美国商务部正在制定可能很快生效的新规,这些新规将要求主机托管服务提供商遵守严格的“了解你的客户”(KYC)规则。
据新闻报道:
客户身份识别程序(CIP)包含严格的客户身份验证(KYC)要求,其中包括要求美国服务提供商识别所有账户(即美国客户账户和外国客户账户)的“受益所有人”,以及与外国客户账户相关的其他要求。拟议规则还要求美国服务提供商向美国政府报告其非美国客户群的信息。
哪些服务提供商包含在内?
拟议规则对“IaaS产品”进行了广泛的定义,包括“向消费者提供的产品或服务……提供处理、存储、网络或其他基本计算资源,消费者可以利用这些资源部署和运行非预定义软件,包括操作系统和应用程序”。该定义表明,拟议规则将广泛适用于例如云服务提供商 (CSP) 以及任何从 CSP 转售计算能力的实体。
这些新规的出台源于特朗普时期的一项旨在改善网络安全的行政命令。
我,美利坚合众国总统唐纳德·J·特朗普,认为必须采取进一步措施应对与重大恶意网络活动相关的国家紧急状态……以遏制外国恶意网络行为者利用美国基础设施即服务(IaaS)产品。IaaS产品使用户能够在出租或租赁的服务器上运行软件和存储数据,而无需承担这些服务器的维护和运营成本。
外国恶意网络行为者旨在通过窃取知识产权和敏感数据损害美国经济,并通过针对美国关键基础设施的恶意网络活动威胁国家安全。外国行为者利用美国基础设施即服务 (IaaS) 产品执行各种恶意网络活动,这使得美国官员极难在这些外国行为者转移至替代基础设施并销毁其先前活动的证据之前,通过法律程序追踪并获取信息;美国 IaaS 产品的外国经销商使得外国行为者更容易获取这些产品并逃避侦查。本命令授权对外国交易施加记录保存义务。
这些新规对外国经销商和美国公司都施加了相同的记录保存义务。
如今,大部分此类记录工作已经完成。注册 AWS 或 DigitalOcean 时,您必须提供姓名和信用卡信息。然而,身份验证究竟会发展到何种程度,还有待观察。
例如,服务提供商现在是否需要查看某种形式的带照片的身份证明?仅仅验证电子邮件地址和收取信用卡信息就足够了吗?还是他们需要询问“你四年前的街道地址是什么”之类的问题?我们是否需要扫描护照并发送水电煤气账单复印件?
过去几年,我在美国开通了好几个网上银行账户,都不需要提供身份证扫描件。我实在想象不出购买虚拟货币还有什么比这更繁琐的要求,但我们拭目以待。
无论如何,服务提供商都需要遵守规定并记录其合规情况,这会增加他们的运营成本。而这些成本最终都会转嫁到他们的客户身上。
