詳解數字人民幣的「硬體錢包」和「雙離線支付」

10 月 30 日，在華為 Mate 40 系列手機的國內發布會上，華為消費者業務 CEO 余承東宣布 Mate 40 系列手機按照中國人民銀行數字貨幣研究所的統一標準，支持「數字人民幣硬體錢包」功能。這是國內首款支持數字人民幣硬體錢包的智能手機。

從目前已知試點的信息來看，數字人民幣擁有軟體錢包和硬體錢包兩種形態，軟體錢包即此前活動體驗的「數字人民幣」錢包，以手機 App 的形式存在；硬體錢包則是指基於「晶元」形式存在的錢包，比如智能卡、手機 eSE 等。 

因此，可以肯定的是對於消費者而言，未來除了能夠通過手機 App 來兌換和使用數字人民幣，也可以通過以上硬體錢包的形式來使用數字人民幣。不過，由於數字人民幣的研發和應用是不斷更新、發展的，因此下文所述僅是依據現有市場情況以及專利說明推斷而來，不代表數字人民幣最終的具體表現形態，僅供大家參考。

關於「數字貨幣晶元卡」

移動支付網根據近來對於行業參與機構的了解，以及此前央行公布的專利詳情，將硬體錢包概括為「數字貨幣晶元卡」（下文「數字貨幣」均指央行數字貨幣，即數字人民幣），而數字貨幣晶元卡則具體可以包括可視藍牙 IC 卡、IC 卡、手機 eSE 卡、手機 SD 卡、手機 SIM 卡等 5 種形態。

以上形態劃分在央行《使用數字貨幣晶元卡進行離線支付的方法和系統》等一系列的專利中都有概述。因此在移動支付網看來，硬體錢包的形態即是表示承載數字貨幣的載體是區別於軟體的實體設備，無論是智能卡晶元還是手機晶元都屬於此類。 

從上述劃分的 5 種形態來看，可視藍牙 IC 卡、IC 卡主要屬於智能卡形態，而手機 eSE 卡、手機 SD 卡、手機 SIM 卡則屬於手機形態。 

可視藍牙卡一般是指智能卡上有屏幕顯示交易額、餘額等信息，通過藍牙等方式與智能手機進行交互，可以配合手機 App 進行查詢和賬戶信息同步。IC 卡則包括普通智能卡、超薄卡等多種形態，沒有主動交互能力，需要通過與受理終端進行交互才能使用。

某機構正在內測的數字人民幣可視卡

手機 eSE 卡、手機 SD 卡、手機 SIM 卡通常即是指基於手機全終端、NFC-SD、NFC-SIM 卡等 NFC 三種不同模式的方案，將安全信息存儲於不同的 SE 晶元內，再通過手機 NFC 的方式與受理終端進行交互，當然也可能是通過藍牙或者其它方式進行交互。

華為 Mate 40 系列手機支持的硬體錢包便是上述的手機 eSE 形態。

關於資金的轉移和清算

央行數字貨幣系統包括一幣兩庫三中心，其中數字貨幣登記中心需驗證交易數字貨幣的合法性，記錄交易流水並更正對應數字貨幣新的屬主，以及登記其它所需信息。

兩庫分別指央行數字貨幣發行庫和數字貨幣商業銀行庫，商業銀行通過向央行繳納等額備付金的形式換取數字貨幣儲存在商業銀行庫，並在央行的登記中心進行記錄。 

當用戶通過開立數字貨幣錢包，並從商業銀行存款賬戶兌換出一定額度的數字貨幣時，首先商業銀行需要查看數字貨幣銀行庫內有沒有足夠的數字貨幣，在足夠的情況下為用戶提供存款兌換數字貨幣的操作。商業銀行將操作信息反饋給央行後，央行登記中心對該筆動賬進行記錄，並將相應的數字貨幣屬主由商業銀行更改為用戶。

當使用錢包內的數字貨幣進行交易時，以載體為「數字晶元卡」為例，首先在受理終端上輸入交易金額，用戶拿出卡片進行通過非接觸形式與受理終端進行交互，在獲取了交易金額的基礎上將交易信息發送至受理終端（交易信息包括數字晶元卡信息以及與交易金額等值的數字貨幣）。

隨後受理終端與商業銀行數字貨幣系統建立網路連接，終端將交易信息發送至商業銀行數字貨幣系統。商業銀行數字貨幣系統在接收到交易信息後，向央行數字貨幣系統發送變更屬主的請求。央行數字貨幣系統在接收到變更屬主請求後，將數字貨幣的屬主變更為受理終端設備對應的商戶代碼。

以上是通過專利了解到的央行數字貨幣在交易過程中的基本流轉，實際上這種「更改數字貨幣屬主」的方式類似於現金的交易形式，也就是我們此前討論的基於 Token 的 UTXO 模式，但同時也面臨著「幣值」和「找零」的問題。不過在此前試點的數字人民幣紅包體驗中，我們並沒有發現這個問題，因此我們可以得出的結論是央行之前的測試並沒有完全採用 UTXO 模式，或者央行在原有的「幣值」和「找零」問題上進行了優化，讓用戶沒有感知。關於這個問題，我們下文再作詳細討論。

拋開數字貨幣的基本流轉路徑不說，這裡面涉及到一個問題是，商戶所開立的數字貨幣錢包賬戶與用戶的數字貨幣錢包賬戶如果不是一個運營機構，那麼背後的資金流轉又應該如何？比如，用戶 A 使用在中行開立數字貨幣錢包並從工行個人銀行賬戶兌換了 100 元存入其中，然後通過數字錢包支付給了商戶 B，而商戶 B 收款的數字錢包是在工行開立的，並被兌換回了 B 的工行個人銀行賬戶。

那麼具體的資金流轉可能是，中行先確認其數字貨幣銀行庫中的資金庫存，向央行登記中心反饋信息之後，央行將 100 元數字貨幣的屬主由中行資金庫改為用戶 A；用戶 A 將 100 元支付給 B 時，B 的錢包運營方工行先確認其數字貨幣銀行資金庫庫存，並向央行登記中心反饋信息，登記中心將 100 元數字貨幣的屬主由用戶 A 改為用戶 B，用戶 B 將 100 元存入工行銀行賬戶時，工行向央行登記中心反饋信息，然後央行將 100 元數字貨幣從工行的數字貨幣銀行庫中註銷並記錄，恢復工行 100 元的數字貨幣兌換額度。 

由於存在著數字貨幣的跨行流轉，這裡面自然也會涉及到「清算」問題。從目前的信息來看，移動支付網推測這個「清算」的角色是由央行自身來扮演的。當然，從近期央行數字貨幣研究所先後與城銀清算、農信銀等清算機構簽署戰略合作協議來看，未來中小銀行由於不承擔兌換運營職能，但是要參與到數字人民幣的流通以及後期資金的流轉可能需要這些清算機構來實現互聯互通的能力。

關於雙離線支付？

以上我們舉例了數字晶元卡的支付過程，但實際上僅僅是基於受理終端聯網狀態下的單離線支付，需要受理終端與商業銀行的數字貨幣系統進行交互之後才能，反饋到央行並更改數字貨幣的屬主。

那麼當受理終端和支付設備都處於離線的雙離線情況下，又該如何解決呢？

實際上，整個交易流程並沒有發生本質的變化，只不過將聯網的過程適當地作了延後處理。而據專利顯示，在數字人民幣系統中定義的離線支付指的是近場支付，在此過程中接收方需事後聯機確認收款。

與上文交易流程一樣，雙離線下接收方受理終端對收到數字貨幣能夠通過「插件」的形式驗證其真偽，並驗證用戶身份，但並不能驗證其是否進行過重複支付，即「雙花」問題，因此必須等待聯網後對其進行驗證。 

據專利描述的設計思路是，需重複支付驗證的數字貨幣在客戶端電子錢包程序 (如 POS 機) 中標識為「待重複支付驗證」，POS 機一旦聯到網路，則自動向數字貨幣系統進行重複支付驗證申請。數字貨幣系統收到驗證申請執行相應操作，在登記中心補錄交易流水，更新數字貨幣的屬主。

換句話說，雙離線支付之後「待重複支付驗證」的那筆交易資金在聯網驗證之前是不能再流通到市場的。舉個例子，A 通過數字人民幣雙離線支付轉給 B 100 元，B 儘管收到了 100 元的交易信息，但這 100 元會被標記為「待重複支付驗證」的狀態，無法被 B 再次花費出去，只能等到聯網完成驗證之後，才能恢復使用。

不過據某行業人士表示，離線狀態下的二次流轉也是可以實現的，不聯網驗證的前提下至少需要通過本地驗證，這樣也能夠實現二次流轉。但具體應用到數字人民幣要如何實現目前還不清楚。

通過以上信息移動支付網推斷，數字人民幣的「雙離線」支付會有很多限制條件。

首先是，雙離線支付的交易雙方必須是硬體錢包，且必須內置 SE 安全晶元，達到一定的安全加密等級。硬體錢包包括智能卡和手機等形態，不一定全部用於雙離線支付，但只要是雙離線支付必須是硬體錢包。

其次，雙離線支付由於需要內置 SE，所以受理終端也必須要進行相應改造。據移動支付網了解，此前的數字人民幣在線支付試點中，受理終端僅需要進行軟體升級即可支持。

最後，從目前來看雙離線支付僅支持 NFC 形式進行交互，但並不排除會有其它方案。

除此之外，據移動支付網通過某參與內測人士了解到，「雙離線」支付會有相應的「離線交易時間」和「離線交易次數」限制。據其透露內測的 NFC-SIM 卡模式的雙離線支付來看，離線交易的時限是 24 小時，交易次數是 10 次。另外據專利顯示，可以設定雙離線支付為小額支付，比如小於 1000 元，將其設置在個人用戶可以接受的範圍。 

同時還要採取事後追責機制，對不良記錄錄入徵信系統以作懲戒。如果聯網後在驗幣處理時系統判斷硬體錢包出現偽幣或者雙花，可以把該錢包列入黑名單，置該錢包狀態為停用狀態，並通過應急處理對硬錢包介質進行停用。

關於幣值和找零問題

以上我們談到了數字人民幣的資金流轉和屬主的更改，這樣即會面臨「幣值」和「找零」的問題，實際上央行在專利中也有相關描述。

數字人民幣由中國人民銀行作為法定貨幣來設立並發行進入流通，由中國人民銀行作為最終貸方提供擔保，參與全國標準架構內的兌、匯與消費。它是一串代碼，具有與實際流通中的「面值」一樣的幣值意義。數字貨幣模擬紙質貨幣在央行的發行和管理流程，在數字貨幣發行庫中按央行的本次數字貨幣發行量一次性生成數字貨幣。

而在數字貨幣系統設計中，幣值可以按最小單位面額產生，也可以根據用戶具體提款金額來產生，也能按流通中實物貨幣面額產生，具體按哪種方式可通過系統參數在初始過程中設置。而為了貼近現實，專利描述中統一使用了「流通中固定面額」的形式來進行闡述，即發行庫中的數字貨幣完全模擬流通中的面值，「印製」產生數字代表的「壹圓、伍圓、拾圓、貳拾圓、伍拾圓、壹佰圓」等，一個加密文本代表一個面值的數字貨幣。

而按照這種形式所產生的數字人民幣必然要面臨「找零」問題，儘管其可以通過軟體工具自動配對以優化出最佳找零方式，遇到商家無法找零的情況甚至可以先後台連接數字貨幣系統進行拆分兌換後進行零錢搭配，但這樣最終呈現給用戶的使用體驗可能很難達到理想狀態。當然也可以採取「幣值按最小單位面額」產生的形式，即所有的幣值都是 1 分，這樣也能夠避免找零的問題，但系統和體驗上是否會有其它問題不得而知。

因此，移動支付網推測，此前深圳數字人民幣紅包在線支付試點中可能並沒有採取「固定面額」幣值的形式，甚至也並沒有採用 UTXO 的模式，而是直接採用的基於 Token 的賬戶餘額模式。這樣帶來的好處就是，沒有幣值和找零的問題，直接通過數字貨幣系統更改相應錢包賬戶下的餘額就可以了。 

不過「雙離線」支付可能就不一樣了，雙離線支付面臨著更高的安全要求，而且需要對每筆離線支付的錢需要進行「待重複支付驗證」，這樣來看基於 UTXO 的模式似乎更適合雙離線支付。

結語

無論採用何種形式甚至是同時採用多種形式，其整體上的交易流程是不會有太大變化的，數字人民幣的交易信息都需要通過央行的數字貨幣登記中心進行記錄，雙離線所帶來的問題無非是延遲驗證可能產生的雙花問題。

而正如專利描述的一樣，目前雙離線交易情況下，幾乎所有的電子現金系統進行的重複支付檢查都是滯後的，即重複支付檢查都是在支付過程完成後進行的。因此，也只能通過滯後重複支付檢查來發現並追責，或者限定支付規則的形式來完善整個過程。 

當然了，移動互聯網越來越發達的今天，網路本已經無處不在，「雙離線」支付並不會是常態化的支付手段，僅僅是某些特殊環境和特殊情況下不可或缺的補充，所以也希望行業和大眾能夠冷靜看待，避免過度渲染和炒作。