The recent European Union proposal requiring centralized crypto exchanges and custodial wallet providers to collect and verify personal information about self-custodial wallet holders shows the dangers of recycling traditional finance (TradFi) rules and applying them to crypto without appreciating the conceptual differences. We can expect to see more of this as countries look to implement the Financial Action Task Force (FATF) Travel Rule, initially designed for wire transfers, to transfers of crypto assets.
Mối liên kết (thiếu) giữa tự giám hộ, kiểm soát và nhận dạng
The aim of the proposed EU rules is “to ensure crypto-assets can be traced in the same way as traditional money transfers.” This assumes that each self-custodial wallet can be linked to someone’s verifiable identity and that this person necessarily controls the wallet. This assumption is wrong.
Liên quan: Các nhà chức trách đang tìm cách để thu hẹp khoảng cách trên ví không được lưu trữ
Trong TradFi, một tài khoản ngân hàng được liên kết với danh tính xác minh của chủ sở hữu, cho phép họ kiểm soát tài khoản đó. Ví dụ: chia sẻ thông tin ngân hàng trực tuyến của bạn với đối tác của bạn không làm cho họ trở thành chủ tài khoản. Ngay cả khi đối tác của bạn thay đổi chi tiết đăng nhập, bạn có thể lấy lại quyền kiểm soát bằng cách chứng minh danh tính của bạn cho ngân hàng và yêu cầu nó đặt lại các chi tiết. Danh tính của bạn cung cấp cho bạn quyền kiểm soát tối đa mà không thể bị mất vĩnh viễn hoặc bị đánh cắp. Tất nhiên, để đổi lấy sự bảo vệ quyền nuôi con của ngân hàng, bạn mất tự chủ quyền đối với tài sản của bạn.
Tự giữ tài sản crypto là khác nhau. Kiểm soát (tức là khả năng giao dịch) đối với ví tự giữ được nắm giữ bởi bất cứ ai có chìa khóa riêng cho ví đó. Kiểm soát không liên quan đến danh tính của bất kỳ ai và không có ai để chứng minh danh tính của bạn cho. Tất cả những gì bạn cần là tải xuống một phần mềm và lưu trữ an toàn khóa cá nhân của bạn. Để đổi lấy trách nhiệm này, bạn duy trì quyền sở hữu tự chủ quyền.
Thực hiện các quy tắc được đề xuất
Chúng ta hãy xem xét cách một nhà cung cấp ví giám hộ sẽ đi về việc tuân thủ đề xuất của EU. Giả sử Alice muốn gửi 0.3 Ether ( ETH) từ tài khoản ví giám hộ của cô đến ví tự quản của Bob để trả tiền cho các dịch vụ tư vấn của Bob. Trước khi chuyển nhượng đi qua, nhà cung cấp ví giám hộ sẽ phải 1) thu thập tên của Bob, địa chỉ ví, địa chỉ cư trú, số nhận dạng cá nhân, ngày và nơi sinh; và 2) xác minh tính chính xác của các chi tiết này. Nói chung các chi tiết tương tự sẽ được yêu cầu cho một chuyển từ ví của Bob sang tài khoản ví giám hộ của Alice. Alice có thể sẽ cần yêu cầu Bob gửi chi tiết của mình cho cô ấy, và sau đó Alice sẽ cung cấp cho nhà cung cấp ví hộ tống – gần đây được đề nghị bởi một nhà cung cấp ví giám hộ trong một bối cảnh tương tự.
Các quy tắc sẽ áp dụng ngay cả đối với các giao dịch nhỏ nhất — không có ngưỡng tối thiểu. Các nhà cung cấp ví giám sát cũng sẽ cần phải giữ lại các khoản chuyển tiền đến (tạo ra rủi ro lưu ký lớn hơn) và trả lại chúng vào ví tự quản lý nếu việc xác minh không thành công.
Danh tính không kiểm soát bằng nhau, làm cho việc tuân thủ không thể
While collecting data and potentially withholding incoming transfers is operationally cumbersome, the verification obligation risks are potentially outright impossible to comply with. In TradFi, the point of identity verification is to ensure that the person controlling a bank account and claiming to do so is the same one. But how could the custodial wallet provider fulfill the verification obligation if control over Bob’s self-custodial wallet does not depend on his identity?
Ngay cả khi nhà cung cấp ví giám sát đã xác nhận rằng Bob là người mà anh ta cho là, điều này không có nghĩa là anh ta kiểm soát ví. Nó có thể được kiểm soát bởi một tổ chức tự trị phi tập trung phân phối lại các khoản thanh toán cho các thành viên như Bob hoặc một nhóm tội phạm, với Bob chỉ đơn thuần là la tiền của họ. Không có bên thứ ba nào chứng minh danh tính của Bob để giao dịch – bất cứ ai điều khiển khóa riêng là “ngân hàng”.
Để người dùng hợp pháp tiếp xúc với các rủi ro bảo mật không cân xứng
Giả sử rằng các nhà cung cấp ví giám sát quản lý để tuân thủ các quy tắc được đề xuất, hoặc một phiên bản ít nghiêm ngặt hơn của chúng mà không yêu cầu xác minh. Các nhà cung cấp ví giám sát sẽ cần giữ các cơ sở dữ liệu lớn của người dùng ví tự quản lý, làm cho người dùng có nguy cơ bị vi phạm dữ liệu. Đối với người dùng hợp pháp, tức là, những người khai báo danh tính thực sự của họ và cũng thực sự kiểm soát ví tự giữ liên quan, rủi ro này có hậu quả lớn hơn nhiều so với thu thập dữ liệu TradFi (ví dụ, Quy tắc Travel của FATF cho chuyển khoản).
Trong TradFi, nếu một tội phạm thỏa hiệp tài khoản ngân hàng hoặc thẻ của ai đó, họ sẽ không đi xa vì ngân hàng có thể chặn tài khoản. Theo định nghĩa, ví tự quản thiếu tính năng này. Quyền sở hữu tự chủ quyền, được bảo đảm thông qua mật mã học và sự cảnh giác của chính người dùng, được xem như một lợi thế bởi hàng chục triệu người dùng trên toàn thế giới, bao gồm cả những người bị loại khỏi hệ thống ngân hàng. Tuy nhiên, tự chủ quyền giả định sự riêng tư cá nhân.
Một khi quyền riêng tư bị xâm phạm – ví dụ, bằng cách hack cơ sở dữ liệu của nhà cung cấp ví giám sát của người dùng ví tự giữ – người dùng sẽ bị phơi nhiễm với một mức độ rủi ro không công bằng so với TradFi. Biết tên, địa chỉ, ngày sinh và số ID của ai đó, cùng với hoạt động trên chuỗi của họ, sẽ giúp cho tội phạm dễ dàng hơn để khởi động lừa đảo được cá nhân hóa cao , nhắm mục tiêu thiết bị của người dùng để lấy lại khóa cá nhân hoặc tống tiền chúng, bao gồm cả các mối đe dọa đến an toàn vật lý. Một khi khóa cá nhân bị xâm phạm, người dùng không thể đảo ngược mất quyền kiểm soát ví của họ.
Có liên quan: Việc mất quyền riêng tư: Tại sao chúng ta phải chiến đấu cho một tương lai phi tập trung
Vì tội phạm sẽ tìm cách xung quanh các quy tắc – ví dụ, bằng cách chạy các nút riêng của họ để tương tác với blockchain mà không bao giờ phải dựa vào các nhà cung cấp ví giám sát hoặc phần mềm ví tự quản lý – nó sẽ chỉ là những người sử dụng hợp pháp sẽ phải chịu những rủi ro bảo mật này.
Inconsistencies with EU’s own policy framework
Security aside, the proposal raises broader privacy concerns. The reporting obligation would clash with General Data Protection Regulation (GDPR) principles such as data minimization, which requires that collected data are adequate, relevant and limited to what is necessary for the purpose of collecting them. Ignoring for a moment the argument that data collection serves little purpose, given the missing link between self-custodial control and identity, it’s hard to see — even by TradFi’s standards — how someone’s residential address, date of birth and ID number is relevant or necessary for making a transfer. While banks regularly keep such data about their account holders, you as the account holder don’t need to ask (and know!) these details when sending money or paying for a service.
It is also unclear for how long custodial wallet providers would need to store the data — under GDPR, personal data should be kept only for as long as necessary to fulfil the purpose of collection. Nor is it clear how users’ individual rights under GDPR such as the “right to be forgotten” and the “right to rectification” could be respected if their personal details are linked to their on-chain history, which cannot be altered.
Related: Browser cookies are not consent: The new path to privacy after EU data regulation fail
The lack of any risk-based assessment or a minimum threshold (unlike the 1,000 euro threshold for fiat transfers) is also out of line with EU policy principles. The proposal seems to treat all crypto transfers with suspicion just because they involve crypto assets.
Now is the time to engage with policymakers
Faced with the prospect of developing costly compliance processes that would likely fail to effectively implement the rules, and risking penalties for non-compliance and potential data breaches, EU-based custodial wallet providers may decide to restrict transfers from and to self-custodial wallets altogether. They may also start servicing EU users from outside the EU. This sends bad signals to the crypto industry and risks discouraging tech talent and capital from the EU, similar to the recent departure of some crypto operators from the United Kingdom.
Related: Consolidation and centralization: How Europe’s new AML regulation will affect crypto
More users may also switch to peer-to-peer transactions and decentralized players to avoid the burdensome rules. While this could be beneficial for some users, the EU should encourage smooth interconnectivity between centralized and decentralized players and promote users’ freedom to choose how they want to transact.
The proposal has now moved to negotiations between the EU legislative bodies starting April 28, with the final text expected by the end of June. If the rule passes in its current form, there will still be a chance to review it within 12 months after its coming into force. However, we can’t rely on this — now is the time for the European crypto industry to coordinate and engage with policymakers. Instead of forcibly applying TradFi rules to a developing technology, we should promote outcome-based policies that allow the emergence of novel compliance solutions that respect how crypto works.
This article does not contain investment advice or recommendations. Every investment and trading move involves risk, and readers should conduct their own research when making a decision.
The views, thoughts and opinions expressed here are the author’s alone and do not necessarily reflect or represent the views and opinions of Cointelegraph.
