新版标准将区块链定义为是一种按照时间顺序将数据区块以链条的方式组合成特定数据结构,并通过密码学等方式保证数据不可篡改和不可伪造的去中心化的互联网公开账本。而中国人民银行发布的《区块链技术金融应用评估规则》则将区块链定义为一种由多方共同维护,使用密码学保证传输和访问安全,能够实现数据一致存储、防篡改、防抵赖的技术体系。两份文件均未提及“通证”,且后者并未提到“去中心化”。
新版标准提出了区块链的三层技术架构:基础设施层、协议层和扩展层,并逐层分析了安全风险,并提出相应的技术安全要求。例如,在基础设施层,区块链数据难以纂改的特性使得上链数据很难通过传统的方式修改和删除,因而存在数据不合规的安全风险以及恶意信息攻击风险。新版标准针对这一问题提出了解决方案包括:对上链数据内容的过滤审查、加密处理等。在个人信息保护上,新版标准提出采取技术手段保证个人信息生命全周期各环节不被未授权的第三方获取,并保护交易方的身份不被识别和冒用。
最后,新版标准列出了所有环节的安全要求,可分为总体要求和层面要求两个层面。在个人信息保护上,除了采取技术手段保证个人信息生命全周期各环节不被未授权的第三方获取,并保护交易方的身份不被识别和冒用之外,还提出了应提供数据变换技术、安全管理机构的所有干预操作行为应被记录实现不可更改并可被查询,做到可审计、可追溯等要求。
