区块链合规需“量体裁衣”

《法人》特约撰稿 马明亮 徐明达

从比特币为代表的区块链1.0时代到以智能合约为依托的区块链2.0时代，再到以智能化物联网多应用场景为趋势的区块链3.0时代，区块链在赋能各领域、为我们生活提供便利的同时，也暗含着技术风险和法律规制困境。因此，搭建区块链开发应用的合规制度体系尤为重要。

区块链应用中的风险

区块链作为一种非对称加密数据库存储技术，在快速发展的同时，也暗藏一系列新型风险。

区块链的算法风险。区块链技术的典型特征为非对称加密技术，密集性地使用了大量的加密算法与工具。一旦算法本身出现漏洞，区块链整体就会面临巨大的运行危机。2014年Heartbleed事件（被称为“心脏出血”的互联网安全漏洞）就是典型的算法风险。其中OpenSSL（一个安全套接字层密码库，囊括主要的密码算法、常用的密钥和证书封装管理功能及SSL协议，并提供丰富的应用程序供测试或其他目的使用）的源代码存在一个设计疏漏，最终导致900个纳税人的社会保障号被盗并被删除。无独有偶，2016年，以太币组织（the Dao）因系统的算法漏洞受到外部攻击，价值5000万美元的以太币资金被盗取。

私钥的安全风险。在区块链圈中流行这样一句话：“私钥不管好，亲人两行泪。”去中心化的区块链决定了其没有统一的信任系统，随之而来的是，一旦密钥丢失将无法通过其他途径进行补救。2013年英国IT工程师James Howells误扔了存有私钥的硬盘，从而弄丢了7500枚比特币，造成不可逆的损失。

资料图片

智能合约与共识机制漏洞可能引发技术操作风险。区块链将原本复杂的交易过程转化为智能合约的自动化技术过程，这突破了传统交易的窠臼，但也带来新的挑战。在区块链网络中，只有同时控制区块链系统51%以上节点，才能实现对单个节点的修改。虽然区块链技术在设计愿景上是完美的，但算法上暗藏着垄断风险。比如，算力的竞争会使矿机联合形成矿池，当集中度高于50%时便存在节点信息被篡改的可能，形成与技术去中心化相悖的矛盾。

“区块链+”遍地开花的今天，区块链的应用风险不局限于技术风险，还包括法律与道德风险。法律风险如，区块链的匿名性为一些犯罪行为提供了可能。道德风险如，共识算法下，竞争者为具有竞争力加大硬件使用，进而带来环境伦理问题；区块链的超效率可能在无意间导致众多数据维护工作者失业。

区块链应用的规制

中国对区块链技术的监管与法律规制一直比较重视。2019年1月10日，国家互联网信息办公室发布《区块链信息服务管理规定》，确定监管主体，同时对监管方式、监管主体义务、相应法律责任等作了明确规定。2021年12月中央网络安全和信息化委员会印发的《“十四五”国家信息化规划》，明确要求建立和完善数字技术应用审查机制和监管法律体系，包括明确人工智能、区块链等关键应用法律主体及相关责任。

区块链技术在具体领域的应用过程中，有关部门也会考虑合法合规问题。比如，在司法领域，今年7月，最高人民法院发布关于加强区块链司法应用的意见，明确要求“确保安全可靠”。各级人民法院要健全事前审核和测试评估机制，确保上链数据真实性、准确性、合规性以及链上链下数据一致性，确保智能合约的合法性、有效性、安全性和可靠性。

不仅如此，如何通过合规的方式规制区块链，中国也做出了探索与尝试。2017年，国家互联网应急中心发起成立的互联网金融专家委员会，发布《合规区块链指引》，阐明了合规区块链的必要性，并对合规区块链作出指引、总结和展望。但总体来看，由于技术发展迅速，目前的监管与法律规制呈现粗线条样态，如《区块链信息服务管理规定》只概括地表明了区块链信息服务提供者的信息安全管理责任，并未对区块链合规管理的具体制度作出安排。未来，亟待建立完善且成体系的、兼顾数据开放和隐私保护的区块链发展保障机制。

区块链的合规治理

有关监管部门可以考虑通过企业合规的方式实现区块链技术的健康发展。在此，笔者初步讨论区块链合规建设的目标、指导原则与具体路径。

区块链合规治理的目标，应定义为实现监管和技术创新之间的平衡。与互联网的情况相反，目前大多数区块链技术仍处于发展的初级阶段，迄今尚无广泛适用的技术标准。因此，有关监管部门应当根据业务部门的需要开发区块链技术应用，在确保监管目标的同时保持技术的主要优势。

区块链合规治理应当遵循的原则主要包括三个方面。一是“依法治链”与“以链治链”相结合原则。“依法治链”一方面是将区块链的技术要素纳入现行法律制度框架内，另一方面是将法律规则的精神编入代码。“以链治链”是指以区块链技术取代传统的人力监管，通过建立“法链”等形式实现对区块链系统合规管理。二是分类监管原则。“区块链+”的深入发展正在重塑社会秩序，为避免因技术的迅速发展和法律本身的局限性而形成失序格局，区块链合规体系更需要针对不同区块链类型进行“量体裁衣”式监管，搭建不同领域的“个性化”区块链合规制度。三是软性规制和硬性规制相结合原则。法律规制的滞后性问题在技术迭代迅速的数字时代尤为突出，所以，除了国家层面的立法，由特定共同体协商制定行业规范作为有益补充，也许更适宜区块链发展。其间，监管者与开发者、利益相关者之间展开对话协作，探讨区块链行业规范和企业内部规范。如是，推行法律硬性规制为主、行业规范软性规制为辅的模式，实现区块链行业的健康可持续发展。

目前来看，区块链合规治理的具体路径与方向主要包括以下几个方面：第一，区块链合规标准建设。有关监管部门应当进一步完善区块链的相关技术标准、安全规范和认证审核制度，在技术标准中融入法律要素，通过融合形成标准，实现“事先或静态的合法合规”。比如，司法区块链技术标准的建设方案是根据司法程序与诉讼规则、证据规则的要求，确定各个区块链应用的责任主体、归责原则、救济措施等，根据司法区块链技术的特点，从数据、技术、场景应用等不同角度出台具有针对性的规范及配套制度，以期实现全流程的合法合规。第二，区块链算法合规建设。这是区块链合规的坚实基础。代码是互联网体系结构的基石，同样，算法合规是区块链合规化的坚实根基。实现算法合规实则在筑牢区块链基础设施安全能力。比如，围绕司法区块链的算法规制问题，司法机关可以参考《互联网信息服务算法推荐管理规定》，对区块链算法的可解释性及透明度义务进行制度设计。第三，区块链技术安全评估与测评体系建设。目前，区块链的关键核心技术还处在发展阶段，仍然存在某些固有缺陷与风险。因此，仅有区块链应用标准无法满足区块链应用的高质量发展，还需建立专业全面的合规评估办法与测评体系。

目前，在以区块链为基础设施的Web3.0时代，无论是小型联盟链还是比特币等大型区块链平台，在发展过程中也都逐步认识到了合规治理的价值。比如，币安公司（Binance）作为拥有超过1.2亿用户服务的生态系统，截至今年9月17日已经将合规团队扩大到原来的5倍，并扩展内部的反洗钱（AML）检测和分析能力，从广度和深度多角度打造可靠的合规团队，走在了区块链合规的前列。

近年来，中国区块链的集成应用不断融入金融、司法、医药、农业等领域。它不仅作为溯源与存证的工具发挥作用，而且能够重组生产关系，构建分布式商业、分布式司法，同时能够帮助建立一套适配数字经济的新金融市场体系。然而，任何缺乏监管的新兴技术都可能成为脱缰野马，并异化为剥削与控制市场发展的工具。而监管部门通过合规体系建设的方式，相较于单纯的行政管理而言，可以更有效地实现监管和技术创新之间的动态平衡，更有力地促进区块链的长效稳健发展。