Cointime

扫码下载App
iOS & Android

从 OFAC 及 FinCEN,看 Web3 隐私与金融监管的冲突

个人专家

在 Web2 数字信息时代,数据安全与隐私保护已经成为我们最关注的问题之一。由于互联网平台的垄断性,以及用户对自身数据价值的模糊,造成了用户在 Web2 时代没有任何隐私,互联网平台肆意占有用户数据,大量用户的数据隐私被贩卖、泄漏或者滥用,持续对用户的人身与财产造成伤害。所幸全球关于网络安全、数据保护、个人信息保护的立法也在这几年逐步完善,在法律层面为 Web2 数字时代的用户提供了保障。

随着我们逐步进入到 Web3 时代,用户直接喊出了“数据主权(包括数字资产主权和用户数据主权)”的口号,基于区块链加密匿名的特性,我们仿佛找到了自由平等的乌托邦。但随着各种链上分析工具以及其他技术手段的出现,用户的身份、财产等敏感信息也随之暴露,造成用户在 Web3 裸奔的现实。Web3 用户急需隐私保护。

(来自 Manta 联创的 Polkadot Decoded Talk 2022)

在此背景下,众多隐私项目得到发展,包括隐私币(如 Monero、Zcash 等)、隐私平台(如 Oasis Network、Secret Network、Aztec Network 等)以及隐私应用(如 Tornado Cash 等)。这些隐私项目旨在为用户提供隐私保护,以阻止恶意行为者根据链上记录获取的个人和企业的敏感信息,但是这却成为犯罪分子的洗钱天堂。

从 OFAC 制裁隐私混币应用 Blender.io 以及 Tornado Cash,到 FinCEN 对隐私混币应用 Helix 创始人进行 6000 万美金的处罚,可以看出 Web3 的隐私保护与监管合规之间存在剧烈冲突。一方面,尽管区块链默认透明公开,但是用户仍然需要(急需)隐私方面的保护;另一方面,监管机构也需要在宏观上出于国家安全利益的考虑,进行防范非法金融活动、防范恐怖主义风险的合规监管。

本文首先来看 Web3 隐私是什么,再试图通过分析 OFAC 以及 FinCEN 的金融监管逻辑,来理解 Web3 隐私保护与金融监管的冲突在哪,最后通过了解 A16Z 提出的一个能够平衡隐私保护与监管合规的方案,来看今后 Web3 隐私的发展。

一、Web3 的隐私是什么

基于 Web3 的区块链技术架构,用户所有的交互数据都会被公开透明地记录在一个个区块中。根据 Foresight Ventures: 读懂 Web3 的另一面「隐私」一文中提到:“Web3 时代的隐私 = 保密(身份数据)+ 匿名(行为数据)”。

我们以一次购买 NFT 的交互为例,做简单理解:

  • 匿名 (Anonymity) 是对用户的身份信息不可见,指的是交易的转账方、收款方是非公开的。这一点根据区块链的加密匿名特征可以得到解决,但是由于链上分析工具的出现,用户身份信息的匿名已经难以为继,可以看到 BAYC 创始人的链下身份信息被曝光。
  • 保密 (Confidentiality) 是对用户交互、活动等行为信息的不可见,指的是交易金额等链上交互内容是非公开的。虽然所有交易金额等内容在区块链上都公开透明,但可以应用零知识证明以及混币器等技术,通过隐私交易应用或平台来实现,从而使交易中的输入输出和金额等信息得到保密。
  • Web3 的隐私(Privacy)包含了上述匿名与保密,即所有交互的内容(包括转账方、收款方、交易金额等)都是非公开的。

通过简单隐私处理之后,用户爽了(别人再也看不到我因为阿根廷输球而亏钱),但是监管急了(犯罪分子疯狂洗钱 70 亿资助恐怖主义国家买核弹)。

二、OFAC 与 FinCEN 对 Web3 的金融监管

由于区块链目前的应用主要在金融交易场景,那么对于隐私项目来说,金融监管部门以反洗钱和打击恐怖主义融资为由进行监管合规就无可厚非。

2.1 美国金融犯罪执法局(FinCEN)

美国金融犯罪执法局(Financial Crimes Enforcement Network,以下简称“FinCEN”)成立于 1990 年,在 2001 年 9.11 事件后,因《美国爱国者法案》的要求被纳入美国财政部,成为其下属机构。FinCEN 主要负责监督和实施关于反洗钱(Anti-Money Laundering (AML))、打击恐怖主义融资(Combating the Financing of Terrorism (CFT))和客户尽调(Know-Your-Customer (KYC))等方面的工作,一方面,负责防范和惩罚国内外洗钱活动、打击恐怖主义融资和其他金融犯罪,另一方面负责收集和分析金融交易信息,通过研究金融机构的强制性披露信息,追踪可疑人员和活动。

FinCEN 的权利来自于美国《银行保密法》(Bank Secrecy Act,以下简称“BSA”),FinCEN 将虚拟货币视为货币,根据 FinCEN 于 2019 年 5 月 9 日发布的《Application of FinCEN’s Regulations to Certain Business Models Involving Convertible Virtual Currencies》,明确了向美国人提供服务的虚拟货币“管理方”(如代币发行方,ICO 相关项目方)和“兑换方”(如 CEX、DEX 这些虚拟货币交易所),如满足“资金传输者”(Money Transmitter)的定义,则属于 BSA 下的货币服务企业(Money Service Business,MSB)。所以,所有从事虚拟货币交易业务的主体都需要遵守 BSA 以及相关金融监管的规定并履行合规义务。FinCEN 的合规义务包括要根据 BSA 向 FinCEN 进行登记、报告、接受 FinCEN 的监管、建立相应的反洗钱合规体系、收集客户信息并报告可疑的金融活动等一系列要求。

也就是说,任何主体想要在美国开展合规虚拟货币交易业务,都需要向 FinCEN 申请注册 MSB 牌照,实施全面的反洗钱风险评估和报告机制。孙割近期收购的火币交易所(火必?)就在 2018 年宣布获得美国 MSB 牌照,此外,据《纽约时报》报道称,Twitter 最近也向 FinCEN 提交了成为 MBS 的注册文件,为其进军 Web3 加密支付铺平道路。

2.2 美国海外资产控制办公室(OFAC)

相比之下,OFAC 拥有更广泛的监管权限,其来源于 1977 年通过的《国际紧急经济权力法》(IEEPA),OFAC 监督美国的所有金融交易,并可制裁任何对国家安全构成威胁的个人、实体或国家。

美国海外资产控制办公室(The Office of Foreign Assets Control of the US Department of the Treasury,以下简称“OFAC”),成立于 1950 年,是美国财政部下属机构,其使命在于管理和执行所有基于美国国家安全和对外政策的经济和贸易制裁,包括对一切恐怖主义、跨国毒品和麻醉品交易、大规模杀伤性武器扩散行为进行金融领域的制裁。OFAC 虽然名声相对较小但权力很大,通常针对国家、实体或个人发布制裁清单,对违反 OFAC 规定并与制裁清单内的国家、实体或个人进行交易的行为实施处罚,同时,经特别立法授权可对美国境内的所有外国资产进行控制和冻结。

在今年 6 月,OFAC 宣布对一个虚拟货币混币应用平台 Blender.io 进行制裁,称其支持黑客组织 Lazarus Group 超过 2,050 万美金的洗钱活动,该黑客组织由朝鲜民主主义人民共和国 (DPRK) 支持并于 2019 年被美国制裁。OFAC 制裁的原因是其为美国境内外非法网络活动提供实质性的(Materially)协助、赞助或金融和技术上的支持,这些行为可能对美国的国家安全、外交政策、经济健康、金融稳定造成重大威胁。OFAC 冻结了 Blender.io 所有的在美资产并禁止美国实体或个人与 Blender.io 进行任何交易。

再来看 Tornado Cash,OFAC 以制裁 Blender.io 同样的理由制裁了 Tornado Cash,区别在于这是 OFAC 首次对链上去中心化智能合约直接制裁。Tornado Cash 是一个智能合约,创始人在此前就将所有管理手段都已经移交,使其成为一个完全去中心化,自主运营的链上协议。这就引起了加密社区对 OFAC 监管权限的担忧,是否扩大解释了 OFAC 的监管权限?此外,Coinbase 以及 Coin center 等一些加密组织更是对 OFAC 提起诉讼,称 OFAC 无权限制对软件程序进行制裁,因为软件代码是一种言论的一种表达形式,并且可能侵犯美国宪法《第一修正案》的公民言论自由及个人隐私的权利(援引 1996 年的著名判例 Bernstein v. the U.S. Department of State)。

三、金融合规监管与隐私保护的冲突

FinCEN 以及 OFAC 的出发点都是相同的,即要求他们管辖范围内的机构保持定期、持续的信息披露,以支持执法监督,防范网络金融洗钱以支持恐怖主义活动,并推进国家安全政策以及其他事项。但是这在采取严格合规监管的同时,与用户需要的隐私保护产生了直接冲突。

3.1 与 FinCEN 的冲突

对于 FinCEN 来说,由于其将虚拟货币视为货币,并将提供虚拟货币交易业务的主体视为 MSB,那么就需要遵守 BSA 以及相关金融监管的规定并履行合规义务。显然,BSA 下的 KYC、AML 以及收集客户信息并报告可疑的金融活动的合规要求,是 Web3 隐私保护最大的敌人。

KYC 通常是指受监管金融机构从以下方面采取的措施:(i)客户识别(Customer Identification Program,CIP),包括对客户身份信息的收集、验证和记录保存;(ii)客户尽职调查(Customer Due Diligence,CDD),鉴别、筛选、隔离高风险客户;(iii)持续尽职调查(Ongoing Due Diligence,OCDD)),持续地监督客户商业行为,并进行尽职审查,最终评估与该客户相关的反洗钱和恐怖主义融资风险。可以看出,一旦对用户进行了 KYC,就暴露了用户的身份信息,再加上后续持续的 DD 以及信息披露,用户的行为信息保密也不复存在。

3.2 与 OFAC 的冲突

对于 OFAC 来说,其站在保护美国的国家安全和外交政策利益的角度上,与隐私保护主要的冲突是其对隐私保护应用(混币器)“一刀切”式的经济制裁,切断了用户使用隐私保护的工具,尤其是在 Tornado Cash 这个案子上可以体现。

Tornado Cash 是部署在以太坊区块链上的一个智能合约,旨在匿名化用户资产,以保护他们的隐私,其打破了资金最初存入 Tornado 的地址到后来从 Tornado 提取资金的新地址之间的联系,并且是以非托管的形式为用户数据以及资产所有权提供保障。据了解,在对 Tornado Cash 实施制裁前,监管部门也多次联系团队,希望能够就非法洗钱问题提供相应的控制措施,但是团队表示无法控制去中心化的链上协议,并且去中心化这一特征可能规避监管(至少 FinCEN 认为,非托管的、自动执行的软件程序并不属于 Money Transmitter,并不会触发 BSA 的监管)。

所以就有了后来 OFAC 简单粗暴的制裁,其在新闻稿中提到的:“Tornado Cash 多次未能实施有效的控制措施,以阻止其定期为恶意网络行为者洗钱,也没有采取基本措施应对其风险。Crypto 行业应采取相关风险防控的手段,来评估虚拟货币服务相关的风险,采取措施降低风险,并解决匿名特性对遵守反洗钱义务带来的挑战。就像对 Tornado Cash 的制裁表明,混币应用业务是一项高风险的业务,只有采取有效的控制措施预防洗钱等非法活动之后,才可以进行交易应用。”

四、A16Z 提出解决隐私保护与合规监管冲突的方案

为了应对 Tornado Cash 的监管冲突以及避免 OFAC 针对所有隐私协议(A16Z 此前就提出,应该制裁“应用”,而非“协议”)进行“一刀切”式的监管,A16Z 于 2022 年 11 月 16 日发布了一篇文章《Privacy-Protecting Regulatory Solutions Using Zero-Knowledge Proofs》,试图解决上述问题。

A16Z 表示,开发者可以利用零知识证明(Zero-Knowledge Proofs,ZKP)构建一系列的隐私机制。更重要的是,ZKP 允许选择性地披露监管合规所需要的信息(而非用户全部的基础信息),来实现对用户的隐私保护。A16Z 提出可以使用 ZKP 的三种方案组合,包括建立存款筛选、提款筛选、以及选择性去匿名化的方式,作为平衡用户隐私保护需求与监管合规的有效解决方案。

在 A16Z 的方案中,将建立黑名单地址(将政府监管黑名单的钱包地址纳入,包括 OFAC SDN List 上的地址等)以及建立白名单地址(将 Coinbase 等合规机构的地址直接纳入白名单)这样的筛选机制,在用户存款以及取款的时候对钱包地址进行检查、筛选。最后,选择性去匿名化,该功能将为监管机构提供对交易细节的访问权限,而非全部交易信息。同时,这些黑名单以及白名单上的地址可以由一个 DAO 组织运营(例如区块链地址分析组织),构建一个黑白名单智能合约,并与监管机构保持沟通。

假如上述模式可行,那么根据 Tornado Cash 的智能合约会在资金存款、或提取的时候,“调用”该黑白名单,一方面,能够保障金融监管机构的合规要求,另一方面也能通过 ZKP 在一定程度上保障用户隐私。

五、写在最后

其实对于监管机构来说,Web3 的监管逻辑和 Web2 的监管逻辑没什么不一样,无非是出现了一些新兴的概念需要明确其法律地位,比如 Tornado Cash 案中如何去定义被制裁对象——智能合约、Ooki DAO 中 CFTC 对 DAO 定义以及其 DAO 成员的责任问题,以及之前 SEC 调查 Yuga Labs,对其 NFT 或者 Ape Coin 代币是否应纳入证券的定义。在这样的监管逻辑下,如何通过技术方案来解决或者说平衡用户隐私保护与金融监管的冲突,就非常值得期待了。

(来自Manta 联创的 Polkadot Decoded Talk 2022)

去中心化并不等于去监管,拥抱监管并不等于去隐私,隐私与监管并不应该是对立的,在技术加持下的 Crypto 为何不能成为监管本身?

——END——

本文仅供参考,不构成法律意见。希望本文对您有所帮助。若您有任何进一步的问题或指示,请随时联系。

参考文章:

Manta 联创:Tornado 被制裁与链上隐私的未来

https://news.marsbit.co/20220817111742409575.HTML

Foresight Ventures: 读懂 Web3 的另一面「隐私」

https://mp.weixin.qq.com/s/b3wpHokezq3 giknXxb1flQ

Application of FinCEN’s Regulations to Certain Business Models Involving Convertible Virtual Currencies

https://www.fincen.gov/sites/default/files/2019-05/FinCEN%20Guidance%20CVC%20FINAL%20508.PDF

U.S. Treasury Sanctions Notorious Virtual Currency Mixer Tornado Cash

https://home.treasury.gov/news/press-releases/jy0916

A16Z:Privacy-Protecting Regulatory Solutions Using Zero-Knowledge Proofs: Full Paper

https://a16 zcrypto.com/privacy-protecting-regulatory-solutions-using-zero-knowledge-proofs-full-paper/

Huobi Research:The Sword of Damocles in Blockchain:Privacy and Regulation

https://research.huobi.com/#/ArticleDetails?id=319

用户数据隐私保护:Web 2.0 和 Web 3.0 的区别是什么?| 万向区块链行业研究

https://mp.weixin.qq.com/s/XcBKch-NpkCQR9NLnFQ3wg

加密全民战争,「去 USDC 化」稳定币的捍卫之路

https://www.theblockbeats.info/news/31721

评论

所有评论

推荐阅读

  • 香港证监会:HKCEXP、EDY 涉嫌从事虚拟资产欺诈行为

    香港证监会(SFC)在其公众平台发文称,HKCEXP、EDY 涉嫌从事虚拟资产欺诈行为。据悉,证监会已将 HKCEXP、EDY 及其相关网站列入警示名单;香港警务处亦已采取行动封锁 HKCEXP 的相关网站。

  • dappOS以3亿美元估值融资1530万美元

    意图执行网络 dappOS 在 Polychain 领投的 A 轮融资中筹集了 1530 万美元,估值为 3 亿美元。dappOS 成立于 2022 年 5 月,并于 2022 年 12 月入选币安孵化计划第 5 季。2023 年 7 月,dappOS 获得币安 Labs、红杉中国等机构的种子轮投资。 此轮融资的其他支持者包括 Nomad Capital、IDG、Flow Traders、IOBC、NGC、Amber Group、Uphonest、Taihill、Waterdrip、Bing Ventures、Spark Capital 和 Metalpha 等。

  • Stratis:已获得西班牙银行的虚拟资产服务提供商注册

    区块链技术公司 Stratis 宣布已获得西班牙银行的虚拟资产服务提供商 (VASP) 注册。

  • 印度尼西亚金融服务管理局将于2025年1月接管加密货币行业监管

    印度尼西亚金融服务管理局(OJK)将于2025年1月从商品机构Bappebti接管加密货币行业的监管。加密货币公司将需要在新监管机构的沙盒环境中通过评估才能获得在该国运营的批准。未经沙盒评估而在该国提供服务的公司将被视为非法经营。监管沙盒还允许加密货币企业适应OJK实施的监管规定,以增强金融行业的安全性和负责任管理。

  • SlowMist:已检测到与Yield Magnet相关的潜在可疑活动

    SlowMist在社交媒体上发布安全警报,已检测到与Yield Magnet相关的潜在可疑活动。

  • Sablier完成450万美元种子轮融资并获得a16z加密创业加速器资助

    实时支付协议Sablier宣布完成450万美元种子轮融资,A Capital、Fenbushi Capital、WAGMI Ventures、GD1 web3、Cyfrin、DCV、Founderheads 以及Daniel Bar、Ben Middleton、Evan等天使投资人参投。Sablier主要提供链上代币分发和资金流解决方案,此前已将协议部署至Optimism、Arbitrum和Avalanche网络允许用户自定义基于币种、金额、地址和持续时间创建流支付方案,并在区块链验证交易后,将生成的链接发给收款人。此外,Sablier在本轮融资完成后还宣布获得了a16z加密创业加速器的资助,但具体金额暂未披露。

  • 《MadWorld》移动NFT射击游戏工作室Carbonated完成1100万美元融资,a16z参投

    据Decrypt报道,《MadWorld》移动NFT射击游戏工作室Carbonated宣布完成1100万美元融资,韩国游戏巨头Com2uS领投,Andreessen Horowitz(a16z)、Bitkraft Ventures、Cypher Capital、Blocore、Goal Ventures和WAGMI Ventures参投,该工作室此前曾在2020年筹集了850万美元, a16z和Bitkraft当时也参与了投资。据悉MadWorld将于2024年某个时候向公众推出,目前已经开始在iOS和安卓操作系统平台进行测试,其创始人Travis Boatman是一名移动游戏资深人士,曾在Zynga和Electronic Arts担任高管。

  • a16z合伙人:加密行业发展的重点应该放在数字所有权上

    Andreessen Horowitz(a16z)合伙人Chris Dixon表示,对加密行业来说,走出一条清晰道路的唯一方法是专注于区块链技术和该行业的初创企业,其中重点应该放在数字所有权上。他说:“加密货币和区块链经常出现在新闻中,但其中很多都是围绕投机和价格,但我觉得还有另一面,即技术、初创公司以及我们正在做的事情”。

  • a16z合伙人Chris Dixon:Uniswap这样的AMM是金融基础设施领域真正突破

    a16z合伙人Chris Dixon的新书《Read Write Own: Building the Next Era of the Internet》将于1月30日出售,在接受《财富》杂志专访时他表示,像Uniswap这样的AMM是金融基础设施领域的真正突破,华尔街应该拥抱AMM等新技术,在理性的世界中思考如何融合现实世界资产,从监管角度来看,所谓的现实世界资产很复杂,如何将抵押贷款或股票放在区块链上并将其代币化,一些大型金融公司正在努力解决这个问题。

  • Coinbase、Circle和a16z等公司向政治行动委员会Fairshake投资7800万美元以引导对加密货币的支持

    随着华盛顿当局对数字资产市场的情绪加剧以及即将到来的美国大选,加密货币公司大幅增加了对美国政界人士的捐款。Coinbase、Circle 和a16z等公司向Fairshake投资了7800万美元,Fairshake 是一个联邦超级政治行动委员会,可以从企业和个人那里获取无限的资金用于选举,以引导“支持加密货币的领导层”。Coinbase首席政策官Faryar Shirzad表示:“我们将尽一切努力使加密货币去政治化。”“我们的游说、我们的基层工作以及现在的Fairshake将为公众辩论其优点创造空间,而不是我们的行业被不了解该技术的社会效益的煽动者当成政治足球。”(FT)