铅笔道签约作者 | 孙茳涛
孙茳涛:现任神州数字行政总裁及Goopal Group创始人、知名天使投资人。毕业于北京航天航空大学,清华大学五道口金融学院EMBA在读。
两周以来,关于STO最大的风向就是中国监管部门的频频表态,继月初北京地方金融监管局,北京互联网金融协会表态北京不欢迎STO之后;本周末,中国人民银行副行长也公开表态,定调STO的实质行为在中国属于非法金融活动。
不同层级政府和监管部门的表态,再一次证实了中国政府对金融监管的极度审慎,尤其是在全球经济下滑,金融危机乌云笼罩的当下,这种审慎的态度和行为也是为了最大限度避免出现金融乱象。
不过,我们知道,STO作为一个全球性的证券Token化金融实践,其实有很强的地域属性。在中国这样严监管、态度审慎的国家,目前它还不具备明确的法律地位,但是在美国这样法律和监管相对完善的国家,STO已经有了很多实际案例。所以,从全球的视角来看,我们应该把STO分开来看,即:美国的STO、新加坡的STO、香港的STO、中国的STO……而我们一直以来想要着重探讨的,也是如何打造合法合规的STO项目。
在上几篇文章中,我们用很大的篇幅详细阐释了STO(ST)的商业闭环,这其中有一个很重要的环节即KYC(客户调查)和AML(反洗钱),是赢取项目方和投资者信赖的重要因素,本篇将就KYC以及AML进行详细阐述。
一、KYC的前世今生
KYC以及由此而来的AML来源于传统金融行业,后来逐步应用在互联网金融等科技金融创新领域,直到基于区块链而兴起的STO,即资产证券Token化的金融实践领域;在技术上则经历了最原始的纸质时代,电子时代,大数据、云平台以及区块链时代。
关于反洗钱的主要立法是美国1970年的《银行保密法》(BSA,Bank Secrecy Act),该法案是美国惩治金融犯罪法律体系的核心立法。其支持者强调该法律不应成为金融机构的负担,因为他们已经按要求保留了大多数记录,在监管成本超过收益的情况下,财政部长有广泛的自由度来提供豁免。
《银行保密法》的立法目的是遏制使用秘密的外国银行账户,并通过要求受监管机构用提交报告和保存记录的方式来识别进出美国或存入金融机构的货币和金融工具的来源、数量及流通,从而为执法部门提供审计线索。
此后,新增的11项法律条文给银行和货币转移服务商增加了更多要求。现在监管纲要一般被称为KYC和AML规则,逐步通行于金融行业。
KYC全称Know Your Customer(了解你的用户),指的是交易平台获取客户相关识别信息的过程,它的目的主要是确保不符合标准的用户无法使用该平台所提供的服务,同时可以在未来的一些犯罪活动调查中为执法机构提供调查依据。
AML(Anti-Money Laundering)则代表“反洗钱”,它基本上是指为防止通过非法交易产生的收入而制定的各种法规。
现在,除了以上级别的交易报告外,银行还需要了解客户是谁,并通报任何“可疑的活动”等信息。由于KYC和AML审核程序和流程复杂,加上传统金融机构发展至今体量庞大、模式固化、中心化程度极高,导致各个机构间形成信息壁垒,沟通效率降低,所以对于它们来说,为了合规所需要完成的工作,成为了最大的负担。
二、KYC对STO(ST)的意义
对于合法合规的STO(ST)而言,KYC以及AML是流通环节必须具备的客户筛选和审查,它是企业验证客户身份和评估企业关系中存在非法意图潜在风险的过程。各个国家的监管机构一直在努力确保所有将数字货币或者Token化的证券转换为法定货币的人,都要遵守与传统银行打交道一样的KYC要求。
根本原因有两点:其一,包括比特币等加密货币以及Token化了的证券都具有匿名性和去中心化的特点,如果ST不做KYC等审慎性要求,则可能成为洗钱和黑市交易等违法行为的重灾区,ST的流通环节作为兑换加密货币和资金流入市场的重要渠道,必然受到越来越多的关注和重视;其二,STO(ST)是基于区块链技术的证券Token化的金融实践,本身属于金融领域的创新,必然需要遵循KYC和AML等金融相关规则。
三、各地对KYC和AML的相关规定
如上文所述,美国在1970年通过了《银行保密法》,对投资者身份进行验证和监管,目前由财政部下属的美国金融犯罪执法网(Financial Crimes Enforcement Network (FinCEN))负责这项监管工作,从AML、CFT、KYC三个不同方面打击美国境内和境外金融犯罪。一方面,AML针对的监管对象之一是恐怖主义融资服务,而CFT(打击恐怖主义融资,Combating the Financing of Terrorism)非常重要的方法就是实施强有力的AML措施,因此AML通常同时包含这两个方面。另一方面,AML其中一个重要的方面是KYC,所以我们可以看到一些AML的规范同时包含直接或间接的KYC要求。综上所述,在美国三者的监管范围既有重叠又有各自覆盖的领域。
KYC的监管近年来在全球越发严格,新加坡成为除了美国、英国之外全球KYC法规最为严格的国家。德国第二大商业银行Commerzbank就曾在新加坡因为合规问题被审查,主要原因是该公司并没有严格遵循新加坡的KYC规定对客户做背景调查。
新加坡作为亚洲经济中心,为全球投资者开放资本市场,要求其金融机构必须实施强有力的措施,监测、阻止非法资金流入新加坡的金融体系。新加坡金融管理局(MAS)近期还发布了“数字货币指南”,概述了ICO的法律流程。该文件明确阐述了数字货币确实构成产品,因此受到MAS监管并要求公司进行定期的KYC检查,报告任何可疑或非法活动。
此外,数字货币的火热也促进了东南亚KYC的发展。比如,香港证券与期货监管委员会(SFC)最近发布了许多有关ICO风险及加密货币相关公司KYC规定的文件;马来西亚中央银行也制定了专门针对加密货币的反洗钱和反恐融资法规。
四、区块链推动KYC迭代
金融活动的本质之一是融通资金,传统金融机构的主要功能是金融中介,帮助资金供求方完成资金的统筹流转;互联网金融希望利用互联网构建起价值流通网络,达到去中心化、去中介化的目的,而区块链是支撑这一构想落地的主要技术。
区块链对于传统金融行业的影响主要体现在节省成本和降低风险两个方面。精简各类金融活动的程序和流程,从而节省成本;基于区块链的智能合约可以大幅降低交易双方的信用风险。
在KYC和AML方面,我们都知道审查程序包括:核实客户基本身份信息、交易的实际受益人身份、确认客户目前的业务及风险状况,甚至还需要调查交易资金来源、客户关联方等情况。传统金融机构的审查流程步骤繁琐、且耗时较长,特别是对于需要长期合作的企业用户,往往需要很长时间的跟踪尽职审查。
基于区块链数据不可篡改、保护隐私但又公开透明的特点,构建起的KYC和AML用户身份认证管理平台,可以实现用户信息在可信成员中共享,简化审查流程。但需要注意的是,平台的搭建需要国家机关支持,同时可通过政府机构入驻或出台相关法律法规来提升公信力,其本质是中心化和去中心化的结合,权威背书和技术背书的互动。
五、KYC当前存在的问题
尽管区块链赋能KYC并促使它完成了技术上的迭代,但是依然存在许多问题,引起业界的广泛讨论和争议,在我看来,起码有三点值得各方探讨。
1、提升门槛导致的金融排斥与普惠金融理念相悖,是否公平
KYC和AML审核必然会导致相当一部分用户被排斥在门槛之外。据相关媒体报道,2009年以来,25%全球代理银行的关系被切断了,很多企业账户被关闭,无法接受银行服务,尤其是非洲和加勒比等地区遭到重挫,2015年几乎70%的加勒比银行切断了代理行关系。门槛提升可能一次性将几百万人排除在金融体系之外。
即使合法化的美国STO项目,因为合格投资人的资格审核,也直接将为数众多的普通人群一刀切地排除在外。如此多的人排除在金融体系之外,导致此前各国政府和金融界所倡导的普惠金融成了美好愿望。
2、规避风险的同时却侵害用户隐私,是否符合现代精神
由于大数据、云平台和区块链技术的介入,KYC和AML的审核越来越严格,也越来越准确。特别是在区块链上——由于信息是在分布式账户系统上共享的方式,记录存档上的所有信息都是安全,透明和不可变的,比如客户的背景、财务记录、收入来源、财富和资产全都一览无余。
区块链技术减轻了数据的模糊性,降低了欺诈的可能性,可以说如果所有机构都使用区块链,KYC和AML数据就可以更加安全、透明和无缝。
但与此同时,区块链本身所具备的匿名性也在此消失殆尽,所有通过KYC和AML审核的合格投资者都暴露在机构甚至是全天下面前,这种隐私权被展现的做法,是否符合现代精神呢?
3、中心化机构,是否会导致利益方以用户信息违法(规)获利
目前的KYC和AML体系基本上都是由交易机构来进行审核,而这些交易机构大多数都是中心化的机构,这就意味着经过审核(不管审核通过与否)的用户,处在可能存在的风险之中。他们上传的个人信息,除了用在通过审核之外,并不知道会不会被机构挪作他用或者直接用来变现。
事实上,很多金融机构的私下贩卖投资者信息的行为是非常普遍的,无论是美国、欧洲还是亚洲。如何保护个人的信息或数据资产的安全性,是KYC和AML本身衍生出的问题,也是未来的挑战。
六、未来KYC的改进
任何事物在发展过程中都会遇到各种问题,KYC当前存在的问题,其实有很大的改进空间,而相关监管部门、机构和区块链公司等也都在试图改进,但这不是一蹴而就的,需要一定时间,毕竟STO还处于探索阶段。
首先,取决于监管部门对普通投资人的限制是否可以适度放宽——包括对投资人的认定以及封闭期时间长短的规定,这一方面取决于监管部门的认知和权衡,另一方面则取决于STO发展和完善的进程,这两者是相辅相成的。
其次,区块链技术对信息识别和验证,比如私钥签署智能合约,可以验证用户的私有信息,而不会使他们面临风险,这可以满足个人投资和政府监管双方的需求,并且可以在很大程度上限制项目方的作恶行为。
我们看到,这些改变已经在发生。比如欧盟,出台了GDPR(General Data Protection Rule)数据保护规则,并在今年5月25日正式实施,明确将用户个人数据的使用授权归还给数据主体个人。相信随着监管措施的优化调整和区块链技术的日趋完善,困扰KYC和AML的这些问题,会逐步解决。
七、杀手级应用的展望
我们在上一篇就表示,虽然是新兴事物,但是随着监管越来越正规化,并且向传统领域的监管靠拢,KYC体系也呈现出了两大特点:1、越来越多传统势力介入进来,赋予数字货币交易机构以及未来的STO平台以新的KYC体系;2、KYC将迭代升级,不仅承担筛选客户的基本功能,还会衍生出更多的个性化功能。
对于传统势力而言,此前提到的汤森路透(Thomson Reuters)金融与风险业务部门演化为KYC金融软件公司Refinitiv,并提供给币安使用,Vdax也计划使用;陆金所则推出了KYC系统4.0版本,提供个性化的服务。
而区块链领域则占据技术优势,并且向监管靠拢,例如,东南亚的区块链公司TraceTo利用区块链技术提供革命性的KYC流程,促进加密空间的金融监管。比特大陆开放了以隐私为中心的了解你的客户协议(KYC)的代码,名为Coconut,它使用英特尔的增强型隐私ID进行身份验证,将识别信息和业务所需信息的管理分开,解决了KYC允许不受约束地跟踪客户及其活动,可能会危及用户身份识别的问题。
相信在未来,因为验证结果在区块链上储存、传输,KYC的验证结果将可以多次使用,所有个人数据在区块链上加密存储,只有在用户的授权下才可以使用其身份信息。
编辑|南柯