作者：stanford. 编译：Cointime.com QDD

摘要

最近有关区块链资产（“加密货币”）的金融监管合规趋势，包括欧洲联盟和美国财政部的政策，反映出监管机构相信，为金融中介设计的政策框架和监管制度可以有效地应用于监管去中心化的软件介导的加密货币市场。此外，管理这些市场非法金融交易风险的主要工具是依赖区块链分析，其依赖于区块链的交易账本是透明的。

本文认为，尽管这两个核心前提——中介监管和区块链透明性——在当前环境中对减轻非法金融风险起着至关重要的作用，但仅仅依赖它们引发了必须解决的重要问题，因为加密货币市场正在步入主流采用阶段。

在传统金融服务中，隐私与合规性之间的紧张关系通过受信任的中介解决，他们维护私人信息孤立，从而在意图如此的情况下默认保护客户隐私。此外，金融隐私权在这些金融中介机构内享有法定和监管的保护，这产生了对个人金融信息访问的操作控制（尽管不完美，如持续的网络安全事件所反映的那样）。鉴于这种默认隐私，向监管机构和执法部门强制披露支持打击制裁逃避、恐怖主义融资、洗钱和其他非法金融活动的努力。

然而，在去中心化金融中，这样的可信中介并不总是存在。去中心化金融的愿景是基于点对点机制，使用户能够在无需银行或其他金融机构参与的情况下进行交易。因此，中介监管并未解决对区块链金融进行监管的需求：它依赖于植根于传统金融世界的假设。

此外，与传统金融服务的默认隐私和强制透明性相比，大多数公共区块链上运行的加密货币市场是默认透明的。历史上，这种透明性源自技术考虑：它允许验证区块链共识规则（例如货币不变量的保留）。随后，这些公共交易数据被用于其他用途，包括通过区块链分析检测非法活动。然而，这种默认透明性增加了对消费者的风险。透明度和不可变性使任何拥有互联网连接的人都能看到任何钱包持有人的完整交易历史和净持有量。在传统金融系统中存在的隐私保护类型（实际和法定的）在加密货币领域不存在，因此即使是合法用户也会使用隐私保护技术如混币器来掩盖其身份，并隐藏其交易历史，以免受窥视。实际上，正如守法公民和公司在其他情况下努力保护自己的隐私一样，加密货币领域使用隐私保护工具可能被视为网络安全最佳实践。此外，在加密货币环境中强制实施与传统金融服务默认隐私相克服的客户身份识别要求，在这个环境中会带来更高的风险，因为它的多样性和将这些数据与链上数据相关联的能力。

对于区块链基础支付的个人和商业用途来说，金融保密和个人信息保护是必要的。因此，将区块链分析作为合规工具的依赖反映了当前加密货币市场核心问题：在消费者隐私和网络安全需求一方，以及防止非法金融活动等公共利益之间存在着根本性的张力。

由此带来的关键问题是：是否可能创建隐私增强技术，在保护合法客户隐私的同时，为监管机构和执法部门提供打击非法金融风险的途径？我们相信答案是肯定的。本文认为，密码学和区块链技术的进步有可能克服隐私和合规之间的虚假二元选择，通过区块链原生解决方案实现可编程的，适应司法管辖需要并通过共识规则执行的链上合规。我们将讨论这种基于区块链的链上合规的轮廓，以及其在加密货币生态系统中在隐私与合规之间取得健康平衡的潜力。

1. 引言

2022年10月，数字资产借贷平台Celsius的破产申请公开了近50万名存款人的姓名和交易历史。Celsius案例展示了区块链的透明性和可追溯性带来的风险。大多数公共区块链中的隐私标准是基于匿名性的，这可以很容易地被穿透以追踪用户活动和余额。因此，泄漏名字和钱包地址的数据可能会对区块链用户造成隐私损害，因为任何有互联网连接的人都可以轻松地将在破产申请中披露的Celsius用户的链上活动和钱包地址与其钱包上的每笔交易的日期和金额匹配，从而使钱包所有者面临盗窃或敲诈的风险。

实际上，这样的数据泄漏也可能发生在与知道您身份的其他方进行交易时。例如，考虑使用加密货币进行工资支付，雇员可以看到雇主的账户余额和团队成员的薪水；暴露交易方法给竞争对手，或者仅仅是向普通的咖啡店暴露有关您收入和昨天购物地点的信息。

为了减轻这种风险，数字资产持有人使用其他隐私增强技术来保护其财务信息的机密性。问题在于，目前在区块链上管理非法金融风险的技术依赖于透明性和可追溯性，以评估用户身份。因此，在公共区块链上保护合法隐私权的同样工具也可能妨碍政府对恶意活动的调查。

但是，在区块链中的隐私涉及法律风险。2022年8月，美国财政部的外国资产控制办公室（OFAC）依据13694号行政命令对虚拟货币混币器Tornado Cash实施制裁，声称自2019年创立以来，它已被用于洗钱超过70亿美元的虚拟货币。具体而言，OFAC指称Tornado Cash被用于通过促进匿名交易和混淆交易的来源、目标和交易对手，"而没有试图确定交易的起源"，进行非法交易。美国财政部在其新闻公告中写道，"虽然所谓的目的是增加隐私，"但像Tornado Cash这样的混币器通常被非法行为者用于洗钱，尤其是在重大抢劫事件中被盗的资金...Tornado Cash接收各种交易，并在传送给各自收件人之前对其进行混合。" 根据类似的理由，欧洲议会于2023年4月批准了一项名为《加密资产市场》（"MiCA"）的里程碑性立法，预计将于2023年7月得到最终立法批准。MiCA的第68条要求加密资产交易平台阻止具有内置匿名化功能的加密资产的交易，"除非经授权进行加密资产交易平台运营的加密资产服务提供者或主管当局能够识别加密资产的持有者及其交易历史"。

将匿名性和隐私视为非法金融的手段，而不承认它们在保护透明区块链上的隐私和增强消费者保护方面的重要性，应该引起严重关注。在本文中，我们认为，隐私和合规之间明显的冲突可以通过利用区块链的力量在链上实施合规的技术进步来克服，从而为消费者和用户提供金融保密和隐私的方式，同时为执法部门和监管机构提供必要的工具来执行合规性，查看可疑信息，并通过针对特定授权代理的选择性披露来防止非法活动。通过利用区块链技术，这些新兴技术可以在国家安全、犯罪预防以及打击非法金融活动等方面取得更好的平衡，一方面保护隐私权，另一方面利用区块链技术。

本文识别了金融监管机构在设计加密货币市场监管时的两个基本前提，并认为尽管它们有用，但在加密货币市场和相关的去中心化网络服务（“Web3”）成熟的情况下，它们面临着限制。

首先，金融监管机构依赖金融中介的门控角色，并因此似乎坚持要求这些中介在去中心化的金融网络中继续存在。这种方法可能会扩大对中央集权区块链网络的定义，带来相关的监管责任和责任，而这些网络实际上既没有所需的信息，也没有执行所需监管职责的能力，导致对去中心化区块链网络的事实上的禁止。

其次，金融监管机构依赖区块链交易隐私的弱点，这是区块链分析和相关启发式的关键工具。这种依赖性引发了一种认为隐私保护技术是促进非法金融活动的手段的怀疑。这些趋势的最新例子包括针对Tornado Cash的行动，以及于2021年10月发布的《金融行动特别工作组》（FATF）发布的虚拟资产指导方针，美国国会正在考虑的几项稳定币和数字资产法案，以及最近提及的MiCA的前述第68条。其他司法管辖区也在考虑如何将数字资产纳入适用于金融服务的监管范围，通常默认采用这两种方法：金融中介和区块链透明性。

本文认为，这两个假设都不适合Web3所具有的无需许可和去中心化的生态系统。隐私是一种基本的宪法价值观，不应因为当前合规方法依赖透明性和基于启发式的监视而被假定为非法。同样，寻找金融中介作为去中心化金融系统的合法执行机构（用直接通信和以程序方式执行的共识规则取代中介），是错误的，并注定会失败。

本文进一步讨论了由于这些假设，当前监管框架缺乏处理Web3出现的无需许可环境的能力。它描述了新兴技术利用与支持区块链技术的共识原则相同的能力来在链上程序化地强制执行合规义务，以正确识别相关机构和决策者确定的风险。本文最后讨论了这种可编程的链上合规作为一种基于规则的区块链本地方法在加密货币合规方面的优点，以及其潜在的局限性。

2. 当前加密货币合规如何运作

目前，在加密货币领域，非法金融合规的尝试是试图复制传统金融的反洗钱监管。首个出现的反洗钱制度是在美国开发的，被称为《银行秘书法》（BSA），这是一系列美国法规，于20世纪70年代产生，并在随后的几年中发展，并通过美国《爱国者法案》进行最新修订。BSA最初的目的是确保银行会收集有关其客户（以及客户的交易对手和交易）的信息，以便为执法部门提供情报以防止犯罪。BSA为受监管的银行和货币服务企业（MSBs）设立了报告和记录要求，包括向美国财政部下属的金融情报部门FinCen提交可疑活动报告（SARs）。BSA的核心要义是对货币服务企业设立客户识别计划，而对于银行和其他金融中介，还要进行客户尽职调查（CDD），俗称“KYC”或“了解您的客户”规则。这种制度依赖于所谓的“守门人”负责确认和验证参与者的身份，以及检测和防止非法金融活动。BSA的实施法规要求与客户进行保管关系的公司属于受监管的货币服务企业，有BSA的义务。BSA也对软件提供商有例外规定。截至本出版日期，FinCEN尚未表态未托管钱包或非托管智能合约是否属于货币服务企业。在其关于去中心化金融的最新非法金融风险评估中，财政部确实警告说：“在去中心化服务不在BSA范围内的情况下，可能会导致可疑活动报告的缺口，并限制执法机关收集和获取支持金融调查的关键信息。”

接下来，我们将指出为什么对于Web3来说，两种监管方式——寻找去中心化环境中的中介机构和假设区块链可追溯性和透明性将持续存在——是错误的，并需要新的方法。

2.1 寻找中介机构

目前针对非法金融活动的现行金融监管规定针对负责代表客户执行关键汇总和结算功能的金融中介机构。由于这些金融中介机构在私有内部账本上维护其交易记录，现代金融监管规定已经将责任加在它们身上，以确保客户的保护，并成为检测和防止非法金融活动的门卫。为了遵守这些监管义务，金融机构通过政策、内部合规控制和监控流程来实施监管要求。鉴于Web3解除了金融服务提供的中介角色，现行的监管方法已经开始将金融中介机构的定义扩展到传统范围之外。然而，如下所述，这样的方法通常将作为事实上对这些技术的禁止，因为所识别的替代中介通常没有必要的信息来遵守相关义务，或者因为它们在功能上与传统金融中介有很大的不同，因此不适合进行监管合规。

A. FATF对VASP的定义

最近的一个例子是全球反洗钱/打击资助恐怖主义（AML/CFT）规定的全球标准制定机构金融行动特别工作组（FATF）于2021年10月发布的《虚拟资产指导方针》修订版。该2021年10月更新的指导方针是继2019年6月发布的有关新技术的FATF建议15号（INR. 15）的原始解释说明后的新版本，这一版本被广泛认可为在基于区块链的“虚拟资产”领域制定标准的重要一步。联合国安理会在2019年3月的第2462号决议中对这些更新表示欢迎，该决议呼吁成员国评估和应对虚拟资产所带来的风险，并鼓励成员国对虚拟资产服务提供商（VASP）应用风险为基础的反洗钱和打击恐怖融资规定，并确定有效的系统以对VASP进行风险为基础的监测或监管。

该指导方针旨在确保各国对VASP相关活动采用与传统金融世界中受监管金融服务机构适用的AML/CFT标准相同（或更高）的标准。FATF采取的方法模仿传统金融中的合规模式，将中介实体的定义扩展到分散的世界中，以强加监管责任。

该指导方针将VASP定义为“任何自然人或法人，其在其他地方未涵盖在《建议》下，作为业务为或代表另一个自然人或法人执行以下一项或多项活动或操作：i. 虚拟资产与法定货币之间的兑换；ii. 一种或多种虚拟资产之间的兑换；iii. 虚拟资产的转移；iv. 保管和/或管理虚拟资产或使其对虚拟资产具有控制权的工具；v. 参与和提供与发行者的虚拟资产提供和/或出售有关的金融服务。” VASP将受到各种AML和反恐怖融资义务的约束，包括许可和注册，通过其司法管辖区对其进行监测或监督的有效系统的实施，包括“实施有效的控制框架，以确保他们能够遵守针对他们的有针对性的金融制裁义务。”

它继续鼓励将与DeFi安排相关的“创建者、所有者和运营者或其他维持DeFi安排控制权或足够影响力的人”纳入AML/CFT法规的监管范围，即使这些安排似乎是分散的。此外，即使目前没有这样的一方，FATF的指导方针也会回顾是否“在产品的开发和推出的某个阶段涉及至少有一方构成VASP”，之前“自动执行过旨在提供受监管服务的过程。”

该指导方针的修订版是根据2021年3月发布的FATF发给咨询机构的草案修订版修订而成的。原草案扩大了“促进”活动的定义，这个定义可以足够广泛地涵盖虚拟资产领域的任何开发者或参与者，即使他们没有直接“执行”这些活动。与行业的广泛反对一样，这一提议的最终语言最终得以发布。尽管这是对原始提议语言的改进，但草案指南明确解释说“这些定义的广泛性是FATF的有意选择，FATF预计很少会有VA安排在没有VASP参与的情况下形成和运作。如果客户可以访问金融服务，那么很显然某些人提供了这项金融服务。”

根据FATF的指导方针，DeFi协议的所有者/运营者被视为金融中介，并“应在软件或平台的推出或使用前进行ML/TF风险评估，并采取适当措施以以持续和前瞻性的方式管理和减轻这些风险。”在这个已经非常宽泛的标准下，如果某个人可以购买VASP的治理代币，VASP应保留履行AML/CFT义务的责任。当在这个标准下没有识别到中介时，FATF建议“国家可以考虑要求监管的VASP参与与DeFi安排相关的活动。”换句话说，如果没有中介存在，监管机构应要求创建VASP——这一建议实际上将禁止分散的协议。

B. 全球监管趋势

虽然扩大中介机构的定义是全球努力监管加密货币领域的一种常见方法，但需要认识到这个领域仍处于初级阶段。大多数司法管辖区仍在制定监管方法，有机会改变方向。截至2021年7月，在128个自愿进行自我评估的司法管辖区中，只有58个报告称他们已有必要的立法来实施R15/INR/15，其中35个报告称他们的制度已经开始运作。只有少数司法管辖区进行了审查，甚至更少的司法管辖区采取了强制执行措施。32个司法管辖区报告称他们尚未决定采取何种途径来处理VASP，因此没有建立AML/CFT制度，并未启动立法/监管程序。同样，有52个司法管辖区报告称他们已经建立了允许VASP的监管体制，其中31个仅建立了注册体制，只有17个建立了许可体制。鉴于各个司法管辖区尚未围绕全球范围内的分散协议达成一致的监管方法，有机会应用Web3本地原则，可以在链上实现监管，而不会实际上禁止分散协议和由此产生的效率。以下描述的链上合规的新方法尚未实际应用。本文的一个贡献是帮助司法管辖区提供更广泛的选择，以实现符合隐私和合规两个基本社会价值观的监管目标。

(i)关于中介角色

一些司法管辖区遵循了2021年FATF的指导意见，并按照FATF所确定的VASP的措辞和定义以完全相同的文字格式进行了转换，而其他一些司法管辖区则试图解释、扩展甚至缩小了该定义的范围。例如，阿布扎比全球市场金融服务监管局在2022年发布的一份讨论文件中，建议将“DeFi控制者”定义为那些可以“更新协议底层软件”的人，建议的控制测试包括“由某人贡献的协议底层代码的份额”或“对DeFi协议管理密钥的控制量”，并建议要求授权DeFi控制者持有许可证，对其负责与传统金融中介机构等同的监管义务，包括强制执行KYC和AML要求，以及投资者披露和其他投资者保护措施。

在欧盟，根据MiCA，DeFi通常不在范围内，主要是因为进一步处理DeFi的立法方案将在未来进一步考虑。然而，“加密资产服务提供商”或CASP的定义包括“交易平台的运营”，该平台定义为管理一个交易平台，在其中多个第三方为加密资产的买卖兴趣可以“以导致合同的方式进行交互”。同样，“接收和传输”加密资产的订单也是一个定义明确的CASP活动，并包括“订阅一个或多个加密资产并将该订单传输给第三方执行”的定义。每个欧盟成员国的监管机构将如何解释这一点，或在何种程度上将协议或分散操作的设计者或开发者纳入该国家当局的解释范围？有可能某些当局将认为这涵盖了完全分散和无需许可的操作。随着当局继续发展其对谁（如果有）可以被定义为协议或分散操作的控制者或影响者的监管方法，不同的结果可以得到确认。虽然“控制者”的情况也将继续发展，目前不会有任何要求适用于没有被识别为中介的任何安排、技术基础设施、软件或其他的情况。

在尼加拉瓜，《金融技术支付服务供应商监管》（于2020年9月23日批准的CD-BCN-XLIV-1-20决议）将“金融技术支付服务供应商”定义为：“由尼加拉瓜中央银行授权提供支付服务的法人实体，提供数字钱包、移动销售点、电子货币、虚拟货币、电子交易和货币和/或资金转移。与之相关的注册活动包括交易虚拟资产的虚拟平台的管理和提供这些虚拟资产的服务（供应商）。尼加拉瓜新法（第561号）涉及“银行、非银行金融机构和金融集团的一般商法”，这将把与VASP相关的活动纳入尼加拉瓜的金融分析部的范围。根据这一过程，企业、实体或中介机构被要求向金融分析部登记，基于此，没有任何机制要求任何企业在没有已被识别为中介的注册实体的情况下遵守相关要求来保障和打击非法活动。

在越南，虚拟货币或虚拟资产尚未有法定定义，尽管越南财政部已公开宣布委托相关机构为该领域准备适当的法律框架。这是因为法律空白反映了“不信任和混淆”，因为该生态系统没有“控制”。越南当局的重点历来是将加密货币归类为证券，因此明确识别了负责的中介机构，即发行人或平台运营商。虽然当局将继续制定响应性立法，以考虑市场的高度变异性，但显然，将负责的中介定义为符合FATF建议的方式是明显的重点。然而，鉴于越南在DeFi方面的活动量相当大，而且法律仍处于发展阶段，对于当局来说，了解在不必然地识别机构或中介的情况下解决相关风险的机制也是一个有趣的案例。

在菲律宾，菲律宾央行（BSP）于2017年发布了第944号通知，将数字货币交易平台作为汇款和转账公司捕捉为数字货币服务商。随后，他们在2021年1月发布了第1108号通知，并对菲律宾的虚拟资产监管范围进行了更改。虚拟资产服务提供商（VASP）的定义现在与FATF的VASP定义相符，但排除了FATF定义中的第五项，“参与和提供与发行者的虚拟资产提供和/或销售有关的金融服务”。这是因为此类活动以及与首次代币发行（ICO）有关的任何活动都属于菲律宾证券和交易委员会的监管范围。然而，第1108号通知的措辞在其他情况下略有超过FATF定义，将VASP定义为“提供设施”以进行虚拟资产的转让或交换，暗示将中介提供“设施”的一揽子定义用于虚拟资产的交换。这个意图似乎相当明确，即将平台的运营者确定为提供设施并受监管责任的一方。

在泰国，数字资产管理法于2018年5月颁布，证券和交易委员会（SEC泰国）被授予权限对该领域进行监管，并根据不同类别对其进行监管：数字资产交易所、数字资产经纪人、数字资产交易商、ICO门户和数字资产投资顾问。在所有情况下，都有一个明确定义的中介机构需要通过当局的许可过程。为了扩大定义并确定中介机构，泰国对“数字资产业务”的定义还包括数字资产交易所，作为为交易或交换数字资产而设立的“中心或网络”。泰国还设有限制，泰国证券和交易委员会于2021年6月批准了新规定，禁止受监管的数字资产交易所提供与实用代币和某些类别的加密货币相关的服务。这包括模因代币、球迷代币、不可替代代币（NFT）和由数字资产交易所或相关人员发行的数字代币。此限制主要基于这些工具涉及较大的风险，并且旨在进行投机性目的的创造较大的市场风险。虽然这些可能被认为是对允许上市的资产进行限制性测试，但一个“为虚拟资产交易而设立的中心或网络”的定义的广度尚未公开测试。

在印度尼西亚，贸易部第99号法规于2018年正式允许在印度尼西亚交易加密资产期货合约，并将此类活动纳入商品期货交易监督机构（“Bappebti”）的范围。通过这样做，当局自动将任何此类活动纳入现有法律和法规，并基于此，确定要受到监管并负责运营平台的中介机构。2019年第5号Bappebti法规为实物加密资产期货市场的运营提供了监管框架。这基本上意味着交易活动可能受到监管，但在该管辖区内禁止虚拟资产及其应用或用作支付工具。总体而言，在管辖范围内的活动被定义为加密资产交易所、加密资产清算机构、加密资产交易商、加密资产客户和加密资产存储提供商，都需要根据当地法律遵守各自的要求。

（ii）关于非托管钱包

在过去几年里，监管机构和政策制定者对所谓的非托管钱包和DeFi协议带来的非法金融活动风险增加表示担忧。回想一下，在去中心化金融的愿景中，中央托管并不是必要的。与将资金交给中介机构相比，加密货币持有者通常选择将其资产直接保存在“非托管钱包”中，由所有者直接控制的加密密钥进行控制。因此，非托管钱包的所有者自行保管其资产，并对其完全和单方面控制，就像实物现金一样。在Web3的分散化、点对点（P2P）环境中缺乏中介机构，这对当前基于中介机构的监管制度构成了挑战。因此，非托管钱包引起了金融监管机构的关注，尤其是当它们与受监管实体进行交互时。

全球各国政策制定者已经制定了各种方法来应对非托管钱包交易带来的挑战。一个突出的例子体现在美国财政部在2020年12月试图对与非托管钱包进行交易的金融监控要求进行规定。根据该提案，银行和货币服务企业将不仅需为自己的客户，还需为客户的交易对手，收集身份信息并向FinCEN提交报告，涉及非托管钱包的交易。尽管这一提案面临强烈反对，逾7000封反对信件被提交，但其他司法管辖区不断寻找通过与其交易的中介机构来将非托管钱包纳入监管范围的监管手段。

对非托管钱包的另一个监管抵制例子涉及所谓的“旅行规则”在加密行业的应用。该规则要求所有金融中介机构在交易中传递标识发起人和受益人的信息，以及每笔付款交易的相关信息，并要求获取涉及加密资产转移的发送方和接收方的身份信息，而不论目标地址是否为非托管钱包地址。新加坡和瑞士也采取了类似的立场。

通过将非托管钱包纳入旅行规则的范围，监管机构再次要求欧洲加密资产服务提供商（“CASPs”，类似于FATF标准下的“VASPs”）收集关于非托管钱包的信息，并且此外，采用风险为基础的方法来确定任何进一步的措施。实质上，在执行交易之前，CASPs或企业将被要求识别和评估与非托管钱包相关的AML/CFT风险，并应用欧洲银行管理局在不久的将来将明确定义的相关风险缓解措施。虽然CASPs和支付服务提供商必须确保支付方和收款方或发起人和受益人的信息不缺失或不完整，但必须有一套有效的基于风险的程序来确定是否执行或拒绝缺少所需收款方信息的转账。

这可能会导致多个与非托管钱包相关的问题。首先，如何准确验证非托管钱包的所有者，这些钱包可以简单地物理传递给另一个人（在硬件钱包的情况下），或者有其他人共享它的秘密密钥，并且在任何时候都不与任何人或实体相关联。其次，如果非托管钱包是CASPs客户的交易对手，而CASPs与该交易对手没有关系，他们将被要求向与其没有合同关系且没有理由信任其敏感信息的一方提供敏感个人信息。这引起了巨大的网络安全和隐私问题。挑战在于如何制定规则和明智的政策，以处理可能允许或不允许的交易，或者创建安全的数据敏感网络，使交易可以在安全的环境中进行，无需多个司法管辖区和机构解释和实施由欧洲银行管理局确定的风险缓解措施。

英国的做法是针对2022年《反洗钱和反恐融资（修正）法规》的咨询提出的，鉴于收到的反馈，它对与非托管钱包交易采取了不同的方法。在这里，当局指出：“与其要求对所有非托管钱包转账收集受益人和发起人信息，加密资产企业只需为被认定具有高风险的非托管钱包交易收集此信息。”确定风险的因素将在立法中列出，但英国政府认为非托管钱包交易不应自动视为高风险。然而，它们并没有完全免除“旅行规则”的要求，因为完全排除可能会激励犯罪分子使用它们来逃避监控。

2.2 区块链分析

由于当今大多数区块链账本是具有伪匿名性的，因此目前合规专业人员、监管机构和执法部门主要使用的工具是区块链分析服务，利用启发式技术将公共交易信息与私人信息进行最佳匹配。这些启发式技术主要依赖区块链的透明性，并使用大数据技术来识别和分析数据，以实现合规和风险管理。

然而，几个趋势对这些工具的可持续性构成挑战。首先，随着区块链账本变得更加私密，区块链分析将在合规方面失去一部分威力。许多重要的区块链用例，包括支付、央行数字货币和传统金融产品的代币化，都需要保护隐私：一个透明的支付平台，显示所有交易和余额，将对个人隐私、商业机密和国家安全带来严重风险。此外，长期来看，区块链分析的效率是值得怀疑的。正如美国财政部最近观察到的，现有的区块链分析方法“可能会受到多种因素影响而效果减弱，包括区块链网络的规模，点对点活动的程度[... ]，使用匿名技术来隐藏交易信息以及缺乏信息。”国际金融行动特别工作组（FATF）也承认这种“基于区块链分析的研究在覆盖范围、时效性、准确性和可靠性方面存在挑战和限制。”

如果区块链分析作为合规性的主要工具被合规团队、金融监管机构和执法部门广泛使用，而且由于区块链分析依赖于区块链上交易的透明性和可追溯性，那么保护隐私的技术（例如匿名加密货币）将增加区块链上非法活动的风险。实际上，国际金融行动特别工作组（FATF）将涉及隐私保护加密货币和增强匿名性的加密货币的交易视为“红旗”，暗示可能存在洗钱风险。美国财政部（FinCEN）在解释性指导中也将“增强匿名性”交易视为通常“通过原生分布式公共账本隐藏一般可获得信息的交易，或者...特别设计以防止这些交易通过分布式公共账本追踪”。

最近对Tornado Cash的执法行动成为这些紧张关系的一个很好的例子。Tornado Cash是一种通过混合提供隐私保护的协议。简单地说，Tornado Cash将不同用户的资产混合在一起，使其来源难以追踪。用户可以使用Tornado Cash增强合法的财务隐私和机密性。但与此同时，正如OFAC所列举的行动所示，它也被恶意国家行为者和网络犯罪组织用于进行非法的金融活动。在某种程度上，使用Tornado Cash等混币服务可能被归因于希望清洗“不干净”的资产，因为通过典型的区块链分析技术很难识别非法金融活动。然而，正如我们下面所展示的，新兴技术可能为执法部门提供必要的选择性披露，同时为加密货币用户提供隐私和财务保密性，从而在维护执法和反洗钱需求与保护消费者隐私之间取得更好的平衡。

3. 为什么当前的监管方式效率低下且不可持续

我们认为，将金融中介的定义扩展到不适合执行监管义务的一方，并同时加强区块链的透明性，会带来来自国家行为者和犯罪组织的严重网络安全风险，削弱消费者保护，威胁国家安全，因为区块链技术获得了更广泛的采用。此外，这些方法与财务保密和隐私权利相冲突，并危及Web3中正在发生的创新。

3.1 消费者保护和信息安全风险

在分布式计算系统（即去中心化的加密货币生态系统或Web3）上强行实施基于中介的方法存在两个问题。首先，它假定存在可靠的实体能够收集信息，向执法部门报告，并保护信息免受网络攻击。然而，这是一个有问题的假设，因为在去中心化的环境中，许多中介（特别是根据前述广泛定义捕获的中介）本身可能是恶意的，即使是善意的，也无法安全保护敏感的个人和商业信息。尤其是，收集和保留公众成员（例如姓名和地址）的个人信息不应由没有能力保护信息、缺乏培训、资源和合规文化的实体承担。对这些方面施加记录保存要求将大大增加数据泄漏的风险，并导致守法公民遭受损害。

当加密货币资产用于支付时，例如通过使用稳定币，如果将中介的定义扩展到极端，可能会导致巨大的网络安全漏洞。例如，扩展对中介的定义可能会要求商家收集所有使用非托管钱包进行支付的客户的个人信息，以便将这些信息转交给为这些商家提供服务的MSB和银行。因此，区块链资产持有者将被要求向他们进行交易的商家披露其家庭地址。这不仅从财务保密的角度令人讨厌，而且从安全角度看是极其危险的，因为如果商家是恶意的或其系统遭到网络攻击，那么可能会引发勒索或入室抢劫。这种风险由于犯罪分子能够观察公共区块链上的钱包余额，并确定“有价值”的目标而变得更加严重（回想一下，区块链分析及其基于透明性的启发式技术依赖于这些信息在公共区块链上广播）。在未来，如果加密货币成为主要支付货币，例如稳定币的使用扩大并且政府采用央行数字货币，那么每笔交易的透明性不仅对于数据泄露来说是个人风险，而且对于国家安全来说也是一种威胁，可能会将国家金融数据暴露给敌人的窥视。事实上，审慎的监管路径将是将隐私保护技术嵌入到稳定币和央行数字货币中，而不是默认交易透明度，并通过在Web3环境中使用智能合约嵌入这些数字资产的链上合规机制，以保护金融机密，就像传统银行所做的一样。

寻找中介并将反洗钱义务加诸于去中心化生态系统中的小实体可能与《监管灵活性法》相冲突。这些小实体很少具备收集和安全存储高度敏感信息所需的能力。通常，智能合约的创造者和开发者在小型“车库”环境中运作，而过于包罗万象的基于中介的方法将使他们负担获得新专业知识、计算机软硬件和/或服务的成本。此外，这些小实体可能面临额外的责任和/或保险费用，因为联邦和州法规规定了有关储存和应对个人身份信息的规定。

将加密货币支付给第三方，例如商家，并不一定要求用户披露物理地址。然而，许多使用加密货币进行支付的用途将要求收款方与更广泛的服务（从MSB到商家终端和其他数据提供商）分享这些高度敏感的信息。增加识别义务的次数和保持这些有价值数据的服务的数量，将大大增加数据泄漏可能导致损害消费者的概率。

当自托管钱包的所有者的物理地址暴露并与该钱包中的余额关联时（在许多区块链中，一旦你知道钱包地址，其余额是容易被看到的；回忆一下，区块链的伪匿名性是其透明性和缺乏财务保密性的关键），潜在的消费者伤害尤为严重。此外，即使是小型的数据泄露，也可能给消费者造成不成比例的隐私伤害，因为即使有少量的钱包识别数据，通常也可以与公共账本数据相结合，以恢复用户的整个交易历史。此类泄露可能使钱包所有者面临在线甚至是实体勒索企图的风险。实际上，加密货币钱包所有者已经面临威胁和实际攻击。

有趣的是，一些挑战美国财政部对Tornado Cash智能合约的制裁并要求法院将其从美国制裁名单中移除的原告提出了这些风险。其中一个原告是早期的加密货币用户，具有大量在线存在，并且将其公共ENS名称与Twitter资料关联；因此，他使用Tornado Cash来保护他的个人安全。另一个原告经营以太坊质押业务，并在一名陌生人询问他的以太坊质押收益后开始使用Tornado Cash。

此外，在传统信用卡和借记卡支付领域，这些担忧也有充分的先例。许多犯罪数据泄露针对的是公司，包括大型公司（例如Equifax、TJ Maxx和Home Depot），这些公司拥有相当的IT能力。基于中介的方法将使攻击变得更加有利可图（由于附加的个人信息以及与资产持有余额的相关性），从而增加缓解和恢复成本。

总体而言，将金融中介的定义从金融机构扩展到加密货币生态系统中的其他方，将增加需要收集的机密和个人数据的数量，而没有相应的关注解决加密货币生态系统内和外部这种信息安全风险。此外，它将冒着将商业活动暴露给不受信任的第三方的风险，可能带来经济和国家安全的影响。

3.2 对创新的伤害

扩展对中介的定义的方法也与现有和新兴的分布式账本上传递的虚拟资产的技术基本不兼容。许多这类技术依赖于自主和去中心化的机制，例如智能合约（即分布式计算程序），这些合约部署在许多运行账本的计算机上。这些智能合约没有法定名称或物理地址，因此受监管的金融机构的用户将无法在所提议的法规和规定所涵盖的情况下与这些技术进行互动。这使得去中心化金融领域以及其与传统金融的整合面临着被束缚的可能性。

此外，当全球监管格局不一致并允许套利时，加密货币生态系统可能出现分裂的风险。采用旨在在去中心化系统上强制实施中介的监管将使实施和执行这些规则的司法管辖区看起来对高级分布式账本技术的创造和采纳不友好，并鼓励创新者在其他司法管辖区开发和建立项目。我们已经在其他监管背景下看到这种冷却效应的影响，例如证券监管，许多创新型虚拟资产项目（例如Facebook的Libra/Diem基金会）纷纷在美国以外成立和运营。过度监管Web3创新者可能导致人才流失和创新领先地位的放弃。这也会妨碍美国长期监管构建分布式账本技术的能力。

3.3 在去中心化领域监管的无效方法

许多区块链技术的创新旨在提高效率和可扩展性，通常通过在公共视图中省略信息来实现。这包括诸如零知识托管、比特币的新Taproot协议、闪电网络以及其他各种第二层解决方案等加密技术。所有这些都是增强隐私的趋势，将削弱区块链的透明性，使得区块链分析变得不那么有效。此外，随着加密货币生态系统向去中心化方向发展，越来越多地部署复杂的智能合约来取代一些金融中介，以支持去中心化金融。这些智能合约通常以复杂的方式混合资金。当前的启发式分析由于缺乏特定应用程序的信息，通常倾向于对DeFi服务进行全面“去风险化”。

实际上，正如美国财政部承认的那样，区块链分析方法“可能会受到多种因素的影响而效果减弱，包括区块链网络的规模、点对点活动的程度[...]、使用匿名技术来隐藏交易信息以及缺乏信息”。国际金融行动特别工作组（FATF）也承认这种“基于区块链分析的研究在覆盖范围、时效性、准确性和可靠性方面存在挑战和限制”。

此外，随着加密货币创新的发展，趋向进一步去中心化，寻找中介的努力在实现其既定目标上可能不会有效，这些目标包括在犯罪、税收或监管调查或程序以及情报或反情报事务中具有高度实用性的记录和报告，或者用于防止国际恐怖主义。的确，遵守法律的银行和MSB的客户可能会被诱使提供详细的交易对手信息（如果他们的交易对手愿意共享诸如物理地址之类的个人信息，尽管存在前述风险）。然而，恶意方，例如从事犯罪、逃税或恐怖主义活动的人，将通过将其交易与第三方通过自己的非托管钱包中继的方式绕过这些要求。

对Tornado Cash的执法行动说明了使用当前工具监管协议的方法上的困难。与传统制裁执法的对象不同，Tornado Cash是一个协议，而不是实体或个人。它是一种去中心化、无权限的代码；是在区块链上运行的智能合约。对协议的执法行动是前所未有的，有人可能会认为这违反了诸如第一修正案等基本宪法原则。值得注意的是，去中心化协议提供了一种技术创新，允许代码在没有集中的控制焦点的情况下进行开发和执行。与以前针对混合器（如OFAC对Blender.io的行动）的执法行动不同，这些混合器确实涉及基础的集中服务，但目前尚不清楚Tornado Cash是否有一个位于去中心化背后的中介实体，并积极参与隐藏资产和提供支持非法金融活动的服务。至此还不清楚是否有任何个人或实体与Tornado Cash背后有关，可以证明OFAC在此案件中采取的以中介为基础的方法。

在2023年4月，美国财政部发布了有关去中心化金融非法融资风险的评估。该评估没有强制义务，而是提出了一种规范性框架，并以开放性问题作为结束，以拓展产业对话的邀请。总体而言，该报告认为，不符合现有AML/CFT规定的DeFi服务在虚拟资产领域构成了最重要的非法融资风险。评估发现，包括勒索软件网络犯罪分子、窃贼、骗子和朝鲜民主主义人民共和国（DPRK）网络犯罪分子在内的非法行为者正在利用DeFi服务进行非法收益的转移和洗钱。评估还提出了DeFi监管的功能测试，即作为金融机构运营的DeFi服务，无论其服务是否集中化，都必须遵守BSA义务，包括AML/CFT义务。 DeFi服务声称它是或计划成为“完全去中心化”并不影响其作为BSA下金融机构的地位，也不影响其其他金融监管义务。

3.4 隐私权

隐私的保护与社会生活中隐私的功能相关，包括促进自由、自主权、个体身份和人际关系，以及进一步维护自由社会的存在。因此，在西方世界，法定的隐私权利是普遍存在的，旨在保护并限制违背个人意愿收集数据的能力。在美国，州立法保护隐私作为一项权利。2020年加利福尼亚消费者隐私法案（CCPA）定义了限制使用和披露敏感个人信息的权利。弗吉尼亚州消费者数据保护法案（VCDPA）赋予了信息、访问、更正、删除、数据可携带性和选择退出的权利（2021年）。同样于2021年颁布的科罗拉多隐私法案也提供了类似的权利。在联邦层面上，《1978年金融隐私权法案》（RFRA）保护个人财务记录的保密性，并要求联邦政府机构在银行或其他指定机构将个人财务信息披露给联邦政府机构之前，向个人提供通知和反对的机会，通常是出于执法目的。在欧盟，通用数据保护条例（GDPR）在第18条中规定了限制权利，使个人有权要求组织停止处理其数据，而第21条规定了反对权，个人有权反对处理其个人数据。

自然而然，隐私权与执法部门在犯罪和恐怖主义问题上需要提前了解的需求之间存在冲突；用于犯罪预防和国家安全，以及事后调查。例如，当警方试图了解恐怖主义行动的计划时，潜在的恐怖分子可能会对此信息提出隐私主张。恐怖分子可能选择使用隐私工具来掩盖和混淆他们的行动。为了区分合法和非法类型的隐私动机，需要在隐私和执法之间取得平衡，因为如Gabizon所说，“希望拥有独处和匿名性不仅与希望隐瞒某些信息有关，而且与放松、集中注意力和摆脱禁锢的需求有关。”

在传统金融领域，隐私权和金融保密权与执法部门的需求之间的平衡是通过金融中介实现的。在欧洲和美国，法律规定了隐私权和金融保密的民事权利，限制了金融中介使用数据进行商业或其他目的的能力，但也为与执法机构分享法律要求信息的情况设立了例外，以确保合规报告不被视为对隐私权的侵犯。

然而，在去中心化金融和加密市场中，由于缺乏有效的中介机构，执法部门倾向于依赖区块链的可追溯性和透明性作为合法性的条件，使得在这个领域的隐私权和金融保密权变得过时。

在这种背景下，重要的是要强调隐私工具（例如Tornado Cash）可以用于合法的隐私保护，而不是用于掩盖执法的可见性。正如Coinbase的首席执行官兼联合创始人Brian Armstrong所指出的，“例如，如果你的薪水以加密货币形式发放，你可能不希望世界知道你赚了多少钱，或者你如何选择支出。”使用Tornado Cash的个人可以使用它匿名地向乌克兰捐款；在交易时保护个人安全；隐藏钱包中的资产余额并保护自己的财务。由于执法方法的局限性，完全放弃隐私似乎颠覆了法律基础。如Gabizon所说，如果我们知道犯罪预防是以持续监视为代价的，“我们可能需要重新思考刑法”。然而，执法的方法限制是基于错误的前提：面向区块链的合规性的新兴技术将成为未来金融市场监管者的关键工具，并在没有中介机构的情况下实现分散和保护隐私的合规性，无需依赖于区块链分析和在链上可追溯的交易。在下一节中，我们将描述其中的一些新兴技术。

3.5 稳定币与银行挤兑和金融稳定风险

在2023年3月，美联储发布了对Custodia成员申请和主账户申请的拒绝决定。该决定在一个86页的文件中详细说明了Custodia方法的“根本性关切”，其中许多与其意图发行与该银行关联的稳定币以及稳定币的发行和交易性质有关。特别是，美联储深入探讨了公共区块链的透明性带来的风险，以及如何与潜在挤兑相互关联和支持。

在大多数公共区块链上，公众可以看到代币从一个钱包转移到另一个钱包，包括在其发行和赎回过程中。美联储强调，公众会知道Custodia的稳定币是否以较高或高于平常的数量被兑换。这种赎回交易的可见性可能增加Custodia的稳定币、其他存款负债或托管资产（这可能影响其收费收入）遭遇挤兑的可能性。尽管Custodia表示，如果获得主账户，它将通过将支持稳定币的所有美元存放在美联储的主账户中来管理流动性风险，但历史表明，对任何银行或金融中介机构的挤兑都会引发恐慌和蔓延到其他银行和金融中介机构的连锁反应。美联储强调，交易隐私在监管视角下至关重要且可取。

4. 链上合规性及其如何确保隐私

新兴的区块链技术允许使用区块链的共识规则来执行加密合规机制。这些共识规则，用于管理区块链的运作，是确定哪些交易被视为符合要求被添加到区块链不断扩充的账本的程序性手段（例如由矿工或验证者执行）。传统上，这些共识规则及其所允许的程序性智能合约主要用于定义资产转移机制和金融工具。然而，它们也可以用于合规目的。实际上，对于每个区块链、分散式协议或其中的虚拟资产，都可以创建符合要求的版本，将合规要求编码到共识规则中，并通过此举执行管辖政策，同时保留资产的经济价值和协议的技术能力。

使用区块链技术进行合规性还可以提供保护隐私的执行，类似于传统金融中合规性的执行，在其中只有授权方才能查看携带有关参与者身份和资金来源信息的报告。可以使用先进的加密技术，例如零知识证明和可验证加密，选择性地使个人身份和其他数据仅对授权的执法部门可见，并受到明确政策的限制，同时保护个人敏感信息免受数据挖掘者、商业竞争对手、犯罪行为者和国家对手的窥视。

在监管者和/或组织内部制定的合规政策可以编程实施允许哪些数字交易，并确定每笔交易应存储哪些信息。这些规则可以决定哪些交易是合规的，是否需要人工批准（如果有）以及应生成何种报告、何时生成以及谁应该有权访问这些报告。

通过使用链上合规性，可以创建资产池，使得每笔交易都被共识规则和加密技术保证符合指定的政策，并携带能证明合规的身份凭证。只要资产受到可编程的政策约束，整个资产池就可以在密码学上被信任为合规。这种保证可以在资产通过经受监管的实体的身份认证过程进入合规池时实现，政策可能要求验证身份或资金来源。根据政策的要求，可以从池中提取基础资产，并再次进行报告。只要资产受到可编程的政策约束，整个资产池就可以在密码学上被信任为合规。

4.1 金融保密性与隐私

至关重要的是，链上合规性将在不损害加密货币用户的金融隐私和安全的情况下进行执行。虽然身份信息可能会被记录在区块链账本上，但可以进行加密保护，并且不对公众可见。敏感的个人信息（直接或派生的）只能对授权方可见，受到预先确定的政策限制。链上合规性不依赖于中央化的数据存储或特权“全视监狱”。

该政策可以规定在某个司法管辖区内，哪些当事方具有特权（例如信息可见性或发布警报名单和制裁名单的权力），以及对行使这些特权的条件。政策还可以规定对跨司法管辖政策的资金流动的任何限制和报告要求。关键是，链上合规性可以强有力地保护机密的识别信息，并永远不会向第三方公开或泄露，除非是政策所要求的。与传统金融类似，链上合规性可以为那些根据法律和政策获得授权的人提供可见性，同时为其他人强制执行隐私和金融保密性。

4.2 可编程政策

共识规则可以配置为精确指定对交易要实施哪些政策。监管机构和执法部门可以确保这些政策满足其管辖区内的法律、规则和法规要求。一旦政策被部署和激活，其履行将由加密机制强有力地保证“自动执行”。政策规则可以规定应记录或披露有关当事方的哪些信息，以及披露给谁。它们还可以限制交易，或冻结资金，例如遵守制裁或证券法规。同一个封闭资产可以存在多个政策，例如对应不同的司法管辖区。

监管机构和执法部门可以在其管辖区内制定政策，并确保这些政策满足其管辖区内的法律、规则和法规要求。政策的执行由与区块链共识规则相结合的加密机制强有力地保证。

可以通过链上合规性实施的政策示例包括关于当事方身份（例如国籍）的规则，无需发布机密用户身份信息；嵌入加密的KYC / CDD / EDD数据，并具有细粒度的访问控制，并确保数据的正确性；监控交易并简化强制性报告，包括可由指定监管机构查看的可疑活动报告；阻止具有制裁身份/属性或被盗资金的交易；报告聚合财务活动统计数据；为虚拟资产服务提供者之间的交易提供旅行规则信息；以及在与受其他司法管辖政策约束的钱包之间转移资金时进行额外验证或报告。

政策可以规定在某个司法管辖区内，哪些当事方具有特权（例如信息可见性或发布警报名单和制裁名单的权力），以及对行使这些特权的条件。政策还定义了对跨司法管辖政策的资金流动的任何限制和报告要求。

链上合规性可以适应复杂的基于风险的政策，对多个风险指标进行推理。交易阻止和警报可以考虑诸多标准，包括身份属性、身份证明来源、金额阈值、过去的交易历史、活动模式和警报/阻止名单。这些政策可以反映监管要求，结合虚拟资产服务提供商自身的风险政策和容忍度，并可以使用客户记录和现有链分析等数据源。

共识规则的灵活性确保了多个政策可以为相同的资产并存，每个政策都适用于不同的司法管辖区。政策可以被设计为协调共同元素（例如遵循FATF指南），从而简化调查合作并确保数据的可用性和完整性。此外，链上合规性可以适应复杂的基于风险的政策，对多个风险指标进行推理。交易阻止和警报可以考虑诸多标准，包括身份属性、身份证明来源、金额阈值、过去的交易历史、活动模式和警报/阻止名单。这些政策可以反映监管要求，结合虚拟资产服务提供商自身的风险政策和容忍度，并可以使用客户记录和现有链分析等数据源。

4.3 基于区块链的方法：监管DeFi

与在分散化的金融系统上强制执行传统金融监管原则不同，链上合规性允许监管者利用区块链的力量实现更强大的基于区块链的合规执行，与Web3基础设施兼容。一个突出的例子是对DeFi进行链上、基于区块链的合规方法的需求。DeFi协议与传统市场基础设施在几个方面有所不同。首先，DeFi中的资产通常由用户直接在“无托管”钱包或通过基于智能合约的托管持有，而不是由集中式服务提供商或托管方代表资产所有者在账户中持有。其次，结算和执行由软件（智能合约）进行，而不是由金融中介机构进行。DeFi协议由开源代码管理，而不是依赖于最终行使裁量权的集中式服务提供商、运营商或组织。DeFi是一个分散的金融领域，没有中间人。用户可以创建中间人或代理合约，将调用和交易重定向到修改后的合约，作为更新早期合约的一种方式，但他们始终是自我主权的，并直接持有其资产，无需托管。

在没有可以作为中间人的实体的情况下，链上合规性可以作为自然的、可编程的智能合约升级，对DeFi进行监管和执行合规性。例如，链上合规性可以与无托管（自托管）钱包兼容，无需委托任何第三方对资金进行控制或保管。一旦无托管用户由合法的KYC提供商识别和验证，可编程的链上合规性可以监控交易并在区块链之外自动发布报告，而无需任何中介干预过程。即使对于最复杂的合规报告，例如可疑活动报告（SARs），红旗测试可以编码到链上政策中，并提供司法合规性。

的确，美国财政部在2023年4月发布的有关去中心化金融的评估中承认了将密码学零知识证明整合为合规性机制的前景。该报告承诺，财政部正在努力提高虚拟资产领域的AML/CFT监管框架和制裁合规计划的整体有效性，并将与私营部门合作，支持DeFi领域的负责任创新。该评估建议美国政府应该与开发人员合作，包括通过技术冲刺和潜在的研发拨款，推动旨在减轻DeFi服务的非法融资风险的创新。决策者和监管机构还应寻求并评估必要的法规或指导文件的变更，以支持这些发展。

4.4 现代化AML规则

链上合规性是利用在区块链上运行的共识规则现代化AML规则的机会。与努力协调KYC实践或将金融系统暴露于中央监控系统并可能对网络安全产生影响的情况不同，链上加密合规性为金融机构提供了一个机会，依靠其他机构的证明并将其用于风险管理，无需移动信息或将其暴露给用户。制裁可以在链上执行并实时更新，以防止任何未经合规性的交易进行。报告可以在区块链之外自动进行管理，节省重要时间，并为执法部门提供更好的机会来预防犯罪。省去在每次入口处进行重复KYC检查的冗余性将减轻金融行业的合规负担，提高客户和用户体验，并允许AML基础设施与未来的稳定币和中央银行数字货币支付相兼容，实现不依赖于中间人的强制执行。

因此，国家有机会开发一个去中心化的金融工具，现代化反洗钱规则，并提供一个现代化的金融工具，既去中心化又抵御安全攻击，不涉及大量个人信息的积累或传输，因为只有密码学证明将在整个生态系统中共享，而不是私人信息。

4.5 规则与标准在加密合规方面的区别

链上合规代表了以法律政策形式更倾向于规则而非标准。我们认为，对于Web3环境的金融监管，应该优先选择规则，因为规则是前瞻性的准则，为行为设定了规范基准，让主体在行动之前可以自由规划其行动，同时指导行为符合社会期望的模式。另一方面，标准是事后准则，要求在适用标准的每个案例之后进行规范应用。通过严格、明确定义的机械手段进行程序化执行只能支持事先以极大细节定义的规则，而不能支持模糊的标准。

与金融监管的性质一致，确定性、统一性和稳定性是我们应该应用的核心优点，而灵活性和开放性则价值较低。例如，考虑美国证券交易委员会（SEC）最近在加密货币监管方面采取的方法。SEC主席詹斯勒在2022年9月的一次讲话中表示：“我已要求SEC员工直接与创业者合作，使他们的代币在适当情况下作为证券进行注册和监管...鉴于加密货币投资的性质，我认识到在应用现有披露要求时可能需要灵活性。”

詹斯勒所提出的灵活性实际上对于Web3环境来说是一种缺点，因为它需要针对每个项目进行特别定制。灵活性是标准监管的特征，需要监管机构进行个性化和调整。而规则是统一、确定且双方在前提下都了解的，因此可以相应地进行规划。

通常，Web3是基于开源的，这使得用户和开发者可以在跳入之前了解安排的轮廓。根据詹斯勒对SEC监管解释的灵活标准，开发者需要进入SEC并与SEC咨询，然后再编码；而这种预期在Web3的文化下已经完全过时。如果规则是可用且公开的，至少有一些开发者会阅读和研究它们，并相应地编码。但是，要求与SEC预约不太可能在新兴的全球金融世界Web3中有效应用；而事后的执法行动对经济进展和规模化的法律政策效率同样有害。

规则与标准之间的辩论也是普遍与特定的公正之间的辩论。规则制定的法律体系分配了规范设计的裁量权给制定规则的机构，使用户和开发者免受标准解释裁量所涉及的费用。在Web3中，这尤其有价值，因为不确定性和缺乏清晰性阻碍了通过对投资的合法性产生疑虑而阻碍了创新和进展。考虑一下“安全驾驶”的标准和规定特定速度限制的规则之间的区别。我们的生活更有效，因为通过依靠标志上的速度限制，我们花费更少的时间计算以多快的速度行驶。此外，规则还可以防止歧视和偏见，通过为不同当事方设置平等的规范基准，而不管他们的背景或可用资源如何。从公平性和效率角度来看，规则可以使Web3监管更加完善。

事实上，Web3为未来货币规则制定方法提供了一种承诺。新兴技术现在允许通过将规则编码到核心支付基础设施中来前瞻性地执行政策，为其使用提供规范性界限。链上合规性可以为区块链交易设定规范基准，使用户和开发者能够根据预先确定和明确的规则自由规划其行动。通过将政策编程到链上进行自动执行，可以增强自给自足和不干预的思想，与Web3新兴分散式领域的精神保持一致：通过事先以极大细节定义和规范社会规范，社会为遵守建立了具体的基准，并为用户提供了遵守或承担成本的选择。

与需要等待法院解释的灵活标准不同，金融监管机构现在可以使用可编程政策来为开发者创建法律性层次。这将实现更好的预测性和更好的整体法律确定性，并且将是更适合Web3需求和精神的法律设计，为这个重要的前沿经济领域的发展提供了可能。

5. 结论

当前隐私和合规之间的紧张关系代表了传统金融服务中一个不稳定的妥协，随着加密市场的发展和更广泛的主流采用，这种妥协将受到考验。在这个不断发展的生态系统中，当前的监管解决方案，依赖于金融中介和基于不可变和透明性的区块链的分析，将面临限制；试图将监管模式强加于分散式和点对点交易将广泛涵盖无辜行为，并阻碍这一领域的创新。本文提出了一种替代解决方案，可以利用现代密码学和区块链可编程性的力量，克服合规与隐私之间似乎二元选择的难题。评估方法来管理这一不断发展的金融活动领域的监管者和立法者应该评估采用这些新颖工具的可能性，以在一方面实现更高效的合规，另一方面保护隐私和信息安全。