Paradoks privasi: mengatur keuangan tanpa pengetahuan di UE dan sekitarnya

Kepatuhan keuangan selalu berada di garis tipis yang rumit: regulator membutuhkan visibilitas yang cukup untuk menjaga agar pelaku jahat tidak beraksi, tetapi pengguna ingin kehidupan keuangan mereka tetap pribadi hanya untuk melakukan pembayaran atau perdagangan. Pada tahun 2025, ketegangan itu semakin tajam dari sebelumnya. Kita memiliki aturan anti-pencucian uang (AML) yang lebih ketat, kerangka perlindungan data yang lebih luas, lebih banyak aktivitas lintas batas, dan pada saat yang sama, teknologi privasi yang lebih baik daripada sebelumnya.

Kabar baiknya adalah kita tidak lagi harus mengorbankan privasi untuk memastikan kepatuhan. Bukti tanpa pengetahuan (ZKP) menyediakan solusi untuk apa yang disebut paradoks privasi: regulator membutuhkan jaminan bahwa aturan diikuti, tetapi mengungkapkan identitas lengkap dan detail transaksi menimbulkan risiko keamanan, hukum, dan perlindungan data. ZKP memungkinkan kita membalik model dari “tunjukkan data kepada saya” menjadi “tunjukkan bukti,” memungkinkan perusahaan menunjukkan kepatuhan tanpa mengungkapkan informasi dasar.

Pendekatan ini tidak dirancang untuk menyembunyikan pengawasan regulasi. Sebaliknya, ini memodernisasi alat kepatuhan sehingga perusahaan yang diatur dapat menunjukkan kepatuhan terhadap kewajiban hukum mereka (pemeriksaan sanksi, kewajiban KYC, segregasi aset klien, pemeriksaan modal) tanpa mentransfer atau mengungkapkan data dasar. ZKP mungkin lebih baik untuk pengguna dan, dalam jangka panjang, untuk kepatuhan regulasi, karena bukti dapat diverifikasi dan tahan terhadap manipulasi.

Apa yang sebenarnya dilakukan zero knowledge

Bukti tanpa pengetahuan adalah cara kriptografi untuk mengatakan: “Saya dapat membuktikan kepada Anda bahwa saya mengikuti aturan X, tetapi saya tidak akan menunjukkan informasi sensitif yang biasanya diperlukan untuk membuktikannya.” Dalam keuangan, “aturan X” bisa sangat konkret: “dompet ini telah diperiksa terhadap daftar sanksi saat ini”; “pengguna ini memiliki kredensial KYC yang valid dari penerbit terpercaya”; “pertukaran ini memegang aset klien 1:1 dan mereka cocok dengan kewajiban”; “transaksi ini berada di bawah (atau dalam) rentang yang diizinkan,” dan sebagainya.

Saat ini, kita dapat diwajibkan oleh hukum untuk melaporkan dataset besar kepada regulator tertentu. Kita mematuhi undang-undang perlindungan data yang berlaku, tetapi ini juga meningkatkan risiko pelanggaran keamanan siber dan penyalahgunaan. Pendekatan berbasis ZK membuktikan hasilnya, bukan semua inputnya. Jika regulator perlu menyelami lebih dalam, proses dapat dirancang untuk pengungkapan selektif data tertentu yang diperlukan (kunci tampilan, akses terbatas waktu, dan log audit lengkap, diberikan sesuai proses yang berlaku jika diperlukan), seperti portal atau jendela regulasi berizin.

Mengapa ini penting sekarang

Tiga tren sedang bersatu.

Di UE, pengawas membuat kontrol anti-pencucian uang (AML) menjadi lebih rinci, sementara GDPR dan kerangka privasi lainnya menekankan minimisasi data dan pembatasan tujuan. Ini bisa saling melengkapi daripada saling bertentangan: kepatuhan harus memberikan jaminan yang sama atau lebih baik dengan eksposur data pribadi yang lebih sedikit secara rutin. Tujuan ini dapat dicapai dengan memanfaatkan teknik pelaporan yang menjaga privasi.

Kedua, kerangka identitas digital (seperti yang direncanakan dalam eIDAS 2.0) semakin mendekati kenyataan. Mereka dibangun di atas blok bangunan yang sama dengan ZK: kredensial yang dapat diverifikasi, pengungkapan selektif, dan attestasi kriptografi. Ini membuat lebih realistis untuk mengeluarkan kredensial portabel seperti “Saya lolos KYC” atau “Saya tidak dikenai sanksi” yang dapat dibuktikan, bukan dikumpulkan ulang, di berbagai layanan.

Ketiga, pengawas sedang menjajaki teknologi peningkatan privasi, termasuk model verifikasi bukti.

Seperti apa tumpukan kepatuhan berbasis bukti bisa terlihat

Kita sudah memiliki contoh nyata. Bukti cadangan berbasis ZK adalah yang paling terkenal: sebuah pertukaran membuktikan bahwa mereka memiliki aset untuk memenuhi kewajiban pelanggan tanpa mengungkapkan saldo individu. Itu adalah jaminan tanpa pengetahuan.

Anda juga dapat melakukan hal yang sama untuk pemeriksaan sanksi. Alih-alih mengirimkan identitas lengkap setiap saat, dompet menunjukkan bukti bahwa dompet tersebut telah diperiksa terhadap daftar terbaru pada waktu tertentu. Regulator, atau VASP yang diatur di sisi lain, menjalankan node verifikasi untuk memastikan bukti tersebut valid dan terbaru. Penting untuk dicatat bahwa ‘node verifikasi’ adalah usulan kebijakan yang berfungsi sebagai infrastruktur pengawasan bagi pengawas untuk memvalidasi bukti tanpa mengumpulkan data dalam jumlah besar.

Anda juga dapat melakukannya untuk segregasi: seorang kustodian membuktikan bahwa aset klien tidak dicampur dengan dana perusahaan melalui bukti rentang atau jumlah, tanpa mempublikasikan seluruh buku besar. Anda bahkan dapat mengintegrasikannya ke dalam kontrak pintar: transaksi tidak dieksekusi kecuali bukti tersebut lolos. Itu adalah “kepatuhan yang dapat diprogram” – aturan yang ditegakkan saat transaksi berlangsung secara ‘waktu nyata’, bukan setelahnya.

Bagi regulator, perubahan utama adalah dari mengumpulkan data mentah menjadi memverifikasi bukti kriptografi. Mereka tetap mendapatkan jaminan, auditabilitas, dan jejak ketika ada dasar hukum untuk mengungkap identitas. Tetapi mereka tidak perlu menyimpan atau memproses sejumlah besar data pribadi secara default, mengurangi risiko operasional dan hukum.

Menjawab pertanyaan utama

Regulator sudah mulai mengadopsi pilot ZK yang terfokus, mulai dari bukti cadangan yang dapat diverifikasi hingga kepatuhan Travel Rule yang memvalidasi atribut pengguna tanpa mengungkap dataset lengkap. Seiring kematangan primitive ini, mereka secara alami berkembang menjadi kontrol integritas pasar, memungkinkan perusahaan menunjukkan bahwa mereka berada dalam batas konsentrasi dan eksposur melalui bukti rentang dan jumlah tanpa mengungkap posisi dasar.

Yang penting, ZK bukan sinonim untuk ketertutupan; sistem yang dirancang dengan baik memanfaatkan pengungkapan selektif melalui kunci tampilan atau multi-pihak. Ini memastikan bahwa akses penegak hukum terbatas, dapat dibuktikan, dan tunduk pada proses yang sesuai, bukan tetap universal dan diam.

Apa yang bisa diminta regulator

Agar dapat bekerja lintas batas, kita membutuhkan standar: jenis bukti standar (misalnya, “tidak ada di daftar sanksi X per tanggal Y”), format kredensial standar, dan log verifikasi standar yang dapat diperiksa. Itulah cara menghindari setiap pertukaran, dompet, atau bank membangun versinya sendiri dan menciptakan kompleksitas pengawasan yang tidak perlu bagi pengawas.

Secara konkret, regulator mungkin mendapatkan manfaat dari enam hal:

1. Hasil daripada data (beritahu saya apa yang Anda buktikan, bukan semua yang Anda miliki);
2. Bukti informasi minimal (buktikan hanya apa yang diperlukan untuk kewajiban ini);
3. Pemeriksaan yang dapat diprogram (ditegakkan saat transaksi jika diperlukan);
4. Mekanisme ketersediaan data dan keluar yang kuat (pengguna selalu dapat mengonfirmasi saldo mereka dan menarik dana);
5. Log verifikasi yang dapat diverifikasi (inspeksi, vektor pengujian, log audit);
6. Tanpa backdoor umum (pengungkapan hanya melalui proses yang sah, terbatas, dan tercatat).

Binance adalah pertukaran global yang sudah menggunakan ZKP untuk menunjukkan cadangan. Sistem bukti cadangan (POR) kami menggunakan pohon Merkle – struktur kriptografi yang merangkum banyak entri akun menjadi satu “sidik jari” – bersama dengan bukti tanpa pengetahuan untuk menunjukkan bahwa aset pelanggan didukung sepenuhnya tanpa mengungkapkan saldo individu. Dengan setiap pembaruan POR, pengguna dapat memastikan bahwa saldo mereka termasuk dalam pohon, sementara ZKP memastikan bahwa total keseluruhan benar dan tidak ada saldo negatif atau palsu yang disertakan. Hasilnya adalah verifikasi cadangan yang independen dan menjaga privasi yang membangun kepercayaan tanpa mengorbankan data pribadi.

Tapi ini lebih besar dari satu perusahaan. Jika kita melakukannya dengan benar, kita dapat membuat kepatuhan keuangan menjadi lebih tepat, lebih menghormati hukum privasi, dan lebih mudah diawasi.

Ini akan membutuhkan kolaborasi. Regulator perlu mengembangkan standar bukti yang mereka terima; industri perlu menyelaraskan dan mengadopsi standar bukti tersebut; dan badan penetapan standar akan memastikan standar bukti dapat beroperasi lintas batas.

Apa yang terlihat sebagai keberhasilan

Keberhasilan adalah ketika pengguna dapat membuktikan keabsahan tanpa berlebihan membagikan data; bank, VASP, atau pertukaran dapat memenuhi kewajiban AML/Travel Rule dengan pengungkapan data yang lebih kecil; regulator dapat menjalankan node verifikasi dan mendapatkan jaminan waktu nyata; dan pelaku jahat dapat diungkapkan di bawah kondisi yang jelas, sempit, dan sah.

Singkatnya, jaminan dengan pengungkapan yang lebih sedikit. Seiring meningkatnya risiko siber, berkembangnya hukum privasi, dan pertumbuhan keuangan digital lintas batas, beralih dari pengumpulan data massal rutin ke bukti yang dapat diverifikasi adalah peningkatan praktis dalam praktik pengawasan.