合规虚拟资产交易所的资产托管核心

近期，香港两家虚拟数字资产交易所获得证监会批准的虚拟资产服务提供商牌照，正式向香港散户提供虚拟资产交易服务。这标志着合规交易所在虚拟资产领域的重要性进一步提升。

自去年10月以来，香港监管机构陆续发布了一系列虚拟资产交易相关措施。今年6月1日起，更多虚拟资产交易所可向香港证监会正式申请合规牌照。在这一背景下，众多交易所都有意来港申请牌照，开展合规中心化交易业务。

那么，香港证监会对中心化交易所有哪些具体要求?除了法律文件流程外,合规监管在技术层面又有哪些特殊配置要求?

事实上,香港目前的合规交易监管框架对交易所的软硬件合规提出了很高的技术要求。国际上有多家供应商为交易所提供各类合规技术服务。其中,客户资产托管是香港证监会最为关注的核心领域之一。

虚拟资产交易与传统金融资产托管的区别

在传统金融体系中,用户通常通过券商购买股票等产品。表面上看,用户将资金存入券商账户并由券商代为交易和持有。但实际上,作为非银行机构的券商并不能直接托管客户资金。

客户资金实际是存放在银行的。银行为券商开设大账户,下设多个子账户用于托管客户资金。券商作为资金托管方,并不能随意调动客户资金。只有在得到客户指令后,银行才会允许券商代表客户提取存放的资金。

总的来说,传统金融世界中的股票、债券等资产都托管在高度中心化、安全保障极高的机构中。这些机构在软硬件、网络和内部管控等方面都有完善的安全保护措施。证券服务商只是帮助客户进行托管管理流程,背后是经过多代技术迭代的大型金融机构在为用户托管和保护资产。这也是传统金融交易给人安全感的原因所在。

而在香港合规虚拟资产交易框架下,用户资产托管模式有很大不同。香港监管要求交易所自身承担类似银行的角色,由交易所的冷钱包直接托管客户虚拟资产。这相当于将传统金融中银行、托管等多个环节的功能集中到合规交易所这一实体中,由交易所对客户资产负责。因此,合规交易所在软硬件技术方面的要求远高于券商,接近银行水平,还需要额外增加加密技术维度。

虚拟资产交易的安全问题

虚拟资产交易的安全问题可以从安全和合规两个角度来看。安全更多体现为企业的内功,而合规则更多涉及监管的外力约束。

从安全角度看,区块链可简单分为链上和链下。链上智能合约虽然可以设置条件自动执行,但仍可能被黑客利用漏洞进行攻击,造成资金转移或泄露。链下对于运营平台而言,则是一个系统性的安全工程,涉及用户认证体系、企业内部网络安全、终端安全、应急响应机制以及托管技术路线等多个方面。

从合规角度看,虚拟资产行业经历了从无到有的发展过程。2018年前后还处于野蛮生长状态,近年来才逐步有了改变。虽然大陆和香港地区的政策制定和监管更多体现为限制和约束,但日本早在2017年就开始了交易所发牌制度,并对网络安全、数据安全等方面提出了要求。

新加坡和香港近期出台的政策,尤其是今年香港的监管制度,都体现了合规监管不能流于表面,必须落实明确的管理规则和制度,才能真正保护投资者利益的理念。这也是香港发布明确的虚拟资产牌照监管政策,并从交易平台入手的原因所在。

监管对资产托管合规的要求

横向对比香港、日本、新加坡等地的牌照要求,可以发现香港证监会/港府的监管政策在逻辑性和全面性上都很强。主要体现在以下几个方面:

首先,考虑到地缘政治因素,香港政府明确要求数字资产私钥必须存放在香港本地。

其次,从监管制度成熟度来看,香港的监管考虑得十分全面。由于目前香港还没有成熟完备的第三方托管监管制度,政府要求虚拟资产牌照申请者必须自行建设虚拟资产安全托管系统,并列出了诸多细则要求。

在技术路线选择上,港府采取了"保守又开放"的态度。保守体现在倾向选择传统金融安全领域经过反复验证的成熟技术路线;开放则体现在也考察了许多新型技术方案,并保持开放态度。

此外,虽然港府要求交易平台自行托管客户资产并列出明确要求,但并非交易所自称达标就可获得牌照。还必须有权威第三方评估机构进行评估认证,才有可能申请到牌照。

从这些方面可以看出,香港政府在监管逻辑、方法和细节上都考虑得非常全面。

保护用户资产安全的措施

1. IT方面的要求包括网络安全、IT基础设施、终端安全、灾备应急响应以及钱包托管系统等。其中一项重要要求是98%的资产必须存放在冷钱包中。

冷钱包不仅要做到完全离线断网,还需要使用国际认可的密码学安全设备形成数字资产金库,并对存放硬件的物理环境有温湿度控制、防追踪、防尾随、信号干扰等要求。

为进一步保护用户资产,在限定技术和实现方案后,还强制要求设立风险赔付金或专用保险,具备客户理赔能力。

2. 合规方面,反洗钱和反恐怖融资是监管重点关注的领域。每个交易所都需配备专业的"首席合规官",负责用户Onboard环节的身份和资金安全审查(KYC),以及每笔交易的资金来源和流向合规判断(Travel Rule)。

3. 风控体现在多个方面,包括市场操纵行为、用户欺诈、交易对手方风险、信用风险等管理。

4. 治理层面需要建立完善的制度,核心在于明确角色:

首先是主体角色分离,要求交易平台和负责托管客户资产安全的主体分开,且托管主体要100%服务于交易平台主体。

其次是资金层面责任明确,要明确区分交易平台资金和用户资金,不得有任何混淆。

再者是"角色与职责分离",业务流程的任何环节都不能有单点风险。比如冷钱包资金调拨必须遵循"四目原则"。

未来可能引入的解决方案

在保证现有安全程度的前提下,未来香港合规虚拟资产交易所在客户资产托管方面可能引入以下方案:

从交易平台运营角度看,MPC(Multi-Party Computation安全多方计算)等新技术很有潜力。监管并非拒绝这些技术,而是更关注技术成熟度。随着时间积累和认证,这些优秀技术也会逐渐被接受。

另一方面,交易平台也在考虑如何触达更多C端用户。目前主要通过中心化方式让用户Onboard和交易,满足了大部分用户需求。但未来可能会出现更多个人钱包解决方案,与中心化交易所形成互补甚至联动。

从传统金融经验看,并不需要每个交易所都有自己的托管,完全可以由1-2家机构完成所有资产托管。未来随着MPC等技术被更多国际认证机构认可,托管领域可能会集中到几家头部机构执行。

具体来说,一是从责权分离角度,未来可能会独立明确托管的监管要求,包括如何监管托管机构、交易所如何利用第三方托管服务等。二是从技术路线角度,目前普遍要求基于加密机的传统金融级解决方案,未来随着新技术路线成熟并获得认证,托管服务方的技术选择将不再单一。

我们相信,随着技术进步和行业理解加深,未来将有更多人进入这一领域,市场会愈发蓬勃发展。