为什么这事必须“左右兼顾”
KYC 的初衷是识别客户、抑制洗钱和恐怖融资,但执行过程涉及身份证件、活体视频、地址与交易行为等高度敏感数据。监管侧强调“风险为本”的尽调与留存,隐私侧强调“数据最小化、目的限定与跨境合规”。若只追求“开户秒过”,可能踩监管红线;若只为“零风险”而过度采集,又会违反数据保护原则并拖垮转化率。权衡的关键是把合规要求“翻译”为最小可行的数据与流程,并用可验证凭证与选择性披露等新工具减少不必要的暴露。
监管基线:你至少要对齐哪些“硬指标”
FATF 标准与虚拟资产要求
金融行动特别工作组(FATF)的第10号建议要求客户尽职调查(CDD)与记录保存,第16号(“Travel Rule”)要求在资金/加密资产转移时随附必要的发起方与收款方信息。对虚拟资产与 VASP 的最新落地与监督做法,FATF 2024–2025 的针对性更新与最佳实践文件给出了明确路径。
欧盟:2024 反洗钱套件 + MiCA/TFR
欧盟在 2024 年通过了新一揽子 AML/CFT 法案:统一规则的反洗钱法规(AMLR 2024/1624)、第六版 AML 指令(2024/1640)和设在法兰克福的反洗钱局 AMLA(2024/1620)。对加密领域,MiCA 与《资金与特定加密资产转移信息规章》(TFR 2023/1113)配套落地,将 Travel Rule 翻译进加密转账场景。
美国:CIP 规则
美国《客户身份识别计划》(CIP)要求银行实施“风险为本”的身份核验,形成对客户真实身份的“合理确信”,并在无法验证时设定拒绝开户或受限使用的处置流程。
隐私与数据保护:GDPR 的三块“地雷区”
合法性与法律依据
在 AML/KYC 语境下,处理个人数据通常以“履行法定义务”(GDPR 第6条1款(c))作为主要法律依据,而非同意;“合法利益”(6(1)(f))也可在特定非强制情形下评估,但须进行利益衡量并避免权利侵害。
数据最小化、目的限定与跨境传输
GDPR 要求仅收集为达成特定目的所“必要”的最少数据,并在跨境传输时满足第V章要求(充分性决定、标准合同条款等)。这直接约束了远程开户中“顺手多要几样”的冲动。
留存期限:5 年 +(最多)再延长 5 年
AMLD4/5 明确 KYC 文档与信息通常在业务关系结束后保存 5 年;成员国可在有正当理由时再延长不超过 5 年。2024 新规延续并细化了与集中化机制配套的留存口径。
远程开户(eKYC):监管对“便捷”的边界
欧洲银行管理局(EBA)的远程客户开户指南要求:证件真伪核验、活体检测与防冒用能力、外包与模型治理、全程可审计记录等,确保“非到店”的便利不以牺牲安全为代价。
新基建:把“少暴露”做成默认选项
可验证凭证(VC)与选择性披露
W3C《可验证凭证数据模型 2.0》已成为标准,支持仅在必要时披露所需属性(如“满18岁”而非完整生日)。这与欧盟 2024 生效的欧洲数字身份框架(eIDAS 2.0)和 EUDI Wallet 一致:成员国需在 2026 年前向公民提供数字身份钱包,强调用户对共享信息的可控性。
零知识证明(ZK)与“合规可验证”
基于 ZK 的选择性证明可让用户在不暴露底数的情况下完成资格校验与合规性验证,符合 GDPR 的数据最小化原则。
数字身份指南的国际对齐
NIST 发布了 SP 800-63-4(2025),在身份证明、认证与联合的保障等级上更强调隐私、可用性与可达性,对设计兼顾安全与体验的 eKYC 流程有参考意义。
加密行业特别篇:Travel Rule 与“链上—链下”协同
对 VASP 来说,合规 KYC 只是起点;实际转账还需履行 Travel Rule 的信息随附与交换。欧盟的 TFR 将该要求直接适配到加密转账,FATF 最新更新与最佳实践文件也给出跨辖区协作与监督的做法。工程上应采用“链下加密通道交换身份元数据 + 链上转账”的双通道架构,减少公开链上暴露。
产品与合规的权衡模型:三层九条
第一层:采集前置的“必要性判断”
1)用例枚举与最小集:逐项写清“为满足哪条法规/内控必须采集哪些字段”,多一项都要给出处。
2)分层 KYC:低风险/低额度账户走简化尽调,高风险/高额度再提升粒度,避免“一刀切过采集”。
3)跨境传输评估:若需出境,预设 SCC/评估与冗余方案。
第二层:流程中的“少暴露与可验证”
4)VC/选择性披露优先:能用“属性证明”的,尽量不上传原件副本;保留可追溯审计链。
5)活体与防冒用:遵循 EBA 远程开户要求,明确活体检测、视频采集的保存期限与访问最小化。
6)Travel Rule 分域:VASP 之间用加密通道交换必要字段,避免把完整身份数据写入链上或在多方间扩散。
第三层:结果端的“留存、访问与删除”
7)留存 5+5:默认 5 年,延长须有法定事由与记录;到期即销毁或不可逆匿名化。
8)可携带与访问:隐私声明中明确查阅、更正与申诉通道,避免“黑箱开户”。
9)供应商治理:身份核验外包需可审计、可替换,并限定再处理与再转移边界。
典型难题与可操作答案
难题 1:业务想“多要一点”,更稳?
答案:GDPR 的数据最小化与目的限定要求你“只拿必要的”。把法规条文映射到字段清单,超出部分默认不采。
难题 2:生物识别更快更准,可以默认开吗?
答案:用于“唯一识别”的生物识别属于特殊类别数据,需要额外条件与更高的安全与 DPIA 标准;很多场景不宜以“同意”作为唯一支撑。
难题 3:客户要求“立刻删除我的证件照”,能否满足?
答案:在 AML/KYC 的法定留存期内,删除请求会受限;可解释法律依据与到期处置方式,并尽量缩减展示与访问权限。
难题 4:如何兼顾国际对齐与本地体验?
答案:参考 NIST SP 800-63-4 的身份保障与可用性指南,结合 EUDI Wallet/VC 的最小披露设计,做到“同一后端标准,多种前端体验”。
实操清单(给产品、风控与工程)
- 在隐私声明中明确:法律依据(通常为法定义务)、留存年限、跨境路径与用户权利页。
- 上线前过一遍 EBA 远程开户检查表:证件真伪、活体检测、模型与外包治理、记录留存。
- VASP 落地 Travel Rule:选择兼容 FATF 口径的互通方案,支持加密交换与重放审计。
- 对 KYC 影像与模板实施分级加密、最小访问与密钥托管,避免“影像库”集中暴露。〔通用安全实践〕
- 采用 VC/选择性披露与 EUDI Wallet 对接路线图;优先在“年龄/地域/黑名单排除”等场景试点。
- 建立留存到期自动化:5 年到期触发销毁/不可逆匿名化;延长期须合规审批与理由留痕。
FAQ
Q:做 KYC 一定要用“同意”吗?
A:在大多数 AML/KYC 场景,法律依据是“履行法定义务”,非同意;使用“同意”反而会造成可撤回带来的合规风险。
Q:远程开户的视频和生物特征保存多久合适?
A:不超出 AML 留存与审计需要,达到目的即删除或降维处理;要在隐私声明里写清保存期限、用途与访问控制。
Q:Travel Rule 会不会泄露我的隐私?
A:规则要求信息随转移“安全且立即”传递,建议采用链下加密交换与最小字段集,FATF 2025 监督最佳实践亦强调监管协作与保护措施。
