大数据时代，消费者对个人隐私保护日益重视。以移动支付为代表的电子支付比传统现金支付更为便利，但是仍然有消费者选择现金交易，一个重要的原因是现金交易具备匿名性，对消费者的隐私形成天然保护。

因此，数字人民币的设计应满足个人匿名交易的合理需求，加强对消费者隐私的保护：一是应符合日常小额现金支付的习惯，确保相关支付交易的保密性。二是应明确匿名对象，确保消费者使用数字人民币进行交易时，其个人信息不被商户和其他未经法律授权的第三方获取。三是应加强个人信息的使用和保护，确保运营机构收集的客户基本信息、产生的交易和消费行为信息不会被泄露。

第二，数字人民币的“双层运营”体系，有利于保障非经依法授权不得查询、使用个人信息。

同时，数字人民币钱包之间用匿名化的技术处理，所有钱包之间有关个人信息的数据对交易对手方和其他商业机构匿名。对于公众正常的交易和消费，上述主体均无法获取完整的交易信息和消费行为信息，以保护消费者的个人隐私。在正常交易的情况下，任何单位和个人均无权获取相关的交易信息。只有当触发涉嫌可疑交易等法定情况时，有关权力机关才可以依法向运营机构查询、使用用户个人信息，严格将知悉和使用范围控制在法律法规授权内，并采取安全保护措施。

技术层面上，采取权限访问控制安全技术措施和多重身份认证技术等业内先进技术手段和其他必要措施保护数据安全，防止数据遭到未经授权访问、披露、使用、修改、损坏或丢失。

因此，无论是运营机构还是人民银行内部，都将严格按照法律法规的要求，建立个人信息保护制度和内部控制管理机制，履行客户信息保护的管理流程，确保个人信息安全。

传统的支付工具，无论是互联网支付还是银行卡支付都与银行账户体系绑定，由于银行开户是实名制，因此无法满足公众匿名开立支付工具的诉求。数字人民币钱包与银行账户的松耦合，减轻了交易环节对金融中介的依赖，从技术上实现小额匿名。

一是数字人民币钱包按照客户身份识别强度分为不同等级的钱包，并赋予各类钱包不同的单笔、单日交易及余额限额。数字人民币的四类钱包仅用手机号就可以开立。根据《网络安全法》《个人信息保护法》等相关法律法规规定，电信运营商不得随意将手机号对应的客户信息披露给包括人民银行在内的第三方。因此，用手机号开立的四类钱包实际处在匿名状态。四类钱包对标小额现钞消费场景，根据人民银行发布的《2021年第二季度支付体系运行总体情况》报告中统计，非现金支付业务下银行卡笔均消费金额为603元，而四类钱包单笔支付限额为2000元，符合公众在日常生活中小额、便民类支付的匿名需求。数字人民币一类、二类、三类钱包为实名钱包，单笔支付限额随着实名强度的增强而提高，一方面满足公众大额支付的需求，另一方面对于大额交易能够有效追踪，防范风险。对比电子账户开立需要收集九要素信息，数字人民币体系收集的客户信息少于传统的支付模式。

三是数字人民币钱包按照权限归属分为母钱包和子钱包，用户可以在母钱包下开立子钱包并用于电商平台支付，也就是钱包快付产品，保护个人隐私。此前，公众在电商平台购物时，在支付环节需要提供相关的用户支付信息，这种方式会导致电商平台获取所有的个人信息。而数字人民币对于所有用户信息进行去标识化处理，除开通子钱包时用于关联电商平台账号的用户手机号码外，不会向电商平台提供其他用户信息，如银行卡号、银行卡有效期等信息，有效保护公众个人隐私。

首先，用户有权随时关闭相关权限，数字人民币App将立即停止有关个人信息的处理活动，充分保障用户自主管理相关权限。对于用户选择拒绝提供权限的，数字人民币App将严格执行。

最后，数字人民币仅获取与处理目的直接相关的必要个人信息。数字人民币App账号仅收集处理必要个人信息，确保注册、登录、密码修改及找回等基本账户功能的实现；运营机构向用户提供数字人民币钱包服务时，同样仅收集必要的身份信息和交易信息，确保数字人民币支付等基本业务功能的实现。

“没有约束的自由不是真正的自由”，如果仅仅关注个人隐私保护，对央行数字货币的匿名性不加管控，忽视数字时代下金融产品和服务便利化、规模化、跨地域所带来的风险，央行数字货币将会被违法犯罪所利用，产生严重后果。

央行数字货币的匿名探索是以风险可控为前提的有限匿名，完全匿名的央行数字货币不存在可行性。国际清算银行总裁Agustín Carstens在《数字货币与货币体系的未来》中明确指出完全匿名的概念不切实际，完全匿名的系统不会存在。绝大多数使用者会接受由一个可信任的机构例如银行或公共服务部门来保管基本信息，保留一定的身份识别对于支付系统的安全、反腐败、反洗钱、反恐怖融资至关重要。便利性和可追溯性之间需要寻求一个平衡。（见Agustín Carstens: Digital currencies and the future of the monetary system, 2021, P7-8）

此外，欧央行在《探索中央银行数字货币的匿名性》报告中也深入探讨了隐私保护和防范风险的平衡，并指出“数字化对支付生态系统构成重大挑战，要求电子支付在一定程度的隐私和遵守反洗钱和反恐怖融资法规之间取得平衡，包括在一定程度上为用户的小额交易提供隐私保护，同时确保大额交易遵守反洗钱和反恐怖融资的要求”。这一描述呼应了人民银行副行长范一飞在《关于央行数字货币的几点考虑》一文中率先提出的“为取得平衡，（央行数字货币）必须实现可控匿名”理念。

其次，央行数字货币需要满足相关的反洗钱、反恐怖融资要求。

此外，FATF还在上述报告中特别针对虚拟货币提到，“未来仍将持续评估和监督虚拟货币及其虚拟资产提供商的反洗钱、反恐怖融资的合规情况，尤其是‘数据转移规则’（travel rule）的遵守情况，该规则要求虚拟资产提供商之间应传输重要的身份识别信息”。（见The Financial Action Task Force: FATF report to the G20 finance ministers and central bank governors on so-called stablecoins, 2020, P21）

国际清算银行虽然承认央行数字货币具有现金替代的作用，也明确要求履行“三反”义务，其《中央银行数字货币》报告指出，“尽管在某些情况下央行数字货币可能会替代现金，但是发行央行数字货币必须确保满足反洗钱和反恐怖融资的要求，以及其他监管和税收方面的要求”。（见Bank for International Settlements: Central bank digital currencies, 2018, P1）

值得关注的是，央行数字货币具备数字化的特征，过分强调与实物货币同等水平的匿名性，将会产生极大的风险。《FATF报告》中提道，“与现金相比，央行数字货币可能带来更大的洗钱和恐怖融资风险。因为央行数字货币可以提供给公众以零售付款或作为账户使用，并且在理论上允许匿名的点对点交易。在这种情况下，央行数字货币能够提供接近现金的流动性和匿名性，又因为使用者不需要随身携带现金，因此较现金更具有便携性。由于央行数字货币会得到其司法管辖区的中央银行的支持，因此有可能被广泛接受和广泛使用。匿名、便携性和广泛使用的结合对于以洗钱和恐怖融资为目的的罪犯和恐怖分子极具吸引力”。（见The Financial Action Task Force: FATF report to the G20 finance ministers and central bank governors on so-called stablecoins, 2020, P26）

再次，数字人民币需要防范电信诈骗等风险。

在传统的银行账户体系下，银行为用户开立账户均需要进行实名验证，在业务存续期间还会采取持续的客户尽职调查措施，按照用户的特点或者账户的属性等因素，划分风险等级，定期审核用户基本信息。然而，即便采取了严格的客户尽职调查措施以及持续的尽职调查、交叉验证等风险防控手段，仍然无法避免不法分子利用银行账户进行网络赌博、电信诈骗等犯罪行为。

所以，数字人民币并不完全适用实物现金流通的监管规则，数字人民币反洗钱体系应按照其业务实质确定应采取的监管措施，遵循“实质监管”原则，在发生利用数字人民币进行电信诈骗等不法活动时，能够协助有权机关挽回损失，守护公众财产安全，维护社会稳定。

人民银行高度重视健全数字人民币反洗钱体系，已针对数字人民币建立分工清晰、职责明确的管理监督体系，实现“事前评估、事中监测和事后监督”的闭环管理。

运营机构作为直接面向客户提供数字人民币服务的主体，是数字人民币反洗钱的义务主体，需要全面履行客户尽职调查、大额交易和可疑交易报告等反洗钱和反恐怖融资的核心义务。

目前，包括数字人民币在内的一些央行数字货币设计和用途主要是满足国内零售支付需求。而跨境及国际使用相对复杂，涉及反洗钱、客户尽职调查等法律问题，国际上正在深入探讨，人民银行也参与了相关研究。