合規虛擬資產交易所的資產托管核心

近期，香港兩家虛擬數字資產交易所獲得證監會批準的虛擬資產服務提供商牌照，正式向香港散戶提供虛擬資產交易服務。這標志着合規交易所在虛擬資產領域的重要性進一步提升。

自去年10月以來，香港監管機構陸續發布了一系列虛擬資產交易相關措施。今年6月1日起，更多虛擬資產交易所可向香港證監會正式申請合規牌照。在這一背景下，衆多交易所都有意來港申請牌照，開展合規中心化交易業務。

那麼，香港證監會對中心化交易所有哪些具體要求?除了法律文件流程外,合規監管在技術層面又有哪些特殊配置要求?

事實上,香港目前的合規交易監管框架對交易所的軟硬件合規提出了很高的技術要求。國際上有多家供應商爲交易所提供各類合規技術服務。其中,客戶資產托管是香港證監會最爲關注的核心領域之一。

虛擬資產交易與傳統金融資產托管的區別

在傳統金融體系中,用戶通常通過券商購買股票等產品。表面上看,用戶將資金存入券商帳戶並由券商代爲交易和持有。但實際上,作爲非銀行機構的券商並不能直接托管客戶資金。

客戶資金實際是存放在銀行的。銀行爲券商開設大帳戶,下設多個子帳戶用於托管客戶資金。券商作爲資金托管方,並不能隨意調動客戶資金。只有在得到客戶指令後,銀行才會允許券商代表客戶提取存放的資金。

總的來說,傳統金融世界中的股票、債券等資產都托管在高度中心化、安全保障極高的機構中。這些機構在軟硬件、網路和內部管控等方面都有完善的安全保護措施。證券服務商只是幫助客戶進行托管管理流程,背後是經過多代技術迭代的大型金融機構在爲用戶托管和保護資產。這也是傳統金融交易給人安全感的原因所在。

而在香港合規虛擬資產交易框架下,用戶資產托管模式有很大不同。香港監管要求交易所自身承擔類似銀行的角色,由交易所的冷錢包直接托管客戶虛擬資產。這相當於將傳統金融中銀行、托管等多個環節的功能集中到合規交易所這一實體中,由交易所對客戶資產負責。因此,合規交易所在軟硬件技術方面的要求遠高於券商,接近銀行水平,還需要額外增加加密技術維度。

虛擬資產交易的安全問題

虛擬資產交易的安全問題可以從安全和合規兩個角度來看。安全更多體現爲企業的內功,而合規則更多涉及監管的外力約束。

從安全角度看,區塊鏈可簡單分爲鏈上和鏈下。鏈上智能合約雖然可以設置條件自動執行,但仍可能被黑客利用漏洞進行攻擊,造成資金轉移或泄露。鏈下對於運營平台而言,則是一個系統性的安全工程,涉及用戶認證體系、企業內部網路安全、終端安全、應急響應機制以及托管技術路線等多個方面。

從合規角度看,虛擬資產行業經歷了從無到有的發展過程。2018年前後還處於野蠻生長狀態,近年來才逐步有了改變。雖然大陸和香港地區的政策制定和監管更多體現爲限制和約束,但日本早在2017年就開始了交易所發牌制度,並對網路安全、數據安全等方面提出了要求。

新加坡和香港近期出臺的政策,尤其是今年香港的監管制度,都體現了合規監管不能流於表面,必須落實明確的管理規則和制度,才能真正保護投資者利益的理念。這也是香港發布明確的虛擬資產牌照監管政策,並從交易平台入手的原因所在。

監管對資產托管合規的要求

橫向對比香港、日本、新加坡等地的牌照要求,可以發現香港證監會/港府的監管政策在邏輯性和全面性上都很強。主要體現在以下幾個方面:

首先,考慮到地緣政治因素,香港政府明確要求數字資產私鑰必須存放在香港本地。

其次,從監管制度成熟度來看,香港的監管考慮得十分全面。由於目前香港還沒有成熟完備的第三方托管監管制度,政府要求虛擬資產牌照申請者必須自行建設虛擬資產安全托管系統,並列出了諸多細則要求。

在技術路線選擇上,港府採取了"保守又開放"的態度。保守體現在傾向選擇傳統金融安全領域經過反復驗證的成熟技術路線;開放則體現在也考察了許多新型技術方案,並保持開放態度。

此外,雖然港府要求交易平台自行托管客戶資產並列出明確要求,但並非交易所自稱達標就可獲得牌照。還必須有權威第三方評估機構進行評估認證,才有可能申請到牌照。

從這些方面可以看出,香港政府在監管邏輯、方法和細節上都考慮得非常全面。

保護用戶資產安全的措施

1. IT方面的要求包括網路安全、IT基礎設施、終端安全、災備應急響應以及錢包托管系統等。其中一項重要要求是98%的資產必須存放在冷錢包中。

冷錢包不僅要做到完全離線斷網,還需要使用國際認可的密碼學安全設備形成數字資產金庫,並對存放硬件的物理環境有溫溼度控制、防追蹤、防尾隨、信號幹擾等要求。

爲進一步保護用戶資產,在限定技術和實現方案後,還強制要求設立風險賠付金或專用保險,具備客戶理賠能力。

2. 合規方面,反洗錢和反恐怖融資是監管重點關注的領域。每個交易所都需配備專業的"首席合規官",負責用戶Onboard環節的身分和資金安全審查(KYC),以及每筆交易的資金來源和流向合規判斷(Travel Rule)。

3. 風控體現在多個方面,包括市場操縱行爲、用戶欺詐、交易對手方風險、信用風險等管理。

4. 治理層面需要建立完善的制度,核心在於明確角色:

首先是主體角色分離,要求交易平台和負責托管客戶資產安全的主體分開,且托管主體要100%服務於交易平台主體。

其次是資金層面責任明確,要明確區分交易平台資金和用戶資金,不得有任何混淆。

再者是"角色與職責分離",業務流程的任何環節都不能有單點風險。比如冷錢包資金調撥必須遵循"四目原則"。

未來可能引入的解決方案

在保證現有安全程度的前提下,未來香港合規虛擬資產交易所在客戶資產托管方面可能引入以下方案:

從交易平台運營角度看,MPC(Multi-Party Computation安全多方計算)等新技術很有潛力。監管並非拒絕這些技術,而是更關注技術成熟度。隨着時間積累和認證,這些優秀技術也會逐漸被接受。

另一方面,交易平台也在考慮如何觸達更多C端用戶。目前主要通過中心化方式讓用戶Onboard和交易,滿足了大部分用戶需求。但未來可能會出現更多個人錢包解決方案,與中心化交易所形成互補甚至聯動。

從傳統金融經驗看,並不需要每個交易所都有自己的托管,完全可以由1-2家機構完成所有資產托管。未來隨着MPC等技術被更多國際認證機構認可,托管領域可能會集中到幾家頭部機構執行。

具體來說,一是從責權分離角度,未來可能會獨立明確托管的監管要求,包括如何監管托管機構、交易所如何利用第三方托管服務等。二是從技術路線角度,目前普遍要求基於加密機的傳統金融級解決方案,未來隨着新技術路線成熟並獲得認證,托管服務方的技術選擇將不再單一。

我們相信,隨着技術進步和行業理解加深,未來將有更多人進入這一領域,市場會愈發蓬勃發展。