作者: Beosin
隨著全球對虛擬資產監管的日益重視,杜拜虛擬資產監管局(VARA)於近期發布了新的合規規定,旨在提升虛擬資產服務提供者(VASPs)的透明度和安全性。這些新規不僅影響了本地市場的營運環境,也對國際虛擬資產交易平台提出了更高的合規要求。作為全球數位資產中心,杜拜的監管政策走在了該行業的前列,為其他地區的監管框架提供了重要參考。
杜拜虛擬資產監理局(VARA)於2024 年9 月26 日宣布了新的、更嚴格的虛擬資產行銷指南。新法規將於2024 年10 月1 日生效。新法規旨在透過要求參與推廣這些數位資產的公司進行更清晰的溝通來解決與加密投資相關的固有風險。
2022 年3 月,阿聯酋總理謝赫穆罕默德正式推出VARA,以監督Web3 領域的成長、發展和安全。所有希望在杜拜開展業務的Web3 參與者都必須透過VARA 進行身分識別。
本文將深入探討杜拜VARA合規的關鍵內容,並分析VASP在應對監理挑戰時應採取的有效策略。透過了解這些要求,虛擬資產服務提供者能夠更好地規避潛在風險,維護自身的合法合規運營,同時推動整個產業的健康發展。
合規與風控部分
第一部分- 合規管理
1. 原則精神:
當VASPs在阿聯酋開展業務提供服務時,應遵守誠信、勤勉、高效能力、穩健技術、充分保護、精準核算、有效披露、合規、公開以及透明的原則。
2. 合規管理系統CMS:
VASPs應建立並維護有效的合規管理系統,能分析關鍵績效和風險指標、監控及測試風險、識別潛在的違規行為,並能及時通知CO且相關人員能不受限制地存取必要的記錄和文件。
3. 合規政策與程序Compliance Policies & Procedures:
VASP應建立、維護及執行清晰詳細的合規政策及程序,包括反洗錢政策、商業活動政策、記錄保存程序、員工合規政策、申訴應對程序等。
4. 風控政策與程序Risk Management Policies & Procedures:
VASP應建立與其性質、規模、複雜性和風險概況相適應的風險管理職能以及政策和程序,並應用有效的風險度量以及上報方式。風險職能主管應必須至少每季提交風險暴露報告。風險類別包括財務穩定風險、市場風險、信用風險、流動性風險、市場行為風險、合規與風控風險、顧客保護風險等。
5. 營運管理Operation Management:
VASPs應建立和維護有效的營運政策和流程,以保護其虛擬資產和客戶虛擬資產免受盜竊、詐欺和/或挪用,確保有防範措施防止其任何工作人員利用機密資訊或內幕資訊。
6. 帳簿和記錄Books and records:
VASPs應妥善保管帳簿和記錄,對所有來自第三方服務以及客戶的記錄、客戶交易記錄、通訊及文件、利益衝突記錄冊保持相應的記錄追蹤以隨時證明其符合所有適用的法律和監管要求。這些記錄將被保留不少於8年,而所有可能涉及阿聯酋國家安全的記錄都需要無限期保留。
7. 審計Audit:
外部審計- VASPs應指定獨立的第三方審計師對其財務報表進行審計,並了解審計師估值的合理性。如果VASPs的原始審計師被認為不適合其業務的規模和複雜性以及聲譽,則VARA可要求VASPs更換審計師。內部稽核- 內審部門至少每季進行審計工作並向高層通報調查結果和建議以及跟進並解決相關問題或風險。
8. 監理報送Regulatory Reporting:
-至少每月向VARA提交其資產負債表和所有資產負債表外項目的清單、損益表、收入表、現金流量表、虛擬資產錢包地址、投資組合完整清單以及所有交易的完整記錄,包括但不限於貸款或其他虛擬資產活動的任何交易。
– 至少每季向VARA提交董事會委員會會議的記錄、證明符合法律規定的財務要求的聲明、財務預測和戰略業務計劃、風險暴露報告- 至少每年向VARA提交經審計的年報、高管對於年報情況的評估、核實年報準確性正式性的證明、前100名客戶的開戶真實文件、產品說明、集團架構圖、董事會成員簡歷、獨立董事的身份證明、任何委員會及成員、董事會議紀要。
9. 監理通知Regulatory notifications:
VASPs應書面通知VARA任何規則變更、任何重大事件,以及任何刑事或重大民事訴訟、指控或破產程序等。發現任何違反VA活動有關的任何法律、監管條例、規則的行為應立即向VARA提交報告。及時通知VARA與網路安全漏洞有關的事件,包括但不限於涉及資訊遺失或影響個人資料的事件。
10. 員工管理及訓練Staff management and training:
VASP應採用相應的招募流程以確保有適當數量且具有必要技能、知識和專業知識的合格人員來履行職位職責。確保所有監管和執法職能得到有效實施並達到VARA要求的前提下,不強制在阿聯酋本地辦公。 VASP應在員工入職之初30天內進行營運政策和程序的培訓,並於之後定期對其實施反洗錢/反恐融資培訓,並監督其遵守所有既定程序。
第二部分- 稅務申報和合規
VASP必須始終遵守所有適用法律、法規、規則或指南以及國家、國際和行業最佳實踐下的所有稅務報告義務,包括適用的《美國外國帳戶稅收合規法案》(FATCA)。
第三部分- 反洗錢及恐怖主義集資
1. 委任洗錢檢舉主任
VASPs應任命一名擁有至少兩年2年處理反洗錢/反恐怖主義融資事宜經驗洗錢報告官,並每年覆核其是否繼續屬合適人選。
2. MLRO應負責
a.確保董事會和員工在理解和遵守所有適用的「反洗錢」/「反恐融資」法律和監管要求並安排適當和充分的培訓;
b.制定和實施反洗錢/反恐怖主義融資政策和程序
c. 進行「反洗錢」/「反恐融資」風險評估並對VASPs的相關政策和程序實施所有必要的變更;
d. 監控和報告可疑交易,確保對違反任何聯邦反洗錢-反恐怖主義法律的行為採取適當的糾正措施。
犯罪分子不斷發展新的洗錢技術和策略,以規避監測和識別的情況。 Beosin KYT借助區塊鏈大數據分析和先進AI技術,透過數十億的地址標籤和黑地址庫,能夠識別可疑交易、進行綜合風險評估以及識別鏈上關係的風險。它能夠偵測安全攻擊、暗網交易、混幣器使用、詐欺行為、勒索活動和賭博等風險行為。
e. 每季向董事會報告VASPs反洗錢/反恐融資政策和程序的有效性,識別此類政策和程序中的任何不足以及任何違反反洗錢-反恐怖主義融資法律的行為;
f. 每季提交合規報告。包含隱私幣Privacy Coins:
Anonymity-Enhanced Cryptocurrencies及其使用者的使用情況。
3. 反洗錢政策與程序
a. 遵守FATF對於VASPs的標準制定以及第二次修訂、以風險為本的指引、反洗錢國際標準等相關條例;
b. EOCN辦公室的相關指引、本地恐怖分子名單等;
c. 遵守聯合國安理會關於打擊恐怖主義融資、大規模殺傷性武器擴散及其融資的決議和其他相關指令,遵守與經濟制裁有關的及其所有其他適用法律、監管要求和指引;
d. 避免客戶以匿名或假名以及假號碼開立或進行任何金融或業務往來,避免為其提供任何服務;
e. 保存本地或國際交易的所有記錄、文件和資料;
f. VASPs應建立相應的風險規則來掃描其客戶、實際控制人、虛擬轉帳、和虛擬錢包地址以識別潛在的非法活動並預警運營及合規團隊以實施進一步調查;
g. 所有政策以及流程應被有資格的第三方驗證過,並且有任何修改的21天內提交到VARA以獲取審批。
4. AML/CTF管控:
a. VASPs應具有有效的AML/CFT管控和系統,能夠充分管理與其VA活動相關的AML/CFT風險,包括使用分散式帳本分析工具,以及其他調查工具或監控和掃描交易的能力。
b. 對於所使用的任何分散式帳本分析工具,VASPs應審查並記錄其對此類工具的功能和弱點的審查,並設計控制以監控客戶的交易活動。
c. 由於虛擬交易和錢包位址的資訊是動態變化的,VASPs應審查及保存提供持續性監控的分析工具的效能表現。
d. 當設計交易監控和閾值調整時應滿足FATF Virtual Assets Red Flag Indicators的要求;
具體如下:
https://www.fatf-gafi.org/content/dam/fatf-gafi/brochures/Handout-Red-Flags-VA-VASP.pdf
5. 風險評估:
a. VASPs必須對其業務進行風險評估,包括虛擬資產(特別是Anonymity-Enhanced Cryptocurrencies隱私幣),虛擬資產相關的產品和服務,與虛擬資產活動相關的技術等;
b. 支援匿名增強型交易(隱私幣交易)的VASPs必須實施增強型風險控制,以確保遵守所有適用的法律法規。應每六個月對使用該類隱私幣的客戶進行ECDD。如果VASPs沒有能力實施相應的風險控制,那麼就不應該提供隱私幣產品或服務。
6. 客戶盡職調查:
a. VASPs必須在提供服務(例如單筆或相關累計超過3500迪拉姆的交易、任何可疑行為等)之前對客戶進行相應的盡職調查以識別客戶以及最終受益人,並應當採用基於風險的盡職調查策略,
b. VASPs應該在持續監控中實施相應的盡職調查:包括審計客戶交易(不僅限於資金來源審查)以保證跟其開戶時的目的是相符合的;
c. 定期回顧高風險客戶的訊息,以確保其文件、資料和資訊是最新的、準確的。
d. 對於個人使用者:應透過可靠且獨立的來源驗證以下文件、資料或資訊:全名、國籍、地址、出生地、雇主名字和地址、如果涉及任何的政治曝光人物,則需要反洗錢報告主任和至少一位高階管理層的審批。
e. 對於非個人實體使用者:應透過可靠且獨立的來源驗證以下文件、資料或資訊:完整名稱、類型、公司章程、主要營運地點、高階主管姓名、如果最終受益人是政治曝光人物,則需要反洗錢報告主任和至少一位高階管理層的批准。
f. 驗證聲稱代表行事的實體是否被授權,以及以相同的方式驗明身分。
g. 了解與客戶的預期目的和性質,並在必要時取得與此目的相關的資訊;
h. 如果客戶是企業或以其他方式向其他客戶提供服務,則需要了解其業務性質和實控人、最終受益人、客戶類型、性質以及目的。
i. 若VASPs無法對客戶進行適當的CDD,則其不得與該客戶建立或維持業務關係或為該客戶執行任何交易。如果VASP依賴第三方執行CDD,則其仍有責任確保該第三方依照所有相關規則和指令執行CDD。
7. 可疑交易監測及上報
a. VASPs應採用適合其業務活動的方法以持續監控與客戶的業務關係,以識別任何可疑的交易活動。此類方法應確保不會發生「告密」或類似的違法行為,還應確保立即向反洗錢報告主任報告所有可疑的交易。這些方法需要被存檔且獲得高階管理層的批准,並應定期審查和更新以確保其有效性。
b. VASPs應制定且定期更新能辨識可疑交易的指標。
c. 如若懷疑或有合理理由認為交易的收益與犯罪有關,或企圖將資金或收益用於實施、隱瞞犯罪或從犯罪中獲益,主管處須立即向UAE FIU和VARA上報此類可疑交易,並在48小時內回應所有輔助調查的需求,配合所有指示動作。
d. 所有可疑交易報告應在VARA發布的指引下透過GoAML平台上報給UAE FIU和VARA。且應繼續監控可疑交易報告中的所有交易。
8. FATF Travel Rule
a. 在發起任何等值超過3,500迪拉姆的虛擬資產轉帳(或是批准任何客戶接收超過3,500迪拉姆的虛擬資產轉帳)之前,VASPs必須取得和保存所需的準確的發款人資訊和收款人資訊。
b. 所需的寄款人資訊應包括但不限於:全名、帳號或錢包地址、居住或商業地址。收款人資訊應包括但不限於:全名、帳號或錢包地址。
c. 在與任何其他司法管轄區的交易對手VASPs或虛擬資產服務提供者進行任何交易之前,VASPs必須對該交易對手完成基於風險的盡職調查,以減輕反洗錢/反恐怖主義融資風險。除非評估或確定了交易對手風險增加,否則不需要對隨後與交易對手的每筆交易都進行盡職調查。
d. 在遵守旅遊規則時,VASPs必須考慮如何處理與出金入金(包括是否實施Travel Rule的VASPs對手)、無託管錢包、隱私幣等相關的風險
e. VASPs應向VARA證明他們在授權過程中如何遵守旅行規則,並向VARA提交相關政策和管理措施。 VASPs也應提交他們對於”Sunrise Issue”的計劃。
9. 記錄保存要求
a. VASPs應保留以下記錄不少於8年;
b. 虛擬資產交易記錄,包括營運和統計記錄、文件和資訊以及涉及VASPs執行或處理過的所有交易;
c. CDD記錄,包括有關客戶的記錄、文件和信息,以及對客戶活動的調查和分析結果;
d. 與VASPs委託CDD的第三方相關的資訊;
e. OCDD相關的記錄;
f. 所有可疑交易報告記錄;
10. 客戶虛擬資產規則
a. 客戶虛擬資產係指VASPs代表客戶在進行任何虛擬資產活動的過程中或與其相關的過程中所持有或控制的所有虛擬資產。
b. VASPs應將客戶虛擬資產分開存放在單獨的虛擬資產錢包中。
c. VASPs必須以一對一的方式持有客戶虛擬資產,不得授權或允許對客戶虛擬資產進行再抵押。
d. 與客戶VASPs相關的所有收益,如「空投」、「入股收益」或類似收益,均應歸客戶所有;
e. 除了規則手冊中的儲備資產要求外,VASPs應遵守VARA不時規定的所有要求,以證明其持有的儲備資產涵蓋其對客戶資產的所有負債。
f. VASPs必須維護一個系統以確保每天對每個客戶擁有的虛擬資產進行準確的對帳。如果與對帳有重大差異且未修正,VASPs必須通知VARA。
VASPs如何應對監理挑戰?
在快速發展的Web3加密貨幣領域,合規性成為了至關重要的關鍵字。 『Beosin KYT虛擬資產反洗錢合規和分析平台』,功能包括即時監測交易,識別潛在的風險交易和地址,對洗錢交易進行風險警報,制裁名單和黑名單檢查,交易行為分析以及合規報告,透過分析海量鏈上交易信息,識別交易及帳戶類型,再利用系統中的海量實體地址庫以及機器學習分析技術從評估風險交易。目前已經為全球多個客戶提供服務,使其符合反洗錢監管要求。
Beosin KYT還可以提供全面的代幣生態系統持續監控。你可以即時獲得關於代幣持有者分佈、資金流向、以及大筆交易的動態洞察。無論是追蹤代幣的流通情況,或是識別潛在的風險交易,Beosin KYT都能幫助您精準掌握代幣和穩定幣的整體運作狀態,為你的決策提供強而有力的數據支援。
Beosin KYT目前已為多個國家和地區的機構、交易所、錢包公司等提供數據、軟體、服務和研究,能為虛擬資產服務商(VASPs)提供了卓越的合規支持,為加密資產的安全和可信發展提供了強大保障。
關於迪拜VARA監管
Virtual Assets Regulatory Authority (VARA)
1,VARA所發布的《杜拜虛擬資產管理法》適用於阿聯酋境內的所有虛擬資產和虛擬資產活動。
2,擁有解釋、放棄、修改或以其他方式調整本條例的唯一和絕對自由裁量權。
VARA的權力和功能。
a. VARA擁有《杜拜VA法》及其任何修正案賦予其的職能、權力和目標。
b. VARA可採取其認為必要的或與之相關的任何措施
獲批22家
1. 已核准的VASPs(22家):https://www.vara.ae/en/licenses-and-register/public-register/
2. 已核准的借貸服務提供者(4家):OKX Middle East Fintech FZE、Aquanow ME FZE、Binance FZE、Foris DAX Middle East FZE (Crypto.com)
3. 已核准的管理與投資服務提供者(8家):OKX Middle East Fintech FZE、Web 3 Innovations FZE (AYA)、Aquanow ME FZE、HT Markets MENA FZE、Binance FZE、Foris DAX Middle East FZE (Crypto .com)、Nine Blocks Capital Management FZE、Laser Digital Middle East FZE
4. 已核准虛擬貨幣交易所(5家):Bybit Fintech FZE、Bybit Fintech FZE(Crypto.com)、OKX Middle East Fintech FZE、Trek Labs Ltd FZE (Backpack)、TOKO FZE
5. 已獲批准託管服務提供者(1家):Hex Trust MENA FZE
6. 已核准託管服務(可質押)提供者(1家):Komainu MEA FZE
7. 已核准Broker-Dealer服務供應商(14家):Aquanow ME FZE、Varni Labs FZE (Roma)、MEX Digital FZE、HT Markets MENA FZE、WPME Technology LLC (WadzPay)、Binance FZE、Foris DAX Middle East FZE (Crypto.com)、Fasset FZE、CoinMENA FZE、GC Exchange FZE (GCEX) 、Morpheus Software Technology FZE (FUZE)、TOKO FZE、Laser Digital Middle East FZE、BitOasis Technologies FZE