2024年2月20日,香港金融管理局(金管局)发布关于数字资产托管活动的指引,列出了相关的标准,包括治理和风险管理、客户数字资产隔离、客户数字资产保护、委托和外包等。
编译:博文,白露会客厅
数字资产的安全一直是行业讨论最久的话题之一,随着越来越多的传统机构入场,怎样在黑客丛生的Web3世界保管好用户的数字资产,成为行业规模继续扩大必须解决的问题。
2024年,美国SEC批准比特币现货ETF,Coinbase成为其中8支ETF发行商的比特币托管商,大幅支撑了其收入发展。数字资产托管不再仅是技术问题,也成为了实力机构必争的生意。香港如果想快速追上美国的步伐,在数字资产托管的监管上也必须加速完善。
2024年2月20日,香港金融管理局(金管局)发布关于数字资产托管活动的指引,列出了相关的标准,包括治理和风险管理、客户数字资产隔离、客户数字资产保护、委托和外包等,为在香港开展数字资产托管活动的机构及其子公司提供指导。
以下为指引原文内容编译。
数字资产托管服务授权机构的预期标准指引
本指引适用于授权机构(AIs)及其在本地注册的授权机构子公司代表客户持有的数字资产(即主要依赖于密码学和分布式账本或类似技术的资产),但不包括特定用途的数字代币。作为说明,涵盖的资产包括虚拟资产(VA)、代币化证券和其他代币化资产。本指引不适用于AIs或其集团公司自有资产的托管,这些资产并非代表客户持有。
(A) 治理和风险管理
1. 在推出数字资产保管服务之前,授权机构应进行全面的风险评估,以识别和了解相关风险。授权机构应建立适当的政策、程序和控制措施,管理和减轻已识别的风险,考虑适用的法律和监管要求。该机构的董事会和高级管理层应有效监督风险管理流程,确保在从事数字资产保管活动之前和在进行这些活动的过程中,都能够识别、评估、管理和减轻与保管活动相关的风险。
2. 授权机构应为其保管活动分配足够的资源,包括必要的人力和专业知识,以确保适当的治理、运营和有效的风险管理。参与该机构数字资产保管活动及相关控制职能的高级管理层和员工应具备履行其职责所需的知识、技能和专业知识。
3. 鉴于数字资产领域的快速发展,授权机构应确保对从事保管活动的高级管理层和员工提供足够的培训,以保持其持续的业务能力。
4. 授权机构应对保管活动建立适当的问责安排,包括明确书面规定的角色和责任以及报告线路。还应制定足够的政策和流程,以识别、管理和减轻可能发生的潜在和/或实际利益冲突,例如在机构或其关联方进行的不同活动之间可能发生的冲突。
5. 授权机构应建立并维护有效的备用和灾难恢复安排,以确保其保管活动的业务连续性。
(B)客户数字资产的隔离
6. 授权机构应将客户数字资产存放在与机构自身资产分开的专用客户账户中,以确保在机构破产或解散时,客户数字资产免受机构债权人的索赔。
7. 授权机构不应转让客户数字资产的任何权利、利益、所有权、法律和/或实际所有权,也不应以其他方式出借、抵押、再抵押或对客户数字资产设定任何负担,除非是为了:(i)结算交易,和/或客户欠机构的费用和收费;(ii)获得客户的事先明确书面同意;或者(iii)法律规定。机构应采取充分而有效的措施,防止将客户数字资产用于自身账户或与客户约定的目的之外的用途。
(C)客户数字资产的保护
8. 一个授权机构应建立足够的系统和控制,确保客户数字资产得到及时而妥善的核算和充分的保护。特别是,该机构应制定有效的控制措施,以最小化由于盗窃、欺诈、疏忽或其他侵占行为以及客户数字资产的延迟访问或无法访问而导致的客户数字资产的丧失风险。
9. 在开发用于保护客户数字资产的系统和控制时,授权机构可以采用基于风险的方法,考虑其托管的数字资产的性质、特征和风险。风险可能依赖于例如所使用的分布式账本技术(DLT)网络的类型(如私有许可、公共许可和公共无许可),以及所采取的缓解措施。例如,在公共无许可的DLT网络上持有的客户数字资产可能面临更高的网络安全风险,丢失资产的恢复可能在盗窃、黑客攻击或其他网络攻击事件发生时较为困难,而相比之下,在公共许可和私有许可的DLT网络上可能存在对DLT网络的访问进行控制的措施。
10. 用于保护客户数字资产的系统和控制包括但不限于以下方面的书面政策和程序:
- 授权和验证访问以进行客户数字资产的存款、提款和转移,包括访问存储种子和私钥的设备;以及
- 管理和保护客户数字资产的种子和私钥,包括密钥生成、分发、存储、使用、销毁和备份。
11. 特别是,预期授权机构将采用相关行业最佳实践,并遵循适用的国际安全标准,以符合所持资产的性质、特征和风险。尽管下文中列出的程序和控制并非旨在成为规范性的或一刀切的,但它们通常是要求持有客户VA的授权机构必须具备的。对于其他数字资产,授权机构可能会根据风险采用风险为基础的方法来执行以下程序和控制,以与所面临的风险相符,但如果这些数字资产以公共无许可的DLT网络上的无许可代币的形式存在,授权机构还应更加谨慎并进行对实施的审慎评估:
- 在安全且防篡改的环境和设备(如硬件安全模块HSM)中生成和存储种子和私钥,包括它们的备份。在可行的情况下,应离线生成种子和私钥,并设置适当的生命周期限制;
- 安全地生成、存储和备份种子和私钥在香港本地;
- 仅根据需要将对加密设备或应用的访问权限限制在经过授权的人员中,这些人员经过适当的筛选和培训;保持对访问方式的最新文档记录以及分配的访问权限;使用强身份验证方法,如多因素身份验证,对种子和私钥的访问进行身份验证;保持对加密设备或应用访问的审计跟踪;
- 通过采用关键分片或类似技术防范任何“单一故障点”,例如将私钥分割并分发给经过授权的授权机构多名人员以进行分布式存储,以确保没有单一方持有全部密钥。通常,需要一定数量的密钥分片持有者集体签署交易,以确保没有单个人拥有完全访问权限,同时在单个分片丢失、不可用或被窃取时防止操作中断。为防止“单一故障点”,也可以考虑使用多个钱包而不是一个单一钱包来持有客户数字资产;
- 设立措施以防范和减轻具有访问助记词和私钥权限的授权人员之间发生勾结的风险;
- 对于助记词和私钥,应制定充分的异地备份和应急安排,这些安排应受到与原始助记词和私钥相同的安全控制的约束。备份的助记词和私钥应在与存储原始助记词和私钥的主要位置无关并且不会受到任何事件影响的安全物理位置中进行离线保存;
- 除非另有证明,否则应在未连接到互联网的冷存储中保存大部分客户数字资产;
- 仅通过属于客户的钱包地址(例如,通过所有权测试,如消息签名或微支付测试)且已列入白名单的方式允许客户数字资产的存款和提取;
- 采取措施确保在托管过程中使用的任何智能合约在很大程度上不受合同漏洞或安全缺陷的影响;以及
- 制定适当的保险或补偿安排,充分覆盖可能由于黑客事件、盗窃或欺诈(不论是否由于授权机构的行为、错误、疏忽或重大过失)而导致的客户数字资产损失。
12. 当授权机构为客户提供用户界面或门户以管理其由授权机构持有的数字资产时,应当建立有效的客户身份验证和通知控制措施,遵循香港金融管理局(HKMA)不时制定的相关指导方针。
13. 授权机构应密切关注新兴安全威胁、漏洞、攻击和欺诈风险以及技术解决方案的趋势和发展;定期评估安全风险控制的充分性和健壮性,考虑到新兴威胁和技术进步;并采取措施,根据相关行业最佳实践和适用的国际标准,采用保管客户数字资产的技术。在部署之前,应对用于保管客户数字资产的钱包存储技术进行测试,以确保其可靠性。
(D)委托和外包
14. 作为一个一般原则,就虚拟资产而言,授权机构只能将其托管职能委托给(i)另一家授权机构(或者是一家在本地注册的授权机构的子公司);或者(ii)一家获得证监会牌照的虚拟资产交易平台。对于形式为无许可令牌的其他数字资产,如果它们位于公共-无许可的分布式账本网络上,授权机构应该特别谨慎,并进行深入评估是否适当委托或外包其托管职能。
15. 当一家授权机构在提供数字资产托管服务方面与委托方或服务提供商达成委托或外包安排时,授权机构在选择和任命委托方或服务提供商之前应进行适当的尽职调查。授权机构应评估并确保满意,包括但不限于委托方或服务提供商的财务健康状况、声誉、管理技能、技术和运营能力以及符合本附件和其他适用的法律和监管要求的能力和能力,以及跟上数字资产领域的技术发展。尽职调查评估及其结果应以适当的记录保存。授权机构应建立有效的控制措施,以持续监控委托方或服务提供商的绩效。
16. 在与委托方或服务提供商合作提供数字资产托管服务时,授权机构应具备技术专业知识,以评估部署的解决方案在保护客户数字资产方面的有效性,以及它是否引入了任何单一故障点。授权机构还应充分了解委托方或服务提供商持有客户数字资产的条款和条件,并评估它是否会在委托方或服务提供商破产时对客户的法律权利产生重大影响。授权机构有责任确保委托方或服务提供商根据本附件第6和第7款适当地隔离客户数字资产。
17. 授权机构的应急和灾难恢复安排应覆盖对委托或外包数字资产托管服务造成的中断的情景。授权机构还应评估委托方或服务提供商的弹性能力,包括其应急计划和程序,以确保托管服务的可用性。
18. 提醒授权机构在数字资产托管服务的委托或外包安排中,也要保持与传统金融活动的委托或外包安排相应的相关系统和控制。
19. 任何委托或外包的活动的最终责任和问责制度都由授权机构承担。
(E)风险披露
20. 授权机构应以清晰易懂的方式向其客户充分和公正地披露托管安排,包括:
- 授权机构及其客户各自的权利和义务,包括在授权机构进入破产或清算时客户对其资产的所有权权利;
- 托管安排,包括客户数字资产的存储和隔离方式、存取客户数字资产的程序和时间,以及任何适用的费用和成本;
- 赔偿安排,以覆盖由于安全事件或挪用等原因可能导致的客户数字资产损失;
- 客户数字资产与其他客户资产混合存在的情况,以及相关的风险;
- 授权机构将在其中取得客户数字资产的法定和/或有益所有权,或以其他方式转让、出借、抵押、再抵押或对客户数字资产设定任何担保的我情况和安排,以及涉及的风险;
- 客户数字资产在投票、硬分叉和空投等事件中的处理方式以及它们的相应权利和权益;
- 授权机构应向其客户全面而公平地披露其托管安排,包括与其托管活动相关的潜在和/或实际利益冲突的存在和性质。
(F)客户数字资产的记录保存和对账
21. 授权机构应当为每位客户保持适当的账簿和记录,以追踪和记录客户数字资产的所有权,包括欠客户的资产金额和种类,以及资产在客户账户之间的流动情况。应当在逐客户的基础上定期和频繁地对客户数字资产进行对账,考虑到相关的链下和链上记录。如有任何不符之处,应当及时解决并适时升级至高级管理层。
22. 授权机构应当建立系统和控制措施,以保管和保护与托管活动相关的所有记录,并应在香港金融管理局要求时及时提供这些记录。
(G)反洗钱和打击恐怖活动融资
23. 授权机构应确保其反洗钱和打击恐怖融资(AML/CFT)政策、程序和控制能够有效管理和减轻与数字资产托管活动相关的任何洗钱和恐怖活动融资风险。授权机构应遵守《反洗钱和打击恐怖活动融资指引(适用于授权机构)》和香港金融管理局关于数字资产托管活动的AML/CFT指导文件。
(H)对持续监控的要求
24. 授权机构应定期审查其政策和程序,并对其系统和控制以及对客户数字资产保管方面的适用要求的合规性进行独立审计。
