KYC Know Your Customer
大多数主机商对你执行的身份核验——出于法律、出于选择,或出于已经替它们做过身份核验的信用卡处理商。
在为客户提供服务之前从其处收集身份文件——姓名、地址、政府身份证件——的法律与运营实践。在美国、欧盟和大多数 G20 司法辖区的金融服务领域是 AML 法规所要求的;对大多数主机服务商而言则是自愿的。
整个产品就是围绕不做这件事构建的。
原则上,KYC 并不是一种敌意做法。它的存在是因为监管机构决定金融中介应当知道自己在替谁转移资金,而这一决定降低了通过全球银行通道的直接欺诈和制裁规避的规模。问题在于,当 KYC 被强加到本来就不是金融业务的服务上时会发生什么。
一家执行 KYC 的 Web 主机商,构造出了一份此前并不存在的、高价值的「身份-基础设施」映射。该主机现在知道:正是这个人在那个具体 IP 地址上运行那台具体服务器,承载着那个具体网站。这份映射可以被传唤、可以被入侵、可以被泄漏,而且——在主机所在司法辖区法律保护有限时——可以被主机自己的营销或风控团队使用。
NordBastion 拒绝构造这份映射。我们接受一个邮箱地址和一笔加密货币付款,不存储任何政府身份证件、法定姓名、电话号码或地址证明。所谓卡留底也不存在,因为根本没有卡。这一做法的对立面定义——「no-KYC」——是同一份术语表的另一面,也是这一理念的基础。
人们真正会问的问题。
KYC 代表什么?
KYC 代表「Know Your Customer」(了解你的客户)。这个短语源自 20 世纪 90 年代末由金融行动特别工作组(FATF)推动的国际反洗钱框架,2001 年通过《美国爱国者法案》被纳入美国法律,并经由相继出台的欧盟反洗钱指令进入欧盟法律。
KYC 对主机服务商是法律强制的吗?
不是。KYC 是针对金融服务——银行、券商、支付处理商、受监管的加密货币交易所——以及少数相邻行业(如房地产和高价值商品)的强制要求。Web 托管在任何主要司法辖区都不是受监管的金融活动。当一家主机商对客户执行 KYC 时,那是一种商业选择(通常继承自卡处理商),而不是法律义务。
典型的 KYC 检查要求哪些文件?
最低限度:法定姓名、居住地址、出生日期。严格端:一张政府签发证件的照片、一张自拍或一段短视频,以及一份近期的水电账单或银行对账单作为地址证明。一些金融级 KYC 还会把姓名比对制裁名单和政治公众人物观察名单。
NordBastion 为什么不做 KYC?
因为对主机来说它不是法律强制的,因为它是托管服务商可能引入的最大单一隐私泄漏来源,而且替代方案——接受不需要身份就能结算的加密货币——在运维上完全行得通。完整理由参见 /doctrine/。