Unsupported browser

For an optimal BusyWhale experience, please copy the link below and switch to a supported browser
Chrome ≥ 80
Firefox ≥ 74
Safari ≥ 13.4
Cover Image

虚拟资产交易狂潮中的AML和CTF风暴:KYC和eKYC是为了什么?

Advanced必读精华总结线上talk
Posted 2023-10-12

Refinitiv在传统金融和虚拟资产交易方面可以说是行业翘楚,已经有超过20年的做KYC的经验,在香港有非常多国际Top级的大型银行都是Refinitiv的客户,今天进行分享的嘉宾Robert本人也是这方面的专家。

概念科普

或许对于大多数散户投资人而言,只需要完成登记和开户两个步骤就可以开始在一个平台进行投资活动了,对于KYC是什么、代表什么并不太了解。所以我们先帮大家了解几个概念:KYC、eKYC、AML和CTF。

KYC

KYC即“Know Your Customer(了解你的客户)”,对于银行或金融机构而言,它们需要知道自己的客户是谁;更深入一点,还要做“Due Diligence(尽职调查)”,即调查客户的基本背景资料。

举个例子,在传统金融体系中,一个用户到银行开户,柜台或基金经理会要求用户提供一些身份证明的文件,包括身份证、护照、Address Proof(地址证明,如果用户有的话)等,把这些资料填表登记、输入电脑,再由后台团队核实用户身份、进行风险评估,这一系列操作完成,用户才可以真正地开户。

那么,银行/金融机构需要这些信息做什么?

实际上,KYC并不是银行/金融机构自己想掌握用户的个人信息,更多是源于监管的要求。而监管如此要求的最终目的在于“反洗黑钱”。所以在监管上有两个分叉:一是要明确申请牌照的机构是否是想利用自己的Business洗黑钱二是要知道是否有人通过该机构洗黑钱。所以KYC其实并不是简单的要掌握某人的名字、出生地等个人信息,而是要知道该用户是否曾参与过洗黑钱、是否与有洗黑钱嫌疑的人有任何关系,这才是KYC最关键的目的,也是监管最看重的部分。

因此,监管会了解机构对客户做KYC时的过程:机构怎么拿到客户的资料,拿到之后如何运用、如何知道客户的背景?比如某客户是否在制裁名单上、是否是政治人物,这些问题如果直接询问客户,客户可能会说谎,因此在这方面有时候需要第三方独立的数据库。机构会在拿到客户资料后,在数据库中进行比对。

但由于人口基数大、同名同音等问题,在数据库中搜索某个名字可能会有很多个人与之对应,于是如何确定具体是哪个人,就需要做KYC中最重要的一个部分——Due Diligence(尽职调查)。所以KYC并不是简单的“拿到资料”的过程,拿到资料之后还需要中后台团队进行很多审查的工作,这才是持牌机构决定是否接受一个客户上来交易的第一步,也是最重要的一步。

eKYC

简单来讲,“e”就是“Electronic/Alumantic”(数码化)的一种渠道。

传统的KYC需要客户本人到场进行。如果客户想在某平台进行一项投资,而光是KYC就需要3、4天甚至5天的时间,待一切完成,可能已经错过了投资的机会。这对于客户来说是一个很高的时间成本,客户自然不愿意花长时间等待平台完成KYC,因此这会让平台流失很多客户。

平台(或者说机构)是渴望获取更多的客户和利润的,同时KYC对于机构而言也会耗费很多成本。因此为了减少成本和让客户能尽快开户并使用自己的服务,出现了一个新的渠道——eKYC(Electronic Know Your Customer)

eKYC不需要客户本人到现场进行,仅仅需要一个手机就可以完成。用户通过下载的APP提交KYC所需的资料,然后机构利用AI对所有资料进行审核和验证。首先会认证身份证/护照是不是真实的,因为有可能出现黑客盗用某些数据库中的客户资料,然后利用这些身份到不同的平台开户、洗钱的情况。第二就是要认证是不是该客户本人在进行开户,比如我们常见的要求客户打开摄像头“眨眨眼/张嘴”,除此之外,还有一些新的技术在支持这类验证,如通过镜头计算照片拍摄者本人与其身后背景的距离,以此确定该照片是否是客户实拍的。

AML

AML即“Anti-money laundering(反洗钱)”。为了防止某些客户通过银行/机构洗他们从不法渠道获得的钱,监管的法规会要求银行明确客户每一笔资金的来源,若资金来源不明,银行有理由拒收,或是直接报告给监管介入审查。而与其在客户每一笔钱入账时都要审查一次来源,不如在客户开户时就查清其是做什么的、是否有获取不法收入的经历以及是否有类似的关系网。

在进行AML审查的过程中,一个客户是否在制裁名单中(即曾有类似经历)或是否是政治人物(即可能贪污受贿),往往是审查的重点。但值得一提的是,仅仅不在制裁名单中或不是政治人物是不够的,机构往往还会详细审查客户是否是制裁人员/政治人物的近亲,因为被审查人员/政治人物也可能利用近亲的身份开户洗钱。

CTF

CTF即“Counter-terrorism financing(反恐融资)”。CTF主要是在“反恐”的一方面,银行/机构不希望给恐怖组织、恐怖事件提供到经济上的援助,因此恐怖组织的成员、与恐怖组织相关的人/机构、或是曾与某些恐怖袭击等事件有所关联的人/机构,都会在制裁名单上。

那么这种恐怖分子相关的数据是从哪里得到的?

其实在这方面没有一个官方的定义,世界上有很多不同的机构会出一些制裁的名单,每个国家也会出自己的制裁名单,另外更多的名单会来自一些执法部门(FBI、国际刑警、国家的公安部门等)的通缉犯等,再加上从一些媒体报道等公开的渠道收集到类似的资料,以上种种整合在一起,才会形成一个反恐的数据库。并且,这样的收集和整合的工作是无法被AI所取代的,因为AI虽然可以很快速的收集,但准确率并不够高,如可能会将电影中的人物识别进数据库。所以这项工作只能由有经验的人员人工完成。

由此可见,要建立这样的一个数据库其实是很不容易的,更别提当中的数据还要不断地更新。

Web3世界中怎么做KYC、eKYC呢?

可能有很多Web3的用户并不是很清楚什么是KYC,清楚的用户又会觉得KYC是对Web3世界去中心化的一种亵渎。那么,究竟Web3世界需不需要KYC?如果需要,旧有的KYC手段是否能适用于Web3的交易?

后退一步来看,Web3的生成和发展是非常快的,我们不妨想象一下,以前金融行业(包括所有的生态)其实都是这样的一种流程:一开始没有任何法规、没有任何人在做这个事情的时候,人们发现有利可图,于是所有人都蜂拥进去做这个事情(类比BitCoin价格上到6万块的时候);第二就是人们发现在这里没有KYC,如果真的有一些资金不知道怎么把它洗干净的话,可以利用这种方法,这也会吸引很多人进到crypto中。

但是慢慢的随着生态发展到一定程度以后,就会出现一些Bad Apples,比如JPEX这样的公司。所以从监管的角度来看,当这个生态发展到了某一种地步时,他们必须要站出来去监管这个行业。

以JPEX为例,实际上Web3原生的用户们都知道这是一个黑料满满的交易所,但很多Web3的“小白用户”并不能识别这样的骗局。他们看到所谓高额的收益,抱着赚钱的想法将钱投入其中,最后承受了巨大的损失。事实也证明,JPEX案件的绝大部分苦主都是这样的用户,而并非了解Web3的用户。

总结来说,Web3发展过程也是一样的:一开始没有任何监管的时候涌入了大量的用户,发展到一定程度时肯定会出现一些Bad Apples,一些缺乏认知的普罗大众就会因此亏钱,此时就需要有监管的介入,避免这样的事情再发生。

所以当任何一个赛道从“野蛮生长”向“文明有序”的阶段发展的时候,一个合法、被认可的身份都是很重要的一个过程。一个行业想要吸引更多的用户(特别是想让大家去多一种投资的产品可以用)的话,势必要通过合规的、官方认证的一些渠道来做。放到crypto来说,即使这与Web3的本意有一点相悖,这也是必须要走的一种过程。

那么从技术上来说,香港基建能承受Web3之都的需求吗?

现在整个行业都还在演变当中,慢慢在向一个文明的方向走去,但其实很多技术上面的问题还没有被解决,比如怎么将区块链上的钱包和真实的KYC连在一起?

这个其实在技术上面是有可能做到的。比如每一次有人进来做完KYC以后,就有一个Token放到个人的钱包中,代表这个钱包地址已经经过了一些官方的认证。这样每一次这个钱包去交易平台交易,平台识别到有这个Token的话,就知道他已经做过KYC认证,可以放心的让这个用户在这个平台上进行交易。当然,这是想象可以有这样的一种设计在里面。至于如何去杜绝比如钱包被盗用等,如果在技术上面无法实现的话,可以用在流程上再做一次KYC、定期进行KYC等等的方法来配合在法规上面的要求,尽量达到防止身份或钱包被盗用。所以传统金融的KYC如果想完全引入到Web3世界中,仍有很多其他的东西需要做。

作为一个加密公司/加密交易所,如何平衡监管和用户两方面的需求?

第一是要做到数据化,要做eKYC。因为监管在看的不只是香港这一个市场,而是在看整个世界,因此行业的Player们也应该把眼光放到整个世界上面,所以说eKYC是不可缺少的。

第二是要把KYC的效率提高,因为法规在公司的角度还是一个需要花费成本的地方,只有把KYC的效率提高,才能承受大量的用户进入平台。

第三个是要让自身在专业的技术上得到官方/法规部门的认证,达到他们的要求。

现在香港有很多交易所都在申牌,申牌其实只是一个入场券,之后如何去运作,如何更快地走上正轨,还需要交易所们持续的研究。