CoinDesk审查了24家主要加密货币交易所和借贷服务的隐私政策和通知,以了解他们对用户的了解程度以及他们在这方面的透明度。这二十几家公司代表了面向消费者的主流平台的大致面貌。事实证明,加密平台收集了大量用户的个人数据 — 考虑到这种资产类别是在倡导隐私的赛博朋克运动中发展起来的,并且最初被设想为匿名的数字现金,这很有讽刺意味。如今,所有主要的加密服务都受到法律和法规的约束,要求他们对任何新客户进行KYC。加密货币平台本质上是线上的,所以为了确保客户与提交身份证文件的人是同一个人,在过去几年里,他们采用了生物识别验证,要求用户提供身份证照片、包含人像的简短视频或两者兼具。鉴于许多这类平台接受其客户银行账户的法币支付,让他们用当地货币购买加密货币(充当所谓的法币通道),他们也会处理用户的银行信息,在某些情况下也会处理税号。这类平台收集其用户的家庭住址、电话号码、就业信息、银行信息、身份证照片以及他们的照片和/或脸部视频。此外,平台可以看到其用户的整个交易历史,他们用来存入和提取资金的加密货币地址,以及在公共区块链上与他们有关的任何交易。平台还经常收集关于用户登录的设备的技术信息,包括操作系统、浏览器细节、IP地址以及客户用于交易的电脑和手机的位置和时区设置。这是一套非常典型的数据,或多或少任何受监管的加密货币服务都会处理和存储。然而,它们在存储的数据量、如何保护用户的隐私以及对这种做法的披露程度上有所不同。这些公司在其隐私政策中解释说,他们使用这些数据为客户提供优质服务,防止欺诈,并让客户了解相关新闻和更新。然而,这种大量的个人信息使这些平台成为巨大的数据库 — 在发生安全漏洞的情况下,它们可能成为大规模泄漏的来源。很难核实公司究竟是如何处理其用户的数据的。但通过阅读这些公司在其网站上公布的隐私政策,我们可以看到他们在这方面有多么明确和坦率。以下是一些需要注意的问题。
金融数据的使用和存储对于他们接收和存储的与用户财务状况有关的数据,加密货币平台提供不同程度的披露。(在这篇文章中,我们不看平台收集的企业用户的财务信息,只看个人的信息)。CoinDesk审查的大多数隐私政策都提到了银行账户号码和(正如人们所期望的)平台上的交易历史。加密货币借贷提供商BlockFi以其收集的银行数据类型的最长清单而留下了深刻印象。交易所币安、BitMEX、Poloniex和OKEx在其隐私政策中根本没有提到他们收集了哪些银行数据。Paxful提到,如果用户通过平台上的聊天功能向他们的交易对手发送金融信息,信息可能会被储存,因为Paxful会保留聊天记录。
“BitMEX不为用户操作任何法币支付网关,因此不接收用户的信用卡或其他银行信息,” BitMEX通信和内容经理Jessica Lindeman解释说。“相反,用户能够通过Banxa(一家支付公司)购买XBT或USDT。”
Poloniex通过发言人Gabriel Wang表示,它也“不直接处理法币业务,所以我们的系统中没有储存信用卡/银行信息。”OKEx在英国和欧洲的高级公共关系经理表示,该交易所也不存储其用户的银行信息。他说,这是由第三方支付供应商负责的,包括Coinify、MoonPay、Okcoin、Banxa、Mercuryo、Simplex和Itez。币安通过发言人告诉CoinDesk,实际上该交易所确实处理银行信息。该公司补充说:“我们只会在用户决定与币安分享这些信息时处理信用卡或银行信息,用于交易目的,因为这不是开立账户的必要信息。”
能够接触数据的第三方加密货币服务通常需要多个合作伙伴来维护其网站和处理交易,因此他们必须与这些合作伙伴分享用户的数据。各种服务对他们与哪些公司分享用户数据以及这样做的原因提供了不同程度的公开性。一些公司只是提到他们可能与第三方分享数据,而其他公司则提供名称和解释,并有不同程度的细节。Bitfinex和BitMEX提供了与他们共享数据的最长的交易方名单。Bitfinex在其隐私政策的末尾列出了第三方,BitMEX有一个专门的页面来列出其数据合作伙伴。位于欧洲的平台通常会提到,除其他事项外,他们是否将用户的数据转移到欧盟以外的任何地方,以及他们如何确保这种转移是安全的。不同平台的隐私政策的这些部分看起来相当相似。许多公司分别描述了他们对欧盟公民的处理方法,这些公民的个人数据自2018年以来一直受到《通用数据保护条例》(GDPR)的保护,或根据《加州消费者隐私法》(CCPA)对加利福尼亚人进行保护。一些平台还说明了他们对佛蒙特州居民的处理方法,该州有自己的地方隐私法。我们不会在本文中深入研究这些部分,因为它们在很大程度上只与这些特定地区的居民有关,但如果你是其中之一,请检查你的加密服务商是否向你明确了这些重要政策。
从第三方收集到的数据为了确保他们对用户有足够的了解,平台从外部来源收集关于他们的信息,这意味着他们对你的了解可能比你自己告诉他们的多得多。这可能包括通过共同所有者与平台有关联的公司;身份验证和其他技术的第三方供应商;银行;政府组织;社交网络和其他来源。在我们列表中的24个平台中,Gemini交易所似乎拥有最详尽的外部信息来源清单,它正在收集用户的信息。许多公司提到他们可能会在反欺诈数据库、公共法庭文件、制裁名单中查找你,也会向信用局和各种政府机构询问你的情况。
与政府机构分享数据的原因如今,主要的加密货币交易所受到世界各地监管机构的密切关注,当当局怀疑其用户有从逃税到洗钱的不法行为时,经常被要求披露其信息。加密货币和公民自由律师Marta Belcher表示:“收集这些信息的公司可以 — 而且经常 — 与政府分享这些个人信息,即使政府没有获得收集这些信息的授权。”一线希望是,越来越多的公司正在披露他们收到的当局要求的数量。Belcher表示:“真正的问题是,公司是否要为他们的用户站出来,他们是否要对他们从政府收到的请求保持透明,以及他们是否自愿交出这些信息。”政府机构伸手获取加密货币交易所用户数据的最著名(或臭名昭著)的先例是美国国际税务局(IRS)在2018年获取了Coinbase约13000名美国用户的信息。此举之前,该交易所和国税局之间进行了长期的法庭斗争,国税局最初希望获得50万用户的数据。行业智囊团Coin Center的研究主任Peter Van Valkenburg说,一家公司描述其回答政府问题的理由的方式很重要。
“他们是需要搜查令或传票,还是即使没有法官的搜查令他们也乐意回答?”
在CoinDesk调查的24家公司中,有13家公司在其隐私政策中提到了传票和法院命令,属于配合政府机构和执法部门的要求的理由。然而,并非所有的公司都声称在交出客户信息之前需要这样的正式请求。交易所和加密货币钱包供应商Blockchain.com表示,它将坚持要求当局出示“法院命令,或同等证据,证明他们在法律上被授权访问您的数据”。相比之下,eToro表示,它将提供信息“以协助监管、网络犯罪、数据和信息保护机构和警察的查询和执法,即使没有被强制这样做”。Bitfinex在其网站上专门设立了一个单独的页面,解释它如何对待执法机构的请求。归根结底,很难预测在现实生活中,当监管机构敲门时,某个特定的平台会如何行动,或者世界各地不断发展的加密货币监管会如何改变未来几年的游戏规则。但平台描述其做法的方式可能会提供一些线索,说明一些基本情况。
数据留存另一件需要注意的事情是,在你注销账户之后,你的数据在交易所的服务器上会被保存多久。这种披露往往被放在隐私政策中的“数据留存”标题下。在大多数情况下,在你们分道扬镳后,平台需要五年左右的时间来删除你的数据,但大多数人也指出,由于一些特定的原因,如正在进行的调查,他们可以保留你的数据更长时间。在这24家公司中,Bittrex和Bistamp保留用户数据的时间最长,每家公司都说在账户被注销后可能会将信息储存长达10年。Bitstamp似乎是24家公司中唯一一家表示会在账户验证完成后立即销毁生物识别数据的公司。Coinbase和LocalBitcoins对他们保存各类数据的时间提供了最详细的描述。LocalBitcoins还明确指出,从未实际使用该平台进行交易的用户的信息保存时间将比活跃用户的信息保存时间短得多:最多13个月而不是5年。
数据保护在加密货币服务中,披露数据安全措施没有普遍标准。其中一些只是说他们采取了技术和组织措施,以确保你的信息是安全的,而另一些则提到了具体的技术解决方案、进入其数据中心的规则和其他步骤。数据安全是一项复杂的任务,为了防止攻击,公司在大多数情况下避免完全披露其数据安全系统的细节和具体情况,以避免向潜在的攻击者透露。从这个意义上说,这些披露与其说是证明平台的实际安全水平,不如说是证明他们在与用户谈论隐私和安全方面是多么的直接和勤奋。美国比特币挖矿公司Compass Mining的高级挖矿分析师Lili Rhodes说:“如果该公司没有概述他们如何保护用户数据,那就是一个预警。用户不知道这家公司在发生漏洞时将如何保护他们的数据。”
数据泄露如果安全措施失效,你正在交易的平台被攻陷了怎么办?我们检查了隐私政策,以了解这些公司是否承诺向其用户披露安全漏洞和数据泄露情况。在纳斯达克上市的Coinbase的发言人指出,许多司法管辖区都有关于向客户披露违规行为的规定,该加密货币交易所也遵循这些规定,披露该公司为遵守法律所做的一切将使隐私政策成为一种不方便的阅读。正如人们常说的:不要相信,去验证。