提出了巨大的挑戰。

(四)區塊鏈缺乏統一規則標準的困境

目前， 區塊鏈領域尚缺乏統一的國際安全技術標準，亦沒有相關安全技術指引。尤其是包括中國在內的大部分國家，對虛擬貨幣均無明確的法律定性，更無法與法定貨幣等同。用以存儲和轉移虛擬貨幣的各種邊緣服務如“錢包”等硬件在大多數國家均沒有統一的安全技術標準。一些國家用于現場購買或兌換虛擬貨幣的機器(如比特幣ATM機)，也沒有統一的技術指標。上述各種區塊鏈技術的邊緣服務系統既沒有國家安全標準，也沒有納入監管視野，如果系統出現漏洞，消費者如何索賠？如何確定相關方的責任？如何追究生產商的責任？此種硬件系統是否可以視同是金融機構使用的系統？目前法律監管層面均無明確答案。

(五)跨境風險的法律困境

與傳統金融業務不同的是，區塊鏈價值與資產的跨境轉移并不必然通過銀行完成。傳統的金融跨境業務必須通過銀行實現，受到國家金融監管部門的監管。而區塊鏈資產的跨境轉移，如投資人參與境外虛擬貨幣的交易、境外ICO、境外支付等，則不需要銀行作為第三方即可實現。如果一項境外商業行為違背了中國的法律或行政規章等，但是在境外卻屬于合法行為，其通過區塊鏈技術向中國境內公民提供的服務是否因為違反了中國的法律或行政規章而被追究法律責任？從法律層面來講，法律和行政規章等適用于管轄國境內的違法行為，對于在國外實施的違法行為不能直接管轄；即使損害后果發生在中國，中國具有管轄權，也有較大的執法障礙。尤其是行政監管，對于尚未構成刑事責任的違規行為，跨境管轄就更加力不從心。區塊鏈每個節點的高度自治性在一定程度上會淡化國家、監管的概念，沖擊現行法律安排。[7]

四、區塊鏈風險監管的規制路徑

有學者認為，法律與技術的關系經歷了四個階段的變化：第一個階段是電子信息時代，即將紙墨筆硯轉化為計算機中可讀的信息；第二個階段是在決策中引入自動化；第三個階段既包含著將法律規則寫入代碼，又包含著對代碼的規制；第四個階段則是現在正在經歷的階段，即法律的代碼化，不僅在執行法律的階段，而且在起草和解釋法律的過程中都依靠代碼。[8]當“代碼即法律”的呼聲日將高漲時，我們更要關注如何實現法律應有的最為本質的公平正義之精神。這不僅是區塊鏈技術發展所面臨的法律風險，而且是所有創新實務所共同面對的挑戰。

(一)區塊鏈監管的模式

世界上主流國家對區塊鏈的監管主要有三種模式，即嚴格監管模式、寬松監管模式和限制監管模式。不同的監管模式體現了各國對待創新技術和風險的不同態度。

1.嚴格監管模式。即對區塊鏈技術實行嚴格監管，是一種較為保守的監管模式。2008年金融危機以來，一些國家對待區塊鏈等新技術采取審慎的監管態度。其優點是可以最大程度地防控風險，及時遏制甚至規避新技術應用初期暴露的風險。但缺點也是顯而易見的，由于合規管理和內部控制的監管標準較為嚴格，導致成本增加、效率降低，而且會阻礙創新技術的發展和應用。

韓國就是實行嚴格監管模式的國家。2017年9月29日，韓國金融服務委員會(FSC)表示，將全面禁止所有形式的虛擬貨幣融資(ICO)，要對虛擬貨幣交易實行嚴格管制和監控，參與ICO的金融機構或個體將受到嚴厲的處罰。同時代幣保證金交易及借貸行為也被明令禁止。

2.寬松監管模式。即對區塊鏈技術持比較開放和包容的監管態度。支持和鼓勵虛擬貨幣及ICO的發展，以吸引國際投資，搶先占領國際市場。在這種監管模式下，政府監管部門通常會選擇與業界合作，并提供資金的支持與政策的鼓勵，目的是加快區塊鏈等金融科技創新的發展和應用。[9]這種寬松監管模式有助于區塊鏈技術運營成本的降低，提高市場交易透明度，減少道德風險，促進資本市場良性運轉。但同時也需警惕其在風險管控方面的不足。

瑞士一直對ICO持開放友好的態度，區塊鏈技術滲透進了瑞士的許多領域。在虛擬貨幣方面，瑞士允許BTC支付，銀行支持虛擬貨幣產品。為了規范瑞士境內ICO活動，金融監管機構(FINMA)于2018年2月16日發布文件，明確闡述瑞士法律在ICO領域的具體應用。FINMA認為，沒有必要制定新的監管法規，現有監管法規足以監管通證、代幣或加密資產相關活動。

3.限制監管模式。即介于寬松監管模式和嚴格監管模式之間的一種折中監管模式，也稱為“沙盒監管” 模式。折中監管模式一方面鼓勵科技創新，給予其充分的包容和試錯空間；另一方面又將風險置于可控范圍之內，避免系統風險，保障投資者和消費者的權益。該監管模式的核心理念是在確保安全措施到位的前提下允許在市場環境下對創新的產品、服務和模式等進行嘗試。“沙盒”就像一塊試驗田，在真實的市場環境下試驗創新技術；雖然不予以直接干預，但保證其一直處于可控的監管之下，最大限度地實現創新與監管的平衡。

新加坡是“沙盒監管”模式的典型代表。新加坡為金融科技產業的各種新模式和新理念提供一個“試驗田”，讓銀行等金融機構和初創企業在這個既定的“安全區域”內試驗新的產品與服務模式，在適度放松約束和管制的同時又為其劃定一定的邊界。早在2016年6月，新加坡金融監管局(MAS)就推出了“監管沙盒”制度。2018年4月，新加坡知識產權局(IPOS)又推出了“金融科技綠色通道”，大幅加快了如區塊鏈等金融科技相關應用的專利審批流程。

(二)中國語境下監管模式及路徑

如上所述，我國政府一方面鼓勵區塊鏈產業的發展，另一方面又全面禁止境內開設虛擬貨幣交易所和面向中國公民發行ICO。針對這一新興領域，監管部門除了發布一些禁止性文件，尚未出臺相關細則，一直未將虛擬貨幣交易平臺正式納入監管范圍。當前，區塊鏈和虛擬貨幣是金融科技領域極具影響力的行業，單純地禁止或回避都不是解決問題的根本之道。結合世界主流國家的區塊鏈監管模式，筆者認為，在中國語境下，可以從以下方面構建區塊鏈風險治理的監管策略。

1.監管思路應從傳統的硬性監管轉變為柔性監管。為了使新興技術在一個相對寬松和彈性的空間創新和發展，“沙盒監管”模式完全可以應用到區塊鏈當中。“沙盒監管”模式類似于我國的“試點”機制，避免了新興技術“一管就死，不管就亂”的困境，在監管者的密切監控下實現最大程度的技術創新。對于“沙盒監管”的試行，要堅持“一事一議”或“一項一查”的原則，針對不同區塊鏈項目采取不同的監管方式，每個項目都要單獨通過“沙盒監管”測試。監管成本可由國家和愿意參加沙盒測試的企業共同分擔。[10]具體的方式可以參照新加坡金融管理局(MAS)的做法，在“沙盒監管”中登記注冊的金融科技公司，只要事先報備，都可以開展與現行金融法律法規所沖突的Fin Tech 業務，包括對區塊鏈技術落地應用的測試。[11]

2.針對區塊鏈的特性進行分層監管。如上所述，區塊鏈分為公有鏈、私有鏈和聯盟鏈三個類型，可根據區塊鏈不同類型特點，采取不同的分層監管策略。由于公有鏈對所有人開放，私有鏈只針對單獨個人或實體開放，聯盟鏈則對特定的組織團體開放，因此從公有鏈到聯盟鏈再到私有鏈，監管的力度應由強到弱。同時，根據前述區塊鏈所面臨的技術風險和法律風險，監管上也應從這兩方面有所側重。針對技術風險，要著重對相關服務提供商或邊緣服務的技術能力進行監管，對具體技術的運作模式、所需具備的物理條件、所需達到的行業技術標準作出嚴格的規定；針對法律風險，需要結合現有的具體應用場景，制定或修改既有的法律。[12]以內部技術監管與外部法律監管的雙管齊下達到有效監管的目的。

3.明確虛擬貨幣的法律定位。虛擬貨幣需要法律上的定位和定性。目前，在一些國家比特幣已經作為支付工具合法化。同時，對于ICO 發行的代幣的法律界定，我國可以參考瑞士和新加坡的做法，即將代幣按其經濟功能分為支付類代幣、應用類代幣和資產類代幣，并加以綜合利用，彌補缺陷，基本上可以涵蓋目前市場上流通的絕大部分ICO項目代幣。對虛擬貨幣及各種代幣分類的意義在于，能夠幫助監管機構及時判定ICO項目所應遵守的具體法律法規；同時，有利于ICO項目發行方在代幣發行前合理地規避法律風險。若能根據分類分別定性，則更適合有針對性的監管或司法認定。

4.制定智能合約的立法規范。目前區塊鏈技術更多地體現在智能合約的應用上，未來各行業使用智能合約必將越來越多，因此對智能合約給予法律上的定位和規制是亟需解決的問題。智能合約應該具有一套相應的訂立標準，包括格式、內容和技術指標等。編寫智能合約是首要的問題，不僅專業性強，而且要保證代碼的正確性和內容的合法性，以及能夠獲得交易方的信任和認可。對智能合約的審核和監督更是必不可少，這就需要設立一個區塊鏈和法律相結合的專業機構。隨著區塊鏈相關機制日益標準化和模塊化，法律實施和代碼執行之間的界限必將越發模糊。提升區塊鏈與法律契合度的最簡單的方法就是將兩者融合起來。法律條款和智能合約的融合正印證了法律即代碼的未來趨勢。技術規則將越來越多承擔與法律規則相同的作用和功能。

五、結 語

區塊鏈技術正在快速發展的階段，其邊界仍在不斷變化中，中國語境下的區塊鏈風險治理是一個系統工程，還有很長的路要走。政府應在鼓勵科技創新與風險控制之間謀求平衡的前提下，及時轉變監管思維，從絕對的禁止過渡到謹慎的開放；監管機構應對區塊鏈技術制定出相應的統一標準；行業組織應積極制定行業自律指南和實踐規范；立法機構應綜合考慮區塊鏈產業的發展與風險防控要求，推動相關立法，逐漸搭建起完整的法律與監管框架; 應加強國際合作，共同制定國際監管規則和標準指引；等等。