Парадокс конфиденциальности: регулирование финансов с нулевым разглашением в ЕС и за его пределами

ZERO-3,29%
IN4,01%

Финансовое соответствие всегда балансировало на тонкой грани: регуляторы нуждаются в достаточной видимости, чтобы исключить злоумышленников, а пользователи хотят сохранять свою финансовую информацию в тайне для совершения платежей или сделок. В 2025 году это противоречие обострилось как никогда. У нас есть более строгие правила по борьбе с отмыванием денег (AML), расширенные режимы защиты данных, больше трансграничной деятельности и, одновременно, более продвинутые технологии повышения конфиденциальности, чем когда-либо.

Хорошая новость в том, что теперь нам не нужно жертвовать приватностью ради соблюдения требований. Доказательства с нулевым разглашением (ZKPs) предоставляют решение так называемого парадокса приватности: регуляторы требуют уверенности, что правила соблюдаются, но раскрытие полной идентификации и деталей транзакций создает риски безопасности, юридические и защиты данных. ZKPs позволяют изменить модель с «покажи мне данные» на «представь доказательство», что дает возможность компаниям демонстрировать соответствие без раскрытия исходной информации.

Этот подход не предназначен для сокрытия регуляторного надзора. Он модернизирует инструменты соответствия, чтобы регулируемые компании могли подтверждать выполнение своих юридических обязательств (проверки санкций, KYC, разделение клиентских активов, проверки капитала) без передачи или раскрытия исходных данных. ZKPs могут быть лучше для пользователей и, в долгосрочной перспективе, для соблюдения нормативных требований, поскольку доказательства являются проверяемыми и защищенными от подделки.

Что такое действительно zero knowledge

Доказательство с нулевым разглашением — это криптографический способ сказать: «Я могу доказать вам, что я соблюдал правило X, но не буду показывать вам чувствительную информацию, обычно необходимую для этого». В финансах «правило X» может быть очень конкретным: «этот кошелек проверен по текущему списку санкций»; «этот пользователь имеет действительный KYC-аттестат от доверенного удостоверяющего центра»; «эта биржа держит клиентские активы 1:1, и они совпадают с обязательствами»; «эта транзакция ниже (или в пределах) допустимого диапазона» и так далее.

Сегодня по закону нас могут обязать сообщать большие объемы данных определенным регуляторам. Мы соблюдаем применимые законы о защите данных, но это увеличивает риск киберпреступлений и злоупотреблений. Подход на базе ZK подтверждает результат, а не все входные данные. Если регулятору нужно углубиться, можно разработать процесс для выборочного раскрытия конкретных данных (ключи просмотра, ограниченный по времени доступ, полные журналы аудита, предоставляемые по законному запросу), например, через разрешенный регуляторный портал или окно.

Почему это важно сейчас

Три тренда сходятся вместе.

В ЕС регуляторы делают контроль по AML более детализированным, в то время как GDPR и другие режимы защиты данных подчеркивают минимизацию данных и ограничение целей их использования. Эти подходы могут дополнять друг друга, а не противоречить: соблюдение требований должно обеспечивать такую же или лучшую уверенность при меньшей рутинной экспозиции личных данных. Достичь этого можно с помощью методов отчетности, сохраняющих приватность.

Второе — рамки цифровой идентификации (например, те, что предполагаются в eIDAS 2.0) приближаются к реальности. Они основаны на тех же компонентах, что и ZK: проверяемых удостоверениях, выборочном раскрытии и криптографических аттестациях. Это делает гораздо более реалистичным выпуск переносимых удостоверений типа «Я прошел KYC» или «Я не под санкциями», которые можно доказать, а не повторно собирать, в разных сервисах.

Третье — регуляторы исследуют технологии повышения приватности, включая модели проверки доказательств.

Как может выглядеть стек соответствия на базе доказательств

У нас уже есть практические примеры. Наиболее известный — доказательство резервов с использованием ZK: биржа подтверждает наличие активов для выполнения обязательств перед клиентами, не раскрывая индивидуальные балансы. Это — гарантия с нулевым разглашением.

То же можно сделать для проверки санкций. Вместо отправки полной идентификации каждый раз, кошелек предъявляет доказательство, что он был проверен по последнему списку в конкретное время. Регулятор или регулируемый VASP на другой стороне запускает узел-верификатор для подтверждения действительности доказательства и актуальности данных. Важно отметить, что «узлы-верификаторы» — это предложение политики, функционирующее как инфраструктура надзора для регуляторов, позволяющая проверять доказательства без сбора больших объемов данных.

Также это можно применить для разделения активов: хранитель доказывает, что клиентские активы не смешаны с внутренними средствами через доказательство диапазона или суммы, не публикуя всю книгу учета. Можно даже встроить это в смарт-контракты: транзакции не выполнятся, пока доказательство не пройдет проверку. Это — «программируемое соответствие» — правила, применяемые в момент транзакции в «реальном времени», а не после.

Для регуляторов ключевое изменение — переход от сбора необработанных данных к проверке криптографических доказательств. Они по-прежнему получают уверенность, возможность аудита и прослеживаемость при наличии законных оснований для раскрытия информации. Но им не нужно хранить или обрабатывать большие объемы личных данных по умолчанию, что снижает операционные и юридические риски.

Ответы на ключевые вопросы

Регуляторы уже начинают внедрять целевые пилоты на базе ZK, от проверок резервов до соблюдения правил Travel Rule, подтверждающих атрибуты пользователя без раскрытия полных данных. По мере развития этих технологий они естественно масштабируются в контроль за целостностью рынка, позволяя компаниям демонстрировать соблюдение лимитов концентрации и экспозиции через доказательства диапазона и суммы без раскрытия исходных позиций.

Важно подчеркнуть, что ZK — не синоним непрозрачности; хорошо спроектированные системы используют выборочное раскрытие через просмотр или мультипартийные ключи. Это обеспечивает узконаправленный, доказуемый и подлежащий законному процессу доступ правоохранительных органов, а не универсальный и безразличный.

Что могут потребовать регуляторы

Чтобы обеспечить работу по границам, нужны стандарты: стандартные типы доказательств (например, «не в санкционном списке X на дату Y»), стандартные форматы удостоверений и стандартная логика проверки, которую можно инспектировать. Так можно избежать ситуации, когда каждое обменное, кошелек или банк создает свою версию и усложняет надзор.

Конкретно, регуляторы могут получить выгоду от шести вещей:

  1. Результаты, а не данные (расскажите, что вы доказали, а не все, что у вас есть);
  2. Минимальные доказательства информации (доказывайте только то, что необходимо для выполнения обязательства);
  3. Программируемые проверки (применяемые в момент транзакции там, где это уместно);
  4. Надежные механизмы доступности данных и выхода (пользователи всегда могут подтвердить баланс и вывести средства);
  5. Проверяемая логика верификатора (инспекции, тестовые векторы, журналы аудита);
  6. Отсутствие универсальных бэкдоров (раскрытие только по законному, узкому, зафиксированному процессу).

Binance — это глобальная биржа, которая уже использует ZK-протоколы для демонстрации резервов. Наша система доказательства резервов (POR) использует дерево Меркла — криптографическую структуру, которая сводит множество учетных записей к одному «отпечатку» — вместе с доказательствами с нулевым разглашением, чтобы подтвердить, что активы клиентов полностью обеспечены, не раскрывая индивидуальные балансы. С каждым обновлением POR пользователи могут подтвердить, что их баланс включен в дерево, а ZKPs гарантируют правильность общих итогов и отсутствие отрицательных или фальшивых балансов. Итог — независимая, конфиденциальная проверка резервов, которая укрепляет доверие без компрометации личных данных.

Но это больше, чем одна компания. Если мы сделаем правильно, то сможем сделать финансовое соответствие более точным, более уважительным к законам о приватности и проще для надзора.

Это потребует сотрудничества. Регуляторы должны разработать стандарты доказательств, которые они примут; индустрия — согласовать и внедрить эти стандарты; а органы стандартизации — обеспечить совместимость стандартов по границам.

Что означает успех

Успех — это когда пользователь может доказать свою легитимность, не раскрывая лишней информации; банк, VASP или биржа могут выполнить требования AML/Travel Rule, раскрывая меньшие объемы данных; регулятор может запустить узел-верификатор и получать подтверждение в реальном времени; а злоумышленники могут быть выявлены при ясных, узких и законных условиях.

Короче говоря, — уверенность с меньшим раскрытием. По мере роста киберрисков, развития законов о приватности и расширения трансграничных цифровых финансов, переход от рутинного сбора больших данных к проверяемым доказательствам — это прагматичный шаг вперед в практике надзора.

Дисклеймер: Информация на этой странице может быть получена из источников третьих сторон и предоставляется только для ознакомления. Она не отражает взгляды или мнения Gate и не является финансовой, инвестиционной или юридической рекомендацией. Торговля виртуальными активами связана с высоким риском. Пожалуйста, не основывайте свои решения исключительно на данных этой страницы. Подробнее смотрите в Дисклеймере.
комментарий
0/400
Нет комментариев