金管局數位資產託管活動的指引來源:https://www.hkma.gov.hk/media/eng/doc/key-information/guidelines-and-circular/2024/20240220e4.pdf
在香港,隨著虛擬資產服務提供者(VASP)牌照制度的推出,交易所服務首次對零售投資者開放,標誌著香港在虛擬資產領域的一大進步。這項新制度不僅吸引了許多平台和機構競相申請,也引入了更嚴格的合規要求,以確保投資者的資產得到妥善保護。特別是,香港證券及期貨事務監察委員會(SFC)要求交易所透過全資擁有的附屬公司,以信託方式持有客戶的款項和虛擬資產,這意味著交易所需要同時持有VASP牌照和TCSP( Trust or Company Service Providers)信託牌照。 TCSP牌照在這個體系中扮演關鍵角色,為虛擬資產的獨立託管提供了新的業務場景,確保了資產的安全和獨立性。
近期美國證券交易委員會(SEC)批准了比特幣現貨ETF,其中Coinbase成為了8家託管商之一,這不僅推動了其收入的成長,也標誌著數位資產託管已成為實力機構競爭的關鍵領域。 2024年2月20日,香港金融管理局(金管局)發布了關於數位資產託管活動的指引,為在機構申請虛擬資產託管服務提供商牌照(TCSP)提供了明確的治理和風險管理、客戶資產隔離和保護、委託和外包等標準.
另外就單獨虛擬資產託管業務而言,香港高等法院原訟法庭已經在Re Gatecoin Ltd [2023] HKCFI 914一案中確認了虛擬資產屬於“財產”,並且“能夠進行信託安排。因此,若相關虛擬資產託管業務涉及針對虛擬資產的“明示信託或相類似法律安排”,則託管人須要獲得香港公司註冊處頒發的TCSP牌照,如錢包、託管商。
一、香港虛擬托服務提供者(TCSP)最新申請政策
(A)申請香港TCSP牌照的條件
-
根據《虛擬資產服務提供者發牌制度》,申請香港TCSP牌照需符合以下條件:
-
是一家在香港註冊成立的公司
-
擁有良好的財務狀況和信譽
-
擁有合適的人員和系統來管理虛擬資產業務(具體參考最新金管局數位資產託管活動的指引)
-
制定並實施有效的打擊洗錢和恐怖分子資金籌集的政策和程序
(B)申請香港TCSP牌照的流程如下:
-
準備申請資料
-
向SFC提交申請
-
SFC審查申請
-
SFC決定是否發牌
-
申請香港TCSP牌照所需資料
(C)申請香港TCSP牌照所需資料包括:
-
申請表格
-
公司註冊文件
-
財務狀況證明
-
人員名單和履歷
-
打擊洗錢和恐怖分子資金籌集的政策和程序
-
業務計劃
-
技術架構
-
風險管理措施(具體參考最新金管局數位資產託管活動的指引)
-
其他SFC要求的材料
-
SFC對申請的審查
(D)SFC會對申請進行審查,包括:
-
審查申請資料是否完整(具體參考最新金管局數位資產託管活動的指引)
-
審查申請人是否符合條件
-
對申請人進行實地考察
(E)審核週期
-
SFC會在6個月內對申請作出決定。如果SFC決定發牌,會向申請人發出牌照。
(F)最新政策對申請香港TCSP牌照提出了以下新要求:
-
申請人需具備至少500萬港元的註冊資本
-
申請人需聘請至少兩名持牌負責人員(RO),負責監督虛擬資產業務的合規性
-
申請人需制定並實施有效的風險管理措施,包括KYC/AML政策、交易監控、資訊安全等。
二、2024年2月20日香港金管局發布的關於數位資產託管活動的指引摘要(詳細看指引連結)
(A) 治理與風險管理
-
機構應配備充足的資源,包括專業知識和人力,以支援有效的治理和風險管理。此外,考慮到數位資產產業的快速變化,授權機構還應為涉及託管服務的員工提供持續的培訓,確保他們具備必要的知識和技能。
為確保客戶數位資產的安全性和獨立性,授權機構必須將這些資產與自身的資產嚴格隔離,存放在指定的客戶帳戶中。這項措施旨在保護客戶資產,在機構面臨破產或解散風險時,避免客戶資產被用於償還機構債務。
(C)客戶數位資產的保護
授權機構負責確保客戶的數位資產得到充分的保護和妥善管理,透過建立強大的系統和控制措施來防止資產遺失、盜竊、詐欺或任何形式的未授權存取。這包括採用基於風險的方法來評估和應對各種安全威脅,特別是在使用不同類型的分散式帳本技術(DLT)時,考慮到公共無許可網路可能帶來更高的安全風險。
確保客戶數位資產的存取、轉移和管理過程中的授權和驗證,特別是對種子和私鑰的安全管理,涵蓋其產生、分發、儲存、使用和銷毀的整個流程。
-
對儲存設備和應用程式的存取進行嚴格的審計跟踪,以及為助記詞和私鑰制定異地備份和應急計劃,確保這些關鍵資訊的安全性和可恢復性。
在虛擬資產託管領域,授權機構面臨選擇合適的合作夥伴來委託或外包託管職能的重要決策。基本原則要求,這些機構僅能將託管任務委託給經過適當授權的機構或持有相應牌照的虛擬資產交易平台。特別是對於那些經營在公共無許可分散式帳本網路上的無許可令牌,更需謹慎評估委託或外包的決定。
-
最終,雖然委託或外包可以帶來效率和專業的提升,授權機構仍需承擔最終責任和問責,確保客戶資產的安全和合規管理,同時保持與傳統金融活動相同水準的系統和控制標準。
(E)風險揭露
授權機構應以清晰易懂的方式向其客戶充分和公正地披露託管安排,包括:
-
授權機構及其客戶各自的權利和義務,包括在授權機構進入破產或清算時客戶對其資產的所有權權利;
-
託管安排,包括客戶數位資產的儲存和隔離方式、存取客戶數位資產的程序和時間,以及任何適用的費用和成本;
-
賠償安排,以涵蓋因安全事件或挪用等原因可能導致的客戶數位資產損失;
-
客戶數位資產與其他客戶資產混合存在的情況,以及相關的風險;
-
授權機構將在其中取得客戶數位資產的法定和/ 或有益所有權,或以其他方式轉讓、出借、抵押、再抵押或對客戶數位資產設定任何擔保的我情況和安排,以及涉及的風險;
-
客戶數位資產在投票、硬分叉和空投等事件中的處理方式以及它們的相應權利和權益;
-
授權機構應向其客戶全面且公平地揭露其託管安排,包括與其託管活動相關的潛在和/ 或實際利益衝突的存在和性質。
(F)客戶數位資產的記錄保存與對帳
-
授權機構應為每位客戶保持適當的帳簿和記錄,以追蹤和記錄客戶數位資產的所有權,包括欠客戶的資產金額和種類,以及資產在客戶帳戶之間的流動情況。應在逐客戶的基礎上定期和頻繁地對客戶數位資產進行對賬,考慮到相關的鏈下和鏈上記錄。如有任何不符之處,應及時解決並適時升級至高階管理層。
-
授權機構應建立系統和控制措施,以保管和保護與託管活動相關的所有記錄,並應在香港金融管理局要求時及時提供這些記錄。
(G)反洗錢和打擊恐怖主義活動融資
授權機構應確保其反洗錢和打擊恐怖主義融資(AML/CFT)政策、程序和控制能夠有效管理和減輕與數位資產託管活動相關的任何洗錢和恐怖主義活動融資風險。授權機構應遵守《反洗錢和打擊恐怖活動融資指引(適用於授權機構)》和香港金融管理局關於數位資產託管活動的AML/CFT 指導文件。
(H)對持續監控的要求
授權機構應定期審查其政策和程序,並對其係統和控制以及對客戶數位資產保管方面的適用要求的合規性進行獨立審計。
三、困難與挑戰
雖然金管局對於虛擬資產託管的活動指引出來了,標準比之前更加清晰不需要過多的揣測證監會的意思,但是在香港設立一個遵守TCSP牌照要求的虛擬資產託管服務公司也是一項挑戰。對於已經在營運中的交易所和錢包機構這個過程不僅要求徹底建立一個IT基礎設施,還涉及到對監管政策的深入理解、合規性保證、反洗錢措施的整合、安全控制系統的建立,以及區塊鏈錢包技術的開發。這些任務需要大量的法律諮詢、產業實務比對,以及操作可行性的驗證。
此外,香港的新政策對虛擬資產的安全性提出了更高的要求,包括獲得全額保險保障的難度(這個成本非常高,讓許多機構望而卻步)、建立企業級託管技術信任和第三方託管信用的時間成本,以及實施獨立帳戶託管的監管要求的複雜性。這些挑戰顯示了在香港建立TCSP託管服務提供者的複雜性,但透過周密的規劃和技術創新,這些問題還是可以被克服的。關鍵在於基於對業務的深入了解來制定全面的治理策略,涵蓋人員分工、營運規則和風險控制措施,以確保能夠順利地滿足監管要求並實施專案。