香港金管局发布DLT分布式分类帐技术指引

2024 年 4 月 16 日，香港金融管理局（简称香港金管局）发布有关分布式分类帐技术（DLT）的指引，支持银行在风险可控的情况下使用 DLT，并表示希望通过明确金管局监管考虑的方式，推动业界更广泛接受和应用 DLT 技术。

金管局的监管原则为“风险为本、科技中立”，主要关注银行是否有足够的管控措施，妥善管理因应用 DLT 所带来的额外和独特风险。一些风险因素在不同 DLT 项目中经常出现，金管局因此将相关考虑因素载于指引中，包括：建立适当管治；银行董事局及高级管理层对银行使用 DLT 负上最终责任，并应制定适当的政策和风险框架等，确保银行能妥善管理因应用 DLT 所衍生的所有风险。

其次是确保 DLT 应用项目设计合适，银行于设计过程可能需要考虑的事项包括：

（i） 不同 DLT 网络种类的适用性；

（ii） 智能合约的使用和设计；

（iii） 如何管理可能衍生的法律和第三方风险；及

（iv） 项目能否安全与其它程序达成互通性。

另外，金管局关注持续维护及监察 DLT 项目，银行应设立有效的网络安全措施，妥善管理私人密钥，遵守有关个人资料和私隐保障的要求，并制定适当的应急计划和测试安排。

以下为金管局分布式账本技术（DLT）风险管理指引原文译文。

背景简介

自政府 2022 年发布《香港虚拟资产发展政策声明》以来，香港金融管理局注意到授权机构（英文简称 AI）对探索如何将虚拟资产生态系统背后的分布式账本技术（DLT）应用于传统金融市场运营产生了浓厚兴趣。随着这些探索的加速，越来越多的授权机构根据香港金融管理局 2022 年 1 月 28 日的通函中规定的监管期望，与香港金融管理局联系，寻求对其计划中的举措的意见。

只要它们能够适当管理相关风险，香港金融管理局支持授权机构采用基于分布式账本技术（DLT）的解决方案。根据“风险为本、科技中立”的监督原则，香港金融管理局在审查授权机构的 DLT 相关提案时，重点关注授权机构是否已建立充分的系统和控制措施，以管理因 DLT 采用可能产生的额外风险。

尽管香港金融管理局的具体考虑，会因所审查的特定解决方案而有所不同，但一些常见的风险领域通常与采用分布式账本技术（DLT）相关。为了促进授权机构对 DLT 解决方案的采用，香港金融管理局在本备忘录中列出了：

（i）通常会在评估授权机构的 DLT 相关提案时考虑的关键问题；以及 

（ii）授权机构在每个领域下通常应展示和/或满足的能力和条件。

以上考虑因素是非约束性的、非详尽的，并且会随着市场和相关技术的发展而不断演变。因此，虽然授权机构在设计和开发其与 DLT 相关的解决方案时可以参考这些要点，香港金融管理局仍会就具体问题继续与授权机构进行双边讨论，以确保以上因素适用于具体的个案。

关键因素

治理

DLT 关注去中心化，采用 DLT 不仅涉及技术的新颖应用，还涉及非传统的治理理念，因此，董事会和高级管理层对授权机构采用DLT以及充分管理相关风险承担全部责任。

在实施 DLT 解决方案时，授权机构可能会遇到一系列新的 DLT 特定风险，包括与治理相关的风险。因此，香港金融管理局期望授权机构的董事会和高级管理层建立充分的系统和控制措施，以减轻这些风险。

作为其中的一部分，授权机构应根据需要审查和更新其相关政策和框架，以反映 DLT 特定因素。这些政策和框架包括技术风险管理（例如变更管理、访问控制、网络安全）、业务连续性规划（BCP）和外包。

关于内部能力，授权机构必须确保拥有足够的具备 DLT 专业知识的员工来支持实施过程，并且其管理层具备足够的知识来审查和评估授权机构对 DLT 采用的战略和方法。

鉴于技术进步的快速步伐，授权机构应注意为员工提供定期培训的必要性，并重新配置工作流程，以跟上最新的发展。如果 DLT 解决方案涉及面向客户的元素，授权机构应审查进行 DLT 特定消费者教育努力和/或更新现有纠纷处理程序，以及补偿和赔偿机制的必要性。

应用设计与开发

为特定应用选择合适的 DLT 网络 -- 考虑到 DLT 网络的结构和治理方式（例如，无许可、私有许可或公有许可）对网络的安全性、稳定性、可扩展性和弹性有直接影响，授权机构需为特定应用选择合适的 DLT 网络。

香港金融管理局期望授权机构充分了解可用的不同类型的 DLT 网络，并根据所涉应用的性质和风险，以及自身的法律和监管责任作出适当的选择。如果授权机构决定选择可能涉及较高风险的设计选项，香港金融管理局期望类似选项已接受关键评估，并确保提供相应的风险管理控制措施。例如，由于开放成员资格和通常更容易受到恶意行为者的攻击，无许可网络可能不是涉及传输敏感数据的应用程序的首选。

但是，如果授权机构能找到适当的措施来管理相关风险（例如加密解决方案，如零知识证明或链上和链下解决方案的组合），这些网络无需默认排除在此类应用之外。

设计“合适目的”的智能合约 -- 尽管智能合约可以通过自动化提供效率优势，但它们可能不适用于所有业务场景，或者只能与定制的控制措施一起部署。

例如，在通常涉及某种程度的人类判断的情况下（例如复杂的贷款评估），未经检查的自动化可能不受欢迎，智能合约可能只有在可以加入人工干预选项的情况下才适用。

如果授权机构认为使用智能合约是合适的，香港金融管理局期望其有效管理与智能合约常见相关的漏洞。这些包括运营风险（例如非恶意编码错误和网络攻击）、第三方风险（例如用于获取外部数据的“预言机”的可靠性）和法律风险（例如智能合约的法律基础是否建立）。

为此，建议授权机构建立严格的治理框架，用于引入和更新智能合约。有效的框架将评估在特定情况下采用智能合约的适用性，从运营、技术和法律角度对即将部署的智能合约进行尽职调查审查，确保必要的风险管理控制措施被纳入智能合约的最终设计中，并涵盖升级智能合约的程序/考虑事项。如有必要，授权机构应考虑聘请专业建议，包括合适的第三方，在部署智能合约之前对其进行审计。

了解和减轻潜在的法律风险 -- 将 DLT 应用于传统金融市场活动的法律基础仍在不断发展。例如，关于代币化产品的发行和交易，在传统金融系统中，“结算最终性”是一个明确且明确界定的时间点，由强大的法律基础支撑，而在 DLT 安排下，由于使用基于共识的验证机制，结算最终性达成的时间点可能不那么明确。根据传统产品的“代币化”方式，可能还会对其法律地位和随后的监管处理方式产生变化。授权机构应意识到这些可能的法律灰色区域，必要时寻求专业建议，并在设计过程中采取措施，减轻随之而来的法律风险。

有效管理与第三方相关的风险 -- 香港金融管理局期望授权机构在评估是否采用 DLT 解决方案的过程中，已经审查并确定自己能够管理参与 DLT 安排的第三方可能带来的风险。特别是鉴于 DLT 网络基于共识机制运作，因此依赖节点操作员来验证和确认对账本的更改，授权机构应根据手头的应用，充分考虑节点操作员是否足够值得信赖、可靠和多样化。

如果发现不足，授权机构应采取充分的风险补偿措施。还应考虑 DLT 网络的设计可能对其充分管理与第三方相关的风险的能力产生的影响。例如，无许可网络在设计上具有开放的成员资格，并允许任何参与者（包括使用化名的参与者）成为验证者。在这些情况下，授权机构对所涉及的第三方的控制较少，因此除非它们能够采用充分的风险管理补偿措施，否则授权机构采用这种类型的 DLT 解决方案用于高度关键或敏感的功能可能不合适。

安全地实现互操作性和连接性 -- 香港金融管理局期望授权机构尽可能将其基于 DLT 的系统设计为兼容传统与其他基于 DLT 的解决方案，并能够与之“沟通”。这可能有助于限制市场碎片化，支持运营效率，并确保 DLT 解决方案的长期相关性。

例如，香港金融管理局一直在鼓励银行探索部署 DLT 来接受存款的潜力（即“代币化”存款），因为这种存款活动在《银行条例》下是允许的。在此过程中，需注意到的银行的观点是，只能在授权机构自己专有网络内使用的代币化存款，相比于可以用于银行间转账和结算存储在不同 DLT 网络上的各种代币化资产的存款，可能对客户带来的额外价值相对较少。考虑到这一点，建议授权机构考虑采用更广泛被行业接受的技术标准来支持兼容性。与任何银行间举措一样，授权机构应确保这些连接的安全性，包括保护它们免受网络攻击、潜在的安全漏洞和数据泄露风险。

持续维护与监控

建立与传统技术应用相同级别的网络安全机制 -- 基于 DLT 的应用应享有与传统底层技术相称的网络安全级别。香港金融管理局期望授权机构采取有效的机制来应对DLT特有的网络风险（例如51%攻击）以及其他常见的网络安全威胁（例如分布式拒绝服务，即DDoS攻击）。授权机构还应警惕威胁行为者的新兴作案手法和可能影响DLT应用安全性的全新技术发展（例如量子计算），并定期更新其应对能力。

安全管理私钥 -- 授权机构访问和保护私钥的责任取决于其采用 DLT 应用的目的，以及其是否提供某些服务。鉴于可能性各不相同，香港金融管理局通常期望授权机构证明其已制定了强有力的政策和程序，为其持有或管理的任何私钥提供与应用的性质和风险、与私钥相关的底层资产以及授权机构承担的职责相适应的安全级别。

例如，为客户的数字资产提供托管服务的授权机构通常被期望采取更严格的安全程序，以确保相关的私钥（以及适用的助记词）始终安全生成、存储和备份。这可能涉及多种措施，包括实施控制措施以严格限制对密钥的访问，使用冷存储并开发异地备份和其他应急安排等。

保证满足数据隐私和保护要求 -- 无论数据存储在集中化账本还是基于 DLT 的账本上，现行的数据隐私和保护要求都继续适用。因此，授权机构应证明其已建立足够的系统和控制措施，以确保其持续符合这些要求。

如有需要，应采取缓解措施来管理由于 DLT 安排的独特性质而可能产生的复杂问题。这些措施可能包括但不限于：遵守与数据保留相关的要求的困难（例如应对 DLT 网络上数据的不可更改性）、保证个人数据机密性（例如应对某些 DLT 网络的透明性质）以及数据本地化（例如在 DLT 网络分布于多个司法管辖区的情况下如何完成数据保存）。

定制应急计划和测试安排 -- 如果授权机构在关键功能上采用 DLT，香港金融管理局期望其在业务连续性计划（BCP）中包含特定于 DLT 的测试场景（例如常见的 DLT 网络攻击、私钥的丢失/盗窃以及“分叉”的可能性）和应急安排。

特别是，期望授权机构了解并考虑 DLT 网络的独特运行动态，尤其是那些可能影响系统和容量管理的因素（例如验证拥堵的可能性以及加急交易需要支付更高费用的需求），在进行规划和测试时应予以注意。在考虑更极端的情景时，授权机构还应考虑为 DLT 解决方案可能暂时或永久不可用的情况提供备份选项的必要性。