Tổng quan hướng dẫn hoạt động lưu ký tài sản số của Cơ quan Quản lý Tiền tệ Hồng Kông
Tuyển chọn TechFlowTuyển chọn TechFlow
Tổng quan hướng dẫn hoạt động lưu ký tài sản số của Cơ quan Quản lý Tiền tệ Hồng Kông
Cơ quan Quản lý Tiền tệ Hồng Kông đã ban hành hướng dẫn về hoạt động lưu ký tài sản số, trong đó nêu rõ các tiêu chuẩn liên quan bao gồm quản trị và quản lý rủi ro, tách biệt tài sản số của khách hàng, bảo vệ tài sản số của khách hàng, ủy thác và thuê ngoài.
Chuyên sâu báo cáo Web3Biên dịch: Bo Wen
An toàn tài sản kỹ thuật số luôn là một trong những chủ đề được thảo luận nhiều nhất trong ngành. Khi ngày càng có nhiều tổ chức truyền thống tham gia, việc bảo quản tài sản kỹ thuật số của người dùng an toàn trong thế giới Web3 đầy rẫy tin tặc đã trở thành vấn đề bắt buộc phải giải quyết để quy mô ngành tiếp tục mở rộng.
Năm 2024, SEC Hoa Kỳ phê duyệt các quỹ ETF giao ngay Bitcoin, Coinbase trở thành tổ chức lưu ký Bitcoin cho 8 trong số các nhà phát hành ETF này, góp phần lớn vào tăng trưởng doanh thu của họ. Dịch vụ lưu ký tài sản kỹ thuật số giờ đây không chỉ còn là vấn đề công nghệ, mà còn là lĩnh vực kinh doanh cạnh tranh khốc liệt giữa các tổ chức lớn mạnh. Nếu Hồng Kông muốn bắt kịp nhanh chóng với Mỹ, thì việc hoàn thiện quy định về lưu ký tài sản kỹ thuật số cũng cần được đẩy nhanh.
Ngày 20 tháng 2 năm 2024, Cục Quản lý Tiền tệ Hồng Kông (HKMA) đã ban hành hướng dẫn về hoạt động lưu ký tài sản kỹ thuật số, nêu rõ các tiêu chuẩn liên quan, bao gồm quản trị và quản lý rủi ro, tách biệt tài sản kỹ thuật số của khách hàng, bảo vệ tài sản kỹ thuật số của khách hàng, ủy thác và thuê ngoài, nhằm cung cấp định hướng cho các tổ chức và công ty con đăng ký tại địa phương thực hiện hoạt động lưu ký tài sản kỹ thuật số tại Hồng Kông.
Sau đây là bản dịch nội dung gốc của hướng dẫn.
Hướng dẫn các tiêu chuẩn mong đợi đối với tổ chức được cấp phép cung cấp dịch vụ lưu ký tài sản kỹ thuật số
Hướng dẫn này áp dụng đối với các tổ chức được cấp phép (AIs) và các công ty con được cấp phép tại địa phương của họ khi nắm giữ tài sản kỹ thuật số (tức là tài sản chủ yếu dựa trên mật mã học và sổ cái phân tán hoặc các công nghệ tương tự) thay mặt khách hàng, ngoại trừ các token kỹ thuật số phục vụ mục đích cụ thể. Ví dụ minh họa, các tài sản bao gồm tài sản ảo (VA), chứng khoán token hóa và các tài sản được token hóa khác. Hướng dẫn này không áp dụng cho việc lưu ký tài sản riêng của AIs hoặc các công ty trong nhóm tập đoàn, nếu các tài sản đó không phải được nắm giữ thay mặt khách hàng.
(A) Quản trị và quản lý rủi ro
1. Trước khi triển khai dịch vụ lưu ký tài sản kỹ thuật số, tổ chức được cấp phép phải thực hiện đánh giá rủi ro toàn diện nhằm xác định và hiểu rõ các rủi ro liên quan. Tổ chức phải xây dựng các chính sách, quy trình và biện pháp kiểm soát phù hợp để quản lý và giảm thiểu các rủi ro đã xác định, đồng thời xem xét các yêu cầu pháp lý và quy định áp dụng. Hội đồng quản trị và ban quản lý cấp cao của tổ chức phải giám sát hiệu quả quy trình quản lý rủi ro, đảm bảo rằng các rủi ro liên quan đến hoạt động lưu ký được nhận diện, đánh giá, quản lý và giảm thiểu trước và trong suốt quá trình thực hiện các hoạt động lưu ký.
2. Tổ chức được cấp phép phải phân bổ đủ nguồn lực cho hoạt động lưu ký, bao gồm nhân sự và chuyên môn cần thiết, nhằm đảm bảo quản trị, vận hành và quản lý rủi ro hiệu quả. Ban quản lý cấp cao và nhân viên tham gia vào hoạt động lưu ký tài sản kỹ thuật số và các chức năng kiểm soát liên quan phải có kiến thức, kỹ năng và chuyên môn cần thiết để thực hiện nhiệm vụ của mình.
3. Do lĩnh vực tài sản kỹ thuật số phát triển rất nhanh, tổ chức được cấp phép phải đảm bảo cung cấp đào tạo đầy đủ cho ban quản lý cấp cao và nhân viên tham gia hoạt động lưu ký nhằm duy trì năng lực kinh doanh liên tục.
4. Tổ chức được cấp phép phải thiết lập cơ chế trách nhiệm rõ ràng cho hoạt động lưu ký, bao gồm vai trò và trách nhiệm được quy định bằng văn bản rõ ràng cùng với đường dây báo cáo. Đồng thời phải xây dựng các chính sách và quy trình đầy đủ để nhận diện, quản lý và giảm thiểu các xung đột lợi ích tiềm tàng và/hoặc thực tế có thể xảy ra, ví dụ như giữa các hoạt động khác nhau của tổ chức hoặc các bên liên kết.
5. Tổ chức được cấp phép phải xây dựng và duy trì các phương án dự phòng và phục hồi sau thảm họa hiệu quả để đảm bảo tính liên tục trong hoạt động lưu ký.
(B) Tách biệt tài sản kỹ thuật số của khách hàng
6. Tổ chức được cấp phép phải lưu trữ tài sản kỹ thuật số của khách hàng trong các tài khoản khách hàng chuyên biệt, tách biệt khỏi tài sản của chính tổ chức, nhằm đảm bảo rằng trong trường hợp tổ chức phá sản hoặc giải thể, tài sản kỹ thuật số của khách hàng sẽ được miễn trừ khỏi các khoản nợ phải trả cho chủ nợ của tổ chức.
7. Tổ chức được cấp phép không được chuyển nhượng bất kỳ quyền, lợi ích, sở hữu, quyền sở hữu pháp lý và/hoặc thực tế nào của tài sản kỹ thuật số khách hàng, cũng không được cho vay, thế chấp, tái thế chấp hoặc đặt bất kỳ nghĩa vụ nào khác lên tài sản kỹ thuật số của khách hàng, trừ khi vì: (i) thanh toán giao dịch, và/hoặc phí và lệ phí mà khách hàng nợ tổ chức; (ii) có sự đồng ý trước bằng văn bản rõ ràng từ khách hàng; hoặc (iii) theo quy định pháp luật. Tổ chức phải thực hiện các biện pháp đầy đủ và hiệu quả nhằm ngăn chặn việc sử dụng tài sản kỹ thuật số của khách hàng cho tài khoản của chính mình hoặc cho các mục đích khác ngoài thỏa thuận với khách hàng.
(C) Bảo vệ tài sản kỹ thuật số của khách hàng
8. Một tổ chức được cấp phép phải xây dựng hệ thống và kiểm soát đầy đủ để đảm bảo tài sản kỹ thuật số của khách hàng được ghi chép kịp thời, đúng đắn và được bảo vệ đầy đủ. Đặc biệt, tổ chức phải thiết lập các biện pháp kiểm soát hiệu quả nhằm giảm thiểu rủi ro mất mát tài sản kỹ thuật số của khách hàng do trộm cắp, gian lận, sơ suất hoặc các hành vi chiếm đoạt khác, cũng như do truy cập chậm trễ hoặc không thể truy cập tài sản.
9. Khi phát triển hệ thống và biện pháp kiểm soát để bảo vệ tài sản kỹ thuật số của khách hàng, tổ chức được cấp phép có thể áp dụng phương pháp dựa trên rủi ro, cân nhắc đặc điểm, tính chất và mức độ rủi ro của các tài sản kỹ thuật số mà họ lưu ký. Rủi ro có thể phụ thuộc vào loại mạng lưới sổ cái phân tán (DLT) được sử dụng (ví dụ: DLT riêng tư có cấp phép, DLT công cộng có cấp phép và DLT công cộng không có cấp phép), cũng như các biện pháp giảm thiểu đã được áp dụng. Ví dụ, tài sản kỹ thuật số của khách hàng được nắm giữ trên mạng DLT công cộng không có cấp phép có thể đối mặt với rủi ro an ninh mạng cao hơn, việc khôi phục tài sản bị mất có thể rất khó khăn trong trường hợp bị đánh cắp, tấn công tin tặc hoặc các sự cố mạng khác, trong khi đó, trên các mạng DLT công cộng có cấp phép và DLT riêng tư có cấp phép, có thể tồn tại các biện pháp kiểm soát việc truy cập mạng DLT.
10. Các hệ thống và biện pháp kiểm soát dùng để bảo vệ tài sản kỹ thuật số của khách hàng bao gồm nhưng không giới hạn ở các chính sách và quy trình bằng văn bản về:
-
Ủy quyền và xác minh truy cập để nạp, rút và chuyển tài sản kỹ thuật số của khách hàng, bao gồm cả việc truy cập vào thiết bị lưu trữ seed và khóa riêng; và
-
Quản lý và bảo vệ seed và khóa riêng của tài sản kỹ thuật số khách hàng, bao gồm sinh khóa, phân phối, lưu trữ, sử dụng, hủy bỏ và sao lưu.
11. Đặc biệt, tổ chức được cấp phép được kỳ vọng sẽ áp dụng các thực hành tốt nhất trong ngành và tuân thủ các tiêu chuẩn an toàn quốc tế áp dụng, phù hợp với bản chất, đặc điểm và rủi ro của tài sản đang nắm giữ. Mặc dù các quy trình và biện pháp dưới đây không mang tính bắt buộc hay "một kích thước phù hợp với tất cả", nhưng chúng thường là yêu cầu bắt buộc đối với các tổ chức được cấp phép nắm giữ VA của khách hàng. Đối với các tài sản kỹ thuật số khác, tổ chức có thể áp dụng phương pháp dựa trên rủi ro để thực hiện các quy trình và biện pháp này, phù hợp với mức độ rủi ro mà họ đối mặt. Tuy nhiên, nếu các tài sản kỹ thuật số này tồn tại dưới dạng token không có cấp phép trên mạng DLT công cộng không có cấp phép, tổ chức cần thận trọng hơn và tiến hành đánh giá thận trọng về việc triển khai:
-
Sinh và lưu trữ seed và khóa riêng trong môi trường và thiết bị an toàn, chống giả mạo (như mô-đun bảo mật phần cứng HSM), bao gồm cả việc sao lưu. Khi khả thi, seed và khóa riêng nên được sinh offline và thiết lập giới hạn vòng đời phù hợp;
-
Sinh, lưu trữ và sao lưu seed và khóa riêng một cách an toàn tại địa phương ở Hồng Kông;
-
Chỉ cấp quyền truy cập vào thiết bị hoặc ứng dụng mã hóa cho những cá nhân được ủy quyền theo nhu cầu, những người này phải được sàng lọc và đào tạo đầy đủ; duy trì hồ sơ cập nhật về phương thức truy cập và quyền truy cập được phân bổ; sử dụng các phương pháp xác thực mạnh như xác thực đa yếu tố để xác thực truy cập vào seed và khóa riêng; duy trì nhật ký kiểm toán về việc truy cập thiết bị hoặc ứng dụng mã hóa;
-
Áp dụng kỹ thuật chia nhỏ khóa hoặc các công nghệ tương tự để ngăn ngừa mọi "điểm lỗi đơn lẻ", ví dụ như chia nhỏ khóa riêng và phân phối cho nhiều nhân viên được ủy quyền của tổ chức để lưu trữ phân tán, nhằm đảm bảo không một bên nào nắm giữ toàn bộ khóa. Thông thường, cần một số lượng nhất định các mảnh khóa được ký kết tập thể để xác nhận giao dịch, nhằm đảm bảo không cá nhân nào có quyền truy cập hoàn toàn, đồng thời ngăn chặn gián đoạn hoạt động nếu một mảnh khóa bị mất, không khả dụng hoặc bị đánh cắp. Để ngăn ngừa điểm lỗi đơn lẻ, cũng có thể cân nhắc sử dụng nhiều ví thay vì chỉ một ví duy nhất để nắm giữ tài sản kỹ thuật số của khách hàng;
-
Thiết lập các biện pháp ngăn ngừa và giảm thiểu rủi ro thông đồng giữa các nhân viên được ủy quyền có quyền truy cập vào cụm từ khôi phục (seed phrase) và khóa riêng;
-
Đối với cụm từ khôi phục và khóa riêng, cần có biện pháp sao lưu tại nơi khác và kế hoạch ứng phó sự cố đầy đủ, các biện pháp này phải chịu sự kiểm soát an ninh giống như đối với cụm từ khôi phục và khóa riêng gốc. Bản sao lưu cụm từ khôi phục và khóa riêng phải được lưu trữ offline tại vị trí vật lý an toàn, tách biệt về mặt địa lý với vị trí lưu trữ chính và không bị ảnh hưởng bởi cùng một sự kiện;
-
Trừ khi có lý do khác, phần lớn tài sản kỹ thuật số của khách hàng phải được lưu trữ trong ví lạnh (cold storage) không kết nối Internet;
-
Chỉ cho phép nạp và rút tài sản kỹ thuật số của khách hàng thông qua địa chỉ ví thuộc sở hữu của khách hàng (ví dụ: qua kiểm tra quyền sở hữu như ký tin nhắn hoặc thử nghiệm thanh toán nhỏ) và đã được đưa vào danh sách trắng;
-
Thực hiện các biện pháp đảm bảo rằng bất kỳ hợp đồng thông minh nào được sử dụng trong quá trình lưu ký đều ít bị ảnh hưởng bởi các lỗ hổng hợp đồng hoặc thiếu sót về an ninh;
-
Xây dựng các biện pháp bảo hiểm hoặc bồi thường thích hợp, đủ để bao phủ đầy đủ khả năng mất mát tài sản kỹ thuật số của khách hàng do các sự cố như tin tặc, trộm cắp hoặc gian lận (dù có hay không do hành vi, sai sót, sơ suất hoặc sai phạm nghiêm trọng của tổ chức được cấp phép).
12. Khi tổ chức được cấp phép cung cấp giao diện người dùng hoặc cổng thông tin cho khách hàng để quản lý tài sản kỹ thuật số do tổ chức nắm giữ, cần thiết lập các biện pháp kiểm soát xác thực danh tính khách hàng và thông báo hiệu quả, tuân thủ các hướng dẫn liên quan do Cục Quản lý Tiền tệ Hồng Kông (HKMA) ban hành từ thời điểm này đến thời điểm khác.
13. Tổ chức được cấp phép phải theo dõi sát sao các mối đe dọa an ninh mới nổi, lỗ hổng, tấn công, rủi ro gian lận cũng như xu hướng và phát triển của các giải pháp công nghệ; định kỳ đánh giá tính đầy đủ và vững chắc của các biện pháp kiểm soát rủi ro an ninh, xem xét các mối đe dọa mới nổi và tiến bộ công nghệ; và thực hiện các biện pháp áp dụng công nghệ lưu ký tài sản kỹ thuật số theo các thực hành tốt nhất trong ngành và các tiêu chuẩn quốc tế áp dụng. Trước khi triển khai, các công nghệ lưu trữ ví dùng để lưu ký tài sản kỹ thuật số của khách hàng cần được kiểm thử để đảm bảo độ tin cậy.
(D) Ủy thác và thuê ngoài
14. Về nguyên tắc chung, đối với tài sản ảo, tổ chức được cấp phép chỉ được phép ủy thác chức năng lưu ký của mình cho (i) một tổ chức được cấp phép khác (hoặc công ty con được cấp phép tại địa phương); hoặc (ii) một nền tảng giao dịch tài sản ảo được cấp phép bởi SFC. Đối với các tài sản kỹ thuật số khác dưới dạng token không có cấp phép, nếu chúng nằm trên mạng DLT công cộng - không có cấp phép, tổ chức cần đặc biệt thận trọng và tiến hành đánh giá kỹ lưỡng về việc ủy thác hoặc thuê ngoài chức năng lưu ký.
15. Khi một tổ chức được cấp phép thiết lập thỏa thuận ủy thác hoặc thuê ngoài với bên được ủy thác hoặc nhà cung cấp dịch vụ trong việc cung cấp dịch vụ lưu ký tài sản kỹ thuật số, tổ chức phải thực hiện thẩm định thích hợp trước khi lựa chọn và bổ nhiệm bên được ủy thác hoặc nhà cung cấp dịch vụ. Tổ chức phải đánh giá và đảm bảo hài lòng về các khía cạnh bao gồm nhưng không giới hạn ở tình hình tài chính, uy tín, kỹ năng quản lý, năng lực công nghệ và vận hành, cũng như khả năng tuân thủ các yêu cầu trong phụ lục này và các yêu cầu pháp lý, quy định áp dụng khác, và khả năng theo kịp sự phát triển công nghệ trong lĩnh vực tài sản kỹ thuật số. Kết quả đánh giá thẩm định và hồ sơ liên quan phải được lưu giữ đầy đủ. Tổ chức phải thiết lập các biện pháp kiểm soát hiệu quả để giám sát liên tục hiệu suất của bên được ủy thác hoặc nhà cung cấp dịch vụ.
16. Khi hợp tác với bên được ủy thác hoặc nhà cung cấp dịch vụ để cung cấp dịch vụ lưu ký tài sản kỹ thuật số, tổ chức được cấp phép phải có chuyên môn kỹ thuật để đánh giá hiệu quả của giải pháp được triển khai trong việc bảo vệ tài sản kỹ thuật số của khách hàng, cũng như liệu nó có tạo ra điểm lỗi đơn lẻ nào hay không. Tổ chức cũng phải hiểu rõ các điều khoản và điều kiện mà bên được ủy thác hoặc nhà cung cấp dịch vụ nắm giữ tài sản kỹ thuật số của khách hàng, và đánh giá xem điều đó có ảnh hưởng đáng kể đến quyền lợi pháp lý của khách hàng trong trường hợp bên được ủy thác hoặc nhà cung cấp dịch vụ phá sản hay không. Tổ chức có trách nhiệm đảm bảo rằng bên được ủy thác hoặc nhà cung cấp dịch vụ tách biệt tài sản kỹ thuật số của khách hàng một cách phù hợp theo Khoản 6 và Khoản 7 của Phụ lục này.
17. Phương án ứng phó khẩn cấp và phục hồi sau thảm họa của tổ chức được cấp phép phải bao gồm các kịch bản gián đoạn do việc ủy thác hoặc thuê ngoài dịch vụ lưu ký tài sản kỹ thuật số gây ra. Tổ chức cũng phải đánh giá năng lực chống chịu của bên được ủy thác hoặc nhà cung cấp dịch vụ, bao gồm kế hoạch và quy trình ứng phó khẩn cấp của họ, nhằm đảm bảo tính sẵn sàng của dịch vụ lưu ký.
18. Tổ chức được cấp phép cần lưu ý rằng trong các thỏa thuận ủy thác hoặc thuê ngoài dịch vụ lưu ký tài sản kỹ thuật số, vẫn phải duy trì các hệ thống và biện pháp kiểm soát tương ứng như trong các thỏa thuận ủy thác hoặc thuê ngoài hoạt động tài chính truyền thống.
19. Trách nhiệm cuối cùng và cơ chế chịu trách nhiệm đối với mọi hoạt động được ủy thác hoặc thuê ngoài đều thuộc về tổ chức được cấp phép.
(E) Tiết lộ rủi ro
20.Tổ chức được cấp phép phải tiết lộ đầy đủ và công bằng cho khách hàng theo cách rõ ràng, dễ hiểu về các thỏa thuận lưu ký, bao gồm:
-
Quyền và nghĩa vụ của tổ chức được cấp phép và khách hàng, bao gồm quyền sở hữu tài sản của khách hàng trong trường hợp tổ chức được cấp phép phá sản hoặc thanh lý;
-
Các thỏa thuận lưu ký, bao gồm cách thức lưu trữ và tách biệt tài sản kỹ thuật số của khách hàng, quy trình và thời gian truy cập tài sản kỹ thuật số của khách hàng, cũng như các khoản phí và chi phí áp dụng;
-
Các thỏa thuận bồi thường nhằm bao phủ khả năng mất mát tài sản kỹ thuật số của khách hàng do các sự cố an ninh hoặc chiếm dụng;
-
Tình trạng tài sản kỹ thuật số của khách hàng bị pha trộn với tài sản của các khách hàng khác và các rủi ro liên quan;
-
Các tình huống và thỏa thuận mà tổ chức được cấp phép sẽ nắm giữ quyền sở hữu pháp lý và/hoặc quyền sở hữu thực tế đối với tài sản kỹ thuật số của khách hàng, hoặc chuyển nhượng, cho vay, thế chấp, tái thế chấp hoặc đặt bất kỳ nghĩa vụ nào khác lên tài sản kỹ thuật số của khách hàng, cùng với các rủi ro liên quan;
-
Cách xử lý tài sản kỹ thuật số của khách hàng trong các sự kiện như biểu quyết, hard fork và airdrop, cũng như các quyền lợi tương ứng;
-
Tổ chức được cấp phép phải tiết lộ đầy đủ và công bằng cho khách hàng về các thỏa thuận lưu ký của mình, bao gồm sự tồn tại và bản chất của các xung đột lợi ích tiềm tàng và/hoặc thực tế liên quan đến hoạt động lưu ký.
(F) Lưu trữ hồ sơ và đối chiếu tài sản kỹ thuật số của khách hàng
21. Tổ chức được cấp phép phải duy trì sổ sách và hồ sơ phù hợp cho từng khách hàng để theo dõi và ghi nhận quyền sở hữu tài sản kỹ thuật số của khách hàng, bao gồm số lượng và loại tài sản nợ khách hàng, cũng như dòng di chuyển tài sản giữa các tài khoản khách hàng. Việc đối chiếu tài sản kỹ thuật số của khách hàng phải được thực hiện định kỳ và thường xuyên theo từng khách hàng, xem xét các hồ sơ trên chuỗi và ngoài chuỗi liên quan. Mọi sự chênh lệch phát sinh phải được xử lý kịp thời và báo cáo lên ban quản lý cấp cao khi cần thiết.
22. Tổ chức được cấp phép phải xây dựng hệ thống và biện pháp kiểm soát để lưu trữ và bảo vệ mọi hồ sơ liên quan đến hoạt động lưu ký, và phải cung cấp kịp thời các hồ sơ này khi HKMA yêu cầu.
(G) Chống rửa tiền và chống tài trợ khủng bố
23. Tổ chức được cấp phép phải đảm bảo rằng các chính sách, quy trình và biện pháp kiểm soát chống rửa tiền và chống tài trợ khủng bố (AML/CFT) của mình có hiệu quả trong việc quản lý và giảm thiểu mọi rủi ro rửa tiền và tài trợ khủng bố liên quan đến hoạt động lưu ký tài sản kỹ thuật số. Tổ chức phải tuân thủ Hướng dẫn Chống rửa tiền và Chống tài trợ khủng bố (áp dụng cho các tổ chức được cấp phép) và các tài liệu hướng dẫn AML/CFT của HKMA về hoạt động lưu ký tài sản kỹ thuật số.
(H) Yêu cầu về giám sát liên tục
24. Tổ chức được cấp phép phải định kỳ rà soát các chính sách và quy trình của mình, đồng thời thực hiện kiểm toán độc lập về hệ thống, biện pháp kiểm soát và mức độ tuân thủ các yêu cầu áp dụng đối với việc lưu ký tài sản kỹ thuật số của khách hàng.
Chào mừng tham gia cộng đồng chính thức TechFlow
Nhóm Telegram:https://t.me/TechFlowDaily
Tài khoản Twitter chính thức:https://x.com/TechFlowPost
Tài khoản Twitter tiếng Anh:https://x.com/BlockFlow_News
