(香港數字資產發展政策宣言2.0)於近日公佈,其後財經事務及庫務局(以下簡稱「財庫局」)及證券及期貨事務監察委員會(以下簡稱「證監會」)聯合發出諮詢文件,就有關設立數字資產交易及託管服務提供者發牌制度的立法建議徵詢意見,公衆諮詢爲期兩個月至 8 月 29 日止。Safeheron 作爲亞洲領先的數字資產自託管解決方案提供商,第一時間就文件進行了詳盡解讀。

 

解析託管模式、監管範圍及合規標準

香港政府此次諮詢文件中對數字資產託管服務的定義涵蓋了兩種關鍵場景:

  • 代客戶保管數字資產:以業務形式爲客戶保管數字資產的活動

  • 管理轉移工具:能夠轉移客戶數字資產的工具,包括但不限於私人密鑰的管理

 

該定義明確了監管範圍主要聚焦於託管型錢包服務提供商 —— 這類機構能夠控制客戶數字資產或掌握資產轉移的權限,通常表現爲代客戶保管錢包私鑰的服務模式。從諮詢文件的內容來看,政策主要針對以下託管模式:

  • 中心化託管服務:交易所、託管商等機構直接爲客戶保管數字資產,如零售客戶在某一交易所有其賬戶,而且其賬戶下的資產也直接全託管於交易所內,交易所持有其私有。

  • 第三方機構託管服務:獨立的專業中心化託管機構提供的服務,同樣可以服務於交易所、支付服務商,幫助保管其平臺資金。

  • 私鑰管理服務:管理客戶私鑰的服務,即使不直接持有資產,雖然不在其服務平臺存有資產,但是爲客戶代管私鑰。

 

關於文件中監管要求及合規標準,獲得數字資產託管服務牌照的機構將需要滿足以下監管要求:

  • 適當人選評定:管理層和主要人員需符合適當人選標準

  • 資本充足率:滿足最低資本要求,確保財務穩健性

  • 網絡安全標準:實施嚴格的網絡安全措施和保護客戶資產的技術解決方案

  • 資產分離:客戶資產必須與機構自身資產嚴格分離

  • 風險管理:建立全面的風險管理框架,包括操作風險、技術風險等

  • 反洗錢合規:遵守香港(打擊洗錢及恐怖分子資金籌集條例)的相關規定

  • 保險安排:可能需要爲託管資產購買保險或提供其他財務保障

 

這些監管要求參照了傳統金融託管人的標準。關於文件中監管機構角色的分工協同,香港的數字資產託管監管框架採取雙層監管結構:

  • 證監會作爲標準制定者:負責制定適用於持牌和註冊數字資產託管服務提供者的監管要求

  • 金管局作爲前線監管機構:監管已註冊爲可提供相關服務的銀行及儲值支付工具

 

由此可見,香港政府對數字資產託管的監管政策明確定位於商業託管服務提供商。這一監管體系堅持「相同業務、相同風險、相同規則」的監管原則,將商業託管服務納入與傳統金融服務類似的監管範圍,同時保留了個人使用自託管錢包的自由。值得注意的是,此監管架構並非針對所有託管模式,而是聚焦於能夠代客戶保管數字資產或控制資產轉移工具(如私鑰)的商業服務提供商。

 

自託管模式監管與合規淺析

主流自託管服務業務模式如 MPC 自託管服務、MPC + TEE 自託管服務等,即客戶 100% 完全控制自己企業錢包/賬戶的私鑰,此次文件中在「使用第三方保管客戶虛擬資產」也涉及到相關表達,原文爲:

 

「我們(即本次文件發起方)理解虛擬資產託管服務提供者在提供服務的過程中可能會使用第三方,無論是透過其企業集團內的獨立實體,還是其他技術基礎設施公司來保管客戶的虛擬資產。例如,虛擬資產託管服務提供者可能會將私人密鑰分片儲存於其關聯公司,或使用多方計算(MPC)技術來轉移客戶的虛擬資產。我們邀請公衆分享對市場上各種業務模式、第三方參與,以及技術基礎設施設置的觀察和意見。這將有助於我們更準確地制定定義,並確定哪些實體和/或個人應納入或排除於新制度下的發牌要求及適用的監管要求。」

 

這也充分展現了香港政府對自託管服務模式的深刻技術理解與廣泛的商業洞見,爲未來制定相關監管框架奠定了堅實基礎。然而,在明確的合規監管框架尚未建立之前,自託管服務提供商應如何主動適應監管趨勢,確保業務安全合規,並贏得市場信任呢?

 

全面的資質與安全標準

公認權威安全認證與資質,如 ISO/IEC 27001:2022、SOC 2 等,能爲自託管服務商的合規實踐帶來顯著提升。這些認證確保自託管服務商即使在面對尚未明晰的監管環境時,仍能遵循最高標準的安全與合規實踐。例如,新加坡金融管理局(MAS)對 ISO/IEC 27001:2022 與 SOC 2 等權威認證給予高度認可。此外,保險保障也是不容忽視的重要環節——它不僅爲機構客戶資產提供額外安全保障,還促使自託管服務商向更高的安全合規標準看齊。

 

同時,自託管服務商應持續接受權威安全機構的審計,並定期進行產品安全評估與滲透測試,確保技術可追溯、安全可驗證。通過權威第三方與內部安全專家的持續監督,這些措施不僅爲服務商自身提供背書,更能讓機構用戶用得放心。作爲機構用戶的服務供應商,這些認證與審計結果還能在機構拓展新業務市場時提供有力的合規證明,幫助其靈活適應不同地區或國家的監管要求。

 

創新技術與完備安全合規方案

不同於中心化託管服務,自託管服務運用的是更先進的創新技術,如密碼學 MPC(安全多方計算)與硬件級 TEE (可信執行環境)技術,合理組合運用可以實現優於中心化託管的安全性,讓機構用戶不用擔心託管服務商與供應鏈中其他供應商勾結作惡、團隊內部作惡,同時也可以有效抵禦持續升級的黑客攻擊。

 

另外,合規設計應貫穿自託管服務商設計技術架構、技術落地、產品實現與服務機構客戶的全過程,如內置頂尖 AML 與 KYT 功能、建立多層審批機制、實現分佈式私鑰管理、完整交易追蹤等,踐行 DevSecOps 準則爲技術開發提供可持續性的安全質量保障,打造零信任安全架構確保所有鏈路的每個環節都無法單獨作惡。

 

開源技術可驗證

區塊鏈行業區別於傳統金融的一個顯著特徵是,目前它更加開放,技術革新速度更快,面對日新月異的技術發展,許多創新技術或許走在了監管之前,這也出現了技術創新與監管滯後的矛盾,這對自託管服務來說,通過開源技術,能夠有效提高技術透明度,提高其自身可信賴度,而且,即便在監管更新速度慢於技術革新之際,開源依然能爲合規帶來助力,幫助監管機構個市場更好了解技術。

 

從新加坡金融局(MAS)監管措施

看全球監管方向延伸

新加坡金融局(MAS)作爲集中管理整個新加坡金融生態的政府機構,早在 2020 年起推行(支付服務法)(Payment Services Act 2019),數字支付代幣服務(Digital payment token service,DPT)作爲該法案下的一類支付服務,需要相關從事企業申請以下牌照來合法展業:

  • 主要支付機構牌照(MPl,Major paymentinstitution):允許在不設金額限制的情況下提供廣泛的支付服務

  • 標準支付機構牌照(SPl,Standard paymentinsitution):對企業有金額限制(每月交易:單筆交易不超 $3M 或交易總額不超過 $6M)

  • 銀行(已持牌):銀行若提供 DPT 服務,可在現有銀行牌照下被認可允許企業在不設金額限制的情況下提供廣泛的支付服務

 

新加坡金融局對數字支付代幣服務定義爲:

  • 買賣數字支付代幣(比如以太坊、比特幣)

  • 爲他人提供平臺開展數字支付代幣交易(比如,交易所)

  • 持有客戶的數字支付代幣資產(比如,託管服務)

  • 促進數字支付代幣與法幣之間的兌換(比如, OTC)

 

新加坡金融局最看重的 5 大關鍵合規點爲:

  • 反洗錢(AML)/反恐融資(CFT):比如,企業有完整的 KYC/KYT 流程、制裁名單篩查、STR 報告能力

  • 客戶資產保護:客戶資產與運營資金的完全隔離,禁止挪用客戶資產;冷錢包保管資產比例應不低於 98%,熱錢包資產則需配備充分的保險保障

  • 技術安全可控:全方位的技術安全控制,比如錢包簽名安全、權限管理、多級審批並提供可追溯的完備審計日誌

  • 高管資質合適且合理(Fit and Proper):管理團隊需具備金融或加密合規背景,不得有犯罪記

  • 法人實質(Substance):在註冊地區建立實質性運營實體,配備專職合規負責人,設立實際辦公場所,嚴禁「空殼公司」運作模式

 

從以上最重視的五大關鍵合規要點可以看出,新加坡金融管理局特別關注客戶資金安全保障、反洗錢合規流程的嚴格執行、與第三方服務商的關係管理、是否與受制裁國家存在業務往來以及後續合規運營的持續性。這些監管重點與當前香港諮詢文件的監管範圍和合規標準(如上文所述)展現出明顯的共通之處。

 

值得注意的是,在數字資產託管服務領域,香港與新加坡的監管思路基本一致,主要適用對象都聚焦於直接持有機構客戶私鑰或保管客戶資金的中心化託管服務提供商。

 

毫無疑問,香港政府關於設立數字資產交易及託管服務提供者發牌制度的立法舉措,標誌着香港數字資產發展進入了全新階段,旨在鞏固並提升香港作爲全球數字資產中心的戰略地位。可以預見,監管框架日益明確,將成爲推動託管服務升級的重要催化劑,不僅促進合規風控體系的提升,還將激發業務模式創新。在這一背景下,那些專注於爲機構和企業客戶提供高安全性、高合規性託管服務的市場參與者將迎來蓬勃發展的戰略機遇期。