一文了解 24 年香港虚拟资产托管服务提供商（TCSP）最新申请政策

撰文：Aiying

在香港，随着虚拟资产服务提供商（VASP）牌照制度的推出，交易所服务首次对零售投资者开放，标志着香港在虚拟资产领域的一大进步。这一新制度不仅吸引了众多平台和机构竞相申请，也引入了更为严格的合规要求，以确保投资者的资产得到妥善保护。特别是，香港证券及期货事务监察委员会（SFC）要求交易所通过全资拥有的附属公司，以信托方式持有客户的款项和虚拟资产，这意味着交易所需要同时持有 VASP 牌照和 TCSP（Trust or Company Service Providers）信托牌照。TCSP 牌照在此体系中扮演着关键角色，为虚拟资产的独立托管提供了新的业务场景，确保了资产的安全和独立性。

近期美国证券交易委员会（SEC）批准了比特币现货 ETF，其中 Coinbase 成为了 8 家托管商之一，这不仅推动了其收入的增长，也标志着数字资产托管已成为实力机构竞争的关键领域。2024 年 2 月 20 日，香港金融管理局（金管局）发布了关于数字资产托管活动的指引，为在机构申请虚拟资产托管服务提供商牌照（TCSP）提供了明确的治理和风险管理、客户资产隔离和保护、委托和外包等标准.

另外就单独虚拟资产托管业务而言，香港高等法院原讼法庭已经在 Re Gatecoin Ltd [2023] HKCFI 914 一案中确认了虚拟资产属于「财产」，并且能够进行信托安排。因此，若相关虚拟资产托管业务涉及针对虚拟资产的「明示信托或相类似法律安排」，则托管人须要获得香港公司注册处颁发的 TCSP 牌照，比如钱包、托管商。

一、香港虚拟托服务提供商（TCSP）最新申请政策

（A）申请香港 TCSP 牌照的条件

• 根据《虚拟资产服务提供者发牌制度》，申请香港 TCSP 牌照需满足以下条件：

• 是一家在香港注册成立的公司

• 拥有良好的财务状况和信誉

• 拥有合适的人员和系统来管理虚拟资产业务（具体参考最新金管局数字资产托管活动的指引）

• 制定并实施有效的打击洗钱和恐怖分子资金筹集的政策和程序

（B）申请香港 TCSP 牌照的流程如下：

1. 准备申请材料

2. 向 SFC 提交申请

3. SFC 审查申请

4. SFC 决定是否发牌

5. 申请香港 TCSP 牌照所需材料

（C）申请香港 TCSP 牌照所需材料包括：

• 申请表格

• 公司注册文件

• 财务状况证明

• 人员名单和简历

• 打击洗钱和恐怖分子资金筹集的政策和程序

• 业务计划

• 技术架构

• 风险管理措施（具体参考最新金管局数字资产托管活动的指引）

• 其他 SFC 要求的材料

• SFC 对申请的审查

（D）SFC 会对申请进行审查，包括：

• 审查申请材料是否完整（具体参考最新金管局数字资产托管活动的指引）

• 审查申请人是否满足条件

• 对申请人进行实地考察

（E）审核周期

• SFC 会在 6 个月内对申请作出决定。如果 SFC 决定发牌，会向申请人发出牌照。

（F）最新政策对申请香港 TCSP 牌照提出了以下新要求：

• 申请人需具备至少 500 万港元的注册资本

• 申请人需聘请至少两名持牌负责人员（RO），负责监督虚拟资产业务的合规性

• 申请人需制定并实施有效的风险管理措施，包括 KYC/AML 政策、交易监控、信息安全等。

二、2024 年 2 月 20 日香港金管局发布的关于数字资产托管活动的指引总结（详细看指引链接）

（A） 治理和风险管理

• 在部署数字资产托管服务前，授权机构必须执行彻底的风险评估，建立和执行适当的管理策略、程序和控制措施来降低这些风险，同时遵循相关法律和监管框架。机构的管理层需确保在服务推出前及运营期间，持续有效地监控和减轻与托管活动相关的风险。

• 机构应配备充足的资源，包括专业知识和人力，以支持有效的治理和风险管理。此外，考虑到数字资产行业的快速变化，授权机构还应为涉及托管服务的员工提供持续的培训，确保他们具备必要的知识和技能。

• 机构还需建立明确的问责机制，包括具体的角色定义、责任划分和报告体系，以及制定策略和流程来识别和处理潜在或实际的利益冲突。最后，为保障业务连续性，授权机构应制定并维护全面的备用和灾难恢复计划。

（B）客户数字资产的隔离

• 为确保客户数字资产的安全和独立性，授权机构必须将这些资产与自身的资产严格隔离，存放在指定的客户账户中。这一措施旨在保护客户资产，在机构面临破产或解散风险时，避免客户资产被用于偿还机构债务。

• 授权机构对客户数字资产的操作受到严格限制，不得未经授权转让、出借、抵押或以任何形式设定负担于客户资产。任何此类操作只能在满足以下条件之一时进行：用于交易结算或支付客户欠费，客户已提前明确同意，或者根据法律要求。机构需采取有效措施，确保客户资产仅用于约定的目的，防止任何未授权使用。

（C）客户数字资产的保护

授权机构负责确保客户的数字资产得到充分的保护和妥善管理，通过建立强大的系统和控制措施来防止资产丢失、盗窃、欺诈或任何形式的未授权访问。这包括采用基于风险的方法来评估和应对各种安全威胁，特别是在使用不同类型的分布式账本技术（DLT）时，考虑到公共无许可网络可能带来更高的安全风险。

为此，机构必须实施一系列安全策略和程序，包括但不限于：

• 确保客户数字资产的存取、转移和管理过程中的授权和验证，特别是对种子和私钥的安全管理，涵盖其生成、分发、存储、使用和销毁的全过程。

• 在安全的环境中生成和存储私钥和种子，优先考虑离线生成和存储以减少网络攻击的风险，并采取分片技术避免单点故障。

• 限制访问权限至经过适当筛选和培训的授权人员，并采用多因素身份验证等强身份验证方法。

• 对存储设备和应用程序的访问进行严格的审计跟踪，以及为助记词和私钥制定异地备份和应急计划，确保这些关键信息的安全性和可恢复性。

• 采取额外措施保护客户资产，如在冷存储中保存大部分资产，确保通过客户指定的白名单地址进行资产的存取，以及确保智能合约的安全性。

• 为客户提供安全的用户界面或门户，实施有效的客户身份验证和通知控制措施，遵循最新的安全指导方针。

此外，授权机构应持续监控安全领域的最新动态，定期评估现有安全控制措施的有效性，并根据行业最佳实践和国际标准更新保护措施，确保客户数字资产的安全性和可靠性。

（D）委托和外包

• 在虚拟资产托管领域，授权机构面临着选择合适的合作伙伴来委托或外包托管职能的重要决策。基本原则要求，这些机构仅能将托管任务委托给经过适当授权的机构或持有相应牌照的虚拟资产交易平台。特别是对于那些运营在公共无许可分布式账本网络上的无许可令牌，更需谨慎评估委托或外包的决定。

• 在确定委托或外包合作伙伴时，授权机构必须进行彻底的尽职调查，评估潜在合作伙伴的财务状况、声誉、管理和技术能力，以及其遵守相关法律和监管要求的能力。此外，授权机构需确保委托方或服务提供商能够提供安全可靠的解决方案，不会引入任何单点故障，同时保证在任何情况下客户资产的法律权益不受影响。

• 授权机构还应确保已建立有效的监控和控制机制，以持续评估委托方或服务提供商的表现。此外，应急和灾难恢复计划应涵盖可能中断托管服务的各种情况，确保服务的持续可用性。

• 最终，虽然委托或外包可以带来效率和专业性的提升，授权机构仍需承担最终责任和问责，确保客户资产的安全和合规管理，同时保持与传统金融活动相同水平的系统和控制标准。

（E）风险披露

授权机构应以清晰易懂的方式向其客户充分和公正地披露托管安排，包括：

• 授权机构及其客户各自的权利和义务，包括在授权机构进入破产或清算时客户对其资产的所有权权利；

• 托管安排，包括客户数字资产的存储和隔离方式、存取客户数字资产的程序和时间，以及任何适用的费用和成本；

• 赔偿安排，以覆盖由于安全事件或挪用等原因可能导致的客户数字资产损失；

• 客户数字资产与其他客户资产混合存在的情况，以及相关的风险；

• 授权机构将在其中取得客户数字资产的法定和 / 或有益所有权，或以其他方式转让、出借、抵押、再抵押或对客户数字资产设定任何担保的我情况和安排，以及涉及的风险；

• 客户数字资产在投票、硬分叉和空投等事件中的处理方式以及它们的相应权利和权益；

• 授权机构应向其客户全面而公平地披露其托管安排，包括与其托管活动相关的潜在和 / 或实际利益冲突的存在和性质。

（F）客户数字资产的记录保存和对账

• 授权机构应当为每位客户保持适当的账簿和记录，以追踪和记录客户数字资产的所有权，包括欠客户的资产金额和种类，以及资产在客户账户之间的流动情况。应当在逐客户的基础上定期和频繁地对客户数字资产进行对账，考虑到相关的链下和链上记录。如有任何不符之处，应当及时解决并适时升级至高级管理层。

• 授权机构应当建立系统和控制措施，以保管和保护与托管活动相关的所有记录，并应在香港金融管理局要求时及时提供这些记录。

（G）反洗钱和打击恐怖活动融资

授权机构应确保其反洗钱和打击恐怖融资（AML/CFT）政策、程序和控制能够有效管理和减轻与数字资产托管活动相关的任何洗钱和恐怖活动融资风险。授权机构应遵守《反洗钱和打击恐怖活动融资指引（适用于授权机构）》和香港金融管理局关于数字资产托管活动的 AML/CFT 指导文件。

（H）对持续监控的要求

授权机构应定期审查其政策和程序，并对其系统和控制以及对客户数字资产保管方面的适用要求的合规性进行独立审计。

三、困难与挑战

虽说金管局对于虚拟资产托管的活动指引出来了，标准比之前更加清晰不需要过多的揣测证监会的意思，但是在香港设立一个遵守 TCSP 牌照要求的虚拟资产托管服务公司也是是一项挑战。对于已经在运营中的交易所和钱包机构这个过程不仅要求彻底构建一个 IT 基础设施，还涉及到对监管政策的深入理解、合规性保证、反洗钱措施的整合、安全控制系统的建立，以及区块链钱包技术的开发。这些任务需要大量的法律咨询、行业实践比对，以及对操作可行性的验证。

此外，香港的新政策对虚拟资产的安全性提出了更高的要求，包括获得全额保险保障的难度（这个成本非常高，让很多机构望而却步）、建立企业级托管技术信任和第三方托管信用的时间成本，以及实施独立账户托管的监管要求的复杂性。这些挑战显示了在香港建立 TCSP 托管服务提供商的复杂性，但通过周密的规划和技术创新，这些问题还是可以被克服的。关键在于基于对业务的深入了解来制定全面的治理策略，涵盖人员分工、运营规则和风险控制措施，以确保能够顺利地满足监管要求并实施项目。