原文标题:《加密合规:Tornado Cash 制裁后年代|ZONFF Research》
原文作者:Sullivan,Zonff Partners 投资总监
2022 年 8 月 8 日,美国财政部将ETH上的 Tornado Cash 地址列入美国国外资产管理办公室(OFAC)美国特别拟定国民名单(SDN)列表。几天后,Tornado Cash 的开发者 Alexey Pertsev 在荷兰被捕入狱,这是历史上初次链上智能合约被 OFAC 直接制裁,事件经过发酵后飞速引发了市场新一轮关于加密企业合规问题的广泛讨论。受此事件影响,很多加密企业,特别是 DeFi 公司及职员开始担忧其自己安全与业务的合规性。
本文将从加密监管构造、Tornado Cash 制裁事件、OFAC、加密企业合规指导实践四个角度浅析当下加密市场的合规问题。
加密监管构造
1.1 各国加密监管概览
伴随数字货币愈加被广泛同意,世界各地为监管而拟定的数字货币有关法律法规也在渐渐增加。伴随加密范围的边界在不断拓展,全球不同区域的监管部门要跟上加密市场的进步步伐而拟定出有关的法规并困难,以下为美国、新加坡、中国、欧盟、拉丁美洲对加密范围监管的简要介绍。
图片出处:ComplyAdvantage
美国
美国作为一般法系国家,其法律体系覆盖全方位而又纷繁复杂。虽然非常难在州一级找到一致的法律规定,但美国在拟定联邦数字货币立法方面获得了肯定进展,美国的数字货币买卖是合法的。金融犯罪执法局(FinCEN)并不觉得数字货币是法定货币,而觉得其是「货币价值的其他替代品」。美国国税局(IRS)同样不觉得数字货币是法定货币,但将其概念为「作为交换媒介、记账单位和 / 或价值储存方法的数字表示」,并已设置相应的征税指导。数字货币交易平台在美国同样是合法的,是银行保密法(BSA)的监管范围。在实践中,这意味着数字货币买卖服务提供商需要在 FinCEN 注册、推行 AML/CFT 计划、维护适合的记录并向当局提交报告。同时,美国证券买卖委员会(美国证券交易委员会)表示将数字货币视为证券,并将证券法全方位适用于数字钱包和交易平台。相比之下,产品期货买卖委员会(美国商品期货委员会)使用了一种更友好的态度,将BTC描述为一种产品,并允许数字货币衍生品公开买卖。
新加坡
在新加坡,数字货币交易平台和买卖都是合法的,这个国家在这个问题上的立场比它的一些地区邻国更友好。尽管数字货币不被视为法定货币,但新加坡税务机关将BTC视为「产品」,因此征收产品和服务税(新加坡版的增值税)。2022 年,新加坡金融管理局(MAS)澄清说,虽然它的立场不是监管数字货币,但假如这类 Token 被归类为「证券」,它将监管 Token 的发行。
2022 年新加坡支付服务法(PSA)从 2022 年 1 月起将交易平台和其他数字货币业务置于 MAS 的监管之下,并需要它们获得 MAS 的运营许可证。从那时起,MAS 已向多家知名加密服务提供商颁发许可证,包含 DBS Vickers(星展银行的经纪部门)和澳大利亚数字货币交易平台 Independent Reserve。
中国
中国人民银行(PBOC)于 2022 年明令禁止金融机构处置BTC买卖,并在 2022 年进一步禁止 ICO 和国内数字货币交易平台。为证明禁令的合理性,中国人民银行将 ICO 筹资(通过违规销售和流通 Token)概念为未经批准的公共筹资,这在中国法律下是非法的。
中国数字货币监管对数字货币买卖和有关服务推行了近乎全方位的禁令,并且在 2022 年对国内的数字货币挖矿活动进行了全方位打击。但同时,就数字货币本身而言,依据 2022 年中国民法典修正案,数字货币在确定继承时具备财产地位。在现在的司法实践中,比特币/美元T 等数字货币一般不被觉得具备货币属性但可能具备财产属性,在部分涉及数字货币的合同纠纷中判罚还存在分歧。
欧盟
数字货币在整个欧盟被广泛觉得是合法的,但每个成员国的数字货币买卖法规不同。数字货币税在各国不尽相同,很多成员国对数字货币衍生的价值会征收 0 - 50% 的资本利得税。2022 年,欧盟法院裁定,传统货币兑换数字货币应免征增值税。
2022 年 1 月,欧盟第五反洗钱指令(5AMLD)将数字货币 - 法定货币交易平台纳入欧盟反洗钱立法,需要交易平台对顾客实行 KYC/CDD 并满足标准报告需要。2022 年 12 月,6AMLD 生效:该指令通过将互联网犯罪添加到洗钱上游犯罪清单中,这使数字货币合规性愈加严格。
数字货币交易平台现在不受地区层面的监管。在某些成员国,交易平台需要在各自的监管机构注册,比如德国金融监管局(BaFin)、法国金融市场监管局(AMF)或意大利财政部。这类监管机构的授权和许可证可以进行交换,从而使它们可以在整个欧盟的规范下运作。
拉丁美洲
在拉丁美洲,各国对于数字货币的监管态度有所不同。监管更严厉的国家包含全方位禁止数字货币和交易平台的玻利维亚,与禁止流通除政府发行的 SDE 代币以外的所有数字货币的厄瓜多尔。相比之下,在墨西哥、阿根廷、巴西、委内瑞拉和智利,零售店和企业常见同意数字货币作为支付方法。
出于税收目的,数字货币在拉美一般被视为资产。它们在整个区域常见缴纳资本利得税,而巴西、阿根廷和智利的买卖在某些状况下也需缴纳所得税。
2022 年 9 月,萨尔瓦多成为拉丁美洲第一个将BTC作为法定货币的国家,其发行了政府数字钱包应用程序,并允许买家在所有买卖中用数字货币(与用USD支付)。尽管此举引发了国内外的批评,但萨尔瓦多政府此后依旧宣布了建设「BTC城市」的计划。
1.2 美国加密监管三驾马车
尽管全球不同国家和区域的监管政策有所不同,但每个国家监管部门的管辖权都有地域限制。据此而言,因为美国监管部门的管辖权能覆盖到最广泛的全球加密用户,其对于加密公司 / 个人所能带来的执法影响力也会远远大于其他国家。因此,美国的加密监管政策动向值得全球加密企业和从业者更多的看重。
在美国,数字货币一直是联邦和州政府关注的焦点,在联邦层面,大多数关注点集中在行政机构层面,包含证券买卖委员会(美国证券交易委员会)、产品期货买卖委员会(美国商品期货委员会)、美国财政部,此三者可简要归为美国加密监管的三架马车。
在美国进行加密监管的「三驾马车」中,美国证券交易委员会 与 美国商品期货委员会 主要厘定资产属性(是产品还是是证券?),并对各自觉得是证券或产品的 Token 进行相应的监管;而美国财政部下属机构愈加多元,国税局主要看加密买卖是不是纳税,FinCEN 主要关注美国国内的洗钱及反恐,而 OFAC 主要负责实行对国外黑名单机构或个人的金融制裁,这三者都需要长期跟踪链上买卖数据,剖析判断、精准执法。
1.2.1 美国证券买卖委员会(美国证券交易委员会)
美国证券交易委员会 一般对任何构成证券的代币或其他数字资产的发行或转售拥有监管权,其主要针对 ICO 与代币属性进行监管。在 2022 年,美国证券交易委员会 主席 Gary Gensler 在讲话中表明 美国证券交易委员会 正在研究加密每个領域,目前至少有七項 美国证券交易委员会 正在密切关注的议题,包含:推广托管、稳定币、交易网站、借贷平台、ICO、去中心化金融(DeFi)、ETF(不限于BTC)。
依据美国证券法,假如数字资产被确定为证券,则发行人需要向 美国证券交易委员会 注册证券或依据注册需要满足注册豁免。整体来看,美国证券交易委员会 在各部门中活动最为积极,同时也是既有监管实例最多的部门,其监管核心是「证券」这一关键字,故在研究区块链代币是不是是证券的问题上,判断其是不是同意 美国证券交易委员会 监管还需根据实质大于形式原则进行个案判断。但从当前情况来看,除去 比特币、以太币 外大多数资产都将非常难逃脱证券的概念,尤其是新发行的一些资产,必然会面临 美国证券交易委员会 全步骤、全方位的监管需要。
1.2.2 产品期货买卖委员会(美国商品期货委员会)
美国产品期货买卖委员会是美国的金融监管机构之一,美国商品期货委员会 是美国政府的一个独立机构,负责监管产品期货、期权和金融期货、期权市场。可以理解假如一个数字资产还未并概念为证券,其衍生品的买卖范畴主要由 美国商品期货委员会 监管,同时这也是 美国商品期货委员会 与 美国证券交易委员会 现在及在将来在监管权限讨论交叉最多的地方,也一定量决定了后续监管的主导权。
1.2.3 美国财政部
a. 国家税务局(IRS)
2022 年 3 月,美国国税局宣布,「数字货币」如BTC和其他数字货币,将由美国国税局作为「财产」而非货币征税。
对于提交联邦所得税申报表的个人,供应作为「资本资产」(即出于投资目的)持有些数字货币的收益或损失应当在 (i) IRS 表格 1040 的附表 D 中,与 (ii) IRS 表格 8949(资本资产的销售和其他处置)中报告,个人作为资本资产持有超越一年的数字货币的任何已达成收益均需缴纳资本利得税;个人作为资本资产持有一年或更短期的数字货币的任何已达成收益均需缴纳一般所得税。
b. 金融犯罪执法局(FinCEN)
金融犯罪执法局(FinCEN)是一个政府机构,由美国财政部在美国国内和国际运作,由执法机构、监管机构和金融服务机构三大主体组成。
主要关注要素包含:
(1)预防和惩罚洗钱及有关金融犯罪;
(2)通过研究金融机构的强制性披露信息,追踪可疑职员和活动;
整体上来讲,FinCEN 现在主要涉及的范围还是在交易平台范围,在美国开设交易平台业务、或者类似加密 Treasury 业务需要更多关注该部门的监管指南。《银行保密法》(「BSA」)中的反洗钱法是最为要紧的一环,尤其是涉及到资金的跨国转移等,包含稳定币之间、不同数字货币间、稳定币与法币之间的兑换。除此之外,作为无许可去中心化,专注于交换资产、借贷和创造合成资产的 DeFi 商品也在可预见的将来将会成为监管的重中之重。
c. 国外资产控制办公室(OFAC)
OFAC,即美国财政部国外资产控制办公室,它的使命在于管理和实行所有基于美国国家安全和对外政策的经济和贸易制裁,包含对所有恐怖主义、跨国毒品和麻醉品买卖、大规模杀伤性武器扩散行为进行金融范围的制裁。OFAC 经特别立法授权可对美国境内的所有外国资产进行控制和冻结,同时负责在对外经济和贸易制裁事宜上,与美国的欧洲盟国进行紧密合作。它的主要管辖范围在跨国、恐怖主义等范围,也是本次 Tornardo Cash 制裁事件的主角。
OFAC 关注影响美国国家安全的非法金融活动,所有可以潜在被这类犯罪范围份子借助的协议、互联网、应用都将长期遭到其关注。OFAC 的制裁清单 SDN(美国特别拟定国民名单)是很强的监管工具,假如遭到制裁后果非常紧急。对于海量 DeFi 商品来讲,OFAC 所出具的监管指导应当是第一需要研究遵守的合规文件。
美国下达初次针对智能合约的制裁 - Tornado Cash
2022 年 8 月 8 日,美国财政部的 OFAC 的官方网站显示,将部分与 Tornado Cash 协议或与之有关的ETH地址进行交互的地址,放入 SDN List 进行制裁,这是历史上首次链上智能合约被 OFAC 直接制裁。
这次制裁与今年 OFAC 早些制裁 Blender.io 不同,制裁 Tornado Cash 并不算是制裁「实体」。制裁 Blender 时,OFAC 详细列出了 Blender 有关的几个网站和几十个BTC钱包地址,且 Blender 是一个中心化的实体。但 Tornado Cash 并非一个中央化的混币器,所以这让 OFAC 制裁「非实体」的权力出处可被推敲,也使得制裁 Tornado Cash 如此的去中心化智能合约很不简单。制裁之后,美国公民将没办法用 Tornado Cash。
图片出处:U.S. DEPARTMENT OF THE TREASURY
2.1 Tornado Cash 受 OFAC 制裁的缘由
依据美国财政部官方网站披露的制裁缘由显示,Tornado Cash 自 2022 年创建以来已被用于清洗价值超越 70 亿USD的数字货币。其中包含超越 4.55 亿USD被朝鲜民主主义人民共和国(DPRK)国家支持的黑客组织 Lazarus Group 窃取,该组织于 2022 年被美国制裁,这是迄今为止已知的最大的数字货币打劫案。Tornado Cash 随后被用于清洗来自 2022 年 6 月 24 日 ONE Bridge Heist 的超越 9600 万USD的恶意互联网参与者资金,与来自 2022 年 8 月 2 日 Nomad Heist 的至少 780 万USD的资金。
OFAC 在官方网站披露中觉得:Tornado Cash(Tornado)是一种在ETH区块链上运行的数字货币混合器,通过混淆其出处、目的地和买卖对手,不加选择地促进匿名买卖,而不需要确定其出处。Tornado 接收各种买卖并将它们混合在一块,然后再将它们传输给各自的接收者。虽然据称目的是增加隐私,但像 Tornado 如此的混合器一般被非法行为者用来洗钱,特别是那些在重大打劫中失窃的资金。Tornado 被指觉得非法互联网活动提供实质性帮助,可能对美国的国家安全、经济健康或金融稳定导致重大威胁,因此遭到 OFAC 的制裁。
2.2 Tornado Cash 所遭到的影响
截止现在,Tornado 遭到的影响主要有两部分:
与 Tornado Cash 有交互被列入 SDN 的部分ETH及 美元C 地址及 美元C 资产
Tornado Cash 的 Github 代码库及前端官方网站已经限制访问
依据 OFAC 制裁规定,SDN 清单主体在美财产会被冻结,任何美国人(包含美国公民、美国绿卡、依美国法律登记设立的机构或法人与坐落于美国境内的人等)不能与其买卖,这也意味着 SDN 主体将没办法进行USD清算与买卖。即「美国人」都会禁止与之发生关系,不然除去罚款可能甚至要负刑事责任。
对于被列入 SDN 的ETH及 美元C 地址而言,依据 OFAC 制裁结果,制裁发出后 美元C 发行商 Circle 正式将美国财政部制裁名单中的ETH地址列入黑名单。UNI 屏蔽了 253 个与失窃资金或制裁有关的加密地址,借贷协议 AAVE 同样屏蔽了海量与 Tornado Cash 有过交互转账的地址。( 美国财政部官方网站披露的受制裁地址 SDN List Cyber-related Designation:https://home.treasury.gov/policy-issues/financial-sanctions/recent-actions/20220808)
而对于 Tornado 本身来讲,这次制裁致使访问 Tornado Cash 被限制,而用户不只不可以登上 Tornado Cash 官方网站,并且像 Infura 和 Alchemy 如此的第三方节点运营商,也将停止支持 Tornado Cash 的有关服务。除此之外,最为广泛用的ETH钱包 MetaMask 的用户,目前也被禁止与 Tornado Cash 互动(由于 MetaMask 依靠 Infura 与ETH互动,仍然想用 Tornado Cash 的用户除非自己手工设置 MetaMask 的节点配置,不需要 Infura,才能保证 MetaMask 可以和 Tornado Cash 交互),紧急限制了 Tornado Cash 用户数目。
对于 Tornado Cash 的制裁,虽然影响了很多用户对协议的访问、代码的协作开发与部分协议功能,比如 Distributed Relayer Network。会使得一般用户愈加很难参与上述这类活动。但,因为 Tornado Cash 是部署在ETH(没办法篡改区块链)上的DApps程序,该应用程序本身将继续在互联网上不受影响地运行,并且几乎没办法停止运行。
2.3 Tornado Cash 制裁本身的程序性合规争议
正因为 Tornado Cash 去中心化的本质,所以 OFAC 列出制裁的数字货币钱包也不可以表明这类被制裁的钱包背后有实体、法人、自然人可以被制裁,由于安装在ETH智能合约上的钱包,可以不让人控制,自动依据代码进行混币。并没证据表明,部署了 Tornado Cash 的自然人或者法人团队目前还对该程序进行控制。在 Tornado Cash 的逻辑里,混币的用户可以来自五湖四海,但并没中心审查团队或者机制去甄别这类顾客,但这并可能不是有人故意为之,而是系统与算法自动进行去中心化的匹配和处置。在这样的情况下,有律师觉得 OFAC 能否将一个自动协议列入 SDN,这种情况是不是违宪?
假如被制裁的 Tornado Cash 是一个实体,实体假如觉得 OFAC 制裁不公,是可以通过法律方法进行申辩并且在联邦法院提起诉讼。因为诉讼只有实体可以提出,所以请愿移出 SDN 名单也只有实体才能做到,那样制裁没中心的实体是否不公平?同时,制裁有关钱包并没办法改变该自动算法自动进行买卖的行为,那制裁是不是违背了 OFAC 的初衷,即促进某组织或个人改变行为。
数字货币智库 Coin Center 觉得 OFAC 制裁 Tornado Cash 的行为超出了该组织的权限,因为制裁并未推进在「实体」上,同时不可以有效改变行为。最后它并不在 IEEPA(《国际紧急经济权利法》)规定的对「财产」封锁的范畴内,且没提供美国宪法规定的程序性正当程序需要,所以 OFAC 此行为超出其本身的行政权力。
在荷兰政府羁押了 Tornado Cash 开创者 Alex Pertsev 之后,8 月 20 日有超越 50 人的集会在阿姆斯丹游行抗议该羁押,需要释放 Alek Pertsev。现在,对 OFAC 这次制裁存疑的律师在组织力量和 OFAC 联系并试图在法律层面推进抗议与诉讼。
国外资产控制办公室(OFAC)概述
3.1 OFAC 由来
国外资产控制办公室(the Office of Foreign Assets Control,简称 OFAC)成立于 1950 年,是美国财政部下属的一个机构,主要对反对美国利益的外国人和组织进行经济或者贸易制裁,权力非常大、名声相对较小,制裁成效明显,总是上了 OFAC 名单会给被制裁的目的带来深远的影响。
OFAC 的创立源自国会于 1977 年通过的一项法案 -《国际紧急经济权力法》(简称 IEEPA),该法案第一要遵守美国宪法,所以行使法案有关权力的行为也要符合美国宪法。IEEPA 给予总统(国家行政机构)宣布国家紧急状况的权力,从而阻止受美国管辖的人和组织进行任何涉及外国权势损害美国利益的活动。IEEPA 给予了 OFAC 封锁财产的权力,其核心是「财产」。911 之后,为了从财务上更好地打击恐怖组织,当时的美国总统布什推进国会通过了另一项法案《美国爱国者法案》,实质上将 IEEPA 拟定的行政权扩大了,并给予了 OFAC 非常大的权力。该法案允许 OFAC 封锁「调查中(Pendency of an Investigation)」的财产,并不必为此提出讲解或提供确凿的证据。
OFAC 的使命在于管理和实行所有基于美国国家安全和对外政策的经济和贸易制裁,包含对所有恐怖主义、跨国毒品和麻醉品买卖、大规模杀伤性武器扩散行为进行金融范围的制裁,现在的 OFAC 仍然是美国非常重要的针对特定国家、区域和职员进行的经济和贸易制裁的政府部门。近年来,伴随世界性的反贪腐、反洗钱运动的深入,OFAC 的政策和指令,已经成为世界金融业,特别是美国和与美国金融业有密切联系的金融机构没办法忽视的经营原则。
3.2 OFAC 主要处罚种类
在 OFAC 开始将制裁的大棒挥向数字货币和区块链行业之前,OFAC 的传统制裁对象通常是意识形态上挑战美国的与主权国家有关的个人与组织。2022 年 10 月,OFAC 发布了针对数字货币的合规引导(Sanctions Compliance Guide for the Virtual Currency Industry),里面重申了 OFAC 的制裁种类,一共是四类:
i) 广泛商贸制裁和封锁,现在主要针对伊朗、朝鲜、古巴、叙利亚、克里米亚区域;
ii) 针对政府或者政权的制裁;
iii) 清单制(现在有很多数字货币行业的制裁走的是清单制,包含本次的 Tornado Cash 制裁);
iv) 行业制,针对某些外国的某特定产业;
3.3 遭到 OFAC 处罚的重要原因
依据美国财政部出具的《A Framework for OFAC Compliance Commitments》,遭到 OFAC 处罚是什么原因值得加密企业注意的有以下五点:
A. 缺少正式的 OFAC Sanctions Compliance Program(SCP)
OFAC 不强制需要企业拥有正式的 Sanctions Compliance Program(SCP),但 OFAC 鼓励受美国管辖的组织,特别是那些从事国际贸易的组织,或买卖或拥有坐落于美国境外的任何顾客或对手方使用正式的 SCP。 从 OFAC 已经敲定的多项民事罚款中可以看出,没 SCP 是在 OFAC 调查过程中发现的违反制裁的重要原因之一。除此之外,OFAC 在进行制裁判断时,常常将此原因确定为加重原因。
B. 与受制裁的非美国职员进行买卖(包含通过国外子公司或关联公司)
受美国管辖的组织 - 尤其是那些在美国境外拥有国外业务和子企业的组织 - 通过将商机转交给国外子公司与非美国地址受 OFAC 制裁的国家、区域或个人进行买卖,从事了违反 OFAC 规定的买卖或活动。
C. 制裁筛选软件未更新或过滤器问题
很多组织对其顾客、Supply chain、中介机构、买卖对手、商业和财务文件与买卖进行筛选,以辨别并防止与 OFAC 所制裁的区域、当事人进行买卖。有时,组织未能更新其制裁筛选软件以将更新的制裁名单实体纳入其组织内部的 SDN 列表或 SSI 列表。
D. 对顾客的不当尽职调查
有效的 OFAC 风险评估和 SCP 的基本组成部分之一是对组织的顾客、Supply chain、中介机构和买卖对手进行尽职调查。 OFAC 采取的各种制裁行动涉及缘由包含组织对其顾客的不适合或不完整的尽职调查,比如他们的实控主体、地点、关联方和买卖本身,与他们对 OFAC 制裁的认知和认识。
E. 个人责任
在一些状况下,个别职员 - 特别是在监督、管理或行政级别的职位,在致使或促成违反 OFAC 管理的法规方面成为了重要原因。具体而言,在其中一些案例中,外国实体的职员还努力向公司组织内的别的人(包含合规职员)与监管机构或执法部门隐瞒和隐瞒他们的活动。在这样的情况下,OFAC 将考虑用其执法机构不只针对违规实体,还针对个人。
3.4 OFAC 处罚所带来的影响
不遵守 OFAC 制裁需要或许会对美国制裁计划及其有关政策目的的完整性和有效性导致重大损害。因此,对违规行为的民事和刑事处罚可能非常重,具体的处罚行为会因制裁计划而异。
加密企业的合规方案如何做
自 比特币 诞生以来,Crypto 行业的有关犯罪就集中在金融范围,其中以近年来进步飞速的 DeFi 犹甚。相较于其他类型犯罪,经济金融范围犯罪总是波及人群范围广,涉及金额巨大(如本次受制裁的 Tornado Cash 所涉金额就数以亿计),因此也是各国监管机构最主要关注的范围和监管抓手。
相较于 DeFi,其他范围的 Crypto 合规市场需要则相对较小或已经有较为成熟的规范化步骤。譬如像 BAYC/Clonex 等蓝筹 NFT IP 侵权问题,即便侵权方未经允许用前述 IP 形象以盈利为目的进行商业经营,IP 持有人在耗浪费时间间资金本钱后也总是只不过让他们撤下 IP 形象,很难获得高额赔偿。且因为 NFT 本身去中心化及全球化的特质,外贸实行也会成为难题。除此之外,实践上另一个符合监管合规市场需要较多的就是交易平台牌照的事,这个范围已经有比较成熟的规范化步骤,市场中也以有很多中介机构可以做该范围业务,这里不做过多探讨。因此,本文主如果针对 DeFi 范围,并结合实践中存在的监管处罚从项目方角度进行合规方案探讨。
4.1第一,DeFi 项目在合规方面可以分为两个层面:(1) 智能合约本身;(2) 提供各类前端服务的项目公司。
一个 DeFi 项目的组成,除去本身去中心化自动运行的智能合约以外,还需要一些人力的支持从而便捷用户用。譬如 UNI,其不只通过智能合约达成去中心化交易平台的属性功能,还需要 UNI Labs 来雇佣员工运行如前端网站或用 Twitter 进行市场营销推广。对于 UNI Labs 而言,其面临的合规需要也更贴近一家一般的公司。
A. 智能合约本身
正如前述章节「Tornado Cash 制裁本身的程序性合规争议」所谈到,对于智能合约本身,现在的法律框架并未将其视为一种法律实体,其本身是不是可以成为被制裁的对象存在争议。从实践的角度看,OFAC 通过间接方法,如禁止其他机构或个人与该受制裁智能合约进行交互的方法来推行制裁。现在来看,此种方法还是可以对该智能合约用户产生较大影响。
图片出处:TRM Labs
B. 提供各类前端服务的项目公司
作为智能合约背后提供前端服务的公司,其遭到制裁的影响会愈加直接。如 Tornado Cash 遭到制裁后,其本身的前端网站就没办法正常连接 Metamask 钱包进行用,其 Twitter 账号也中止更新,Github 代码库也遭到了限制访问。
对于项目公司而言,其作为一个法律实体提供 DeFi 有关的金融服务,应当根据当地法律法规完成有关需要,如运营牌照的申请注册或网络信息服务合规需要。
4.2 内部合规设置 - Sanctions Compliance Program(SCP)
对于前述 DeFi 合规两个层面的认识,作为项目方还是可以通过项目公司内部安排来满足监管的合规需要。依据美国财政部 OFAC 于 2022 年 10 月出具的《Sanctions Compliance Guidance for the Virtual Currency Industry》,DeFi 项目方可以在内部合规方面安排以下五个部分:
A. 管理层承诺(Management Commitment)
高级管理层对公司制裁合规计划的严格遵守实行是决定该计划成功的非常重要原因之一,高级管理层的支持对于确保制裁合规工作获得足够的资源并完全融入企业的平时运营至关要紧。来自高层的适合语气也能够帮助使计划合法化,赋予公司制裁合规职员权力,并在整个公司培养合规文化。
管理层对公司基于风险的制裁合规计划的严格遵守实行的重要程度在数字货币行业与在任何其他行业都是一样的。在很多状况下,OFAC 察看到数字货币行业的成员在开始运营数月甚至数年后才开始遵守 OFAC 制裁政策和程序。延迟制裁合规计划的拟定和推行或许会使数字货币公司面临各种潜在的制裁风险。
从实践操作上而言,项目方的高级管理层可以考虑采取以下步骤来证明他们对制裁合规的支持:
审查和批准制裁合规政策和程序
确保充足的资源(包含人力资本、专业常识、信息技术和其他资源)支持合规职能
向合规部门授与足够的自主权和权力
任命至少一名拥有必要技术专长的专职制裁合规官,这类职员拥有在 OFAC 的法规、步骤和行动方面的技术常识和专长;这类职员知道复杂的金融和商业活动、将他们对 OFAC 的认知应用于这类项目并拥有辨别与 OFAC 有关的问题、风险和禁止活动的能力
B. 风险评估(Risk Assessment)
制裁风险假如忽略或处置不当,可能致使违反 OFAC 法规和随后的执法行动,损害美海外交政策和国家安全利益,并对公司声誉和业务产生负面影响。OFAC 建议拟定制裁合规计划的数字货币行业的公司进行例行并在适合的状况下持续进行风险评估,以防止公司可能遇见的制裁问题。
虽然没「一刀切」的风险评估方法,但一般应包含对企业的全方位审查,以评估公司与 OFAC 制裁的个人、国家或区域存在接触的潜在风险。通过按期进行的风险评估,项目方可以实时调整内部合规筛选标准从而满足最新的监管需要。
案例:诊断有风险的关系
2022 年,OFAC 与一家美国数字货币支付服务提供商签订了一项和解协议,以处置该公司顾客与坐落于受制裁司法管辖区的个人之间的数字货币买卖。虽然该企业的制裁合规控制包含筛选其直接顾客(美国和其他地方的 to B 企业)是不是与制裁有潜在联系,但该公司未能筛选出有关用其支付处置平台并从平台企业购买商品的个人制裁信息。具体来讲,在进行买卖之前,公司会收到一些用户的信息,比如名字、地址、电话号码、电子邮件地址,有时还包含网络协议(IP)地址。包含知道哪个在访问企业的平台或服务在内的全方位的风险评估可以帮助项目方确定为其每项商品和服务设置的适合筛选标准。
C. 内部控制(Internal Controls)
有效的制裁合规计划将包含旨在解决公司风险评估中确定的风险的政策和程序。这类可能包含对 OFAC 推行的制裁禁止的买卖或活动进行辨别、阻止、升级、报告(如适用)和维护记录。有效的制裁合规计划将使公司可以对顾客、业务合伙人和买卖进行充分的尽职调查,并辨别「危险信号」。危险信号表明可能正在发生非法活动或合规性障碍,促进公司进行调查并采取适合的行动。公司应实行政策和程序,并找出弱点(包含通过对任何违规行为的根本缘由剖析)并进行弥补以预防可能违反制裁的活动。
在 Crypto 行业,公司推行内部控制将取决于公司提供的商品和服务、公司运营地址、用户地方与公司在风险评估过程中辨别出的特定制裁风险。虽然 OFAC 不需要数字货币行业用任何特定的内部或第三方软件,但这类对于有效的制裁合规计划来讲可能是有用的工具。
案例:双重审查
数字货币行业成员面临的一项制裁风险来自坐落于受制裁司法管辖区的用户用其商品和服务。2022 年,一家在国际上提供数字资产推广托管、买卖和筹资服务的美国公司与 OFAC 签订了一项和解协议,缘由是公司给坐落于受制裁司法管辖区的个人处置数字货币买卖。尽管该公司出于安全目的在用户登录时跟踪其用户的 IP 地址,但该公司并未用其采集的 IP 地址信息来筛选和预防潜在的制裁违规行为。因此,尽管当时乌克兰、古巴、伊朗、苏丹和叙利亚的克里米亚区域的作为司法管辖区遭到制裁,该公司未能禁止上述区域的个人用其非推广托管安全数字钱包管理服务,推行内部控制以筛选可用数据并阻止涉及某些 IP 地址的活动可以预防违反制裁。
OFAC 建议项目公司使用以下策略来加大内部控制,作为有效制裁合规计划的一部分:
a) Know Your Customer (KYC) Procedures
知道你的顾客(KYC)程序 - 在与顾客接触初期并在顾客关系的整个周期中获得有关顾客的信息,并针对这类信息进行充分的尽职调查,以减轻潜在的制裁有关风险。此信息可用于制裁筛选过程,以预防违规行为。比如,信息采集可能包含合作初期、按期审查和处置顾客买卖时的以下要点:
个人:法定名字、出过生日期、实质地址和电子邮件地址、国籍、与买卖和登录有关的 IP 地址、银行信息与政府身份证明和居住文件。
实体:实体名字(包含商业和法定名字)、业务范围、所有权信息、物理地址和电子邮件地址、地方信息、与买卖和登录有关的 IP 地址、有关实体拓展业务的信息、银行信息和任何有关政府文件。
高风险顾客可能需要额外的尽职调查。比如,这可能包含检查顾客买卖历史,以知道与受制裁司法管辖区的联系或与已与受制裁行为者有关联的数字货币地址的买卖。除此之外,依据现有反洗钱(AML)义务采集的信息(如适用)也会能够帮助评估和减轻制裁风险。
b) 制裁筛选(Sanctions Screening)
制裁筛选可能是 Crypto 公司内部控制的非常重要组成部分,可能包含地点、顾客辨别、买卖筛选等。Crypto 公司应考虑在其制裁合规计划中推行以下内容:
依据 OFAC 管理的制裁名单(包含 SDN 名单)筛选顾客信息
筛选买卖以辨别与受制裁职员或司法管辖区存在关联的地址,包含物理、数字钱包和 IP 地址,与其他有关信息
借助筛选工具的模糊逻辑功能来检索出容易见到的名字变化和拼写错误,比如:与受制裁的司法管辖区有关的拼写错误或替代拼写(比如,「Yalta, Krimea」)OFAC 制裁名单上所列职员名字的大小写、空格或标点符号的变化(比如,「Krayinvestbank」可能出目前 SDN 名单上,但「Krajinvestbank」或「Kray Invest Bank」可能出目前 Crypto 企业的买卖信息中)
持续的制裁筛选和基于风险的重复筛选以检索出变更的顾客信息、更新的 OFAC 制裁名单或监管需要的变化
c) 辨别风险指标或危险信号
风险指标或危险信号:除去 KYC 信息辨别与制裁筛选外,Crypto 公司还应考虑监控买卖和用户来发现风险,与可能表明制裁关系的「危险信号」。风险指标的示例可能包括以下个人或实体行为:
尝试开户时提供不准确或不完整的顾客身份或 KYC 信息
通过与受制裁司法管辖区有关联的 IP 地址或 VPN 访问数字货币交易平台
没回话或拒绝提供更新的顾客身份或 KYC 信息
对 Crypto 企业的需要没回话或拒绝提供额外的买卖信息
尝试用与受制裁的个人或司法管辖区有关的数字货币地址进行买卖
除此之外,在适合状况下,表明洗钱或其他非法金融活动的「危险信号」也会表明潜在的逃避制裁情形
d) 买卖监控和调查
买卖监控和调查软件可用于辨别在 SDN 上列出的与受制裁个人和实体有关联的,或坐落于在受制裁的司法管辖区的数字货币地址。这种内部控制能够帮助使项目公司可以预防资产转移到与受制裁者有关的地址并防止违反美国制裁。Crypto 行业的人士还可以用买卖监控和调查工具来持续审查此类地址的历史信息或其他辨别信息,以更好地知道他们面临的制裁风险并辨别制裁合规计划的缺点。
2022 年,OFAC 开始将某些已知的数字货币地址作为 SDN 名单上所列职员的辨别信息。这类数字货币地址可以用 OFAC 制裁列表搜索工具中的「ID#」字段进行搜索。作为合规实践方法,在数字货币行业运营的公司应用类此买卖监控和调查软件,从而辨别 SDN 名单内的数字货币地址及被制裁职员。除此之外,OFAC 将数字货币地址纳入 SDN 名单可能能够帮助行业辨别可能与被制裁方有关或以其他方法构成制裁风险的其他数字货币地址,即便这类其他地址并未明确列在 SDN 名单中。
e) 可采取的弥补手段
作为对 OFAC 执法行动的回话,项目公司可采取行动纠正其明显违规缘由,找出其内部控制的弱点,并推行新的控制以预防将来的违规行为。
其中一些弥补手段包含:
对受制裁的司法管辖区推行 IP 地址封锁和电子邮件有关限制
创建一个受制裁辖区城市和区域的关键词列表,用于筛选 KYC 信息
审查和更新最后用户协议以包含有关美国制裁所需要的信息
对所有用户进行追溯批量筛选
为所有职员推行与 OFAC 有关的培训计划
对与合规工作有关职员进行额外的制裁合规培训
雇佣额外的合规职员和专门的主管或制裁合规官
D. 测试与审计(Testing and Auditing)
确保制裁合规计划按预期实行的最好办法是测试该计划的有效性。在其制裁合规计划中纳入全方位、独立和客观的测试或审计职能的公司好了解其计划的实行状况,与需要更新、增强或重新校准那几个方面以应付风险评估或制裁环境变化。
依据企业的规模和成熟度可以决定是不是对其制裁合规计划进行内部或外部审计。数字货币行业制裁合规计划中测试和审计程序的一些方法包含:
制裁名单筛选 - 确保对 SDN 名单和其他制裁名单的筛选有效运作,并适合标记买卖以供进一步审查
关键词筛选 - 确保筛选工具适合标记与 KYC 有关的筛选或其他筛选有关的关键词
IP 封锁 - 确保 IP 地址软件正确地阻止用户从受制裁的司法管辖区访问其商品和服务
调查和报告 - 对在筛选过程中确定为具备潜在制裁关系的买卖进行调查的审查程序(比如:涉及被制裁职员或与受制裁管辖区有关的买卖),与向 OFAC 报告被封锁财产或被拒绝买卖的程序
E. 合规培训(Training)
最后,项目公司应当为其内部职员拟定制裁合规计划方面的培训。公司培训的范围将取决于企业的规模、复杂程度和风险情况,OFAC 培训应提供给所有适合的职员,包含合规、管理和顾客服务职员,并应按期进行,并且至少每年一次。健全的 OFAC 培训计划将依据需要提供特定于工作的常识,传达给每位职员制裁合规方法,并通过用评估规范让职员满足培训需要。除此之外,针对数字货币行业的不断变化与新兴技术,OFAC 培训也应不断进行更新调整。
结尾
在现在的加密市场不断扩张的大背景下,愈加多的合规需要成为了加密范围创业人士没办法忽略的话题。同时,很多传统基于合约安全审计的公司,如 Certik 也开始推出合规方面的审计服务。在可预见的将来,不论是交易平台还是 DeFi 公司等都会在合规市场呈现出不小的需要。
「Code is law.」尽管这句话在加密社区广为流传。但正如克雷格 · 赖特博士反复强调的那样,「代码不是法律,政府不会长期容忍有人试图绕过他们的法律」。
参考文章:
加密法律专家激辩 WEB3 监管:要合规还是去中心化?
美国政府制裁 Tornado Cash 后,大家怎么样更好地应付审查威胁?
万字长文:美国数字货币监管史进击的数字货币监管和摩擦
从美国监管角度看,为何 Tornado Cash 会迎来制裁及后续猜想
美财长耶伦演讲全文:以USD地位为核心看待数字资产监管
TRM Labs:DeFi 平台怎么样应付 Tornado Cash 制裁
全方位解析:美国财政部制裁 Tornado Cash 带来的影响
OFAC 宣布制裁 Tornado Cash 的行业影响解析及风险合规策略
Tornado 被制裁将成为 DeFi 监管分界线
Tornado Cash 被制裁,CertiK KYC 加入隐私之战
TRM Labs:帮 DeFi 项目拥护制裁行动的「侦探公司」
从法律视角解析 OFAC 制裁 Tornado Cash 是不是合理合规?
资深加密律师:Tornado Cash 被制裁后新的监管挑战即将来临?Cryptocurrency Regulations Around The World
Appendix A to Part 501 Economics Sanction
美国监管有关整体框架及现有监管状况初步理解—Leo
君合法评丨浅析全球稳定币监管
US Cryptocurrency Regulation: Policies, Regimes & More
How DeFi platforms are using data from TRM Labs to respond to Tornado Cash sanctions
行业影响解析及风险合规策略—OFAC 宣布制裁 Tornado Cash
U.S. Treasury Sanctions Notorious Virtual Currency Mixer Tornado Cash
Sanctions Compliance Guidance for the Virtual Currency Industry
A Framework for OFAC Compliance Commitments
