Brian Armstrongs senaste meddelande om att Coinbase skulle börja kräva personlig introduktion och begränsa vissa roller till amerikanska medborgare väckte skepsis om företagets nya policyer skulle bryta mot amerikanska antidiskrimineringslagar.
I en intervju med BeInCrypto klargjorde en talesperson för Coinbase att företaget inte inför en generell “endast amerikanska medborgare”-policy. Förändringarna, som införs för att bekämpa nordkoreanska hackare, kommer endast att påverka roller med tillgång till känsliga system.
Det nordkoreanska infiltrationshotet
Coinbase förbereder sig för att införa radikala nya säkerhetspolicyer som svar på ett ökande hot från nordkoreanska hackare.
VD:n Brian Armstrong meddelade förra veckan att företaget kommer att omorientera sina affärsverksamheter mot USA och begränsa vissa roller till endast amerikanska medborgare.
De nya policyerna kräver att alla nyanställda deltar i en personlig introduktion. Dessutom måste anställda som hanterar känsliga system nu vara amerikanska medborgare och genomgå fingeravtryckskontroll.
Coinbases problem är långt ifrån litet. Som en ledande centraliserad börs är det ett konstant mål för nordkoreanska hackare. Dessa statligt sponsrade hotaktörer har utvecklat sina metoder bortom traditionella cyberattacker och övergått till en mer lömsk taktik: infiltration.
Denna nya metod innebär att nordkoreanska agenter ansöker om fjärrroller inom Web3 och IT på kryptoföretag. De använder vilseledande identiteter och sofistikerad social ingenjörskonst för att få en fot inifrån, vilket gör det möjligt för dem att genomföra massiva stölder och kanalisera medel tillbaka till regimen.
Trots situationens allvar har meddelandet omedelbart väckt kontroverser och en central juridisk fråga: Bryter dessa policyer, särskilt medborgarskapskravet, mot amerikanska federala antidiskrimineringslagar?
Kan Coinbase försvara sina åtgärder enligt gällande lag?
Vid första anblicken verkar Coinbases nya policy stå i direkt konflikt med amerikansk federal lag.
Immigrations- och nationalitetslagen (INA) förbjuder generellt arbetsgivare att diskriminera baserat på en persons medborgarskap eller invandringsstatus.
Eftersom systemet är utformat för att säkerställa rättvis behandling av amerikanska medborgare, permanenta invånare, asylsökande och flyktingar, skulle en generell “endast amerikanska medborgare”-regel för alla jobb sannolikt vara olaglig.
INA erkänner dock flera viktiga undantag. Till exempel kan federal lag tillåta arbetsgivare att neka möjligheter till individer som inte uppfyller specifika nationella säkerhetskrav. Denna regel gäller ofta roller som kräver en formell säkerhetsprövning eller tillgång till hemligstämplad information.
Exportkontrollagar förhindrar också att känslig teknik hamnar i fel händer. De strängaste av dessa, International Traffic in Arms Regulations (ITAR), reglerar militära och försvarsrelaterade föremål. De bredare Export Administration Regulations (EAR) reglerar “dual-use”-föremål med kommersiella och militära tillämpningar.
Dessa lagar kräver inte medborgarskapsbaserad anställning. Men de kan göra det lättare för ett företag att anställa en amerikansk medborgare och undvika den komplexa processen att få en speciell statlig licens för att dela teknik med icke-amerikaner.
Slutligen kan ett företag vara juridiskt skyldigt att endast anställa amerikanska medborgare för vissa roller under ett federalt kontrakt.
Coinbases centrala juridiska pussel kvarstår om det kan framgångsrikt argumentera för att dess säkerhetsdrivna åtgärder faller inom ett av dessa tillåtna undantag eller om dess tillvägagångssätt sätter en farlig precedens för teknikindustrin.
En riktad policy, inte ett generellt förbud
De första nyheterna om Coinbases meddelande väckte spekulationer om att det antog en företagsomfattande “endast amerikanska medborgare”-anställningspolicy, vilket skulle ha brutit mot federal lag.
En talesperson rättade dock denna berättelse i en e-postväxling som BeInCrypto hade med Coinbase.
“Vi inför inte en företagsomfattande ‘endast amerikanska medborgare’-anställningspolicy… Dessa förändringar kommer främst att påverka anställda i roller med tillgång till känsliga system och Coinbases roller förblir öppna för kvalificerade kandidater oavsett nationalitet,” sa talespersonen till BeInCrypto.
Denna distinktion antyder att företaget inte förlitar sig på en specifik federal reglering för att motivera sin policy. Faktum är att en talesperson klargjorde att Coinbases nya säkerhetsåtgärder inte handlar om att utnyttja några juridiska undantag som fastställts av amerikansk federal lag.
“Det handlar inte om att åberopa ITAR/EAR eller skapa medborgarskapsbaserade anställningsbegränsningar. De förändringar som diskuteras handlar om att lägga till nya skyddsåtgärder vid introduktionsstadiet, saker som personlig identitetsverifiering, fingeravtryck och introduktion, för att minska riskerna från illvilliga aktörer,” sa Coinbase.
Angående den obligatoriska personliga introduktionen klargjorde Coinbase att dessa evenemang kommer att äga rum i regionala nav för icke-amerikanska anställda.
Även om Coinbases policy till synes undviker de mest uppenbara juridiska fallgroparna, rör den sig in i ett nytt och oprövat gråområde.
Mer än anställning: Skydda arbetskraften
Coinbases position vilar på argumentet att hotet från nordkoreanska aktörer är så allvarligt att det kräver en åtgärd som annars skulle betraktas som överdriven. Det är i princip en satsning på att en domstol skulle finna dess säkerhetsmotivering tillräckligt övertygande för att väga tyngre än ett diskrimineringsanspråk.
För att försvara sin ståndpunkt placerade Coinbase sina nya åtgärder i kontexten av en bredare sektorsövergripande förändring.
“Med tanke på ökningen av bedrägliga ansökningar och skadliga aktörer som försöker infiltrera teknikföretag, förväntar vi oss att starkare identitetsbevis och begränsade personliga krav kommer att bli vanligare i branschen,” sa Coinbase talesperson till BeInCrypto.
Som komplement till denna bredare trend av striktare identitetsverifiering, införde företaget också en flerskikts säkerhetsstrategi för att motverka interna sårbarheter.
“Vi tar hot från insidan på allvar, inklusive möjligheten till yttre tvång eller mutförsök. Vår flerskiktsstrategi inkluderar teknisk övervakning, bakgrundskontroller, obligatorisk säkerhetsutbildning och, framöver, starkare personliga introduktionsåtgärder,” tillade Coinbase.
Genom att visa att dess policyer gäller både nyanställda och befintliga anställda, positionerar Coinbase sina åtgärder inte som diskriminerande, utan som ett helhetsgrepp på ett hot som federal lag kanske inte helt förutsett.
Coinbase som ett testfall för kryptobranschen
Debatten om Coinbases policy är representativ för en större kamp som hela branschen står inför. När statssponsrade aktörer och skadliga grupper blir mer sofistikerade, tvingas företag att anta säkerhetsåtgärder som suddar ut gränserna mellan traditionella anställningsmetoder och nationell säkerhet.
Med tanke på sin omfattande räckvidd kommer Coinbases svar på dessa hot sannolikt att sätta ett prejudikat. Frågan är inte längre om ett företag kan anställa en icke-medborgare.
Det handlar också om att balansera den juridiska och etiska linjen för att skydda sig själv och sina kunder från dessa alltmer sofistikerade attacker.
Även om Coinbase har försvarat sina åtgärder, är det oklart om dess modell kommer att sätta en ny industristandard eller bli det första testfallet i en ny era av rättsliga strider.
