中国Web3创业 要格外注意用户实名、KYC和反洗钱

区块链没有国界，但从业人员却有自己的国家。零知识证明等加密算法或许可以让你匿名，但法律却要求你实名。

在中国Web3创业领域，各位老板需要关注的，除了明确的行业负面禁止从业清单外，对用户实名、KYC（Know Your Customer）和反洗钱等监管要求的关注程度也应重视。这篇文章，和大家聊一聊中国Web3创业中与用户实名、KYC和反洗钱相关的问题，希望对大家有所帮助。

01 互联网实名认证

中国的互联网用户实名监管要求是指根据相关法律法规，互联网用户在进行网络注册、登录和使用互联网服务时需要提供真实身份信息。这一要求旨在维护网络空间的秩序和安全，防止不法行为和虚假信息的传播。

举个例子来理解。当一个用户在某个网站上注册账号时，他需要提供真实姓名、身份证号码等个人信息，并进行验证。网站运营方会将这些信息与公安部门的身份信息库进行比对，确保用户的身份真实性。如果发现有虚假信息或者其他违法行为，网站方可以根据相关法律法规采取相应的处理措施，例如限制账号使用、关闭账号等。

实名认证是一项集合了法律要求、商业变现、用户体验三个维度的重要事情。很多年以前，我跟一个互联网产品经理吐槽过，说为啥用户明明已经通过微信等社交账号登陆产品了，为什么还要让用户再绑定手机号？产品经理一句话就怼过来了，说不搞到用户的手机号我们咋搞钱？

话糙理不糙。

所以你能看到，虽然现在通过支付宝、微信等第三方登录变得十分便捷，但网络平台在用户进行第三方快捷登录后，还会强制或者激励性的让用户绑定自己的手机号。原因是，拥有用户的手机号后更有利于向用户推送短信消息，或者让公司的商务人员电话跟进客户进行产品销售或运营。

• 实名认证的法律要求

不仅是商业化方面的考量，对用户进行实名认证更是法律上的合规要求。目前国内关于用户实名认证的法律法规、政策通知有很多，对于中国Web3、区块链、NFT数字藏品等行业，大家需要重点关注的有：

《区块链信息服务管理规定》第八条 区块链信息服务提供者应当按照《中华人民共和国网络安全法》的规定，对区块链信息服务使用者进行基于组织机构代码、身份证件号码或者移动电话号码等方式的真实身份信息认证。用户不进行真实身份信息认证的，区块链信息服务提供者不得为其提供相关服务。

《互联网用户账号管理规定》第五条 互联网信息服务提供者应当按照“后台实名、前台自愿”的原则，要求互联网信息服务使用者通过真实身份信息认证后注册账号。

《网络安全法》第二十四条　网络运营者为用户办理网络接入、域名注册服务，办理固定电话、移动电话等入网手续，或者为用户提供信息发布、即时通讯等服务，在与用户签订协议或者确认提供服务时，应当要求用户提供真实身份信息。

《电子商务法》 第二十七条　电子商务平台经营者应当要求申请进入平台销售商品或者提供服务的经营者提交其身份、地址、联系方式、行政许可等真实信息，进行核验、登记，建立登记档案，并定期核验更新。

《移动互联网应用程序信息服务管理规定》第七条 移动互联网应用程序提供者按照“后台实名、前台自愿”的原则，对注册用户进行基于移动电话号码等真实身份信息认证。

《互联网论坛社区服务管理规定》第八条 互联网论坛社区服务提供者应当按照“后台实名、前台自愿”的原则，要求用户通过真实身份信息认证后注册账号，并对版块发起者和管理者实施真实身份信息备案、定期核验等。

• 常见的实名认证方式

不同的互联网平台和服务可能采用不同的实名认证方式，具体方式会根据平台需求和技术手段而有所不同。实名认证并不存在完美达标的标准范式，而是要随着不同的商业模式、不同的产品形态而实行。

实名认证有强度上的大小之分，根据要求不同，一般可以分为二要素认证（姓名+证件号码）、三要素认证（姓名+证件号码+银行卡）、四要素认证（姓名+证件号码+银行卡+手机号码）。所以实名认证的原则是：不求最高，但求合适。目前国内主流的实名认证方式有如下几种：

1. 身份证认证：用户提供身份证号码和姓名，系统进行验证。例如，用户在某个网站注册账号时，需要输入身份证号码，并上传身份证照片进行验证。

2. 手机号码认证：用户提供手机号码，系统通过发送验证码或拨打电话进行验证。例如，用户在手机App上注册时，会收到一条包含验证码的短信，输入验证码后完成认证。

3. 银行卡认证：用户提供银行卡号和姓名，系统通过向银行发送验证请求来确认用户身份。例如，某个支付平台要求用户绑定银行卡，系统会向用户的银行卡发送一笔小额交易，用户需确认该交易信息以完成认证。

4. 人脸识别认证：用户通过摄像头拍摄面部照片或视频，系统通过人脸识别技术进行验证。例如，某个在线视频平台要求用户进行人脸识别认证，用户需按照指示在摄像头前进行面部扫描。

5. 邮箱认证：用户提供有效的电子邮箱地址，系统通过发送验证邮件进行确认。例如，用户在某个网站注册时，会收到一封验证邮件，用户需点击邮件中的链接完成认证。

6. 第三方应用接口认证：用户使用支付宝、微信账号登录并授权给第三方应用进行认证。例如，用户可以通过微信扫描二维码登录某个应用，系统获取用户的微信账号信息进行认证。

需要注意的是，不是所有的互联网都需要进行实名认证。如果只是在互联网上单纯的浏览信息是没有必要进行实名认证的，但当用户在网站发布内容、与其他用户互动、购买商品等行为，则需要完成基本的实名认证。

像知乎、微博等内容的网站，通过手机号+验证码的方式就可以完成基础的实名认证，但像直播打赏、网络购物这种涉及到资金往来、收益提现的产品，则需要完成身份证+视频活体检测的严格认证。比如国内目前较多的NFT数字藏品平台来说，因涉及到交易支付，NFT平台需核验用户的身份信息、财产状况等敏感个人信息较多，所以建议使用高强度的身份证+视频活体检测实名认证。

02 什么是KYC？

中国互联网公司的KYC（Know Your Customer）监管要求是指根据相关法律法规，互联网公司在提供金融服务、电子支付等涉及资金交易的业务时，需要了解和验证客户的身份信息、交易背景和风险评估。这有助于预防金融犯罪、洗钱活动和用户资金安全风险，维护金融系统的稳健运行。

KYC监管要求在中国的法律依据包括《中华人民共和国反洗钱法》、《支付清算机构管理条例》等。这些法规要求互联网公司建立和执行有效的KYC制度，确保客户身份验证、风险评估、交易监测等环节得以有效落实。

举个例子来理解。某互联网公司为了遵守KYC要求，在用户注册账户时会要求用户提供身份证件照片和其他个人信息，并进行验证。公司会对用户的身份信息进行比对和核实，以确保其真实性。在用户进行资金交易时，公司会进行交易监测，对异常交易行为进行风险评估和报告，以便发现和阻止可能涉及洗钱和其他违法活动的行为。

这种KYC监管要求在中国的互联网金融领域得到广泛应用，包括支付机构、金融借贷平台、数字资产交易所等。通过有效的KYC措施，互联网公司能够识别和验证客户身份，降低金融风险，保护用户的资金安全，并协助监管机构打击金融犯罪活动。

• 常见的KYC方式

1. 身份证件验证：互联网公司要求客户提供身份证件照片和个人信息，并进行验证。例如，用户在注册银行账户时需要提供身份证件照片，并与公安部门的身份信息库进行比对。

 2. 银行卡验证：要求客户提供银行卡信息，通过向银行发送验证请求来确认客户身份。例如，支付平台在用户绑定银行卡时，会向银行发送一笔小额交易，客户需确认该交易信息以完成验证。

 3. 手机号码验证：要求客户提供手机号码，系统通过发送验证码或拨打电话进行验证。例如，某网站在注册时会发送短信验证码到用户提供的手机号，用户需输入验证码完成验证。

 4. 人脸识别验证：要求客户通过摄像头拍摄面部照片或视频，系统通过人脸识别技术进行验证。例如，某金融应用要求客户进行人脸识别验证以确认身份。

 5. 地址验证：要求客户提供居住地址证明，如水电费账单或居住证明等。例如，某网站要求用户上传水电费账单作为居住地址的验证材料。

 6. 职业验证：要求客户提供工作单位、职位信息等进行验证。例如，某金融平台要求客户提供工作单位和职位证明，以核实其职业身份。

 7. 存款凭证验证：某些金融机构可能要求客户提供存款凭证，以验证其资金来源和交易背景。例如，客户需要提供银行存款证明或其他资金来源证明文件。

8. 联系人验证：有些互联网公司可能会要求客户提供紧急联系人信息，以用于紧急情况或核实客户身份。例如，在开设新的金融账户时，要求客户提供一个紧急联系人的姓名和电话号码。

 9. 专业资质验证：特定行业或服务提供商可能需要验证客户的专业资质。例如，某在线教育平台可能会要求教师提供教师资格证书或学历证明。

10. 反欺诈和风险评估：除了单一的身份验证外，互联网公司还会使用反欺诈和风险评估工具来评估客户的信用和风险水平。这可能包括数据分析、信用评分等方法，以确定潜在的欺诈风险。

 11. 交易监测和异常行为检测：互联网公司会监测客户的交易活动，并使用自动化系统来检测异常行为，如大额交易、频繁转账等。这有助于发现可疑的资金流动和潜在的非法活动。

以上是一些常见的KYC方式，互联网公司根据业务性质和监管要求可能会采用多种方式的组合，以确保客户身份的准确性和交易的合规性。这些KYC措施有助于保护用户资金安全，减少金融风险，同时也有助于维护金融系统的稳定和社会的安全。

03 什么是反洗钱？

反洗钱监管要求旨在防止和打击洗钱活动，确保互联网公司在金融服务、电子支付等涉及资金交易的业务中履行反洗钱的职责。这些要求包括客户身份验证、交易监测、风险评估和报告等方面。

反洗钱监管的法律依据主要包括《中华人民共和国反洗钱法》、《支付清算机构管理条例》等。这些法规要求互联网公司建立和执行有效的反洗钱制度，合规履行反洗钱的义务，并配合监管机构的监管和调查工作。

• 常见的反洗钱方式

1. 客户身份验证：要求客户提供有效身份证件和个人信息，并进行验证。比如互联网支付公司要求用户在注册时提供身份证件照片，并与公安部门的身份信息库进行比对。

2. 交易监测和异常行为检测：互联网公司监测客户的交易活动，使用自动化系统检测异常行为。比如某互联网金融平台使用风险监测系统，发现用户账户有大额转账行为，系统会自动触发警报并通知内部反洗钱团队进行进一步调查。

3. 客户尽职调查和风险评估：对客户进行尽职调查，评估其背景和风险水平。比如某数字资产交易所在新用户注册时要求提供个人和职业信息，进行反洗钱背景调查和风险评估。

4. 可疑交易报告：发现可疑交易时，按照规定向相关监管机构报告。比如某互联网银行发现用户账户频繁进行大额现金交易，根据规定将相关交易信息报告给中国人民银行反洗钱部门。

5. 内部合规管理和培训：建立内部合规管理机制，对员工进行反洗钱培训。比如某互联网证券公司定期组织内部培训，教育员工认识洗钱风险，确保公司内部合规管理的有效性。

通过客户身份验证、交易监测、风险评估和报告可疑交易等方式，互联网公司能够识别和防范洗钱风险，确保金融系统的稳定和安全。同时，建立内部合规管理和进行员工培训，有助于提高员工对洗钱活动的识别能力和合规意识。这些措施是互联网公司履行反洗钱责任的关键步骤，以保护金融系统的稳健运行，并遵守相关法律法规。

04 结语

总结起来，中国Web3创业者在用户实名、KYC和反洗钱等方面面临着严格的监管要求，确保用户身份真实、遵守反洗钱法规是至关重要的。创业者们需要重视合规性，建立健全的实名认证和KYC机制，以保护用户权益、减少金融风险，并获得监管机构的信任。

同时，创业者们也应该看到这些要求背后的机遇。通过有效实施用户实名认证和KYC措施，创业者们可以建立起可信赖的平台形象，吸引更多用户和合作伙伴的信任，为用户提供更安全、可靠的服务。

在Web3的未来中，用户实名、KYC和反洗钱将继续扮演重要的角色。随着监管的不断加强和技术的进步，我们有理由相信，中国的Web3创业者将能够应对这些挑战，坚守合规，共同探索Web3创业的无限可能性，为中国数字经济的蓬勃发展贡献力量！

此时快讯

【派盾：Arcadia Finance被攻击是由于缺乏无信任的输入验证】7月10日消息，PeckShield发推称，链上保证金协议Arcadia Finance被攻击是由于缺乏无信任的输入验证，黑客利用该漏洞从darcWETH和darcUSDC金库中提取资金。 
此前报道，BlockSec旗下Phalcon发推称，Arcadia Finance在以太坊与Optimism上遭遇攻击，损失40万美元。