央行穆长春详解数字人民币「可控匿名」及下一步计划

7月24日，在第五届中国数字建设峰会上，中国人民银行数字货币研究所所长穆长春以《数字人民币隐私与个人信息保护》为题发表演讲，就目前市场关于数字人民币比较关心的顶层制度设计、风险防控能力、个人隐私保护与匿名支付需求等多个问题进行了详细阐释。

“可控匿名作为数字人民币的重要特征，一方面体现了M0的定位，保障公众合理匿名交易和个人信息保护的需求；另一方面，也是防控和打击洗钱、恐怖融资、逃税等违法犯罪行为，维护金融安全的客观需要。”穆长春表示，数字人民币主要定位于流通中的现金（M0），也就是数字形态的现金，设计理应满足个人匿名交易的合理需求，保护消费者隐私。

与此同时，穆长春强调，完全匿名从来不在各国央行数字货币的考虑范畴之内，只有在符合反洗钱和反恐怖融资等监管要求前提下的有限匿名才是国际共识。对于数字人民币，同样也应满足反洗钱、反恐怖融资国际标准及国内法律法规要求。

穆长春指出，数字人民币仅收集风险控制所需信息，对用户隐私的保护在现行电子支付工具中是等级最高的。“央行数字货币收集的用户信息少于传统银行账户和电子支付，较实物现金又更为便携，如果匿名程度过高，将为不法分子提供新的犯罪土壤，大量的非法交易将从电子支付流入央行数字货币，沦为电信诈骗、网络赌博、洗钱、毒品贩卖甚至恐怖组织犯罪的工具，也将无法满足FATF等国际组织的要求。”

对于数字人民币未来的发展，穆长春表示，一是加强立法，完善顶层制度设计，具体而言要建立信息隔离机制，明确数字钱包查询、冻结、扣划的法律条件，建立相应的处罚机制，完善数字人民币反洗钱、反恐怖融资等法规制度；二是强化科技应用，提升风险防控能力：数字人民币监管将强化监管科技应用实践，积极利用大数据、人工智能、云计算等技术丰富金融监管手段，提升跨行业、跨市场交叉性金融风险的甄别、防范和化解能力。

以下为媒体公开报道的全文：

澄清几个误解

目前，数字人民币试点测试工作正在稳步推进，相关讨论也比较多，其中有些误解，借此机会先解释一下。

比如有人说，数字人民币不能买黄金买外汇。这个说法不正确。数字人民币是数字形式的法定货币，与实物人民币1：1兑换，也就是说，纸钞和硬币能买的东西，数字人民币都能买。纸钞和硬币能买黄金和兑换外汇，数字人民币同样也可以。

还有人说，数字人民币侵犯用户隐私，用上了数字人民币，每个人都是一只装了GPS的小蚂蚁，你去过哪里、住了什么酒店、跟谁在一起、点了什么菜、花了多少钱、买了什么东西都被记录得清清楚楚。关于这个不实说法，我想今天重点解释一下。

首先，可控匿名作为数字人民币的重要特征，一方面体现了M0的定位，保障了公众合理匿名交易和个人信息保护的需求；另一方面，这也是防控和打击洗钱、恐怖融资、逃税等违法犯罪行为，维护金融安全的客观需要。

数字人民币定位于M0

理应满足个人匿名交易合理需求

（一）数字人民币的设计需要保护个人隐私

大数据时代，消费者对个人隐私保护日益重视。虽然以移动支付为代表的电子支付比传统现金支付更便利，但是仍然有消费者选择现金交易，一个重要的原因是现金交易具备匿名性，对消费者的隐私形成天然保护。

数字人民币主要定位于流通中的现金（M0），也就是数字形态的现金，设计理应满足个人匿名交易的合理需求，保护消费者隐私：

一是应符合日常小额现金支付的习惯，确保相关支付交易的保密性；

二是应明确匿名对象，确保消费者使用数字人民币进行交易时，其个人信息不被商户和其他未经法律授权的第三方获取；

三是应加强个人信息的使用和保护，确保运营机构收集的客户基本信息、产生的交易和消费行为信息不会被泄露。

（二）数字人民币的“双层运营”体系，有利于保障非经依法授权不得查询、使用个人信息。

数字人民币采用“双层运营”体系，人民银行把数字人民币兑换给运营机构，由运营机构向公众提供兑换流通服务。

运营机构收集服务与运营所必需的个人信息，钱包服务产生的个人信息由运营机构收集和存储。人民银行为满足跨机构交易和对账等需要，仅处理经过互联互通平台转接的跨机构交易信息。

同时，匿名数字人民币钱包之间用匿名化的技术处理，所有钱包之间有关个人信息的数据对交易对手和其他商业机构匿名。对于公众正常的交易和消费，上述主体均无法获取完整的交易信息和消费行为信息，以保护消费者的个人隐私。

只有当触发涉嫌非法可疑交易等情况时，有关权力机关才可以依法向运营机构查询、使用用户个人信息，同时，严格将知悉和使用范围控制在法律法规授权内，并采取安全保护措施。

人民银行严格遵守《网络安全法》《个人信息保护法》等法律法规，通过先进的技术手段以及严格的管理机制，确保个人信息安全。

技术层面上，采用权限访问控制安全措施和多重身份认证等技术手段保护数据安全，防止数据遭到未经授权的访问、披露、使用、修改、损坏或丢失。

管理机制上，内部设置“防火墙”，通过专人管理、业务隔离、分级授权、岗位制衡、内部审计等制度安排，严格落实信息安全及隐私保护管理。

数字人民币相关信息将加密封存，所有客户信息进行去标识化处理，非经合法授权，无论是人民银行内部人员还是外部的任何单位和个人，均不得随意查询、使用；未经授权查询或使用个人信息的，将依法追究法律责任。

（三）数字人民币的钱包矩阵设计遵循“小额匿名、大额依法可溯”的原则。

传统的支付工具，无论是互联网支付还是银行卡支付都与银行账户体系绑定，由于银行开户是实名制，因此无法满足公众匿名开立支付工具的诉求。数字人民币钱包与银行账户的松耦合，减轻了交易环节对金融中介的依赖，从技术上可以实现小额匿名。

一是数字人民币钱包按照客户身份识别强度分为不同等级的钱包。数字人民币的四类钱包仅用手机号就可以开立。根据《网络安全法》《个人信息保护法》等相关法律法规规定，电信运营商不得随意将手机号对应的客户信息披露给包括人民银行在内的第三方。因此，用手机号开立的四类钱包实际处在匿名状态。

二是数字人民币钱包按照载体分为软钱包和硬钱包，在钱包矩阵下四类软钱包和其所属的硬钱包均为匿名钱包，能够满足公众线上和线下小额匿名交易的需求。此外，准账户模式的硬钱包发行时不与使用者身份相关联，能够充分发挥硬钱包在小额匿名支付领域的积极作用。

三是数字人民币钱包按照权限归属分为母钱包和子钱包，用户可以在母钱包下开通子钱包用于电商平台支付，数字人民币对于所有用户信息进行去标识化处理，除开通子钱包时用于关联电商平台账号的用户手机号码外，不会向电商平台提供其他信息，如银行卡号、银行卡有效期等信息，有效保护公众个人隐私。

（四）数字人民币根据客户意愿仅收集必要个人信息。

基于双层运营体系和钱包矩阵的设计，数字人民币遵循自主、透明、最小化原则，根据用户意愿，收集与处理目的直接相关的必要个人信息。

用户有权随时关闭相关权限，数字人民币app将立即停止有关个人信息的处理活动，充分保障用户自主管理相关权限。对于用户选择拒绝提供权限的，数字人民币app将严格执行。

数字人民币app没有采用让用户一揽子授权的方式获得相关权限，而是根据具体业务和场景，在合理必要的情况下，在向用户明确告知使用目的后，单独向用户申请有关权限，在取得用户同意后才会获得相应的权限。通过详细列明提供服务所需开启的权限及对应的业务场景，使用户全面了解其需要授权的权限情况。

数字人民币仅获取与处理目的直接相关的必要个人信息。数字人民币app仅收集处理必要个人信息，确保注册、登录、密码修改及找回等基本账户功能的实现；运营机构向用户提供数字人民币钱包服务时，同样仅收集必要的身份信息和交易信息，确保数字人民币支付等基本业务功能的实现。此外，为确保用户财产安全，数字人民币仅收集风险控制所需信息，用以加强用户数字人民币钱包风险识别，防止被盗、恶意挂失、网络欺诈等风险。

总之，数字人民币对用户隐私的保护，在现行电子支付工具中是等级最高的。

重视数字时代下金融产品与服务

便利化、规模化、跨地域所带来的风险

“没有约束的自由不是真正的自由”。如果仅仅关注个人隐私保护，忽视数字时代下金融产品和服务便利化、规模化、跨地域所带来的风险，央行数字货币将会被违法犯罪所利用，产生严重后果。

（一）数字人民币应满足反洗钱、反恐怖融资国际标准及国内法律法规要求。

为维护金融安全和稳定，各国中央银行、国际组织在探索央行数字货币的匿名性时均将防范风险作为重要前提，对于无法满足反洗钱、反恐怖融资及反逃税等要求的设计将被一票否决。

国际清算银行总裁Carstens在《数字货币与货币体系的未来》中明确指出完全匿名的概念不切实际，完全匿名的系统不会存在。此外，欧央行在《探索中央银行数字货币的匿名性》报告中也指出“数字化对支付生态系统构成重大挑战，要求电子支付在一定程度的隐私和遵守反洗钱和反恐怖融资法规之间取得平衡，包括在一定程度上为用户的小额交易提供隐私保护，同时确保大额交易遵守反洗钱和反恐怖融资的要求。”这一描述呼应了范一飞副行长在《关于央行数字货币的几点考虑》一文中率先提出的“为取得平衡，必须实现可控匿名”理念。

可以看出，完全匿名从来不在各国央行数字货币的考虑范畴之内，只有在符合反洗钱和反恐怖融资等监管要求前提下的有限匿名才是国际共识。

金融行动特别工作组在其《FATF就所谓稳定币向二十国集团财政部长和中央银行行长报告》中明确指出，“一旦建立了央行数字货币，与央行数字货币交易的金融机构，将承担与法定货币或现金相同的反洗钱和反恐怖融资的义务。使用央行数字货币进行的客户交易将遵守与使用法定货币进行电子交易相同的客户尽职调查义务。”

报告还提到，“与现金相比，央行数字货币可能带来更大的洗钱和恐怖融资风险。匿名、便携性和广泛使用的结合对于以洗钱和恐怖融资为目的的罪犯和恐怖分子极具吸引力。”这是因为利用现金进行违法交易的成本很高，大额的现金交易需要产生运输、清点、交付等环节，同时存在盘点错误、损毁、丢失、假币等风险。随着现金交易金额的增加，其成本的增长是非线性的。而在数字货币时代，无论交易金额大小，其交易的成本基本相同。

可见，现钞不便于携带的特点反而对洗钱和恐怖融资等行为增加了摩擦，所以，对现钞的匿名性的容忍度也相对较高。而央行数字货币便携性更强，如果提供与现钞同样的匿名性，将极大地便利洗钱等不法交易行为。

因此，央行数字货币不应具有与现钞同等的匿名性。

（二）数字人民币需要防范电信诈骗等风险。

近年来，利用互联网、电信等新形式的违法犯罪活动愈演愈烈。当前全国范围内从事网络诈骗活动的犯罪分子达100多万人，每年造成直接经济损失1000多亿元。各类网络赌博案件也层出不穷，2019年，各地公安机关侦破网络赌博刑事案件7200余起，查扣冻结涉赌资金逾180亿元。

在传统的银行账户体系下，银行为用户开立账户均需要进行实名验证，在业务存续期间还会采取持续的客户尽职调查措施。然而，即便有这些风险防控手段，仍然无法避免不法分子利用银行账户进行网络赌博、电信诈骗等犯罪行为。

央行数字货币收集的用户信息少于传统银行账户和电子支付，较实物现金又更为便携，如果匿名程度过高，将为不法分子提供新的犯罪土壤，大量的非法交易将从电子支付流入央行数字货币，沦为电信诈骗、网络赌博、洗钱、毒品贩卖甚至恐怖组织犯罪的工具，也将无法满足FATF等国际组织的要求。

完善顶层制度设计，提升风险防控能力

确保“可控匿名”要求有效落实

（一）加强立法，完善顶层制度设计。

为确保数字人民币可控匿名要求的有效落实，需要在顶层制度设计上作出四项相应安排：

一是建立信息隔离机制。明确运营机构开展数字人民币运营业务的独立性，并通过设立数字人民币客户信息隔离机制和使用限制，规范数字人民币客户信息的使用。

数字人民币运营机构需要建立健全客户信息保护内控制度和客户信息保护监测工作机制，只有在可能涉及洗钱、恐怖融资和逃税等违法犯罪交易时，才能申请获取相关客户信息进行风险分析及监测，以履行“三反”义务。

二是明确数字钱包查询、冻结、扣划的法律条件。只有法律授权的有权机关基于法定事由，才能够查询、冻结、扣划用户数字人民币钱包，否则运营机构有权予以拒绝。

三是建立相应的处罚机制。监管部门可以依法对违规处理数字人民币客户信息的运营机构采取处罚措施，强化监管。

四是完善数字人民币反洗钱、反恐怖融资等法规制度。结合FATF的相关原则和数字人民币的特点，研究并适时出台数字人民币反洗钱和反恐怖融资等监管规定。

（二）强化科技应用，提升风险防控能力。

数字人民币监管将强化监管科技应用实践，积极利用大数据、人工智能、云计算等技术丰富金融监管手段，提升跨行业、跨市场交叉性金融风险的甄别、防范和化解能力。

总之，数字人民币作为人民银行发行的法定数字货币，会充分尊重隐私与个人信息保护，并在此基础上做好风险防范，以防止被不法分子利用。

需要强调的是，在实物现钞依然发行的前提下，公众仍然可获得实物现钞所提供的完全匿名性，不会因数字人民币的发行而被剥夺；同时，可控并不意味着控制和支配，而是防控风险和打击犯罪，这是维护公众利益和金融安全的客观需要。数字人民币的可控匿名将为公众提供体验更好、更加安全的支付服务起到积极作用。