《香港数字资产发展政策宣言2.0》于近日公布,其后财经事务及库务局(以下简称「财库局」)及证券及期货事务监察委员会(以下简称「证监会」)联合发出咨询文件,就有关设立数字资产交易及托管服务提供者发牌制度的立法建议征询意见,公众咨询为期两个月至 8 月 29 日止。Safeheron 作为亚洲领先的数字资产自托管解决方案提供商,第一时间就文件进行了详尽解读。

 

解析托管模式、监管范围及合规标准

香港政府此次咨询文件中对数字资产托管服务的定义涵盖了两种关键场景:

  • 代客户保管数字资产:以业务形式为客户保管数字资产的活动

  • 管理转移工具:能够转移客户数字资产的工具,包括但不限于私人密钥的管理

 

该定义明确了监管范围主要聚焦于托管型钱包服务提供商 —— 这类机构能够控制客户数字资产或掌握资产转移的权限,通常表现为代客户保管钱包私钥的服务模式。从咨询文件的内容来看,政策主要针对以下托管模式:

  • 中心化托管服务:交易所、托管商等机构直接为客户保管数字资产,如零售客户在某一交易所有其账户,而且其账户下的资产也直接全托管于交易所内,交易所持有其私有。

  • 第三方机构托管服务:独立的专业中心化托管机构提供的服务,同样可以服务于交易所、支付服务商,帮助保管其平台资金。

  • 私钥管理服务:管理客户私钥的服务,即使不直接持有资产,虽然不在其服务平台存有资产,但是为客户代管私钥。

 

关于文件中监管要求及合规标准,获得数字资产托管服务牌照的机构将需要满足以下监管要求:

  • 适当人选评定:管理层和主要人员需符合适当人选标准

  • 资本充足率:满足最低资本要求,确保财务稳健性

  • 网络安全标准:实施严格的网络安全措施和保护客户资产的技术解决方案

  • 资产分离:客户资产必须与机构自身资产严格分离

  • 风险管理:建立全面的风险管理框架,包括操作风险、技术风险等

  • 反洗钱合规:遵守香港《打击洗钱及恐怖分子资金筹集条例》的相关规定

  • 保险安排:可能需要为托管资产购买保险或提供其他财务保障

 

这些监管要求参照了传统金融托管人的标准。关于文件中监管机构角色的分工协同,香港的数字资产托管监管框架采取双层监管结构:

  • 证监会作为标准制定者:负责制定适用于持牌和注册数字资产托管服务提供者的监管要求

  • 金管局作为前线监管机构:监管已注册为可提供相关服务的银行及储值支付工具

 

由此可见,香港政府对数字资产托管的监管政策明确定位于商业托管服务提供商。这一监管体系坚持「相同业务、相同风险、相同规则」的监管原则,将商业托管服务纳入与传统金融服务类似的监管范围,同时保留了个人使用自托管钱包的自由。值得注意的是,此监管架构并非针对所有托管模式,而是聚焦于能够代客户保管数字资产或控制资产转移工具(如私钥)的商业服务提供商。

 

自托管模式监管与合规浅析

主流自托管服务业务模式如 MPC 自托管服务、MPC + TEE 自托管服务等,即客户 100% 完全控制自己企业钱包/账户的私钥,此次文件中在「使用第三方保管客户虚拟资产」也涉及到相关表达,原文为:

 

「我们(即本次文件发起方)理解虚拟资产托管服务提供者在提供服务的过程中可能会使用第三方,无论是透过其企业集团内的独立实体,还是其他技术基础设施公司来保管客户的虚拟资产。例如,虚拟资产托管服务提供者可能会将私人密钥分片储存于其关联公司,或使用多方计算(MPC)技术来转移客户的虚拟资产。我们邀请公众分享对市场上各种业务模式、第三方参与,以及技术基础设施设置的观察和意见。这将有助于我们更准确地制定定义,并确定哪些实体和/或个人应纳入或排除于新制度下的发牌要求及适用的监管要求。」

 

这也充分展现了香港政府对自托管服务模式的深刻技术理解与广泛的商业洞见,为未来制定相关监管框架奠定了坚实基础。然而,在明确的合规监管框架尚未建立之前,自托管服务提供商应如何主动适应监管趋势,确保业务安全合规,并赢得市场信任呢?

 

全面的资质与安全标准

公认权威安全认证与资质,如 ISO/IEC 27001:2022、SOC 2 等,能为自托管服务商的合规实践带来显著提升。这些认证确保自托管服务商即使在面对尚未明晰的监管环境时,仍能遵循最高标准的安全与合规实践。例如,新加坡金融管理局(MAS)对 ISO/IEC 27001:2022 与 SOC 2 等权威认证给予高度认可。此外,保险保障也是不容忽视的重要环节——它不仅为机构客户资产提供额外安全保障,还促使自托管服务商向更高的安全合规标准看齐。

 

同时,自托管服务商应持续接受权威安全机构的审计,并定期进行产品安全评估与渗透测试,确保技术可追溯、安全可验证。通过权威第三方与内部安全专家的持续监督,这些措施不仅为服务商自身提供背书,更能让机构用户用得放心。作为机构用户的服务供应商,这些认证与审计结果还能在机构拓展新业务市场时提供有力的合规证明,帮助其灵活适应不同地区或国家的监管要求。

 

创新技术与完备安全合规方案

不同于中心化托管服务,自托管服务运用的是更先进的创新技术,如密码学 MPC(安全多方计算)与硬件级 TEE (可信执行环境)技术,合理组合运用可以实现优于中心化托管的安全性,让机构用户不用担心托管服务商与供应链中其他供应商勾结作恶、团队内部作恶,同时也可以有效抵御持续升级的黑客攻击。

 

另外,合规设计应贯穿自托管服务商设计技术架构、技术落地、产品实现与服务机构客户的全过程,如内置顶尖 AML 与 KYT 功能、建立多层审批机制、实现分布式私钥管理、完整交易追踪等,践行 DevSecOps 准则为技术开发提供可持续性的安全质量保障,打造零信任安全架构确保所有链路的每个环节都无法单独作恶。

 

开源技术可验证

区块链行业区别于传统金融的一个显著特征是,目前它更加开放,技术革新速度更快,面对日新月异的技术发展,许多创新技术或许走在了监管之前,这也出现了技术创新与监管滞后的矛盾,这对自托管服务来说,通过开源技术,能够有效提高技术透明度,提高其自身可信赖度,而且,即便在监管更新速度慢于技术革新之际,开源依然能为合规带来助力,帮助监管机构个市场更好了解技术。

 

从新加坡金融局(MAS)监管措施

看全球监管方向延伸

新加坡金融局(MAS)作为集中管理整个新加坡金融生态的政府机构,早在 2020 年起推行《支付服务法》(Payment Services Act 2019),数字支付代币服务(Digital payment token service,DPT)作为该法案下的一类支付服务,需要相关从事企业申请以下牌照来合法展业:

  • 主要支付机构牌照(MPl,Major paymentinstitution):允许在不设金额限制的情况下提供广泛的支付服务

  • 标准支付机构牌照(SPl,Standard paymentinsitution):对企业有金额限制(每月交易:单笔交易不超 $3M 或交易总额不超过 $6M)

  • 银行(已持牌):银行若提供 DPT 服务,可在现有银行牌照下被认可允许企业在不设金额限制的情况下提供广泛的支付服务

 

新加坡金融局对数字支付代币服务定义为:

  • 买卖数字支付代币(比如以太坊、比特币)

  • 为他人提供平台开展数字支付代币交易(比如,交易所)

  • 持有客户的数字支付代币资产(比如,托管服务)

  • 促进数字支付代币与法币之间的兑换(比如, OTC)

 

新加坡金融局最看重的 5 大关键合规点为:

  • 反洗钱(AML)/反恐融资(CFT):比如,企业有完整的 KYC/KYT 流程、制裁名单筛查、STR 报告能力

  • 客户资产保护:客户资产与运营资金的完全隔离,禁止挪用客户资产;冷钱包保管资产比例应不低于 98%,热钱包资产则需配备充分的保险保障

  • 技术安全可控:全方位的技术安全控制,比如钱包签名安全、权限管理、多级审批并提供可追溯的完备审计日志

  • 高管资质合适且合理(Fit and Proper):管理团队需具备金融或加密合规背景,不得有犯罪记

  • 法人实质(Substance):在注册地区建立实质性运营实体,配备专职合规负责人,设立实际办公场所,严禁「空壳公司」运作模式

 

从以上最重视的五大关键合规要点可以看出,新加坡金融管理局特别关注客户资金安全保障、反洗钱合规流程的严格执行、与第三方服务商的关系管理、是否与受制裁国家存在业务往来以及后续合规运营的持续性。这些监管重点与当前香港咨询文件的监管范围和合规标准(如上文所述)展现出明显的共通之处。

 

值得注意的是,在数字资产托管服务领域,香港与新加坡的监管思路基本一致,主要适用对象都聚焦于直接持有机构客户私钥或保管客户资金的中心化托管服务提供商。

 

毫无疑问,香港政府关于设立数字资产交易及托管服务提供者发牌制度的立法举措,标志着香港数字资产发展进入了全新阶段,旨在巩固并提升香港作为全球数字资产中心的战略地位。可以预见,监管框架日益明确,将成为推动托管服务升级的重要催化剂,不仅促进合规风控体系的提升,还将激发业务模式创新。在这一背景下,那些专注于为机构和企业客户提供高安全性、高合规性托管服务的市场参与者将迎来蓬勃发展的战略机遇期。