為什麼 CBDC 的隱私問題比信用卡交易更複雜?
很多人會說:「我用信用卡也會被追蹤,CBDC 有什麼不一樣?」這個問題揭示了一個常見的誤解。
信用卡的追蹤是分散的:Visa 知道你刷了多少、商家知道你買了什麼、你的銀行知道你的餘額——但這些數據分散在不同的私人機構,沒有任何一個單一實體可以即時完整地看到你所有的消費行為。要取得完整數據,通常需要法院命令或監管機構的調查傳票。
CBDC 可以讓數據集中在國家:如果 CBDC 的設計允許,央行(或政府指定的機構)可以擁有一個包含所有公民所有交易的完整即時資料庫。這不是「可能被追蹤」,而是「架構上設計為可追蹤」。
「可程式化」的隱患:CBDC 可以被設計為「可程式化貨幣」——政府可以設定某些代幣只能用於特定購買(例如只能買食物、不能買菸酒)、有使用期限(必須在 6 個月內花掉)、或在特定情況下自動凍結(被標記為欠稅)。實體現金做不到這些,因為現金一旦轉手,發行者就失去控制。
中國數字人民幣(e-CNY)的例子:中國的 CBDC 設計有「可控匿名」——小額交易(低於設定門檻)對商家匿名,但對央行完全透明。央行可以在任何時候查閱任何交易,而用戶不會知道自己被查閱了。
技術上有沒有辦法讓 CBDC「既有隱私又合規」?零知識證明能解決這個問題嗎?
這是 CBDC 設計領域最活躍的學術和工程辯論之一。答案是:技術上有辦法,但每種方案都有政治可行性的問題。
零知識證明(ZKP)方案:讓用戶在不揭露交易細節的情況下,向監管機構「證明」某件事(例如:「我這筆交易金額低於 $10,000 的申報門檻」——用 ZKP 可以在不說出具體金額的前提下讓監管機構相信這個聲明)。歐洲中央銀行(ECB)在數字歐元的研究論文裡提到 ZKP 作為一種候選隱私方案。
分層隱私方案(Tiered Privacy):也稱「小額匿名、大額透明」。設定金額門檻(例如每月 $300 以內的交易完全匿名,超過後需 KYC 驗證)。這是目前最多央行正在測試的折中方案,e-CNY 採用了類似的分層設計。
盲簽名(Blind Signatures)方案:央行在不知道具體交易內容的情況下,對代幣進行「蓋章」保證其真實性。這讓用戶可以在商家端匿名,但央行依然可以驗證代幣本身是合法的(沒有偽造或雙重花費)。電子現金先驅 David Chaum 在 1980 年代就提出了這個方案,並正在推動他稱為 elixxir/Praxxis 的 CBDC 隱私版本。
政治可行性的問題:沒有任何一個民族國家的政府願意放棄「在必要時可以查看所有交易」的能力。技術上完整的隱私方案(如 ZKP)對政府而言意味著反洗錢和制裁執行能力的根本削弱。因此,目前所有實際部署的 CBDC(包括 e-CNY、巴哈馬 Sand Dollar、尼日利亞 eNaira)都沒有採用完整的隱私保護設計。
歐洲數字歐元 vs 中國數字人民幣:隱私設計差異是什麼?
這兩個最受關注的 CBDC 項目在隱私設計上代表了截然不同的政治選擇。
中國 e-CNY(數字人民幣):
歐盟數字歐元:
核心差距:中國的設計出發點是「監控是預設,隱私是例外」;歐盟的設計出發點(至少在公開文件裡)是「隱私是預設,監控是例外(需要法律依據)」。但兩者都沒有在技術上完全防止政府訪問交易數據。
如果 CBDC 隱私設計失敗,會發生什麼?歷史上有沒有可參照的前例?
「失敗」在這裡有兩種方向:一種是政府主動濫用監控能力,另一種是設計不良導致數據外洩。
前例一:印度 Aadhaar 身分數據庫外洩(2018) India 的 Aadhaar 是全球最大的生物特徵身份系統(12 億人),包含指紋、虹膜掃描和個人資料。2018 年,Tribune India 的調查記者花了 $8 購買了一個可以查詢任何 Aadhaar 資料的訪問帳號(通過 WhatsApp 上的非法代理商)。如果 CBDC 和類似規模的身份系統綁定,同等規模的數據安全漏洞可能讓數億人的交易歷史外洩。
前例二:中國「新疆模式」 Xinjiang 的數字監控系統(被研究者稱為「數字極權主義的實驗場」)涉及手機追蹤、購物行為記錄、和出行管制的系統整合。雖然不是 CBDC,但展示了「交易數據 + 身份數據 + 行動數據整合」對特定人口的定向管制效果。
前例三:美國 SWIFT 系統的金融制裁 USA 通過控制 SWIFT(環球同業銀行金融電信協會)對伊朗、俄羅斯等國實施金融制裁。如果多個國家採用互聯互通的 CBDC,制裁的實施效率將大幅提升——但同時,被制裁國的個人和企業也更難繞過制裁。這說明 CBDC 的「隱私設計」不只影響個人,也影響國際地緣政治的力量平衡。
對你的啟示:CBDC 的隱私風險不是抽象的——它的現實影響範圍從「政府知道你買了什麼」到「在特定政治環境下,你的消費行為可以成為針對你的工具」。
比喻:CBDC 的隱私光譜,從「透明魚缸」到「單向鏡」
想像你的錢包是一個容器:
完全透明魚缸(Full Transparency):魚缸四面透明,任何人都可以看到你所有的魚(交易)。政府、商家、鄰居——只要有訪問權限,你的每一筆消費都無從隱藏。這是理論上「最強監控」的 CBDC 設計,沒有任何國家公開聲稱採用這個設計(但批評者認為 e-CNY 接近於此)。
單向鏡(Conditional Transparency):你看到一面鏡子,但鏡子背後的人可以看到你。小額日常購買對商家顯示為「匿名顧客」,但政府在鏡子背後隨時可以查看。這是 e-CNY 和大多數現有 CBDC 的設計,也是最常見的折中方案。
毛玻璃(Selective Disclosure with ZKP):你看到的是模糊的影子,政府也只能看到影子——除非你主動「清除毛玻璃」(在特定條件下自願披露)。用零知識證明技術,可以讓監管機構在不看交易細節的情況下,驗證交易是否合法。這是技術上最保護隱私的方案,但目前沒有任何量產 CBDC 完整實施。
密室(Full Privacy):和實體現金一樣,只有給錢的人和拿錢的人知道這件事發生過。理論上可以用密碼學技術實現,但政治上不可能——沒有政府願意完全放棄金融監控能力。
CBDC 隱私設計的核心取捨是三角難題:隱私性 vs 可執法性 vs 可程式化性,三者不可能同時最大化。隱私性越高,政府的 AML/制裁執行能力越弱;可執法性越強,公民自由的空間越小;可程式化性越高(政府可以限制代幣用途),對個人自主財務決策的干預越大。目前沒有任何一個已部署的 CBDC 在三個維度上找到讓各方滿意的平衡點。另一個關鍵取捨是「離線使用 vs 可追蹤性」——離線 CBDC(類似現金)天然更難追蹤,但同時也更容易偽造、更難防止洗錢。數字歐元計劃的離線功能就是在試圖解決這個矛盾。