首页 >  香港合规牌照

香港证监会SFC第1号牌(Type 1)升级虚拟资产服务提供(VA)牌照

时间:2025-07-10 09:22:53 阅读:234

香港证监会SFC第1号牌(Type 1)升级虚拟资产服务提供(VA)牌照

以下是《香港证监会SFC第1号牌(Type 1)升级虚拟资产服务提供(VA)牌照》完整申请指南,由仁港永胜唐生拟定讲解,适用于欲从事虚拟资产交易相关业务的持牌机构,尤其是已持有第1号牌,计划扩展至虚拟资产交易或提供虚拟资产服务的法人主体。


一、背景介绍:第1号牌 + VA 服务框架说明

根据香港证监会(SFC)与金管局联合发布的虚拟资产监管指引,若持牌机构计划就虚拟资产(Virtual Assets, VA)提供受规管活动(如证券交易、资产管理、咨询等),必须额外满足SFC于2023年6月1日正式生效的《虚拟资产交易平台营运者指引(VATP Guidelines)》及相关通函要求。

因此,即便已持有第1号牌,若计划涉及“虚拟资产”范围的证券交易(例如以虚拟资产形式表达的证券、代币化股票、STO等),也需要:

  • ✅ 经SFC核准扩展业务范围至包括虚拟资产;

  • ✅ 更新负责人员(RO)的资历覆盖虚拟资产;

  • ✅ 完善AML/KYC、技术风控、钱包托管、冷热钱包机制等制度。


二、适用对象

  • 已持有SFC第1号牌照(证券交易)之持牌法团;

  • 计划新增或扩展提供虚拟资产相关的证券交易服务;

  • 需将相关虚拟资产纳入其牌照范围并满足额外合规要求。


三、申请升级为“持牌虚拟资产服务提供者”的适用条件

项目 要求
基本牌照 已获SFC第1号牌(证券交易)
业务范围 计划涉及虚拟资产买卖撮合、中介交易、代币化证券交易
客户对象 原则上只限于“专业投资者”客户;如拟向零售客户开放,需额外审批
合规制度 必须覆盖虚拟资产AML/CTF政策、冷/热钱包机制、链上风控、KYV制度等
技术系统 符合《VATP Guidelines》中关于平台安全性、系统稳定性、私钥保管的要求
审计机制 IT系统、内部控制、客户资产托管安排需具第三方审计证明
人员资质 RO需有足够虚拟资产行业经验并通过评估;MLRO亦需有相关AML经验

四、升级申请流程(SFC官方路径)

  1. 内部董事会决议:确认扩展至VA服务;

  2. 编制扩展申请材料:包括业务计划、系统说明、风控报告等;

  3. 通过WINGS系统提交申请;

  4. 补交虚拟资产专项问卷 + 附加文件;

  5. 面谈(如适用):SFC可能要求RO及MLRO参加面谈;

  6. SFC审批与条件函发出;

  7. 满足条件并完成变更程序;

  8. 获发变更牌照及虚拟资产业务准许通知。


五、申请材料清单(适用于VA扩展)

  • 公司业务说明书(含VA服务)

  • 冷/热钱包运作机制图解

  • AML/CTF内部政策文件(适用于虚拟资产)

  • 风险管理政策及IT系统架构说明

  • 客户适当性制度(含专业投资者评估)

  • 商业合理性说明书(为何扩展VA)

  • 关键管理人员履历(含RO、MLRO)

  • 技术托管说明 + 私钥管理机制

  • 客户资产隔离说明

  • 财务资源声明及未来三年财务预测

  • IT系统评估报告(建议附第三方)


六、人员要求(含RO及MLRO)

角色 要求
董事 至少一名具相关金融与加密业务经验,具备有效管治能力
RO(Responsible Officer) 至少两名;需具SFC第1号RO资格 + 加密资产行业经验;建议一人具链上合规或Token评估经验
MLRO(洗钱报告主任) 熟悉链上可疑交易识别机制,有AML专业培训及实务经验
CO(合规主任) 熟悉SFC AML指引、VATP Guidelines及虚拟资产法规

七、资本要求

  • 速动资金(Liquid Capital):200万港元起,实际依照客户资产规模及平台风险等级调整;

  • 缴足资本金(Paid-up Capital):一般建议在300万港元以上;

  • 客户资产托管安排:若平台保管客户资产,需额外设立隔离账户,增加托管证明。


八、申请费用

项目 金额(HKD)
SFC牌照扩展申请费 $4,740(每类活动)
虚拟资产特别评估费用(审计/法律) $100,000 - $300,000(视项目而定)
外聘顾问费用(如聘请合规顾问) $150,000 - $400,000(一次性或包年)

九、审批时间

  • 平均审批时间:4 - 6个月;

  • 若需面谈或补充材料:6 - 9个月不等;

  • 视SFC反馈频次与补件效率而变化。


十、注意事项

  1. 不能以虚拟资产作为交易媒介进行撮合(须以法币结算);

  2. 客户不得开设多个交易账户(平台层面需控制);

  3. 客户资金必须托管于独立银行账户,不能与营运资金混用;

  4. 若涉及场外交易(OTC),需额外申报;

  5. 若将客户资产存于第三方托管商,须确保其为合规受监管实体。


十一、后续维持要求

  • 持续进行链上交易审查、客户适当性更新;

  • 每年进行IT系统第三方审计;

  • 定期向SFC提交合规报告及自我评估表;

  • 重大事件报告机制完善(如私钥泄露、黑客攻击等需48小时内汇报);

  • 强制进行合规培训,保留培训记录至少5年。


十二、常见问题解答(FAQ)

Q1:如果我已经持有第1号牌,是否必须重新申请新牌照?
A:不是重新申请,而是“扩展业务范围”,仍在原有牌照下进行业务范畴更新,须经SFC核准。

Q2:是否可以一次申请扩展1号 + 7号 + 9号涉及虚拟资产?
A:可以,尤其平台业务涉及撮合交易(1号)、交易安排(7号)及资产管理(9号)时应一并申报。

Q3:向零售客户开放是否一定要额外许可?
A:是。除非获SFC特别批准,否则原则上仅限于专业投资者。

Q4:系统安全与钱包管理有什么技术要求?
A:建议采用冷钱包+多签名+权限分层机制,系统须通过渗透测试并具备灾备机制。


十三、推荐合规结构图(VA升级Type 1持牌公司)

持牌公司(SFCType1) │ ├─ 交易业务(证券 + 虚拟资产) │ ├─ 专业投资者评估制度 │ ├─ 冷/热钱包+托管安排 │ ├─ AML/KYC + KYV机制 │ └─ SFC年审合规汇报系统 │ ├─ 合规团队(CO + MLRO + AML Analyst) └─ RO(至少两人,虚拟资产经验)

十四、《商业计划书(Type 1虚拟资产扩展)》标准模板结构

适用于向SFC提交的业务扩展申请,由仁港永胜唐生拟定讲解。建议结构如下:

1. 公司基本资料

  • 公司名称、CR编号、SFC牌照编号

  • 主要办公地址、联系资料

  • RO、董事及主要高管名单

2. 项目背景与发展动机

  • 申请扩展至VA服务的商业逻辑

  • 行业趋势分析及市场定位

  • 已有客户需求及服务基础

3. 拟提供的虚拟资产业务说明

  • 虚拟资产种类(如STO、Token化债券)

  • 交易模式(撮合、OTC、撮合+清算)

  • 客户目标群体(仅限专业投资者/申请扩展至零售)

4. 风控与托管安排

  • 冷/热钱包架构(含多签、权限管理)

  • 私钥管理制度说明

  • 第三方托管(如有)协议摘要

5. AML/CTF/KYV机制

  • 客户身份识别、来源审查制度

  • 区块链监控工具运用(如Chainalysis、Elliptic)

  • STR可疑交易自动识别流程

6. 系统架构与IT安全

  • 系统部署图

  • 接入与交易流程图

  • DDoS防护、灾难恢复方案、API调用审查机制

7. 人员配置与合规团队介绍

  • 拟担任VA业务的RO履历及经验

  • MLRO与CO之背景说明

  • 第三方顾问、审计、法律支持团队名单

8. 财务预算与资源计划

  • 三年财务预测(P&L / Balance Sheet / Cash Flow)

  • 合规成本、IT建设支出、人员薪酬计划

9. 法律与合规分析

  • 是否涉证监法受规管资产界定

  • 与《VATP Guidelines》对应分析

  • 不触及非法招揽、链上撮合等禁区的结构设计说明


十五、《RO与MLRO尽职调查模板》

以下为常见格式要求,可配合提交:

项目 内容要求
姓名 中文+英文
职位 拟担任RO/MLRO
资格 SFC已核准类别、考试成绩
学历 金融/法务/科技背景优先
工作经验 详细列出加密货币、证券、金融服务相关履历,特别注明参与过虚拟资产相关项目者
虚拟资产经验 是否曾管理平台、钱包服务、合规审查经验
是否受惩处 SFC、HKMA、海外监管机构纪律记录申报
自我声明 承诺遵守SFC守则、不涉及任何虚拟资产非法活动

十六、《客户资金隔离与审计证明模板》

客户资产管理与平台运营资金必须严格分离,以下为说明文档内容建议:

1. 客户资金隔离结构图

客户资产 → 客户名义信托账户(Bank)→ 每日三方对账机制(平台 + 银行 + 审计) 平台自有资金 → 营运账户(不同银行/账户名)

2. 银行账户安排说明

  • 账户名义:Client Trust Account / Client Money Account

  • 所在银行:在港持牌银行

  • 每日与后台系统资金变动对账自动化机制

3. 审计证明与报表

  • 年度客户资金对账报告

  • 定期交由外部审计师出具审计函

  • 提交客户资产使用限制声明


十七、《SFC申请表格填写指引(WINGS系统)》

表格名称 内容 提交对象
Form 5 (Supplement) 扩展业务范围说明(附虚拟资产细节) 持牌法团
Form 5U 更新RO信息或职责范围 拟新增RO
Form 8 更新董事/股东变更信息 法团结构变化
声明函 拟开展VA服务类型、客户范围、托管安排 附加材料形式
组织结构图 展示公司整体架构(合规、IT、安全) 附件上传

十八、《系统结构 + 冷钱包权限管理流程图》

冷钱包权限结构(范例)

冷钱包签名机制 ├── 多签钱包(3of5) │ ├─RO签名人A│ ├─MLRO签名人B│ ├─CTO签名人C│ ├─ 外部托管人D│ └─ 审计签名人(只在紧急情况动用)E

权限操作流程(建议)

  1. 提币请求触发 →

  2. 风控初步审查(合规系统确认) →

  3. 两人签名触发冷钱包操作 →

  4. 审核记录上传审计节点 →

  5. 提交冷钱包交易广播 →

  6. 成功后自动生成备份日志与回溯报告


十九、《客户适当性制度模板》(虚拟资产业务专用)

制度目标

确保客户具备识别、理解并承受虚拟资产相关风险的能力,符合《适当性准则》和《虚拟资产平台指引》的要求。

主要内容模块

1. 客户分类机制(KYC+KYV)

类别 定义 合规措施
专业投资者 资产超过800万港元(个人)或机构投资者 需提交资产证明、审计报告、风险披露签署
零售客户(如适用) 若平台申请零售客户权限 须进行充分的适当性评估、知识测评

2. 风险承受能力评估

  • 客户自评问卷(风险承受能力、投资目的、经验)

  • 风险评分系统自动化处理,生成“低-中-高”风险画像

  • 高风险资产限制投资额度与频次(如STO、DeFi类产品)

3. 知识与经验评估

  • 是否有虚拟资产或相关衍生品交易经验

  • 是否理解冷热钱包、智能合约、Token模型等概念

  • 是否通过内部知识测试(90%以上答对方可通过)

4. 交易前风险披露与确认机制

  • 《虚拟资产产品风险披露书》

  • 《平台运作机制与非链上撮合说明书》

  • 每笔交易前弹窗提示并点击“确认理解”

5. 持续更新与重新评估

  • 每年更新一次客户适当性分析档案

  • 重大市况变化或产品种类扩张时,重新测试客户风险承受能力


二十、《虚拟资产交易流程图 + 审计轨迹记录机制》

交易流程图(非链上撮合范式)

客户下单(前端界面) ↓ KYC/KYV检查系统通过 ↓ 资金托管账户验证 ↓ 非链上交易撮合系统(订单簿匹配) ↓ 撮合成功 → 更新交易数据库 ↓ 结算模块 → 客户冷钱包余额变动 ↓ 交易日志+钱包出入记录 → 自动上传审计模块

审计轨迹要求

审计项 内容 存档时间
客户交易指令 每笔指令时间、IP地址、操作人 ≥ 7年
撮合记录 交易撮合ID、价格、数量、时间戳 ≥ 7年
冷热钱包记录 出入金额、审批路径、签名记录 ≥ 7年
后台改动记录 系统参数更改、权限变更日志 ≥ 7年

二十一、《虚拟资产业务年度汇报文件清单》

SFC要求虚拟资产持牌公司提交年度汇报,主要包括以下内容:

文件名称 提交频率 内容重点
年度营运报告 每年 包括交易量、客户分布、系统变动、技术审计摘要
内部审计报告 每年 涉及IT系统、冷钱包、客户资金托管、内部流程
AML年度合规审查 每年 STR报送统计、可疑行为模式、黑名单管理
年度财务报表(审计) 每年 须由持牌会计师签署
客户资产对账报告 每季度 客户托管金额与平台账户核对
RO/MLRO持续培训记录 每年 课程内容、参与人员、证书归档

二十二、《SFC面谈模拟问题全集(虚拟资产扩展版)》

以下为SFC较常见面谈提问范畴,建议RO/MLRO/CO应准备书面回答要点:

▶ RO角色面谈

  • 请解释贵公司为何要扩展至虚拟资产业务?客户需求来源何在?

  • 您是否熟悉《VATP Guidelines》与《AML指引》?请举例说明相关应用。

  • 如何识别不当客户?贵司是否建立链上审查工具机制?

  • 请解释冷热钱包的权限划分、签名机制、安全措施。

  • 贵公司如何判断某虚拟资产属于证券或非证券?是否有Token评估机制?

▶ MLRO角色面谈

  • 贵公司目前的STR识别机制如何运行?是否结合链上行为追踪?

  • 如何处理客户在未经许可地区(如朝鲜、伊朗)IP的访问?

  • 贵司是否有政治公众人物(PEP)审查流程?举例说明实际流程。

  • 是否有黑名单机制?拒绝客户会通过什么流程通知?是否记录存档?

▶ IT/系统问答

  • 系统是否支持灾难恢复?最短恢复时间(RTO/RPO)是多少?

  • 如何审计API交易请求,是否具限流机制?

  • 是否定期进行渗透测试?由哪一方执行?可提供报告样本吗?

  • 系统是否记录员工后台访问日志?谁有权限更改客户数据?


二十八、《多签冷钱包权限结构示意图 + 实施指引》

结构示意图(建议范例)

冷钱包账户Wallet-001│ ├─ 签名人A:RO(董事) ├─ 签名人B:MLRO(合规) ├─ 签名人C:CTO(技术) ├─ 签名人D:外部托管人(如Fireblocks) └─ 签名人E:审计保留席(仅关键事件动用) 规则:3/5多重签名机制(Multisig),确保无单点泄密风险。

实施指引

操作环节 要求说明
日常提款限额 每日提款不超过冷钱包5%,超额需特别批准
提币操作流程 客户提交申请 → 系统初审 → 两位签名人审批 → 执行并备份
紧急冻结机制 遇系统异常、黑客入侵等,冷钱包可一键冻结,由CTO+RO联署启动
审计留痕 所有签名记录、钱包日志由独立审计模块归档,不得人为删除
审查频率 每季度重新评估签名权限,避免人员变动风险

二十九、《RO换人流程图 + 表格套件》

RO(负责人员)变更必须提前向SFC申报,并通过WINGS系统完成下列步骤:

换人流程图

任命新RO → 填报Form4(个人信息) +Form5(更新信息) ↓ 准备履历 + 合规经验声明 + 无刑责声明 ↓ SFC初步审批 → 补件/面谈(如需) ↓ 正式发出批准信 → 更新官网及内部职责分配 ↓ 存档更新记录,通知银行、审计等第三方

表格套件清单

表格名称 用途
Form 4 新任RO的个人信息申报
Form 5 法团信息更新(增加/删除RO)
RO履历表 展示其监管经验、持牌纪录、虚拟资产行业经验
无刑责声明书 由新任RO签署
内部决议备忘录 确认董事会已批准新任命
SFC职责分配说明 两名RO职责划分文档,附于申请说明中

三十、《STR识别机制与黑名单筛选系统结构说明》

⚠️ STR(可疑交易报告)识别机制图解

客户交易行为 → 行为模式分析引擎 → 异常识别模型↓ 链上地址比对(与OFAC/EU制裁地址) ↓ 疑似地址/行为触发STR标记 ↓ MLRO审阅 → 提交联合金融情报组(JFIU)

技术要求与建议工具

模块 建议工具 功能
地址审查 Chainalysis / Elliptic 实时制裁地址数据库对接
行为分析 自研风控引擎 / Merkle Science 识别跳价交易、频繁小额转账、睡眠地址唤醒等行为
自动标记 内部触发阈值设置 提现频率、受控IP变化、异地登入等

黑名单管理

  • 来源:联合国制裁清单、OFAC、香港保安局制裁名单、内部拉黑账户;

  • 更新频率:每日自动同步;

  • 结果处理:

    • 禁止交易;

    • 冻结账户;

    • 通报MLRO启动调查。


三十一、《年度审计计划模板(虚拟资产业务专用)》

用于满足SFC对平台内部控制、风险管理的年度审查要求。

年度审计模块安排(建议表格)

审计领域 内容 审计频率 审计主体
IT系统安全 API接口、系统漏洞、灾难恢复、冷钱包权限日志 每年 第三方IT审计公司
客户资金托管 客户资金隔离、托管账户余额核对 每季度 会计师事务所
KYC/KYV机制 客户资料完整性、风险评估记录 每年 内部审计+外部抽样
AML制度执行 STR识别流程、可疑行为样本审查 每半年 CO+MLRO配合
Token上架合规性 是否涉证券代币、审批流程审阅 每年 合规顾问事务所

建议制定《年度审计计划书》,标明时间节点、负责人、输出报告编号,备查。


三十二、《SFC监管函件应对范文与提交格式》

SFC常就以下几类事项发出函件:

  1. 查询是否开展未经批准虚拟资产业务

  2. 询问客户资金托管安排

  3. 要求说明某Token是否为证券性代币

回应格式建议

标题:Re: Clarification Regarding Virtual Asset Trading Service – [Your Company Name] Dear Officer, We refertoyour letter dated [Date] regarding our activities relatedto[specific issue]. Please find our formal response below:1. **Business Scope Declaration** Our platform doesnotconduct any activity that constitutes [securities-related activity] without SFC approval. We currently only operate under Type1license,withno client-facing crypto assets.2. **Client Asset Custody** All client funds are heldinsegregated trust accounts under clients' names at [Licensed Bank], fully separated from the firm’s own funds.3. **Token Due Diligence Process** We have implemented a robust due diligence processtoclassify tokens.Forexample, [Token XYZ] has been classifiedasa utility token basedonthe absenceofrightstoprofit, governance control,ortransferabilityonthird-party exchanges. Attached are: - CustodyStructureDiagram - Client Onboarding Checklist - Token Evaluation Form Should you require further information, pleasedonothesitatetocontact us. Yours faithfully, [Your Name] Compliance Officer [Company Name]

✅ 提交建议:统一PDF格式,附带公司信头、签署页面,并存档于合规资料夹。


三十三、《客户资产托管机制与三方对账制度模板》

为保障客户资产安全,SFC要求持牌法团须建立严格的托管安排及三方对账制度,以下为推荐操作结构:

客户资产托管机制框架

账户类别 开户主体 功能 风控措施
客户资金托管账户 以客户名义 / 信托名义开设(e.g., Client Trust Account) 存放客户入金 仅用于客户操作,不能挪作营运用途
营运资金账户 公司名义 营运收支 与客户账户完全分离
冷钱包账户 平台控制 + 多签机制 存储客户虚拟资产 多签控制,权限审计

三方对账机制说明

环节 内容 周期 参与方
客户资产日报表 每日生成客户余额与账户明细 每日 系统 + 审计记录
银行账户对账 对账平台后端记录与银行流水 每周 财务 + 审计
冷钱包资产审计 匹配链上余额与客户权益 每月 技术 + 审计
综合审计报告 核对客户总资产与账面数据 每季 外部审计机构

三十四、《IT系统应急响应计划 + 恢复时间指标说明》

针对虚拟资产平台系统高风险特性,SFC要求制定完整的IT灾难恢复(DR)计划与业务连续性计划(BCP)。

IT系统应急响应流程图

系统异常或攻击发生↓ IT团队即时排查 → 启动预警机制 ↓ 通知RO/CO启动应急响应小组 ↓ 判断是否触发备援系统(DR site) ↓ 恢复服务并进行事故通报 ↓ 生成事故报告并汇报SFC

恢复时间指标(RTO/RPO)

指标 含义 建议标准
RTO 恢复时间目标(Recovery Time Objective) ≤ 4 小时
RPO 数据恢复点目标(Recovery Point Objective) ≤ 1 小时数据丢失容忍度
年度测试频率 灾难演练及报告保留 每年2次,须保留演练记录和结果说明

三十五、《新客户引入合规流程图(含合约与授权模板)》

合规引入客户是平台业务合法性的核心,须符合《AML指引》《VATP指引》标准。

✅ 客户引入流程图(KYV模型适用)

客户提交开户申请↓ KYC+KYV尽调系统自动审查 ↓ 上传身份证明 / 公司文件(如商业登记证) ↓ 完成视频验证 / 活体检测 ↓ 签署合约(风险披露 + 客户协议) ↓ 开立客户编号并启用账户

合约模板清单(附参考说明)

文件名称 必备性 内容要点
客户协议书 服务范围、费用说明、客户义务
风险披露声明 涉及市场风险、虚拟资产波动性
客户授权书 若委托他人操作 明确代理人权限及期限
数据保护声明 说明如何存储和使用客户数据

所有文件应提供中英双语版本,并保存电子签署记录 ≥ 7年。


三十六、《SFC年度回访准备包(Checklist + Q&A)》

SFC会对持牌公司进行定期或不定期年度合规回访(Annual Routine Inspection / Thematic Review),建议准备如下资料与答复内容:

回访前资料清单 Checklist

模块 资料名称 备注
客户资料 客户档案样本 + 适当性测试结果 按客户类型分类整理
系统记录 钱包签名日志 + 系统审计报告 建议导出近6个月记录
STR文件 可疑交易申报副本 MLRO签署
财务记录 客户托管账户对账报告 + 营运报表 会计签字
AML制度 反洗钱政策、更新记录 CO签署

常见面谈问题与建议答复

问题 建议答复方向
是否向非专业投资者提供虚拟资产交易? 当前仅限于专业投资者,并具备适当性机制
如何判断Token是否为证券? 参照SFC框架进行逐项分析(权利、控制、可转让性)
钱包私钥如何管理? 冷钱包多签、多人分权,未设单人权限
STR识别标准? 行为+地址模型识别,联动链上监控系统

三十七、《平台关闭或业务终止程序指引》

如公司拟终止提供虚拟资产业务,或计划取消1号牌涉VA活动,应按照《SFO》及SFC流程执行有序终止程序。

关闭步骤指引(逐步清单)

  1. 内部决议:董事会记录终止业务的决议;

  2. 通知SFC:提前30日书面提交终止意向;

  3. 清理客户资产:清退客户资金、虚拟资产,提供余额确认函;

  4. 公告客户:公开发出停业通告并设咨询热线;

  5. 关闭系统与平台:系统停用、钱包归档封存;

  6. 交回牌照或变更牌照范围;

  7. 存档资料保存 ≥ 7年,包括交易记录、客户信息、合规日志。

附件建议

  • 客户资产清退计划书

  • 合规注销说明书(含托管解除说明)

  • 法律顾问终止建议函


申请资管牌照香港(9号牌照)| 新加坡(MAS牌照)| 英国(FCA牌照)| BVI (FSC)开曼群岛(CIMA牌照)| 美国(NFA/CFTC牌照)| 爱沙尼亚(MTR牌照)| 开曼SPC基金 | SPC虚拟货币 | 香港OFC基金 | 香港九号牌照 | 开曼ELP基金 | BV基金管理人 | 香港LPF基金 | 香港信托公司 | 仁港永胜(深圳)法律服务有限公司


《香港证监会第1号牌虚拟资产服务扩展操作手册》


第一章|项目背景与适用对象

背景说明

根据SFC于2023年6月1日起实施的《虚拟资产交易平台营运者指引》(VATP Guidelines),凡持有第1号牌之法团,计划就虚拟资产提供证券交易服务、撮合买卖、托管、建议等业务,须提前向SFC申报并满足额外合规与技术要求。

适用主体

  • 已持有 SFC Type 1(证券交易)牌照的法团;

  • 计划开展虚拟资产形式的证券交易业务(如STO、Token化股权等);

  • 可能同步持有第4号、第7号或第9号牌照。


第二章|扩展申请流程图解

graph TD A[董事会通过扩展决议] --> B[编制业务说明与合规制度] B --> C[准备RO/MLRO履历与系统资料] C --> D[WINGS提交扩展申请 Form 5 + 附件] D --> E[补件 / SFC质询 / 面谈] E --> F[收到附条件批文] F --> G[完成内部制度建设] G --> H[正式获批并运营VA业务]

合规申请流程图解,由仁港永胜唐生拟定讲解。


第三章|合规结构设置建议

角色 人数 要求 建议配置
RO(Responsible Officer) ≥2 须具VA行业经验;通过考试;主责日常合规 1名合规背景 + 1名技术背景
MLRO 1 有STR处理与AML经验 可与CO兼任
CO(合规主任) 1 熟悉SFC规则、AML条例及VATP准则 内部专责或顾问团队
技术安全负责人 1 熟悉冷/热钱包与链上结构 CTO或外包技术总监

第四章|业务说明书标准结构(VA版)

  1. 公司基本资料

  2. 拟扩展服务内容(Token类型、客户群体)

  3. 客户资金与虚拟资产的托管方式

  4. 系统架构与钱包机制

  5. AML政策、STR识别流程

  6. 风控政策(冷热钱包限额、私钥控制)

  7. 客户适当性评估制度

  8. RO/MLRO人员履历与职责分配

  9. 商业可行性与三年财务预测

  10. 风险披露制度与投诉机制


第五章|技术系统与钱包安全机制

✅ 冷热钱包结构建议

类型 功能 风控机制
冷钱包 存储绝大部分客户虚拟资产 多签+权限分层+离线签名设备
热钱包 小额日常出入金 设提币限额,单日不超总资产5%
钱包权限签名机制 Multisig(3 of 5) 签名人包括RO/MLRO/技术顾问

建议系统说明附件

  • 钱包权限结构图

  • 私钥生成与备份方案说明

  • 冷钱包操作日志存证机制


第六章|AML政策与STR识别机制

AML关键模块

  • 客户身份识别(KYC+KYV双重尽调)

  • 黑名单筛查(实时接入制裁库,如OFAC/EU)

  • STR识别流程(结合行为与链上地址模型)

  • 可疑交易报告制度(JFIU STR提交流程)

STR触发情境示例:

  • 频繁小额交易

  • VPN隐匿IP多次变更

  • 使用匿名币种大量充值(如XMR)

  • 地址关联已知被通报项目


第七章|客户适当性评估与限制机制

适当性评估步骤

  1. 身份验证(护照、公司注册文件)

  2. 财务状况声明(≥800万港元为专业投资者)

  3. 风险承受能力问卷测试(自动评分)

  4. VA知识问卷(需90%通过)

  5. 风险披露签署(不可豁免)

零售客户适用性

原则上不开放,若拟向零售开放,须附加机制:

  • 专属风险测试;

  • 平台产品分层设计;

  • 可交易资产风险等级管理。


第八章|客户资产托管与对账制度

模块 要求说明
客户法币 存于客户专属信托账户(Client Trust Account)
客户虚拟资产 托管于冷钱包,设权限日志与提币限额
三方对账机制 银行+平台+审计系统每日对账
月度余额对账 客户确认邮件 + 审计记录同步

第九章|SFC监管应对与文件准备

回访前重点材料

  • 客户资料KYC样本

  • Token筛选机制说明

  • AML制度与STR记录

  • 钱包审计日志(近3个月)

  • RO值勤记录与履职日志

面谈问答建议

  • 如何界定证券型代币?

  • 钱包签名权如何设计防止滥用?

  • 客户交易是否分层风控?

  • 平台是否开展链上撮合?(不可)


第十章|平台退出与业务终止机制

步骤说明

  1. 内部决议 + 通知SFC

  2. 客户资产全面清退

  3. 停止系统运营与数据封存

  4. 注销虚拟资产业务或归还牌照

  5. 客户公告与申诉渠道设立

  6. 存档资料 ≥ 7年


附件A:《业务说明书模板(Word)》

1. 公司基本信息

  • 公司名称:

  • 公司注册编号:

  • SFC持牌类别及编号:

  • 办公地址及联系方式:

2. 拟扩展服务说明

  • 拟从事虚拟资产服务范围(如证券型代币交易、撮合、托管等):

  • 涉及资产种类(例如:STO、代币化债券、基金Token等):

  • 目标客户群体(专业投资者/零售客户):

3. 资金与资产托管安排

  • 客户资金托管银行与账户结构:

  • 客户虚拟资产托管机制(冷热钱包比例、多签机制):

4. AML/KYC/KYV制度说明

  • 客户身份验证程序:

  • 可疑交易识别机制:

  • 制裁名单筛查系统:

5. 风险管理与内控措施

  • 钱包权限结构图与管理制度:

  • 内部风控分工与监督机制:

  • 应急响应与灾备机制(RTO/RPO):

6. 业务可行性与资源规划

  • 商业模式与三年财务预测摘要:

  • 人员配置计划(RO、CO、MLRO、技术团队):

  • 技术资源与系统部署方式:

7. 法律意见与合规性分析

  • 对Token证券属性的评估机制:

  • 是否涉及链上撮合、杠杆交易、匿名币:


附件B:《RO/MLRO履历与尽调表模板》

1. 姓名(中英文):
2. 拟担任角色:RO / MLRO / CO
3. 出生日期:
4. 国籍及身份证明文件号码:
5. 学历(请附相关证书复印件):
6. 专业资格(如LE, CFA, CAMS等):
7. 工作经历(请详细列出过去10年相关经验):
8. 虚拟资产行业经验说明:
9. 是否曾受任何纪律处分或法律制裁:
10. 自我声明:
本人确认上述资料属实,已阅读并理解《证券及期货条例》相关条文,并愿遵守SFC监管规则。


附件C:《STR识别流程图 + 可疑地址样本》

STR识别流程:

  1. 客户交易行为触发风控引擎 →

  2. 匹配链上地址库(如OFAC、EU、UN制裁清单) →

  3. 行为模式识别(如频繁小额转账、VPN登录、多地登录) →

  4. 自动标记并进入MLRO复审队列 →

  5. 若确认可疑,则向JFIU提交STR →

  6. 存档并更新黑名单库

可疑地址样本:

  • 1A1zP1eP5QGefi2DMPTfTL5SLmv7DivfNa(高风险交易所出金地址)

  • 3J98t1WpEZ73CNmQviecrnyiWrnqRhWNLy(匿名币混币池地址)

  • bc1qar0srrr7xfkvy5l643lydnw9re59gtzzwf5mdq(制裁对象关联地址)


附件D:《SFC监管面谈Q&A标准答复集》

Q1: 贵公司如何识别代币是否构成证券?
A1:我们采用基于SFC指引的“三性测试”,分别评估代币是否具备投资性权利、控制性安排及转让性;若符合其中两项以上,将归类为证券型代币并按1号牌规则处理。

Q2: 客户资产如何进行托管?
A2:客户法币资金存于客户名义信托账户,虚拟资产由平台冷钱包保管,并设置3/5多重签名机制,签名人包括RO、MLRO、CTO及外部托管服务商。

Q3: 钱包权限与私钥管理如何设置?
A3:所有冷钱包均为离线储存,操作需3人联合签名,私钥碎片分布在物理隔离设备中,且进行季度权限审计。

Q4: 平台如何确保客户适当性?
A4:客户须完成风险问卷与知识测试,并由系统进行评分,评分合格方可交易;另设交易风险等级提醒与限制机制。


附件E:《年度IT审计报告模板》

审计范围:

  • 系统安全性测试(渗透测试、入侵检测、防火墙配置)

  • 冷热钱包安全结构评估与权限审计

  • 数据备份与灾难恢复机制验证

  • 交易日志追踪与后台访问日志记录审查

审计摘要:

  • 审计周期:YYYY/MM/DD 至 YYYY/MM/DD

  • 无发现严重漏洞项;次要改进建议共3项,包括:

    1. 增强API调用速率限制;

    2. 更新热钱包额度预警系统;

    3. 增加后台操作日志自动审计频次。

审计结论:
基于上述审查,本平台整体系统架构安全合规,符合SFC对虚拟资产服务提供者之技术监管标准。


注:本文中的文档/附件原件可向仁港永胜唐生索取 [手机:15920002080(深圳/微信同号) 852-92984213(Hongkong/WhatsApp)索取电子档]

如需进一步协助,包括申请、合规指导及后续维护服务,请随时联系仁港永胜 www.jrp-hk.com 手机:15920002080(深圳/微信同号) 852-92984213(Hongkong/WhatsApp)获取帮助,以确保业务合法合规!

如欲查询更多香港证监会SFC第1号牌(Type 1)升级虚拟资产服务提供(VA)牌照有关的资料,请与我们仁港永胜的专业顾问联络,我们将为您提供免费咨询服务。[点击联系公司注册专业顾问]
24小时专业顾问:15920002080(深圳/微信同号) 852-92984213(Hongkong/WhatsApp

最新文章

专业提供注册金融牌照 | 仁港永胜 | 联系方式 | 新闻中心 |常见问题 | 网站地图

申请合规牌照 | 金融牌照申请 | 香港SFC牌照申请或收购 | 香港MSO牌照申请或收购 | 美国金融合规牌照申请 | 欧洲EMI牌照申请或收购 | 申请英国FCA牌照 | 申请香港SFC9号牌或收购