English العربية español français русский
5 min (1403 words) Read

打击金融犯罪不一定要以牺牲隐私为代价

 

据传言,黑帮分子阿尔·卡彭(Al Capone)以自助洗衣店为幌子,隐藏了其财富的非法来源。从那时起,当局一直致力于追踪、查扣犯罪分子(最近还包括恐怖分子)“清洗过的”资金。

如今,这一工作变得更加棘手,因为稳定币等数字资产可以通过执法部门无法触及的许多账户进行清洗。但是,打击犯罪分子绝不能牺牲守法公民的隐私权,也不能影响每天数十亿美元的支付和转账的有效处理。

虽然看似无法实现,但是我们认为,技术实际上可能让我们实现这一目标。

打击犯罪、保护隐私和高效运行的“智能合规”支付系统已触手可及。这些系统可以直接内嵌到稳定币(与传统货币挂钩的数字资产)的区块链中。

在实践中如何实现?假设爱丽丝想付钱给鲍勃。当她在手机应用程序中点击“发送款项”时,她之前的身份验证将得到确认,该交易将由去中心化的算法进行审查以判断是否存在可疑活动,之后该操作即告完成——所有这些都是在区块链上实现的。被标记的交易将自动报告给执法部门。然而,爱丽丝和鲍勃的身份只能通过搜查令或其他法律程序予以揭穿。

伴随着预期的技术进步,这种“通过设计实现合规”的愿景可能成为大规模支付系统的实际现实。

在隐私与透明间寻求平衡

监管区块链金融的新尝试并没有解决隐私保护与法律合规之间的根本矛盾。在支付系统中,合规和隐私在传统上是相互竞争的两种因素。稳定币支付系统就是这一矛盾的例子。但二者也可能达成一种自然的妥协,因为它们的去中心化可编程架构允许内嵌合规机制,而其使用的化名有助于维持较低的隐私风险。

本文解释了“通过设计实现合规”(compliance-by-design)的方法(Duffie、Olowookere和Veneris,2025年)如何能让去中心化的稳定币支付系统在保护隐私的同时,执行反洗钱(AML)和打击恐怖主义融资(CFT)的法规和制裁。合规执法将在交易发生时进行,其将根据预定义的标准和风险指标开展,而不是像今天这样被动地进行。这种方法符合2023年《IMF-金融稳定理事会加密资产政策框架》的规定——要求稳定币提供商采取合规措施。 

在这样的环境下,稳定币用户很可能会分为两类。如果机构和个人既重视合规性又重视保密性,那么他们可能会选择“通过设计实现合规”的支付网络。其他的用户可能会继续使用基于化名和相对宽松合规约束的传统稳定币支付方法。

在深入讨论之前,让我们先来定义稳定币支付背景下的隐私利益。对于个人来说,一个主要的关注点在于个人信息的保护,包括姓名、家庭住址和电话号码。对于企业和机构来说,隐私问题可能包括交易的元数据,如金额、时间戳、模式、交易对手等,这些数据可能具有商业敏感性。对于企业来说,保密不仅具有战略重要性,而且通常也是一项法律要求。

合规涉及“客户身份识别”(KYC)标准和监测支付以发现非法活动。目前,稳定币提供商将合规任务委托给中心化的交易所和其他托管机构,后者为稳定币和传统货币之间的转换提供入口和出口。

然而,由于机构有能力铸造稳定币且用户能在具有去中心化协议的多个账户之间转移稳定币,再加上用于掩盖单个代币踪迹的“混币器”变得广泛可得,掩盖交易已变得相对容易。执法的范围有限,且往往是被动的,只有在检测到可疑活动后才会触发。这些因素导致遵守反洗钱、打击恐怖主义融资和制裁框架变得相对无效。此外,合规用户的隐私受到了限制,因为支付是公开可察的,其透明地与用户的化名相关联。

要协调隐私标准和监管合规,就需要一种在合理执法的同时更好保护用户数据的模式。这就需要一种在不公开身份的情况下验证身份的方法。

无暴露验证

在一个“通过设计实现合规”的去中心化支付系统中,在爱丽丝向鲍勃付款之前,两者都必须经过此类服务的持牌提供商(下文称“凭证签发方”)的身份验证,如图1所示。验证过程会将爱丽丝和鲍勃置于其所选择的去中心化支付系统的客户身份识别范围之内。这一验证信息将以“哈希化”(加密屏蔽)证书的形式存储在支付系统的账本上。

这时,“零知识证明”(ZKP)工具开始发挥作用。ZKP是一种可以在多用户软件平台中实施的加密工具,它们让用户可以在不透露内容的情况下对其予以证明。例如,ZKP可以在不透露玩家所持扑克牌的情况下,确定哪一个玩家获胜。

同样,ZKP可以让去中心化支付系统的用户在不泄露其个人数据的情况下,证明其通过了客户身份识别。为了实现这个目的,ZKP会确保用户发起的每一笔交易都包含一份ZKP证明,说明其有资格进入支付系统的客户身份识别范围,且不泄露其身份或任何其他潜在的个人信息。

这种方法可用于任何去中心化的支付系统,特别是基于稳定币的系统。原则上,同样的方法也可以用于基于央行数字货币和其他数字形式的货币的去中心化支付系统。

除非检测到特定的风险指标,如交易模式异常、转账超过指定阈值或指向已知高风险钱包的链接,否则隐私将得到保护。嵌入账本的智能合约会监测这些危险信号。智能合约是自动化的软件模块,其无需中间方即可在账本网络上执行协议。当检测到足够可疑的活动时,智能合约会生成可疑活动报告(SAR),并将其发送给监管机构。当局此后访问潜在敏感的用户数据,需要遵循所在辖区的法律程序,这可能涉及法院申请以及搜查令或行政传票程序。

这一模式支持分层式的检测和监督。白名单交易(已知各方之间的例行性转账)将无缝进行。被标记的交易可能会被延迟或触发自动SAR报告,涉及已知违规者的高风险转账则可能被阻止。以上这些响应都是通过智能合约来执行的,而智能合约可以进行动态更新,以反映不断变化的监管重点、特殊情况,以及从支付模式统计分析中获得的见解。

签发方保管的客户身份识别凭证可保护经过验证的用户凭证的数据库,并在这些数据库被泄露时进行更新或撤销。如果爱丽丝的法律地位发生变化(如因为制裁),那么其合规证明将失败,她在客户身份识别范围内的交易将被阻止。

我们所描述的稳定币支付系统以主动实时“链上”算法审查取代耗时的“链下”被动式手动审查——而后者是当今的常见做法。该框架在交易发生时使用智能合约来应用合规规则,从而直接利用了区块链系统的优势。

chart-the-stablecoin-balancing-act-duffiechi

执行

客户身份识别范围可以使用零知识客户身份识别(zkKYC)来实现(Pauwels,2021年),其将零知识证明与选择性披露结合了起来。例如,爱丽丝可以证明她通过了特定的身份验证(如年满18岁),而无需透露具体年龄。根据这种方法,政府机构或经授权的金融机构会向爱丽丝签发可验证的凭证,其源于她的官方或政府颁发的身份证件。该凭证的一个加密保护版本会存储在每个用户的私人数字钱包中。

在交易过程中,由该凭证生成的zkKYC代币被嵌入链上。该代币会在不泄露用户身份的情况下证明其通过了客户身份识别,而其底层凭证仍将由凭证签发方安全地保存在链下。就自然人的支付(如点对点或客户对企业的支付)而言,可以将可验证的凭证关联到护照或驾照等标准法律证件上,以此减少身份欺诈。

例如,当爱丽丝向鲍勃发起支付时,她的钱包会生成一个zkKYC代币,其以加密方式证明爱丽丝拥有可验证的凭证。该代币确认爱丽丝已通过客户身份识别认证,并已进入客户身份识别范围。该代币还会表明爱丽丝是个人还是机构,并确认交易金额、钱包门槛和其他相关数据。除非爱丽丝同意,或是除非触发SAR报告、从而确立了披露的法律依据,否则该代币无需向鲍勃或任何第三方透露爱丽丝的身份或交易详细信息。 

自动合规执行依赖于嵌入账本的智能合约,其会分析zkKYC代币中包含的加密信息,以与指定的SAR标准相匹配。如果找到匹配项,则该智能合约会自动生成一份SAR报告,这允许在不严重损害合规用户隐私的情况下予以执行。

稳定币在促进普惠金融和提高支付系统效率方面具有远大的前景。但其需要在隐私和合规之间取得更好的平衡。

技术与系统性挑战

“通过设计实现合规”提供了一条充满希望的前进之路,但它并不是万能药。对于大规模现代支付系统而言,我们概述的方法会带来巨大的算力负担。智能合约必须有能力以接近实时支付的吞吐率解读复杂且不断变化的法规。相反,如果采用非常简单的方法,则可能产生许多误报和漏报的合规验证,这将使执法机构不堪重负,并面临被违法分子利用的风险。

另一个挑战是隐私保护机制的算力成本,这在支付高峰期可能会造成延迟。“通过设计实现合规”的支付系统还可能增加在不同支付系统之间转移资金的摩擦成本和延迟。

对于算力负担的问题,一种解决方案是允许受监管的提供商签发许可并管理智能合约,从而提供合规服务。通过这种设置,用户可以授予对其支付数据的有限访问权限,以换取合规服务和其他好处——这反映了当今私人企业管理隐私和消费者风险的方式。

此外,鉴于应用密码学仍在快速发展,新的零知识证明有望更快实现。多方计算等新技术可能有助于减轻管理智能合约的算力负担。

未来之路

本文介绍的“通过设计实现合规”模式依赖于健全的治理。建立一个值得信赖的凭证签发方生态系统至关重要。在为凭证签发方和智能合约运营商颁发牌照时必须保持谨慎,且它们必须透明、负责任地运营。政府、银行和经认证的金融科技企业可以成为将用户锚定至合规范围的可信节点。被信任的凭证签发方必须遵循统一的客户身份识别验证标准,并且其验证应具备在多个账本之间的互操作性。与传统的支付系统一样,全系统范围内的合规质量,取决于严格程度最低的凭证签发方。

此外,还可能需要以新的方式对法律进行调整或应用。如何才能说明触发SAR报告的合理性?在什么情况下,当局可以揭露用户的身份?不同辖区可能会设定不同的正当程序门槛。这个国家可能只需要行政传票,而那个国家则可能要求司法逮捕令。

有效的跨境合规执法依赖不同辖区之间的合作,就像当今传统的代理行业务一样。例如,Mandala项目是国际清算银行的一项提议,其旨在采用“通过设计实现合规”的方法,协调参与跨境支付的银行和其他金融机构的合规验证。与我们所描述的“通过设计实现合规”的稳定币设计方法相类似,Mandala项目使用零知识证明来确定银行合规声明的有效性,而无需与参与支付的其他银行共享该银行的合规相关数据。

我们并不是建议要求稳定币支付系统采用“通过设计实现合规”的方法。事实上,即使一些国家将这种方法作为监管要求,要阻止国内访问不采取这种隐私和合规方法的其他离岸稳定币系统,也将是十分困难的。

稳定币在促进普惠金融和提高支付系统效率方面具有远大的前景,其将使现代阿尔·卡彭们的日子变得更加困难。但其需要在隐私和合规之间取得更好的平衡。我们所概述的“通过设计实现合规”是实现这一目标的方法之一。

文章和其他材料中所表达的观点均为作者个人观点,不一定反映IMF的政策。

参考文献

Bank for International Settlements. 2024. “Project Mandala: Streamlining Cross-Border Transaction Compliance”. Basel.

Duffie, D., O. Olowookere, and A. Veneris. 2025. “A Note on Privacy and Compliance for Stablecoins.” SSRN Working Paper. https://dx.doi.org/10.2139/ssrn.5242230.

International Monetary Fund–Financial Stability Board. 2023. “IMF-FSB Synthesis Paper: Policies for Crypto-Assets.” Basel.

Pauwels, P. 2021. “zkKYC: A Solution Concept for KYC without Knowing Your Customer—Leveraging Self-Sovereign Identity and Zero-Knowledge Proofs.” IACR Cryptology ePrint Archive.