《百慕大 Bermuda 数字资产业务 (DAB) 许可证申请注册指南》

Bermuda Digital Asset Business (DAB) Licence (Class F / Class M) – Full Regulatory & Licensing Guide

牌照名称：百慕大 Bermuda 数字资产业务许可证（DAB牌照）｜Bermuda Digital Asset Business Licence（DAB牌照）｜百慕大 Bermuda DAB 加密许可牌照｜百慕大 Bermuda DAB 牌照

本文由 仁港永胜（香港）有限公司 拟定，并由 唐生（唐上永，Tang Shangyong）｜业务经理 提供专业讲解。
服务商：仁港永胜（香港）有限公司｜Rengangyongsheng (Hong Kong) Limited

唐生一句话： 百慕大监管语境里通常不叫 “CASP”，而是依据《Digital Asset Business Act 2018（DABA）》申请 Digital Asset Business Licence（DAB牌照），核心类别为 Class F（Full） 与 Class M（Modified / Sandbox）；另存在 Class T（Testing）（测试牌照）路径。

✅ 点击这里可以下载 PDF 文件：百慕大 Bermuda 数字资产业务（DAB）许可证常见问题解答（FAQ）
✅ 点击这里可以下载 PDF 文件：百慕大 Bermuda 数字资产业务 (DAB) 许可证申请注册指南
✅ 点击这里可以下载 PDF 文件：关于仁港永胜

注：本文模板、清单、Word/PDF 可编辑电子档，可向仁港永胜唐生有偿索取（用于监管递交与内部落地）。

---

前言｜为什么是“百慕大 Bermuda（DABA）”？（Why Bermuda）

在主流离岸金融中心里，百慕大对数字资产业务的监管属于“立法先行 + 持续发布监管原则与操作指引 + 强合规落地”的类型。其监管底座由 百慕大金融管理局 BMA 负责执行，并以《DABA》构建“对数字资产业务活动的许可制度”。

唐生结论：
百慕大不是“只要注册就能做”的轻监管，而是 用可解释的治理、合规与风控来换取可持续经营的监管信用；适合要做机构业务、长期运营、银行/审计/合作方尽调强的项目。

---

第 0 章｜指南定位与适用对象（Who Should Use This Guide）

0.1 本指南定位（Delivery-grade）

本指南为“实操交付版”，用于：

• 申请百慕大 DAB Licence（Class F / Class M / Class T）

• 向董事会、投资人、银行、审计师、合作方解释监管路径与合规边界

• 按 BMA 的监管逻辑一次性搭建可审查、可演示、可持续运行的体系

0.2 适用对象（Target Applicants）

---

第 1 章｜牌照名称、监管坐标与一句话结论

1.1 监管体系与牌照名称（Official Naming）

• 法律底座：Digital Asset Business Act 2018（DABA）

• 牌照通称：Digital Asset Business Licence（DAB Licence）

• 牌照类别：Class F（Full）、Class M（Modified / defined period）（以及 Class T Testing 路径）

1.2 监管机构（Regulator）

• 监管机构：Bermuda Monetary Authority（BMA）

1.3 一句话结论（Regulatory Positioning）

Bermuda DAB Licence = 活动许可制 + 风险为本 AML/ATF + 强治理与可演示控制（Demonstrability）。

---

第 2 章｜监管框架总览（Regulatory Architecture）

2.1 许可触发：哪些活动属于“数字资产业务”（Regulated Activities）

BMA 明确：DABA 为在百慕大开展数字资产业务活动提供许可制度，典型受规管活动包括：

• 发行、销售或赎回虚拟币/代币等数字资产

• 以数字资产形式提供支付服务（包括资金转移服务）

• 作为电子交易所（exchange）运营

• 提供托管钱包服务

• 作为数字资产服务供应商运营等

实务提示：监管判断通常是“你在做什么功能/风险”，而不是你怎么命名产品。

2.2 监管方法论：Statement of Principles（监管原则）

BMA 发布 DAB Statement of Principles，用于指导其对数字资产业务持牌人的审查与持续监管预期（治理、风险、合规、审慎等维度）。

---

第 3 章｜许可范围与“申请组合策略”（Scope & Licence Strategy）

3.1 先定边界：你到底申请哪些活动（Scope First）

建议用“功能模块”写法拆解：

• Exchange（撮合/订单簿/询价/OTC）

• Brokerage / Agency Execution（经纪执行）

• Custody（冷钱包/MPC/第三方托管/自托管边界）

• Payments / Transfers（支付与转移）

• Issuance / Redemption（发行与赎回）

并形成：范围声明（Scope Statement）+ 风险图谱（Risk Map）+ 控制域清单（Control Domains）。

3.2 牌照类别选择（Class F vs Class M vs Class T）

• Class F：全牌照（Full）。

• Class M：修订/沙盒型（Modified），为 BMA 设定的特定期限内运行，期限可被延长。

• Class T：测试路径（Testing licence），常用于早期验证阶段（是否适合取决于业务复杂度与计划）。

唐生策略建议：“先M后F”是常见路线，但前提是你能接受“期限、限制与里程碑监管”的沙盒逻辑；如果你要做机构托管/大型交易所，很多情况下直接按 F 的交付标准准备材料更省返工。

---

第 4 章｜百慕大路径的优势与全球定位（Positioning）

4.1 核心优势（What You’re Buying）

• 有明确立法底座与许可制度（DABA）

• 监管强调“体系可解释、流程可运行、控制可演示”

• 对托管、交易、支付等活动有可落地的监管接口（配合 BMA 指引与行业实践）

4.2 与其他框架的差异（用于对外解释）

• 与 EU MiCA（CASP 分类/护照）相比：百慕大更偏单一许可框架下的活动覆盖与监管互动；不提供 MiCA 护照，但对国际业务结构化有其优势（取决于你的市场与客户）。

• 与 UK FCA crypto registration（偏 AML 注册）相比：百慕大是更“牌照化”的经营许可思路（具体比较需按业务与合作银行要求细化）。

---

第 5 章｜申请主体结构与实质运营（Substance）

5.1 主体与治理的底层逻辑

BMA 的监管预期通常围绕：

• 谁负责（Accountability）

• 如何决策（Board oversight）

• 如何控制风险（Risk & Controls）

• 如何证明（Evidence & Auditability）

5.2 关键岗位与“可问责链条”

建议最低落地：

• 董事会（含具金融/合规/科技风控经验成员）

• 负责人（CEO/GM）

• 合规负责人（Compliance）

• MLRO（反洗钱负责人）

• 信息安全/技术负责人（视业务复杂度）

---

第 6 章｜资本、保险与审慎性安排（Prudential）

6.1 监管关注点（不是只看“数字”）

BMA 通常会看：

• 资本是否与业务规模、客户资产暴露、运营风险相匹配

• 客户资产隔离、对账与破产情景处置

• 保险（例如专业责任/网络安全等）与风险缓冲

注：资本金“硬门槛”需结合你的具体活动、客户类型、交易量与托管规模进行定制化测算与论证（本指南后续可按你的业务模型补齐“资本测算表+压力测试模板”）。

---

第 7 章｜申请流程与时间表（Reality-based Timeline）

BMA 已发布 DAB Application Process 信息公告（2024年2月版本），用于解释申请步骤与处理方式。

建议按三阶段项目化推进：

1. 申牌准备期：材料、制度、系统控制证据链、外包治理、财务模型

2. 递交与问询期：RFI（补件）响应打法、证据补强、演示脚本

3. 条件满足与落地期：系统演示、关键岗位到位、合规试运行、获批后持续报告机制

---

第 8 章｜股东/UBO Fit & Proper + SoF/SoW（高敏模块）

BMA 的审查会非常重视：

• 股权穿透与最终受益人透明度

• 资金来源（SoF）与财富来源（SoW）可解释、可追溯

• 是否存在代持、结构复杂但解释不足、或与风险不匹配的资金安排

（后续如你给我：股东结构草图 + 资金路径，我可按“GFSC DLT 母版同颗粒度”输出百慕大版 SoF/SoW 证据链清单与叙事模板。）

---

第 9 章｜治理模型与三道防线（Governance & 3LoD）

建议按 三道防线交付制度与组织：

• 第一防线：业务/运营（交易、上架、客户接入、订单/托管操作）

• 第二防线：合规与风险（AML、风险评估、监控规则、审批与否决权）

• 第三防线：独立审查（内审/外审/独立评估，向董事会汇报）

并把“否决权、升级路径、会议纪要、治理报表”做成可审计证据链。

---

第 10 章｜关键岗位胜任力与面谈要点（Interview-ready）

重点准备：

• 合规官：如何独立挑战业务、如何向董事会汇报

• MLRO：链上/链下监控、STR 触发阈值、EDD 策略、Travel Rule（如适用）

• CTO/安全：访问控制、日志不可篡改、密钥治理、变更管理、应急演练

---

第 11 章｜申请所需材料清单（Master Checklist｜第一部分：公司/治理/系统/合规“交付包”）

监管现实：BMA 强调申请材料不仅要“齐”，更要“逻辑一致 + 可验证 + 可运行”，并会按比例原则（Proportionality Principle）结合业务性质/规模/复杂度/风险画像来评估申请质量。

11.1 公司层面（Corporate & Licensing Pack）

A. 牌照路径与范围对齐（T/M/F）

• 目标牌照类型：Test “T” / Modified “M” / Full “F”（需写明选择原因与分阶段计划）。

• 业务活动勾选与描述（必须逐项对齐 DABA 活动口径）：

  • 发行/销售/赎回数字资产；

  • 数字资产支付服务（含资金转移）；

  • 数字资产交易所；

  • 数字资产信托服务；

  • 托管钱包服务；

  • 数字资产衍生品交易所提供；

  • 数字资产服务供应商；

  • 数字资产借贷/回购交易服务。

B. 申请主体与集团结构

• Bermuda 实体设立文件：Certificate of Incorporation、Memorandum/Bye-laws、注册地址证明等

• 集团架构图（穿透到自然人 UBO）：

  • 股权比例、控制链条、投票权安排、任何信托/协议控制

  • 关联方清单（关联交易、共享资源、品牌/域名/IP、资金往来）

C. 董事会与高管任命包

• 董事/高管名册、职责说明（Role Profile）

• 履历 CV + 证明材料（合规/金融/科技/风控/加密行业经验）

• Fit & Proper 支撑：无犯罪、资信、过往监管记录披露、利益冲突声明等

• 关键岗位（建议最少配置）：CEO/负责人、合规负责人、MLRO、技术/安全负责人、财务负责人（可按比例原则精简但必须“可问责、可替补”）。

---

11.2 治理与制度（Governance & Core Policies Pack）

以下制度建议以“可递交版本”成套输出（每份均需：版本号、适用范围、审批人、复核频次、执行记录模板）：

A. 公司治理与三道防线

• Corporate Governance Manual（董事会章程、委员会设置、授权矩阵 DOA）

• 风险偏好声明（Risk Appetite Statement）+ 风险治理框架

• 三道防线落地：业务线（1st）、合规/风控（2nd）、内审/独立审查（3rd）

BMA Code of Practice 明确强调董事会对稳健治理与监督的最终责任、并要求治理/风控/合规/内控框架健全。

B. 风险管理框架

• Enterprise Risk Management Framework（含 Risk Register 模板）

• Operational Risk 事件分级、处置、复盘与上报机制（Incident Reporting）

C. 客户尽调与持续监控（KYC/EDD/Monitoring）

• CDD/EDD 标准、风险评级模型、触发升级规则、制裁筛查、PEP、来源资金/财富（SoF/SoW）

• 持续尽调与交易监控闭环（Alert→Case→Decision→STR→Feedback）

D. 内部控制（Internal Management Controls）

• 客户资产隔离与保护（Segregation & Protection of Client Assets）

• 账务与记录保存（Accounting & Record-keeping）

• 合规职能（Compliance Function）、内审（Internal Audit）、自评（Self-assessment）

• 外包政策（Outsourcing Policy）与第三方风险治理

• 投诉处理机制（Complaint Handling）

---

11.3 技术与系统“可演示证据链”（Tech & Demonstrability Pack）

BMA 对 DAB 的监管文件体系中，除一般 Code of Practice 外，还专门发布了 Cyber Risk Rules 2023 与 Operational Cyber Risk Management Code of Practice，意味着“安全与可审计性”在申请阶段就会被作为硬性审查重点。

申请包建议至少包含：

• 系统总体架构图（交易/钱包/清结算/风控/合规/报表）

• 权限模型（RBAC）、MFA、关键操作双人复核、密钥管理方案（HSM/MPC/多签）

• 日志与审计追踪（不可篡改、可检索、留存周期、访问控制）

• 漏洞管理、渗透测试、补丁管理、变更管理

• 监管演示脚本（Regulatory Demo Script）：

  • onboarding→风控→交易/托管→对账→异常处置→记录保存 的端到端演示

  • 一次高风险客户/高风险交易的升级与决策链演示

---

第 12 章｜AML/CFT（反洗钱/反恐融资）+ 制裁合规：端到端可运行设计（Bermuda-ready）

百慕大 DAB 需要遵守百慕大 AML/ATF 法规体系与 BMA AML 指引文件；BMA 在 DAB 页面明确列出：

• POC AML/ATF Regulations 2008（反洗钱法规）

• General Guidance Notes for AML/ATF Regulated Entities（Revised）（通用指引）
  并配套数字资产行业的 sector-specific guidance（页面列明 Annex VIII）。

12.1 AML/ATF 治理：谁负责、如何问责

• 董事会：批准 AML/ATF 体系与风险偏好，季度/年度审阅

• MLRO：STR 决策、对外报告协调、监管沟通第一责任人

• 合规/风控：模型与规则、监控与案例管理、质量抽检

• 业务线：KYC 采集与真实性核验、触发升级、执行限制措施

该“职责不可空转”，应在 Governance Manual 与 MLRO ToR 中明确。

12.2 客户尽调（CDD/EDD）与风险评级（必须可解释）

建议交付以下可落地模块：

• 风险评级模型（Risk Scoring Model）：国别/产品/渠道/客户类型/链上风险/交易行为

• EDD 触发条件：高风险司法辖区、PEP、异常资金路径、链上高风险标签、复杂结构客户

• SoF/SoW 证据矩阵：可接受证据类型、最小证据包、补强证据包

AML 通用指引强调风险为本方法、持续尽调与记录保存等要求。

12.3 交易监控（On-chain + Off-chain）闭环

• 监控范围：充值/提现、链上流转、内部转账、法币通道（如有）、异常登录/设备指纹

• Case 管理：告警分级、SLA、升级路径、冻结/限制策略

• STR 决策：触发阈值、证据标准、独立性保障（业务施压的处理机制）

12.4 制裁合规（Sanctions）

• 制裁名单筛查（客户/受益人/地址/关联方）

• 命中后处置：冻结、报告、拒绝交易、记录保存
  （BMA DAB 页面列明 International Sanctions Regulations 2013 作为相关 AML 材料之一。）

交付建议：把 AML/CFT Manual 做成“制度 + 表单 + 台账”：
KYC Checklist、EDD Checklist、SoF/SoW Matrix、Alert Register、STR Decision Memo 模板、冻结/解冻审批单、季度 AML MI 报表。

---

第 13 章｜客户保护与信息披露（Client Protection & Disclosure）——写给客户看的合规

BMA 已发布 Digital Asset Business (Client Disclosure) Rules 2018（页面列明）并在 Code of Practice 中设置了 Conduct of Business、信息披露、沟通、投诉处理等具体要求方向。

13.1 客户资产保护：法律与运营双重隔离

• 客户资产与自有资产：账户、链上地址、账务分类、对账流程必须隔离

• 破产/清盘情景：客户资产归属、返还路径、时间表与优先级披露（需与 Wind-down Plan 一致）

• 关键披露：托管模式（自托管/第三方托管/混合）、私钥控制责任边界、不可逆转风险提示

13.2 强制披露清单（建议作为“Website/Terms 审核包”）

• 服务范围与限制（不提供什么/提供什么）

• 费用结构（含隐藏成本：链上手续费、滑点、价差、清算费用）

• 风险揭示：波动、技术风险、第三方风险、暂停服务条件

• 投诉渠道与处理时限（Complaint Handling）

• 数据使用与跨境传输条款（与数据治理一致）

• 冲突管理（自营/做市/关联方）与市场诚信声明

---

第 14 章｜平台类业务（Exchange / Trading Venue）专项制度：规则 + 证据链 + 市场诚信

平台类业务通常被归入 DABA 的 digital asset exchange 等活动范围（BMA 页面列明）。

14.1 交易规则手册（Rulebook）必须覆盖

• 市场准入：上币/上架标准、用户准入、地理限制

• 撮合与订单：撮合优先级、部分成交、撤单、异常行情保护

• 价格形成：报价来源、指数、极端行情熔断/限价机制

• 交易公平：Best Execution（如适用）、差错处理、补偿规则

• 记录与回溯：订单、成交、撤单、API 调用、风控拦截日志（可审计）

14.2 市场操纵与滥用防控（Market Integrity）

结合 Code of Practice 对市场诚信、冲突管理、公平对待客户的要求方向，建议至少覆盖：

• Wash trading、spoofing、layering、对倒、拉盘砸盘

• 内幕信息与员工交易（PA dealing policy）

• 做市/自营边界：隔离墙、信息隔离、权限隔离、审批与监控

• 证据链：识别→处置→记录→复盘→规则优化（闭环）

---

第 15 章｜托管（Custody）专项制度：客户资产隔离、密钥治理、对账与审计（BMA“重点赛道”）

百慕大已发布：

• Digital Asset Custody - Code of Practice (2024)

• Digital Asset Business (Custody of Client Assets) Rules 2025
  并在 DAB Code of Practice 中强调客户资产隔离与保护。

15.1 托管模式分类与监管表达（写进申请材料）

• 自托管（Self-custody by licensee）

• 第三方托管（Third-party custodian）

• 混合托管（Hot + Warm + Cold / MPC）
  必须写清：谁控制私钥/签名门限、谁能发起交易、谁复核、谁审计、谁承担赔付责任。

15.2 密钥与权限治理（Key Governance）

建议制度包含：

• 钱包分层：热/温/冷，资金限额与调拨规则

• 多签/MPC 门限：N-of-M、紧急门限、灾备门限

• 权限分级：发起/审批/复核/广播/对账分离

• 密钥生命周期：生成、备份、轮换、作废、丢失/泄露应急

• 操作日志：关键操作全量留痕、不可篡改、定期抽检
  （与 Cyber Risk Rules/Operational Cyber Code 对关键安全控制的要求方向保持一致。）

15.3 客户资产隔离与对账（Reconciliation）

• 链上地址隔离策略（按客户/按资金池/按产品）

• 日频对账：链上余额 vs 账务余额 vs 客户展示余额

• 差异处理：容错阈值、调查流程、暂停相关操作、客户通知规则

• 独立审计接口：审计抽样、证明金库（Proof-of-Reserves，如采用）与披露口径

15.4 第三方托管的“不可外包责任”

• 即便第三方托管，持牌人仍必须：

  • 完成供应商尽调

  • 签署 SLA/KPI 与退出计划

  • 保留随时迁移与应急接管能力
    （与 Code of Practice 的 Outsourcing 与董事会最终责任逻辑一致。）

---

第 16 章｜费用与政府收费（BMA Fees｜必须写清楚）

以 BMA 发布的 2025 Fees 为准，DABA 相关关键费用要点如下：

• 申请费（Application fee）：Class F 或 Class M：USD 2,266；Class T：USD 1,000

• 年度费用（Annual / Grant-related fee 计算逻辑）：对从事 DABA 特定活动的持牌机构，费用存在“封顶/与预计客户收款挂钩”的计算口径（例如以固定上限与“估算客户收款×系数、且不低于最低额”的机制比较取低/取高）。

• 其他：豁免/修改、变更条件等亦有对应收费条目。

唐生提示：对外报价或项目预算时，必须把 （i）BMA官方费用（ii）法律/审计/安全测试（iii）系统与外包（iv）人员成本（v）银行与支付通道尽调成本 分开列，避免客户误以为“2,266美金=全部成本”。

---

第 17 章｜信息安全、系统合规与“可审计、可演示”（决定审批效率的核心模块）

百慕大 DAB 明确有：

• Digital Asset Business Cyber Risk Rules 2023

• Operational Cyber Risk Management Code of Practice（2025 版本在 DAB 页面列明）
  同时 DAB Code of Practice 也设置了“Cyber risk”作为内部控制的重要组成。

17.1 必须覆盖的控制域（Control Domains）

• 身份与访问控制：RBAC、MFA、特权账号管理、最小权限

• 日志与监控：集中日志、告警、留存策略、审计追踪

• 密钥与钱包安全：HSM/MPC/多签、签名审批流

• 漏洞与补丁：扫描、渗透测试、补丁窗口、例外审批

• 变更管理：代码发布、参数变更、回滚机制、审批记录

• 数据安全：加密（传输/静态）、备份、DLP（如适用）

• 供应链安全：第三方组件、依赖库、CI/CD 安全

• 事件响应：分级、隔离、取证、通报、复盘与整改追踪

17.2 “监管可演示证据链”（Regulatory Evidence Chain）

建议在申请阶段准备 3 套演示脚本（可远程/现场）：

1. 客户开户→风险评级→限额→首次交易→记录保存

2. 异常交易（链上高风险/制裁命中）→拦截→升级→MLRO 决策→STR 归档

3. 私钥关键操作（提币）→审批→执行→复核→日志→对账闭环

---

第 18 章｜外包与第三方治理（Outsourcing & Third-party Risk）：允许外包，但责任不可外包

BMA DAB Code of Practice 设有专章 Outsourcing，并强调董事会对外包活动仍承担最终责任、需维持稳健治理与内控。

18.1 外包治理的“必备四件套”

1. Outsourcing Policy（外包政策）

2. Vendor Due Diligence Pack（尽调包：合规/财务/安全/声誉）

3. SLA/KPI（服务指标、事故通报、审计权、数据权属）

4. Exit & Substitution Plan（退出与替换计划：含迁移演练）

18.2 外包红线（建议口径）

• 可以外包：云基础设施、链上分析工具、客服/工单、部分 IT 运维

• 高风险外包（需强治理与强证据）：KYC 工具、交易监控系统、托管技术组件

• 不可“空心化”外包：董事会风险偏好、关键决策、合规问责链条必须在持牌人内部闭环（建议在申请书中明确“最终责任人 + 复核机制”）。

---

第 19 章｜数据治理、税务导向与记录保存（Data Governance / Records / Auditability）

AML Regulations 与 AML Guidance Notes 都强调记录保存、可追溯与可供监管审查的要求；DAB Code of Practice 同样包含记录保存与会计记录要求。

19.1 记录保存（Records Retention）——建议按“三类台账”建库

• AML/KYC/EDD 全量档案：客户资料、尽调证据、风险评级、审批记录

• 交易与资金流：订单/成交、充值/提现、地址簿、白名单、手续费、对账差异

• 治理与内控：董事会会议、政策版本、事件报告、内审报告、外包审批与 SLA

19.2 数据治理（Data Governance）

• 数据分类分级：PII、敏感数据、密钥材料、审计日志

• 数据责任人（Data Owner）与访问审批

• 跨境传输：供应商/云服务所在地、加密与访问策略、客户告知与同意机制

• 数据泄露响应：通报链条、取证、客户通知模板

19.3 税务/会计“可解释性”（监管视角）

• 收入确认逻辑（交易费/托管费/利息/做市收益）

• 客户资产是否上表、如何隔离呈列（与托管规则一致）

• 审计可得性：审计接口、报表口径一致性、链上证据与会计证据的勾稽

---

第 20 章｜有序退出（Wind-down Plan）+ 业务连续性（BCP/DR）：BMA 关心“你倒下时客户怎么办”

DAB Code of Practice 要求稳健内控、风险管理与事件上报；托管相关规则/规范也会将客户资产保护延伸到“退出/返还”的可执行安排。

20.1 Wind-down Plan（有序退出计划）必备模块

• 触发条件：资本不足、重大安全事件、监管要求、关键供应商失效、董事会决议

• 客户资产处置：

  • 资产冻结与快照（snapshot）

  • 返还路径（链上/法币通道）

  • 费用承担与优先级

  • 争议与异常余额处理

• 客户沟通与公告：通知节奏、FAQ、客服扩容与投诉升级

• 监管沟通：通报模板、阶段性进展报告

• 数据与记录：保存、移交、审计取证、访问控制

20.2 BCP/DR（业务连续性/灾备）最低可交付要求

• 关键系统 RTO/RPO 指标

• 备份策略：异地备份、密钥备份、恢复演练频次

• 关键岗位替补：MLRO/合规/技术/财务的替代安排

• 灾难演练：年度至少一次全流程演练 + 复盘整改闭环

---

第 21 章｜投诉处理与客户披露（最易被忽视）

建议把“投诉处理”写成治理机制而不是客服SOP：

• 投诉登记册、分类、时限、独立调查、升级与复盘

• 对外披露：业务模式、风险提示、费用、资产隔离、争议解决

---

第 22 章｜财务模型与可持续经营证明（监管怕你“活不下去”）

• 3年预测：收入来源与交易量/托管规模逻辑一致

• 成本：合规、审计、安全、系统、外包、保险、人员

• 资本缓冲：压力测试与触发指标

• 过度乐观是风险点（不如保守但可解释）

---

第 23 章｜RFI（补件）应对打法（RFI-ready）

根据 BMA 的申请流程公告（2024年2月），补件通常围绕：

• 业务范围与风险边界是否清晰

• 治理独立性与问责链条

• AML/ATF 端到端是否能跑通

• 技术控制是否可解释、可审计、可演示

最佳做法：每个回答都用“结论 + 证据 + 流程 + 责任人 + 记录位置”五件套。

---

第 24 章｜处罚与合规风险地图（Risk Map）

高危触发点一般包括：虚假或不完整披露、AML 失效、客户资产混同、重大事件未报、关键外包失控等（在强监管牌照里属于“一票否决/强监管行动”类型）。监管原则与监督逻辑可参考 BMA 的原则性文件口径。

唐生一句话结论： 百慕大（Bermuda Monetary Authority, BMA）对数字资产业务（DABA 框架下）并不是“重罚型监管”，但它的处罚工具箱非常完整——从刑事追责（无牌经营）到最高千万美元级民事罚款、公开谴责、禁止令（禁任/禁业）与法院禁制令（injunction）都有明确法律抓手；真正决定结果的，是你是否能做到“持续可被问责、可审计、可解释”。

---

24.1 监管处罚工具箱总览（Enforcement Toolkit）

百慕大数字资产业务核心监管法律为《Digital Asset Business Act 2018》（简称 DABA）。DABA 下，BMA 的处罚/干预工具主要分为 5 类：

1. 无牌经营的刑事责任（Criminal offence: unlicensed business）
   任何人在百慕大境内或自百慕大“从事数字资产业务”而没有牌照，构成犯罪：

• 简易程序：最高 罚款 50,000 美元 或 监禁 1 年或并罚

• 公诉程序：最高 罚款 250,000 美元 或 监禁 5 年或并罚

2. 民事罚款（Civil penalties）——可到“千万美元级”
   除法案另有规定外，违反 DABA 的要求或禁令，可被处以不超过 10,000,000 美元的民事罚款（按每一项违规/每一次失败计），并强调“有效、相称、具阻吓性”。

3. 公开谴责（Public censure）
   BMA 可就持牌机构违反法案要求，公开发布声明（相当于公开点名、形成银行与合作方尽调“永久记录”）。

4. 禁止令（Prohibition order）——对个人“禁任/禁业”
   若 BMA 认为某个人不适合在受规管活动中任职/履职，可发布禁止令，并要求持牌机构不得让被禁止者承担相关职能；违反禁止令本身也构成犯罪（可至罚款与监禁）。

5. 法院禁制令（Injunctions）——可冻结/限制处置资产、要求整改
   BMA 可向法院申请：

• 制止即将发生/持续发生的违规；

• 要求采取措施纠正或减轻违规影响；

• 在一定条件下限制相关人士处置资产（防转移/规避）。

---

24.2 “后果分级”风险地图（从轻到重）

为了把 DABA 的处罚逻辑落地成“可执行的风控图”，建议用 L1–L5 五级来管理合规事件：

• L1｜轻微缺陷（Low impact）：记录不完整、披露文本不一致、流程未按版本执行但未造成客户损失

  • 常见后果：监管问询、整改要求、补充材料/补测

• L2｜系统性缺陷（Control weakness）：AML/交易监控规则失效、对账机制不可解释、外包治理缺口

  • 常见后果：整改计划（CAP）、限制性条件、加强审计/报告频率

• L3｜重大违规（Material breach）：客户资产隔离失效、重大事件未报、关键岗位失职、重大网络事件处置不当

  • 常见后果：公开谴责、高额民事罚款、业务限制/暂停某项功能

• L4｜适当人选/诚信问题（Fit & Proper failure）：董事/高管不适格、隐瞒重大事实、误导监管

  • 常见后果：个人禁止令（禁任/禁业）、管理层更换、牌照限制甚至撤销（在 DABA 的纪律与上诉框架下推进）

• L5｜刑事风险（Criminal exposure）：无牌经营、阻挠调查、故意妨碍监管执行等

  • 常见后果：刑事起诉（罚款+监禁）、同时触发民事追责/法院禁制令组合拳

---

24.3 典型高风险触发点清单（BMA 最常“盯”的点）

下面这些是最容易把问题从“整改”升级为“处罚/公开”的触发器（按实务优先级排序）：

A. 无牌经营与监管边界错误（Perimeter risk）

• 在未获许可情况下开展 DABA 定义下的数字资产业务 → 直接刑事风险

• “海外平台 + 百慕大团队/系统/决策”但仍对外宣称不受 Bermuda 监管（典型误判）

B. 客户资产保护失败（Client asset protection failure）

• 客户资产与自有资产混同（哪怕是“短暂过桥”）

• 不能解释日常对账差异、链上余额与客户账本不一致

• 托管密钥权限过度集中、缺乏可审计日志与审批链

C. AML/CFT 与链上监控失效（Financial crime controls）

• 规则库“有文件无执行”：系统告警不处理、处置无记录

• EDD/STR 决策外包给供应商且内部没人能解释

• 重大可疑事件不升级、不留痕、不复盘

D. 外包治理红线（Outsourcing & accountability）

• 关键控制职能完全外包，董事会/管理层无法解释控制有效性

• SLA/KPI/退出计划缺失，供应商失效即业务瘫痪（BMA 会直接问“你怎么活下去”）

E. 治理与适当人选（Governance / Fit & Proper）

• 董事会不运作、会议记录与决策链不可追溯

• 关键岗位“挂名”或无法独立挑战业务

• 个人不适格可触发禁止令（禁任/禁业）

---

24.4 处罚机制“怎么落到你身上”（从发现到执行的路径）

一个典型的监管升级链条通常是：

1. 发现问题：现场/非现场监管、报告、投诉、媒体或银行尽调反馈

2. 监管问询/补件：要求解释、提交证据链、给出整改计划

3. 纪律措施入口：若属于“违反要求/禁令”，进入 DABA 的纪律工具

4. 选择处罚组合（按行为性质与态度、影响范围）：

   • 民事罚款（最高可至 10,000,000 美元级）

   • 公开谴责（公开声明）

   • 对个人下禁止令（禁任/禁业）

   • 向法院申请禁制令/资产处置限制/整改令

---

24.5 “风险—控制—证据”三联表（交付级写法）

唐生提示：这一段有需要的客户建议直接复制到《合规风险登记册（Risk Register）》与《监管应对手册》中。

（注：民事罚款上限与公开谴责、禁止令、禁制令的法源见 DABA 的纪律措施与法院救济条款。）

---

24.6 仁港永胜建议（唐生｜可执行清单）

建议你把“处罚风险”当成一个可运营项目来管：

1. 先做“边界证明”再做产品上线：任何新业务/新资产/新市场，先出 Perimeter Memo（是否落入 DABA）

2. 把证据链前置：监管不是看你“写了什么”，而是看你“能否演示 + 能否回放 + 能否追责”

3. 把 L3/L4 当作红线演练：至少每季度做一次“客户资产异常/链上黑地址/重大网络事件/媒体舆情”桌面推演

4. 建立“处罚预防仪表盘”：把告警处置率、对账差异关闭时效、EDD升级时效、外包KPI、重大事件报告时效做成 KPI

5. 关键岗位不允许挂名：一旦触发 Fit & Proper 风险，最容易升级到“个人禁止令 + 公司受限”组合

---

第 25 章｜百慕大在全球牌照版图中的组合定位（Global Strategy）

常见组合：

• Bermuda DAB：国际机构业务/托管/交易核心（取决于你的客户与合作银行偏好）

• EU MiCA：欧盟零售与护照

• UK/HK/UAE：区域合规入口与市场准入

---

第 26 章｜仁港永胜交付方案（结论与行动建议｜可执行清单）

26.1 仁港永胜结论（唐生）

百慕大 DAB 不是“快速展示型”许可，而是“可持续经营型”牌照路径。你要赢的不是一次获批，而是 获批后仍能稳定通过持续监管、审计与银行尽调。

26.2 行动建议（0–90天项目表）

第一步（0–30天）

• 确定业务范围（Scope Statement）与牌照类别（F/M/T）

• 股权结构穿透图 + SoF/SoW 证据链草案

• 治理架构与关键岗位就位计划

第二步（30–60天）

• 完成交付级制度文件（AML/风险/外包/托管/交易规则/IT控制）

• 系统控制“可演示脚本”（监管演示走查）

• 预算表（政府费+审计法务+安全测试+系统+人力）

第三步（60–90天）

• 递交材料（一次性质量优先）

• RFI 预案库（按主题分包：资金/技术/治理/外包/客户保护）

---

为何选择仁港永胜（核心优势）

• ✅ 熟悉 BMA（DABA） 审查逻辑与交付级材料写法

• ✅ 能把制度做成“可运行系统”，并补齐“证据链+演示脚本”

• ✅ 覆盖 Bermuda + MiCA + 多司法辖区牌照组合与结构设计

• ✅ 可提供：材料清单、制度模板包、RFI问答库、合规落地路线图（外部版/内部版/监管递交版）

• 合规服务：选择一间专业专注的合规服务商协助牌照申请收购及后续维护及合规指导尤为重要，在此推荐选择仁港永胜。

---

关于仁港永胜 & 联系方式

我们仁港永胜在全球各地设有专业的合规团队，提供针对性的合规咨询服务。我们为受监管公司提供全面的合规咨询解决方案，包括帮助公司申请初始监管授权、制定符合监管要求的政策和程序、提供季度报告和持续的合规建议等。我们的合规顾问团队拥有丰富经验，能与您建立长期战略合作伙伴关系，提供量身定制的支持。

—— 合规咨询与全球金融服务专家 ——

公司中文名称：仁港永胜（香港）有限公司
公司英文名称：Rengangyongsheng (Hong Kong) Limited

地址（总部）：
香港特别行政区西九龙柯士甸道西1号香港环球贸易广场（ICC）86楼
Address: 86/F, International Commerce Centre,1 Austin Road West, Kowloon, Hong Kong

办公地址：

• 香港湾仔轩尼诗道 253-261 号依时商业大厦 18 楼

• 深圳福田卓越世纪中心 1 号楼 11 楼

• 香港环球贸易广场 86 楼

联系人：唐生（唐上永）
香港 / WhatsApp：+852 9298 4213
深圳 / 微信：+86 159 2000 2080

邮箱：Drew@cnjrp.com

官网：www.jrp-hk.com

来访提示：请至少提前 24 小时预约。注：本文中的模板或电子档可以向仁港永胜唐生有偿索取。

---

免责声明

本文由 仁港永胜（香港）有限公司 拟定，并由 唐上永（唐生） 提供专业讲解。本文内容仅供一般信息与合规研究用途，不构成法律、税务或投资建议。具体监管要求以 Bermuda Monetary Authority（BMA） 最新规定及个案审查为准；监管范围与业务定义以《Digital Asset Business Act 2018（DABA）》及BMA公开文件为依据。

仁港永胜保留对本文内容更新与修订的权利。

---

© 2026 仁港永胜（香港）有限公司 | Rengangyongsheng Compliance & Financial Licensing Solutions – 由仁港永胜唐生提供专业讲解。

——《百慕大 Bermuda 数字资产业务 (DAB) 许可证申请注册指南》——

---

---

百慕大 Bermuda DAB 加密许可牌照申请注册指南｜Bermuda Digital Asset Business (DAB) Licence｜百慕大Bermuda数字资产业务许可（DAB牌照）｜百慕大 Bermuda CASP 加密许可牌照申请注册指南｜Bermuda CASP Encryption License Registration Guide｜Bermuda CASP License Guide｜百慕大 Bermuda CASP 牌照｜百慕大 DAB 牌照｜Digital Asset Business Act 2018｜DABA licence｜Bermuda Monetary Authority｜Class F licence｜Class M licence｜Class T licence｜Bermuda crypto licence｜Bermuda digital asset business licensing guide｜百慕大加密牌照申请｜百慕大数字资产业务许可｜百慕大交易所牌照｜百慕大托管牌照｜百慕大加密支付合规｜百慕大 Bermuda 数字资产业务许可证（DAB牌照）｜Bermuda Digital Asset Business Licence（DAB牌照）｜百慕大 Bermuda DAB 加密许可牌照｜百慕大 Bermuda DAB 牌照申请注册｜Bermuda CASP Encryption License Registration Guide ｜百慕大 CASP 加密许可证注册指南｜百慕大 Bermuda 数字资产业务（DAB）许可证常见问题解答（FAQ）｜百慕大 Bermuda（DAB）许可证常见问题｜百慕大（DAB）许可证（FAQ）｜Bermuda (DAB) License (FAQ)