我们之前曾就美国财政部近期发布的关于数位资产非法活动的征求意见稿(RFC)发表过评论。在那篇文章中,我们提到我们的关注点与其他许多知名评论者的意见截然不同。我们选择聚焦在一个我们认为在政治、实践甚至机制层面都相对容易取得显著成效的领域。我们提出的将《虚假申报法案》的适用范围扩大到涵盖诸如违反外国资产管制办公室(OFAC)制裁等问题,似乎是对所有人来说都易于实现的双赢方案。
由于其他大多数评论者都专注于其他方面,我们将在此简要回应他们的评论。这绝非详尽无遗,因为我们收到了数百条评论。鉴于目前政府停摆,很可能还有大量评论尚未发表。我们对此并无了解。因此,以下是我们对三位知名人士提交的评论²的回应。虽然这些评论并非完全随机地从所有评论中挑选,但其目的是为了大致反映我们所收到的回馈类型。
Coinbase的评论
Coinbase 的评论中,令人惊讶的是,相当一部分都集中在 API 的使用上。 API 在传统金融领域很常见。我们几十年来都有使用 API 进行交易、风险管理、帐户验证等功能的经验。现在,我们提出了以下需求:
发布明确的指导意见,在《银行保密法》(BSA)框架内设立安全港,以确保金融机构在正确使用应用程式介面(API)履行其反洗钱和反恐融资(AML/CFT)义务时不受限制。
目前,相关准则非常明确:使用何种技术无关紧要。持牌金融服务提供者不能推卸其反洗钱义务,并将这些义务转移给未持牌的服务供应商,无论与该未持牌服务提供者的通讯是透过API、电话、电子邮件或信鸽进行。这一点显而易见。 Coinbase提出的方案似乎会导致类似以下情况:
- 获得许可的金融服务企业「F」根据某些法规负有「X」义务。
- F 找到一家名为「P」的服务供应商,该公司提供软体来帮助解决 X 问题。
- F 尽可能依赖 P 而不违反 X。
- 如果 F 违反 X,只要与 F 签订的合约承诺在安全港参数范围内解决 X,则 F 不会面临任何处罚。
这说得通吗?我们不妨假设这说得通,然后分析一下这里发生了什么事。由于「安全港」条款的存在,F 不会受到任何处罚。这就是「安全港」条款的作用。所以只有两种选择:要嘛 P 遭受损失,要嘛无人承担责任。
如果无人承担责任,那么,这套金融体系就很难让人遵守规定。惩罚措施的意义就在于促使人们守法,因为人人都知道,不守法往往更有利可图。例如:毒贩赚了很多钱。
显然,让所有人都承担责任毫无道理。如果违反规则的人不用承担任何后果,那么这些规则就形同虚设。如果你不相信我们,那就去生小孩吧。或者,转念一想:不如去小学做个上午的志愿者,然后再回来继续看这里的内容。
这样就只剩下P了。要让P在安全港规则下承担责任,它需要与F签订一份明确规定这种责任的合约。 P不可能突然发现自己要为SaaS客户的反洗钱违规行为负责。这种法律安排简直荒谬至极,任何合理的法律体系都不会接受或执行。
当然,P公司可能需要某种许可证或其他法律架构,才能以符合安全港规则的方式为X公司向F公司提供服务。这样一来,我们就只剩下两个选择。首先,相对于F公司的规模,P公司的资金微薄。在这种情况下,由于没有人实际支付费用,P公司仍然没有真正的动机去遵守规定。如果F公司出现X问题,将会导致P公司破产,监管机构将试图向一家已经倒闭的软体开发商追讨债务。没错,很容易看出如何钻空子。
或者,我们需要拥有雄厚资本的软体服务供应商,或者,需要一些富有的所有者,他们为SaaS客户企业的违规行为提供个人担保。什么?谁会这么做?
Coinbase提案的这一部分看起来像是想透过让所有人免于承担责任来削弱执法力度。或者,也许想把责任推卸给那些资本薄弱、注定倒闭的小公司。但这部分内容相当透明,监管机构应该很容易就能看穿。 Coinbase的评论中后面也提到了类似的人工智慧和数位身分的要求。所有这些都像是试图逃避所有责任。
接下来是重头戏:区块链分析。 Coinbase 需求:
财政部应发布监管指南,明确认可并鼓励使用「了解你的交易」(KYT)筛选和区块链分析聚类技术,将其作为比传统金融领域更有效的反洗钱/反恐融资合规手段。此外,相关立法和指南也应更新,明确将此类技术列为适当的、基于风险的持续监控和制裁筛检的范例。
政府为什么要宣布某种技术比另一种技术更有效?为什么某些方法要被明确列入法律——并且,想必还要被赋予豁免权——而不是采用基于原则和性能的更通用、技术中立的方法?
这还没说到「区块链分析聚类」这个术语缺乏具体性的问题。法院确实会接受某些特定技术在特定实验室条件下进行的DNA检测。但没人会接受「基于有机化学的分析」这种做法,因为这简直荒谬。如果Coinbase提议将科学引入讨论,并对特定的聚类软体进行实验室测试,那当然很好。但到目前为止,业界一直抵制这种做法,反而希望法院能宣布「生物分析也是一种适当的、基于风险的持续身份验证监控手段」。拜托,成熟点。
Coinbase在评论的其他部分点名批评了「不合规的银行、场外交易平台和加密货币交易所」。为什么不直接鼓励执法单位对这些机构进行监管,让守法机构依赖可靠的工具?如果某个工具故障,使用者将面临执法行动,而工具提供者则会损失业务。金融服务业一直以来都是这样运作的。不要让推卸责任变得更容易-应该鼓励加强执法。
我们认为 Coinbase 提出如此奇怪的要求,是因为这些工具的实际效果远不如 Coinbase 和其他许多公司所宣称的那么好。无论从理论上(我们已对此进行过大量论述),还是从实践中来看,都是如此。 Coinbase 最近在爱尔兰被罚款,以下是相关内容:
- 配置问题…这意味著从 2021 年 4 月 23 日至 2022 年 4 月 29 日,TMS 未能对 Coinbase Europe 的 30,442,437 笔交易(未监控交易)进行全面、正确的监控,尤其是在某些高风险情况下。
- 由于未监控问题,因此有必要重新审查未监控的交易…完成上述流程耗时近三年,削弱了其有效性。
最终提交的可疑交易报告 (STR) 中…在 2021 年 4 月 23 日至 2022 年 4 月 29 日期间,非监控交易约占 Coinbase Europe 所有交易的 31%,价值约 1,760 亿欧元。 - 尽管 Coinbase Europe 负责确保交易监控的妥善进行,但由于 Coinbase Europe 当时的系统和控制措施不足以有效监督相关工作,因此在很长一段时间内,它对上述问题毫不知情。
Coinbase 公司…Coinbase 欧洲分公司首次收到有关 TMS 系统问题的提示资讯是在 2023 年 2 月,当时 Coinbase 公司向其提供了一份描述「非监控问题」的文件。文件所包含的资讯足以提醒 Coinbase 欧洲分公司,TMS 系统已运作一年多未正常,且必要的重新审核尚未完成。 - 至2022年,Coinbase Europe已启动虚拟资产服务提供者(VASP)注册申请流程。 Coinbase在申请过程中披露了积压情况,并解释说这是由于客户数量激增所致…Coinbase Europe在9月和11月提供的保证,对中央银行最终于2022年12月批准其VASP注册决定起到了关键作用。
听起来Coinbase确实对爱尔兰中央银行撒了谎。爱尔兰中央银行肯定也觉得自己被误导了。而且,他们似乎也被赶出了爱尔兰。
Coinbase计划将Coinbase Europe的业务转移至Coinbase集团位于卢森堡的实体,该实体已获得MiCAR授权,并可在卢森堡作为加密资产服务提供者(VASP)运作。因此,Coinbase Europe在爱尔兰中央银行的VASP注册将于2025年底失效,Coinbase Europe也将停止在爱尔兰的业务营运。
这份文件里还有很多内容。去读读那篇文章,自己想想这些人是否值得你信任。 他们的回应反而让情况更糟。尤其是这篇评论,有力地证明了 Coinbase 的开发人员虽然有能力建立他们被要求建构的系统,但合规人员却不擅长运作这个系统:
Coinbase 在监控和测试其合规系统的过程中发现了这些编码错误。发现错误后,Coinbase 在两到三周内修复了这些编码错误。随后,CBEL 将所有受影响的加密货币交易重新运行到已修复的五个 TMS 场景中——这项工作耗时更长。
「完成这项工作耗时较长」的部分原因是,相关 CBEL 工作人员长期以来一直被隐瞒这个问题。
我们期待卢森堡中央银行最终达成和解。
Coin Center 的评论
Coin Center在评论中主要关注的是确保当前的政府监控机制不会急剧扩张,以及个人权利得到保障。我们对此没有异议。过度的政府监控,顾名思义,就是过度的,因此也是有害的。美国在这方面有著悠久的历史,其丰富的法律传统有时能起到澄清作用,有时却会令人困惑。这些都是棘手的问题。
Coin Center似乎也承认,撰写关于他们自己提案的文章是一件困难的事情:
我们认识到,这项提案的初步构想需要进行大量的调查研究才能切实可行。出于国家安全考量或需要维护调查保密性,此处建议的透明度在实践中可能难以实现。同样,证明资金应予解冻也存在许多复杂之处。如果使用者是美国公民,但政府声称目标资产是与外国个人或实体共同持有的(链下),该怎么办?是否存在既技术上可行又法律上充分的非外国利益证明?诸如此类的问题表明,在任何自动化冻结和解冻系统能够负责任地部署之前,必须进行进一步的技术、法律和制度方面的研究。
我们认为Coin Center 的出发点是好的,但他们并不了解去中心化、无需许可且可程式性强的系统所固有的技术限制。针对他们在那段文字中提出的疑问,本文将探讨自动化监管方面技术上可行的方案。 Coin Center 似乎正在逐渐接受这样一个事实:由于数学原理的限制,某些类型的合规性工作能够可靠地实现自动化,而这本身就存在著一定的局限性。
我们赞赏他们的坦诚。他们想要一些特定的性能,但目前还没有一个能够满足所有这些性能的系统设计方案。因此,他们「认识到,这个初步方案需要经过大量的研究才能最终可行」。我们知道他们不可能事事如意,必须在某些原则上做出妥协。他们可以透过多种方式做出妥协,但在这方面他们并非完全不受限制。
这里有趣的问题是, Coin Center 会接受必须妥协,还是会像 Coinbase 一样,采取类似上文提到的那种敷衍了事、回避问题核心的做法。问题的核心在于,如果一项规则要真正发挥作用,就必须有人对违规行为进行合理处罚。而就监控与自由之间的矛盾而言,矛盾在于完全自由的系统无法实现完全可靠的自动化合规。因此,你必须在自由、合规或可靠性之间做出取舍。想要避免这种选择完全可以理解。我们期待看到Coin Center 对此事的看法如何演变(即他们是否会接受这种选择,还是选择回避)。
清算所和银行政策研究所的评论
原文在此(为简洁起见,我们简称为BPI)
我们的观点与此评论大致一致,因此我们将重点讨论我们存在分歧的领域。
首先,关于DeFi及其潜在的监管问题,BPI指出:
同时,去中心化金融(DeFi)技术也为合规创新提供了机会。智能合约的可程式性使得自动合规控制的编码成为可能,例如限制数位资产的转让对象,从而有望减轻中介机构的负担。财政部应指示金融犯罪执法网络(FinCEN)研究此类方法的可行性。
我们认为政府无需对此进行研究。指示监管机构以这种方式研究一项技术,无异于让游说活动主导实质内容,并为腐败提供了无数机会。相反,政府应该做的只是明确规则并公平执行。
我们同意BPI的观点。
DeFi 生态系统中的某些参与者…根据其角色和相关风险,可能符合《银行保密法》规定的 DASP 和金融机构的条件。
但长期以来,确定特定金融服务业务的特征一直是标准监管和法律流程的范畴。如今,银行的营运依赖软体,而银行管理层负责确保银行内部部署的软体符合既定的法规。 DeFi 在这方面几乎没有提出任何真正的新问题。我们认为,就创新规模而言(因为很难精确地确定一项新协议如何融入现有规则),它类似于监管利率互换而非现金债券。这绝非微不足道,但它也并非需要从头开始制定新规则的巨大颠覆性变革。
事实上,BPI的评论似乎也意识到了这一点,他们写道:
虽然区块链分析可以识别代币流经的所有钱包地址,但要求监管机构对每个数位资产的完整历史保管链进行尽职调查或监控是不切实际的。更重要的是,审查代币的完整历史记录并不能有效预防金融犯罪或与受制裁人员的交易。
相反,监管部门应该认识到,大多数数位资产,包括获准使用的支付稳定币,都是可互换的资产,类似于法定货币和现金形式的电子资金。
如果资产相似,特征相似,行为也相似……那么它们之间的差别其实并不大。 BPI 和上文提到的Coin Center 一样,也逐渐意识到,两者之间的差异远没有许多人声称的那么大。
随后,在BPI的评论中,他们谈到了区块链分析。这里的方法与Coinbase截然不同:
虽然区块链分析在检测非法金融活动方面可以发挥有效作用,但监管机构仍需就金融机构自身区块链分析工具以及第三方分析工具提供者在检测非法活动方面的依赖程度提供指导。不同的工具和提供者采用不同的方法,可能导致对同一资产或钱包地址得出截然不同的「风险评级」。财政部应透过法规和指导明确说明,分析工具提供的低、中、高三种安全评级是否足以满足监管预期,以及在无法明确确定资产或钱包所有权的情况下是否需要采取其他措施。
这并不是要求提供金融机构可以免除债务的条件(这正是 Coinbase 所希望的),而是要求建立一个框架,以便管理金融机构无法免除的债务。
我们与BPI的分歧在于,我们认为「透过监管和指导来明确规则」并非真正必要。诚然,许多机构不愿涉足数位资产领域,因为他们不确定这些分析技术究竟有多少能真正发挥作用,以及它们的可靠性如何。
但解决之道在于清晰、坦诚地说明这些工具的功能和运作方式,以及透过更多正规的法律案例来解决责任问题。人们逐渐意识到这些工具其实并没有那么大的区别,整合起来也不难,原因在于透过法律程序进行的深入测试能够揭示真相,摒弃Web3行业铺天盖地的营销宣传和花言巧语。
共同点
这些评论并非随机选取,而是展现了回馈意见的广泛性。一方面,有人要求提供明确且相对强有力的「安全港」条款,这将大幅偏袒数位资产,使其相对于其他金融科技产品更具优势,因为这些条款会降低某些资料库技术的合规成本,而这些成本却没有任何明确的理由。我们认为这些要求荒谬至极,应该驳回。但我们也意识到,希望获得这些结果的Web3企业如今愿意如此明确地以书面形式表达他们的诉求,这对政策制定而言是一个积极的进展。
然后,在中间地带,我们清楚地看到人们渴望透过科技保护甚至有时进一步提升个人隐私。同时,我们也看到人们在努力应对可程式系统固有的挑战和限制。 Coin Center 的评论揭示了一个倡导团体似乎意识到自身某些目标之间存在根本冲突,必须做出妥协。我们认为这是一个进步,主要是因为这是事实,而认识到现实的真相总是进步,无论这些真相是否符合你的目标或愿望。 Coin Center 历来出于技术原因而采取一些客观上矛盾的立场。如果这是他们为实现内部一致性和相容性而采取的第一步,那么这无疑是一件好事。
最后,我们来看看BPI的评论以及其他类似的提交意见。这些意见似乎表明,一些团体对许多所谓创新且合规,但丑闻缠身的新技术的实用性持怀疑态度。此外,他们似乎试图从监管机构争取到一个清晰的框架,以便BPI及其类似成员能够避免合规方面的陷阱和问题。对于这些团体,我们想说:我们理解你们的困难。我们认为,你们最应该做的,是仔细研究你们正在考虑的技术的细节,并著眼于揭示它们与你们现有技术的相似之处。这些技术远不如表面看起来那么复杂,许多问题在仔细审查后就会迎刃而解,无需监管机构的任何评论。出于商业竞争的考虑,你们或许应该争取明确的监管框架,即使这种监管框架缺乏实质内容,甚至完全是多余的。
我们目前尚不清楚这个过程最终会产生什么结果,甚至是否会有任何结果。但毫无疑问,让各方都公开表态是非常有益的。我们鼓励所有对开放式web3监管问题感兴趣的人士阅读更多此类评论,以便更详细地了解各方的立场。
《财政部数位资产非法活动 RFC 第 2 部分:其他人的评论》最初发表在 Medium 上的ChainArgos专栏,人们透过突出显示和回应这篇文章继续进行讨论。
