在 Web3 不断发展并走向合规的路上,隐私一直是当前区块链解决方案中缺失的元素之一。
撰文:Supra Labs
随着 Web3 的发展,DeFi 应用在很多管辖地被强制执行 KYC 程序已经是司空见惯的事了。
KYC 是「Know Your Customer」的首字母缩写,生硬的中文翻译为「了解您的客户」,是金融机构用来收集和验证其平台用户身份的必要程序。像我们平时去银行开户,需要填写一大堆详尽的个人信息;再或者注册支付宝、微信支付,也需要实名认证(填写真实姓名、手机号和身份证号),这些都是 KYC。KYC 对于企业管理,保护自身和用户的财产安全,以及满足政府部门的监管要求,都十分必要。常见需要遵守 KYC 的传统行业包括但不限于:
KYC 其实只是宏大的反洗钱和各种欺诈预防计划中的一个方面。
KYC 向地方当局提供保证,并保护平台用户远离参非法活动的实体。定期 KYC 检查还可以提供有用信息、让机构更了解客户,比如他们是否已搬到其他管辖区、是否有参与非常规可疑活动等等。
同时,KYC 在 Web3 领域也被广泛应用,然而由于大量早期用户是被区块链技术的隐私性和去中心化吸引而来的,导致了 KYC 应用在加密社区引起了争议,但如果不遵守 KYC 规定,区块链技术就无法进一步被大规模采用。
传统金融机构的 KYC 一般会要求客户提供年龄、国籍、资金来源和身份证明等基本信息。审查机构将与相关监管或执法机构审查上述文件,决定是否批准申请人开展业务。初步的 KYC 检查会对申请人进行风险评级,如果实体的风险评级超过机构设定的特定阈值,其来源将受到后续流程中更严格的尽职调查。可能会影响客户评分的因素包括:在受制裁的地区开展业务、公司领导人员是政治敏感人物、大多数客户不住在公司运营地以及大量现金交易等。
KYC 是一项具有持续性的基础事项,传统金融机构可能会在每次交互时进行标准的身份检查程序,还有机构用渐进式风险分析来评估给定交易的风险级别,根据算法阈值级别做出验证决策。例如,打开一个未使用的账户并突然快速存取款可能不会触发验证检查,而多次取款才会触发阈值事件。
触发事件还可以通知机构其客户账户中的特殊变化。例如,某账户身份盗窃率高,或其居住国以外的地点交易,将被标记为可疑账户。公司能够通过积极主动的手段快速响应可疑行为、与执法部门合作,扼杀犯罪行为于摇篮之中。
事实上,涉及多个利益相关者的 KYC 法规的合规工作量巨大,给金融机构带来了沉重的成本负担,特别是区块链领域的初创公司。此外,随着监管变化、各种事件发生或需要合规文档的新产品出现,KYC 检查也需要持续维护和更新,无形中增加了运营成本。当然,用户也会分担成本的风险,因为他们需要及时更新其 KYC 信息,若不及时更新,在某些加密协议中有资金冻结或丢失的风险。
人员在不断流动、地缘政治力量一直在演变、以及 KYC 的审查类型也在不断变化,因此机构需要安排特定的人力资源定期联系客户以获取 KYC 信息。对于大多数银行公司和加密货币公司来说尤其如此,他们经常收到来自与他们有业务往来的不同银行和个人的大量 KYC 请求。
SWIFT 的 KYC 注册中心为金融机构及其客户处理 KYC 合规维护提供了一个集中解决方案,他们采用中央存储库来实体存储最新 KYC 数据,并向需要它的人提供访问权限,同时对中央数据库进行索引和保护。其优势在于,它通过 KYC 信息的标准化和集中化以及利益相关者之间的交流来促进监管合规的效率;其劣势也很明显,过渡集中化带来的数据泄漏风险也是巨大的。
Web3 中 DeFi 的主要特点是匿名性,从一开始就没有设置 KYC 流程,一些加密服务商也不愿接受 KYC,直到受到监管机构的督促。
Binance 和 BitMEX 是其中最不愿接受 KYC 的公司,但他们也被迫在美国、英国和日本监管机构的要求下引入更严格的 KYC 程序。各个中心化交易所被迫要么采用和执行由各种监管机构规定的严格的 KYC 程序,要么正色直言他们不再为某些国家的用户提供服务。
尽管 BitMEX 采用了 KYC 程序,但美国检察官仍然指控其 CEO 亚瑟・海耶斯(Arthur Hayes)存在 KYC 标准不足等违规行为。之后,BitMEX 宣布在与美国监管机构达成 1 亿美元和解之前,称其所有用户都已通过 KYC。
想鱼和熊掌兼得,Web3 需要更加周全的方法。想象一下,如果我们能够采取一种兼容不同协议的方式将一个身份申明上链,同时保证底层参与方的完全隐私,这将使得验证过程充分利用区块链共识机制,并将其与其他加密协议自然而然的结合起来。同时再利用去中心化的预言机自动执行持续性的 KYC,将在合规以及保护隐私的前提下大大提高执行效率。
对于如何实现这一设想,目前最有趣的想法之一是利用零知识证明等技术,在不披露潜在身份以及保护数据隐私的情况下,对链上的用户进行身份验证,这种方式能够保证用户符合监管机构要求,让 Web3 能够遵循各项法规,并回避针对其窝藏洗钱者的攻击。(之前也详细介绍过零知识证明,还没阅读的欢迎前往了解)
总而言之,在 Web3 不断发展并走向合规的路上,隐私一直是当前区块链解决方案中缺失的元素之一,DeFi 中引入的身份层也曾向匿名性发起了挑战,同时圈中大多数人也认为加密金融交易信息都披露在公共分类账上非常幼稚,且没有给那些不想公开披露个人交易信息的人合理的隐私选择。虽然身份创建步骤需要一个可信方来维护身份声明,但在身份证明阶段可以采用去中心化,因此,Web3 的合规化开启了一层强大的身份隐私层,为各种有趣的身份验证场景打开了大门。