前言

本文是“下一代区块链系统”系列的第二篇。我们在上一文中提到发展下一代区块链系统所要考虑的设计原则，其中交易完备性和交易的监管是重中之重。本文将围绕分布式交易所中金融市场基础设施建设原则(Principles for Financial Market Infrastructures, PFMI)，在此基础之上分析下一代区块链金融系统。

本系列文章将比特币、以太坊、超级账本都定位为第一代系统，2020年后发展的为下一代区块链系统。下一代系统在设计、架构、交易、共识、监管、扩展机制上都与第一代不同。

文（一）我们根据美联储、国际清算银行、英国央行等重要机构对央行数字货币（Central Bank Digital Currency, CBDC）的观点得出下一代区块链系统需要解决交易性、监管性、安全性、扩展性等问题，而交易性和监管性是第一代区块链系统没有重视的问题。

PFMI是多年在许多系统累积经验才发展起来的，而区块链系统只有10年左右的历史，还未成熟。由于PFMI的内容丰富，本文只讨论2017年加拿大央行提出的实验报告。这份报告是世界第一次使用PFMI来评估区块链系统在央行系统里的应用，评估的结果却是负面的。这是很正常的结果，在新科技刚出来的时候，早期实验结果多半是负面的，但是进步后以后的实验才会成功。这次报告针对数字货币可能存在的风险指出了重要的研究方向，这些方向引导了我们过去几年的研究计划，包括交易技术上的优化和监管技术等。

我们认为区块链研究必须研究金融交易技术，并且在2019年将金融交易技术列为区块链10大研究方向之一。本文将讨论交易技术，即流动性节省机制（Liquidity Saving Mechanism, LSM）。加拿大央行在2017年提出区块链系统需要处理LSM，后来欧洲央行和日本央行也提出需要LSM，而更早英国央行提出更新RTGS系统也是为了预备解决LSM的应用。

区块链设计需要多维度的优化，不能单线优化。过去一些区块链研究集中在共识机制（例如共识速度）。但是共识机制不等于交易机制，共识机制只是交易机制的一部分，单独共识机制不能解决交易完备性，而交易完备性是区块链金融系统最重要的属性。据文（一），美联储2021年报告没有提到共识速度是CBDC的必须条件，反而认为交易完备性是必要条件，由此可知区块链研究方向需要有一点调整。下一代区块链系统两个最重要的维度是交易性和监管性，根据这两个属性导出的区块链和传统区块链系统大不相同。区块链系统研究不能只专注于系统本身的研究，还需要和市场需求配合[13]，并且认为如果一个链设计时没有考虑PFMI的需求，很难在合规市场上使用[14]。

这份报告发布已有4年，中间获得了很大的发展,国内外对这课题的兴趣已经完全不同。在2017年时候这是新兴科技研究，现在却是新型货币战争的重要科技，而PFMI没有因为大家的关注或是新科技出现而降低重要性，反而越来越重要，由于PFMI启发了下一代区块链设计。以后区块链还要有许多新设计出现，而PFMI都会起到引导的作用。本文第1节首先介绍PFMI的历史以及24类原则，并且讨论4项和区块链相关的原则；第2节讨论2017年加拿大银行的报告以及我们的观察；第3节主要讨论我们的观点。

1.PFMI简介:24项原则

PFMI是由国际清算银行支付结算体系委员会（CPSS）和国际证监会组织（IOSCO）为了防止2008年金融危机的重演而提出的国际评估标准。PFMI是通用原则，适用于每个国家的金融系统[1]。又由于每个国家的金融系统使用的软件和硬件都不同，相关的法律也不同，虽然有统一国家标准，在实际评估时还需要大量考量。但如果系统在设计时充分考虑了PFMI原则，确保服务的合规性、抗风险和扩展性，金融系统经常遇到的问题大部分都可以解决。

PFMI从9个角度界定了24项原则，其中包括明确和严格的监管原则。24原则分为下面规则组：

例如，原则23要求“披露规则、关键程序和市场数据”，原则24要求贸易储存库披露市场数据。披露框架旨在提高关于金融市场基础设施（Financial Market Infrastructure，FMI）的信息的基本透明度。而一些著名数字代币长期违反这两项原则。这种透明度的目的是帮助参与者、当局和公众更好地了解 FMI 的活动、风险状况和风险管理做法，从而支持 FMI 及其利益相关者的正确决策。这样，披露框架将实现加强金融稳定的更大公共政策目标。所有金融机构在建立和运行金融体系时都应遵循PFMI。风险管理是FMI系统的重要目标，PFMI确定了FMI面临的以下七大风险：系统风险、法律风险、信用风险、流动性风险、一般业务风险、托管和投资风险、运营风险。

PFMI原则非常全面，考虑到许多方面，例如系统架构、安全性、隐私性、流动性管理和操作风险管理[2,3]。由于2008年的时候，许多金融系统不符合PFMI原则，以至于一个国家的金融危机可以经过金融系统传到另外一个国家。如果这些系统符合PFMI原则，就不会发生这种现象。加拿大央行出研究报告后，多次批评现在区块链系统，认为这些系统如果不改就不能被世界央行采用[4,5]。后来欧洲央行、日本央行、英国央行也跟进使用PFMI来评估区块链系统[6,7]。

1.1. 四项PFMI原则

第一项 可靠性：PFMI多次提出这需求，就是金融交易系统在全方面都必须是可靠的，这包括不能有单点系统的问题造成系统瘫痪的情况。这点加拿大央行重复讨论。

第二项 可监管性：PFMI多次提到央行或是监管单位需要监管金融系统，例如PFMI 4.5.9规则：

付款和结算安排

4.5.9. 当金融市场的支付和结算系统已经流动性机制具有系统性风险，相关监管、监督、管理单位需要对这些风险评估，而且这些风险评估必须考虑央行的观点。央行可能有兴趣参与金融市场基础设的支付、结算、流动性风险管理程序，因为央行需要执行国家货币政策和维持金融稳定。此外，如果央行因为其职责的关系，必须对这些系统做风险评估，也要考虑和尊重这些金融系统的负责单位。

PFMI对监管有着明确而严格的规定，例如其中规定关键程序和市场数据都需要提供充分的信息，公开披露，供参与者能够准确了解；其次需根据有关管理部门和公共各自的的需求，及时准确地提供各种交易数据库市场数据。目前区块链或是数字货币可监管性并没有统一标准。

第三项 可扩展性运行效率：PFMI 文件也多次提到系统必须可以扩展，而且每次提到扩展性都和可靠性一起提出，表示系统必须同时间可扩展而且扩展机制是可靠的，并且提出这会是系统运行的一个重要风险。例如PFMI 3.20.20规则：

3.20.20. 交易数据存储库 (Trade repository, TR)应仔细评估与其链接相关的额外运营风险，以确保 IT 及相关资源的可扩展性和可靠性。

第四项：数据隐私性：PFMI 提出金融系统需要根据当地法律来保护客户隐私,并且提供安全以及高效的保护机制。大部分国家法律都要求金融系统保护客户隐私数据，其他的客户和相关操作人员都不能看到客户的数据，例如欧盟的通用数据保护条例（General Data Protection Regulation, GDPR）；但是央行及监管部门要能随时且高效的查询到所有账户及其相关的金融信息。数据隐私性量化和应用相关。

1.2. PFMI的应用

PFMI是通用型金融基础设施原则，使用时需要根据PFMI导出对应系统的评估解释和方法。每个系统最后评估的方式会有一些差异，但大同小异。例如一个国家可能使用特殊数据库，而其他国家使用其他数据库，两个数据库不同，评估方法会有一些不同，但是都相差无几。因此PFMI不是食谱(cookbook)形式的指示，而是列举重要原则。而原则要落地使用，还需要对PFMI有深度的了解，页需要清楚被评估的系统的特性。

PFMI公布的时候，区块链系统还没有流行，因此所有PFMI的原则的制定都是根据传统金融系统(图1左)。区块链流行后，多人提出使用PFMI来评估基于区块链的金融系统评估。最初的评估方式是根据公链或早期联盟链制定，属于早期探索材料，第一代区块链系统的评估方法由此出现。加拿大央行、欧洲央行、日本央行在2017-2018年做的实验就是评估第一代区块链系统。后来第2代区块链系统出现，于是需要第2代评估系统的方法。

图2 欧洲央行的LSM机制

指导方向：

加拿大央行清楚表明数字货币第一要素不是设计区块链系统，而是考虑数字货币的信用和流动性风险。同时这两个风险主要是靠货币制度来解决，页需要考虑现代金融交易的流程。这些确定后才考虑如何设计和部署区块链系统。例如蝴蝶模型，是根据美国财政部制定的数字稳定发行和监管制度开发出来的作业模型，模型出来后，才考虑如何使用区块链来实现蝴蝶模型。英国Fnality的模型也是先设计发行交易模型（一币一链一往来账后模型），再考虑如何实现这模型。

第一个风险结算风险没有出现在原始PFMI文件内[7]，是加拿大央行根据PFMI和第一代区块链系统而加上的解释（图1）。但是加拿大央行这里并没有展开了讨论。一笔交易会不会因为其他因素而不能完成交易流程？回答是可能的。通讯问题、加解密问题、同步并发的问题以及 LSM的问题，都可能造成这笔交易出问题。

第2个风险是这交易是不是最终能够结算，如果可以，在那个步骤结束？在公链，每一的共识代表一次结算的可能性，但是这是有概率的。每一次共识只是代表一笔交易结算存在概率性。这样每一次共识意味这可能就是最终结算。

但是在联盟链，只要设计正确，就有确定的结算结束步骤。加拿大央行认为只要DDR到达一个数字账户（数字钱包），就认为该交易结算完成。由于使用DDR币，代表CBDC，没有信用风险，一旦DDR进入一个账户，表示账户有确定的资金。因此使用联盟链就不存在这样的问题。

我们的观察：

过去有学者认为所有区块链系统有最终结算问题，因为不清楚何时可以认为结算完成。对此加拿大央行并不同意。只要DDR进入账后，就代表结算结束，这是联盟链的特性。

在第一代联盟链，交易也等于结算。即使是第一代区块链系统，也只有公链才有最终结算问题。公链由于有分叉的可能性，结算需要等一段时间，于是何时可以知道结算完成是一个问题。而联盟链没有这个问题。

相反在第2代区块链系统，共识机制和交易机制解耦，交易和结算也解耦，最终结算是由结算机制决定。

指导方向：

结算流程风险和最终结算风险都是区块链设计的重要课题。第一代区块链系统都是死绑定，例如交易和共识绑定，交易和结算的绑定，作业有很大的限制且不符合现在金融系统交易的原则。PFMI将交易和结算分离，而且交易完成后可以回滚，这些在第一代区块链没有做到的。这里最重要的指导是“根据现代金融系统交易和监管原则来设计区块链系统”。以这样方向出发，下一代区块链系统和第一代就有巨大的差距。

操作风险：加拿大央行认为区块链系统有3个操作风险：1）弹性 （resilience）风险；2） 安全（security）风险；3）展性 （scalability）风险。因为这次是实验，不好从安全角度分析，加拿大央行只有在弹性和扩展性风险上做分析。

弹性风险：一个系统有弹性代表这系统有足够的灵活度，可以动态调整系统来维持系统作业和性能。

加拿大央行认为公链的弹性是可以的，因为以太坊在公开环境下运行多时，即使出现过问题（例如2016年的The DAO事件），但是系统后来依旧在运行。不论是公链还是联盟链，一旦加上其他机制，例如加入中心化的LSM机制，这子系统一出现问题会影响整个系统。对此加拿大央行认为有3个风险：

扩展性风险：在扩展性上，加拿大央行每天处理32万笔小额支付，每天最高交易速度时平均一秒10笔交易。而以太坊当时一秒可以处理14笔交易，所以加拿大央行认为以太坊系统处理交易速度可以满足平时的需求，但是高峰时段可能达不到要求。

我们的观察：

过去区块链系统处理速度一直被诟病。但是加拿大央行在2017年报告对此进行反驳，我们在2018年也提出同样观点，脸书同样在2020年论文中提到过去长期对区块链系统的批评是不合理的。如果只是系统平均速度做决定，区块链系统早就可以在央行系统里使用。

特别是在批发阶数字货币层，区块链系统处理速度早就可以满足日常的交易处理需求。欧洲央行提出银行间交易（批发数字货币）速度一秒不到30笔，日本央行的银行间交易更小，而加拿大央行的银行间支付数目最小（低于2），低到当时的区块链系统都可以使用。即使是大型交易所，如纽约股票交易所、上海股票交易所等，平均交易一秒都没有超过1000。而在2017-2018年区块链系统每秒已经可以稳定超过一秒7000笔交易。

上面是以平均值来算，当时的区块链系统已经足够。欧洲银行报道在高峰时间大部分一秒不到200笔交易（这样高峰会长达几分钟），而最高峰时候是一秒600笔交易，但这最高峰只长达几秒。但是一秒600笔交易还是低于当时可以完成的联盟链系统速度。

对于央行以及股票交易所系统，平均速度不是唯一的评估标准，其他因素更重要，例如交易完备性、监管性等。因为需要处理KYC、AML、结算等，这些会增加交易完成时间，但是交易速度不会降低。这在文（一）有讨论。

指导方向：

弹性风险和扩展性风险的重要指导是区块链的设计必须维持交易性和监管性。不能有了弹性，没有交易性或是监管性；或是有了扩展性就失去交易性或是监管性。许多金融应用不需要高速交易，但要保证有正确和安全的交易，而且可以全程监管。如果一个系统只能选择交易性或是扩展性，那么交易性的优先级必定要高于扩展性。即使不能扩展，系统还可以在小范围运行；但是有扩展性，而没有交易性，就有系统性的金融风险，伤害更大。

2.3. 透明度（Transparency）和隐私性(Privacy)

透明度风险是指金融系统公开信息不够产生的问题，例如金融交易所需要公开交易流程，合规流程和数据等；稳定币需要公开准备金。一旦事件发生，客户可以知道经过的流程，可以据理要求赔偿。另外金融系统必须提供监管单位需要的数据方便监管单位执行任务。原始PFMI文件竟然有32次提到透明度的需求。

我们的观察：

加拿大银行在透明度上没有做大量讨论，但是后来美国财政部和SEC等单位大力批评数字代币的透明度。美国SEC认为一数字代币稳定币一直不肯有透明度，后面的准备金从没有清楚过，也发生内线交易现象。这是都是不合规或是被严令禁止的活动。

隐私性一直是金融系统的重要条件，客户信息不能让无关的人知道。

加拿大央行认为批发支付系统（银行间交易就是批发支付）的一个基本要求是，参与者需要对未参与交易的各方保持交易的隐私性。这是为了以防止其他参与者试图利用这个信息。同时，加拿大央行认为他们应该看到所有交易数据。这隐私保护不适用央行监管单位[14]。

对于公链，交易信息公开（几乎没有隐私），参与者的客户也可能喜欢或要求这种隐私性。但加拿大央行不接受这样的设计，认为这不适合任何央行或是银行作业。

相反，基于公证人的DLT系统，如Corda系统，可以有比较好的隐私性，因为可信的第三方(例如参与的加拿大银行)帮助验证所有交易。但是Corda系统有一个严重问题，就是参与共识验证的只有部分节点，所有节点获取的信息不一致，没有参与共识的节点缺少相关信息，这就引起透明度问题。缺乏透明度会产生许多问题：

区块链技术有可能给现有FMI带来重大深远的改变，但在解决系统现有问题、提升能力的同时，可能会引入新的效率和安全性问题，甚至会造成系统性风险。PFMI也是金融机构评估新技术（如区块链）在金融领域中应用可行性的主要依据。正如我们之前文章中所说[1]，“区块链的出现不会也不能改变PFMI，反而区块链的设计必须根据PFMI而改变”；还需要根据PFMI原则来衡量金融领域的区块链系统，系统设计可能存在诸多问题，如可靠性和容错性、可扩展性、账户查询、清结算、金融效率、可监管性和可回滚性等。

参考文献

[1].Xiaoying Bai,Wei-Tek Tsai,Xiaofang Jiang,Blockchain Design -- A PFMI Viewpoint,to appear in 2019.

[2].Rong Wang,Wei-Tek Tsai,Juan He, Can Liu,and Enyan Deng. A Distributed Digital Asset-Trading Platform Based on Permissioned Blockchains[C]//International Conference on Smart Blockchain. Springer,Cham,2018: 55-65.

[3]. Wei-Tek Tsai,Xiaoying Bai,System requirements for PFMI and financial blockchain: Are we ready to encounter the failure of the second wave of blockchain projects?2018.12.24 (in Chinese).

[4].sMcvanel D,Murray J. The Bank of Canada’s Approach to Adopting the Principles for Financial Market Infrastructures[J]. Financial System Review，2013.

[5].Payment systems: liquidity saving mechanisms in a distributed ledger environment， European Central Bank and Bank of Japan， 2017.

[6].Russo D. CPSS-IOSCO Principles for financial market infrastructures: vectors of international convergence[J]. Financial Stability Review， 2013:69-78.

[7].Bank for International Settlements (BIS), Principles of Financial Market Infrastructures, 2012.

[8].蔡维德等. 智能合约：重构社会契约, 法律出版社,  2020.10.

[9].蔡维德,姜晓芳,王康明."美国合规稳定币管理模型：新型货币战争进入第二阶段（二）",2021.02.22

[10]. Wei-Tek Tsai, Weijing Xiang, Rong Wang and Enyan Deng, LSO: A Dynamic and Scalable Blockchain Structuring Framework [C]// BChain 20

[11].Wei-Tek Tsai, Dong Yang,Kangmin Wang,Weijing Xiang and Enyan Deng, Srisa: A New Architecture to Enforce Travel Rule//FICC 2020

[12].蔡维德,赵梓皓,张弛,郁莲 ,邓恩艳."熊猫-CBDC央行数字货币模型",2016.11.05

[13].蔡维德,白晓颖."PFMI与金融区块链的系统需求: 我们是不是预备遇到第2波区块链项目的失败?",2018.12.2

[14].蔡维德等."区块链的第五大坑（下）—— 从PFMI的角度谈区块链",2018.08.16

作者：

蔡维德

北航数字社会与区块链实验室主任，天德科技首席科学家，国家科技部重大项目负责人，中国信息界区块链研究院院长，国家大数据（贵州）综合试验区区块链互联网实验室主任， 天民（青岛）国际沙盒研究院院长， 赛迪（青岛）区块链研究院名誉院长，中国亚洲经济发展协会区块链产业专业委员会会长，人民创投区块链研究院专家委员会特聘专家，中国区块链生态联盟专家委员会主任，山东省互联网金融工程技术研究院中心首席科学家，广电运通区块链首席科学家

向伟静

北京航空航天大学数字社会与区块链实验室硕士研究生