加密货币中的 KYC 与 AML:它们是什么以及为何重要
本指南仅供信息参考,不构成法律或税务建议。加密货币监管因司法辖区而异,且经常变化。请咨询合格的专业人士,以获得适用于你具体情况的建议。
如果你曾在加密货币交易所创建过账户,你几乎肯定遇到过 KYC——即通过提交政府签发的身份证件、自拍、地址证明,有时还包括其他文件来验证身份的流程。KYC 属于更广泛的监管框架 AML(反洗钱)的一部分,其目标是防止金融系统被用于非法目的。
本指南将解释在加密货币语境下 KYC 和 AML 的含义、它们为何存在、如何运作、对隐私的影响,以及它们如何与区块链技术的独特属性相互作用。
什么是 KYC?
KYC 是 Know Your Customer(有时也称 Know Your Client)的缩写。它是一套由金融机构和其他受监管实体用于核验客户身份的程序。在加密领域,KYC 主要由以下主体执行:
- 中心化加密货币交易所(Coinbase、Binance、Kraken、Upbit 等)
- 代表用户托管资产的加密托管机构和钱包提供商
- 场外交易(OTC)柜台
- 加密支付处理商
- 以及任何被归类为虚拟资产服务提供商(VASP)的实体
KYC 流程
加密货币平台的典型 KYC 流程通常包括几个阶段:
第 1 级:基础验证
- 法定全名
- 出生日期
- 居住国家
- 邮箱和手机号验证
第 2 级:身份验证
- 政府签发的带照片身份证件(护照、驾驶证、国民身份证)
- 自拍或实时视频验证,以匹配证件照片
- 此步骤通常使用自动化身份验证服务,将证件与数据库交叉比对并进行生物特征匹配
第 3 级:强化尽职调查
- 地址证明(近 3 个月内的水电账单、银行对账单、税务文件)
- 资金来源文件(银行流水、就业证明、投资记录)
- 关于账户用途和预期交易模式的额外问卷
- 此级别通常由更高交易量、大额充值/提现或基于风险的触发条件启动
第 4 级:持续监控
- 持续监控可疑交易模式
- 定期重新验证身份与资金来源
- 对照制裁名单和政治公众人物(PEP)数据库进行筛查
交易所为何要求 KYC
交易所要求 KYC,是因为它们在法律上必须这么做。在几乎所有主要司法辖区中,加密交易所都被归类为金融服务提供商(美国为 MSB、FATF 标准下为 VASP、MiCA 下为 CASP),必须遵守与银行及其他金融机构相同的身份验证标准。
未能实施充分 KYC 程序可能导致:
- 运营牌照被吊销
- 重大经济处罚
- 负责人被刑事起诉
- 被银行体系排除在外(银行不会为不合规交易所提供服务)
什么是 AML?
AML 是 Anti-Money Laundering(反洗钱)的缩写。它指的是一整套法律、监管与流程框架,旨在防止犯罪分子将非法所得伪装为合法收入。
洗钱的三个阶段
要理解 AML 为什么存在,先要理解洗钱如何运作:
-
Placement(投放):将非法资金导入金融系统。在加密领域,这可能是通过点对点交易或风控薄弱的交易所,将犯罪活动所得现金兑换成加密货币。
-
Layering(分层):通过一系列交易转移资金以掩盖来源。在加密领域,这可能包括多钱包转账、混币服务、跨链跳转(在不同区块链间转移),或在不同加密货币之间转换。
-
Integration(整合):将已被掩盖来源的资金重新导入合法经济。这可能包括在受监管交易所卖出加密货币并提至银行账户,或用加密货币购买现实资产。
AML 监管旨在每个阶段打断这一过程,而 KYC 是其中的基础工具——受监管实体通过了解客户身份,可以识别可疑模式并向当局报告。
AML 在实践中如何落地:加密平台在做什么
受监管的加密平台通过多种机制实施 AML:
交易监控
- 自动化系统会标记符合可疑模式的交易(异常大额、资金快速流转、与高风险地址发生交易)。
- 区块链分析工具(来自 Chainalysis、Elliptic、TRM Labs 等公司)会追踪链上资金来源与去向,识别与已知非法地址的关联。
可疑活动报告
- 一旦检测到可疑活动,平台必须向本国金融情报机构提交可疑活动报告(SAR)(美国为 FinCEN、英国为 NCA、韩国为 KoFIU)。
- 此类报告是保密的——平台被禁止告知客户报告已提交(在多数司法辖区,“通风报信”属于违法)。
制裁筛查
- 所有客户和交易都会对照制裁名单筛查,包括 OFAC 的 SDN 名单(美国)、欧盟制裁名单和联合国安理会制裁名单。
- 链上被制裁地址会被识别,相关交易会被拦截。
基于风险的方法
- 并非所有客户风险都相同。AML 框架采用风险导向方法:对高风险客户(来自高风险司法辖区、政治公众人物、大额交易者)实施强化审查,对低风险客户采用简化流程。
FATF 与国际 AML 标准
Financial Action Task Force (FATF) 是制定 AML 标准的国际机构。FATF 由 G7 于 1989 年设立,其发布的建议预计将由 39 个成员司法辖区(以及通过 FATF 区域机构覆盖的 200 多个司法辖区)落实。
FATF 关于虚拟资产的指引
FATF 关于虚拟资产的指引最早发布于 2019 年,之后持续更新,确立了若干关键原则:
- 各国必须出于 AML/CFT 目的监管 VASP(虚拟资产服务提供商)。
- VASP 必须实施 KYC、交易监控与可疑活动报告。
- FATF 对 VASP 的定义涵盖交易所、托管机构及促进虚拟资产转移或管理的实体。
- 点对点交易(自托管钱包之间且无中介)不直接受 VASP 监管约束,但各国可自行决定是否纳入规制。
Travel Rule
FATF 的 Travel Rule(建议 16,适用于虚拟资产)是影响加密行业最重要的 AML 要求之一:
它要求什么:
对于超过指定门槛的虚拟资产转账(通常为 1,000 USD/EUR,但门槛因司法辖区而异),发起方 VASP 必须获取、留存并向接收方 VASP 传输以下信息:
| 信息 | 发起人 | 受益人 |
|---|---|---|
| 姓名 | 必需 | 必需 |
| 账户号码 / 钱包地址 | 必需 | 必需 |
| 住址、国民身份证号,或出生日期/地点 | 必需 | 不总是必需 |
实践中如何运作:
- 你从交易所 A 向交易所 B 发起转账。
- 交易所 A 收集你的身份信息,并与转账信息打包。
- 这些信息通过 travel rule 合规方案传输给交易所 B。
- 交易所 B 将该信息与自身 KYC 记录核验。
- 如果信息不匹配或缺失,转账可能被延迟或拒绝。
Travel Rule 解决方案:
为促进 VASP 之间的 travel rule 合规,业界开发了多种技术方案:
- TRISA (Travel Rule Information Sharing Architecture):用于 VASP 间安全加密信息交换的开源协议。
- VerifyVASP:主要用于韩国国内 travel rule 合规。
- OpenVASP:用于 travel rule 信息交换的开放协议。
- Sygna Bridge:企业级 travel rule 合规平台。
- Notabene:大型交易所使用的商业化 travel rule 平台。
不同司法辖区的门槛差异:
| Jurisdiction | Travel Rule Threshold |
|---|---|
| FATF Recommendation | 1,000 USD/EUR |
| United States | 3,000 USD |
| European Union | 0 EUR (MiCA applies to all transfers) |
| South Korea | 1,000,000 KRW (~750 USD) |
| Singapore | 1,500 SGD |
| Japan | No threshold (all transfers) |
与自托管钱包之间的转账
Travel Rule 在涉及自托管钱包(也称 “unhosted wallets” 或 “self-hosted wallets”)的转账中会带来特定挑战:
- 当客户从交易所提币到自己的自托管钱包时,不存在接收旅客信息的受益方 VASP。
- 各司法辖区处理方式不同:
- 欧盟(Transfer of Funds Regulation):对流向或来自自托管钱包且超过 1,000 EUR 的转账,VASP 必须验证客户确实拥有该钱包(通过签名消息或小额测试交易)。
- 美国(拟议的 FinCEN 规则):拟议但尚未完全实施的规则要求交易所对超过 $3,000、转往自托管钱包的转账收集受益人信息。
- 瑞士:FINMA 要求 VASP 对所有转账验证自托管钱包所有权。
对任何实践自托管的人来说,理解这些规则都很重要。有关自托管选项的更多内容,请参阅我们的钱包类型指南。
隐私考量
KYC 与 AML 要求,与许多加密用户重视的隐私和假名性之间存在根本张力。这种张力真实存在,值得被坦诚讨论。
支持 KYC/AML 的观点
- 预防犯罪:KYC/AML 要求显著提高了通过加密货币清洗犯罪所得、资助恐怖主义或规避制裁的难度。
- 市场完整性:了解市场参与者身份有助于发现和防止市场操纵、内幕交易与欺诈。
- 消费者保护:若你的交易所账户被入侵,KYC 记录有助于确认身份并协助恢复账户。
- 主流采用:机构投资者和传统金融机构在参与加密市场前需要监管合规。KYC/AML 合规是更广泛采用的前提。
- 法律保护:合规为合法用户提供了非受监管平台用户可能不具备的法律地位与保护。
反对 KYC/AML 的观点
- 隐私侵蚀:收集和存储海量个人数据会产生隐私风险,并集中化敏感信息。
- 数据泄露暴露面:收集 KYC 数据的交易所会成为黑客高价值目标。已有多家交易所发生泄露,导致客户身份文件外流。
- 金融排斥:KYC 要求可能把无政府证件者、无银行账户人群及民事登记体系失灵国家的个人排除在外——而这些人群正是加密货币部分初衷所希望服务的对象。
- 监管越界:批评者认为一刀切的 KYC/AML 把所有用户都当作潜在罪犯,实施的是大规模监控而非精准调查。
- 司法辖区不一致:同一笔交易在一个国家可能需要 KYC,在另一个国家却不需要,造成不公平竞争环境。
数据泄露的现实
KYC 数据泄露并非假设——在加密行业中已反复发生:
- 含有政府证件、自拍、地址证明与个人信息的交易所 KYC 数据库曾被攻破。
- 被盗 KYC 数据可用于身份盗窃、SIM 卡调包、定向钓鱼,甚至人身威胁(攻击者知道高价值加密持有者住在哪里)。
- KYC 数据一旦泄露,无法“撤回泄露”——损害是永久性的。
这凸显了以下做法的重要性:
- 只使用受监管、信誉良好且安全记录强的交易所。
- 尽量减少提交 KYC 数据的平台数量。
- 对长期持仓考虑自托管,降低交易所相关风险暴露。
无 KYC 的替代方式
虽然受监管交易所要求 KYC,但获取和使用加密货币的某些途径不需要(或历史上不需要)身份验证:
点对点(P2P)交易
- 个人之间直接交易,通常由 P2P 平台撮合。
- KYC 要求不一——一些 P2P 平台现在要求验证,另一些则不要求。
- 与交易所交易相比,欺诈风险更高。
- 即使没有 KYC,通常仍可能触发税务申报义务。
去中心化交易所(DEX)
- Uniswap、SushiSwap、dYdX 等 DEX 以智能合约形式运行,通常不执行 KYC。
- 你可直接从自托管钱包交易。
- 但你仍需先从某处获得初始加密资产,而法币与加密之间的兑换通常需要符合 KYC 的入金通道。
- 即使没有 KYC,DeFi 前端也可能屏蔽某些地址(如受制裁地址)。
Bitcoin ATM
- 一些 Bitcoin ATM 允许小额无 KYC 购买,但全球监管正在收紧。
- 在美国,BSA 规定 Bitcoin ATM 运营商须注册为 MSB 并实施 AML 计划,包括对超过一定门槛的交易执行 KYC。
- 在欧盟,修订后的 AML 指令取消了 ATM 匿名购买加密货币。
重要说明
即使你在无 KYC 情况下获得加密货币,税务申报义务通常依然适用。无 KYC 获取加密货币并不能豁免你向税务机关申报收益和收入的责任。
区块链分析如何运作
现代 AML 合规的关键组成部分之一是区块链分析——使用专门软件追踪资金在不同区块链上的流动:
分析公司在做什么
- 地址聚类:基于交易模式、共同输入及其他启发式规则,识别属于同一实体的一组地址。
- 实体识别:将链上地址映射到现实世界实体(交易所、暗网市场、诈骗团伙、受制裁实体)。
- 风险评分:根据地址交易历史及其与已知非法活动的关联,为地址分配风险分数。
- 交易追踪:跨多个跳转甚至跨不同区块链,追踪资金从来源到去向的路径。
区块链分析的局限性
- 隐私币:Monero (XMR) 与 Zcash (ZEC,在使用隐私交易时) 采用的密码学技术会显著增加追踪难度。
- 混币与搅拌:通过合并多用户交易来模糊轨迹。尽管大型混币服务已被取缔或制裁,新服务仍不断出现。
- 跨链桥:在不同区块链间转移资产会增加追踪复杂度,尤其是使用去中心化桥时。
- 闪电网络与 Layer 2:链下交易通常对区块链分析工具不可见。
- 误报:地址聚类与风险评分可能产生误报,导致合法用户账户被冻结。
这对用户意味着什么
即使你使用自托管钱包和 DEX,你的链上活动仍会留下永久、公开且可被分析的记录。当你最终与受监管实体交互(例如在交易所卖出加密货币)时,平台分析工具会追踪你的资金来源。若追溯到高风险来源,你的提现可能被延迟、被要求补充信息,或账户受到限制。
这也是为什么即便主要使用自托管和 DeFi,理解 AML 环境仍然重要。关于如何保障自托管配置安全,请参阅我们的助记词指南。
新兴趋势
用于合规的零知识证明
加密合规最有前景的发展之一,是使用零知识证明(ZKP)在不暴露个人数据的情况下满足监管要求:
- ZKP 可以证明用户身份已验证,而无需披露身份本身。
- Polygon ID 与 Worldcoin 等项目正在探索基于 ZKP 的去中心化身份验证。
- 监管机构已对隐私保护型合规表现出谨慎兴趣,但采用仍处于早期阶段。
去中心化身份(DID)
去中心化身份框架旨在让用户掌控自己的身份数据,同时仍可满足监管合规:
- 用户无需向每家交易所重复提交 KYC 文件,而是可从一个可信提供方获得可验证凭证,并向多个平台出示。
- 这可减少 KYC 数据扩散与泄露风险。
- W3C Verifiable Credentials 与 DID(Decentralized Identifiers)等标准正在发展,但大规模采用仍在形成中。
机构级合规
随着机构采用加密资产增长,合规基础设施已显著成熟:
- 集成在交易系统中的实时合规监控。
- 覆盖多个司法辖区的自动化监管报告。
- “合规即服务”平台使小型交易所无需从零搭建基础设施也能满足监管要求。
全球协同
加密 AML 的国际协同正在加深:
- OECD 的 CARF framework 正在为税务目的标准化信息共享。
- FATF 持续更新其虚拟资产指引并评估成员国合规情况。
- 双边和多边协议正在扩大跨境 AML 执法覆盖范围。
自托管可以显著降低你暴露于交易所相关数据泄露的风险,同时保留你的合规能力。SafeSeed 的助记词生成器完全在客户端生成具备加密安全性的 BIP-39 助记词,让你无需将私钥托付给任何第三方即可完全掌控资产。离线使用请参阅我们的离线使用指南。立即试用 SafeSeed。
常见问题(FAQ)
所有加密交易所都要求 KYC 吗?
所有受监管的中心化交易所都要求 KYC。这包括在美国、欧盟、英国、韩国、日本、新加坡和澳大利亚运营的所有主要交易所。一些较小或离岸交易所可能对小额交易仅要求有限 KYC 或不要求,但随着全球监管收紧,这类情况正变得越来越少。去中心化交易所(DEX)通常不要求 KYC,但前提是你已在自托管钱包中持有加密资产。
我需要提供哪些 KYC 信息?
至少,大多数交易所会要求你的全名、出生日期、居住国家、政府签发的带照片证件,以及自拍或实时视频。对于更高验证等级(可开启更高交易限额),你还可能需要提供地址证明和资金来源文件。具体要求因交易所和司法辖区而异。
可以在不做 KYC 的情况下使用加密货币吗?
你可以通过自托管钱包和去中心化交易所在不进行 KYC 的情况下使用加密货币。但获取加密货币本身(法币换币)以及换回法币通常仍需要与 KYC 合规服务交互。点对点交易和 Bitcoin ATM 可能提供有限选项,但也正受到越来越严格的监管。无论是否 KYC,你仍有责任向税务机关申报加密收入与收益。
我在交易所上的 KYC 数据安全吗?
交易所会采取安全措施保护 KYC 数据,但行业内确实发生过泄露。最佳保护方式是:减少提交 KYC 数据的平台数量,选择安全记录强的交易所,并把大额持仓转入自托管钱包而不是长期留在交易所。
KYC 和 AML 有什么区别?
KYC(Know Your Customer)是 AML(Anti-Money Laundering)的子集。KYC 特指身份验证流程;AML 是更广泛的框架,除 KYC 外还包括交易监控、可疑活动报告、制裁筛查等防范金融犯罪措施。KYC 是 AML 工具箱中的一个工具。
Travel Rule 如何影响交易所之间的转账?
当你在交易所之间转移超过门槛金额的加密资产时,双方交易所都必须共享你的身份信息(发送方和接收方)。这意味着双方都知道是谁发起转账、谁接收转账。如果信息不匹配或无法验证,转账可能被延迟或拒绝。不同司法辖区门槛不同,从零(欧盟、日本)到 $3,000(美国)不等。
区块链分析能追踪我的交易吗?
可以。对于大多数公有链(Bitcoin、Ethereum 等),专业分析公司能够追踪网络中的交易。他们可以识别地址间关联、将同一实体地址聚类,并依据交易历史进行风险评分。隐私币(Monero、Zcash)和某些技术(混币、CoinJoin)可以增加追踪难度,但对资源充足的调查者而言并不一定不可追踪。
KYC 要求会变得更严格吗?
总体趋势是加密领域的 KYC/AML 要求会更严格、更全面。欧盟 MiCA 将 travel rule 适用于所有转账(无最低门槛),而 OECD 的 CARF 框架将推动全球自动税务信息共享。不过,对隐私保护型合规方案(如零知识证明)的兴趣也在增长,这类方案有机会在满足监管要求的同时减少数据暴露。