Web2數字信息時代,數據安全與隱私保護已經成為我們最關注的問題之一。由於互聯網平台的壟斷性,以及用戶對自身數據價值的模糊,造成了用戶在Web2時代沒有任何隱私,互聯網平台肆意佔有用戶數據,大量用戶的數據隱私被販賣、洩漏或者濫用,持續對用戶的人身與財產造成傷害。所幸全球關於網絡安全、數據保護、個人信息保護的立法也在這幾年逐步完善,在法律層面為Web2數字時代的用戶提供了保障。

隨著我們逐步進入到Web3時代,用戶直接喊出了“數據主權(包括數字資產主權和用戶數據主權)”的口號,基於區塊鏈加密匿名的特性,我們彷彿找到了自由平等的烏托邦。但隨著各種鏈上分析工具以及其他技術手段的出現,用戶的身份、財產等敏感信息也隨之暴露,造成用戶在Web3裸奔的現實。 Web3用戶急需隱私保護。

從 OFAC 及 FinCEN,看 Web3 隱私與金融監管的衝突

(來自Manta聯創的Polkadot Decoded Talk 2022

在此背景下,眾多隱私項目得到發展,包括隱私幣(如Monero Zcash等)、隱私平台(如Oasis Network Secret Network Aztec Network等)以及隱私應用(如Tornado Cash等)。這些隱私項目旨在為用戶提供隱私保護,以阻止惡意行為者根據鏈上記錄獲取的個人和企業的敏感信息,但是這卻成為犯罪分子的洗錢天堂。

OFAC制裁隱私混幣應用Blender.io以及Tornado Cash ,到FinCEN對隱私混幣應用Helix創始人進行6000萬美金的處罰,可以看出Web3的隱私保護與監管合規之間存在劇烈衝突。一方面,儘管區塊鏈默認透明公開,但是用戶仍然需要(急需)隱私方面的保護;另一方面,監管機構也需要在宏觀上出於國家安全利益的考慮,進行防範非法金融活動、防範恐怖主義風險的合規監管。

本文首先來看Web3隱私是什麼,再試圖通過分析OFAC以及FinCEN的金融監管邏輯,來理解Web3隱私保護與金融監管的衝突在哪,最後通過了解A16Z提出的一個能夠平衡隱私保護與監管合規的方案,來看今後Web3隱私的發展。

一、 Web3的隱私是什麼

基於Web3的區塊鏈技術架構,用戶所有的交互數據都會被公開透明地記錄在一個個區塊中。根據Foresight Ventures:讀懂Web3的另一面「隱私」一文中提到:“ Web3時代的隱私=保密(身份數據) +匿名(行為數據)”。

我們以一次購買NFT的交互為例,做簡單理解:

  • 匿名(Anonymity)是對用戶的身份信息不可見,指的是交易的轉賬方、收款方是非公開的。這一點根據區塊鏈的加密匿名特徵可以得到解決,但是由於鏈上分析工具的出現,用戶身份信息的匿名已經難以為繼,可以看到BAYC創始人的鏈下身份信息被曝光。
  • 保密(Confidentiality)是對用戶交互、活動等行為信息的不可見,指的是交易金額等鏈上交互內容是非公開的。雖然所有交易金額等內容在區塊鏈上都公開透明,但可以應用零知識證明以及混幣器等技術,通過隱私交易應用或平台來實現,從而使交易中的輸入輸出和金額等信息得到保密。
  • Web3的隱私( Privacy )包含了上述匿名與保密,即所有交互的內容(包括轉賬方、收款方、交易金額等)都是非公開的。

通過簡單隱私處理之後,用戶爽了(別人再也看不到我因為阿根廷輸球而虧錢),但是監管急了(犯罪分子瘋狂洗錢70億資助恐怖主義國家買核彈)。

二、 OFACFinCENWeb3的金融監管

由於區塊鏈目前的應用主要在金融交易場景,那麼對於隱私項目來說,金融監管部門以反洗錢和打擊恐怖主義融資為由進行監管合規就無可厚非。

2.1美國金融犯罪執法局( FinCEN

從 OFAC 及 FinCEN,看 Web3 隱私與金融監管的衝突

美國金融犯罪執法局( Financial Crimes Enforcement Network ,以下簡稱“ FinCEN ”)成立於1990年,在20019.11事件後,因《美國愛國者法案》的要求被納入美國財政部,成為其下屬機構。 FinCEN主要負責監督和實施關於反洗錢( Anti-Money Laundering (AML)) 、打擊恐怖主義融資( Combating the Financing of Terrorism (CFT) )和客戶盡調( Know-Your-Customer (KYC) )等方面的工作,一方面,負責防範和懲罰國內外洗錢活動、打擊恐怖主義融資和其他金融犯罪,另一方面負責收集和分析金融交易信息,通過研究金融機構的強制性披露信息,追踪可疑人員和活動。

FinCEN的權利來自於美國《銀行保密法》( Bank Secrecy Act ,以下簡稱“ BSA ”), FinCEN將虛擬貨幣視為貨幣,根據FinCEN201959日發布的《 Application of FinCEN ' s Regulations to Certain Business Models Involving Convertible Virtual Currencies 》,明確了向美國人提供服務的虛擬貨幣“管理方”(如代幣發行方, ICO相關項目方)和“兌換方”(如CEX DEX這些虛擬貨幣交易所),如滿足“資金傳輸者”( Money Transmitter )的定義,則屬於BSA下的貨幣服務企業( Money Service Business MSB )。所以,所有從事虛擬貨幣交易業務的主體都需要遵守BSA以及相關金融監管的規定並履行合規義務。 FinCEN的合規義務包括要根據BSAFinCEN進行登記、報告、接受FinCEN的監管、建立相應的反洗錢合規體系、收集客戶信息並報告可疑的金融活動等一系列要求。

也就是說,任何主體想要在美國開展合規虛擬貨幣交易業務,都需要向FinCEN申請註冊MSB牌照,實施全面的反洗錢風險評估和報告機制。孫割近期收購的火幣交易所(火必?)就在2018年宣布獲得美國MSB牌照,此外,據《紐約時報》報導稱, Twitter最近也向FinCEN提交了成為MBS的註冊文件,為其進軍Web3加密支付鋪平道路。

2.2美國海外資產控制辦公室( OFAC

從 OFAC 及 FinCEN,看 Web3 隱私與金融監管的衝突

相比之下, OFAC擁有更廣泛的監管權限,其來源於1977年通過的《國際緊急經濟權力法》( IEEPA ), OFAC監督美國的所有金融交易,並可製裁任何對國家安全構成威脅的個人、實體或國家。

美國海外資產控制辦公室( The Office of Foreign Assets Control of the US Department of the Treasury ,以下簡稱“ OFAC ”),成立於1950年,是美國財政部下屬機構,其使命在於管理和執行所有基於美國國家安全和對外政策的經濟和貿易制裁,包括對一切恐怖主義、跨國毒品和麻醉品交易、大規模殺傷性武器擴散行為進行金融領域的製裁。 OFAC雖然名聲相對較小但權力很大,通常針對國家、實體或個人發布製裁清單,對違反OFAC規定並與製裁清單內的國家、實體或個人進行交易的行為實施處罰,同時,經特別立法授權可對美國境內的所有外國資產進行控制和凍結。

在今年6月, OFAC宣布對一個虛擬貨幣混幣應用平台Blender.io進行製裁,稱其支持黑客組織Lazarus Group超過2,050萬美金的洗錢活動,該黑客組織由朝鮮民主主義人民共和國(DPRK)支持並於2019年被美國製裁。 OFAC制裁的原因是其為美國境內外非法網絡活動提供實質性的( Materially )協助、贊助或金融和技術上的支持,這些行為可能對美國的國家安全、外交政策、經濟健康、金融穩定造成重大威脅。 OFAC凍結了Blender.io所有的在美資產並禁止美國實體或個人與Blender.io進行任何交易。

再來看Tornado Cash OFAC以製裁Blender.io同樣的理由制裁了Tornado Cash ,區別在於這是OFAC首次對鏈上去中心化智能合約直接製裁。 Tornado Cash是一個智能合約,創始人在此前就將所有管理手段都已經移交,使其成為一個完全去中心化,自主運營的鏈上協議。這就引起了加密社區對OFAC監管權限的擔憂,是否擴大解釋了OFAC的監管權限?此外, Coinbase以及Coin center等一些加密組織更是對OFAC提起訴訟,稱OFAC無權限制對軟件程序進行製裁,因為軟件代碼是一種言論的一種表達形式,並且可能侵犯美國憲法《第一修正案》的公民言論自由及個人隱私的權利(援引1996年的著名判例Bernstein v. the US Department of State )。

三、金融合規監管與隱私保護的衝突

從 OFAC 及 FinCEN,看 Web3 隱私與金融監管的衝突

FinCEN以及OFAC的出發點都是相同的,即要求他們管轄範圍內的機構保持定期、持續的信息披露,以支持執法監督,防範網絡金融洗錢以支持恐怖主義活動,並推進國家安全政策以及其他事項。但是這在採取嚴格合規監管的同時,與用戶需要的隱私保護產生了直接衝突。

3.1FinCEN的衝突

對於FinCEN來說,由於其將虛擬貨幣視為貨幣,並將提供虛擬貨幣交易業務的主體視為MSB ,那麼就需要遵守BSA以及相關金融監管的規定並履行合規義務。顯然, BSA下的KYC AML以及收集客戶信息並報告可疑的金融活動的合規要求,是Web3隱私保護最大的敵人。

KYC通常是指受監管金融機構從以下方面採取的措施: (i )客戶識別( Customer Identification Program CIP) ,包括對客戶身份信息的收集、驗證和記錄保存; (ii )客戶盡職調查( Customer Due Diligence CDD) ,鑑別、篩選、隔離高風險客戶; (iii )持續盡職調查( Ongoing Due Diligence OCDD)) ,持續地監督客戶商業行為,並進行盡職審查,最終評估與該客戶相關的反洗錢和恐怖主義融資風險。可以看出,一旦對用戶進行了KYC ,就暴露了用戶的身份信息,再加上後續持續的DD以及信息披露,用戶的行為信息保密也不復存在。

3.2OFAC的衝突

對於OFAC來說,其站在保護美國的國家安全和外交政策利益的角度上,與隱私保護主要的衝突是其對隱私保護應用(混幣器)“一刀切”式的經濟制裁,切斷了用戶使用隱私保護的工具,尤其是在Tornado Cash這個案子上可以體現。

Tornado Cash是部署在以太坊區塊鏈上的一個智能合約,旨在匿名化用戶資產,以保護他們的隱私,其打破了資金最初存入Tornado的地址到後來從Tornado提取資金地址之間的聯繫,並且是以非託管的形式為用戶數據以及資產所有權提供保障。據了解,在對Tornado Cash實施制裁前,監管部門也多次聯繫團隊,希望能夠就非法洗錢問題提供相應的控制措施,但是團隊表示無法控制去中心化的鏈上協議,並且去中心化這一特徵可能規避監管(至少FinCEN認為,非託管的、自動執行的軟件程序並不屬於Money Transmitter ,並不會觸發BSA的監管)。

所以就有了後來OFAC簡單粗暴的製裁,其在新聞稿中提到的:“ Tornado Cash多次未能實施有效的控制措施,以阻止其定期為惡意網絡行為者洗錢,也沒有採取基本措施應對其風險。 Crypto行業應採取相關風險防控的手段,來評估虛擬貨幣服務相關的風險,採取措施降低風險,並解決匿名特性對遵守反洗錢義務帶來的挑戰。就像對Tornado Cash的製裁表明,混幣應用業務是一項高風險的業務,只有採取有效的控制措施預防洗錢等非法活動之後,才可以進行交易應用。”

四、 A16Z提出解決隱私保護與合規監管衝突的方案

從 OFAC 及 FinCEN,看 Web3 隱私與金融監管的衝突

為了應對Tornado Cash的監管衝突以及避免OFAC針對所有隱私協議( A16Z此前就提出,應該制裁“應用”,而非“協議”)進行“一刀切”式的監管, A16Z20221116日發布了一篇文章《 Privacy-Protecting Regulatory Solutions Using Zero-Knowledge Proofs 》,試圖解決上述問題。

A16Z表示,開發者可以利用零知識證明( Zero-Knowledge Proofs ZKP )構建一系列的隱私機制。更重要的是, ZKP允許選擇性地披露監管合規所需要的信息(而非用戶全部的基礎信息),來實現對用戶的隱私保護。 A16Z提出可以使用ZKP的三種方案組合,包括建立存款篩選、提款篩選、以及選擇性去匿名化的方式,作為平衡用戶隱私保護需求與監管合規的有效解決方案。

A16Z的方案中,將建立黑名單地址(將政府監管黑名單的錢包地址納入,包括OFAC SDN List上的地址等)以及建立白名單地址(將Coinbase等合規機構的地址直接納入白名單)這樣的篩選機制,在用戶存款以及取款的時候對錢包地址進行檢查、篩選。最後,選擇性去匿名化,該功能將為監管機構提供對交易細節的訪問權限,而非全部交易信息。同時,這些黑名單以及白名單上的地址可以由一個DAO組織運營(例如區塊鏈地址分析組織),構建一個黑白名單智能合約,並與監管機構保持溝通。

假如上述模式可行,那麼根據Tornado Cash的智能合約會在資金存款、或提取的時候,“調用”該黑白名單,一方面,能夠保障金融監管機構的合規要求,另一方面也能通過ZKP在一定程度上保障用戶隱私。

五、寫在最後

其實對於監管機構來說, Web3的監管邏輯和Web2的監管邏輯沒什麼不一樣,無非是出現了一些新興的概念需要明確其法律地位,比如Tornado Cash案中如何去定義被制裁對象——智能合約、 Ooki DAOCFTCDAO定義以及其DAO成員的責任問題,以及之前SEC調查Yuga Labs ,對其NFT或者Ape Coin代幣是否應納入證券的定義。在這樣的監管邏輯下,如何通過技術方案來解決或者說平衡用戶隱私保護與金融監管的衝突,就非常值得期待了。

從 OFAC 及 FinCEN,看 Web3 隱私與金融監管的衝突

 (來自Manta聯創的Polkadot Decoded Talk 2022

去中心化並不等於去監管,擁抱監管並不等於去隱私,隱私與監管並不應該是對立的,在技術加持下的Crypto為何不能成為監管本身?

—— END ——

本文僅供參考,不構成法律意見。希望本文對您有所幫助。若您有任何進一步的問題或指示,請隨時聯繫。

參考文章:

Manta聯創: Tornado被制裁與鏈上隱私的未來

https://news.marsbit.co/20220817111742409575.HTML

Foresight Ventures:讀懂Web3的另一面「隱私」

https://mp.weixin.qq.com/s/b3wpHokezq3 giknXxb1flQ

Application of FinCEN ' s Regulations to Certain Business Models Involving Convertible Virtual Currencies

https://www.fincen.gov/sites/default/files/2019-05/FinCEN%20Guidance%20CVC%20FINAL%20508.PDF

US Treasury Sanctions Notorious Virtual Currency Mixer Tornado Cash

https://home.treasury.gov/news/press-releases/jy0916

A16Z Privacy-Protecting Regulatory Solutions Using Zero-Knowledge Proofs: Full Paper

https://a16 zcrypto.com/privacy-protecting-regulatory-solutions-using-zero-knowledge-proofs-full-paper/

Huobi Research:The Sword of Damocles in Blockchain:Privacy and Regulation

https://research.huobi.com/#/ArticleDetails?id=319

用戶數據隱私保護: Web 2.0Web 3.0的區別是什麼? |萬向區塊鏈行業研究

https://mp.weixin.qq.com/s/XcBKch-NpkCQR9NLnFQ3wg

加密全民戰爭,「去USDC化」穩定幣的捍衛之路

https://www.theblockbeats.info/news/31721