一、引　言

数字人民币的“离线支付”（offline payment^①），是指付款人使用手机、芯片卡等支付工具，将存储于数字钱包之中的人民币通过离线通信技术转移至收款人，从而清偿货币债务的过程。与同属于非联网支付的实物现金支付不同，付款人通过近场通信（NFC）、蓝牙等技术实现与收款人或第三方的信息交互，从而在脱离移动网络信号、手机通信信号甚至缺少电量的情况下实现货币财产权的转移。^②随着技术进步以及私人数字代币对法定货币体系的挑战日益加强，许多国际组织以及国家或地区的中央银行正在研究测试法定数字货币的发行与流通。国际清算银行、美联储、日本银行等机构均认为，考虑到自然灾害等突发性事件的不利影响，与离线支付相关的“可得性”（availability）或“弹性”（resilience）应成为法定数字货币的核心特征，从而让消费者获得类似于现金的体验，同时应防范相应的欺诈风险。^③

我国是研发法定数字货币进度最快的大型经济体，为维护货币主权、提升数字经济国际竞争力，我国央行于2017年开始推进中国版法定数字货币−数字人民币的研发进程，目前正在多个省份和城市进行公开试点流通。其中，数字人民币的离线支付和智能合约应用是数字人民币不同于现金等传统货币形态的最大创新，而离线支付作为促进金融普惠、助力共同富裕以及减少数字鸿沟的手段，在促进数字经济产业健康发展的政策背景下更具有社会公平意义。^④然而，即便数字人民币具备较高的安全防护能力，离线支付过程仍存在重复支付、不当利用匿名性等侵害公私利益的风险，实践中已出现多起离线支付产品遗失或被盗但用户难以充分主张合法权益的事件。对此，我国既有的货币支付法律制度约束现金支付和以银行存款为核心的在线支付，难以规制数字人民币这一新型货币形态的离线支付风险。如何在明确离线支付法律本质的基础上对其风险予以规制，已成为数字人民币支付服务行业有序发展的核心问题。

目前，我国学界对法定数字货币或数字人民币的研究集中于法偿性、财产权保护以及发行权配置，虽已对域外法定数字货币的离线支付进行介绍，但尚未涉及具体的法律规制措施；^⑤针对货币资金遭窃等风险，学界主要以银行卡、第三方支付等既有纠纷较普遍的支付工具作为研究对象，而由于离线支付行业的规模相对较小，其潜在的法律风险尚未引发较多关注。相对而言，国外学界在探讨法定数字货币时，大多会提及离线支付是其主要优势之一，并对离线支付存在的风险和技术、法律应对方式进行了初步探讨，但由于国外法定数字货币的研发进展较为缓慢，相关研究的可操作性仍待探索。^⑥基于此，本文基于传统离线支付逻辑梳理数字人民币离线支付的具体应用表现，分析其法律风险及其规制困境，提出相应的规制完善建议。

二、数字人民币离线支付的应用创新 (一) 传统离线支付的发展及本质

支付是通过特定的“保管媒介”（如银行账户）和“支付工具”（如银行卡），将法定货币从购买商品或服务的付款人转移至收款人，从而完成货币债务清偿的过程。^⑦数字人民币的离线支付是基于传统实体货币情形下的实物支付、互联网在线支付和离线支付发展后的新型支付形态，因此需回顾离线支付产生发展的基本逻辑。

在实体货币情形下，如双方当事人约定直接当面使用实物现金支付，那么无需保管媒介和支付工具便可完成整个支付过程，其本质上属于原始形态的“离线支付”。基于互联网等信息通信技术的发展，银行卡、预付卡等卡基支付工具开始出现，其可视为付款人一方不使用移动网络的付款端“单离线支付”。随着电子商务进一步发展，支付宝、财付通等依托互联网的第三方支付开始兴起；^⑧在移动网络状态不佳的环境下，部分第三方支付机构（以下简称为“支付机构”）允许付款人在离线状态下出示付款码或通过近场通信完成支付，从而丰富了付款端“单离线支付”的种类。此外，为解决航空、公交车运输等缺乏稳定通讯信号或大客流场景中的支付难题，收款端“单离线支付”和收付款“双离线支付”应运而生，付款人可基于支付账户或银行账户、通过手机延时完成支付。^⑨与实物现金或票据支付体现的“一手交钱、一手交货”不同，在线支付或离线支付的完成均需要依赖于在收付款人和支付服务提供者之间、围绕“支付指令”实施的多道信息交互行为，包括验证和传递收付款人的真实身份、账户资金余额、交易金额等信息。此外，传递、发送和接收支付指令需要相应的信息通信技术，如移动互联网、二维码或NFC近场通信等。相较于目前更普及的在线支付，离线支付的特殊性主要在于支付信息交互背后的通信技术，如离线二维码、支持近场通信的微芯片等，其在本质上仍体现为收付款人通过银行卡等支付工具，将银行或支付账户中的货币进行转移。从而完成货币债务清偿的过程。

(二) 数字人民币运行机制的特殊性

数字人民币离线支付遵循传统离线支付的基本逻辑，但其具体的应用表现同时受到了数字人民币特殊运行机制的前置性影响。根据我国央行发布的《中国数字人民币的研发进展白皮书》（以下简称《白皮书》）的介绍，数字人民币是面向社会公众使用、由指定商业银行作为运营机构参与运营、以广义账户体系为基础、与实物现金等价，并具备可控匿名功能的法偿货币，其相较于现金人民币的特殊性主要体现在表现形态、保管媒介以及发行模式等方面。

与现金人民币表现为具有特定性的金属或纸张、银行存款表现为可复制的电子数据不同，数字人民币的表现形态为具有“相对”特定性的加密字符串（又称为“加密币串”）。以“数字人民币”APP（以下简称为“数币APP”）为例，APP内的钱包页面不仅会显示余额及交易明细，还对应了包含金额、所有者标识、货币编号等信息在内的加密币串，商业银行等主体只能在各自权限内解密对应的信息。^⑩同时，该加密币串采用“一次一密”的可变机制，即当余额基于转账等事由发生变动时，该加密币串也会发生更改，以确保用户信息不被非法获取。基于加密币串的相对特定性，数字人民币具有不可挪用的特点，即只能被“保管”而非“存入”，不列入商业银行的资产负债表中；未经持有人同意，任何主体均无法从技术或业务层面动用持有人的数字人民币。^⑪

作为一种加密币串，数字人民币可被存储于账户型（account-based）、准账户型（quasi-account-based）和价值型（value-based）三种不同的数字钱包，实现货币保管的效果：其一，“账户型”媒介是数币APP内各家商业银行为用户开立、通过簿记方式实现货币保管和转移的APP钱包，其由中心化信息系统^⑫通过验证用户的个人信息、更新加密字符串完成支付，用户仅需通过手机号，无需实名认证，就可以开通第四类匿名性较强的APP钱包。APP钱包的运作原理与银行账户较为相似，其均由商业银行对钱包余额统一进行簿记变动，因而自身不保存加密币串。其二，“准账户型”媒介是通过独立的芯片卡（如IC卡）、内置芯片的手机或可穿戴设备，并通过簿记方式实现货币保管和转移的硬件钱包，其同样由联网的中心化系统通过验证用户信息完成支付。该媒介与“账户型”媒介的主要差异在于，前者在发行时不与使用者的真实身份相关联，^⑬只有在账户余额不足或需要将账户余额转出时才需要绑定APP钱包，从而与真实身份相关联。^⑭目前，该媒介主要应用于收款人在线的单离线支付场景中。其三，“价值型”媒介同样是通过卡片、手机或可穿戴设备并通过簿记实现货币变动的硬件钱包，但其与前两种媒介的核心差异在于，加密币串不存储于联网的中心化系统而是存储于本地的芯片之中，因此无需联网对加密币串进行外部第三方验证，仅需自行验证钱包余额是否充足，因此又被称为“本地钱包”（local wallet），其丢失意味着钱包内货币的遗失。^⑮

此外，基于尊重和利用既有货币发行体系、分散运营风险、调动各方积极性等需要，数字人民币采用批发层和零售层相结合的“双层运营”发行模式。具体而言，央行向商业银行发行和注销数字人民币，进行额度管理和跨机构互联互通，商业银行直接为客户提供钱包开立、资金兑换等服务；在中心化管理前提下，央行与商业银行共同承担了系统验证、维护、备份等运营功能，而商业银行则开发共建数币APP、卡类支付工具等产品，用户可通过特定支付工具使用数字钱包服务。与之相关的是，数字人民币可实现“支付即结算”，即付款人将特定金额的数字人民币支付给商家或转账于他人，无需经过多重结算便可即时到达收款人的APP钱包；而在不涉及跨行货币转移的前提下，商业银行可直接变更APP钱包中的余额，其设立的信息系统对客户的具体持有情况进行登记、记录交易明细，并将此类信息传输至央行。

(三) 数字人民币离线支付的应用表现及其创新

在特殊的运行机制作用下，数字人民币成为支付客体、APP钱包等保管媒介是货币保管载体，手机等支付工具是货币转移通道，而互联网等通信技术则是保障货币转移成功的技术条件。目前，各地数字人民币试点在推广数币APP在线支付的同时，还利用手机、芯片卡、可穿戴设备等支付工具实现单离线支付或双离线支付，具体分为以下三种类型：

其一，通过手机（APP）的支付，其基于APP钱包实现货币保管、基于NFC等技术实现支付信息交互。在离线状态下，付款人在数币APP点击相应页面后，扫描收款人提供的二维码或靠近收款人的收款设备、输入需要支付的金额或确认收款人输入的金额并提交后，便可完成支付。例如，苏州多地支持用户在离线状态下打开数币APP的“碰一碰”功能后，靠近商家的NFC标签便可进行收款人端的单离线支付。

其二，通过独立的芯片卡，以及内置芯片或另插入芯片卡的手机、可穿戴设备的支付，其基于硬件钱包实现货币保管、基于NFC等技术实现支付信息交互。付款人在确认支付金额，将手机、芯片卡或可穿戴设备靠近收款人的收款设备后便可完成支付。芯片卡（特别是IC卡）是目前较为普及的离线支付方式。例如，为了满足老年人、中小学生等不便于直接使用手机的群体的支付需求，工行与中国移动合作推出数字人民币“智慧学生证”和“长者爱心卡”，其具有数币支付、紧急求助、实时定位等功能。

其三，通过手机与独立芯片卡或可穿戴设备的结合支付，其仍基于硬件钱包实现货币保管并基于互联网和NFC等技术实现支付信息交互。付款人可在收款人提供的支付页面确认支付金额、选择贴近支付方式，将IC卡或可穿戴设备贴近手机NFC的感应区后完成支付。例如，京东App的用户在下单自营商品、选择数字人民币“挥卡付”功能后，便可用手机读取数字人民币IC卡进行支付。由于仍需要手机在线支付的配合，此种支付方式事实上属于在线和离线混合的支付模式，以实现硬件钱包的手机页面支付功能，扩大硬件钱包的消费场景。结合上文所述，三类离线支付均主要包含付款人（主动或被动）向收款人发出支付指令、收款人向保管人发送授权请求、保管人向收款人发回授权结果并扣款等信息交互行为。

与传统人民币情形下的离线支付相比，一方面数字人民币的离线支付在支付流程、信息交互行为、技术应用等方面存在较大的相似性，因此，数字人民币的离线支付本质上仍为基于收付款人之间的货币债务关系、收付款人与保管人之间的支付服务关系，通过特定保管媒介、支付工具和通信技术完成货币债务清偿的过程。另一方面，基于特殊的运行机制，数字人民币的离线支付应用与传统人民币的最大区别在于，其以加密币串形式体现的不可挪用性，使用户脱离了与商业银行之间的储蓄存款关系，这在减少资金（中介）处理者、彰显数字人民币的国家信用特征的同时，从资金沉淀角度而言更有利于保护用户的财产权。此外，从减少信息处理者角度看，数字人民币的“支付即结算”特性以及在不同商业银行或支付机构和使用场景中的互联互通，不仅让用户免于在现金、银行存款、第三方支付账户余额等货币形态之间转换，而且可以进一步保护货币财产相关的个人信息。^⑯

三、数字人民币离线支付的法律风险

数字人民币的不可挪用等特性可以强化离线支付环境下货币持有者的财产安全保障，但这种财产安全保障更侧重于银行的资金沉淀，即货币内在价值层面的保障；进一步看，数字人民币在离线支付环境下仍会出现遗失、被盗等可能，而其在力求减少第三方资金或信息处理者参与的同时也弱化了第三方对其提供的财产权保护，因此引发了更特殊的法律风险。由于支付的核心目的是货币财产权的转移，数字人民币离线支付的法律风险本质上是货币财产权受侵害，以及由匿名性引发的货币财产权被滥用的风险。^⑰下文将基于离线支付服务法律关系，针对付款人、收款人和第三人这三类主体分析数字人民币离线支付的法律风险。

(一) 针对付款人：重复支付

重复支付又被称为“双花”（double spending），是指在不考虑货币回笼的前提下，用户持有的特定金额货币被该用户多次重复使用，从而形成了一笔资金用于清偿多项等额货币债务的不法后果，其类似于商品房销售领域的“一房二卖”。如发生重复支付的情形，法律只能认定某笔资金的支付只能用于清偿一项货币债务，而无法清偿所有货币债务。基于数字人民币保管媒介的多样性，其在离线支付状态下的重复支付可分为钱包数据篡改和延时重复支付。一方面，对“价值型”硬件钱包而言，由于数字人民币的加密币串存储于钱包之中，无需第三方操作便可完成扣款，如数字人民币的持有者通过特定技术对硬件钱包中的加密币串实施篡改，使得钱包余额增加或余额不变但可多次使用，那么便会造成重复支付的后果。另一方面，如收付款人采用延时即“异步”（asynchronously）扣款的离线支付方式，在不设置支付限制的情况下，付款人事实上可以将钱包内同一笔数字人民币进行多次消费使用，因此同样造成了重复支付的后果。^⑱

重复支付不仅使得收款人获得的数字人民币合法性难以被确认、破坏市场交易秩序，甚至还可能构成私人伪造货币的事实、侵犯国家的货币发行权，因此应当予以规制。对于数字化的货币，技术和法律是两类最主要的规制方式。在技术层面，针对离线状态下的钱包数据篡改风险，我国部分商业银行、电信运营商和手机制造商拟采用安全等级更高的芯片设备和相关软件，以进一步增加内部加密币串被篡改的难度。针对离线状态下的延时重复支付风险，我国央行和部分商业银行表示，将对离线状态下的硬件钱包的支付次数、支付金额等交易条件进行限制，以减少重复支付可能对收款人合法权利以及货币流通秩序的损害。^⑲

加密芯片等技术可为防止离线状态下的数字人民币出现双重支付、保护财产安全提供强有力的保障，但受到技术的高频迭代或物理设备破坏等因素的影响，被加密保护的离线支付信息仍可能会处于一定的风险状态。^⑳例如，在Apple Pay采用高强度加密技术的情况下，实践中仍然出现了无故被盗刷的现象。此外，数字人民币安全防护的水平需要与通过数字人民币实现的公共或私人利益相平衡，以激励各方市场参与者更有效提供数字人民币的离线支付服务。因此，数字人民币离线支付所导致的重复支付风险仍然需要在法律层面被进一步规制，从而与加密芯片等技术共同为数字人民币的离线支付提供强有力的财产安全保障。

(二) 针对收款人：结算最终性不明

数字人民币在离线状态下的双重支付等风险，会同时引发结算最终性不明的疑虑。“结算最终性”（settlement finality）是金融市场基础设施的核心概念之一，即收款人获得货币财产权的时间点可以被清晰确定。一般而言，已结算的货币被视为债务清偿完毕后无条件地不可撤销，如提交支付到最终结算发生的时间差过长，无法当日或即时完成，那么因系统参与者的破产等事由导致收款人无法取得货币财产权的风险便会加大。^㉑

在离线状态下，数字人民币的结算最终性在重复支付以及延时支付和双层运营模式的影响下存在不明确的状态。一方面，如付款人在破解“价值型”硬件钱包并篡改金额后，将凭空创造的假币支付给不知情的善意收款人，收款人如何判断其真伪、是否可以即时享有相应的财产权利仍不明确。在善意收款人缺乏技术认知能力的情况下，如否认收款人将之前获得的假币予以转让的权利，等到商业银行确认后才有结算最终性，可能会导致数字人民币流通效率的低下。另一方面，在延时离线支付情形中，付款人虽然已将收款人的数字人民币转移至收款人的钱包，但其能否即时享有相应的财产权利同样仍不明确。如上文所言，在线状态下的数字人民币权属登记和变更由商业银行负责，相关登记或变更信息会定期异步传输至央行；如果出现跨行支付，则由央行负责进行权属登记和变更。如果采用APP钱包或“准账户型”硬件钱包的收付款人双方在离线支付后始终不在线，导致相关支付记录无法上传至商业银行或央行的信息系统，那么收款人是否能即时取得数字人民币财产权仍然存在不确定状态。

目前，我国暂未就明确结算最终性提供相关技术方案，而通过货币“冻结”防止付款人的重复支付的方式，可能会间接造成结算最终性难以确定和货币流通效率的低下。例如，部分商业银行计划对于延时异步处理的离线支付，收款人所收到的数字人民币将被“冻结”，只有在重新联网的情况下才能正常使用。^㉒瑞典央行也表示，基于防止多重支付的需要，离线模式下执行的数字货币交易不能被视为已结算，其需要恢复到在线状态时进行认证。^㉓但此种被冻结的数字人民币在私法上的财产权属性和公法上的法偿性势必均会受到削弱，进而会影响到结算最终性时点的确立，甚至会在一定程度上阻碍货币流通。因此，数字人民币离线支付所导致的结算最终性不明确的问题，同样需要在法律层面被进一步解决。

(三) 针对第三人：匿名性的不当利用

货币的匿名性是指在支付过程中，货币的表现形态本身或相关保管媒介、支付工具不包含可能被交易相对人或第三方识别货币持有人真实身份的任何信息，其通过对个人隐私的保护强化对财产权的保护。^㉔就传统货币形式而言，现金人民币的匿名性体现在货币本体，即硬币或纸币本身不包含持有人的真实身份和相关交易信息；而在传统人民币场景下，互联网在线支付由于采用了互联网账户实名制以及银行或支付账户的实名制，因此不具有匿名性。对于在线支付场景下的数字人民币而言，其具有去标识意义上的匿名性，^㉕即可在借助额外信息的情况下识别货币持有人的真实身份。具体而言，用户可通过手机号注册开立最低权限的匿名化钱包，商业银行、央行以及其他国家机关无法直接获取手机号和相关交易信息所对应的个人真实身份，除非因法定事由向电信运营商进行调取。^㉖如上文所言，可实现离线支付的“准账户型”“价值型”硬件钱包的匿名属性更强，此种匿名性不仅体现在硬件钱包的开立无需真实身份信息，更体现在商业银行等第三方主体无法在离线状态下即时获取该钱包相关的货币流转信息（即不可追踪），相关信息仅由收付款人双方知晓。

数字人民币离线支付所展现的匿名性，加大了有效应对重复支付，以及洗钱、逃税等违法犯罪活动的难度，例如在违法犯罪活动发生后，司法机关难以及时确定具体的违法犯罪行为人。此外，此种匿名性与“不挂失”相关，因而还不利于数字人民币持有人在遗失特定钱包或不慎清除支付工具的数据（如手机被格式化或恢复出厂设置）时，如何维护其财产权利，最大程度地挽回损失；同时，在收款人因商品退货等事由需要返还数字人民币时，如何识别持有人的身份。特别是对加密币串仅被存储于“价值型”的硬件钱包而言，其拥有最接近现金人民币的匿名性，持有人如不慎遗失此类钱包，便难以通过第三方找回其遗失的数字人民币。由于强匿名性本身便是数字人民币的一大亮点，目前我国央行并未对匿名状态下的财产权保护提供针对性技术方案，而是凸显匿名性所带来的个人信息保护优势，以及强调要与反洗钱等公共利益相平衡。在此情况下，法律仍需发挥保护货币财产权的功能，并与相关匿名技术共同为平衡个人信息保护与反洗钱等公私利益提供保障。

四、数字人民币离线支付的法律规制困境 (一) 传统人民币在线与离线支付的法律规制逻辑

分析数字人民币离线支付的法律规制困境，需要事先明确既有法律如何规制传统支付服务过程中的一般风险。总体而言，对于使用通讯技术实现信息交互的互联网在线支付，其支付过程可能会面临保管媒介提供者（以下简称“保管人”）无法及时兑现、等值兑换和安全保管的承诺，以及支付工具制造商和通信技术服务商的数据防护能力不佳等风险。虽然支付对象−法定货币本身还受制于发行者对币值稳定能力的影响，但币值稳定与否对支付过程本身的安全效率不产生直接影响。一方面，法律针对商业银行或支付机构基于保管媒介的安全保管以及合规保管（实名制）的风险进行规制。安全保管和兑换是一体两面的业务，用户将法定货币存入商业银行提供的银行账户或支付机构提供的支付账户，之后根据自身需要再予以支付或兑出为其他货币形态。^㉗在此过程中，商业银行或支付机构运营的信息系统可能会面临内部故障、外部攻击等网络安全问题，导致用户无法顺利使用支付服务；而这两类机构不当利用用户账户中的资金从事发放贷款等业务，亦可能使用户无法足额、及时兑出账户中的资金。针对安全保管，法律通过存款准备金、备付金集中存管等方式限制商业银行或支付机构利用客户沉淀资金的能力，并赋予其一定的网络安全保护义务。^㉘此外，账户作为货币转移的中介通道，可能会被匿名或假名开立并被非法出借或出售，以此作为洗钱、逃税、恐怖活动融资等违法犯罪的工具，因而会扩大相关违法犯罪的社会危害性，不利于合规保管的实现。针对合规保管，法律对银行与支付账户进行差异化处理，要求商业银行或支付机构建立账户管理和反洗钱制度，并履行客户身份识别和大额或可疑交易报告义务。^㉙

另一方面，法律针对用户持有的银行卡、手机、可穿戴设备等支付工具可能遗失或发生盗窃、抢夺等不法侵害风险进行规制。除了在技术上加强安全防护能力，确保支付指令的完整性、一致性、可追踪稽核和不可篡改之外，^㉚法律还要求商业银行、支付机构和其他支付服务提供商履行数据安全和个人信息保护义务，或强化发卡机构在事后的举证责任，减少用户相关信息被不当泄露的可能。^㉛此外，在近年来防范资本无序扩张的大背景下，为进一步解决支付机构二维码技术标准不统一及其给收付款人扫码带来不便的问题，我国央行、支付清算协会等机构发布业务指南，促进二维码技术标准的统一，并推动各个支付机构之间二维码互认，促进了支付通信技术方面的互联互通和公平竞争秩序的构建。^㉜

对离线支付而言，由于应用场景不多、市场份额较小，目前法律未专门对其作出专门规定，但其存在专门予以规制的空间。在保管媒介层面，离线支付匿名性更强、支付机构等第三方难以及时获取用户的交易记录，这使得商业银行或支付机构的安全保管以及合规保管的风险更强。在支付工具和通信技术层面，离线支付同样存在不法侵害等风险，由于强匿名性，相关法律责任的承担主体将无法被及时确定。不过，除了银行卡、预付卡等付款人端的单离线支付之外，收款人端的单离线支付和双离线支付目前主要应用于公共交通、校园等半封闭场景之中，收付款人的财产安全风险可以控制在较小范围之内。

(二) 传统支付规制应用于数字人民币离线支付的困境

1. 针对重复支付。虽然对银行存款、支付账户余额或数字人民币的在线支付而言，双重支付的现象均有可能存在，但由于重复支付的发生原因和具体表现存在差异，既有法律难以有效应对数字人民币在离线状态下的重复支付难题。对于互联网在线支付，基于数据的可复制性，用户在银行账户或支付账户中的资金余额不具有特定性，可以被商业银行或支付机构更改，因此只要通过商业银行或支付机构的技术操作或出现技术故障，用户事实上存在重复支付的可能（如账户凭空多出巨额资金）。不过，法律无须针对此种重复支付的风险作出专门应对，因为在联网条件下，商业银行或支付机构通过日清核算等方式能较快发现此类重复支付问题。但对在离线状态下的数字人民币而言，商业银行或支付机构无法及时发现重复支付现象，因此需要通过事前技术手段或权利约束措施以及事后的权利救济措施予以应对，但既有的相关法律均存在不足。

一方面，既有法律缺乏对离线支付服务提供者和使用者的资格准入措施。相较于在线支付，离线状态下数字人民币的双重支付对使用者的合法权益以及货币流通秩序的危害更大，因此应当对离线支付提供者的市场准入和使用者的资格进行特别约束。目前，APP钱包形态的离线支付服务由商业银行提供，硬件钱包形态的离线支付服务则由商业银行和电信运营商、手机制造商以及相关商业机构共同提供。既有法律主要对支付机构的市场准入和银行卡收单业务的外包作出要求，对特约商户或收单机构之外的第三方服务提供者，如何界定商业银行与其他支付服务提供者的权利义务关系并未作出明确规定。此外，既有法律主要通过银行账户或支付账户分级、金融产品适当性等方式限制支付服务使用者的资格准入，^㉝但并未针对特定的支付服务方式进行调整，如对于恶意进行重复支付或延时支付后不及时联网的使用者，是否允许其再次使用离线支付服务。

另一方面，既有法律未明确商业银行以及离线支付相关软硬件设备的提供者需要履行的、保护离线支付数据不被篡改的义务。如上文所言，对于数字人民币而言，商业银行对客户的实体货币保管义务已经转变为相关信息系统安全运行的网络安全义务和数据安全义务，而相关软硬件设备的提供者也应当承担一定的安全保障义务。不过，既有支付法律中仅规定了商业银行以及电子支付服务提供者确保电子支付指令的完整、一致、可跟踪稽核且不可篡改的义务，并未针对保管媒介和支付工具本身。此外，目前仅有消费者保护相关法律可为软硬件设备提供者的安全保障义务提供制度依据，但其尚未考虑到离线支付的特殊性。

2. 针对结算最终性。既有法律对非现金支付的结算最终性规定存在缺失，而适用于传统实体货币的货币私法与公法属性亦难以应对数字人民币离线支付的结算最终性问题。对于现金人民币而言，由于其使用场景多数为“一手交钱，一手交货”，付款人将现金交付于收款人后便可完成整个支付结算过程，获得货币财产权；而在在线支付场景中，由于收付款人不一定在同一家银行开户或使用不同类型的账户，收款人的货币可能需要经过多个信息系统才能被转移至收款人，尽管结算可能具有延时效果的最终性，货币“到账”即收款人取得货币财产权的时间点仍然可以确定。^㉞但是，由于数字人民币的具体私法属性不甚明确，而以促进货币流通为目的的“占有即所有”规则存在诸多适用缺陷，数字人民币离线支付相关的结算时点便缺乏法律上的明确承认。^㉟进一步看，如果实施上文提及的冻结离线状态下的数字人民币，使其无法交易，这部分货币事实上具备了一定的信用属性，其财产权属性是否会发生变化仍存在疑问，这也会影响收款人是否会及时联网以更新交易记录的动力。^㊱在公法属性层面，《中国人民银行法》规定任何单位和个人均不得拒收人民币，这意味着人民币具有强制性较高的偿付效力。^㊲但受到软硬件设备的限制，数字人民币的不可拒收效力无法实现；如果对离线状态下的数字人民币在支付次数、支付金额等方式作出类似于“冻结”的限制，那么其法偿性便受到了极大削弱。

此外，现有法律同样没有明确是否赋予由个人直接参与支付结算系统时，货币在结算后是否具有对抗破产撤销权的优先效力。由于结算最终性主要与在双层结算体系下银行等大型金融机构破产所带来的结算撤销风险相关，收付款人之间的延时结算并不会直接受到商业银行破产撤销权的影响，因此无须对其结算最终性进行专门规定。目前，结算最终性的优先效力主要针对间接或直接参与清结算系统的银行等大型金融机构，其作为双层结算体系中的第一层主体。目前，我国只有《期货和衍生品法》明确了已结算交割的期货和衍生品不因结算参与人进入破产程序而终止、无效和撤销；^㊳即使在货币结算领域，我国央行已要求对大额支付系统中已结算的资金不被撤销，但其无法直接适用于数字人民币，且不具有法律位阶从而无法实现抵抗《企业破产法》中债权人撤销权的效力。^㊴在此情况下，是否要结合离线状态下的特殊性，赋予数字人民币对抗破产撤销权的优先效力，便又存在法律上的不确定性。

3. 针对匿名性。与货币匿名性相关的法律制度包括现金管理制度、银行或支付账户的实名制以及网络实名制等，但这些制度均无法直接适用于离线状态下的数字人民币，进而无法应对不当利用匿名性的风险。首先，为了加强对社会经济活动和政府部门、企事业单位的监督，《现金管理暂行条例》要求任何单位在经济活动中原则上采用转账结算（包括商业票据），针对特定金额设置了可以使用现金的范围、现金收支程序和现金账目要求，并对单位设置了库存现金限额。^㊵但如果完全按照现金管理的逻辑对离线状态下的数字人民币匿名性实施限制，那么企业法人或非法人组织将无法广泛地使用数字人民币；如果仍然遵循银行账户公私分离的管理思路，则又将违背数字人民币打通对公账户和对私账户的初衷。^㊶

其次，如上文所言，对于银行账户和支付账户，《反洗钱法》等法律法规要求商业银行和支付机构在开立账户时应当进行客户身份识别，要求客户提交身份证明等材料并审查其真实、完整和合规性，不得为客户开立匿名账户或者假名账户。^㊷但在此种账户管理框架之下，具有小额匿名特征的第四类APP钱包以及离线状态下完全匿名且无法追踪的硬件钱包仍需要进行身份识别，因此难以在现有反洗钱框架下运作。

最后，小额匿名与网络安全法律法规中的网络实名制存在冲突。根据《互联网用户公众账号信息服务管理规定》等规定，按照“后台实名，前台自愿”的规则，央行和商业银行作为网络运营者为用户提供服务时，应当要求用户提供真实身份信息，否则不得为其提供相关服务。由于离线状态下的数字人民币仍可能与在线的互联网服务存在信息交互，匿名使用的功能便存在账户实名制规定的适用困境。此外，由于数字人民币部分借鉴了区块链技术，央行和商业银行作为区块链信息服务提供者，还须遵守《区块链信息服务管理规定》中对区块链信息服务使用者进行真实身份信息认证的规定，因此同样无法适用于第四类APP钱包和离线硬件钱包。^㊸

五、数字人民币离线支付的法律规制完善建议 (一) 应对双重支付：实施离线支付服务的准入和日常监管

为了应对离线支付过程中的双重支付风险，应当对参与数字人民币发行运营的相关主体实施准入和日常监管。如上文所言，数字人民币实施央行提供发行额度并组织跨机构清算、商业银行面向个人用户提供支付服务的双层运营模式。因此，离线支付的准入与监管，也应当在双层运营模式下进行确定。

1. 市场准入监管。对作为指定运营机构的商业银行而言，数字人民币离线支付服务的准入监管须体现一般支付机构的市场准入以及作为指定运营机构的市场准入，并同时体现离线支付的特殊性。从数字人民币离线支付的类型和设计初衷来看，其应当具有小额、临时、近程的政策导向：其一，为了减少双重支付等风险带来的损失，同一个数字钱包在特定时期内的离线可支付金额不宜过高。其二，离线支付主要解决突发性事件等紧急场景下的支付难题，其难以发挥在线支付环境下央行意图通过数字人民币实现的其他公共目的（如负利率政策），^㊹因此在社会生活安定时期，仍需要以在线支付为主。此外，离线支付无法完全脱离在线支付，其仍需要电源和网络连接，以便重新兑入或兑出资金。^㊺其三，离线支付主要应用于面对面的个人零售交易，只有与其他支付工具组合时才可用于网络远程交易。

基于此，首先，由于支付结算属于商业银行的基本业务之一，提供数字人民币离线支付服务的商业银行事实上可以自动满足一般支付机构的准入条件，例如通过法定数额的资本金确保其损失吸收能力。其次，作为数字人民币的指定运营机构，商业银行还需要在社交、电子商务等方面已有较成熟的业务网络，以便于尽快推动数字人民币的流通。更关键的是，商业银行应当已经拥有具备一定规模数量、较为适合使用数字人民币离线支付服务的群体作为目标用户，如老年人、中小学生等。^㊻最后，商业银行已与具备较强技术水平的电信运营商、手机制造商等机构开展商业技术合作，以确保离线支付服务的安全可靠性。

2. 日常行为监管。数字人民币离线支付服务的日常行为监管，应当以商业银行履行安全保障义务为核心，其主要体现在用户适当性、个人信息及数据安全保护两方面。一方面，实施离线支付服务的用户适当性管理。具体而言，基于离线支付存在的财产损失风险更大，可参考金融机构投资者适当性管理的规定，对拟使用离线支付服务的用户的风险识别和承受能力进行评估，之后为其提供与其风险能力相匹配的离线支付服务。此外，由于恶意重复支付或延时支付后不及时联网会损害数字人民币的正常流通，商业银行可建立相应的信用评价机制，以评估用户之后是否能再次使用离线支付服务。如果商业银行未尽到财产保护义务而造成用户的数字人民币被盗用，且未能证明用户存在过错，可参照银行卡盗刷相关法律规定，要求商业银行承担相应的赔偿责任。^㊼

另一方面，由于作为指定运营机构的商业银行相当于承担了数字人民币发行的“中介”角色，其具备较强的公共性，因此应当参照国家机关处理个人信息的标准，要求商业银行在法定范围严格按照法定程序处理离线支付中的个人信息。其中，由于相较于在线支付，离线支付对使用者的信用水平和风险能力要求更高，商业银行应严格基于比例原则收集处理个人信息。此外，由于数字人民币以加密币串为表现形态，商业银行的财产安全保护义务实质上是数据安全保护义务，对资金流的保护本质上是对数据流的保护，^㊽因而商业银行应当按照《数据安全法》《网络安全法》等规定，加强数字人民币离线支付的风险监测和风险评估。

(二) 结算最终性的事前保障：明确离线状态下数字人民币的私法属性

由上文可知，不论是离线状态下确立数字人民币的结算最终性，还是对结算最终性采取一定限制的“冻结”措施，其均涉及数字人民币持有人享有何种财产权的问题。此外，商业银行等离线支付服务提供者应当如何对数字人民币持有者履行相关法定义务，亦取决于离线状态下数字人民币在民事交易层面的私法属性。

在传统学理上，货币一直被视为特殊动产，除了封金、专户等情形外，其适用“占有即所有”的物权取得规则，甚至可适用于非实体性的银行存款。不过，随着证券结算资金、金钱质押等特殊货币状态的出现，“占有即所有”规则亦面临诸多质疑。^㊾尽管数字人民币的经济本质仍然是货币，但对极其注重财产实体外观的私法而言，数字人民币难以直接被视为物权客体或动产，从而通过适用“占有即所有”规则迂回实现私法促进货币流通的功能。其核心原因在于，相较于个人通过现金人民币的实物本体的占有实现对现金人民币的所有，数字人民币以可变更的加密币串为表现形态，而加密币串必须存储于由商业银行提供的相应保管媒介或其运营的信息系统，个人无法通过簿记等方式实现对相应加密币串的占有。这导致个人行使数字人民币财产权需要在很大程度上依赖于商业银行，进而使得数字人民币仅具有相对的特定性。^㊿再加上数字人民币财产权的行使必须要通过非实体性的电子支付指令进行，其更加无法被完全归属于任何一种物权客体之中。虽然在离线状态下，持有人通过“价值型”硬件钱包使用数字人民币、更新相应的加密币串，在短时间内无需商业银行的参与，但硬件钱包及相关的支付服务仍然是由商业银行提供的，持有人无法仅凭自己的努力实现此种硬件钱包内数字人民币的转移。

由于传统货币私权理论仍存争议且数字人民币存在特殊运行机制，可基于风险导向原则，在确认数字人民币为国家信用的法定货币的前提下，仅明确数字人民币“支付服务”是持有人可向商业银行行使、由央行保障其国家信用的货币服务债权。此种货币服务债权具体可分为三个层次：其一，持有人请求商业银行开立其需要的数字钱包，并为其执行充值、兑出、支付等支付指令；⁽⁵¹⁾其二，持有人请求商业银行谨慎保管其数字钱包中的数字人民币，并采取技术手段确保数字钱包相关数据不被篡改，及其依托的数字人民币信息网络的抗攻击性；其三，由央行保障的国家信用间接地体现在数字人民币发行运营过程中，特别是自身的内部管理（如个人信息保护）和对商业银行的监管上，而不等同于法律意义上对央行可直接行使的债权。

数字人民币支付服务的货币服务债权属性，决定了其在离线状态下具有特殊的结算最终时点。基于商业银行事前履行的数据安全保护义务，离线状态下数字人民币的结算最终时点应当是收款人的钱包余额发生变动即收款到账之时。虽然此时可能会出现收款人通过双重支付使得收款人获取假币的现象，但基于保护善意收款人的需要，其结算最终性应当以到账为准而非以联网后交易同步为准，而不考虑相应数字人民币是否会被“冻结”。⁽⁵²⁾

(三) 结算最终性的事中事后保障：明确离线状态下数字人民币的公法属性

与数字人民币的私法属性不同，数字人民币在离线状态下的公法属性通过对数字人民币财产权实施的限制，可以在事中事后环节有效保障结算最终性的实现，其集中体现于数字人民币的法偿性。从技术条件和价值衡量两个层面考量，离线状态下的数字人民币不具有无限制的法偿性，而是具有比现金人民币和在线状态下的数字人民币限制性更强的有限法偿性。一方面，货币的法偿性指国家发行的货币在支付过程中的债务清偿效力，除了双方当事人协商一致使用其他货币形态（如银行存款）之外，货币债务人使用国家货币进行支付的，该货币具有足额的货币债务清偿效力。⁽⁵³⁾由于个人无须依赖其他主客体便可自由使用现金人民币，且现金人民币的物理本体不承载其他功能，不论是债务清偿还是更严格的“不得拒绝接受”效力，现金人民币的法偿性效力不受技术条件的任何限制。但对数字人民币而言，持有人不得不依赖相应的保管媒介和支付工具才可使用，而一些专为离线支付使用的多功能支付工具（如校园卡账户与数字人民币硬件钱包合二为一）突破了现金人民币的单一实体属性，其更加难以被普遍接受。因此，数字人民币仅能在收款人具备接收条件的前提下具有法偿性，如收款人拥有与付款人相同类型的保管媒介或支付工具。

另一方面，离线状态下数字人民币的法偿性更需要考虑付款人、收款人、央行及商业银行等各方利益的衡量。货币法偿性体现了对收款人使用何种货币的权利限制，以通过强制性手段保障货币的顺利流通和普遍被认可接受。不过，为了防止双重支付风险，数字人民币离线支付从支付次数、支付金额等方面限制了付款人的支付能力，其同样限制了数字人民币的法偿性。我国央行之所以组织推出数字人民币离线支付，主要目的是让电子支付产品的便捷性和隐私保护功能更加贴近现金人民币，从而使数字人民币持有人获得与现金人民币相似的体验感。而为了实现此种目的，央行和商业银行更应当通过市场化手段而非强制性手段促使离线状态下的数字人民币被公众认可接受。

对此，法律应当厘清现金人民币、数字人民币（在线状态）和数字人民币（离线状态）的法偿性差异，根据离线支付的特殊性设置收款人不得拒收数字人民币的例外情形。具体而言，法律可基于保护收款人合法权益和货币流通秩序的需要，结合付款人的信用水平和数字钱包的类型差异，对其离线次数、金额限制、离线时间实施差异化的限制。⁽⁵⁴⁾如付款人的离线支付不符合此种限制安排，收款人便有权拒绝付款人提出的支付要求。此种针对离线支付的法偿效力限制，不会与数字人民币在私法层面的“货币服务债权”属性发生冲突，因为法偿效力体现于付款人与收款人的法律关系之中，强调收款人对法定货币事中事后的接受义务，离线支付的特性事实上弱化了此种接受义务；而“货币服务债权”在收付款人与商业银行的法律关系下强调商业银行事前应当履行的安全保障义务，且离线支付的特性强化了该种义务。

离线状态下数字人民币法偿效力限制，为通过智能合约实现数字人民币“条件支付”具有对抗破产撤销权的优先效力提供了制度保障。如上文所言，对于传统的电子化清算结算，具有最终结算优先效力的主要是由大型金融机构作为结算参与人，由清算机构作为中央对手方的证券或衍生品，由于数字人民币的行内交易不存在结算参与人、可实现脱离中央对手方的点对点支付，基于防范系统性金融风险的最终结算优先效力并无适用的意义。⁽⁵⁵⁾不过，当数字人民币基于防范预付资金挪用、规范财政资金流转等公私利益需要而通过智能合约支付的，其在事实上已经通过设定支付条件限制了货币法偿效力。而为了防止相关公私利益无法实现，应当赋予其最终结算的优先效力。未来在建立数字人民币管理制度时，可参考国际清算银行等国际组织发布的《金融市场基础设施原则》，明确数字人民币加载智能合约时的最终结算优先效力。⁽⁵⁶⁾

(四) 实施小额匿名与大额实名相结合的数字钱包管理

如上文所言，离线状态下数字人民币的匿名性对我国以实名制为导向的现金、账户和网络管理制度带来了较大挑战，因此需要根据数字人民币的技术特性对相关法律制度予以调整。应当在确认数字人民币的强匿名性、可充分发挥其技术优势的前提下，对数字人民币的保管媒介−APP钱包和两类硬件钱包分类实施小额匿名与大额实名相结合的管理机制。

具体而言，首先，确立小额范围内APP钱包部分匿名、两类硬件钱包购买或支付时匿名的原则，以充分发挥数字人民币近似于现金的便利性与隐私性。对于APP钱包，应当承认仅用手机号码等方式注册、未绑定银行账户情形下的第四类钱包的部分匿名性，用户通过该钱包使用数字人民币时享有个人信息不被收集的合法权利。对于两类硬件钱包，应确立用户在购买钱包和资金支付时无需向商业银行提供个人信息的原则，当钱包内余额不足需要充值时，商业银行才有权处理相关个人信息。

其次，参照现金管理规定，按照大额实名的原则对两类硬件钱包的大额资金兑入或兑出进行规制。价值型和准账户型的硬件钱包匿名性更强，其在使用方式上更接近于现金。针对大额现金的提取，我国已通过《现金管理暂行条例》和开展大额现金管理试点，对大额现金管理的金额起点、取现预约、取现登记以及风险防范等内容进行了规定。⁽⁵⁷⁾

最后，参照银行或支付账户实名制管理的思路对APP钱包进行规制。APP钱包的开立或使用与一般的银行账户和支付账户基本一致，虽然第四类APP钱包仅由手机号注册便能开立，但前三类钱包的实名程度与银行或支付账户相当。基于APP钱包同样面临被非法使用的风险，银行或支付账户管理基本思路也应当适用于此类钱包。对此，除了要求前三类钱包实名开立（客户身份识别）之外，商业银行应当履行尽职调查义务，防止APP钱包被用于出租、出借以及从事其他违法犯罪活动，并实施客户身份资料和交易记录保存、大额交易与可疑交易报告。

六、结　论

包括数字人民币在内，离线状态下的法定数字货币应具有难以双重消费、难以伪造、难以攻击的安全特性，以有效保护货币持有人的财产权益。⁽⁵⁸⁾数字人民币离线支付通过特定保管媒介、支付工具和通信技术完成货币债务清偿，其通过减少资金和信息处理者的介入强化了货币持有人的财产安全保障，但仍存在重复支付、结算最终性不明和匿名性不当利用等法律风险，而既有法律均难以有效予以规制。对此，信息流层面的“安全保管”（公私法属性和支付服务监管）和为实现部分匿名的“合规保管”应当是法律规制完善的重点。

对离线支付状态下数字人民币实施的法律规制，是构建数字人民币管理制度特别是财产权保护制度的重要组成部分；随着研发试点进程的深入推进和相关法律法规的制定完善，数字人民币离线支付的法律规制应受到更多关注。数字人民币是数字经济快速发展背景下的新型货币形式，在未来，数字人民币离线支付能否在不依赖互联网在线支付的情况下独立运行，并以此在宏观层面协调现金人民币、在线状态下的数字人民币、离线状态下的数字人民币的法律定位值得进一步思考。此外，在极端事件发生后、数字人民币支付工具缺电离网的情况下，央行是否有权发行具有法偿属性的实物货币“替代券”，也需要进一步讨论。

① 在日常支付用语中，“线下支付”即面对面的支付也被译为“offline”，但“离线支付”一词更强调对信息网络的脱离，其事实上涵盖了线下支付和通过互联网的线上支付，因此将“offline”仅译为“离线支付”更为合理。

② 我国既有法律中尚无“离线支付”这一概念，学理上一般不会区分在线支付和离线支付，而是将支付作为一个整体进行研究。根据国际清算银行（BIS）的定义，“支付”（payment）是付款人向收款人转移货币债权的过程。完整的支付过程包括交易（transaction）、清算（clearing）和结算（settlement），分别表示支付的产生确认、信息交互与债权计算、完成债权的最终转移这三大过程。如没有特别说明，本文所指的“支付”涵盖了交易、清算和结算过程。参见中国支付清算协会：《支付清算理论与实务》，中国金融出版社2017年版，第8页。

③ Bank of International Settlements et al., Central Bank Digital Currencies: User Needs and Adoption, 2021, p.6; Bank of International Settlements et al., Central Bank Digital Currencies: Foundational Principles and Core Features, 2020, p.11.

④ 参见中国人民银行数字人民币研发工作组：《中国数字人民币的研发进展白皮书》，2021年7月，第19页。

⑤ 邓颖、高雪馨：《央行数字货币的灾害应对机制：以巴哈马沙元为例》，《清华金融评论》2022年第1期。

⑥ 参见中国金融四十人论坛、中国人民银行数字货币研究所：《数字人民币无障碍及包容性设计——通过无障碍及包容性设计促进我国普惠金融发展的研究》，2022年9月，第26、30页。See Yeonouk Chu, Review of Offline Payment Function of CBDC Considering Security Requirements, Applied Sciences, 12, 2022, pp.6-9。

⑦ 本文所指的“支付工具”仅指物理设备即“载体”层面的事物。See Committee on Payment and Settlement Systems, A Glossary of Terms Used in Payments and Settlement Systems, 2003, p.37。

⑧ [美]埃里克•杰克逊：《支付战争：互联网金融创世纪》，徐彬、王晓译，中信出版社2015年版，第24页。

⑨ 陆强华、杨志宁：《深度支付》，中国金融出版社2018年版，第94页。

⑩ 参见朱太辉、张皓星：《中国央行数字货币的设计机制及潜在影响研究——基于央行数字货币专利申请的分析》，《金融发展研究》2020年第5期。

⑪ 柯达：《数字人民币的理想与现实——基于对深圳数字人民币试点活动的观察》，载彭冰主编：《金融法苑》（第一百零四辑），中国金融出版社2021年版，第168页。

⑫ 此种中心化信息系统本质上是商业银行处理支付交易的“后台”即信息基础设施，其实施相应业务的数据交换与转移。参见《电子银行业务管理办法》第54条。

⑬ 参见穆长春：《数字人民币的隐私与安全的平衡之道》，《当代金融家》2022年第9期。

⑭ 准账户钱包与APP钱包绑定后的身份性还体现在“可挂失”，以及该钱包解绑后无法与其他APP钱包再次绑定。

⑮ See Sveriges Riksbank, E-krona Report: E-krona Pilot Phase 2, 2022, p.17.

⑯ See Fabio Panetta, A Digital Euro that Serves the Needs of the Public: Striking the Right Balance, https://www.ecb.europa.eu/press/key/date/2022/ html/ecb.sp220330_1~f9fa9a6137.en.html, 2023-1-3.

⑰ See Carol Coye Benson and Scott Loftesness, Payments Systems in the U.S.: A Guide for the Payments Professional, Glenbrook Press, 2014, p.112.

⑱ See Bank of England, Responses to the Bank of England’s March 2020 Discussion Paper on CBDC, https://www.bankofengland.co.uk/paper/2021/responses-to-the-bank-of-englands-march-2020-discussion-paper-on-cbdc, 2022-12-27.

⑲ See European Central Bank, Eurosystem Report on the Public Consultation on a Digital Euro, 2021, p.23.

⑳ Hanna Armelius, Carl Andreas Claussen, and Isaiah Hull, On the Possibility of a Cash-like CBDC, Sveriges Riksbank Working Paper, 2021, p.7.

㉑ 参见韩龙、毛述文：《人民币国际化条件下清算最终性与破产法的冲突与协调》，《清华法学》2020年第4期。Committee on Payment Settlement System, Core Principles for Systemically Important Payment Systems: Report of the Task Force on Payment System Principles and Practices, 2001, p.7.

㉒ 参见中国工商银行股份有限公司发明专利：《基于数字货币的离线支付方法、终端及代理投放设备》（CN 109493016 A）。

㉓ See Sveriges Riksbank, E-krona Pilot Phase 1, 2021, p.16.

㉔ Tommaso Mancini-Griffoli et al, Casting Light on Central Bank Digital Currency, IMF Staff Discussion Notes, 2018, p.14.

㉕ 参见《个人信息保护法》第7条、第43条。

㉖ 参见《电话用户真实身份信息登记规定》第6条。

㉗ Morgan Ricks, Money as Infrastructure, Columbia Business Law Review, 2018(3), 2018, pp.757-851

㉘ 参见徐云松、冯毅：《中国企业金融化对实业投资的影响效应研究》，《贵州师范大学学报（社会科学版）》2022年第3期；苏盼：《第三方支付机构客户备付金性质及风险研究》，《金融监管研究》2017年第9期。

㉙ 《人民币银行结算账户管理办法》第3条，《反洗钱法》第16条、第19条、第20条；王新：《国际社会反洗钱法律规制概览与启示》，《人民检察》2022年第19期。

㉚ 参见《电子商务法》第53条，《支付机构条例（征求意见稿）》第11条，《电子支付指引》第18条、第20条。

㉛ 参见《中国人民银行关于加强银行卡业务管理的通知（银发〔2014〕5号）》，《银行卡业务管理办法》第52条、《中国人民银行金融消费者权益保护实施办法》第34条，《数据安全法》第27条。

㉜ See Martin Chorzempa, The Cashless Revolution: China’s Reinvention of Money and the End of America’s Domination of Finance and Technology, ‎PublicAffairs, 2022, p.80.

㉝ 参见冯辉：《实质法治理念下金融机构适当性义务的法律构造》，《法学》2022年第7期。

㉞ 这种延时的结算最终性可能会带来结算错误，因此在实践中，付款人的付款成功页面往往不能证明其付款已到达收款人，而应当以收款人的收款终端页面显示为准。

㉟ Committee on Payments and Market Infrastructures and Board of the International Organization of Securities Commissions, Application of the Principles for Financial Market Infrastructures to Stablecoin Arrangements, 2022, p. 16.

㊱ 参见周怡君：《数字人民币担保制度框架构建》，《东方法学》2022年第2期。

㊲ 参见刘少军：《货币法学研究》，中国政法大学出版社2022年版，第23页。

㊳ 参见《期货和衍生品法》第35条、第37条、第43条。

㊴ 参见《大额支付系统业务处理办法》第22条、《企业破产法》第31条。

㊵ 参见《现金管理暂行条例》第2条、第5条、第9条、第11条至12条。

㊶ 参见周子衡：《变轨：数字经济及其货币演进》，中译出版社2021年版，第70-72页。

㊷ 参见《人民币银行结算管理办法》第22条、第28条、第30条、第63条，《个人存款账户实名制规定》第5条，《反洗钱法》第16条。

㊸ 小额匿名与法定的“必要个人信息”范围同样也不兼容。根据工信部发布的《常见类型移动互联网应用程序必要个人信息范围规定》第五条规定，“网络支付类”APP的必要个人信息包括注册用户的移动电话号码、注册用户姓名、证件类型和号码等个人身份信息。

㊹ See European Central Bank, Report on a Digital Euro, 2020, p.31.

㊺ Tony Richards, Chris Thompson, and Cameron Dark, Retail Central Bank Digital Currency: Design Considerations, Rationales and Implications, Reserve Bank of Australia Working Paper, 2020, pp.31-47.

㊻ 曹莉、吕远：《数字货币：概念与选择——周小川的论述与问答》，中国金融出版社2022年版，第33页。

㊼ 参见《最高人民法院关于审理银行卡民事纠纷案件若干问题的规定》第9条。

㊽ 李晗：《大数据时代网上银行的安全保障义务研究》，《当代法学》2016年第4期。

㊾ 朱晓喆：《存款货币的权利归属与返还请求权——货币“占有即所有”法则的司法运用》，《法学研究》2018年第2期。

㊿ 杨东、陈哲立：《法定数字货币的定位与性质研究》，《中国人民大学学报》2020年第3期。

(51) 参见《数字人民币APP用户服务协议》《中国银行电子钱包用户服务协议》《中国工商银行电子钱包用户服务协议》，2022年12月版。

(52) 韩景旺、韩明希：《基于区块链技术的供应链金融创新研究》，《齐鲁学刊》2022年第4期；彭冰：《银行卡非授权交易中的损失分担机制》，《社会科学》2013年第11期。

(53) 柯达：《货币法偿性的法理逻辑与制度反思——兼论法定数字货币的法偿性认定》，《上海财经大学学报》2020年第6期。

(54) See Sveriges Riksbank, E-krona Report: E-krona Pilot Phase 2, 2022, p.20. 不过，如果出现长期的脱网事件（如严重的自然灾害），对离线支付设置金额上限等约束可能会降低法定数字货币支付系统的可用性和弹性。See Bank of International Settlements et al., Central Bank Digital Currencies: Foundational Principles and Core Features, 2020, p.15.

(55) [英]罗斯•克兰斯顿等：《银行法原理》（第三版），吕琦译，法律出版社2022年版，第349页。

(56) Committee on Payment and Settlement Systems and International Organization of Securities Commissions, Principles for Financial Market Infrastructures, 2012, p.64.

(57) 参见《中国人民银行关于开展大额现金管理试点的通知》（银发〔2020〕105号）。

(58) See Yeonouk Chu, Review of Offline Payment Function of CBDC Considering Security Requirements, Applied Sciences, 12, 2022, pp.6-9.