सांकेतिक रोज़मर्रा के व्यवसाय — किराने की दुकानें, रेस्तरां, या ब्यूटी सैलून — ग्राहकों की पहचान स्थापित किए बिना स्वतंत्र रूप से सेवा दे सकते हैं। एक कैशियर आपसे रोटी बेचने के लिए अपना आईडी दिखाने के लिए नहीं कहता, और न ही हेयरकट के लिए भुगतान करने में प्रयुक्त धन के स्रोत के बारे में पूछताछ करता है। अधिकतर विकसित देशों में, किसी ग्राहक से उसका नाम, आयु, नागरिकता, या निवास स्थान न बताने पर सेवा से वंचित करना स्पष्ट भेदभाव माना जाएगा।
लेकिन जैसे ही हम अत्यधिक तरल संपत्तियों — जैसे क्रिप्टोकरेंसी — के क्षेत्र में आते हैं, तस्वीर बदल जाती है। यहाँ मानक अलग है: व्यवसायों पर अपने ग्राहकों को जानने (Know Your Customer, KYC) की आवश्यकता होती है। उपयोगकर्ताओं से दस्तावेज़, पासपोर्ट के साथ सेल्फी, पता प्रमाण और कभी-कभी बैंक स्टेटमेंट भी मांगे जाते हैं।
कठोर विनियमन के समर्थक इसे सरलता से समझाते हैं: आप रेस्तरां का भोजन पुनर्विक्रय नहीं कर सकते, पर क्रिप्टोकरेंसी को आसानी से रीसेल किया जा सकता है। इसलिए, एक रेस्तरां किसी क्रिमिनल गतिविधि को छुपाने वाली चेन का हिस्सा नहीं बन सकता, जबकि एक क्रिप्टो व्यवसाय बन सकता है। उच्च तरलता को डिजिटल संपत्तियों को अपराधियों के लिए आदर्श उपकरण मानने का कारण माना जाता है।
वास्तविकता में, यह एक गंभीर भ्रांति है। ब्लॉकचेन लेनदेन का डेटा स्थायी रूप से संग्रहीत होता है। भले ही आज किसी लेनदेन श्रृंखला को विशिष्ट व्यक्ति तक ट्रेस करना कठिन हो, कोई नहीं गारंटी दे सकता कि कल नए विश्लेषणात्मक उपकरण उभर कर नहीं आएंगे। असल में, वे पहले से ही मौजूद हैं: कानून प्रवर्तन एजेंसियाँ ब्लॉकचेन एनालिटिक्स का सफलतापूर्वक उपयोग करती हैं (याद रखें कि कैसे अमेरिकी न्याय विभाग ने Bitfinex हैक से चुराए गए $3.6 बिलियन से अधिक मूल्य के बिटकॉइन जब्त किए)।
पर मुख्य सवाल कहीं और है: क्या उपयोगकर्ताओं की पहचान और उनके धन के स्रोत सत्यापित करने की जिम्मेदारी वाकई व्यवसायों पर रखी जानी चाहिए? मेरा मानना है कि नहीं। और इसके कारण ये हैं।
प्रतिस्पर्धा पर चोट: कैसे KYC स्टार्टअप्स को नुकसान पहुंचाता है
कल्पना करें कि आप एक नया क्रिप्टो व्यवसाय लॉन्च कर रहे हैं। आपने विकास में निवेश किया, विपणन में भारी मेहनत की, और अपने पहले ग्राहकों को आकर्षित किया। वे आते हैं, और आप उनका स्वागत इस आवश्यकता के साथ करते हैं: "अपना आईडी दिखाएँ, एक सेल्फी लें, बताएं आपका पैसा कहाँ से आता है।" उनका क्या प्रतिक्रिया होगी?
ग्राहक बस चले जाएंगे। इसलिए नहीं कि उनके पास छिपाने के लिए कुछ है, बल्कि इसलिए कि आप बाजार में कोई प्रतिष्ठित नाम नहीं हैं। जब किसी ऐसे बड़े कंपनी के साथ सौदा हो जो दस साल से चल रही हो और लाखों लोगों द्वारा भरोसा की जाती हो, तो व्यक्ति अपने डेटा का खुलासा करने को तैयार होता है: ऐसी कंपनी के पास प्रतिष्ठात्मक जोखिम होते हैं। आपके साथ वह भरोसा मौजूद नहीं है। और यह तर्कसंगत व्यवहार है: अगर आपकी सेवा गायब हो जाए, दिवालियापन हो जाए, और डेटा की सुरक्षा करना बंद कर दे, तो धोखाधड़ी या पहचान चोरी के जोखिम ग्राहक के साथ बने रहेंगे और आपके व्यवसाय के साथ नहीं मिटेंगे।
परिणाम अनुमानित है: स्वस्थ प्रतिस्पर्धा की बजाय जो कीमतों को कम और सेवाओं को बेहतर बनाती है, बाजार दिग्गजों द्वारा स्वामित्व में आ जाता है। नई कंपनियाँ जो बेहतर शर्तें और नवाचारी उत्पाद पेश कर सकती थीं, उन्हें अवसर नहीं मिलता। KYC एक क्लासिक नियामक कब्ज़े की बाधा बन जाता है, जो स्थापित नेताओं की सुरक्षित रक्षा करता है। वह क्रिप्टो मार्केट, जो खुले प्रतिस्पर्धा का मॉडल हो सकता था, एक ओलिगोपॉली में बदल जाता है।
गोपनीयता का मायाजाल, या जबरदस्त सहमति
कई देशों के पास कड़े व्यक्तिगत डेटा संरक्षण कानून हैं। उनका मूल सिद्धांत सरल है: किसी व्यक्ति के बारे में जानकारी उसके स्वैच्छिक सहमति के बिना एकत्र नहीं की जा सकती। व्यक्तियों का निजी जीवन और यह न बताने का अधिकार कि वे कौन-से सेवाएँ उपयोग करते हैं, उनकी अधिकार संपत्ति है।
लेकिन व्यवहार में, KYC पास किए बिना एक व्यक्ति को प्रभावी रूप से सेवाओं की पूरी श्रेणियों — मुख्यतः वित्तीय सेवाओं — से काट दिया जाता है। संभावित ग्राहक द्वारा व्यक्तिगत जानकारी न बताने पर व्यवसायों को स्वतः ही उन्हें सेवा देने से इनकार करने के लिए मजबूर होना पड़ता है।
2025 में, FATF — ऐसे नियमों का मुख्य वैश्विक प्रेरक — ने स्वयं स्वीकार किया कि अत्यधिक आवश्यकताओं ने अनपेक्षित परिणाम उत्पन्न किए हैं: बड़ी संख्या में कानून मानने वाले लोग केवल आवश्यक दस्तावेज़ों की कमी या अपनी पहचान उजागर न करने की इच्छा के कारण वैध वित्तीय प्रणाली से बाहर कर दिए गए। FATF के अनुसार, इसका विशेष प्रभाव शरणार्थियों, प्रवासियों और बिना बैंकिंग के रहने वाले लोगों पर पड़ा है — वे जिनकी रक्षा राज्य को करनी चाहिए।
यूरोपीय संघ की न्यायालय की स्थिति भी संकेतक है: 2022 में उसने उस नियम को अमान्य कर दिया जो कंपनियों के लाभार्थी मालिकों की जानकारी को किसी भी सामान्य जनता के सदस्य के लिए सुलभ बनाता था, यह कहते हुए कि यह निजी जीवन में अनुपातहीन हस्तक्षेप था। कोर्ट ने ज़ोर देकर कहा कि ऐसा हस्तक्षेप आवश्यक और उद्देश्य की तुलना में अनुपातपूर्ण होना चाहिए। फिर भी, किसी कारणवश, ये सिद्धांत KYC आवश्यकताओं पर भी यूरोप में लागू नहीं होते दिखते।
चारा बनता डेटा: KYC वही बनाता है जिसे यह रोकना चाहिए
अनिवार्य KYC के खिलाफ सबसे महत्वपूर्ण तर्कों में से एक शुद्ध रूप से व्यावहारिक है। जब व्यवसायों को लाखों पासपोर्ट और सेल्फियों को इकट्ठा करने के लिए मजबूर किया जाता है, तो उनके सर्वर साइबर अपराधियों के लिए आकर्षक लक्ष्य बन जाते हैं। और यह खतरा सैद्धांतिक नहीं है।
2019 में, एक हैकर जिसे ExploitDOT के नाम से जाना जाता था, पर रिपोर्ट आई कि वह darknet प्लेटफ़ॉर्म Dread पर लगभग 100,000 पहचान दस्तावेज़ बेच रहा था, जो कथित तौर पर Binance, Poloniex, Bitfinex और Bittrex जैसे बड़े क्रिप्टो एक्सचेंजों द्वारा उनके KYC प्रक्रियाओं के हिस्से के रूप में एकत्र किए गए थे। डेटा के स्रोत पर विवाद बना रहा: एक्सचेंजों ने हैक होने से इनकार किया, और डेटा किसी तीसरे-पक्ष KYC प्रदाता से चोरी किया गया हो सकता है। पर इससे घटना और भी प्रकट होती है: आपकी व्यक्तिगत जानकारी रखने वाले कस्टोडियनों की श्रृंखला आपकी सोच से लंबी है, और उस श्रृंखला का कोई भी बिंदु संवेदनशील हो सकता है।
मई 2025 में, ऐसी घटना हुई जिसका स्रोत के बारे में अनिश्चितता से समझाया नहीं जा सकता: Coinbase ने सार्वजनिक रूप से स्वीकार किया कि साइबर अपराधियों ने विदेश स्थित समर्थन ठेकेदारों को रिश्वत दी, जिन्होंने तब ग्राहकों का व्यक्तिगत डेटा (नाम, पते, फोन नंबर, आंशिक सोशल सिक्योरिटी नंबर और KYC सत्यापन के दौरान प्रस्तुत पहचान दस्तावेज़ों के स्कैन) सौंप दिया। कुल 69,461 उपयोगक प्रभावित हुए। एक्सचेंज ने $20 मिलियन फिरौती भुगतान करने से मना कर दिया लेकिन घटना से संभावित नुकसान का अनुमान $180 से $400 मिलियन रखा।
2025 की शरद ऋतु में, साइबरसुरक्षा शोधकर्ताओं ने क्रिप्टो प्लेटफ़ॉर्म NCX का एक असुरक्षित डेटाबेस खोजा, जिसमें 5 मिलियन से अधिक रिकॉर्ड और उपयोगकर्ताओं के KYC दस्तावेज़ों के सीधे लिंक शामिल थे। यह सब MongoDB कॉन्फ़िगरेशन त्रुटि के कारण सार्वजनिक रूप से उपलब्ध था। किसी हैक की आवश्यकता नहीं थी — डेटाबेस बस खुला छोड़ दिया गया था।
संक्षेप में, व्यक्तिगत डेटा की सुरक्षा का सबसे अच्छा तरीका है उसे स्टोर ही न करना। हर नया ऑपरेटर जो पासपोर्ट डेटा जमा करता है, एक नया जोखिम है। KYC न केवल ग्राहक रजिस्टर बनाता है, बल्कि अपराधियों के लिए लक्ष्य भी तैयार करता है। किसी के नाम, पते, बायोमेट्रिक डेटा और संपत्ति इतिहास तक पहुँच के साथ, एक हमलावर उनके रूप में पहचान बनाने के लिए सब कुछ हासिल कर लेता है।
अपराधियों को पकड़ने वाला कौन होना चाहिए: पुलिस या व्यवसाय?
कानून प्रवर्तन एजेंसियाँ अपने कार्यों — जिनमें अपराधों की जांच और अवैध वित्तीय प्रवाह से मुकाबला शामिल है — के लिए करों से वित्त पोषित होती हैं। व्यवसाय भी सेवाएँ प्रदान करने के लिए भुगतान प्राप्त करते हैं। फिर भी KYC प्रक्रियाएँ प्रभावी रूप से पुलिस के कार्यों को निजी क्षेत्र पर डाल देती हैं: व्यवसायों को ग्राहकों की पहचान करने, प्रतिबंध सूची की जाँच करने, धन के स्रोत का विश्लेषण करने और संदिग्ध लेनदेन की रिपोर्ट करने के लिए कहा जाता है। साथ ही, राज्य उन्हें इन कार्यों के लिए करों से एक पैसा भी वापस नहीं करता। यदि कोई व्यवसाय गलती करता है, तो उसे जुर्माना भरना पड़ता है। यदि वह गलती नहीं करता, तब भी उसे उस सिस्टम के लिए भारी लागत झेलनी पड़ती है जो तकनीकी रूप से राज्य का कार्य है।
यहाँ सबसे अधिक हानिकारक चीज़ प्रभावशीलता पर डाटा है। ला ट्रोब विश्वविद्यालय (ऑस्ट्रेलिया) के शोधकर्ता रोनाल्ड पोल ने जर्नल Policy Design and Practice में प्रकाशित अपने व्यापक रूप से उद्धृत पेपर में पाया कि अनुपालन लागत उन अपराधियों से वास्तव में वसूले गए परिसंपत्तियों की तुलना में सौ से अधिक गुना अधिक है।
व्यवसाय हर साल सैकड़ों अरब डॉलर खर्च करते हैं (वैश्विक अनुपालन लागत $200 बिलियन प्रति वर्ष से अधिक है), फिर भी परिणाम नगण्य हैं। किसका बुद्धि भरा निर्णय होगा कि वे ऐसे अर्थहीन खर्च उठाएँ? राज्य निश्चित रूप से ऐसा नहीं करते — और इसलिए वे इन्हें व्यवसायों पर, और अंततः उपभोक्ताओं पर डाल देते हैं।
कभी-कभी यह तंत्र स्पष्ट रूप से राजनीतिक आयाम भी ले लेता है। फ़रवरी 2022 में, कनाडा में ट्रक चालक विरोध के दौरान, सरकार ने इस तथ्य का लाभ उठाया कि वित्तीय और क्रिप्टो संस्थाओं के पास प्रतिभागियों का डेटा था और उन्हें इमरजेन्सीज एक्ट के तहत आने वाले धन को फ्रीज़ करने के लिए निर्देशित किया। व्यवसाय राजनीतिक उपकरणों की तरह कार्य कर रहे थे, जबकि नागरिकों ने अपने स्वयं के धन तक पहुँच खो दी। दो साल बाद, एक अदालत ने इन कार्रवाइयों को असंवैधानिक ठहराया — पर तब तक धन पहले ही फ्रीज़ हो चुका था, और नागरिकों ने खतरे का अनुभव पहले हाथ से देख लिया था।
बाज़ार पहले ही अपना फ़ैसला सुना चुका है
बाज़ार की प्रतिक्रिया पहले ही स्पष्ट है। क्रिप्टोकरेंसी क्षेत्र में, बिना KYC की सेवाओं के लिए मजबूत और लगातार माँग है: लोग असुविधा सहन करने, वैकल्पिक रास्ते खोजने, और यहाँ तक कि अधिक भुगतान करने को तैयार हैं — सिर्फ़ इसलिए कि वे अजनबियों कंपनियों को अपने दस्तावेज़ सौंपना नहीं चाहते जिनके डेटा भंडारण अभ्यास अज्ञात हों।
पर अक्सर उन्हें अधिक भी भुगतान नहीं करना पड़ता। Rabbit.io आंशिक रूप से सर्वश्रेष्ठ विनिमय दर पेश कर सकता है क्योंकि हम ग्राहक डेटा को एकत्रित करने, संसाधित करने और संग्रहीत करने से जुड़ी लागतें वहन नहीं करते। स्वाभाविक रूप से, जब उपभोक्ताओं के पास विकल्प होता है, वे उस सेवा को प्राथमिकता देते हैं जहाँ लागत कम होती है। इसलिए हमारे ग्राहक हमें चुनते हैं। और इसलिए व्यवसायों पर KYC थोपना वास्तव में उन्हें नुकसान पहुँचाता है।
हमारे उपयोगकर्ता अपराधी या षड्यंत्रवादी नहीं हैं। वे सरल और समझने योग्य प्रोत्साहन वाले लोग हैं: सबसे अच्छी दर पर लेनदेन पूरा करना बिना अपनी पहचान का खुलासा किए जब वह आवश्यक न हो। जब मैं बाजार से सेब खरीदता हूँ, तो विक्रेता मेरा पासपोर्ट नहीं माँगता। जब मैं किसी दुकान से बड़ा नोट छोटे नोटों में बदलवाने के लिए कहता हूँ, तो कोई यह नहीं पूछता कि मुझे अलग-अलग करेंसी नोट क्यों चाहिए। डिजिटल लेनदेनों को बुनियादी रूप से अलग क्यों माना जाना चाहिए?
निष्कर्ष
KYC आवश्यकताएँ एक ऐसा तंत्र बनाती हैं जिसमें लागतें अन्यायसंगत रूप से वितरित होती हैं। व्यवसाय उन कार्यों के लिए भुगतान करते हैं जो सैद्धांतिक रूप से राज्य का कार्य हैं। ईमानदार उपयोगकर्ता भी इसके लिए भुगतान करते हैं और साथ ही अपने व्यक्तिगत डेटा का जोखिम उठाते हैं। नई कंपनियाँ बड़े स्थापितों के प्रतिस्पर्धात्मक लाभ के कारण असफल होती हैं। इस बीच, वास्तविक गलत करने वाले सिस्टम के आसपास रास्ते निकाल लेते हैं, आंशिक रूप से उन ही डेटा रजिस्ट्रियों का शोषण करके जिन्हें व्यवसायों से KYC प्रक्रियाओं के तहत बनवाया जाता है।
यदि सरकारें मानती हैं कि वित्तीय प्रवाहों की निगरानी आवश्यक है, तो ईमानदार चर्चा की ज़रूरत है: इसके लिए कौन भुगतान करेगा, जिम्मेदारी किसकी होगी, और निजी व्यवसायों को अपनी लागत पर तथा अपने ग्राहकों के हानि में पुलिसिंग कार्य क्यों करने चाहिए। यह भी मानना आवश्यक है कि अनिवार्य, सार्वभौमिक KYC एक महँका और अक्षम उपकरण है जो ईमानदार बाजार प्रतिभागियों को संदिग्ध बना देता है, और उनके डेटा को अपराधियों के लिए लक्ष्य।
