- DCEP 是“成色”最好的人民币,是人民银行对持有者的负债,比商业银行存款少了

一层银行信用风险,比三方支付平台又少了一层商业机构风险。 

 

- DCEP 借鉴了比特币的 UTXO 网络结构,但没有使用分布式账本,登记中心由央

行唯一中心化维护,不必像比特币需要公告全网,再由矿工打包进区块并运行共识

算法。 

 

-根据此前相关的评论和央行的专利情况,DCEP 的“双层”运营架构摆脱了数据为金

融中介机构所控制的设计,尽管仍由中介负责发行和KYC任务,但所有交易数据只

对央行这一第三方披露,投放机构每日将交易数据异步传输至央行。 

 

-相比之下,Libra V2.0的设计显示在早期阶段用户的支付数据仍然会被三方中介机

构所截留。并且,负责监控可能是数以十亿计的全球用户敏感数据的FIU部门或将

由私人部门构成,是否具有跨境调用、分享敏感数据等行为的权利存疑。 

 

- Libra 试图实现的“无托管钱包”由于前期“高举高打”的策略,还未诞生便成为各国监

管重点关注的对象,上线的时间表犹未可知。相比之下人行的 DCEP 在隐私层面暂

时优于Libra 2.0,更具备成为“世界货币”的潜力。 

 

-因 DCEP 支持“双离线”支付,若有大量永不上线的资产在民间流转,则当没有中介

机构的信息时,人民银行可能无法兑现用户的追索,这个问题还有待来自官方的更

多信息才可明确。 

 

报道显示中国人民银行近日已经开始试点运行数字货币 DCEP,使得中国正在成为世界上第一

个发行主权数字货币的主要国家。尽管中国绝大多数行业受到新冠疫情的负面冲击,但央行数

字货币在时间进度表上并未落后市场预期,显示中央对于法定数字货币研发工作的重视程度颇

高。 

 

但讨论起 DCEP 未来或有哪些影响,有三大绕不开的问题很多人或许尚存迷思。首当其冲的

便是 DCEP 到底跟商业银行、支付宝甚至Libra有什么区别?第二,DC/EP 是否会被广泛接受

,到底有哪些独特的应用场景?尤其考虑到日常生活中三方支付平台已经处于饱和状态。第三

,尽管坊间盛传央行数字货币将成为挑战美元霸权的利器,但在任央行官员从未提起过相关内

容。所以 DCEP 究竟以什么样的路径在国际上推广运营,大家并不清楚。币安研究院将推出

系列报告围绕以上三个问题展开探讨。 

 

本篇报告将聚焦于第一个主题,通过拆解 DCEP 潜在的独特结构,发现其在隐私层面所具有

的独特优势,这一优势往往不被人重视,但或将成为推动 DCEP 成为下一个世界强势货币的

主要力量。 

 

1. DCEP的形态和功能 

1

4月14日晚间,根据媒体报道,央行数字货币 DCEP 已在中国农业银行进行内部测试,报道

2

展示了央行数字货币钱包的功能页面和注册流程。4月16 日上午,《科创板日报》报道了央

行数字货币的首个落地场景,苏州相城区各区级机关和企事业单位,工资通过工农中建四大国

有银行代发的工作人员,将在 4 月份完成央行数字货币DCEP 数字钱包的安装工作;5 月其工

资中的交通补贴的 50%将以数字货币的形式发放。央行数字货币进入落地阶段。 


 

根据媒体的截图,该测试APP有4个常见功能入口,分别为扫码支付、汇款、收付款二维码、

碰一碰。前三个功能较容易理解,而第四个功能可能是央行之前提过的“双离线”支付,即收付

双方都不需要接入互联网即可实现适当额度以内的交易功能。 

 

此外,另外一组截图还显示 DCEP 钱包分为四类账户,其中等级最低的四类户只要手机号或

邮箱即可注册,升级至三类户则需要身份实名验证,二类户则需要绑定银行卡,一类户要求暂

3

时不明,按照通常经验或需要柜台面签或仅属于企业账户。 

 

3

 考虑到银行卡必须柜台面签,绑定银行卡后仍旧需要柜台面签似乎是多余的 

图2:媒体报道农业银行DCEP钱包注册流程 

 

表1:根据农行DCEP钱包截图推测的账户等级要求 

账户类别 验证要求 

四类账户 手机号/邮箱 

三类账户 手机号/邮箱+身份证 

二类账户 手机号/邮箱+身份证+银行卡 

一类账户 或需柜台面签或只属于企业账户 

 


4

央行数字货币研究所所长穆长春此前在网上公开课中曾提到,出于便捷和匿名性考虑,最低

等级的央行数字货币账户可能只需要一个手机号便可注册,但只能满足日常小额支付需求,认

证等级越高,使用限制越低。按照这种规划,上述图中的四类账户可满足一定程度的匿名性。 

 

最令人意外的是,仔细观察第一张截图发现,仅仅邮箱注册似乎也可以使用四类帐户,这样的

门槛低于穆长春此前提及的  手机号注册。如果成真,这将大大降低DCEP钱包的开户门槛,

4

 穆长春2019《科技金融前沿:Libra与数字货币展望》

为DCEP的跨境使用及推广带来巨大的便利。因为目前中国要求新注册手机号必须柜台面签,

对于非大陆居民来说这样一个手机号并不容易获得。 

 

在利于自身推广的同时,DCEP 若以较低的收付额度+大数据监控作为附加条件,则可以严格

控制自身在跨境使用中的资本流动风险,同时也可以降低人民银行在国际上的声誉风险,包括

各国最为关心的反洗钱、反逃税、反恐怖融资等。  

2. DCEP的Token网络模型 

我国央行发行的数字货币称为 DC/EP(Digital Currency Electronic Payment),属于法定加

密数字货币,具有无限法偿性,其本质是人民币的数字形式,是人民银行对持有者的负债。尽

管央行数字货币的网络可以是基于账户体系的,也可以是基于Token体系的。但基于对当前专

利的观察, DCEP 或大概率使用了一种类似比特币的 UTXO 结构的网络模型。 

 

账户模型是指,资产转账行为需要基于对每个用户的实名认证开立的账户,在数据库里进行交

易双方的余额记录修改,所有交易可以并行。而 Token网络模型则是记录所有资产(每个

Token)的所有权的变化,而不是账户的状态变化,交易不可并行,保证了交易记录完整存在

的同时可以压缩网络信息的体积。但与比特币等使用分布式UTXO网络结构的加密货币不同,

DCEP 使用了基于UTXO的中心化账本,登记中心由央行唯一中心化维护。 

 

图3:账户网络模型和Token网络模型的转账 

 

 

表2:电子货币、虚拟货币、加密货币、央行数字货币的区别 

 电子货币 虚拟货币 加密货币 央行数字货币 

代表 银行卡、支付宝余 Q币、游戏币、积比特币、以太坊等 DCEP、E-Krone 

额 分等 

发行主体 金融机构 企业 分布式网络、个中央银行 

人、企业 

流通范围 大多数市场 小部分人群 小部分人群 整个市场,与法币

一致 

结算属性 电子化金融机构负电子化代币 电子化代币 电子化央行负债 

债 

流通方向 双向流通 单向流通 双向流通 双向流通 

信用保障 金融机构信用 企业信用 个人信用或企业信央行信用 

用 

隐私保护 实名 匿名 匿名 可控匿名 

交易费用 一般有 无 有 无 

网络形式 账户模型 账户模型 Token模型 账户/Token皆可 

关联银行卡 需要 不需要 不需要 不需要 

 

3. 风险与不对等的补偿 

5

关于DCEP的运营模式,“双层”架构似乎已经是众所周知的事实——双层架构又称为“二元模

式”,指中央人民银行先把数字货币以 100%准备金兑换给银行或其他金融机构,随后这些机

构向社会公众进行发放DCEP。二元模式可以充分调动商业银行现有货币发行流通系统,并将

部分软硬件设计任务分担到相关金融机构,有效降低中央银行所承担风险,专业化中央银行监

管职能,减缓“金融脱媒”的风险。 

5

图4:姚前在中央银行数字货币原型系统实验研究中设计的二元运行框架 

 

      来源:中央银行数字货币原型系统实验研究,币安区块链技术研究院 

 

但如果是传统的双层架构,会导致用户在银行账户的里的资产实际上商业银行对用户的负债,

用户的追索对象是商业银行而非央行,所以用户多承担了一层商业银行自身的风险。而在支付

宝等支付中介里的资产在100%存款准备金制度实施以前,更是又多了一层三方机构的风险。

一旦出现商业银行破产(极端情况,更多情况是违约),我国还有存款保险制度进行部分赔偿

,而第三方支付平台的破产,所有人只能参与它的破产清算。 

 

图5:从资产负债表角度看 DCEP 在货币层级里的地位 

 

来源:币安区块链技术研究院 

 

风险和收益同源,有风险就应该有对等的收益。作为对广大终端用户承担的相应的风险补偿,

银行和支付中介 App 们对用户提供了利率和五花八门的服务。原本这样的平衡博弈可以相安

无事的进行下去,然而随着数据分析手段的快速进化,挖掘用户的行为数据,可以发现大量的

有价值信息,至此原本的等价交换关系被打破。 

 

Facebook、Amazon、百度、微信等互联网企业依靠着大数据成为行业的巨头。用户所产生的

行为数据价值却不归用户所有,而是被巨头/垄断者构筑起了天堑一般的行业壁垒,用来获取

财富。用户除了得到更多的广告以外,似乎并未受到合理的补偿。更何况如果大量数据存储在

私人企业的服务器上,一旦出现泄漏,这些数据又可能被不法分子所利用,对本该属于用户的

数据资产开展另一轮滥用。 

 

表3:近年来规模较大的数据泄露事件一览 

发生时间 公司名 罚款 影响 

2017 Equifax 至少5.75亿美元 失去近1.5亿人的个人和财务信息 

2018 英国航空公司 2.3亿美元 50万乘客数据泄露 

2008 Heartland付款系统  1.45亿美元 暴露了1.34亿张信用卡信息 

2014-18 万豪酒店 至少1.24亿美元 5亿客户个人身份和旅行信息 

2013 雅虎 至少5000万美元 至少5亿个账户信息泄露 

2016 Tesco Bank 2120万美元 黑客从9000个客户账户中偷走了约

300万美元 

2013 Target 1850万美元 4000万个银行卡账户信息被盗 

2015 Anthem 1800万美元 7900万人社会安全号码和医疗证件信

息被盗 

2016 Uber 1.48 亿美元 60万司机和 5700 万用户帐户信息 

 

        来源:网络综合、币安区块链技术研究院 

 

不管是中国人民银行还是海外的央行们显然注意到了这个问题,例如时任国际货币基金组织

6

IMF总裁、现任欧洲央行行长的拉加德(Christine Lagarde)在2018年就曾指出发行央行数

字货币有3个好处,普惠金融、安全,与用户隐私。中国央行原行长周小川在2018年卸任前的

7

最后一场演讲中曾提到,央行数字货币不仅要追求零售支付系统的方面性快捷性和低成本,

也必须追求安全性和保护隐私。由此可见顶层设计者们对数字货币的隐私性的重视。 

 

6

 拉加德2018《变革之风:发行新型数字货币的理由》

所以如今中国 DCEP 的“双层”运营架构摆脱了数据为中介机构所控制的设计,尽管仍由中介负

责发行和KYC任务,但实质上并非过去传统的意义上的“双层”。 

 

图6:中国现行清算结算体系 

 

来源:币安区块链技术研究院、广发证券 

 

4. “双层”与“混合”模式 

8

国际清算银行(BIS)在2020年3月的季度评论中,将央行数字货币可能的技术架构分为三

种。如下图所示,尽管中央银行是发行和赎回央行数字货币(Central Bank Digital Currency, 

CBDC)的唯一方,但所有三种架构都可以基于传统帐户模型或Token模型,并且可以在不同

的架构上运行。 

 

图7:(零售)央行数字货币发行结构分类 

 

这三种架构的主要区别在于债权方的结构和中央银行对交易和交易记录的处理。 

 

●在“间接CBDC”体系结构中,消费者手中的“ICBDC”(indirect CBDC)代表中介机构

(多数时候是商业银行或支付宝类的支付机构)对用户的负债,而非央行。在另外两

个结构中,消费者对央行有直接的追索权,这一点与现钞一致。 

 

●在“直接CBDC”架构中,KYC可以由私营机构,中央银行或其他公共部门来处理,但中

央银行将是唯一处理支付服务的机构。这种CBDC是最“纯粹”的CBDC,消除了对中介

的依赖,然而可能给央行带来大量的工作量,如KYC和系统、客户端维护。 

 

● “混合CBDC”架构是一种中间解决方案,用户仍有对中央银行的直接追索权,而实时交

易由中介机构处理。在这种架构中,央行以异步传输的形式,存储所有CBDC资产的

数据,允许支付服务提供商( payments service providers,PSP)发生技术故障时,

资产仍可以转移到另一个支付服务提供商。 

 

10 

因为DCEP的详细技术架构尚未公开,我们只能根据最近内测版本的数字钱包截图、央行官员

和论文以及专利申请的情况推测DCEP的属性。 

 

根据姚前2018到穆长春2019的描述,中国央行数字货币将不会改变现有货币投放体系和二元

账户结构,并称中国的DCEP采用“双层运行体系”——人民银行先把数字货币以 100%准备金

兑换给银行或其他金融机构,在通过这些机构向社会公众进行发放法定数字货币。因商业银行

具备成熟的信贷网络基础设施、支付网络基础设施以及较为完善的 IT 服务系统,从而在央行

数字货币的二元模式下,央行扮演发行方角色,商业银行发挥分销商角色。 

 

这样的结构表面上似乎对应了BIS分类中的“间接CBDC”,但实质上更接近混合“CBDC”架

构。因为DCEP的本质是加密数字串,尽管支付服务提供商可以处理终端用户交易,但数字货

币支付完成的最终表现为对应字符串归属权在登记中心不同钱包地址下的变更,所有数字货币

9

的确权工作最终将在人民银行数字货币登记中心完成,尽管这种登记可能是异步的,但代表

着持币用户在大部分时候都对央行有直接追索权。 

 

这样的结构可以充分利用商业银行和金融机构现有货币发行流通系统,减轻央行KYC和相关服

务的责任。但不利的是,由于交易处理中介并非实时与央行登记中心同步数据,尤其是DCEP

支持“双离线”支付,意味着收付方未必需要第一时间向网络广播交易,则央行可能不会实时保

留所有个人债权的记录。如果有大量永不上线的资产在民间流转,则当没有中介机构的信息时

,中央银行可能无法兑现用户的追索。如果中介机构承受压力,确定合法所有者可能涉及冗长

且成本高昂的法律程序,且结果不确定。因此,该模型的监管和监督问题以及与存款保险有关

的问题与当今系统的类似。 

 

事实上过去中国居民部门发生的许多交易只在私人公司设立的”数字钱包”之间进行,从未与政

10

府主导的银行系统接触,这样的交易一年至少有3200亿笔。如果政府想要跟踪和审查这些数

以亿计的交易的动向,就必须通过这些平台的母公司蚂蚁金服和腾讯——两家海外上市公司。 

 

这也是为何央行数字货币如果采取BIS分类下的“间接CBDC”结构是无意义的,因为这将与现

行的支付-结算系统无异,不能削弱三方支付机构或商业银行在支付领域的控制权,也不能限

9

 姚前在2018《中央银行数字货币原型系统实验研究》中提到央行和二层的数据库或为异步传输

 央行《2019年支付体系运行总体情况》数据显示,2019全年“非银行支付机构”发生网络支付业务

7199.98亿笔,,而同年,网联清算平台处理业务3975.42亿笔。根据定义,“非银行支付机构”的网络支

付包含涉及银行账户的网络支付业务量,以及支付账户的网络支付业务量,而”涉及银行账户的网络支

付业务”按国家规定需要接入网联清算平台,则相减可以得出基于三方支付账户的直接转账数量为

3224.56亿笔,按央行口径该数据还不包含红包等娱乐性质的转账,以及实体商铺是扫码转账。 

11 

制用户的支付数据被滥用,是否允许商家/金融中介收集付款数据并将其对应到具体客户资料

将决定一种CBDC的本质。 

 

从人民银行DCEP的设计来看,姚前2018年提出从用户隐私保护角度,需要将央行数字货币的

信息通过加密方式进行脱敏,只有在法律许可的应用范围内进行追溯。在他的原型设计稿中,

央行登记/认证中心负责数字货币用户身份信息的集中管理,确权数据脱敏后才会发布在数字

货币的分布式确权账本上,商业银行等中介机构的确权账本节点随后同步中央银行确权账本节

点数据。 

 

这显示了 DCEP 在设计之初对用户隐私数据保护的考虑与其他形态的货币和支付方式相比有

较高的优越性。而第三方支付属于传统中心模式,个人无法完全控制自己的数据,中心节点很

容易滥用用户数据,且容易成为被攻击的目标,一旦爆发风险,对个人和平台的危害巨大。 

 

5. DCEP 隐私性优于 Libra 

从现有的设计上来看,人行的 DCEP 在隐私保护性上可以优于 Facebook 的 Libra 项目,因后

者用户的支付数据仍然会被三方中介机构所截留。 

 

11 12

4月16日 Libra 发布了白皮书2.0版,相较于去年6月的1.0版本,采取积极拥抱监管的态度

,主要改变包括:放弃向公有链过渡的计划、新增锚定单一币种的稳定币、加强储备金的安全

管理机制、对Libra 网络参与者分为四类进行分层级的监管等等。 

 

2.0版白皮书里提到,L ibra协会将新建一个金融情报职能部门(FIU),以管理用户数据,同

时这个部门或将配合各国监管提供数据。而对于这个负责监控可能是数以十亿计的全球用户敏

感数据的 FIU部门将衍生出颇多疑问,例如该部门到底由哪些人来管控,私人或政府官员?如

何评判参与者是否有利益冲突在其中?数据可否共享给关联企业?数据若泄露谁来承担赔偿?

司法角度看,私营部门是否有跨境查看别国用户金融信息的权利?一国执法部门是否有权要求

13

查看另一国用户的数据?等等,而在DCEP的设计中FIU职能部门完全属于中国人民银行,则

几乎不存在上述问题。 


13

 在姚前设计的原型系统中,提到央行数字货币“一币两库三中心”的运行框架,其中大数据分析中心是

完全属于央行的组件。 

12 

此外,从 Libra 网络的参与者分类中,可以看出实际处理用户交易的机构在当前阶段需要满足

金融行动特别工作组(FATF)要求,则机构需要完全掌握用户的身份信息和其对应的金融行

为。Libra 的网络参与者为四类,: 

1.指定经销商(帮助协会向 VASP 分发稳定币,流动性做市) 

2.在金融行动特别工作组(FATF)成员管辖区中注册或获得许可的虚拟资产服务提供商

(“ VASP”,包括交易所牌照和托管钱包牌照)或在FATF成员管辖区中根据此类许可

或注册可开展 VASP 活动(即受管制的 VASP) 

3.不符合FATF要求,但符合Libra协会要求的 VASP 

14

4.寻求通过Libra网络(无托管钱包)进行交易或提供服务的个人和实体 

其中,1是批发机构,并不对终端用户,而3、4在早期并不开放,事实上只有2类机构能够拓

展客户,并负责处理用户的交易。在这样的结构下中介机构仍将截留用户的敏感信息。 

而 Libra 试图实现的“无托管钱包”可以为无银行账户和银行服务渗透不足的地区提供服务。由

于这些地区可能会带来更大的风险,因此 Libra 可以学习人民银行的DCEP,为此类账户的余

额和交易加入限制条件,不过考虑到 Libra 由于前期“高举高打”的策略,目前俨然在很多国家

的监管眼中成为一个“危险分子”,这类无托管账户上线的时间表犹未可知。 

表 4:DCEP和 Libra 币(≋LBR)、比特币的对比  

  

DCEP ≋LBR 比特币 

技术 不预设技术路线,双层运 Move 语言,区支持智能合区块链 

营体系 约的区块链 

抵押资产 央行信用 美元存款、票据等资产 无 

风险 主权信用 发行方信用风险、资产存托网络风险 

机构风险、底层资产风险 

发行机制 中心化 中心化 去中心化 

币值稳定 1:1人民币 大致稳定 波动大 

隐私性 央行监控用户数据 私企监控用户数据 完全匿名 

智能合约 预留字段和接口 支持 不支持 

交易速度 快 中等 慢 

来源:币安区块链技术研究院 

14

 用户在能够使用Libra之前必须建立钱包,可以通过三种不同的钱包供应商实现:(1)无托管钱包(2)认

证受监管的虚拟资产服务提供商(3)规范钱包 

13 

15

正如中国人民银行副行长范一飞在今年1月曾指出的一样,如果央行数字货币的交易没有第

三方匿名,会泄露个人信息和隐私,但如果允许实现完全的第三方匿名,会助长犯罪,如逃

税、恐怖融资和洗钱等犯罪行为。所以为取得平衡,中国央行的数字货币必须实现“可控匿名”

,只对央行这一第三方披露交易数据,代理投放机构可每日将交易数据异步传输至央行,既便

于央行掌握必要的数据以确保审慎管理和反洗钱等监管目标得以实现,也能减轻商业机构的系

统负担。 

 

因为央行的职能是维护金融系统稳定,窥探用户隐私的动力绝不会高于商业机构,更没有将用

户数据商业化的诉求,所以海外一些分析声称的因为中国央行拥有“超级管理员”的权限,所以

用户的隐私无从谈起,这样的逻辑是站不住脚的,央行控制下的数据显然要强于商业机构,尤

其是在Google、Facebook这样的标榜不作恶价值观的西方互联网巨头都曾被曝出滥用用户数

据的背景下,将用户数据交由中立的政府机构管理不失为一种更好的方案。 

结论 

DCEP 的隐私特征往往并未被人重视,但这可能是DCEP在推广时最能吸引用户的魅力之一,

考虑到如今的移动互联网用户越来越重视个人的数据和隐私权已经是一种全球范围内的趋势。 

 

由于完整的技术文档尚未公开,但即便央行数字货币未必使用了区块链技术,但其借鉴了区块

链在隐私方面的核心思维,创造了一种全新的隐私保护模式:用户无需让渡数据权利,个人数

据自主可控。例如,用户自主产生本地公私钥,通过公钥计算发布有效的钱包地址,来隔断钱

包地址和钱包持有人真实身份的关联,并通过控制私钥在区块链网络自主完成交易。 

 

同时央行作为这个系统的“超级管理员”,在守护用户数据的同时,又在时刻分析系统中的可疑

行为,其保留的最终裁量权,成为悬在所有不法行为头上的一柄达摩克利斯之剑,让违法违规

行为自动远离 DCEP 系统。 

 

在 Libra 成为各国监管重点关注对象之际,推出隐私性更好的“无托管账户”变得举步维艰,相

比之下人民银行的 DCEP 对用户隐私的隔离优势使其更具备成为”世界货币”的潜力。