萬字詳談加密合規：Tornado Cash制裁後時代

Zonff Partners

特邀专栏作者

2022-10-18 11:00

本文約15251字，閱讀全文需要約22分鐘

四個角度淺談當下加密市場的合規問題。

原文標題：《加密合規：Tornado Cash 制裁後時代｜ZONFF Research》

原文作者：Sullivan，Zonff Partners 投資總監

2022 年8 月8 日，美國財政部將以太坊上的Tornado Cash 地址列入美國海外資產管理辦公室（OFAC）美國特別制定國民名單（SDN）列表。幾天后，Tornado Cash 的開發者Alexey Pertsev 在荷蘭被捕入獄，這是歷史上首次鏈上智能合約被OFAC 直接製裁，事件經過發酵後迅速引發了市場新一輪關於加密企業合規問題的廣泛討論。受此事件影響，許多加密企業，尤其是DeFi 公司及員工開始擔心其自身安全與業務的合規性。

本文將從加密監管架構、Tornado Cash 制裁事件、OFAC、加密企業合規指導實踐四個角度淺談當下加密市場的合規問題。

加密監管架構

新加坡

圖片描述

美國

新加坡

新加坡

中國

歐盟

加密貨幣在整個歐盟被廣泛認為是合法的，但各個成員國的加密貨幣交易法規不同。加密貨幣稅在各國不盡相同，許多成員國對加密貨幣衍生的利潤會徵收0 - 50% 的資本利得稅。 2015 年，歐盟法院裁定，傳統貨幣兌換加密貨幣應免徵增值稅。

2020 年1 月，歐盟第五反洗錢指令（5AMLD）將加密貨幣- 法定貨幣交易所納入歐盟反洗錢立法，要求交易所對客戶執行KYC/CDD 並滿足標準報告要求。 2020 年12 月，6AMLD 生效：該指令通過將網絡犯罪添加到洗錢上游犯罪清單中，這使加密貨幣合規性更加嚴格。

拉丁美洲

拉丁美洲

在拉丁美洲，各國對於加密貨幣的監管態度有所不同。監管更嚴厲的國家包括全面禁止加密貨幣和交易所的玻利維亞，以及禁止流通除政府發行的SDE 代幣之外的所有加密貨幣的厄瓜多爾。相比之下，在墨西哥、阿根廷、巴西、委內瑞拉和智利，零售店和商家普遍接受加密貨幣作為支付方式。

出於稅收目的，加密貨幣在拉美通常被視為資產。它們在整個地區普遍繳納資本利得稅，而巴西、阿根廷和智利的交易在某些情況下也需繳納所得稅。

2021 年9 月，薩爾瓦多成為拉丁美洲第一個將比特幣作為法定貨幣的國家，其發行了政府數字錢包應用程序，並允許消費者在所有交易中使用加密貨幣（以及用美元支付）。儘管此舉引發了國內外的批評，但薩爾瓦多政府此後依然宣布了建設「比特幣城市」的計劃。

1.2 美國加密監管三駕馬車

儘管全球不同國家和地區的監管政策有所不同，但各個國家監管部門的管轄權都有地域限制。據此而言，由於美國監管部門的管轄權能覆蓋到最廣泛的全球加密用戶，其對於加密公司/ 個人所能帶來的執法影響力也會遠遠大於其他國家。因此，美國的加密監管政策動向值得全球加密企業和從業者更多的重視。

在美國，加密貨幣一直是聯邦和州政府關注的焦點，在聯邦層面，大部分關注點集中在行政機構層面，包括證券交易委員會（SEC）、商品期貨交易委員會（CFTC）、美國財政部，此三者可簡要歸為美國加密監管的三架馬車。

在美國進行加密監管的「三駕馬車」中，SEC 與CFTC 主要釐定資產屬性（屬於商品還是屬於證券？），並對各自認為是證券或商品的Token 進行相應的監管；而美國財政部下屬機構更加多元，國稅局主要看加密交易是否納稅，FinCEN 主要關注美國國內的洗錢及反恐，而OFAC 主要負責執行對海外黑名單機構或個人的金融制裁，這三者都需要長期跟踪鏈上交易數據，分析判斷、精準執法。

1.2.1 美國證券交易委員會（SEC）

SEC 通常對任何構成證券的代幣或其他數字資產的發行或轉售擁有監管權，其主要針對ICO 以及代幣屬性進行監管。在2021 年，SEC 主席Gary Gensler 在講話中表明SEC 正在研究加密各個領域，當前至少有七項SEC 正在密切關注的議題，包括：託管、穩定幣、交易平台、借貸平台、ICO、去中心化金融（DeFi）、ETF（不限於比特幣）。

根據美國證券法，如果數字資產被確定為證券，則發行人必須向SEC 註冊證券或根據註冊要求滿足註冊豁免。整體來看，SEC 在各部門中活動最為積極，同時也是既有監管實例最多的部門，其監管核心是「證券」這一關鍵詞，故在研究區塊鏈代幣是否屬於證券的問題上，判斷其是否接受SEC 監管還需按照實質大於形式原則進行個案判斷。但從目前情況來看，除了BTC、ETH 外大部分資產都將很難逃脫證券的定義，特別是新發行的一些資產，一定會面臨SEC 全流程、全方位的監管要求。

1.2.2 商品期貨交易委員會（CFTC）

美國商品期貨交易委員會是美國的金融監管機構之一，CFTC 是美國政府的一個獨立機構，負責監管商品期貨、期權和金融期貨、期權市場。可以理解如果一個數字資產還未並定義為證券，其衍生品的交易範疇主要由CFTC 監管，同時這也是CFTC 與SEC 目前及在未來在監管權限討論交叉最多的地方，也一定程度決定了後續監管的主導權。

1.2.3 美國財政部

a. 國家稅務局（IRS）

2014 年3 月，美國國稅局宣布，「加密貨幣」如比特幣和其他加密貨幣，將由美國國稅局作為「財產」而非貨幣徵稅。

對於提交聯邦所得稅申報表的個人，出售作為「資本資產」（即出於投資目的）持有的加密貨幣的收益或損失應當在(i) IRS 表格1040 的附表D 中，以及(ii) IRS表格8949（資本資產的銷售和其他處置）中報告，個人作為資本資產持有超過一年的加密貨幣的任何已實現收益均需繳納資本利得稅；個人作為資本資產持有一年或更短時間的加密貨幣的任何已實現收益均需繳納普通所得稅。

b. 金融犯罪執法局（FinCEN）

金融犯罪執法局（FinCEN）是一個政府機構，由美國財政部在美國國內和國際運作，由執法機構、監管機構和金融服務機構三大主體組成。

主要關注要點包括：

（1）防止和懲罰洗錢及相關金融犯罪；

（2）通過研究金融機構的強制性披露信息，追踪可疑人員和活動；

整體上來說，FinCEN 目前主要涉及的範圍還是在交易所領域，在美國開設交易所業務、或者類似加密Treasury 業務需要更多關注該部門的監管指南。《銀行保密法》（「BSA」）中的反洗錢法是最為重要的一環，特別是涉及到資金的跨國轉移等，包括穩定幣之間、不同加密貨幣間、穩定幣與法幣之間的兌換。此外，作為無許可去中心化，專注於交換資產、借貸和創造合成資產的DeFi 產品也在可預見的未來將會成為監管的重中之重。

c. 海外資產控制辦公室（OFAC）

OFAC，即美國財政部海外資產控制辦公室，它的使命在於管理和執行所有基於美國國家安全和對外政策的經濟和貿易制裁，包括對一切恐怖主義、跨國毒品和麻醉品交易、大規模殺傷性武器擴散行為進行金融領域的製裁。 OFAC 經特別立法授權可對美國境內的所有外國資產進行控制和凍結，同時負責在對外經濟和貿易制裁事宜上，與美國的歐洲盟國進行緊密合作。它的主要管轄範圍在跨國、恐怖主義等領域，也是本次Tornardo Cash 制裁事件的主角。

OFAC 關注影響美國國家安全的非法金融活動，一切可以潛在被這些犯罪領域份子利用的協議、網絡、應用都將長期受到其關注。 OFAC 的製裁清單SDN（美國特別制定國民名單）是非常強的監管工具，如果受到製裁後果很嚴重。對於眾多DeFi 產品來說，OFAC 所出具的監管指導應當是首先需要研究遵守的合規文件。

美國下達首次針對智能合約的製裁- Tornado Cash

圖片描述

圖片來源：US DEPARTMENT OF THE TREASURY

2.1 Tornado Cash 受OFAC 制裁的緣由

根據美國財政部官網披露的製裁原因顯示，Tornado Cash 自2019 年創建以來已被用於清洗價值超過70 億美元的加密貨幣。其中包括超過4.55 億美元被朝鮮民主主義人民共和國（DPRK）國家支持的黑客組織Lazarus Group 竊取，該組織於2019 年被美國製裁，這是迄今為止已知的最大的加密貨幣搶劫案。 Tornado Cash 隨後被用於清洗來自2022 年6 月24 日Harmony Bridge Heist 的超過9600 萬美元的惡意網絡參與者資金，以及來自2022 年8 月2 日Nomad Heist 的至少780 萬美元的資金。

OFAC 在官網披露中認為：Tornado Cash（Tornado）是一種在以太坊區塊鏈上運行的加密貨幣混合器，通過混淆其來源、目的地和交易對手，不加選擇地促進匿名交易，而無需確定其來源。 Tornado 接收各種交易並將它們混合在一起，然後再將它們傳輸給各自的接收者。雖然據稱目的是增加隱私，但像Tornado 這樣的混合器通常被非法行為者用來洗錢，尤其是那些在重大搶劫中被盜的資金。 Tornado 被指認為非法網絡活動提供實質性協助，可能對美國的國家安全、經濟健康或金融穩定造成重大威脅，因此受到OFAC 的製裁。

2.2 Tornado Cash 所受到的影響

截止目前，Tornado 受到的影響主要有兩部分：

與Tornado Cash 有交互被列入SDN 的部分以太坊及USDC 地址及USDC 資產
Tornado Cash 的Github 代碼庫及前端官網已經限制訪問

根據OFAC 制裁規定，SDN 清單主體在美財產會被凍結，任何美國人（包括美國公民、美國綠卡、依美國法律登記設立的機構或法人以及位於美國境內的人等）不得與其交易，這也意味著SDN 主體將無法進行美元清算與交易。即「美國人」都會禁止與之發生關係，不然除了罰款可能甚至要負刑事責任。

對於被列入SDN 的以太坊及USDC 地址而言，根據OFAC 制裁結果，制裁發出後USDC 發行商Circle 正式將美國財政部製裁名單中的以太坊地址列入黑名單。 Uniswap 屏蔽了253 個與被盜資金或製裁有關的加密地址，借貸協議Aave 同樣屏蔽了眾多與Tornado Cash 有過交互轉賬的地址。 ( 美國財政部官網披露的受制裁地址SDN List Cyber-related Designation: https://home.treasury.gov/policy-issues/financial-sanctions/recent-actions/20220808)

而對於Tornado 本身來說，這次製裁導致訪問Tornado Cash 被限制，而用戶不僅不能登上Tornado Cash 官網，並且像Infura 和Alchemy 這樣的第三方節點運營商，也將停止支持Tornado Cash 的相關服務。此外，最為廣泛使用的以太坊錢包MetaMask 的用戶，現在也被禁止與Tornado Cash 互動（因為MetaMask 依賴Infura 與以太坊互動，仍然想使用Tornado Cash 的用戶除非自己手動設置MetaMask 的節點配置，不用Infura，才能保證MetaMask 可以和Tornado Cash 交互），嚴重限制了Tornado Cash 用戶數量。

對於Tornado Cash 的製裁，雖然影響了大量用戶對協議的訪問、代碼的協作開發以及部分協議功能，例如Distributed Relayer Network。會使得普通用戶更加難以參與上述這些活動。但是，由於Tornado Cash 是部署在以太坊（無法篡改區塊鏈）上的去中心化應用程序，該應用程序本身將繼續在網絡上不受影響地運行，並且幾乎無法停止運行。

2.3 Tornado Cash 制裁本身的程序性合規爭議

正由於Tornado Cash 去中心化的本質，所以OFAC 列出製裁的加密貨幣錢包也不能表明這些被制裁的錢包背後有實體、法人、自然人可以被制裁，因為安裝在以太坊智能合約上的錢包，可以不被人控制，自動根據代碼進行混幣。並沒有證據表明，部署了Tornado Cash 的自然人或者法人團隊現在還對該程序進行控制。在Tornado Cash 的邏輯裡，混幣的用戶可以來自五湖四海，但並沒有中心審查團隊或者機制去甄別這些客戶，但這並不一定是有人故意為之，而是系統與算法自動進行去中心化的匹配和處理。在這種情況下，有律師認為OFAC 是否可以將一個自動協議列入SDN，該情況是否違憲？

如果被制裁的Tornado Cash 是一個實體，實體如果認為OFAC 制裁不公，是可以通過法律手段進行申辯並且在聯邦法院提起訴訟。由於訴訟只有實體可以提出，所以請願移出SDN 名單也只有實體才可以做到，那麼制裁沒有中心的實體是不是不公平？同時，制裁相關錢包並無法改變該自動算法自動進行交易的行為，那制裁是否違背了OFAC 的初衷，即促使某組織或個人改變行為。

加密貨幣智庫Coin Center 認為OFAC 制裁Tornado Cash 的行為超出了該組織的權限，由於製裁併未推動在「實體」上，同時不能有效改變行為。最後它並不在IEEPA（《國際緊急經濟權利法》）規定的對「財產」封鎖的範疇內，且沒有提供美國憲法規定的程序性正當程序要求，所以OFAC 此行為超出其本身的行政權力。

在荷蘭政府羈押了Tornado Cash 創始人Alex Pertsev 之後，8 月20 日有超過50 人的集會在阿姆斯丹遊行抗議該羈押，要求釋放Alek Pertsev。目前，對OFAC 這次製裁存疑的律師在組織力量和OFAC 聯繫並試圖在法律層面推動抗議與訴訟。

海外資產控制辦公室（OFAC）概述

3.1 OFAC 由來

海外資產控制辦公室（the Office of Foreign Assets Control，簡稱OFAC）成立於1950 年，是美國財政部下屬的一個機構，主要對反對美國利益的外國人和組織進行經濟或者貿易制裁，權力很大、名聲相對較小，制裁效果明顯，往往上了OFAC 名單會給被制裁的目標帶來深遠的影響。

OFAC 的創立來源於國會於1977 年通過的一項法案-《國際緊急經濟權力法》（簡稱IEEPA），該法案首先要遵守美國憲法，所以行使法案相關權力的行為也要符合美國憲法。 IEEPA 給予總統（國家行政機構）宣布國家緊急狀態的權力，從而阻止受美國管轄的人和組織進行任何涉及外國勢力損害美國利益的活動。 IEEPA 給予了OFAC 封鎖財產的權力，其核心是「財產」。 911 之後，為了從財務上更好地打擊恐怖組織，當時的美國總統布什推進國會通過了另一項法案《美國愛國者法案》，實質上將IEEPA 擬定的行政權擴大了，並給予了OFAC 很大的權力。該法案允許OFAC 封鎖「調查中（Pendency of an Investigation）」的財產，並不必為此提出解釋或提供確鑿的證據。

OFAC 的使命在於管理和執行所有基於美國國家安全和對外政策的經濟和貿易制裁，包括對一切恐怖主義、跨國毒品和麻醉品交易、大規模殺傷性武器擴散行為進行金融領域的製裁，目前的OFAC仍然是美國最重要的針對特定國家、地區和人員進行的經濟和貿易制裁的政府部門。近年來，隨著世界性的反貪腐、反洗錢運動的深入，OFAC 的政策和指令，已經成為世界金融業，尤其是美國和與美國金融業有密切聯繫的金融機構無法忽略的經營原則。

3.2 OFAC 主要處罰類型

在OFAC 開始將製裁的大棒揮向加密貨幣和區塊鏈行業之前，OFAC 的傳統制裁對像一般是意識形態上挑戰美國的與主權國家相關的個人與組織。 2021 年10 月，OFAC 發布了針對加密貨幣的合規引導（Sanctions Compliance Guide for the Virtual Currency Industry），裡面重申了OFAC 的製裁類型，一共是四類：

i) 廣泛商貿制裁和封鎖，目前主要針對伊朗、朝鮮、古巴、敘利亞、克里米亞地區；

ii) 針對政府或者政權的製裁；

iii) 清單制（目前有許多加密貨幣行業的製裁走的是清單制，包括本次的Tornado Cash 制裁）；

iv) 行業製，針對某些外國的某特定產業；

3.3 受到OFAC 處罰的主要原因

根據美國財政部出具的《A Framework for OFAC Compliance Commitments》，受到OFAC 處罰的原因值得加密企業注意的有以下五點：

A. 缺乏正式的OFAC Sanctions Compliance Program（SCP）

OFAC 不強制需要企業具備正式的Sanctions Compliance Program（SCP），但是OFAC 鼓勵受美國管轄的組織，尤其是那些從事國際貿易的組織，或交易或擁有位於美國境外的任何客戶或對手方採用正式的SCP 。從OFAC 已經敲定的多項民事罰款中可以看出，沒有SCP 是在OFAC 調查過程中發現的違反制裁的主要原因之一。此外，OFAC 在進行製裁判斷時，經常將此因素確定為加重因素。

B. 與受制裁的非美國人員進行交易（包括通過海外子公司或關聯公司）

受美國管轄的組織- 特別是那些在美國境外擁有海外業務和子公司的組織- 通過將商業機會轉交給海外子公司與非美國地點受OFAC 制裁的國家、地區或個人進行交易，從事了違反OFAC 規定的交易或活動。

C. 制裁篩選軟件未更新或過濾器故障

許多組織對其客戶、供應鏈、中介機構、交易對手、商業和財務文件以及交易進行篩選，以識別並避免與OFAC 所製裁的地區、當事人進行交易。有時，組織未能更新其製裁篩選軟件以將更新的製裁名單實體納入其組織內部的SDN 列表或SSI 列表。

D. 對客戶的不當盡職調查

有效的OFAC 風險評估和SCP 的基本組成部分之一是對組織的客戶、供應鏈、中介機構和交易對手進行盡職調查。 OFAC 採取的各種制裁行動涉及原因包括組織對其客戶的不適當或不完整的盡職調查，例如他們的實控主體、地理位置、關聯方和交易本身，以及他們對OFAC 制裁的了解和認識。

E. 個人責任

在一些情況下，個別員工- 尤其是在監督、管理或行政級別的職位，在導致或促成違反OFAC 管理的法規方面成為了主要原因。具體而言，在其中一些案例中，外國實體的員工還努力向公司組織內的其他人（包括合規人員）以及監管機構或執法部門隱瞞和隱瞞他們的活動。在這種情況下，OFAC 將考慮使用其執法機構不僅針對違規實體，還針對個人。

3.4 OFAC 處罰所帶來的影響

不遵守OFAC 制裁要求可能會對美國製裁計劃及其相關政策目標的完整性和有效性造成重大損害。因此，對違規行為的民事和刑事處罰可能很重，具體的處罰行為會因制裁計劃而異。

加密企業的合規策略怎麼做

自BTC 誕生以來，Crypto 行業的相關犯罪就集中在金融領域，其中以近年來發展迅速的DeFi 猶甚。相較於其他種類犯罪，經濟金融領域犯罪往往波及人群範圍廣，涉及金額巨大（如本次受制裁的Tornado Cash 所涉金額就數以億計），因此也是各國監管機構最主要關注的領域和監管抓手。

相較於DeFi，其他領域的Crypto 合規市場需求則相對較小或已經有較為成熟的標準化流程。比如像BAYC/Clonex 等藍籌NFT IP 侵權問題，即使侵權方未經允許使用前述IP 形像以盈利為目的進行商業經營，IP 持有人在耗費時間金錢成本後也往往只是讓對方撤下IP 形象，難以獲得高額賠償。且由於NFT 本身去中心化及全球化的特性，跨境執行也會成為難點。此外，實踐上另一個符合監管合規市場需求較多的就是交易所牌照的事，這個領域已經有比較成熟的標準化流程，市場中也以有許多中介機構可以做該領域業務，這裡不做過多探討。因此，本文主要是針對DeFi 領域，並結合實踐中存在的監管處罰從項目方角度進行合規策略探討。

4.1 首先，DeFi 項目在合規方面可以分為兩個層面：(1) 智能合約本身；(2) 提供各類前端服務的項目公司。

一個DeFi 項目的組成，除了本身去中心化自動運行的智能合約以外，還需要一些人力的支持從而方便用戶使用。比如Uniswap，其不僅通過智能合約實現去中心化交易所的屬性功能，還需要Uniswap Labs 來僱傭工作人員運行如前端網站或使用Twitter 進行市場推廣營銷。對於Uniswap Labs 而言，其面臨的合規要求也更貼近一家普通的公司。

圖片描述

圖片描述

圖片來源：TRM Labs

B. 提供各類前端服務的項目公司

作為智能合約背後提供前端服務的公司，其受到製裁的影響會更加直接。如Tornado Cash 受到製裁後，其本身的前端網站就無法正常連接Metamask 錢包進行使用，其Twitter 賬號也暫停更新，Github 代碼庫也受到了限制訪問。

對於項目公司而言，其作為一個法律實體提供DeFi 相關的金融服務，應當按照當地法律法規完成相關要求，如運營牌照的申請註冊或互聯網信息服務合規要求。

4.2 內部合規設置- Sanctions Compliance Program（SCP）

對於前述DeFi 合規兩個層面的認識，作為項目方還是可以通過項目公司內部安排來滿足監管的合規要求。根據美國財政部OFAC 於2021 年10 月出具的《Sanctions Compliance Guidance for the Virtual Currency Industry》，DeFi 項目方可以在內部合規方面安排以下五個部分：

A. 管理層承諾（Management Commitment）

高級管理層對公司製裁合規計劃的嚴格遵守執行是決定該計劃成功的最重要因素之一，高級管理層的支持對於確保制裁合規工作獲得足夠的資源並完全融入公司的日常運營至關重要。來自高層的適當語氣也有助於使計劃合法化，賦予公司製裁合規人員權力，並在整個公司培養合規文化。

管理層對公司基於風險的製裁合規計劃的嚴格遵守執行的重要性在加密貨幣行業與在任何其他行業都是一樣的。在許多情況下，OFAC 觀察到加密貨幣行業的成員在開始運營數月甚至數年後才開始遵守OFAC 制裁政策和程序。延遲制裁合規計劃的製定和實施可能會使加密貨幣公司面臨各種潛在的製裁風險。

從實踐操作上而言，項目方的高級管理層可以考慮採取以下步驟來證明他們對製裁合規的支持：

審查和批准制裁合規政策和程序
確保充足的資源（包括人力資本、專業知識、信息技術和其他資源）支持合規職能
向合規部門授予足夠的自主權和權力
任命至少一名具備必要技術專長的專職制裁合規官，這些人員具備在OFAC 的法規、流程和行動方面的技術知識和專長；這些人員了解複雜的金融和商業活動、將他們對OFAC 的了解應用於這些項目並具備識別與OFAC 相關的問題、風險和禁止活動的能力

B. 風險評估（Risk Assessment）

制裁風險如果忽視或處理不當，可能導致違反OFAC 法規和隨後的執法行動，損害美國外交政策和國家安全利益，並對公司聲譽和業務產生負面影響。 OFAC 建議制定制裁合規計劃的加密貨幣行業的公司進行例行並在適當的情況下持續進行風險評估，以避免公司可能遇到的製裁問題。

雖然沒有「一刀切」的風險評估方式，但通常應包括對公司的全面審查，以評估公司與OFAC 制裁的個人、國家或地區存在接觸的潛在風險。通過定期進行的風險評估，項目方可以實時調整內部合規篩選標準從而滿足最新的監管要求。

案例：診斷有風險的關係

2021 年，OFAC 與一家美國加密貨幣支付服務提供商簽訂了一項和解協議，以處理該公司客戶與位於受制裁司法管轄區的個人之間的虛擬貨幣交易。雖然該公司的製裁合規控制包括篩選其直接客戶（美國和其他地方的to B 商家）是否與製裁有潛在聯繫，但該公司未能篩選出有關使用其支付處理平台並從平台商家購買產品的個人制裁信息。具體來說，在進行交易之前，公司會收到一些買家的信息，例如姓名、地址、電話號碼、電子郵件地址，有時還包括互聯網協議（IP）地址。包括了解誰在訪問公司的平台或服務在內的全面的風險評估可以幫助項目方確定為其每項產品和服務設置的適當篩選標準。

C. 內部控制（Internal Controls）

有效的製裁合規計劃將包括旨在解決公司風險評估中確定的風險的政策和程序。這些可能包括對OFAC 實施的製裁禁止的交易或活動進行識別、阻止、升級、報告（如適用）和維護記錄。有效的製裁合規計劃將使公司能夠對客戶、業務合作夥伴和交易進行充分的盡職調查，並識別「危險信號」。危險信號表明可能正在發生非法活動或合規性障礙，促使公司進行調查並採取適當的行動。公司應執行政策和程序，並找出弱點（包括通過對任何違規行為的根本原因分析）並進行補救以防止可能違反制裁的活動。

在Crypto 行業，公司實施內部控制將取決於公司提供的產品和服務、公司運營地點、用戶位置以及公司在風險評估過程中識別出的特定制裁風險。雖然OFAC 不要求加密貨幣行業使用任何特定的內部或第三方軟件，但這些對於有效的製裁合規計劃來說可能是有用的工具。

案例：雙重審查

加密貨幣行業成員面臨的一項製裁風險來自位於受制裁司法管轄區的用戶使用其產品和服務。 2020 年，一家在國際上提供數字資產託管、交易和融資服務的美國公司與OFAC 簽訂了一項和解協議，原因是公司給位於受制裁司法管轄區的個人處理加密貨幣交易。儘管該公司出於安全目的在用戶登錄時跟踪其用戶的IP 地址，但該公司並未使用其收集的IP 地址信息來篩选和防止潛在的製裁違規行為。因此，儘管當時烏克蘭、古巴、伊朗、蘇丹和敘利亞的克里米亞地區的作為司法管轄區受到製裁，該公司未能禁止上述地區的個人使用其非託管安全數字錢包管理服務，實施內部控制以篩選可用數據並阻止涉及某些IP 地址的活動可以防止違反制裁。

OFAC 建議項目公司採用以下方案來加強內部控制，作為有效制裁合規計劃的一部分：

a) Know Your Customer (KYC) Procedures

了解您的客戶（KYC）程序- 在與客戶接觸初期並在客戶關係的整個週期中獲取有關客戶的信息，並針對這些信息進行充分的盡職調查，以減輕潛在的製裁相關風險。此信息可用於製裁篩選過程，以防止違規行為。例如，信息收集可能包括合作初期、定期審查和處理客戶交易時的以下要素：

個人：法定姓名、出生日期、實際地址和電子郵件地址、國籍、與交易和登錄相關的IP 地址、銀行信息以及政府身份證明和居住文件。

實體：實體名稱（包括商業和法定名稱）、業務範圍、所有權信息、物理地址和電子郵件地址、位置信息、與交易和登錄相關的IP 地址、有關實體開展業務的信息、銀行信息和任何相關政府文件。

高風險客戶可能需要額外的盡職調查。例如，這可能包括檢查客戶交易歷史，以了解與受制裁司法管轄區的聯繫或與已與受制裁行為者相關聯的加密貨幣地址的交易。此外，根據現有反洗錢（AML）義務收集的信息（如適用）也可能有助於評估和減輕制裁風險。

b) 制裁篩選（Sanctions Screening）

制裁篩選可能是Crypto 公司內部控制的最重要組成部分，可能包括地理位置、客戶識別、交易篩選等。 Crypto 公司應考慮在其製裁合規計劃中實施以下內容：

根據OFAC 管理的製裁名單（包括SDN 名單）篩選客戶信息
篩選交易以識別與受制裁人員或司法管轄區存在關聯的地址，包括物理、數字錢包和IP 地址，以及其他相關信息
利用篩選工具的模糊邏輯功能來檢索出常見的名稱變化和拼寫錯誤，例如：與受制裁的司法管轄區相關的拼寫錯誤或替代拼寫（例如，「Yalta, Krimea」）OFAC 制裁名單上所列人員姓名的大小寫、空格或標點符號的變化（例如，「Krayinvestbank」可能出現在SDN 名單上，但「Krajinvestbank」或「Kray Invest Bank」可能出現在Crypto 公司的交易信息中）
持續的製裁篩选和基於風險的重複篩選以檢索出變更的客戶信息、更新的OFAC 制裁名單或監管要求的變化

c) 識別風險指標或危險信號

風險指標或危險信號：除了KYC 信息識別與製裁篩選外，Crypto 公司還應考慮監控交易和用戶來發現風險，以及可能表明製裁關係的「危險信號」。風險指標的示例可能包含以下個人或實體行為：

嘗試開戶時提供不准確或不完整的客戶身份或KYC 信息
通過與受制裁司法管轄區有關聯的IP 地址或VPN 訪問加密貨幣交易所
沒有回應或拒絕提供更新的客戶身份或KYC 信息
對Crypto 公司的要求沒有回應或拒絕提供額外的交易信息
嘗試使用與受制裁的個人或司法管轄區相關的加密貨幣地址進行交易

此外，在適當情況下，表明洗錢或其他非法金融活動的「危險信號」也可能表明潛在的逃避制裁情形

d) 交易監控和調查

交易監控和調查軟件可用於識別在SDN 上列出的與受制裁個人和實體有關聯的，或位於在受制裁的司法管轄區的加密貨幣地址。這種內部控制有助於使項目公司能夠防止資產轉移到與受制裁者相關的地址並避免違反美國製裁。 Crypto 行業的人士還可以使用交易監控和調查工具來持續審查此類地址的歷史信息或其他識別信息，以更好地了解他們面臨的製裁風險並識別制裁合規計劃的缺陷。

2018 年，OFAC 開始將某些已知的加密貨幣地址作為SDN 名單上所列人員的識別信息。這些加密貨幣地址可以使用OFAC 制裁列表搜索工具中的「ID#」字段進行搜索。作為合規實踐方式，在加密貨幣行業運營的公司應使用類此交易監控和調查軟件，從而識別SDN 名單內的加密貨幣地址及被制裁人員。此外，OFAC 將加密貨幣地址納入SDN 名單可能有助於行業識別可能與被制裁方相關或以其他方式構成製裁風險的其他加密貨幣地址，即使這些其他地址並未明確列在SDN 名單中。

e) 可採取的補救措施

作為對OFAC 執法行動的回應，項目公司可採取行動糾正其明顯違規原因，找出其內部控制的弱點，並實施新的控制以防止未來的違規行為。

其中一些補救措施包括：

對受制裁的司法管轄區實施IP 地址封鎖和電子郵件相關限制
創建一個受制裁轄區城市和地區的關鍵字列表，用於篩選KYC 信息
審查和更新最終用戶協議以包括有關美國製裁所要求的信息
對所有用戶進行追溯批量篩選
為所有員工實施與OFAC 相關的培訓計劃
對與合規工作相關人員進行額外的製裁合規培訓
僱傭額外的合規人員和專門的主管或製裁合規官

D. 測試與審計（Testing and Auditing）

確保制裁合規計劃按預期實行的最佳方法是測試該計劃的有效性。在其製裁合規計劃中納入全面、獨立和客觀的測試或審計職能的公司可以了解其計劃的執行情況，以及需要更新、增強或重新校準哪些方面以應對風險評估或製裁環境變化。

依據公司的規模和成熟度可以決定是否對其製裁合規計劃進行內部或外部審計。加密貨幣行業製裁合規計劃中測試和審計程序的一些方式包括：

制裁名單篩選- 確保對SDN 名單和其他制裁名單的篩選有效運作，並適當標記交易以供進一步審查
關鍵字篩選- 確保篩選工具適當標記與KYC 相關的篩選或其他篩選相關的關鍵字
IP 封鎖- 確保IP 地址軟件正確地阻止用戶從受制裁的司法管轄區訪問其產品和服務
調查和報告- 對在篩選過程中確定為具有潛在製裁關係的交易進行調查的審查程序（例如：涉及被制裁人員或與受制裁管轄區相關的交易），以及向OFAC 報告被封鎖財產或被拒絕交易的程序

E. 合規培訓（Training）

最後，項目公司應當為其內部員工製定制裁合規計劃方面的培訓。公司培訓的範圍將取決於公司的規模、複雜程度和風險狀況，OFAC 培訓應提供給所有適當的員工，包括合規、管理和客戶服務人員，並應定期進行，並且至少每年一次。完善的OFAC 培訓計劃將根據需要提供特定於工作的知識，傳達給每位員工製裁合規方式，並通過使用評估制度讓員工滿足培訓要求。此外，針對加密貨幣行業的不斷變化與新興技術，OFAC 培訓也應不斷進行更新調整。