Tornado Cash制裁后时代:Web3企业与监管机构的“双向奔赴”
原文:《》
作者:Sullivan,Zonff Partners 投资总监
2022 年 8 月 8 日,美国财政部将以太坊上的 Tornado Cash 地址列入美国海外资产管理办公室(OFAC)美国特别制定国民名单(SDN)列表。几天后,Tornado Cash 的开发者 Alexey Pertsev 在荷兰被捕入狱,这是历史上首次链上智能合约被 OFAC 直接制裁,事件经过发酵后迅速引发了市场新一轮关于加密企业合规问题的广泛讨论。受此事件影响,许多加密企业,尤其是 DeFi 公司及员工开始担心其自身安全与业务的合规性。(推荐专题:)
本文将从加密监管架构、Tornado Cash 制裁事件、OFAC、加密企业合规指导实践四个角度浅谈当下加密市场的合规问题。
加密监管架构
1.1 各国加密监管概览
随着加密货币越来越被广泛接受,世界各地为监管而制定的加密货币相关法律法规也在逐渐增加。随着加密领域的边界在不断拓展,全球不同地区的监管部门要跟上加密市场的发展节奏而制定出相关的法规并不容易,以下为美国、新加坡、中国、欧盟、拉丁美洲对加密领域监管的简要介绍。
图片来源:ComplyAdvantage
美国
美国作为普通法系国家,其法律体系覆盖全面而又纷繁复杂。虽然很难在州一级找到一致的法律规定,但美国在制定联邦加密货币立法方面取得了一定进展,美国的加密货币交易是合法的。金融犯罪执法局(FinCEN)并不认为加密货币是法定货币,而认为其是「货币价值的其他替代品」。美国国税局(IRS)同样不认为加密货币是法定货币,但将其定义为「作为交换媒介、记账单位和 / 或价值储存手段的数字表示」,并已设置相应的征税指导。加密货币交易所在美国同样是合法的,属于银行保密法(BSA)的监管范围。在实践中,这意味着加密货币交易服务提供商必须在 FinCEN 注册、实施 AML/CFT 计划、维护适当的记录并向当局提交报告。与此同时,美国证券交易委员会( SEC )表示将加密货币视为证券,并将证券法全面适用于数字钱包和交易所。相比之下,商品期货交易委员会(CFTC)采用了一种更友好的态度,将比特币描述为一种商品,并允许加密货币衍生品公开交易。
新加坡
在新加坡,加密货币交易所和交易都是合法的,这个国家在这个问题上的立场比它的一些区域邻国更友好。尽管加密货币不被视为法定货币,但新加坡税务机关将比特币视为「商品」,因此征收商品和服务税(新加坡版的增值税)。2017 年,新加坡金融管理局(MAS)澄清说,虽然它的立场不是监管加密货币,但如果这些 Token 被归类为「证券」,它将监管 Token 的发行。
2019 年新加坡支付服务法(PSA)从 2020 年 1 月起将交易所和其他加密货币业务置于 MAS 的监管之下,并要求它们获得 MAS 的运营许可证。从那时起,MAS 已向多家知名加密服务提供商颁发许可证,包括 DBS Vickers(星展银行的经纪部门)和澳大利亚加密货币交易所 Independent Reserve。
中国
中国人民银行(PBOC)于 2013 年明令禁止金融机构处理比特币交易,并在 2017 年进一步禁止 ICO 和国内加密货币交易所。为证明禁令的合理性,中国人民银行将 ICO 融资(通过违规销售和流通 Token)定义为未经批准的公共融资,这在中国法律下是非法的。
中国加密货币监管对加密货币交易和相关服务实施了近乎全面的禁令,并且在 2021 年对国内的加密货币挖矿活动进行了全面打击。但与此同时,就加密货币本身而言,根据 2020 年中国民法典修正案,加密货币在确定继承时具有财产地位。在目前的司法实践中, BTC / USDT 等加密货币通常不被认为具有货币属性但可能具有财产属性,在部分涉及加密货币的合同纠纷中判罚还存在分歧。
欧盟
加密货币在整个欧盟被广泛认为是合法的,但各个成员国的加密货币交易法规不同。加密货币税在各国不尽相同,许多成员国对加密货币衍生的利润会征收 0 – 50% 的资本利得税。2015 年,欧盟法院裁定,传统货币兑换加密货币应免征增值税。
2020 年 1 月,欧盟第五反洗钱指令(5AMLD)将加密货币 – 法定货币交易所纳入欧盟反洗钱立法,要求交易所对客户执行 KYC/CDD 并满足标准报告要求。2020 年 12 月,6AMLD 生效:该指令通过将网络犯罪添加到洗钱上游犯罪清单中,这使加密货币合规性更加严格。
加密货币交易所目前不受区域层面的监管。在某些成员国,交易所必须在各自的监管机构注册,例如德国金融监管局(BaFin)、法国金融市场监管局(AMF)或意大利财政部。这些监管机构的授权和许可证可以进行交换,从而使它们能够在整个欧盟的制度下运作。
拉丁美洲
在拉丁美洲,各国对于加密货币的监管态度有所不同。监管更严厉的国家包括全面禁止加密货币和交易所的玻利维亚,以及禁止流通除政府发行的 SDE 代币之外的所有加密货币的厄瓜多尔。相比之下,在墨西哥、阿根廷、巴西、委内瑞拉和智利,零售店和商家普遍接受加密货币作为支付方式。
出于税收目的,加密货币在拉美通常被视为资产。它们在整个地区普遍缴纳资本利得税,而巴西、阿根廷和智利的交易在某些情况下也需缴纳所得税。
2021 年 9 月,萨尔瓦多成为拉丁美洲第一个将比特币作为法定货币的国家,其发行了政府数字钱包应用程序,并允许消费者在所有交易中使用加密货币(以及用美元支付)。尽管此举引发了国内外的批评,但萨尔瓦多政府此后依然宣布了建设「比特币城市」的计划。
1.2 美国加密监管三驾马车
尽管全球不同国家和地区的监管政策有所不同,但各个国家监管部门的管辖权都有地域限制。据此而言,由于美国监管部门的管辖权能覆盖到最广泛的全球加密用户,其对于加密公司 / 个人所能带来的执法影响力也会远远大于其他国家。因此,美国的加密监管政策动向值得全球加密企业和从业者更多的重视。
在美国,加密货币一直是联邦和州政府关注的焦点,在联邦层面,大部分关注点集中在行政机构层面,包括证券交易委员会(SEC)、商品期货交易委员会(CFTC)、美国财政部,此三者可简要归为美国加密监管的三架马车。
在美国进行加密监管的「三驾马车」中,SEC 与 CFTC 主要厘定资产属性(属于商品还是属于证券?),并对各自认为是证券或商品的 Token 进行相应的监管;而美国财政部下属机构更加多元,国税局主要看加密交易是否纳税,FinCEN 主要关注美国国内的洗钱及反恐,而 OFAC 主要负责执行对海外黑名单机构或个人的金融制裁,这三者都需要长期跟踪链上交易数据,分析判断、精准执法。
1.2.1 美国证券交易委员会(SEC)
SEC 通常对任何构成证券的代币或其他数字资产的发行或转售拥有监管权,其主要针对 ICO 以及代币属性进行监管。在 2021 年,SEC 主席 Gary Gensler 在讲话中表明 SEC 正在研究加密各个領域,当前至少有七項 SEC 正在密切关注的议题,包括:托管、稳定币、交易平台、借贷平台、ICO、去中心化金融(DeFi)、ETF(不限于比特币)。
根据美国证券法,如果数字资产被确定为证券,则发行人必须向 SEC 注册证券或根据注册要求满足注册豁免。整体来看,SEC 在各部门中活动最为积极,同时也是既有监管实例最多的部门,其监管核心是「证券」这一关键词,故在研究区块链代币是否属于证券的问题上,判断其是否接受 SEC 监管还需按照实质大于形式原则进行个案判断。但从目前情况来看,除了 BTC、 ETH 外大部分资产都将很难逃脱证券的定义,特别是新发行的一些资产,一定会面临 SEC 全流程、全方位的监管要求。
1.2.2 商品期货交易委员会(CFTC)
美国商品期货交易委员会是美国的金融监管机构之一,CFTC 是美国政府的一个独立机构,负责监管商品期货、 期权 和金融期货、期权市场。可以理解如果一个数字资产还未并定义为证券,其衍生品的交易范畴主要由 CFTC 监管,同时这也是 CFTC 与 SEC 目前及在未来在监管权限讨论交叉最多的地方,也一定程度决定了后续监管的主导权。
1.2.3 美国财政部
a. 国家税务局(IRS)
2014 年 3 月,美国国税局宣布,「加密货币」如比特币和其他加密货币,将由美国国税局作为「财产」而非货币征税。
对于提交联邦所得税申报表的个人,出售作为「资本资产」(即出于投资目的)持有的加密货币的收益或损失应当在 (i) IRS 表格 1040 的附表 D 中,以及 (ii) IRS 表格 8949(资本资产的销售和其他处置)中报告,个人作为资本资产持有超过一年的加密货币的任何已实现收益均需缴纳资本利得税;个人作为资本资产持有一年或更短时间的加密货币的任何已实现收益均需缴纳普通所得税。
b. 金融犯罪执法局(FinCEN)
金融犯罪执法局(FinCEN)是一个政府机构,由美国财政部在美国国内和国际运作,由执法机构、监管机构和金融服务机构三大主体组成。
主要关注要点包括:
- 防止和惩罚洗钱及相关金融犯罪;
- 通过研究金融机构的强制性披露信息,追踪可疑人员和活动;
整体上来说,FinCEN 目前主要涉及的范围还是在交易所领域,在美国开设交易所业务、或者类似加密 Treasury 业务需要更多关注该部门的监管指南。《银行保密法》(「BSA」)中的反洗钱法是最为重要的一环,特别是涉及到资金的跨国转移等,包括稳定币之间、不同加密货币间、稳定币与法币之间的兑换。此外,作为无许可去中心化,专注于交换资产、借贷和创造合成资产的 DeFi 产品也在可预见的未来将会成为监管的重中之重。
c. 海外资产控制办公室(OFAC)
OFAC,即美国财政部海外资产控制办公室,它的使命在于管理和执行所有基于美国国家安全和对外政策的经济和贸易制裁,包括对一切恐怖主义、跨国毒品和麻醉品交易、大规模杀伤性武器扩散行为进行金融领域的制裁。OFAC 经特别立法授权可对美国境内的所有外国资产进行控制和冻结,同时负责在对外经济和贸易制裁事宜上,与美国的欧洲盟国进行紧密合作。它的主要管辖范围在跨国、恐怖主义等领域,也是本次 Tornardo Cash 制裁事件的主角。
OFAC 关注影响美国国家安全的非法金融活动,一切可以潜在被这些犯罪领域份子利用的协议、网络、应用都将长期受到其关注。OFAC 的制裁清单 SDN(美国特别制定国民名单)是非常强的监管工具,如果受到制裁后果很严重。对于众多 DeFi 产品来说,OFAC 所出具的监管指导应当是首先需要研究遵守的合规文件。
美国下达首次针对智能合约的制裁 – Tornado Cash
2022 年 8 月 8 日,美国财政部的 OFAC 的官网显示,将部分与 Tornado Cash 协议或与之相关的以太坊地址进行交互的地址,放入 SDN List 进行制裁,这是历史上第一次链上智能合约被 OFAC 直接制裁。
这次制裁与今年 OFAC 早些制裁 Blender.io 不同,制裁 Tornado Cash 并不算是制裁「实体」。制裁 Blender 时,OFAC 详细列出了 Blender 有关的几个网站和几十个比特币钱包地址,且 Blender 是一个中心化的实体。但是 Tornado Cash 并不是一个中央化的混币器,所以这让 OFAC 制裁「非实体」的权力来源可被推敲,也使得制裁 Tornado Cash 这样的去中心化智能合约非常困难。制裁之后,美国公民将无法使用 Tornado Cash。
图片来源:U.S. DEPARTMENT OF THE TREASURY
2.1 Tornado Cash 受 OFAC 制裁的缘由
根据美国财政部官网披露的制裁原因显示,Tornado Cash 自 2019 年创建以来已被用于清洗价值超过 70 亿美元的加密货币。其中包括超过 4.55 亿美元被朝鲜民主主义人民共和国(DPRK)国家支持的黑客组织 Lazarus Group 窃取,该组织于 2019 年被美国制裁,这是迄今为止已知的最大的加密货币抢劫案。Tornado Cash 随后被用于清洗来自 2022 年 6 月 24 日 Harmony Bridge Heist 的超过 9600 万美元的恶意网络参与者资金,以及来自 2022 年 8 月 2 日 Nomad Heist 的至少 780 万美元的资金。
OFAC 在官网披露中认为:Tornado Cash(Tornado)是一种在以太坊区块链上运行的加密货币混合器,通过混淆其来源、目的地和交易对手,不加选择地促进匿名交易,而无需确定其来源。Tornado 接收各种交易并将它们混合在一起,然后再将它们传输给各自的接收者。虽然据称目的是增加隐私,但像 Tornado 这样的混合器通常被非法行为者用来洗钱,尤其是那些在重大抢劫中被盗的资金。Tornado 被指认为非法网络活动提供实质性协助,可能对美国的国家安全、经济健康或金融稳定造成重大威胁,因此受到 OFAC 的制裁。
2.2 Tornado Cash 所受到的影响
截止目前,Tornado 受到的影响主要有两部分:
- 与 Tornado Cash 有交互被列入 SDN 的部分以太坊及 USDC 地址及 USDC 资产
- Tornado Cash 的 Github 代码库及前端官网已经限制访问
根据 OFAC 制裁规定,SDN 清单主体在美财产会被冻结,任何美国人(包括美国公民、美国绿卡、依美国法律登记设立的机构或法人以及位于美国境内的人等)不得与其交易,这也意味着 SDN 主体将无法进行美元清算与交易。即「美国人」都会禁止与之发生关系,不然除了罚款可能甚至要负刑事责任。
对于被列入 SDN 的以太坊及 USDC 地址而言,根据 OFAC 制裁结果,制裁发出后 USDC 发行商 Circle 正式将美国财政部制裁名单中的以太坊地址列入黑名单。 Uniswap 屏蔽了 253 个与被盗资金或制裁有关的加密地址,借贷协议 Aave 同样屏蔽了众多与 Tornado Cash 有过交互转账的地址。( 美国财政部官网披露的受制裁地址 SDN List Cyber-related Designation:https://home.treasury.gov/policy-issues/financial-sanctions/recent-actions/20220808)
而对于 Tornado 本身来说,这次制裁导致访问 Tornado Cash 被限制,而用户不仅不能登上 Tornado Cash 官网,并且像 Infura 和 Alchemy 这样的第三方节点运营商,也将停止支持 Tornado Cash 的相关服务。此外,最为广泛使用的以太坊钱包 MetaMask 的用户,现在也被禁止与 Tornado Cash 互动(因为 MetaMask 依赖 Infura 与以太坊互动,仍然想使用 Tornado Cash 的用户除非自己手动设置 MetaMask 的节点配置,不用 Infura,才能保证 MetaMask 可以和 Tornado Cash 交互),严重限制了 Tornado Cash 用户数量。
对于 Tornado Cash 的制裁,虽然影响了大量用户对协议的访问、代码的协作开发以及部分协议功能,例如 Distributed Relayer Network。会使得普通用户更加难以参与上述这些活动。但是,由于 Tornado Cash 是部署在以太坊(无法篡改区块链)上的去中心化应用程序,该应用程序本身将继续在网络上不受影响地运行,并且几乎无法停止运行。
2.3 Tornado Cash 制裁本身的程序性合规争议
正由于 Tornado Cash 去中心化的本质,所以 OFAC 列出制裁的加密货币钱包也不能表明这些被制裁的钱包背后有实体、法人、自然人可以被制裁,因为安装在以太坊智能合约上的钱包,可以不被人控制,自动根据代码进行混币。并没有证据表明,部署了 Tornado Cash 的自然人或者法人团队现在还对该程序进行控制。在 Tornado Cash 的逻辑里,混币的用户可以来自五湖四海,但并没有中心审查团队或者机制去甄别这些客户,但这并不一定是有人故意为之,而是系统与算法自动进行去中心化的匹配和处理。在这种情况下,有律师认为 OFAC 是否可以将一个自动协议列入 SDN,该情况是否违宪?
如果被制裁的 Tornado Cash 是一个实体,实体如果认为 OFAC 制裁不公,是可以通过法律手段进行申辩并且在联邦法院提起诉讼。由于诉讼只有实体可以提出,所以请愿移出 SDN 名单也只有实体才可以做到,那么制裁没有中心的实体是不是不公平?同时,制裁相关钱包并无法改变该自动算法自动进行交易的行为,那制裁是否违背了 OFAC 的初衷,即促使某组织或个人改变行为。
加密货币智库 Coin Center 认为 OFAC 制裁 Tornado Cash 的行为超出了该组织的权限,由于制裁并未推动在「实体」上,同时不能有效改变行为。最后它并不在 IEEPA(《国际紧急经济权利法》)规定的对「财产」封锁的范畴内,且没有提供美国宪法规定的程序性正当程序要求,所以 OFAC 此行为超出其本身的行政权力。
在荷兰政府羁押了 Tornado Cash 创始人 Alex Pertsev 之后,8 月 20 日有超过 50 人的集会在阿姆斯丹游行抗议该羁押,要求释放 Alek Pertsev。目前,对 OFAC 这次制裁存疑的律师在组织力量和 OFAC 联系并试图在法律层面推动抗议与诉讼。
海外资产控制办公室(OFAC)概述
3.1 OFAC 由来
海外资产控制办公室(the Office of Foreign Assets Control,简称 OFAC)成立于 1950 年,是美国财政部下属的一个机构,主要对反对美国利益的外国人和组织进行经济或者贸易制裁,权力很大、名声相对较小,制裁效果明显,往往上了 OFAC 名单会给被制裁的目标带来深远的影响。
OFAC 的创立来源于国会于 1977 年通过的一项法案 -《国际紧急经济权力法》(简称 IEEPA),该法案首先要遵守美国宪法,所以行使法案相关权力的行为也要符合美国宪法。IEEPA 给予总统(国家行政机构)宣布国家紧急状态的权力,从而阻止受美国管辖的人和组织进行任何涉及外国势力损害美国利益的活动。IEEPA 给予了 OFAC 封锁财产的权力,其核心是「财产」。911 之后,为了从财务上更好地打击恐怖组织,当时的美国总统布什推进国会通过了另一项法案《美国爱国者法案》,实质上将 IEEPA 拟定的行政权扩大了,并给予了 OFAC 很大的权力。该法案允许 OFAC 封锁「调查中(Pendency of an Investigation)」的财产,并不必为此提出解释或提供确凿的证据。
OFAC 的使命在于管理和执行所有基于美国国家安全和对外政策的经济和贸易制裁,包括对一切恐怖主义、跨国毒品和麻醉品交易、大规模杀伤性武器扩散行为进行金融领域的制裁,目前的 OFAC 仍然是美国最重要的针对特定国家、地区和人员进行的经济和贸易制裁的政府部门。近年来,随着世界性的反贪腐、反洗钱运动的深入,OFAC 的政策和指令,已经成为世界金融业,尤其是美国和与美国金融业有密切联系的金融机构无法忽略的经营原则。
3.2 OFAC 主要处罚类型
在 OFAC 开始将制裁的大棒挥向加密货币和区块链行业之前,OFAC 的传统制裁对象一般是意识形态上挑战美国的与主权国家相关的个人与组织。2021 年 10 月,OFAC 发布了针对加密货币的合规引导(Sanctions Compliance Guide for the Virtual Currency Industry),里面重申了 OFAC 的制裁类型,一共是四类:
i) 广泛商贸制裁和封锁,目前主要针对伊朗、朝鲜、古巴、叙利亚、克里米亚地区;
ii) 针对政府或者政权的制裁;
iii) 清单制(目前有许多加密货币行业的制裁走的是清单制,包括本次的 Tornado Cash 制裁);
iv) 行业制,针对某些外国的某特定产业;
3.3 受到 OFAC 处罚的主要原因
根据美国财政部出具的《A Framework for OFAC Compliance Commitments》,受到 OFAC 处罚的原因值得加密企业注意的有以下五点:
A. 缺乏正式的 OFAC Sanctions Compliance Program(SCP)
OFAC 不强制需要企业具备正式的 Sanctions Compliance Program(SCP),但是 OFAC 鼓励受美国管辖的组织,尤其是那些从事国际贸易的组织,或交易或拥有位于美国境外的任何客户或对手方采用正式的 SCP。 从 OFAC 已经敲定的多项民事罚款中可以看出,没有 SCP 是在 OFAC 调查过程中发现的违反制裁的主要原因之一。此外,OFAC 在进行制裁判断时,经常将此因素确定为加重因素。
B. 与受制裁的非美国人员进行交易(包括通过海外子公司或关联公司)
受美国管辖的组织 – 特别是那些在美国境外拥有海外业务和子公司的组织 – 通过将商业机会转交给海外子公司与非美国地点受 OFAC 制裁的国家、地区或个人进行交易,从事了违反 OFAC 规定的交易或活动。
C. 制裁筛选软件未更新或过滤器故障
许多组织对其客户、供应链、中介机构、交易对手、商业和财务文件以及交易进行筛选,以识别并避免与 OFAC 所制裁的地区、当事人进行交易。有时,组织未能更新其制裁筛选软件以将更新的制裁名单实体纳入其组织内部的 SDN 列表或 SSI 列表。
D. 对客户的不当尽职调查
有效的 OFAC 风险评估和 SCP 的基本组成部分之一是对组织的客户、供应链、中介机构和交易对手进行尽职调查。 OFAC 采取的各种制裁行动涉及原因包括组织对其客户的不适当或不完整的尽职调查,例如他们的实控主体、地理位置、关联方和交易本身,以及他们对 OFAC 制裁的了解和认识。
E. 个人责任
在一些情况下,个别员工 – 尤其是在监督、管理或行政级别的职位,在导致或促成违反 OFAC 管理的法规方面成为了主要原因。具体而言,在其中一些案例中,外国实体的员工还努力向公司组织内的其他人(包括合规人员)以及监管机构或执法部门隐瞒和隐瞒他们的活动。在这种情况下,OFAC 将考虑使用其执法机构不仅针对违规实体,还针对个人。
3.4 OFAC 处罚所带来的影响
不遵守 OFAC 制裁要求可能会对美国制裁计划及其相关政策目标的完整性和有效性造成重大损害。因此,对违规行为的民事和刑事处罚可能很重,具体的处罚行为会因制裁计划而异。
加密企业的合规策略怎么做
自 BTC 诞生以来,Crypto 行业的相关犯罪就集中在金融领域,其中以近年来发展迅速的 DeFi 犹甚。相较于其他种类犯罪,经济金融领域犯罪往往波及人群范围广,涉及金额巨大(如本次受制裁的 Tornado Cash 所涉金额就数以亿计),因此也是各国监管机构最主要关注的领域和监管抓手。
相较于 DeFi,其他领域的 Crypto 合规市场需求则相对较小或已经有较为成熟的标准化流程。比如像 BAYC/Clonex 等蓝筹 NFT IP 侵权问题,即使侵权方未经允许使用前述 IP 形象以盈利为目的进行商业经营,IP 持有人在耗费时间金钱成本后也往往只是让对方撤下 IP 形象,难以获得高额赔偿。且由于 NFT 本身去中心化及全球化的特性,跨境执行也会成为难点。此外,实践上另一个符合监管合规市场需求较多的就是交易所牌照的事,这个领域已经有比较成熟的标准化流程,市场中也以有许多中介机构可以做该领域业务,这里不做过多探讨。因此,本文主要是针对 DeFi 领域,并结合实践中存在的监管处罚从项目方角度进行合规策略探讨。
4.1首先,DeFi 项目在合规方面可以分为两个层面:(1) 智能合约本身;(2) 提供各类前端服务的项目公司。
一个 DeFi 项目的组成,除了本身去中心化自动运行的智能合约以外,还需要一些人力的支持从而方便用户使用。比如 Uniswap,其不仅通过智能合约实现去中心化交易所的属性功能,还需要 Uniswap Labs 来雇佣工作人员运行如前端网站或使用 Twitter 进行市场推广营销。对于 Uniswap Labs 而言,其面临的合规要求也更贴近一家普通的公司。
A. 智能合约本身
正如前述章节「Tornado Cash 制裁本身的程序性合规争议」所谈到,对于智能合约本身,目前的法律框架并未将其视为一种法律实体,其本身是否能够成为被制裁的对象存在争议。从实践的角度看,OFAC 通过间接方式,如禁止其他机构或个人与该受制裁智能合约进行交互的方式来实施制裁。目前来看,此种方式还是可以对该智能合约用户产生较大影响。
图片来源:TRM Labs
B. 提供各类前端服务的项目公司
作为智能合约背后提供前端服务的公司,其受到制裁的影响会更加直接。如 Tornado Cash 受到制裁后,其本身的前端网站就无法正常连接 Metamask 钱包进行使用,其 Twitter 账号也暂停更新,Github 代码库也受到了限制访问。
对于项目公司而言,其作为一个法律实体提供 DeFi 相关的金融服务,应当按照当地法律法规完成相关要求,如运营牌照的申请注册或互联网信息服务合规要求。
4.2 内部合规设置 – Sanctions Compliance Program(SCP)
对于前述 DeFi 合规两个层面的认识,作为项目方还是可以通过项目公司内部安排来满足监管的合规要求。根据美国财政部 OFAC 于 2021 年 10 月出具的《Sanctions Compliance Guidance for the Virtual Currency Industry》,DeFi 项目方可以在内部合规方面安排以下五个部分:
A. 管理层承诺(Management Commitment)
高级管理层对公司制裁合规计划的严格遵守执行是决定该计划成功的最重要因素之一,高级管理层的支持对于确保制裁合规工作获得足够的资源并完全融入公司的日常运营至关重要。来自高层的适当语气也有助于使计划合法化,赋予公司制裁合规人员权力,并在整个公司培养合规文化。
管理层对公司基于风险的制裁合规计划的严格遵守执行的重要性在加密货币行业与在任何其他行业都是一样的。在许多情况下,OFAC 观察到加密货币行业的成员在开始运营数月甚至数年后才开始遵守 OFAC 制裁政策和程序。延迟制裁合规计划的制定和实施可能会使加密货币公司面临各种潜在的制裁风险。
从实践操作上而言,项目方的高级管理层可以考虑采取以下步骤来证明他们对制裁合规的支持:
- 审查和批准制裁合规政策和程序
- 确保充足的资源(包括人力资本、专业知识、信息技术和其他资源)支持合规职能
- 向合规部门授予足够的自主权和权力
- 任命至少一名具备必要技术专长的专职制裁合规官,这些人员具备在 OFAC 的法规、流程和行动方面的技术知识和专长;这些人员了解复杂的金融和商业活动、将他们对 OFAC 的了解应用于这些项目并具备识别与 OFAC 相关的问题、风险和禁止活动的能力
B. 风险评估(Risk Assessment)
制裁风险如果忽视或处理不当,可能导致违反 OFAC 法规和随后的执法行动,损害美国外交政策和国家安全利益,并对公司声誉和业务产生负面影响。OFAC 建议制定制裁合规计划的加密货币行业的公司进行例行并在适当的情况下持续进行风险评估,以避免公司可能遇到的制裁问题。
虽然没有「一刀切」的风险评估方式,但通常应包括对公司的全面审查,以评估公司与 OFAC 制裁的个人、国家或地区存在接触的潜在风险。通过定期进行的风险评估,项目方可以实时调整内部合规筛选标准从而满足最新的监管要求。
案例:诊断有风险的关系
2021 年,OFAC 与一家美国加密货币支付服务提供商签订了一项和解协议,以处理该公司客户与位于受制裁司法管辖区的个人之间的虚拟货币交易。虽然该公司的制裁合规控制包括筛选其直接客户(美国和其他地方的 to B 商家)是否与制裁有潜在联系,但该公司未能筛选出有关使用其支付处理平台并从平台商家购买产品的个人制裁信息。具体来说,在进行交易之前,公司会收到一些买家的信息,例如姓名、地址、电话号码、电子邮件地址,有时还包括互联网协议(IP)地址。包括了解谁在访问公司的平台或服务在内的全面的风险评估可以帮助项目方确定为其每项产品和服务设置的适当筛选标准。
C. 内部控制(Internal Controls)
有效的制裁合规计划将包括旨在解决公司风险评估中确定的风险的政策和程序。这些可能包括对 OFAC 实施的制裁禁止的交易或活动进行识别、阻止、升级、报告(如适用)和维护记录。有效的制裁合规计划将使公司能够对客户、业务合作伙伴和交易进行充分的尽职调查,并识别「危险信号」。危险信号表明可能正在发生非法活动或合规性障碍,促使公司进行调查并采取适当的行动。公司应执行政策和程序,并找出弱点(包括通过对任何违规行为的根本原因分析)并进行补救以防止可能违反制裁的活动。
在 Crypto 行业,公司实施内部控制将取决于公司提供的产品和服务、公司运营地点、用户位置以及公司在风险评估过程中识别出的特定制裁风险。虽然 OFAC 不要求加密货币行业使用任何特定的内部或第三方软件,但这些对于有效的制裁合规计划来说可能是有用的工具。
案例:双重审查
加密货币行业成员面临的一项制裁风险来自位于受制裁司法管辖区的用户使用其产品和服务。2020 年,一家在国际上提供数字资产托管、交易和融资服务的美国公司与 OFAC 签订了一项和解协议,原因是公司给位于受制裁司法管辖区的个人处理加密货币交易。尽管该公司出于安全目的在用户登录时跟踪其用户的 IP 地址,但该公司并未使用其收集的 IP 地址信息来筛选和防止潜在的制裁违规行为。因此,尽管当时乌克兰、古巴、伊朗、苏丹和叙利亚的克里米亚地区的作为司法管辖区受到制裁,该公司未能禁止上述地区的个人使用其非托管安全数字钱包管理服务,实施内部控制以筛选可用数据并阻止涉及某些 IP 地址的活动可以防止违反制裁。
OFAC 建议项目公司采用以下方案来加强内部控制,作为有效制裁合规计划的一部分:
a) Know Your Customer (KYC) Procedures
了解您的客户(KYC)程序 – 在与客户接触初期并在客户关系的整个周期中获取有关客户的信息,并针对这些信息进行充分的尽职调查,以减轻潜在的制裁相关风险。此信息可用于制裁筛选过程,以防止违规行为。例如,信息收集可能包括合作初期、定期审查和处理客户交易时的以下要素:
个人:法定姓名、出生日期、实际地址和电子邮件地址、国籍、与交易和登录相关的 IP 地址、银行信息以及政府身份证明和居住文件。
实体:实体名称(包括商业和法定名称)、业务范围、所有权信息、物理地址和电子邮件地址、位置信息、与交易和登录相关的 IP 地址、有关实体开展业务的信息、银行信息和任何相关政府文件。
高风险客户可能需要额外的尽职调查。例如,这可能包括检查客户交易历史,以了解与受制裁司法管辖区的联系或与已与受制裁行为者相关联的加密货币地址的交易。此外,根据现有反洗钱(AML)义务收集的信息(如适用)也可能有助于评估和减轻制裁风险。
b) 制裁筛选(Sanctions Screening)
制裁筛选可能是 Crypto 公司内部控制的最重要组成部分,可能包括地理位置、客户识别、交易筛选等。Crypto 公司应考虑在其制裁合规计划中实施以下内容:
- 根据 OFAC 管理的制裁名单(包括 SDN 名单)筛选客户信息
- 筛选交易以识别与受制裁人员或司法管辖区存在关联的地址,包括物理、数字钱包和 IP 地址,以及其他相关信息
- 利用筛选工具的模糊逻辑功能来检索出常见的名称变化和拼写错误,例如:与受制裁的司法管辖区相关的拼写错误或替代拼写(例如,「Yalta, Krimea」)OFAC 制裁名单上所列人员姓名的大小写、空格或标点符号的变化(例如,「Krayinvestbank」可能出现在 SDN 名单上,但「Krajinvestbank」或「Kray Invest Bank」可能出现在 Crypto 公司的交易信息中)
- 持续的制裁筛选和基于风险的重复筛选以检索出变更的客户信息、更新的 OFAC 制裁名单或监管要求的变化
c) 识别风险指标或危险信号
风险指标或危险信号:除了 KYC 信息识别与制裁筛选外,Crypto 公司还应考虑监控交易和用户来发现风险,以及可能表明制裁关系的「危险信号」。风险指标的示例可能包含以下个人或实体行为:
- 尝试开户时提供不准确或不完整的客户身份或 KYC 信息
- 通过与受制裁司法管辖区有关联的 IP 地址或 VPN 访问加密货币交易所
- 没有回应或拒绝提供更新的客户身份或 KYC 信息
- 对 Crypto 公司的要求没有回应或拒绝提供额外的交易信息
- 尝试使用与受制裁的个人或司法管辖区相关的加密货币地址进行交易
此外,在适当情况下,表明洗钱或其他非法金融活动的「危险信号」也可能表明潜在的逃避制裁情形
d) 交易监控和调查
交易监控和调查软件可用于识别在 SDN 上列出的与受制裁个人和实体有关联的,或位于在受制裁的司法管辖区的加密货币地址。这种内部控制有助于使项目公司能够防止资产转移到与受制裁者相关的地址并避免违反美国制裁。Crypto 行业的人士还可以使用交易监控和调查工具来持续审查此类地址的历史信息或其他识别信息,以更好地了解他们面临的制裁风险并识别制裁合规计划的缺陷。
2018 年,OFAC 开始将某些已知的加密货币地址作为 SDN 名单上所列人员的识别信息。这些加密货币地址可以使用 OFAC 制裁列表搜索工具中的「ID#」字段进行搜索。作为合规实践方式,在加密货币行业运营的公司应使用类此交易监控和调查软件,从而识别 SDN 名单内的加密货币地址及被制裁人员。此外,OFAC 将加密货币地址纳入 SDN 名单可能有助于行业识别可能与被制裁方相关或以其他方式构成制裁风险的其他加密货币地址,即使这些其他地址并未明确列在 SDN 名单中。
e) 可采取的补救措施
作为对 OFAC 执法行动的回应,项目公司可采取行动纠正其明显违规原因,找出其内部控制的弱点,并实施新的控制以防止未来的违规行为。
其中一些补救措施包括:
- 对受制裁的司法管辖区实施 IP 地址封锁和电子邮件相关限制
- 创建一个受制裁辖区城市和地区的关键字列表,用于筛选 KYC 信息
- 审查和更新最终用户协议以包括有关美国制裁所要求的信息
- 对所有用户进行追溯批量筛选
- 为所有员工实施与 OFAC 相关的培训计划
- 对与合规工作相关人员进行额外的制裁合规培训
- 雇佣额外的合规人员和专门的主管或制裁合规官
D. 测试与审计(Testing and Auditing)
确保制裁合规计划按预期实行的最佳方法是测试该计划的有效性。在其制裁合规计划中纳入全面、独立和客观的测试或审计职能的公司可以了解其计划的执行情况,以及需要更新、增强或重新校准哪些方面以应对风险评估或制裁环境变化。
依据公司的规模和成熟度可以决定是否对其制裁合规计划进行内部或外部审计。加密货币行业制裁合规计划中测试和审计程序的一些方式包括:
- 制裁名单筛选 – 确保对 SDN 名单和其他制裁名单的筛选有效运作,并适当标记交易以供进一步审查
- 关键字筛选 – 确保筛选工具适当标记与 KYC 相关的筛选或其他筛选相关的关键字
- IP 封锁 – 确保 IP 地址软件正确地阻止用户从受制裁的司法管辖区访问其产品和服务
- 调查和报告 – 对在筛选过程中确定为具有潜在制裁关系的交易进行调查的审查程序(例如:涉及被制裁人员或与受制裁管辖区相关的交易),以及向 OFAC 报告被封锁财产或被拒绝交易的程序
E. 合规培训(Training)
最后,项目公司应当为其内部员工制定制裁合规计划方面的培训。公司培训的范围将取决于公司的规模、复杂程度和风险状况,OFAC 培训应提供给所有适当的员工,包括合规、管理和客户服务人员,并应定期进行,并且至少每年一次。完善的 OFAC 培训计划将根据需要提供特定于工作的知识,传达给每位员工制裁合规方式,并通过使用评估制度让员工满足培训要求。此外,针对加密货币行业的不断变化与新兴技术,OFAC 培训也应不断进行更新调整。
结尾
在目前的加密市场不断扩张的大背景下,越来越多的合规要求成为了加密领域创业者无法忽视的话题。与此同时,许多传统基于合约安全审计的公司,如 Certik 也开始推出合规方面的审计服务。在可预见的未来,不论是交易所还是 DeFi 公司等都会在合规市场呈现出不小的需求。
「Code is law.」尽管这句话在加密社区广为流传。但正如克雷格 · 赖特博士反复强调的那样,「代码不是法律,政府不会长期容忍有人试图绕过他们的法律」。
参考文章:
《加密法律专家激辩 WEB3 监管:要合规还是去中心化?》
《美国政府制裁 Tornado Cash 后,我们如何更好地应对审查威胁?》
《万字长文:美国加密货币监管史进击的虚拟货币监管和摩擦》
《从美国监管角度看,为什么 Tornado Cash 会迎来制裁及后续猜想》
《美财长耶伦演讲全文:以美元地位为核心看待数字资产监管》
《TRM Labs:DeFi 平台如何应对 Tornado Cash 制裁》
《全面解读:美国财政部制裁 Tornado Cash 带来的影响》
《OFAC 宣布制裁 Tornado Cash 的行业影响解读及风险合规方案》
《Tornado 被制裁将成为 DeFi 监管分水岭》
《Tornado Cash 被制裁,CertiK KYC 加入隐私之战》
《TRM Labs:帮 DeFi 项目拥护制裁行动的「侦探公司」》
《从法律视角解读 OFAC 制裁 Tornado Cash 是否合理合规?》
《资深加密律师:Tornado Cash 被制裁后新的监管挑战即将到来?Cryptocurrency Regulations Around The World》
《Appendix A to Part 501 Economics Sanction》
《美国监管相关整体框架及现有监管情况初步理解—Leo》
《君合法评丨浅谈全球稳定币监管》
《US Cryptocurrency Regulation: Policies, Regimes & More》
《How DeFi platforms are using data from TRM Labs to respond to Tornado Cash sanctions》
《U.S. Treasury Sanctions Notorious Virtual Currency Mixer Tornado Cash》
《Sanctions Compliance Guidance for the Virtual Currency Industry》
《A Framework for OFAC Compliance Commitments》
