一览香港金管局数字资产托管活动指引

编译：博文，白露会客厅

数字资产的安全一直是行业讨论最久的话题之一，随着越来越多的传统机构入场，怎样在黑客丛生的Web3世界保管好用户的数字资产，成为行业规模继续扩大必须解决的问题。

2024年，美国SEC批准比特币现货ETF，Coinbase成为其中8支ETF发行商的比特币托管商，大幅支撑了其收入发展。数字资产托管不再仅是技术问题，也成为了实力机构必争的生意。香港如果想快速追上美国的步伐，在数字资产托管的监管上也必须加速完善。

2024年2月20日，香港金融管理局（金管局）发布关于数字资产托管活动的指引，列出了相关的标准，包括治理和风险管理、客户数字资产隔离、客户数字资产保护、委托和外包等，为在香港开展数字资产托管活动的机构及其子公司提供指导。

以下为指引原文内容编译。

数字资产托管服务授权机构的预期标准指引

本指引适用于授权机构（AIs）及其在本地注册的授权机构子公司代表客户持有的数字资产（即主要依赖于密码学和分布式账本或类似技术的资产），但不包括特定用途的数字代币。作为说明，涵盖的资产包括虚拟资产（VA）、代币化证券和其他代币化资产。本指引不适用于AIs或其集团公司自有资产的托管，这些资产并非代表客户持有。

（A） 治理和风险管理

1. 在推出数字资产保管服务之前，授权机构应进行全面的风险评估，以识别和了解相关风险。授权机构应建立适当的政策、程序和控制措施，管理和减轻已识别的风险，考虑适用的法律和监管要求。该机构的董事会和高级管理层应有效监督风险管理流程，确保在从事数字资产保管活动之前和在进行这些活动的过程中，都能够识别、评估、管理和减轻与保管活动相关的风险。

2. 授权机构应为其保管活动分配足够的资源，包括必要的人力和专业知识，以确保适当的治理、运营和有效的风险管理。参与该机构数字资产保管活动及相关控制职能的高级管理层和员工应具备履行其职责所需的知识、技能和专业知识。

3. 鉴于数字资产领域的快速发展，授权机构应确保对从事保管活动的高级管理层和员工提供足够的培训，以保持其持续的业务能力。

4. 授权机构应对保管活动建立适当的问责安排，包括明确书面规定的角色和责任以及报告线路。还应制定足够的政策和流程，以识别、管理和减轻可能发生的潜在和/或实际利益冲突，例如在机构或其关联方进行的不同活动之间可能发生的冲突。

5. 授权机构应建立并维护有效的备用和灾难恢复安排，以确保其保管活动的业务连续性。

（B）客户数字资产的隔离

6. 授权机构应将客户数字资产存放在与机构自身资产分开的专用客户账户中，以确保在机构破产或解散时，客户数字资产免受机构债权人的索赔。

7. 授权机构不应转让客户数字资产的任何权利、利益、所有权、法律和/或实际所有权，也不应以其他方式出借、抵押、再抵押或对客户数字资产设定任何负担，除非是为了：（i）结算交易，和/或客户欠机构的费用和收费；（ii）获得客户的事先明确书面同意；或者（iii）法律规定。机构应采取充分而有效的措施，防止将客户数字资产用于自身账户或与客户约定的目的之外的用途。

（C）客户数字资产的保护

8. 一个授权机构应建立足够的系统和控制，确保客户数字资产得到及时而妥善的核算和充分的保护。特别是，该机构应制定有效的控制措施，以最小化由于盗窃、欺诈、疏忽或其他侵占行为以及客户数字资产的延迟访问或无法访问而导致的客户数字资产的丧失风险。

9. 在开发用于保护客户数字资产的系统和控制时，授权机构可以采用基于风险的方法，考虑其托管的数字资产的性质、特征和风险。风险可能依赖于例如所使用的分布式账本技术（DLT）网络的类型（如私有许可、公共许可和公共无许可），以及所采取的缓解措施。例如，在公共无许可的DLT网络上持有的客户数字资产可能面临更高的网络安全风险，丢失资产的恢复可能在盗窃、黑客攻击或其他网络攻击事件发生时较为困难，而相比之下，在公共许可和私有许可的DLT网络上可能存在对DLT网络的访问进行控制的措施。

10. 用于保护客户数字资产的系统和控制包括但不限于以下方面的书面政策和程序：

- 授权和验证访问以进行客户数字资产的存款、提款和转移，包括访问存储种子和私钥的设备；以及

- 管理和保护客户数字资产的种子和私钥，包括密钥生成、分发、存储、使用、销毁和备份。