最近關於香港穩定幣監管的討論愈發熱烈。 網路上出現了不少解讀，認為“穩定幣持有者都需要實名認證（KYC）”，這引發了廣泛爭議：

“鏈上轉帳都要KYC，還怎麼去中心化？”

“監管是不是太保守，不利於金融創新？”

這些聲音不無道理，但是否真的準確反映了香港金管局（HKMA）的監管意圖？我們深入研究了兩份關鍵文件——《穩定幣發行人監督指引》和《反洗錢與反恐融資指引》後，得出了一個更具技術細節和法律邊界的答案：

???? 不是所有持幣人都要KYC，前提是發行商能證明其風控機制夠有效。

本文將從客戶vs 非客戶、Primary vs Secondary Market 的劃分出發，梳理穩定幣KYC的適用邏輯，闡明監管的真正底線，並提供對專案方和合規團隊都適用的判斷框架。

誰是客戶，誰不是客戶？

首先我們要先明確：在HKMA的監管框架中，「穩定幣持有者」並不等同於「穩定幣發行商的客戶」。

根據《反洗錢與反恐融資指引》第4章的定義，只有當用戶直接向發行商請求發行或贖回穩定幣，或者建立了業務關係時，才會被視為「客戶」（customer stablecoin holder），這部分人需要嚴格執行KYC/KYB流程。

而在鏈上接收、轉帳、交易穩定幣，但從未直接與發行商互動的用戶（例如透過DEX買入或錢包之間轉帳獲得穩定幣的用戶），則被歸類為「非客戶穩定幣持有人」（non-customer stablecoin holders），原則上不需要KYC。

如下圖所示，只有在Primary Market 的機構使用者才被視為客戶（customer），而Secondary Market 中的參與者並不是HKMA 監管架構中定義的客戶。

然而，這並不意味著他們就完全脫離了監管視野。指引第5章明確指出：發行商對所有流通中的穩定幣都負有持續監控的義務，包括客戶和非客戶所持有的部分。

KYC不是唯一方式，但它是監管底線

許多引發誤解的解讀，往往忽略了HKMA設定的一個重要前提：

???? “非客戶穩定幣持有人可以不做KYC，但前提是發行人必須建立起有效的鏈上風控機制，並能向監管機構證明其足以防範洗錢和恐怖融資風險。”

換句話說，KYC不是唯一的手段，但它是最後的底線。

如果發行人採用了諸如區塊鏈分析工具、地址黑名單、交易風險評分、錢包畫像與凍結機制(5.10)等方式來監控幣的流向和用途，並且能夠讓HKMA“滿意”（to the HKMA's satisfaction - 5.11），那麼這些技術性風控措施可以作為替代，不必強制對所有持幣人逐一。

但如果做不到這一點，或者這些措施在實際中被證明不足以防範風險，那麼監管預期就會自動回退到最保守選項——對所有持幣人執行身份識別，不論其是否為客戶。這裡要注意，即使需要對持幣人做KYC，穩定幣發行商可以將進行KYC 的流程交給VASP 和可信任第三方進行。

對於發行商，是一道「二選一」的選擇題

對穩定幣發行商來說，這其實是「二選一」的合規抉擇：

• 要麼建立一整套覆蓋全鏈的風險監控系統，包括即時地址畫像、可疑交易識別、黑名單攔截、凍結機制與STR報送流程；
• 要嘛接受一個更直接但代價高昂的方案：對所有持幣人做KYC，即使他們只是在鏈上收到了一筆穩定幣。

從監管角度看，這種設計其實並不保守，而是將技術能力與監管義務掛鉤：你可以不實名每一位用戶，但你必須有本事控制風險。否則，就得回到最原始的辦法──做KYC。

這也是本文希望釐清的重點：

「穩定幣持有者是否需要KYC」：不是一個可以一刀切的問題，而是取決於發行商的風控能力是否值得信任。

結語：監管明確了，技術該交捲了

穩定幣的監管不是在封鎖技術，而是在設立一條清晰的紅線：

你可以選擇技術方案去取代實名，但你不能迴避風險控制的責任。

對發行商來說，最關鍵的問題不是“要不要做KYC”，而是——有沒有能力讓HKMA相信你可以不做。

在「同樣活動、同樣風險、同樣監管」的原則下，穩定幣作為一種準支付工具，正走向與傳統金融相同的合規要求。對Web3計畫而言，這不是終點，而是新的起點：監管明確了，技術該交捲了。

最後給出一個速覽表，方便對監管要求進行快速查詢。