跳到内容

司法辖区即服务:为什么瑞士法律是我们技术栈的一层

作者 0NE · · 更新于
CLAVI 数字主权 硬件安全 零知识架构 瑞士司法辖区 家族办公室

一篇技术分析,说明为什么司法辖区属于主权栈本身,而不是栈外条件。
更新于 2026 年 3 月 6 日。

1. 执行摘要:司法辖区是一层技术栈

对于主权硬件来说,司法辖区不是公司层面的细节,而是安全边界的一部分。 密码学保护数据免受技术对手攻击。司法辖区保护数据免受法律强制。如果运营方能够在其注册地法律之下被要求提取、保存或交出用户数据,那么真正相关的脆弱点就不再是密码算法,而是系统周围的信任层级

CLAVI 建立在相反的前提上。我们将瑞士司法辖区视为一层结构性能力,它与 ClavOSMonolith零知识架构共同工作。技术目标是“不持有”。法律目标是在一个默认不倾向披露的框架内运行。这些层叠加后,形成的是为数字主权而设计的托管环境,而不是为传统托管便利而设计的系统。

它保护什么缺失时会失效什么
硬件密钥的物理隔离与签名权密钥会集中到单一设备或可恢复备份中
操作系统最小化远程访问与本地控制制造商或攻击者获得软件层面的可达性
司法辖区防止针对运营方的法律强制运营方可能被迫披露或保留信息
零知识设计用户秘密的技术性“不持有”运营方仍然处于信息流内部

2. 密码学的边界

加密是必要的,但并不充分。 如果服务提供方可以访问、恢复、记录或重建用户数据,那么决定性的风险就是法律和组织风险,而不是纯粹的密码学风险。

这正是云依赖系统的隐藏弱点。即便传输加密足够强,运营方仍然位于合规边界之内。对于关键资产、家族办公室金库、私人通信或专有 AI 工作流,真正的问题并不只是“它是否加密”,而是:“谁会在什么法律之下,被迫交出其所知道的内容?”

因此,主权硬件不能只凭密钥存储方式、芯片选择或签名流程来评估。它还必须根据围绕制造商和运营方的法律环境来评估。

如果想看更完整的技术对比,可参阅 Why CLAVI Isn’t Competing with Ledger

3. 为什么瑞士在 CLAVI 架构中是承重层

CLAVI 选择在瑞士沙夫豪森设计并注册成立,是因为法律环境必须强化硬件所执行的同一套设计逻辑。 当周围的司法辖区也将隐私视为基础,而非有条件的附属项时,零知识架构才会更强。

这也是为什么 CLAVI 的瑞士属地不是装饰性的,而是承重性的。公司位于欧盟之外,也位于 Five Eyes 情报共享联盟之外。这会改变围绕运营方义务的法律假设。

对于主权硬件公司来说,注册地不是品牌选择,而是运行环境本身的一部分,是所有信任假设接受检验的地方。

4. 第 13 条让隐私成为宪法标准

瑞士联邦宪法第 13 条将隐私视为一项基本权利。它的重要性在于:隐私被嵌入国家本身的法律架构中,而不是停留在可撤回的产品政策层面。 [1]

在系统层面上,这一宪法基础改变了 CLAVI 所处环境的姿态。隐私不再是功能开关、合同条款或监管补丁,而是法律底层的一部分。

对于构建主权基础设施的公司来说,这种差异具有实质意义。它意味着法律框架在结构上更符合产品目标:尽可能减少第三方接触用户秘密的机会。

5. revFADP 与 privacy by design 一致

自 2023 年 9 月起,修订后的瑞士联邦数据保护法(revFADP)强化了“隐私即设计”和个人责任。对 CLAVI 来说,这种法律逻辑与产品逻辑是同向的。 [2]

CLAVI 的架构本来就是为了减少在运营方层面存在的敏感信息量。这就是硬件层面的 privacy by design:更少被保留的秘密、更少暴露的接口,以及更少通向强制披露的路径。

因此 revFADP 的意义,不在于 CLAVI 用法律承诺取代工程,而在于该法律框架奖励的正是架构早已强制执行的那种纪律性。

6. 报告时代让“不持有”更关键

2026 年 1 月 1 日,瑞士采纳了 OECD 的加密资产报告框架(CARF),这进一步说明了一个更广泛的现实:中心化主体越来越被要求保留关于客户加密资产的结构化信息。 [3]

这就是现代托管的司法悖论。服务商知道得越多,就越可能被要求保存得越多;保存得越多,就越可能被传唤、被突破、被申报或被运营层面暴露。

因此,CLAVI 的模型不是建立在防守一个庞大的运营方数据仓库之上,而是建立在从源头缩小甚至消除这个仓库之上。由于 CLAVI 采用严格的零知识架构,CLAVI Switzerland AG 并不坐在一个集中式的用户密钥、余额或本地 JOTUP 提示词数据库之上。

CLAVI 的司法辖区与时间锁模型示意图,显示签名权被分散到不同的物理和法律地点,因此不存在单一运营方、单一司法辖区或单一地点掌握完整执行权。
司法辖区时间锁模型:物理距离与法律分离共同形成抗胁迫的执行屏障。

7. 零知识架构将法律请求变成技术上的“无事件”

最强的法律防御就是“不持有”。如果运营方根本不持有密钥、提示词或可恢复的用户秘密,那么即便存在合法命令,也无法产生超出运营方实际认知范围之外的披露。

这就是 CLAVI 的运行逻辑。

ClavOSMonolith 与 Rune 模型被构建成这样一种形态,使得 CLAVI Switzerland AG 保持:

  • 对客户系统零远程访问,
  • 对关键操作零持久遥测,
  • 对私钥零可见性,
  • 对本地 JOTUP 提示词与输出在运营层面零可见性。

正是在这里,技术层与法律层形成叠加:

  • 法律层: 瑞士宪法隐私保护与 revFADP 提高了介入门槛。[1][2]
  • 技术层: CLAVI 的设计确保运营方无法取回它并不持有的内容。
  • 运营层: 本地验证、硬件强制签名与分布式授权,使敏感执行停留在服务商可见基础设施之外。

如果想从连续性与继承角度理解这一点,可参阅 CLAVI: Building a Personal Digital Vault for High-Level Businesses and Families

8. 已文档化的技术术语

为了保持论证精确,有四个术语尤为关键:

  • 信任层级 数字系统内被委托的权力链条。
  • 零知识架构 一种通过结构本身保证运营方无法接触用户密钥、数据或操作情报的设计。
  • 瑞士司法辖区 在这一法律环境中,第 13 条与 revFADP 将隐私强化为结构性权利。
  • 司法辖区强化 选择并围绕一个支持与硬件相同主权模型的法律环境来设计系统。

9. 常见问题

Q: 如果系统已经加密,为什么司法辖区仍然重要?
A: 因为加密防的是技术提取,而不是针对运营方的法律强制。如果运营方能够访问、保留或重建用户数据,那么司法辖区决定了它可能被迫披露什么。

Q: 瑞士司法辖区能替代零知识架构吗?
A: 不能。瑞士司法辖区和零知识架构解决的是同一个问题的不同部分。司法辖区管理法律暴露面;零知识架构管理运营方在技术上能够接触到什么。

Q: 为什么瑞士法律对主权硬件尤其重要?
A: 主权硬件不仅关乎密钥存放在哪里,也关乎制造商、运营方和支持结构所处的法律系统。对 CLAVI 来说,瑞士法律强化了硬件和操作系统本来就要强制执行的隐私逻辑。

10. 参考来源

  1. Swiss Federal Constitution, Article 13 (Right to Privacy). Fedlex. (https://www.fedlex.admin.ch/eli/cc/1999/404/en)
  2. Revised Federal Act on Data Protection (revFADP). Federal Data Protection and Information Commissioner (FDPIC). (https://www.edoeb.admin.ch/edoeb/en/home.html)
  3. Crypto-Asset Reporting Framework (CARF). OECD. (https://www.oecd.org/tax/exchange-of-tax-information/crypto-asset-reporting-framework-and-amendments-to-the-common-reporting-standard.htm)
  4. CLOUD Act of 2018. U.S. Department of Justice. (https://www.justice.gov/dag/cloudact)