《香港数字资产发展政策宣言2.0》于近日公布,其后财经事务及库务局(以下简称“财库局”)及证券及期货事务监察委员会(以下简称“证监会”)联合发出咨询文件,就有关设立数字资产交易及托管服务提供者发牌制度的立法建议征询意见,公众咨询为期两个月至 8 月 29 日止。Safeheron 作为亚洲领先的数字资产自托管解决方案提供商,第一时间就文件进行了详尽解读。
香港政府此次咨询文件中对数字资产托管服务的定义涵盖了两种关键场景:
该定义明确了监管范围主要聚焦于托管型钱包服务提供商 —— 这类机构能够控制客户数字资产或掌握资产转移的权限,通常表现为代客户保管钱包私钥的服务模式。从咨询文件的内容来看,政策主要针对以下托管模式:
关于文件中监管要求及合规标准,获得数字资产托管服务牌照的机构将需要满足以下监管要求:
这些监管要求参照了传统金融托管人的标准。关于文件中监管机构角色的分工协同,香港的数字资产托管监管框架采取双层监管结构:
由此可见,香港政府对数字资产托管的监管政策明确定位于商业托管服务提供商。这一监管体系坚持「相同业务、相同风险、相同规则」的监管原则,将商业托管服务纳入与传统金融服务类似的监管范围,同时保留了个人使用自托管钱包的自由。值得注意的是,此监管架构并非针对所有托管模式,而是聚焦于能够代客户保管数字资产或控制资产转移工具(如私钥)的商业服务提供商。
主流自托管服务业务模式如 MPC 自托管服务、MPC + TEE 自托管服务等,即客户 100% 完全控制自己企业钱包/账户的私钥,此次文件中在「使用第三方保管客户虚拟资产」也涉及到相关表达,原文为:
“我们(即本次文件发起方)理解虚拟资产托管服务提供者在提供服务的过程中可能会使用第三方,无论是透过其企业集团内的独立实体,还是其他技术基础设施公司来保管客户的虚拟资产。例如,虚拟资产托管服务提供者可能会将私人密钥分片储存于其关联公司,或使用多方计算(MPC)技术来转移客户的虚拟资产。我们邀请公众分享对市场上各种业务模式、第三方参与,以及技术基础设施设置的观察和意见。这将有助于我们更准确地制定定义,并确定哪些实体和/或个人应纳入或排除于新制度下的发牌要求及适用的监管要求。”
这也充分展现了香港政府对自托管服务模式的深刻技术理解与广泛的商业洞见,为未来制定相关监管框架奠定了坚实基础。然而,在明确的合规监管框架尚未建立之前,自托管服务提供商应如何主动适应监管趋势,确保业务安全合规,并赢得市场信任呢?
公认权威安全认证与资质,如 ISO/IEC 27001:2022、SOC 2 等,能为自托管服务商的合规实践带来显著提升。这些认证确保自托管服务商即使在面对尚未明晰的监管环境时,仍能遵循最高标准的安全与合规实践。例如,新加坡金融管理局(MAS)对 ISO/IEC 27001:2022 与 SOC 2 等权威认证给予高度认可。此外,保险保障也是不容忽视的重要环节——它不仅为机构客户资产提供额外安全保障,还促使自托管服务商向更高的安全合规标准看齐。
同时,自托管服务商应持续接受权威安全机构的审计,并定期进行产品安全评估与渗透测试,确保技术可追溯、安全可验证。通过权威第三方与内部安全专家的持续监督,这些措施不仅为服务商自身提供背书,更能让机构用户用得放心。作为机构用户的服务供应商,这些认证与审计结果还能在机构拓展新业务市场时提供有力的合规证明,帮助其灵活适应不同地区或国家的监管要求。
不同于中心化托管服务,自托管服务运用的是更先进的创新技术,如密码学 MPC(安全多方计算)与硬件级 TEE (可信执行环境)技术,合理组合运用可以实现优于中心化托管的安全性,让机构用户不用担心托管服务商与供应链中其他供应商勾结作恶、团队内部作恶,同时也可以有效抵御持续升级的黑客攻击。
另外,合规设计应贯穿自托管服务商设计技术架构、技术落地、产品实现与服务机构客户的全过程,如内置顶尖 AML 与 KYT 功能、建立多层审批机制、实现分布式私钥管理、完整交易追踪等,践行 DevSecOps 准则为技术开发提供可持续性的安全质量保障,打造零信任安全架构确保所有链路的每个环节都无法单独作恶。
区块链行业区别于传统金融的一个显著特征是,目前它更加开放,技术革新速度更快,面对日新月异的技术发展,许多创新技术或许走在了监管之前,这也出现了技术创新与监管滞后的矛盾,这对自托管服务来说,通过开源技术,能够有效提高技术透明度,提高其自身可信赖度,而且,即便在监管更新速度慢于技术革新之际,开源依然能为合规带来助力,帮助监管机构个市场更好了解技术。
新加坡金融局(MAS)作为集中管理整个新加坡金融生态的政府机构,早在 2020 年起推行《支付服务法》(Payment Services Act 2019),数字支付代币服务(Digital payment token service,DPT)作为该法案下的一类支付服务,需要相关从事企业申请以下牌照来合法展业:
新加坡金融局对数字支付代币服务定义为:
新加坡金融局最看重的 5 大关键合规点为:
从以上最重视的五大关键合规要点可以看出,新加坡金融管理局特别关注客户资金安全保障、反洗钱合规流程的严格执行、与第三方服务商的关系管理、是否与受制裁国家存在业务往来以及后续合规运营的持续性。这些监管重点与当前香港咨询文件的监管范围和合规标准(如上文所述)展现出明显的共通之处。
值得注意的是,在数字资产托管服务领域,香港与新加坡的监管思路基本一致,主要适用对象都聚焦于直接持有机构客户私钥或保管客户资金的中心化托管服务提供商。
毫无疑问,香港政府关于设立数字资产交易及托管服务提供者发牌制度的立法举措,标志着香港数字资产发展进入了全新阶段,旨在巩固并提升香港作为全球数字资产中心的战略地位。可以预见,监管框架日益明确,将成为推动托管服务升级的重要催化剂,不仅促进合规风控体系的提升,还将激发业务模式创新。在这一背景下,那些专注于为机构和企业客户提供高安全性、高合规性托管服务的市场参与者将迎来蓬勃发展的战略机遇期。
