用于数字支付的隐私增强技术 ： 绘制景观图

作者 ： 拉斐尔 · 奥尔、雷纳 · 博姆 · 贝姆、杰里米 · 克拉克和迪迪姆 · 德米拉格 货币和经济部 2025 年 1 月 JEL 分类 ： E42 ， G23 ， G28 ， O32 。 关键词：隐私、增强隐私技术、支付、大型科技公司、金融科技、监管、智能合约、零知识证明、应用加密技术、数字货币、数字货币、稳定币 BIS 工作文件由货币和经济组织成员撰写国际清算银行部 ， 并不时由其他机构经济学家 ， 并由世行出版。这些论文是关于主题的兴趣和技术性。他们表达的观点是他们的观点作者 ， 不一定是国际清算银行的观点。 该出版物可在 BIS 网站(www. bis. org) 上获得。 © 国际清算银行 2025. 保留所有权利。未经许可，不得复制或翻译，但可摘录简短内容并注明来源。 ISSN 1020 - 0959 (打印) ISSN 1682 - 7678(在线) 数字支付的隐私增强技术 ： 绘制景观图∗ 拉斐尔 · 奥尔†Rainer B - ohme‡杰里米 · 克拉克§Didem Demirag 2025 年 1 月 23 日 Abstract 如何通过技术增强数字支付系统中的隐私保护？本文对注重隐私的用户、商业数据持有者以及执法机构的利益进行了系统的评估。我们按照隐私与审计透明度之间的权衡，以及基于软制度与硬技术解决方案的分类，对增强隐私的设计进行了分类。我们将现有技术映射到这一分类体系中，并对其进行了评估。复杂的技术手段可以通过内置规则来实现既严格的隐私保护又有限的透明度。总体而言，现代零知识证明等新颖概念具有潜力，但当前的技术在安全性和计算能力方面仍存在局限性。该领域还需要更多的技术发展。此外，努力可以集中在通过技术手段增强这种严格隐私保护，同时实施技术强制访问控制和减少存储的数据量，使滥用行为变得透明，并使数据持有者承担责任。 关键字:隐私保护 隐私增强技术 支付 大科技 金融科技 规范监管 智能合约 零知识证明 应用密码学 数字货币数字货币 稳定币 JEL:E42, G23, G28, O32 1 在数字支付中收回隐私 支付记录包含高度敏感的信息。随着数字支付的广泛应用以及智能手机和数据驱动技术的普及，用户个人信息——包括财富状况、兴趣以及其他敏感数据——面临被收集、分析并用于价格歧视、广告等目的的风险。1 我们主张不应推崇特定解决方案，而是认为数字货币隐私问题应在公共政策讨论中占据核心地位。经济学家们长期认为，现金提供的隐私对于社会而言是宝贵的（参见[Kahn等，2005]）。而隐私不仅仅是便利的问题，这一特性对于确保免受数据滥用并帮助维持私人生活的边界同样至关重要，并不仅仅是为了非法目的。 几十年来对增强隐私技术的研究已经表明，在电子系统中实现隐私并非免费；很容易出错，因此在部署之前设计和测试隐私保护措施是至关重要的。在广泛的各种公共和私营机构中，数据泄露事件正变得越来越普遍且代价高昂。新兴技术如人工智能和量子计算可能很快会带来对加密和数据完整性的新型风险。2在智能手机领域，个人往往无法最优地保护自己的隐私，因为冗长的条款和条件使得确定哪些数据是敏感或私人的变得不可能（参见[Acquisti等，2022]）。3 WELL-DESIGNED 支付系统通过提供目前不存在的数字隐私水平，为提升消费者福利提供了机会（参见例如[Agur et al., 2022, Tinn, 2024]）。关于隐私的讨论在零售中央银行数字货币（CBDCs）领域尤为激烈。4例如，GNU Taler 和 Project Tourbillon 项目展示了潜在的技术解决方案，如支付方匿名性。5项目北极星（Project Polaris, [BIS Innovation Hub, 2023a]）则侧重于离线功能；由于完全离线设备上的资金可以在没有数字痕迹的情况下物理交换，这样的设计也可以增强隐私保护。这些实验的经验教训也可以供私营部门参考，以改善消费者隐私。 隐私增强技术应继续被视为所有私人部门数字支付选项的重要考量因素。传统上，保密性是金融行业提供的关键服务之一。然而，金融行业中支付数据的使用正在发生变化（例如，参见[Visa, 2024]），监管机构正在讨论需要采取强大的数据保护措施、用户权利和透明度以保护金融服务中的个人数据（例如，参见[欧洲数据保护监督官, 2023, 英国支付系统监管机构, 2018]）。 在本文中，我们因此考察技术在增强支付领域隐私方面所可能发挥的作用（参见[Darbha和Arora, 2020]）。为了对新型支付系统可能运行的技术进行有意义的讨论，有必要分析其背后的权衡。为此，我们首先从隐私意识用户、商业数据持有者以及执法机构等不同利益相关方的角度评估现有的隐私增强技术。 内在的紧张关系在于隐私目标、执法需求（可审计性目标）和技术性能目标之间的冲突。图1展示了在工程增强隐私的数字支付系统时遇到的相互矛盾的目标的简化表示。许多传统技术可能在扩展性方面表现良好， 1在这一背景下，金融科技和大型科技公司因其广泛的數據接入能力和数据处理能力而涉足金融领域，这使得他们在处理用户数据（包括财务信息）方面受到了审查，参见例如[Frost等，2020]。2有关量子计算对数据机密性的威胁和潜在解决方案的讨论 ， 请参阅 [Auer 等人 ， 2024 年 ， BIS ， 2023 年] 。3作为另一个典型案例，即使是为了提供隐私而特别设计的加密货币也被证明部分可追踪（参见[Möser et al., 2018]和[Kappos et al.,2018]）或展示了技术上的漏洞（参见[Ruffing et al., 2018]）。4零售型CBDC是一种类似于现金的直接债权，面向普通公众，可直接向中央银行的资产负债表提出要求。有关底层技术的讨论，请参见[Auer and Böhme, 2021]。5见[BIS创新 hub, 2023b]中关于支付者匿名性的实现（Project Tourbillon），以及[Chaum et al., 2021, Chaum and Moser, 2022]。另参见[Gross et al., 2021]中的另一种方法。 性能较低且易于审计，但由于缺乏隐私保护；然而，这些措施打开了监控和数据泄露风险的大门。在另一端，完全缺乏可审计性可能意味着失去了打击犯罪的机会。最后，如我们在下文中所述，许多增强隐私的技术同时满足了隐私和可审计性的目标，但它们无法满足大规模零售支付系统每秒处理数千笔交易的计算需求。 我们接下来定义如何保护数据免受未授权访问，并提供授权访问的方法，并绘制出实现这些目标的技术和制度手段的分类图谱。在学术和政策讨论中，隐私通常被简单地描绘为在隐私与透明度之间的一维权衡。这种单一维度的思考忽略了复杂的加密技术，这些技术允许同时拥有隐私和透明度，通过设置一些不可规避的硬编码规则来提供对某些支付记录的访问（例如，付款人始终匿名，或者交易在资金所有者授权部分使用数据的情况下才匿名）。因此，我们首先将增强隐私的设计分为两类：隐私与可审计性以及基于机构与基于技术的解决方案。 此后，我们描述并评估了当前用于设计数字支付中隐私的技术提案。首先，我们调查了“硬隐私”解决方案，即那些完全依赖于密码学和用户保护的秘密而不留有任何人为判断余地的方案。我们发现，一些今天承诺提供此类硬隐私的技术解决方案存在技术性能问题，使得使用这些技术构建大规模支付系统变得不可行。此外，即使技术已经准备好，相关的规则集可能仍然不够完善。不同类型的犯罪与不同的支付方式相关，罪犯可以适应这些规则。6这一观察将我们的注意力转移到硬隐私领域进一步发展的必要性上。 技术也在基于软制度的隐私保护中扮演重要角色。对于软隐私而言，数据保护政策和技术可以限制对支付数据的访问，仅授权需要这些数据的实体。 6现代密码学本质上可以实现任何类型的私人计算，并且可以制定任何类型的规则来规定哪些数据应最小化披露以及哪些数据应无条件保护。主要挑战不仅限于技术层面；很多时候，更多的是政策层面的问题。例如，只有当交易超过一定限额时才提供审计性的规则过于简单。另一个挑战是时机问题。这些规则必须在交易发生之前设定，有时甚至在系统的设计阶段就需要设定，并且之后不能更改。 使其便于支付机制的运作并最小化secondary uses（例如，数据的商业化），同时确立严格执行的保留期限。 总体而言，我们因此认为需要出现更好的技术解决方案来保障严格的隐私保护，并且开发工作还应侧重于构建结合严格和灵活方法的支付系统。这意味着通过严格的隐私保护限制最初可访问的数据量，并通过使用增强隐私的身份管理、标记化、技术强制的数据保留期限限制以及数据持有者的审计等技术手段，使数据滥用变得更加困难。这样的系统将依赖于合规性和问责制，但同时依靠技术强制的访问控制、有限的数据保留期限和审计来支持。最后，考虑到消费者对当前隐私保护方法在数字支付中局限性的担忧，相关司法管辖区还可以考虑促进实物现金普遍接受性的政策。这确保了在量子计算等新兴威胁面前具有弹性的、普遍受信任的隐私支付选项。 本文剩余部分结构如下。第2节概述了各类利益相关方的利益。第3节提出隐私和数据访问的分类，并讨论了增强隐私的技术。第4节讨论了设计数字货币的架构，而第5节则更详细地探讨了支付系统设计的教训。第6节总结全文。 2 利害关系 ： 映射用户、法律执行和商业公司的利益 朝着合理隐私设计迈出的一步是理解关键利益相关者是谁以及他们在支付记录方面的利益是什么。了解潜在冲突的利益有助于制定需求并缩小技术解决方案的范围。利益相关者包括用户（可能还包括未开户用户、无证件人士、儿童、外国居民或游客）、商家、银行和支付提供商、政府（监管机构、执法部门和情报机构）以及其他对隐私与透明度之间的张力感兴趣的各方（例如，隐私倡导者）。 我们从对所有相关方进行了详细的利益相关者分析开始，但发现通过考虑仅三个利益相关者类别即可很好地捕捉到关键矛盾。 1. 隐私爱好者 ： 对隐私感兴趣的支付系统的用户 ； 3. 数据持有者 ： 记录和货币化财务数据的实体 ， 包括商家、银行和支付处理者。 图2可视化了我们识别出的这些利益相关者类别之间的矛盾关系。表1通过使用简单的序数尺度比较了不同的支付选项处理这些已识别冲突的效果：良好、尚可和较差。 我们首先探讨隐私倡导者与执法机构之间的关系。在这里，我们考虑一种类型的隐私倡导者，他们遵守法律并认为有效的执法可以遏制犯罪，但同时也相信错误、泄露和过度干预可能成为未来的潜在担忧。执法机构偏好在获取与其调查相关的支付信息时尽可能减少摩擦。 尽管这两方的利益相关者的隐私偏好看似截然相反，这仅是因为每个人都“被视为罪犯”。假设能够完美区分犯罪活动与良性交易，并且无条件保护良性交易数据，那么双方都会满意。这可能难以实现，但支持隐私的支付解决方案可能是可行的。 系统试图近似这个。7一个研究方向是在一定阈值（例如10,000美元）以下提供交易隐私。这可能并不总是符合执法的需求，例如在“smurfing”情况下，大额支付被拆分成多个较小的交易以低于阈值。 隐私爱好者会认为现金在很大程度上解决了他们对执法部门的担忧 (表示为 P→表 1 中的 L) ， 而执法部门会担心隐私爱好者广泛使用现金 (表示为 L→然而，在借助于冠字号码、标记钞票、指纹识别、合规企业的大额现金交易报告、ATM监控以及小额面额钞票运输和保护的高成本等因素的帮助下，执法部门仍能在不确定的环境中追踪现金。 加密货币提供的隐私水平各不相同（表1下一行）。主要的加密货币如比特币和以太坊提供伪匿名，并且可以被去匿名化（参见[Meiklejohn等，2013]和[Nadler和Schäer，2023]）。其他一些加密货币提供了更强的隐私保护，其中用户生成的公钥定义账户，相应的私钥通过数字签名授权交易。设计意图是模仿现金的隐私规定，但效果因情况而异。8如今 ， 用户可以在具有不同匿名级