普通的日常商家——杂货店、餐馆或美容院——可以在不核实顾客身份的情况下自由为顾客提供服务。收银员不会要求你出示身份证就卖给你一条面包,也绝不会询问你用来支付理发费用的资金来源。此外,在大多数发达国家,拒绝为不愿透露姓名、年龄、公民身份或居住地的顾客提供服务会被视为公然歧视。
但一旦我们进入高流动性资产的领域——例如加密货币——情形就变了。在这里,常规不同:企业被要求了解其客户(Know Your Customer,KYC)。用户被要求提供证件、带护照的自拍照、地址证明,有时甚至银行对账单。
严格监管的支持者这样解释很简单:你不能转售一顿餐食,但你可以轻易转售加密货币。因此,餐馆不可能成为用来掩盖刑事活动的链条的一部分,而加密货币业务则可能。高流动性被认为使数字资产成为犯罪分子的理想工具。
事实上,这是一个严重的误解。区块链的交易数据是永久存储的。即便今天将一笔交易链追溯到具体个人很难,也没人能保证明天不会出现新的分析工具。实际上,这类工具已经出现:执法机构成功使用区块链分析(仅以美国司法部如何没收在 Bitfinex 被盗的价值超过 36 亿美元比特币为例即可说明)。
但更重要的问题在于:识别用户并核查其资金来源的责任真的应该由企业承担吗?我认为不应该。原因如下。
对竞争的打击:KYC 如何损害初创公司
设想你正在创办一家新的加密货币企业。你投入研发、耗费大量精力做市场推广,吸引到了第一批客户。他们来了,你迎上去的却是这样的要求:“出示身份证,拍张自拍,说明你的资金来源。”他们会作何反应?
顾客会直接离开。并不是因为他们有隐瞒的东西,而是因为你在市场上毫无名气。面对一家经营了十年并被数百万人信任的大公司,人们愿意披露数据:这样的公司有声誉风险。而对你来说,那种信任并不存在。这是一种理性的行为:如果你的服务消失、破产并停止保护数据,欺诈或身份被盗的风险仍将留在顾客身上,而不会随着你的企业一起消失。
结果是可预见的:市场不是朝着带来更低价格和更好服务的健康竞争发展,而是被巨头垄断。能够提供更好条件和创新产品的新公司根本没有机会。KYC 成为监管俘获(regulatory capture)的一道经典壁垒,有效保护既得利益者。原本可能成为开放竞争范例的加密货币市场,变成了寡头垄断。
隐私的幻觉,或被迫的同意
许多国家有严格的个人数据保护法律。其基本原则很简单:未征得个人自愿同意不得收集其信息。个人有隐私权,也有权不向全世界披露其使用了哪些服务。
但在实践中,没有通过 KYC,某人实际上就被切断在整类服务之外——首要是金融服务。潜在客户拒绝披露个人信息,迫使企业自动拒绝为其提供服务。
在 2025 年,作为此类监管的主要全球推动者的 FATF 自身也承认,不相称的要求产生了意想不到的后果:大量守法公民仅因缺乏所需文件或不愿透露身份而被排除在合法金融体系之外。FATF 指出,这尤其影响难民、移民和未接入银行服务的人——正是国家应当保护的群体。
欧盟法院 的立场也很有说服力:在 2022 年,法院撤销了一项将公司实益所有人信息向任何公众成员开放的规则,理由是对私人生活的不相称干预。法院强调,这类干预必须对所追求的目标既必要又相称。然而,不知为何,这些原则似乎在欧洲对 KYC 要求并未得到应有的适用。
把数据当诱饵:KYC 创造了它原本要防止的东西
反对强制 KYC 的最重要论据之一是纯粹的实用层面。当企业被迫收集数百万份护照和自拍照时,它们的服务器便成为网络犯罪分子瞄准的有吸引力目标。而这种威胁并非理论上的。
早在 2019 年,就有报道称,黑客 ExploitDOT 在暗网平台 Dread 出售约 10 万份身份文件,据称这些文件是像 Binance、Poloniex、Bitfinex 和 Bittrex 这样的主要加密交易所作为 KYC 程序的一部分收集的。数据的来源存在争议:交易所否认被攻破,数据也可能来自第三方的 KYC 服务供应商。但这只使事件更具揭示性:保存你个人数据的托管链比你想象的要长,而链条上的任何一点都可能成为薄弱环节。
到了 2025 年 5 月,发生了无法再归咎于来源不明的事件:Coinbase 公开承认,网络犯罪分子贿赂了一组海外支持承包商,后者交出了客户的个人数据(姓名、地址、电话号码、部分社会保障号码和在 KYC 验证期间提交的身份证件扫描件)。受影响的用户总数为 69,461 人。交易所拒绝支付 2000 万美元赎金,但估计该事件可能造成的损失在 1.8 亿至 4 亿美元之间。
在 2025 年秋季,网络安全研究人员发现了加密平台 NCX 的一个未受保护数据库,包含超过 500 万条记录,其中包括用户 KYC 文件的直接链接。所有这些之所以能够公开访问,仅是由于 MongoDB 配置错误。根本无需攻击——数据库只是被敞开了。
简而言之,保护个人数据的最好方法就是根本不存储它。每一个新收集护照数据的运营者都增加了一项新风险。KYC 不仅创造了客户登记册,也创造了犯罪分子的目标。掌握一个人的姓名、地址、生物识别数据和资产历史,攻击者就拥有了冒充该人的全部所需信息。
谁该抓犯罪分子:警方还是企业?
执法机构由税收资助以提供其服务——包括调查犯罪和打击非法资金流动。企业也因提供服务而获得报酬。然而,KYC 程序实际上将警务职能转嫁给了私营部门:企业被要求识别客户、筛查制裁名单、分析资金来源并报告可疑交易。与此同时,国家并未用已经为这些目的征收的税款向它们支付一分钱补偿。如果企业犯错,它需要缴纳罚款。如果它没有犯错,它仍然要承担一个严格来说属于国家职能的系统的巨大成本。
更令人头疼的是关于效果的数据。澳大利亚拉筹伯大学的研究员 Ronald Pol 在学术期刊 Policy Design and Practice 企业每年花费数千亿美元(全球合规成本每年超过 2000 亿美元),但成果微乎其微。谁会愿意承担如此无意义的开支?显然不是各国政府——因此它们将这些成本转嫁给企业,最终由消费者承担。 有时,这一机制呈现出明确的政治维度。2022 年 2 月,加拿大卡车司机抗议期间,政府利用金融与加密组织掌握参与者数据的事实,指示其依据《紧急法案》冻结进出资金。企业发现自己成为政治工具,而公民则失去对自己资金的访问权。两年后,法院裁定这些行为违宪——但资金已被冻结,公民已经亲身经历了这种威胁的规模。 市场反应已经很明确。在加密货币领域,对无 KYC 服务存在强烈且持久的需求:人们愿意忍受不便,寻找替代方案,甚至支付更高费用——只是为了避免将证件交给陌生企业、避免未知的数据存储做法。 但很多时候他们甚至不需要支付更多。Rabbit.io 能够提供最佳汇率,部分原因在于我们不承担与收集、处理和存储客户数据相关的成本。很自然,当消费者有选择时,他们倾向于以更低成本获得服务。这就是我们的客户选择我们的原因。这也正是强制企业实行 KYC 在实际上如何伤害它们的原因。 我们的用户既非罪犯也非阴谋论者。他们的动机简单而可以理解:在不必要的情况下完成以最佳汇率的交易且无需披露身份。当我在集市买苹果时,卖家不会要求出示护照。当我请商店将大额纸币换成小面额时,也没人问我为何需要不同的钞票。为什么数字交易就应该与此根本不同? KYC 要求创造了一个成本分配不公的体系。企业为本质上属于国家的职能买单。诚实的用户也为此买单,并且额外承担其个人数据被泄露的风险。新公司因大企业的竞争优势而失败。与此同时,真正的作恶者通过绕过系统的方式继续作案,部分方式就是利用企业在 KYC 程序下被迫建立的数据登记册。 如果政府认为对资金流动的监督是必要的,就需要进行一次诚实的讨论:谁来为此买单,谁承担责任,以及为何私营企业要自掏腰包以牺牲客户利益来履行警务职能。同时也应当认识到,强制性、普遍性的 KYC 是一种昂贵且低效的工具,它将诚实的市场参与者变成嫌疑人,并把他们的数据变成犯罪分子的目标。市场已经给出了裁决
结论
