原文标题:《加密合规:TornadoCash制裁后时代|ZONFFResearch》
原文作者:Sullivan,ZonffPartners投资总监
2022年8月8日,美国财政部将以太坊上的TornadoCash地址列入美国海外资产管理办公室美国特别制定国民名单列表。几天后,TornadoCash的开发者AlexeyPertsev在荷兰被捕入狱,这是历史上首次链上智能合约被OFAC直接制裁,事件经过发酵后迅速引发了市场新一轮关于加密企业合规问题的广泛讨论。受此事件影响,许多加密企业,尤其是DeFi公司及员工开始担心其自身安全与业务的合规性。
本文将从加密监管架构、TornadoCash制裁事件、OFAC、加密企业合规指导实践四个角度浅谈当下加密市场的合规问题。
加密监管架构
1.1各国加密监管概览
随着加密货币越来越被广泛接受,世界各地为监管而制定的加密货币相关法律法规也在逐渐增加。随着加密领域的边界在不断拓展,全球不同地区的监管部门要跟上加密市场的发展节奏而制定出相关的法规并不容易,以下为美国、新加坡、中国、欧盟、拉丁美洲对加密领域监管的简要介绍。
金融犯罪执法局并不认为加密货币是法定货币,而认为其是「货币价值的其他替代品」。美国国税局同样不认为加密货币是法定货币,但将其定义为「作为交换媒介、记账单位和/或价值储存手段的数字表示」,并已设置相应的征税指导。加密货币交易所在美国同样是合法的,属于银行保密法的监管范围。在实践中,这意味着加密货币交易服务提供商必须在FinCEN注册、实施AML/CFT计划、维护适当的记录并向当局提交报告。与此同时,美国证券交易委员会表示将加密货币视为证券,并将证券法全面适用于数字钱包和交易所。相比之下,商品期货交易委员会采用了一种更友好的态度,将比特币描述为一种商品,并允许加密货币衍生品公开交易。
新加坡
在新加坡,加密货币交易所和交易都是合法的,这个国家在这个问题上的立场比它的一些区域邻国更友好。尽管加密货币不被视为法定货币,但新加坡税务机关将比特币视为「商品」,因此征收商品和服务税。2017年,新加坡金融管理局澄清说,虽然它的立场不是监管加密货币,但如果这些Token被归类为「证券」,它将监管Token的发行。
2019年新加坡支付服务法从2020年1月起将交易所和其他加密货币业务置于MAS的监管之下,并要求它们获得MAS的运营许可证。从那时起,MAS已向多家知名加密服务提供商颁发许可证,包括DBSVickers和澳大利亚加密货币交易所IndependentReserve。?
中国
中国人民银行于2013年明令禁止金融机构处理比特币交易,并在2017年进一步禁止ICO和国内加密货币交易所。为证明禁令的合理性,中国人民银行将ICO融资定义为未经批准的公共融资,这在中国法律下是非法的。
中国加密货币监管对加密货币交易和相关服务实施了近乎全面的禁令,并且在2021年对国内的加密货币挖矿活动进行了全面打击。但与此同时,就加密货币本身而言,根据2020年中国民法典修正案,加密货币在确定继承时具有财产地位。在目前的司法实践中,BTC/USDT等加密货币通常不被认为具有货币属性但可能具有财产属性,在部分涉及加密货币的合同纠纷中判罚还存在分歧。
欧盟
加密货币在整个欧盟被广泛认为是合法的,但各个成员国的加密货币交易法规不同。加密货币税在各国不尽相同,许多成员国对加密货币衍生的利润会征收0-50%的资本利得税。2015年,欧盟法院裁定,传统货币兑换加密货币应免征增值税。
2020年1月,欧盟第五反指令将加密货币-法定货币交易所纳入欧盟反立法,要求交易所对客户执行KYC/CDD并满足标准报告要求。2020年12月,6AMLD生效:该指令通过将网络犯罪添加到上游犯罪清单中,这使加密货币合规性更加严格。
加密货币交易所目前不受区域层面的监管。在某些成员国,交易所必须在各自的监管机构注册,例如德国金融监管局、法国金融市场监管局或意大利财政部。这些监管机构的授权和许可证可以进行交换,从而使它们能够在整个欧盟的制度下运作。
拉丁美洲
在拉丁美洲,各国对于加密货币的监管态度有所不同。监管更严厉的国家包括全面禁止加密货币和交易所的玻利维亚,以及禁止流通除政府发行的SDE代币之外的所有加密货币的厄瓜多尔。相比之下,在墨西哥、阿根廷、巴西、委内瑞拉和智利,零售店和商家普遍接受加密货币作为支付方式。
以太坊开发平台Tenderly推出节点产品“Web3 Gateway”:11月3日消息,以太坊开发平台Tenderly宣布推出节点产品“Web3 Gateway”,帮助Web3开发人员读取、传输和分析区块链数据,该产品建立Tenderly的可观察性堆栈之上,据称该堆栈索引了20多个区块链网络中超过90亿笔交易,其直接竞争对手是Infura背后公司ConsenSys、以及节点提供商Alchemy。Tenderly在2021年7月完成1530万美元A轮融资,之后在2022年3月完成4000万美元B轮融资。(thebharatexpressnews)[2022/11/3 12:12:25]
出于税收目的,加密货币在拉美通常被视为资产。它们在整个地区普遍缴纳资本利得税,而巴西、阿根廷和智利的交易在某些情况下也需缴纳所得税。
2021年9月,萨尔瓦多成为拉丁美洲第一个将比特币作为法定货币的国家,其发行了政府数字钱包应用程序,并允许消费者在所有交易中使用加密货币。尽管此举引发了国内外的批评,但萨尔瓦多政府此后依然宣布了建设「比特币城市」的计划。
1.2美国加密监管三驾马车
尽管全球不同国家和地区的监管政策有所不同,但各个国家监管部门的管辖权都有地域限制。据此而言,由于美国监管部门的管辖权能覆盖到最广泛的全球加密用户,其对于加密公司/个人所能带来的执法影响力也会远远大于其他国家。因此,美国的加密监管政策动向值得全球加密企业和从业者更多的重视。
在美国,加密货币一直是联邦和州政府关注的焦点,在联邦层面,大部分关注点集中在行政机构层面,包括证券交易委员会、商品期货交易委员会、美国财政部,此三者可简要归为美国加密监管的三架马车。
在美国进行加密监管的「三驾马车」中,SEC与CFTC主要厘定资产属性,并对各自认为是证券或商品的Token进行相应的监管;而美国财政部下属机构更加多元,国税局主要看加密交易是否纳税,FinCEN主要关注美国国内的及反恐,而OFAC主要负责执行对海外黑名单机构或个人的金融制裁,这三者都需要长期跟踪链上交易数据,分析判断、精准执法。
1.2.1美国证券交易委员会
SEC通常对任何构成证券的代币或其他数字资产的发行或转售拥有监管权,其主要针对ICO以及代币属性进行监管。在2021年,SEC主席GaryGensler在讲话中表明SEC正在研究加密各个領域,当前至少有七項SEC正在密切关注的议题,包括:托管、稳定币、交易平台、借贷平台、ICO、去中心化金融、ETF。
根据美国证券法,如果数字资产被确定为证券,则发行人必须向SEC注册证券或根据注册要求满足注册豁免。整体来看,SEC在各部门中活动最为积极,同时也是既有监管实例最多的部门,其监管核心是「证券」这一关键词,故在研究区块链代币是否属于证券的问题上,判断其是否接受SEC监管还需按照实质大于形式原则进行个案判断。但从目前情况来看,除了BTC、ETH外大部分资产都将很难逃脱证券的定义,特别是新发行的一些资产,一定会面临SEC全流程、全方位的监管要求。
1.2.2商品期货交易委员会
美国商品期货交易委员会是美国的金融监管机构之一,CFTC是美国政府的一个独立机构,负责监管商品期货、期权和金融期货、期权市场。可以理解如果一个数字资产还未并定义为证券,其衍生品的交易范畴主要由CFTC监管,同时这也是CFTC与SEC目前及在未来在监管权限讨论交叉最多的地方,也一定程度决定了后续监管的主导权。
1.2.3美国财政部
a.国家税务局
2014年3月,美国国税局宣布,「加密货币」如比特币和其他加密货币,将由美国国税局作为「财产」而非货币征税。
对于提交联邦所得税申报表的个人,出售作为「资本资产」持有的加密货币的收益或损失应当在(i)IRS表格1040的附表D中,以及(ii)IRS表格8949中报告,个人作为资本资产持有超过一年的加密货币的任何已实现收益均需缴纳资本利得税;个人作为资本资产持有一年或更短时间的加密货币的任何已实现收益均需缴纳普通所得税。
b.金融犯罪执法局
金融犯罪执法局是一个政府机构,由美国财政部在美国国内和国际运作,由执法机构、监管机构和金融服务机构三大主体组成。
主要关注要点包括:
防止和惩罚及相关金融犯罪;
通过研究金融机构的强制性披露信息,追踪可疑人员和活动;
慢雾:Equalizer Finance被黑主要在于FlashLoanProvider合约与Vault合约不兼容:据慢雾区消息,6 月 7 日,Equalizer Finance 遭受闪电贷攻击。慢雾安全团队以简讯形式将攻击原理分享如下:
1. Equalizer Finance 存在 FlashLoanProvider 与 Vault 合约,FlashLoanProvider 合约提供闪电贷服务,用户通过调用 flashLoan 函数即可通过 FlashLoanProvider 合约从 Vault 合约中借取资金,Vault 合约的资金来源于用户提供的流动性。
2. 用户可以通过 Vault 合约的 provideLiquidity/removeLiquidity 函数进行流动性提供/移除,流动性提供获得的凭证与流动性移除获得的资金都受 Vault 合约中的流动性余额与流动性凭证总供应量的比值影响。
3. 以 WBNB Vault 为例攻击者首先从 PancekeSwap 闪电贷借出 WBNB
4. 通过 FlashLoanProvider 合约进行二次 WBNB 闪电贷操作,FlashLoanProvider 会先将 WBNB Vault 合约中 WBNB 流动性转给攻击者,随后进行闪电贷回调。
5. 攻击者在二次闪电贷回调中,向 WBNB Vault 提供流动性,由于此时 WBNB Vault 中的流动性已经借出一部分给攻击者,因此流动性余额少于预期,则攻击者所能获取的流动性凭证将多于预期。
6. 攻击者先归还二次闪电贷,然后从 WBNB Vault 中移除流动性,此时由于 WBNB Vault 中的流动性已恢复正常,因此攻击者使用添加流动性获得凭证所取出的流动性数量将多于预期。
7. 攻击者通过以上方式攻击了在各个链上的 Vault 合约,耗尽了 Equalizer Finance 的流动性。
此次攻击的主要原因在于 Equalizer Finance 协议的 FlashLoanProvider 合约与 Vault 合约不兼容。慢雾安全团队建议协议在进行实际实现时应充分考虑各个模块间的兼容性。[2022/6/8 4:09:22]
整体上来说,FinCEN目前主要涉及的范围还是在交易所领域,在美国开设交易所业务、或者类似加密Treasury业务需要更多关注该部门的监管指南。《银行保密法》中的反法是最为重要的一环,特别是涉及到资金的跨国转移等,包括稳定币之间、不同加密货币间、稳定币与法币之间的兑换。此外,作为无许可去中心化,专注于交换资产、借贷和创造合成资产的DeFi产品也在可预见的未来将会成为监管的重中之重。
c.海外资产控制办公室
OFAC,即美国财政部海外资产控制办公室,它的使命在于管理和执行所有基于美国国家安全和对外政策的经济和贸易制裁,包括对一切恐怖主义、跨国和麻醉品交易、大规模杀伤性武器扩散行为进行金融领域的制裁。OFAC经特别立法授权可对美国境内的所有外国资产进行控制和冻结,同时负责在对外经济和贸易制裁事宜上,与美国的欧洲盟国进行紧密合作。它的主要管辖范围在跨国、恐怖主义等领域,也是本次TornardoCash制裁事件的主角。
OFAC关注影响美国国家安全的非法金融活动,一切可以潜在被这些犯罪领域份子利用的协议、网络、应用都将长期受到其关注。OFAC的制裁清单SDN是非常强的监管工具,如果受到制裁后果很严重。对于众多DeFi产品来说,OFAC所出具的监管指导应当是首先需要研究遵守的合规文件。
美国下达首次针对智能合约的制裁-TornadoCash
2022年8月8日,美国财政部的OFAC的官网显示,将部分与TornadoCash协议或与之相关的以太坊地址进行交互的地址,放入SDNList进行制裁,这是历史上第一次链上智能合约被OFAC直接制裁。
这次制裁与今年OFAC早些制裁Blender.io不同,制裁TornadoCash并不算是制裁「实体」。制裁Blender时,OFAC详细列出了Blender有关的几个网站和几十个比特币钱包地址,且Blender是一个中心化的实体。但是TornadoCash并不是一个中央化的混币器,所以这让OFAC制裁「非实体」的权力来源可被推敲,也使得制裁TornadoCash这样的去中心化智能合约非常困难。制裁之后,美国公民将无法使用TornadoCash。
HarmonyBridgeHeist的超过9600万美元的恶意网络参与者资金,以及来自2022年8月2日NomadHeist的至少780万美元的资金。
数据:Deribit10月8日到期的以太坊看跌期权今日成交量涨至32221张,名义价值逾9370万美元:9月28日消息,Deribit数据显示,截至北京时间17:30,10月8日到期的以太坊看跌期权成交量飙升,目前已达32221张,名义价值超过9370万美元,其中成交数量最多的看跌期权行权价为2700美元和2800美元,分别成交了10597张和8733张。[2021/9/28 17:12:38]
OFAC在官网披露中认为:TornadoCash是一种在以太坊区块链上运行的加密货币混合器,通过混淆其来源、目的地和交易对手,不加选择地促进匿名交易,而无需确定其来源。Tornado接收各种交易并将它们混合在一起,然后再将它们传输给各自的接收者。虽然据称目的是增加隐私,但像Tornado这样的混合器通常被非法行为者用来,尤其是那些在重大抢劫中被盗的资金。Tornado被指认为非法网络活动提供实质性协助,可能对美国的国家安全、经济健康或金融稳定造成重大威胁,因此受到OFAC的制裁。
2.2TornadoCash所受到的影响
截止目前,Tornado受到的影响主要有两部分:
与TornadoCash有交互被列入SDN的部分以太坊及USDC地址及USDC资产
TornadoCash的Github代码库及前端官网已经限制访问
根据OFAC制裁规定,SDN清单主体在美财产会被冻结,任何美国人不得与其交易,这也意味着SDN主体将无法进行美元清算与交易。即「美国人」都会禁止与之发生关系,不然除了罚款可能甚至要负刑事责任。
对于被列入SDN的以太坊及USDC地址而言,根据OFAC制裁结果,制裁发出后USDC发行商Circle正式将美国财政部制裁名单中的以太坊地址列入黑名单。Uniswap屏蔽了253个与被盗资金或制裁有关的加密地址,借贷协议Aave同样屏蔽了众多与TornadoCash有过交互转账的地址。(美国财政部官网披露的受制裁地址SDNListCyber-relatedDesignation:?https://home.treasury.gov/policy-issues/financial-sanctions/recent-actions/20220808)
而对于Tornado本身来说,这次制裁导致访问TornadoCash被限制,而用户不仅不能登上TornadoCash官网,并且像Infura和Alchemy这样的第三方节点运营商,也将停止支持TornadoCash的相关服务。此外,最为广泛使用的以太坊钱包MetaMask的用户,现在也被禁止与TornadoCash互动,严重限制了TornadoCash用户数量。
对于TornadoCash的制裁,虽然影响了大量用户对协议的访问、代码的协作开发以及部分协议功能,例如DistributedRelayerNetwork。会使得普通用户更加难以参与上述这些活动。但是,由于TornadoCash是部署在以太坊上的去中心化应用程序,该应用程序本身将继续在网络上不受影响地运行,并且几乎无法停止运行。
2.3TornadoCash制裁本身的程序性合规争议
正由于TornadoCash去中心化的本质,所以OFAC列出制裁的加密货币钱包也不能表明这些被制裁的钱包背后有实体、法人、自然人可以被制裁,因为安装在以太坊智能合约上的钱包,可以不被人控制,自动根据代码进行混币。并没有证据表明,部署了TornadoCash的自然人或者法人团队现在还对该程序进行控制。在TornadoCash的逻辑里,混币的用户可以来自五湖四海,但并没有中心审查团队或者机制去甄别这些客户,但这并不一定是有人故意为之,而是系统与算法自动进行去中心化的匹配和处理。在这种情况下,有律师认为OFAC是否可以将一个自动协议列入SDN,该情况是否违宪?
如果被制裁的TornadoCash是一个实体,实体如果认为OFAC制裁不公,是可以通过法律手段进行申辩并且在联邦法院提起诉讼。由于诉讼只有实体可以提出,所以请愿移出SDN名单也只有实体才可以做到,那么制裁没有中心的实体是不是不公平?同时,制裁相关钱包并无法改变该自动算法自动进行交易的行为,那制裁是否违背了OFAC的初衷,即促使某组织或个人改变行为。
加密货币智库CoinCenter认为OFAC制裁TornadoCash的行为超出了该组织的权限,由于制裁并未推动在「实体」上,同时不能有效改变行为。最后它并不在IEEPA规定的对「财产」封锁的范畴内,且没有提供美国宪法规定的程序性正当程序要求,所以OFAC此行为超出其本身的行政权力。
Deribit:将在今日调整期权行权政策:2月25日消息,Deribit将在今日调整期权行权政策,在新政策下,价格波动较高时,行权间隔会延长,价格波动较低时,间隔会变短。[2021/2/25 17:50:44]
在荷兰政府羁押了TornadoCash创始人AlexPertsev之后,8月20日有超过50人的集会在阿姆斯丹游行抗议该羁押,要求释放AlekPertsev。目前,对OFAC这次制裁存疑的律师在组织力量和OFAC联系并试图在法律层面推动抗议与诉讼。
海外资产控制办公室概述
3.1OFAC由来
海外资产控制办公室成立于1950年,是美国财政部下属的一个机构,主要对反对美国利益的外国人和组织进行经济或者贸易制裁,权力很大、名声相对较小,制裁效果明显,往往上了OFAC名单会给被制裁的目标带来深远的影响。
OFAC的创立来源于国会于1977年通过的一项法案-《国际紧急经济权力法》,该法案首先要遵守美国宪法,所以行使法案相关权力的行为也要符合美国宪法。IEEPA给予总统宣布国家紧急状态的权力,从而阻止受美国管辖的人和组织进行任何涉及外国势力损害美国利益的活动。IEEPA给予了OFAC封锁财产的权力,其核心是「财产」。911之后,为了从财务上更好地打击恐怖组织,当时的美国总统布什推进国会通过了另一项法案《美国爱国者法案》,实质上将IEEPA拟定的行政权扩大了,并给予了OFAC很大的权力。该法案允许OFAC封锁「调查中」的财产,并不必为此提出解释或提供确凿的证据。
OFAC的使命在于管理和执行所有基于美国国家安全和对外政策的经济和贸易制裁,包括对一切恐怖主义、跨国和麻醉品交易、大规模杀伤性武器扩散行为进行金融领域的制裁,目前的OFAC仍然是美国最重要的针对特定国家、地区和人员进行的经济和贸易制裁的政府部门。近年来,随着世界性的反贪腐、反运动的深入,OFAC的政策和指令,已经成为世界金融业,尤其是美国和与美国金融业有密切联系的金融机构无法忽略的经营原则。?
3.2OFAC主要处罚类型
在OFAC开始将制裁的大棒挥向加密货币和区块链行业之前,OFAC的传统制裁对象一般是意识形态上挑战美国的与主权国家相关的个人与组织。2021年10月,OFAC发布了针对加密货币的合规引导,里面重申了OFAC的制裁类型,一共是四类:
i)广泛商贸制裁和封锁,目前主要针对伊朗、朝鲜、古巴、叙利亚、克里米亚地区;
ii)针对政府或者政权的制裁;
iii)清单制;
iv)行业制,针对某些外国的某特定产业;
3.3受到OFAC处罚的主要原因
根据美国财政部出具的《AFrameworkforOFACComplianceCommitments》,受到OFAC处罚的原因值得加密企业注意的有以下五点:?
A.缺乏正式的OFACSanctionsComplianceProgram
OFAC不强制需要企业具备正式的SanctionsComplianceProgram,但是OFAC鼓励受美国管辖的组织,尤其是那些从事国际贸易的组织,或交易或拥有位于美国境外的任何客户或对手方采用正式的SCP。从OFAC已经敲定的多项民事罚款中可以看出,没有SCP是在OFAC调查过程中发现的违反制裁的主要原因之一。此外,OFAC在进行制裁判断时,经常将此因素确定为加重因素。
B.与受制裁的非美国人员进行交易
受美国管辖的组织-特别是那些在美国境外拥有海外业务和子公司的组织-通过将商业机会转交给海外子公司与非美国地点受OFAC制裁的国家、地区或个人进行交易,从事了违反OFAC规定的交易或活动。
C.制裁筛选软件未更新或过滤器故障
许多组织对其客户、供应链、中介机构、交易对手、商业和财务文件以及交易进行筛选,以识别并避免与OFAC所制裁的地区、当事人进行交易。有时,组织未能更新其制裁筛选软件以将更新的制裁名单实体纳入其组织内部的SDN列表或SSI列表。
D.对客户的不当尽职调查
有效的OFAC风险评估和SCP的基本组成部分之一是对组织的客户、供应链、中介机构和交易对手进行尽职调查。OFAC采取的各种制裁行动涉及原因包括组织对其客户的不适当或不完整的尽职调查,例如他们的实控主体、地理位置、关联方和交易本身,以及他们对OFAC制裁的了解和认识。
E.个人责任
Deribit市场有19995张36000美元比特币看涨期权处于未平仓状态:加密衍生品交易平台Deribit发推表示,目前平台上有19995张36000美元的比特币看涨期权处于未平仓状态,大部分的到期日是2021年1月份。也就是说,这些期权的持有者在明年1月份到期前有权利以执行价格36000美元买入比特币,以在市场价格高于执行价时获得收益,若市场价格未达到执行价,期权持有者也可以放弃执行。[2020/12/6 14:09:51]
在一些情况下,个别员工-尤其是在监督、管理或行政级别的职位,在导致或促成违反OFAC管理的法规方面成为了主要原因。具体而言,在其中一些案例中,外国实体的员工还努力向公司组织内的其他人以及监管机构或执法部门隐瞒和隐瞒他们的活动。在这种情况下,OFAC将考虑使用其执法机构不仅针对违规实体,还针对个人。
3.4OFAC处罚所带来的影响
不遵守OFAC制裁要求可能会对美国制裁计划及其相关政策目标的完整性和有效性造成重大损害。因此,对违规行为的民事和刑事处罚可能很重,具体的处罚行为会因制裁计划而异。
加密企业的合规策略怎么做
自BTC诞生以来,Crypto行业的相关犯罪就集中在金融领域,其中以近年来发展迅速的DeFi犹甚。相较于其他种类犯罪,经济金融领域犯罪往往波及人群范围广,涉及金额巨大,因此也是各国监管机构最主要关注的领域和监管抓手。
相较于DeFi,其他领域的Crypto合规市场需求则相对较小或已经有较为成熟的标准化流程。比如像BAYC/Clonex等蓝筹NFTIP侵权问题,即使侵权方未经允许使用前述IP形象以盈利为目的进行商业经营,IP持有人在耗费时间金钱成本后也往往只是让对方撤下IP形象,难以获得高额赔偿。且由于NFT本身去中心化及全球化的特性,跨境执行也会成为难点。此外,实践上另一个符合监管合规市场需求较多的就是交易所牌照的事,这个领域已经有比较成熟的标准化流程,市场中也以有许多中介机构可以做该领域业务,这里不做过多探讨。因此,本文主要是针对DeFi领域,并结合实践中存在的监管处罚从项目方角度进行合规策略探讨。
4.1?首先,DeFi项目在合规方面可以分为两个层面:(1)智能合约本身;(2)提供各类前端服务的项目公司。
一个DeFi项目的组成,除了本身去中心化自动运行的智能合约以外,还需要一些人力的支持从而方便用户使用。比如Uniswap,其不仅通过智能合约实现去中心化交易所的属性功能,还需要UniswapLabs来雇佣工作人员运行如前端网站或使用Twitter进行市场推广营销。对于UniswapLabs而言,其面临的合规要求也更贴近一家普通的公司。
A.智能合约本身
正如前述章节「TornadoCash制裁本身的程序性合规争议」所谈到,对于智能合约本身,目前的法律框架并未将其视为一种法律实体,其本身是否能够成为被制裁的对象存在争议。从实践的角度看,OFAC通过间接方式,如禁止其他机构或个人与该受制裁智能合约进行交互的方式来实施制裁。目前来看,此种方式还是可以对该智能合约用户产生较大影响。
图片来源:TRMLabs
B.提供各类前端服务的项目公司
作为智能合约背后提供前端服务的公司,其受到制裁的影响会更加直接。如TornadoCash受到制裁后,其本身的前端网站就无法正常连接Metamask钱包进行使用,其Twitter账号也暂停更新,Github代码库也受到了限制访问。
对于项目公司而言,其作为一个法律实体提供DeFi相关的金融服务,应当按照当地法律法规完成相关要求,如运营牌照的申请注册或互联网信息服务合规要求。
4.2内部合规设置-SanctionsComplianceProgram
对于前述DeFi合规两个层面的认识,作为项目方还是可以通过项目公司内部安排来满足监管的合规要求。根据美国财政部OFAC于2021年10月出具的《SanctionsComplianceGuidancefortheVirtualCurrencyIndustry》,DeFi项目方可以在内部合规方面安排以下五个部分:
A.管理层承诺
高级管理层对公司制裁合规计划的严格遵守执行是决定该计划成功的最重要因素之一,高级管理层的支持对于确保制裁合规工作获得足够的资源并完全融入公司的日常运营至关重要。来自高层的适当语气也有助于使计划合法化,赋予公司制裁合规人员权力,并在整个公司培养合规文化。
管理层对公司基于风险的制裁合规计划的严格遵守执行的重要性在加密货币行业与在任何其他行业都是一样的。在许多情况下,OFAC观察到加密货币行业的成员在开始运营数月甚至数年后才开始遵守OFAC制裁政策和程序。延迟制裁合规计划的制定和实施可能会使加密货币公司面临各种潜在的制裁风险。
从实践操作上而言,项目方的高级管理层可以考虑采取以下步骤来证明他们对制裁合规的支持:
审查和批准制裁合规政策和程序
确保充足的资源支持合规职能
向合规部门授予足够的自主权和权力
任命至少一名具备必要技术专长的专职制裁合规官,这些人员具备在OFAC的法规、流程和行动方面的技术知识和专长;这些人员了解复杂的金融和商业活动、将他们对OFAC的了解应用于这些项目并具备识别与OFAC相关的问题、风险和禁止活动的能力
B.风险评估
制裁风险如果忽视或处理不当,可能导致违反OFAC法规和随后的执法行动,损害美国外交政策和国家安全利益,并对公司声誉和业务产生负面影响。OFAC建议制定制裁合规计划的加密货币行业的公司进行例行并在适当的情况下持续进行风险评估,以避免公司可能遇到的制裁问题。
虽然没有「一刀切」的风险评估方式,但通常应包括对公司的全面审查,以评估公司与OFAC制裁的个人、国家或地区存在接触的潜在风险。通过定期进行的风险评估,项目方可以实时调整内部合规筛选标准从而满足最新的监管要求。
案例:诊断有风险的关系
2021年,OFAC与一家美国加密货币支付服务提供商签订了一项和解协议,以处理该公司客户与位于受制裁司法管辖区的个人之间的虚拟货币交易。虽然该公司的制裁合规控制包括筛选其直接客户是否与制裁有潜在联系,但该公司未能筛选出有关使用其支付处理平台并从平台商家购买产品的个人制裁信息。具体来说,在进行交易之前,公司会收到一些买家的信息,例如姓名、地址、电话号码、电子邮件地址,有时还包括互联网协议地址。包括了解谁在访问公司的平台或服务在内的全面的风险评估可以帮助项目方确定为其每项产品和服务设置的适当筛选标准。
C.内部控制
有效的制裁合规计划将包括旨在解决公司风险评估中确定的风险的政策和程序。这些可能包括对OFAC实施的制裁禁止的交易或活动进行识别、阻止、升级、报告和维护记录。有效的制裁合规计划将使公司能够对客户、业务合作伙伴和交易进行充分的尽职调查,并识别「危险信号」。危险信号表明可能正在发生非法活动或合规性障碍,促使公司进行调查并采取适当的行动。公司应执行政策和程序,并找出弱点并进行补救以防止可能违反制裁的活动。
在Crypto行业,公司实施内部控制将取决于公司提供的产品和服务、公司运营地点、用户位置以及公司在风险评估过程中识别出的特定制裁风险。虽然OFAC不要求加密货币行业使用任何特定的内部或第三方软件,但这些对于有效的制裁合规计划来说可能是有用的工具。
案例:双重审查
加密货币行业成员面临的一项制裁风险来自位于受制裁司法管辖区的用户使用其产品和服务。2020年,一家在国际上提供数字资产托管、交易和融资服务的美国公司与OFAC签订了一项和解协议,原因是公司给位于受制裁司法管辖区的个人处理加密货币交易。尽管该公司出于安全目的在用户登录时跟踪其用户的IP地址,但该公司并未使用其收集的IP地址信息来筛选和防止潜在的制裁违规行为。因此,尽管当时乌克兰、古巴、伊朗、苏丹和叙利亚的克里米亚地区的作为司法管辖区受到制裁,该公司未能禁止上述地区的个人使用其非托管安全数字钱包管理服务,实施内部控制以筛选可用数据并阻止涉及某些IP地址的活动可以防止违反制裁。
OFAC建议项目公司采用以下方案来加强内部控制,作为有效制裁合规计划的一部分:
a)KnowYourCustomer(KYC)Procedures
了解您的客户程序-在与客户接触初期并在客户关系的整个周期中获取有关客户的信息,并针对这些信息进行充分的尽职调查,以减轻潜在的制裁相关风险。此信息可用于制裁筛选过程,以防止违规行为。例如,信息收集可能包括合作初期、定期审查和处理客户交易时的以下要素:
个人:法定姓名、出生日期、实际地址和电子邮件地址、国籍、与交易和登录相关的IP地址、银行信息以及政府身份证明和居住文件。
实体:实体名称、业务范围、所有权信息、物理地址和电子邮件地址、位置信息、与交易和登录相关的IP地址、有关实体开展业务的信息、银行信息和任何相关政府文件。
高风险客户可能需要额外的尽职调查。例如,这可能包括检查客户交易历史,以了解与受制裁司法管辖区的联系或与已与受制裁行为者相关联的加密货币地址的交易。此外,根据现有反义务收集的信息也可能有助于评估和减轻制裁风险。
b)制裁筛选
制裁筛选可能是Crypto公司内部控制的最重要组成部分,可能包括地理位置、客户识别、交易筛选等。Crypto公司应考虑在其制裁合规计划中实施以下内容:
根据OFAC管理的制裁名单筛选客户信息
筛选交易以识别与受制裁人员或司法管辖区存在关联的地址,包括物理、数字钱包和IP地址,以及其他相关信息
利用筛选工具的模糊逻辑功能来检索出常见的名称变化和拼写错误,例如:与受制裁的司法管辖区相关的拼写错误或替代拼写OFAC制裁名单上所列人员姓名的大小写、空格或标点符号的变化
持续的制裁筛选和基于风险的重复筛选以检索出变更的客户信息、更新的OFAC制裁名单或监管要求的变化
c)识别风险指标或危险信号
风险指标或危险信号:除了KYC信息识别与制裁筛选外,Crypto公司还应考虑监控交易和用户来发现风险,以及可能表明制裁关系的「危险信号」。风险指标的示例可能包含以下个人或实体行为:
尝试开户时提供不准确或不完整的客户身份或KYC信息
通过与受制裁司法管辖区有关联的IP地址或VPN访问加密货币交易所
没有回应或拒绝提供更新的客户身份或KYC信息
对Crypto公司的要求没有回应或拒绝提供额外的交易信息
尝试使用与受制裁的个人或司法管辖区相关的加密货币地址进行交易
此外,在适当情况下,表明或其他非法金融活动的「危险信号」也可能表明潜在的逃避制裁情形
d)交易监控和调查?
交易监控和调查软件可用于识别在SDN上列出的与受制裁个人和实体有关联的,或位于在受制裁的司法管辖区的加密货币地址。这种内部控制有助于使项目公司能够防止资产转移到与受制裁者相关的地址并避免违反美国制裁。Crypto行业的人士还可以使用交易监控和调查工具来持续审查此类地址的历史信息或其他识别信息,以更好地了解他们面临的制裁风险并识别制裁合规计划的缺陷。
2018年,OFAC开始将某些已知的加密货币地址作为SDN名单上所列人员的识别信息。这些加密货币地址可以使用OFAC制裁列表搜索工具中的「ID#」字段进行搜索。作为合规实践方式,在加密货币行业运营的公司应使用类此交易监控和调查软件,从而识别SDN名单内的加密货币地址及被制裁人员。此外,OFAC将加密货币地址纳入SDN名单可能有助于行业识别可能与被制裁方相关或以其他方式构成制裁风险的其他加密货币地址,即使这些其他地址并未明确列在SDN名单中。
e)可采取的补救措施
作为对OFAC执法行动的回应,项目公司可采取行动纠正其明显违规原因,找出其内部控制的弱点,并实施新的控制以防止未来的违规行为。
其中一些补救措施包括:
对受制裁的司法管辖区实施IP地址封锁和电子邮件相关限制
创建一个受制裁辖区城市和地区的关键字列表,用于筛选KYC信息
审查和更新最终用户协议以包括有关美国制裁所要求的信息
对所有用户进行追溯批量筛选
为所有员工实施与OFAC相关的培训计划
对与合规工作相关人员进行额外的制裁合规培训
雇佣额外的合规人员和专门的主管或制裁合规官
D.测试与审计
确保制裁合规计划按预期实行的最佳方法是测试该计划的有效性。在其制裁合规计划中纳入全面、独立和客观的测试或审计职能的公司可以了解其计划的执行情况,以及需要更新、增强或重新校准哪些方面以应对风险评估或制裁环境变化。
依据公司的规模和成熟度可以决定是否对其制裁合规计划进行内部或外部审计。加密货币行业制裁合规计划中测试和审计程序的一些方式包括:
制裁名单筛选-确保对SDN名单和其他制裁名单的筛选有效运作,并适当标记交易以供进一步审查
关键字筛选-确保筛选工具适当标记与KYC相关的筛选或其他筛选相关的关键字
IP封锁-确保IP地址软件正确地阻止用户从受制裁的司法管辖区访问其产品和服务
调查和报告-对在筛选过程中确定为具有潜在制裁关系的交易进行调查的审查程序,以及向OFAC报告被封锁财产或被拒绝交易的程序
E.合规培训
最后,项目公司应当为其内部员工制定制裁合规计划方面的培训。公司培训的范围将取决于公司的规模、复杂程度和风险状况,OFAC培训应提供给所有适当的员工,包括合规、管理和客户服务人员,并应定期进行,并且至少每年一次。完善的OFAC培训计划将根据需要提供特定于工作的知识,传达给每位员工制裁合规方式,并通过使用评估制度让员工满足培训要求。此外,针对加密货币行业的不断变化与新兴技术,OFAC培训也应不断进行更新调整。
结尾
在目前的加密市场不断扩张的大背景下,越来越多的合规要求成为了加密领域创业者无法忽视的话题。与此同时,许多传统基于合约安全审计的公司,如Certik也开始推出合规方面的审计服务。在可预见的未来,不论是交易所还是DeFi公司等都会在合规市场呈现出不小的需求。
「Codeislaw.」尽管这句话在加密社区广为流传。但正如克雷格·赖特博士反复强调的那样,「代码不是法律,政府不会长期容忍有人试图绕过他们的法律」。
参考文章:
加密法律专家激辩WEB3监管:要合规还是去中心化?
美国政府制裁TornadoCash后,我们如何更好地应对审查威胁?
万字长文:美国加密货币监管史进击的虚拟货币监管和摩擦
从美国监管角度看,为什么TornadoCash会迎来制裁及后续猜想
美财长耶伦演讲全文:以美元地位为核心看待数字资产监管
TRMLabs:DeFi平台如何应对TornadoCash制裁
全面解读:美国财政部制裁TornadoCash带来的影响
OFAC宣布制裁TornadoCash的行业影响解读及风险合规方案
Tornado被制裁将成为DeFi监管分水岭
TornadoCash被制裁,CertiKKYC加入隐私之战
TRMLabs:帮DeFi项目拥护制裁行动的「侦探公司」
从法律视角解读OFAC制裁TornadoCash是否合理合规?
资深加密律师:TornadoCash被制裁后新的监管挑战即将到来?CryptocurrencyRegulationsAroundTheWorld
AppendixAtoPart501EconomicsSanction?
美国监管相关整体框架及现有监管情况初步理解—Leo
君合法评丨浅谈全球稳定币监管
USCryptocurrencyRegulation:Policies,Regimes&More
HowDeFiplatformsareusingdatafromTRMLabstorespondtoTornadoCashsanctions
行业影响解读及风险合规方案—OFAC宣布制裁TornadoCash
U.S.TreasurySanctionsNotoriousVirtualCurrencyMixerTornadoCash
SanctionsComplianceGuidancefortheVirtualCurrencyIndustry
AFrameworkforOFACComplianceCommitments
原文链接
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。