近日,国际清算银行(BIS)创新中心北欧中心发布了《北极星项目:中央银行数字货币离线支付手册》(以下简称“《北极星项目》”),探讨了中央银行数字货币(CBDC)如何用于离线支付的关键方面,包括安全、隐私、可能的风险、解决的方案、以及适用性和运营因素等,为中央银行实现CBDC离线支付提供了指引。
《北极星项目》较为系统地探讨了CBDC在离线支付下的方案和问题,其中介绍了离线支付的几种主要方案类型,包括完全离线、间歇离线和分阶段离线三种。
一是完全离线。是指付款人和收款人都可以完全离线,不受时间限制,付款人和收款人不需要连接到央行数字货币登记系统即可完成付款,并且转账信息会立即转移给收款人,以便他们可以在价值转移结束时使用。
二是间歇性离线。与完全离线一样,付款人和收款人不需要连接到央行数字货币登记系统即可完成付款,并且转账信都会立即转移给收款人,转账额度可以在交易后使用,区别是离线支付参数在某些时候可能会限制交易,间歇性地与央行系统同步才能继续运行。
三是分阶段离线。其特点是在收款人连接到支付系统之前,转账报文不会发送至收款人,转账给收款人的资金不能使用。
其中还包括,离线支付的解决方案需要解决防篡改用户设备、核心组件、远程组件以及价值转移机制等主要问题。
数字人民币的双离线支付仍然处于测试阶段,那么其最终形态会是怎样呢?和上述探讨的问题是否会有相同或不相同的地方?
数字人民币的“双离线”支付指数字人民币在交易过程中,收付双方的终端都处于“离线”的情况下仍然能够完成支付。其能够满足在地下室、停车场、山区甚至是地理灾害等特殊环境下的支付需求。需要清楚的是,数字人民币的“双离线”支付并不是数字人民币的常规使用形态,因此其技术方案也存在一定的特殊性。
据移动支付网了解,目前的双离线支付主要采用NFC技术来实现,需要收付双方设备具备内置安全芯片的硬钱包功能(涉及数字证书的存储、签名和传输)。
为何是“NFC”技术,在移动支付网看来一方面在于基于NFC的支付技术已经在过去几十年被验证了其安全性和有效性,另一方面在于NFC技术能够实现交易双方数据的离线交互,而二维码无法做到。
其次,数字人民币的双离线支付则完全是由离线的支付终端交互实现资金的转移,因此理论上支付币串需要在一定时间内存储于本地,其中涉及到的是有限存储空间的可离线支付次数、离线状态下货币的二次流转问题等。
因此,可以肯定的第一点是,关于防篡改用户设备,数字人民币在双离线的情况下防篡改需要是“硬件”的方案,也就是基于“安全芯片”的方案,将应用程序和数据加载到安全元件,经过高级别安全认证,提供防篡改用户特性。TEE(可信执行环境)以及软件方案,不会是最初的目标设计方案。
第二点在于,关于离线支付的方案类型,数字人民币会采用完全离线、间歇离线还是分阶段离线?
完全离线与间歇性离线之间的区别在于,完全离线没有时间限制,允许资金的二次流转,而间歇性离线与完全离线几乎一样,只是在一定的时间或者条件下需要“联网同步”才能继续使用。而分阶段离线则不允许资金的二次流转,在单次离线支付之后需要联网同步之后,收到的资金才能使用。
在移动支付网看来,数字人民币既不会设计成“完全离线”形态,允许数字人民币在双离线状态下一直处于不可追溯中,这不利于数字人民币的安全可控,且有较大风险。同时也不会像“分阶段离线”那样,离线收到的资金即不可二次流转,这样会大大影响数字人民币的使用效率和支付体验。
因此,“间歇性离线”或许是最适合数字人民币的离线支付方案,给双离线支付设定一定的支付条件,比如交易次数、交易额度、交易时间等等,在设备“联网同步”之后恢复。这一方面可以使数字人民币的离线交易处于相对可控的状态,利于风险管理,另一方面在收付设备同时“离线”的情况毕竟是特殊和少数情况,次数和额度上的交易限制不会颠覆性地影响其使用体验,是相对能够接受的解决方案。
尽管如此,由于安全防伪、风险管理、技术标准等诸多需要考量和实践的问题,目前数字人民币的双离线支付仍然处于测试中,相信在无电无网支付、超级SIM卡硬钱包等技术方案的持续推进下,双离线支付必然会迎来真正落地的时间。