《香港數位資產發展政策宣言2.0》於近日公佈,其後財經事務及庫務局(以下簡稱「財庫局」)及證券及期貨事務監察委員會(以下簡稱「證監會」)聯合發出諮詢文件,就有關設立數位資產交易及託管服務提供者發牌制度的立法建議為期兩個徵詢意見,公眾諮詢為期兩月至8 月29 日止。 Safeheron 作為亞洲領先的數位資產自託管解決方案提供商,第一時間就文件進行了詳盡解讀。
解析託管模式、監管範圍及合規標準
香港政府此次諮詢文件中對數位資產託管服務的定義涵蓋了兩個關鍵場景:
代客戶保管數位資產:以業務形式為客戶保管數位資產的活動
管理轉移工具:能夠轉移客戶數位資產的工具,包括但不限於私人金鑰的管理
這個定義明確了監管範圍主要聚焦於託管型錢包服務提供者—— 這類機構能夠控制客戶數位資產或掌握資產轉移的權限,通常表現為代客戶保管錢包私鑰的服務模式。從諮詢文件的內容來看,政策主要針對以下託管模式:
中心化託管服務:交易所、託管商等機構直接為客戶保管數位資產,如零售客戶在某一交易所有其帳戶,而且其帳戶下的資產也直接全託管於交易所內,交易所持有其私有。
第三方機構託管服務:獨立的專業中心化託管機構提供的服務,同樣可以服務交易所、支付服務商,協助保管其平台資金。
私鑰管理服務:管理客戶私鑰的服務,即使不直接持有資產,雖然不在其服務平台存有資產,但為客戶代管私鑰。
關於文件中監管要求及合規標準,取得數位資產託管服務牌照的機構將需要滿足以下監管要求:
適當人選評定:管理階層及主要人員需符合適當人選標準
資本充足率:滿足最低資本要求,確保財務穩健性
網路安全標準:實施嚴格的網路安全措施和保護客戶資產的技術解決方案
資產分離:客戶資產必須與機構本身資產嚴格分離
風險管理:建立全面的風險管理框架,包括操作風險、技術風險等
反洗錢合規:遵守香港《打擊洗錢及恐怖分子資金籌集條例》的相關規定
保險安排:可能需要為託管資產購買保險或提供其他財務保障
這些監管要求參照了傳統金融託管人的標準。關於文件中監管機構角色的分工協同,香港的數位資產託管監管框架採取雙層監管結構:
證監會作為標準制定者:負責制定適用於持牌和註冊數位資產託管服務提供者的監管要求
金管局作為前線監理機關:監理已註冊為可提供相關服務的銀行及儲值支付工具
由此可見,香港政府對數位資產託管的監管政策明確定位於商業託管服務提供者。此監管體系堅持「相同業務、相同風險、相同規則」的監管原則,將商業託管服務納入與傳統金融服務類似的監管範圍,同時保留了個人使用自託管錢包的自由。值得注意的是,此監管架構並非針對所有託管模式,而是聚焦於能夠代客戶保管數位資產或控制資產轉移工具(如私鑰)的商業服務提供者。
自託管模式監理與合規淺析
主流自託管服務業務模式如MPC 自託管服務、MPC + TEE 自託管服務等,即客戶100% 完全控制自己企業錢包/帳戶的私鑰,此次文件中在「使用第三方保管客戶虛擬資產」也涉及相關表達,原文為:
「我們(即本文件發起方)瞭解虛擬資產託管服務提供者在提供服務的過程中可能會使用第三方,無論是透過其企業集團內的獨立實體,還是其他技術基礎設施公司來保管客戶的虛擬資產。例如,虛擬資產託管服務提供者可能會將私人金鑰分片儲存於其關聯公司,或使以多方計算(MPC)技術來轉移客戶的虛擬資產。
這也充分展現了香港政府對自託管服務模式的深刻技術理解與廣泛的商業洞見,為未來制定相關監管框架奠定了堅實基礎。然而,在明確的合規監管框架尚未建立之前,自託管服務提供者應如何主動適應監管趨勢,確保業務安全合規,並贏得市場信任?
全面的資格與安全標準
公認權威安全認證與資質,如ISO/IEC 27001:2022、SOC 2 等,能為自託管服務商的合規實務帶來顯著提升。這些認證確保自託管服務商即使在面對尚未明確的監管環境時,仍能遵循最高標準的安全與合規實踐。例如,新加坡金融管理局(MAS)對ISO/IEC 27001:2022 與SOC 2 等權威認證給予高度認可。此外,保險保障也是不容忽視的重要環節——它不僅為機構客戶資產提供額外安全保障,還促使自託管服務商向更高的安全合規標準看齊。
同時,自託管服務商應持續接受權威安全機構的審計,並定期進行產品安全評估與滲透測試,確保技術可追溯、安全可驗證。透過權威第三方與內部安全專家的持續監督,這些措施不僅為服務商本身提供背書,更能讓機構使用者用得放心。作為機構用戶的服務供應商,這些認證與審計結果還能在機構拓展新業務市場時提供有力的合規證明,幫助其靈活適應不同地區或國家的監管要求。
創新技術與完備安全合規方案
有別於中心化託管服務,自託管服務運用的是更先進的創新技術,如密碼學MPC(安全多方運算)與硬體級TEE (可信任執行環境)技術,合理組合運用可以實現優於中心化託管的安全性,讓機構用戶不用擔心託管服務商與供應鏈中其他供應商勾結可以實現優於中心化的內部安全性,讓機構用戶不用擔心託管服務商與供應鏈中其他供應商勾結可以實現優於中心化的內部安全性,讓機構用戶不用擔心託管服務商與供應鏈中其他供應商勾結,同時升級的駭客攻擊,同時升級也能持續升級,同時升級的駭客攻擊。
另外,合規設計應貫穿自託管服務商設計技術架構、技術落地、產品實現與服務機構客戶的全過程,如內建頂尖AML 與KYT 功能、建立多層審批機制、實現分散式私鑰管理、完整交易追蹤等,實踐DevSecOps 準則為每個環節提供永續性的安全品質保障,打造零點安全架構
開源技術可驗證
區塊鏈產業有別於傳統金融的一個顯著特徵是,目前它更加開放,技術革新速度更快,面對日新月異的技術發展,許多創新技術或許走在了監管之前,這也出現了技術創新與監管滯後的矛盾,這對自託管服務來說,透過開源技術,能夠有效提高技術透明度,提高其自身可信任性,即便公司在法律上得到幫助
從新加坡金融局(MAS)監理措施
看全球監管方向延伸
新加坡金融局(MAS)作為集中管理整個新加坡金融生態的政府機構,早在2020 年起推行《支付服務法》(Payment Services Act 2019),數位支付代幣服務(Digital payment token service,DPT)作為該法案下的一類支付服務,需要相關企業申請以下牌照來合法展業:
主要支付機構牌照(MPl,Major paymentinstitution):允許在不設金額限制的情況下提供廣泛的支付服務
標準支付機構牌照(SPl,Standard paymentinsitution):對企業有金額限制(每月交易:單筆交易不超$3M 或交易總額不超過$6M)
銀行(已持牌):銀行若提供DPT 服務,可在現有銀行牌照下被認可允許企業在不設金額限制的情況下提供廣泛的支付服務
新加坡金融局對數位支付代幣服務定義為:
買賣數位支付代幣(如以太幣、比特幣)
為他人提供平台進行數位支付代幣交易(例如,交易所)
持有客戶的數位支付代幣資產(例如,託管服務)
促進數位支付代幣與法幣之間的兌換(例如, OTC)
新加坡金融局最重視的5 大關鍵合規點為:
反洗錢(AML)/反恐融資(CFT):例如,企業有完整的KYC/KYT 流程、制裁名單篩選、STR 報告能力
客戶資產保護:客戶資產與營運資金的完全隔離,禁止挪用客戶資產;冷錢包保管資產比例應不低於98%,熱錢包資產則需配備充分的保險保障
技術安全可控:全方位的技術安全控制,例如錢包簽章安全、權限管理、多層核准並提供可追溯的完整審計日誌
高階主管資格合適且合理(Fit and Proper):管理團隊需具備金融或加密合規背景,不得有犯罪記
法人實質(Substance):在註冊地區建立實質營運實體,配備專職合規負責人,設立實際辦公場所,嚴禁「空殼公司」運作模式
從以上最重視的五大關鍵合規要點可以看出,新加坡金融管理局特別關注客戶資金安全保障、反洗錢合規流程的嚴格執行、與第三方服務商的關係管理、是否與受制裁國家存在業務往來以及後續合規運營的持續性。這些監管重點與目前香港諮詢文件的監管範圍和合規標準(如上文所述)展現出明顯的共通之處。
值得注意的是,在數位資產託管服務領域,香港與新加坡的監管思維基本一致,主要適用對像都聚焦於直接持有機構客戶私鑰或保管客戶資金的中心化託管服務提供者。
毫無疑問,香港政府關於設立數位資產交易及託管服務提供者發牌制度的立法舉措,標誌著香港數位資產發展進入了全新階段,旨在鞏固並提升香港作為全球數位資產中心的戰略地位。可以預見,監管框架日益明確,將成為推動託管服務升級的重要催化劑,不僅促進合規風控體系的提升,也將激發業務模式創新。在這一背景下,那些專注於為機構和企業客戶提供高安全性、高合規性託管服務的市場參與者將迎來蓬勃發展的策略機會期。
