Các doanh nghiệp bình thường hàng ngày - cửa hàng tạp hóa, nhà hàng hay tiệm làm đẹp - có thể phục vụ khách hàng tự do mà không cần xác minh danh tính của họ. Một thu ngân không yêu cầu bạn xuất trình giấy tờ tùy thân để bán cho bạn một ổ bánh mì, và chắc chắn không hỏi nguồn tiền bạn dùng để trả cho một kiểu tóc. Hơn nữa, ở hầu hết các nước phát triển, từ chối phục vụ một khách hàng không muốn tiết lộ tên, tuổi, quốc tịch hay nơi cư trú sẽ bị coi là phân biệt đối xử rõ ràng.
Nhưng ngay khi chúng ta chuyển sang lĩnh vực tài sản có tính thanh khoản cao - chẳng hạn tiền điện tử - bức tranh thay đổi. Ở đây, chuẩn mực khác: các doanh nghiệp bị yêu cầu phải biết khách hàng của họ (Know Your Customer, KYC). Người dùng được yêu cầu cung cấp giấy tờ, ảnh selfie cùng hộ chiếu, bằng chứng địa chỉ, và đôi khi cả sao kê ngân hàng.
Những người ủng hộ quy định nghiêm ngặt giải thích điều này đơn giản: bạn không thể bán lại một bữa ăn ở nhà hàng, nhưng bạn có thể dễ dàng bán lại tiền điện tử. Do đó, một nhà hàng không thể trở thành một mắt xích trong chuỗi che giấu hoạt động tội phạm, trong khi một doanh nghiệp tiền điện tử có thể. Thanh khoản cao được cho là làm cho tài sản số trở thành công cụ lý tưởng cho tội phạm.
Trên thực tế, đây là một hiểu lầm nghiêm trọng. Dữ liệu giao dịch trên blockchain được lưu trữ vĩnh viễn. Dù hôm nay có thể khó lần ra chuỗi giao dịch tới một cá nhân cụ thể, không ai có thể đảm bảo rằng các công cụ phân tích mới sẽ không xuất hiện vào ngày mai. Thực tế là những công cụ đó đã xuất hiện: các cơ quan thực thi pháp luật đang sử dụng thành công phân tích blockchain (chỉ cần nhớ cách Bộ Tư pháp Hoa Kỳ thu giữ hơn 3,6 tỷ đô la bitcoin bị đánh cắp trong vụ hack Bitfinex).
Nhưng câu hỏi chính nằm ở chỗ khác: liệu trách nhiệm xác định danh tính người dùng và kiểm chứng nguồn gốc tiền của họ có thực sự nên đặt lên vai doanh nghiệp hay không? Tôi tin là không. Và đây là lý do.
Một Đòn Giáng Vào Cạnh Tranh: KYC Gây Hại Cho Các Startup
Hãy tưởng tượng bạn đang khởi động một doanh nghiệp tiền điện tử mới. Bạn đầu tư vào phát triển, dồn nhiều công sức vào marketing, và thu hút những khách hàng đầu tiên. Họ đến, và bạn chào đón họ bằng yêu cầu: “Xuất trình giấy tờ, chụp ảnh tự sướng, giải thích tiền của bạn từ đâu đến.” Phản ứng của họ sẽ ra sao?
Khách hàng sẽ đơn giản rời đi. Không phải vì họ có điều gì cần che giấu, mà vì bạn là một đơn vị không tên tuổi trên thị trường. Khi giao dịch với một công ty lớn đã hoạt động mười năm và được hàng triệu người tin tưởng, một người sẵn sàng tiết lộ dữ liệu của họ: công ty đó có rủi ro uy tín. Với bạn, niềm tin đó không tồn tại. Và đây là hành vi hợp lý: nếu dịch vụ của bạn biến mất, phá sản và dừng bảo vệ dữ liệu, rủi ro gian lận hay đánh cắp danh tính sẽ thuộc về khách hàng và không biến mất theo doanh nghiệp của bạn.
Kết quả là có thể dự đoán được: thay vì cạnh tranh lành mạnh dẫn đến giá thấp hơn và dịch vụ tốt hơn, thị trường trở nên bị độc quyền bởi các ông lớn. Các công ty mới có thể cung cấp điều kiện tốt hơn và sản phẩm sáng tạo đơn giản không có cơ hội. KYC trở thành rào cản điển hình của sự chiếm đoạt quy định, bảo vệ đáng tin cậy cho các lãnh đạo hiện hữu. Thị trường tiền điện tử, đáng lẽ có thể là mô hình cạnh tranh mở, biến thành một thế độc quyền vài tay chơi (oligopoly).
Ảo Tưởng Về Quyền Riêng Tư, hay Sự Đồng Ý Bị Ép Buộc
Nhiều quốc gia có luật bảo vệ dữ liệu cá nhân chặt chẽ. Nguyên tắc cơ bản của chúng đơn giản: thông tin về một cá nhân không được thu thập khi không có sự đồng ý tự nguyện của họ. Cá nhân có quyền riêng tư và quyền không tiết lộ cho cả thế giới họ đang sử dụng dịch vụ nào.
Nhưng trên thực tế, nếu không trải KYC, một người thực sự bị cắt khỏi cả những nhóm dịch vụ - trước hết là dịch vụ tài chính. Việc một khách hàng tiềm năng từ chối cung cấp thông tin cá nhân buộc doanh nghiệp tự động từ chối phục vụ họ.
Vào năm 2025, FATF chính họ - động lực toàn cầu chính của các quy định như vậy - thừa nhận rằng các yêu cầu không cân xứng đã tạo ra hệ quả ngoài ý muốn: một số lượng lớn người tuân thủ luật pháp đã bị loại khỏi hệ thống tài chính hợp pháp chỉ vì thiếu giấy tờ cần thiết hoặc không muốn tiết lộ danh tính. Theo FATF, điều này đặc biệt ảnh hưởng tới người tị nạn, người di cư và những người không có tài khoản ngân hàng - những người mà nhà nước đáng lẽ phải bảo vệ.
Quan điểm của Tòa án Công lý Liên minh châu Âu cũng đáng nói: vào năm 2022, tòa đã vô hiệu một quy định cho phép thông tin về chủ sở hữu hưởng lợi của công ty được truy cập bởi bất kỳ thành viên nào của công chúng, viện dẫn sự can thiệp không cân xứng vào đời tư. Tòa nhấn mạnh rằng sự can thiệp như vậy phải cần thiết và tương xứng với mục tiêu theo đuổi. Tuy nhiên, vì lý do nào đó, những nguyên tắc này dường như không được áp dụng cho các yêu cầu KYC ngay cả ở châu Âu.
Dữ Liệu Như Mồi Câu: KYC Tạo Ra Những Gì Nó Phải Ngăn Chặn
Một trong những lập luận quan trọng nhất chống lại KYC bắt buộc là hoàn toàn mang tính thực tiễn. Khi các doanh nghiệp bị buộc phải thu thập hàng triệu hộ chiếu và ảnh tự sướng, máy chủ của họ trở thành mục tiêu hấp dẫn cho tội phạm mạng. Và mối đe dọa này không phải giả thuyết.
Ngay từ năm 2019, một hacker được biết đến là ExploitDOT được báo cáo là đang rao bán khoảng 100.000 tài liệu nhận dạng trên nền tảng darknet Dread, được cho là thu thập từ các sàn giao dịch tiền điện tử lớn như Binance, Poloniex, Bitfinex và Bittrex trong quy trình KYC của họ. Nguồn gốc của dữ liệu vẫn gây tranh cãi: các sàn bác bỏ bị hack, và dữ liệu có thể bị đánh cắp từ một nhà cung cấp KYC bên thứ ba. Nhưng điều này chỉ làm cho sự kiện trở nên đáng chú ý hơn: chuỗi những người giữ dữ liệu cá nhân của bạn dài hơn bạn nghĩ, và bất kỳ điểm nào trong chuỗi đó đều có thể bị tổn thương.
Vào tháng 5 năm 2025, đã xảy ra điều không thể gán cho sự không chắc chắn về nguồn: Coinbase công khai thừa nhận rằng tội phạm mạng đã hối lộ một nhóm nhà thầu hỗ trợ ở nước ngoài, những người sau đó đã giao dữ liệu cá nhân của khách hàng (tên, địa chỉ, số điện thoại, một phần số An sinh Xã hội, và bản scan giấy tờ nhận dạng nộp trong quá trình xác minh KYC). Tổng cộng 69.461 người dùng bị ảnh hưởng. Sàn từ chối trả khoản tiền chuộc 20 triệu đô la nhưng ước tính thiệt hại tiềm tàng từ sự cố là 180 đến 400 triệu đô la.
Mùa thu năm 2025, các nhà nghiên cứu an ninh mạng phát hiện một cơ sở dữ liệu không được bảo mật thuộc về nền tảng tiền điện tử NCX, chứa hơn 5 triệu bản ghi, bao gồm đường dẫn trực tiếp tới các tài liệu KYC của người dùng. Tất cả những điều này đều có thể truy cập công khai do lỗi cấu hình MongoDB. Không cần hack - cơ sở dữ liệu đơn giản bị để mở.
Tóm lại, cách tốt nhất để bảo vệ dữ liệu cá nhân là không lưu trữ chúng. Mỗi nhà điều hành mới thu thập dữ liệu hộ chiếu là một rủi ro mới. KYC không chỉ tạo ra đăng ký khách hàng, mà còn tạo mục tiêu cho tội phạm. Khi có được tên, địa chỉ, dữ liệu sinh trắc học và lịch sử tài sản của một người, kẻ tấn công có mọi thứ cần thiết để mạo danh họ.
Ai Nên Bắt Tội Phạm: Cảnh Sát Hay Doanh Nghiệp?
Các cơ quan thực thi pháp luật được tài trợ bằng thuế cho các dịch vụ của họ - bao gồm điều tra tội phạm và chống dòng tiền phi pháp. Doanh nghiệp cũng được trả tiền để cung cấp dịch vụ. Tuy nhiên các thủ tục KYC thực chất chuyển chức năng của cảnh sát sang khu vực tư: doanh nghiệp bị yêu cầu xác định khách hàng, rà soát danh sách trừng phạt, phân tích nguồn gốc tiền, và báo cáo các giao dịch đáng ngờ. Đồng thời, nhà nước không bồi thường cho họ một xu nào từ số thuế đã thu cho các mục đích này. Nếu một doanh nghiệp mắc lỗi, họ phải nộp phạt. Nếu không mắc lỗi, họ vẫn gánh chi phí khổng lồ cho một hệ thống về bản chất là chức năng của nhà nước.
Điều gây tổn thất nhất ở đây là dữ liệu về hiệu quả. Ronald Pol, một nhà nghiên cứu tại Đại học La Trobe (Úc), trong bài báo được trích dẫn rộng rãi xuất bản trên tạp chí Policy Design and Practice, nhận thấy chi phí tuân thủ vượt xa số tài sản thực tế thu hồi được từ tội phạm tới hơn một trăm lần.
Doanh nghiệp chi hàng trăm tỷ đô la mỗi năm (chi phí tuân thủ toàn cầu vượt quá 200 tỷ đô la mỗi năm), nhưng kết quả là rất nhỏ nhoi. Ai tỉnh táo lại muốn gánh chịu những chi phí vô nghĩa như vậy? Các quốc gia chắc chắn không muốn - và vì vậy họ đẩy chi phí đó sang doanh nghiệp, và cuối cùng là người tiêu dùng.
Đôi khi cơ chế này mang màu sắc chính trị rõ rệt. Vào tháng 2 năm 2022, trong các cuộc biểu tình của các lái xe tải ở Canada, chính phủ đã lợi dụng thực tế các tổ chức tài chính và tiền điện tử nắm giữ dữ liệu về người tham gia và chỉ đạo họ áp dụng Đạo luật Khẩn cấp để đóng băng các khoản tiền đến. Doanh nghiệp thấy mình hành động như công cụ chính trị, trong khi công dân mất quyền truy cập vào chính tiền của họ. Hai năm sau, một tòa án tuyên các hành động này vi hiến - nhưng các khoản tiền đã bị đóng băng, và công dân đã trải nghiệm quy mô mối đe dọa đó một cách trực tiếp.
Thị Trường Đã Đưa Ra Phán Quyết Rồi
Phản ứng của thị trường đã rõ ràng. Trong không gian tiền điện tử, có nhu cầu mạnh mẽ và bền vững cho các dịch vụ không yêu cầu KYC: người dùng sẵn sàng chịu bất tiện, tìm cách giải pháp thay thế, và thậm chí trả nhiều hơn - chỉ để tránh giao nộp giấy tờ cho các công ty xa lạ với phương thức lưu trữ dữ liệu không rõ ràng.
Nhưng nhiều khi họ thậm chí không phải trả nhiều hơn. Rabbit.io có thể cung cấp tỷ giá tốt nhất một phần vì chúng tôi không phải chịu các chi phí liên quan đến thu thập, xử lý và lưu trữ dữ liệu khách hàng. Tất nhiên, khi người tiêu dùng có lựa chọn, họ thích lấy dịch vụ có chi phí thấp hơn. Đó là lý do khách hàng của chúng tôi chọn chúng tôi. Và đó cũng là lý do việc áp đặt KYC lên doanh nghiệp gây hại cho họ.
Người dùng của chúng tôi không phải là tội phạm hay những người theo thuyết âm mưu. Họ là những người có động cơ đơn giản và dễ hiểu: hoàn tất một giao dịch với tỷ giá tốt nhất mà không phải tiết lộ danh tính khi điều đó không cần thiết. Khi tôi mua táo ở chợ, người bán không yêu cầu hộ chiếu của tôi. Khi tôi nhờ cửa hàng đổi tiền lẻ, không ai hỏi tại sao tôi cần các mệnh giá khác nhau. Tại sao giao dịch kỹ thuật số lại phải khác biệt về bản chất?
Kết luận
Yêu cầu KYC tạo ra một hệ thống trong đó chi phí được phân bổ một cách bất công. Doanh nghiệp trả cho những gì về bản chất là chức năng của nhà nước. Người dùng trung thực cũng phải trả cho điều đó và thêm rủi ro về dữ liệu cá nhân của họ. Các công ty mới thất bại vì lợi thế cạnh tranh của các đơn vị lớn hiện hữu. Trong khi đó, những kẻ thực sự xấu vẫn tìm cách né hệ thống, phần nào bằng cách lợi dụng chính các đăng ký dữ liệu mà doanh nghiệp bị bắt buộc phải xây dựng theo thủ tục KYC.
Nếu chính phủ cho rằng giám sát dòng tiền là cần thiết, thì cần có một cuộc thảo luận trung thực: ai trả cho việc đó, ai chịu trách nhiệm, và tại sao doanh nghiệp tư nhân phải thực hiện chức năng cảnh sát bằng chi phí của chính họ và gây hại cho khách hàng. Cũng cần thừa nhận rằng KYC bắt buộc, phổ quát là một công cụ tốn kém và không hiệu quả, biến những người tham gia thị trường trung thực thành nghi phạm, và dữ liệu của họ thành mục tiêu cho tội phạm.
