European Blockchain Sandbox: Bài học rút ra

Xây dựng Giải pháp Danh tính Web3

padding: 12px;

nền: var(--màu bóng nút bình thường);

border-radius: 8px;

">

Tóm lại:

Chương trình Sandbox Blockchain Châu Âu đã kết thúc đợt thứ hai, với Giải pháp Xác thực Khách hàng Biết của IOTA Foundation cùng với IDnow, walt.id và Bloom Wallet. Sandbox đã cung cấp những bài học quan trọng về xác thực danh tính tuân thủ và bảo vệ quyền riêng tư trong Web3, bao gồm việc sử dụng xác thực ngoài chuỗi, token không thể chuyển nhượng và các thực tiễn ví và nút phù hợp với GDPR.

Chúng tôi đã hoàn thành việc tham gia vào European Blockchain Sandbox, một sáng kiến kéo dài ba năm của Ủy ban Châu Âu, cho phép các dự án sổ cái phân tán đổi mới có cơ hội thử nghiệm các giải pháp của họ với các nhà quản lý trên khắp Châu Âu. Mỗi năm, 20 dự án được chọn tham gia, và Quỹ IOTA là một phần của nhóm thứ hai, diễn ra từ tháng 6 năm 2024 đến tháng 3 năm 2025.

Đóng góp của chúng tôi tập trung vào Giải pháp KYC Tokenized (KYC), được phát triển cùng với IDnow**, walt.id**, và Bloom Wallet. Giải pháp proof-of-concept này cho phép người dùng xác minh danh tính của họ ngoài chuỗi và nhận được một chứng chỉ tokenized trong ví của họ. Điều này cho phép các dApp, sàn giao dịch và các dịch vụ khác xác nhận yêu cầu đủ điều kiện ( như xác minh độ tuổi ) mà không phải tiết lộ dữ liệu nhạy cảm trên chuỗi.

Việc kết thúc sandbox được đánh dấu bởi Báo cáo Thực tiễn Tốt Nhất của Ủy ban Châu Âu cho nhóm thứ hai. Báo cáo chia sẻ các khuyến nghị và thực tiễn tốt nhất từ chương trình, cung cấp hướng dẫn quý giá cho bất kỳ ai phát triển các giải pháp DLT và điều hướng các tác động quy định của chúng.

Những điểm chính trong Sandbox: Chia sẻ Dữ liệu Khách hàng

Một trong những điểm chính trong Sandbox là cách Quy định Chống Rửa Tiền (AML) và KYC được áp dụng trên thực tế. Các cơ quan quản lý nhấn mạnh rằng các sàn giao dịch tài sản tiền điện tử và các nhà cung cấp dịch vụ khác có nghĩa vụ pháp lý phải biết danh tính của người dùng. Đó là lý do tại sao Giải pháp KYC Tokenized của chúng tôi cho phép tổ chức chịu trách nhiệm thực hiện kiểm tra KYC có quyền truy cập vào dữ liệu cá nhân đã được xác minh từ nhà cung cấp xác minh danh tính (trong trường hợp của chúng tôi, IDnow). Tương tự, các cơ quan như cảnh sát có thể yêu cầu dữ liệu cá nhân liên quan đến một mã thông báo không thể chuyển nhượng (soulbound) cụ thể.

Để làm cho quá trình tiếp nhận khách hàng dễ dàng hơn, các công ty đôi khi có thể tái sử dụng dữ liệu KYC mà một thực thể khác đã thu thập. Nhưng các quy tắc để làm điều này khác nhau giữa các quốc gia ở châu Âu. Ở một số quốc gia, dữ liệu chỉ có thể được chia sẻ giữa các thực thể cùng loại, trong khi việc chia sẻ rộng hơn yêu cầu sự chấp thuận đặc biệt từ các cơ quan quốc gia. May mắn thay, quy định Chống Rửa Tiền (AMLR) sắp tới được kỳ vọng sẽ hài hòa các quy tắc này liên quan đến việc sử dụng thông tin khách hàng được thu thập bởi các thực thể khác.

Những điểm chính từ Sandbox: Token Soulbound

Báo cáo cũng đã nêu bật những bài học chính về ví tự quản, KYC và cách dữ liệu được phân loại trên các DLT công khai không cần phép như IOTA. Trong Giải pháp KYC Tokenized của chúng tôi, chỉ có các token gắn liền với linh hồn được ghi lại trên chuỗi. Những token này không chứa dữ liệu cá nhân nhưng chứng minh rằng quy trình KYC đã được hoàn thành, với dữ liệu KYC cơ bản được lưu trữ an toàn ngoài chuỗi. Sandbox đã lưu ý rằng những token như vậy vẫn có thể được coi là dữ liệu cá nhân đã được giả danh, có nghĩa là GDPR áp dụng. Vì sự phân loại này có thể phát triển với các luật lệ và hướng dẫn mới, nó yêu cầu xem xét liên tục. Để giảm thiểu rủi ro bảo vệ dữ liệu, giải pháp của chúng tôi tuân theo cách tiếp cận bảo vệ dữ liệu theo thiết kế bằng cách giới hạn số lượng và loại dữ liệu được chia sẻ trên chuỗi. Điều này tuân theo nguyên tắc bảo vệ dữ liệu theo thiết kế.

Những điểm chính từ Sandbox: Nhà cung cấp ví và Nhà điều hành nút

Một chủ đề quan trọng khác trong Sandbox là cách các nhà cung cấp ví và các nhà điều hành nút được phân loại theo GDPR

• Báo cáo kết luận rằng các nhà cung cấp ví tự lưu trữ không được coi là người kiểm soát hoặc xử lý dữ liệu nếu ví chỉ chạy trên thiết bị của người dùng mà không dựa vào một backend bên ngoài. Trong Giải pháp KYC Tokenized của chúng tôi, dữ liệu danh tính đã được xác minh vẫn được lưu trữ off-chain với IDnow, trong khi ví tự lưu trữ của người dùng chỉ giữ một chứng nhận KYC không thể chuyển nhượng. Thiết kế này phù hợp với hướng dẫn của GDPR: trách nhiệm về dữ liệu cá nhân thuộc về các thực thể thực sự truy cập hoặc sử dụng nó – ví dụ, IDnow cho việc xác minh và lưu trữ dữ liệu off-chain và, khi có thể, một dịch vụ tích hợp như dApp hoặc sàn giao dịch khi nó hợp pháp yêu cầu hoặc sử dụng dữ liệu.
• Phân loại nhà điều hành nút theo GDPR cần sự tinh tế cẩn thận. Như chúng tôi đã bình luận gần đây về các hướng dẫn của Ban Bảo vệ Dữ liệu Châu Âu cho dữ liệu cá nhân trong blockchain, các nút chỉ thực hiện các chức năng kỹ thuật; họ không xác định cũng như không kiểm soát các mục đích của việc xử lý dữ liệu. Xem xét họ như những người kiểm soát sẽ làm sai lệch vai trò của họ và áp đặt các nghĩa vụ không tương xứng. Giải pháp KYC Tokenized của chúng tôi củng cố sự phân biệt này. Dữ liệu xác thực danh tính được giữ ngoài chuỗi với IDnow, trong khi chuỗi chỉ ghi lại một chứng nhận KYC không thể chuyển nhượng mà không có thuộc tính cá nhân. Các nút đơn giản chỉ chuyển tiếp hoặc xác thực chứng nhận đã được giả danh này và không bao giờ truy cập vào tập dữ liệu danh tính. Ngay cả khi các chứng nhận như vậy đủ điều kiện là dữ liệu cá nhân, thiết kế này giảm thiểu sự tiếp xúc trên chuỗi và đảm bảo trách nhiệm thuộc về các thực thể thực sự xử lý thông tin danh tính. Điều này cung cấp một con đường khả thi để đáp ứng các yêu cầu AML/KYC trong khi tôn trọng các nguyên tắc bảo vệ dữ liệu.

Tương lai của KYC token hóa?

Các quy định mới như Quy định về chuyển nhượng tiền và Quy định về phòng chống rửa tiền yêu cầu các tổ chức như sàn giao dịch cryptoasset phải lưu giữ dữ liệu về người dùng của ví tự lưu trữ và xác định chủ sở hữu của ví tự lưu trữ. Đồng thời, các dApp và nhà điều hành DeFi ngày càng tìm kiếm cách để thực hiện kiểm tra danh tính tuân thủ mà không làm tổn hại đến quyền riêng tư và bảo mật. Có một nhu cầu ngày càng tăng về các công cụ xác định trên chuỗi để đảm bảo các tương tác mượt mà và tuân thủ trong các hệ sinh thái Web3.

Giải pháp KYC Tokenized Proof-of-Concept của chúng tôi kết hợp tất cả các bước cần thiết thành một công cụ dễ sử dụng:

• Một bên đáng tin cậy chứng kiến quá trình xác thực danh tính và mã hóa nó dưới dạng token không thể chuyển nhượng (soulbound token), cho phép các dApp và các thực thể khác có sự tự tin vào quá trình xác thực danh tính, mà không tiết lộ thông tin nhận dạng cá nhân thực tế.
• Token gắn liền với linh hồn có thể được sử dụng cho các quy trình trên chuỗi, cho phép các tương tác gốc Web3.
• Bên đáng tin cậy có thể tiết lộ thông tin danh tính nếu được yêu cầu bởi một bên có thẩm quyền (ví dụ: cơ quan thực thi pháp luật)
• Bên được tin cậy cũng có thể thu hồi token nếu cần phải hủy bỏ (ví dụ, thay đổi danh sách theo dõi).

Sau khi hoàn thành dự án này, Mainnet IOTA đã được ra mắt với kiến trúc mới dựa trên Move Virtual Machine. Để hỗ trợ các trường hợp sử dụng như Giải pháp KYC Tokenized, chúng tôi đã phát triển IOTA Trust Framework, một bộ thành phần hạ tầng có thể kết hợp với nhau, mỗi thành phần đều được phát triển với sự chú ý đến quyền riêng tư, tuân thủ và khả năng sử dụng.

Chúng tôi muốn cảm ơn IDnow**,** walt.id**,** và Bloom Wallet vì sự cống hiến và nỗ lực trong dự án này! Giải pháp đã thành công trong việc trình diễn một giải pháp dễ sử dụng, tuân thủ và bảo vệ quyền riêng tư cho không gian Web3.