《瑞典 Sweden（MiCA）加密资产服务提供商（CASP）牌照常见问题（FAQ 大全）》

Sweden (MiCA) Crypto-Asset Service Provider (CASP) FAQ (Q1–Q400) – Delivery Edition

本文由 仁港永胜（香港）有限公司 拟定，并由 唐上永（唐生，Tang Shangyong） 提供专业讲解。
适用对象：拟以瑞典 Sweden为 MiCA 申请国（Home Member State），向瑞典金融监管局 Finansinspektionen（FI）申请并运营 CASP，并通过 MiCA 护照机制向全欧盟跨境展业的机构。
法律依据：MiCA（Regulation (EU) 2023/1114）统一授权与持续监管框架；TFR/Travel Rule（Regulation (EU) 2023/1113）；并与 DORA（Regulation (EU) 2022/2554）及欧盟 AML 新架构趋同。
瑞典监管入口要点：在瑞典提供加密资产服务，一般需要获得 FI 授权（并存在对“已持其他金融牌照实体”的通知程序场景）。
（注：瑞典 MiCA 主管机关名单亦由欧盟/ESMA 汇总发布。）

服务商：仁港永胜（香港）有限公司｜Rengangyongsheng (Hong Kong) Limited

瑞典主管机关（NCA）：瑞典金融监管局 Finansinspektionen（FI / SFSA）在瑞典承担 MiCA 主管与申请受理/审批相关职责（以 FI 官方口径为准）。
✅ 点击这里可以下载 PDF 文件：瑞典 Sweden（MiCA）加密资产服务提供商（CASP）牌照常见问题（FAQ 大全）
✅ 点击这里可以下载 PDF 文件：瑞典 Sweden（MiCA）加密资产服务提供商（CASP）牌照申请注册指南
✅ 点击这里可以下载 PDF 文件：关于仁港永胜

注：本文模板、清单、Word/PDF 可编辑电子档，可向仁港永胜唐生有偿索取（用于监管递交与内部落地）。

---

A. 牌照与范围（Q1–Q60）

Q1：MiCA 下 CASP 是什么？
A：CASP 是在欧盟范围内提供 MiCA 定义的“加密资产服务”的机构，需要在一个成员国获授权并持续合规。

Q2：在瑞典提供 CASP 服务由谁审批？
A：以瑞典为 Home Member State 时，核心主管机关为 Finansinspektionen（FI），作为加密资产服务授权/监督入口。

Q3：瑞典是否“只注册就行”？
A：MiCA 全面适用后，提供加密资产服务通常走授权路径；历史上部分虚拟货币业务存在登记/注册框架，但 MiCA 授权成为主路径（并可能存在过渡安排/并轨要求，需按 FI 最新口径执行）。

Q4：MiCA 下“加密资产服务”有哪些？
A：常见包括托管、交易平台、加密资产兑法币/兑加密资产、代客执行、承销/配售、传递订单、投顾、组合管理等。

Q5：钱包=托管吗？
A：如果你代表客户持有/控制私钥或可动用客户加密资产，通常构成托管或类似托管服务，需对照 MiCA 服务定义与实际权限。

Q6：OTC 算不算交易平台？
A：取决于是否形成“多边撮合/多方交易机制”。单纯双边 OTC 也可能落在兑换/执行/传递订单等服务类别，需按流程拆解。

Q7：撮合引擎必须申请“交易平台”吗？
A：若运营允许多方交互成交的系统化平台，通常涉及“交易平台运营”。若仅为自营做市/单一对手方报价，可能落入“兑换/执行”，仍需谨慎定性。

Q8：只做 crypto-crypto 兑换需要申请吗？
A：需要。MiCA 明确列出“加密资产兑其他加密资产”属于加密资产服务之一。

Q9：只做 crypto-fiat 兑付/出入金呢？
A：通常落入“加密资产兑资金（funds）”服务；若涉及支付账户/电子货币等，还要并行评估 PSD2/EMI/PI/银行合作结构。

Q10：只做“传递订单（RTO）”是不是更容易？
A：相对“交易平台/托管”系统压力较低，但仍需完整 AML/Travel Rule、记录保存、利益冲突与客户披露、外包治理等。

Q11：MiCA 护照机制是什么？
A：在一个成员国获授权后，可通过跨境通报向其他成员国提供服务（自由提供服务或设分支），但营销/消费者保护等可能仍需按落地国补丁合规。

Q12：护照机制能“自动全欧盟经营”吗？
A：不是自动。需完成通报、满足信息披露与当地要求，并接受母国与东道国监管协作。

Q13：瑞典获批后可覆盖哪些国家？
A：欧盟成员国为主；如涉及 EEA/其他地区需另行评估（例如挪威等的制度衔接与当地要求）。

Q14：MiCA 是否覆盖 NFT？
A：一般“独特且不可替代”的 NFT 原则上不在常规范围，但若 NFT 被拆分/系列化并呈现可替代性，可能被纳入；需按 ESMA/EBA 指引与结构判断。

Q15：MiCA 是否覆盖 DeFi？
A：纯去中心化且无可识别服务提供者的情形相对复杂；但多数“前端运营、治理控制、关键权限”会触发可识别责任主体，从而落入监管预期。

Q16：MiCA 是否覆盖稳定币？
A：MiCA 区分 EMT/ART 等稳定币类型，发行与服务提供均有专门义务；CASP 若提供相关服务也会被更严格审查。

Q17：提供 staking/收益产品算什么？
A：可能涉及“组合管理/投顾/托管附加服务/借贷类结构”等，且可能触发其他金融监管；需按产品条款与风险承担判定。

Q18：上币（listing）属于哪类服务？
A：若你为发行方提供“配售/承销”等可能落在 placing；交易平台上币涉及市场行为、信息披露、利益冲突与操纵防控。

Q19：做市商业务需要 CASP 吗？
A：若仅自营交易未向客户提供服务未必，但若对客户提供执行、平台运营、报价撮合等则可能构成 CASP 服务；同时要关注市场操纵规则。

Q20：仅提供技术（SaaS）给持牌方是否要牌照？
A：若你不向客户提供加密资产服务、仅做外包供应商，一般不以 CASP 身份授权；但必须满足外包可审计、数据与监管可访问条款。

Q21：瑞典 FI 是否公开 CASP 申请说明？
A：FI 已发布“加密资产与加密资产服务”申请/授权入口说明，并强调一般规则下需要授权。

Q22：哪些机构可能走“通知程序”而非重新授权？
A：FI 提到某些已受金融监管的实体可适用通知程序以提供等效加密资产服务，具体范围需对照 FI 口径与自身牌照类型。

Q23：MiCA 服务能否分阶段申请？
A：可以。常见策略是先申请低系统复杂度服务（RTO/Execution/Transfer），后续扩展到平台/托管。

Q24：扩项是否需要重新审批？
A：通常需要向主管机关申请变更/扩展授权范围，并更新制度、系统、资本与人员配置。

Q25：能否用集团其他国家牌照覆盖瑞典？
A：MiCA 下可以用“一个欧盟授权 + 护照通报”覆盖；但前提是你已获授权且完成通报流程。

Q26：非欧盟公司能否在瑞典申请？
A：可通过设立欧盟实体（瑞典公司或其他欧盟主体）并满足实质运营与治理要求；纯第三国主体直接以 MiCA 获权不常见，通常走设立/并购欧盟实体路径。

Q27：瑞典是否适合做 Home Member State？
A：取决于你的团队与运营落地能力、合规成本、语言与监管沟通、以及 FI 对业务模型与风险画像的预期。

Q28：MiCA 最常被误解的点是什么？
A：把 MiCA 当成“写材料就能过”，忽略了可演示证据链（系统、日志、监控、风控、外包审计权、现金流可持续）。

Q29：申请前最先做什么？
A：先做“服务映射”——把业务拆到 MiCA 服务清单，然后决定资本档位、制度包边界、系统证据链与外包清单。

Q30：Fiat 出入金一定要自建银行吗？
A：不一定。可通过 EMI/PI/银行合作（safeguarding 账户、支付代理、收单等）实现，但必须确保客户资金隔离、对账、退款与风控闭环。

Q31：Travel Rule 与 MiCA 关系？
A：二者并行：MiCA 管 CASP 许可与行为；TFR 管加密资产转账随行信息字段、传递与留存。

Q32：瑞典 AML 主管是谁？
A：在瑞典金融体系中，FI 对其监管对象履行 AML 监督职责；具体 STR 接收与合作机制需对照瑞典 FIU/执法框架与 FI 指引（建议以项目落地时的最新公开口径为准）。

Q33：MiCA 适用时间节点？
A：MiCA 分阶段适用（如 EMT/ART 与 CASP 全面适用等），以欧盟法规生效安排为准；FI 的 MiCA 页面也提示授权规则作为主线适用。

Q34：是否可以“先运营再申请”？
A：高风险，不建议。未授权经营/超范围经营通常是红线，可能导致处罚与未来申请受阻。

Q35：可以先在别国获批，再护照到瑞典吗？
A：可以。若你已在欧盟其他国家获授权，按护照通报机制进入瑞典；但需满足瑞典市场营销与消费者保护等本地要求。

Q36：瑞典本地语言要求？
A：通常与监管沟通、客户披露、投诉处理等相关材料会涉及瑞典语/英语版本准备，建议按 FI 实际受理要求与客户群体设计双语披露。

Q37：瑞典是否允许零售客户？
A：MiCA 不禁止，但零售客户保护更严格：披露、适当性/合适性（视服务）、投诉处理、营销限制等要做足。

Q38：专业客户更容易吗？
A：风险相对可控，但仍要满足 MiCA 全套治理、AML、外包与 ICT 义务；且“客户分类标准”要可审计。

Q39：哪些业务最“吃系统”？
A：交易平台与托管：撮合/市场监测、钱包与密钥、日志与取证、对账、权限分层、事件响应、灾备等。

Q40：哪些业务最“吃资本”？
A：全栈（托管+平台+兑换）通常资本与持续经营证明压力更大，合规成本（SOC/SIEM、审计、安全、监控）显著上升。

Q41：可否外包 MLRO/合规？
A：可在一定条件下外包支持，但必须保留内部问责链、对供应商的审计权与退出权，并证明内部具备理解与控制能力。

Q42：可否外包核心钱包托管？
A：可以但审查更严格：必须证明客户资产隔离、密钥控制权边界、供应商安全与可审计、退出迁移可执行。

Q43：可否外包 KYC？
A：可外包工具/操作，但尽调决策责任仍在你；需要可解释的规则、抽样复核、误报处置与审计底稿。

Q44：系统合规“证据链”是什么？
A：你能拿出：架构图、数据流/权限流、RBAC、日志样例、监控告警与调查记录、渗透测试与整改闭环、BCP/DR 演练记录。

Q45：FI 是否会面谈？
A：通常会通过问询/RFI、会议或面谈核实业务与控制有效性，重点围绕治理、AML、ICT、外包、客户保护与资本可持续。

Q46：什么叫 RFI-ready？
A：材料按“条款→说明→证据→附件编号→责任人→日期”结构准备，补件可快速闭环。

Q47：申请难点排名？
A：通常：实质运营、资本与现金流、AML/Travel Rule 可运行、平台/托管系统证据链、外包合同条款与退出、股东 SoF/SoW。

Q48：申请周期大概多久？
A：取决于材料质量与补件轮次；建议以项目管理方式准备 3–6 个月材料期 + 监管审查期（不同案件差异大）。

Q49：费用包括哪些？
A：通常包括主管机关费用（如适用）、法律顾问、审计/会计、AML 工具、Travel Rule、链上分析、SOC/SIEM、安全测试、外包审计等。

Q50：能否收购现成持牌公司？
A：在欧盟可行，但需处理股权变更审批/重大持股审查、历史合规缺口、系统与外包重整、客户资产迁移与数据治理。

Q51：MiCA 是否要求实体在瑞典有办公室？
A：MiCA 强调有效管理与实质运营；以瑞典为 Home Member State，通常需要能证明关键决策与控制职能可在瑞典/欧盟内履行并可被监管检查。

Q52：远程办公可接受吗？
A：可以部分远程，但要证明管理层值勤、权限、取证与应急响应、客户支持与投诉机制在欧盟可执行。

Q53：使用海外团队是否会被卡？
A：不会“一票否决”，但必须确保关键岗位（治理/合规/AML/ICT 安全）对瑞典主体可问责、可监督、可替换、可审计。

Q54：申请材料必须用 ITS 表格吗？
A：MiCA 授权信息要素通常呈表格化（ITS/模板化）递交逻辑；你应按主管机关公布的结构准备“主表+附件索引”。

Q55：是否必须出具审计报告？
A：通常需要外部审计安排与财务制度证明；若有托管与客户资金隔离更需强审计与对账机制。

Q56：是否必须购买保险？
A：视服务类型与风险暴露，监管会关注赔付能力与客户资产保护措施（保险/保证/隔离/第三方托管等组合）。

Q57：是否必须接入链上分析？
A：不是强制点名，但对 AML 与交易监控而言几乎是事实标准，尤其跨链、混币、制裁地址识别等。

Q58：是否必须有冷钱包？
A：托管类通常需要冷热分层与明确风控；交易平台也常见冷储备安排以降低热钱包暴露。

Q59：是否必须做市场滥用监测？
A：平台类通常需要；还要有上币治理、异常交易识别、操纵与刷量防控、内幕信息墙与员工交易规则。

Q60：可否先做经纪/代理，再做平台？
A：可行的分阶段策略：先做 RTO/Execution/Exchange（经纪/代理），积累合规与系统，再升级平台/托管。

---

B. 实体与实质（Q61–Q110）

Q61：什么是“有效管理”（effective management）？
A：董事会与高级管理层能实际控制业务、风险与合规，而非由集团/外包商实质决策；监管能追溯决策链与责任。

Q62：实质运营最低交付包是什么？
A：办公室/地址证明、组织架构、RACI、关键岗位任命与劳动合同、权限矩阵、值勤安排、会议纪要模板、应急授权链。

Q63：需要多少本地员工？
A：没有固定人数，但必须覆盖关键控制职能（合规、AML、风险、ICT 安全）与业务运营关键环节。

Q64：董事必须住在瑞典吗？
A：不一定，但要证明管理层能有效履职；若全部在境外且缺乏瑞典/欧盟控制点，实质会被质疑。

Q65：可以用共享服务中心（SSC）吗？
A：可以，但要有：服务目录、SLA、审计权、数据访问、分包限制、退出计划、董事会监督与年度评估证据。

Q66：需要本地税号/注册吗？
A：作为公司运营通常需要；具体公司设立、税务注册按瑞典公司法与税务要求办理。

Q67：需要 LEI 吗？
A：视业务与对接对象（银行/交易对手/报告）要求，建议尽早办理以便合规对接。

Q68：可以用“分支机构”申请吗？
A：一般以欧盟实体为申请主体更常见；分支结构涉及母国监管与责任边界，需要专业结构设计。

Q69：是否必须在瑞典保存数据？
A：不必然，但必须满足数据安全、可访问、可导出、监管可取证；跨境传输需符合 GDPR、外包与安全要求。

Q70：客户支持/投诉必须在瑞典吗？
A：可外包，但要保证语言覆盖、时效、记录保存、升级路径与监管可检查。

Q71：可以用白标平台吗？
A：可以，但你仍是责任主体：必须掌握风控参数、日志、监控规则库、客户资产隔离与退出迁移能力。

Q72：集团母公司能控制上币吗？
A：可以参与，但必须避免利益冲突与不当影响；上币委员会应在持牌主体治理框架内并可审计。

Q73：能否把风控全部交给供应商？
A：不建议。监管通常要求持牌主体具备规则库所有权、可解释性、复核能力与独立决策权。

Q74：如何证明“不是空壳”？
A：提供真实运营证据：员工、工位、系统权限、会议纪要、工单、培训、监控调查记录样例（脱敏）、演练记录等。

Q75：可否先租共享办公室？
A：可以作为起步，但需满足保密、访问控制、数据安全与监管检查的可行性。

Q76：需要本地董事会会议频率？
A：建议至少季度例会+重大事项临时会议；并形成会议纪要、决议编号、附件索引。

Q77：业务外包哪些最敏感？
A：钱包托管/密钥、撮合引擎、KYC、交易监控、云基础设施、核心数据仓库、客服与投诉。

Q78：重大外包（critical/important）怎么认定？
A：看对服务连续性、客户资产安全、合规义务的影响；一旦故障会导致停摆或重大风险，通常即为重大外包。

Q79：重大外包合同必须有什么条款？
A：审计权、监管可访问、数据权与驻留、分包限制、事件通报、退出与迁移、BCP/DR、变更管理、持续评估。

Q80：外包退出计划要写多细？
A：要可执行：替代供应商、迁移步骤、时间表、数据导出格式、客户沟通模板、回滚方案与演练计划。

Q81：系统由集团开发，代码在境外怎么办？
A：需合同化：代码托管、访问权、紧急修复 SLA、审计权、知识转移与退出；并保证安全测试与变更记录可取证。

Q82：关键岗位可以兼职吗？
A：小体量可部分兼职/外包，但必须证明独立性与资源充分，尤其 MLRO、合规与 ICT 安全不能“虚位”。

Q83：如何设置“值勤安排”？
A：关键岗位（RO/MLRO/安全）要有值班表、替补机制、升级路径与紧急授权链，确保 7x24 风险事件可响应。

Q84：监管检查会查什么？
A：客户档案、交易与日志、监控告警与处置、外包管理、资产隔离与对账、投诉处理、培训记录、董事会监督证据。

Q85：是否需要“内部审计”？
A：原则需要第三道防线（可外包内审），但必须独立、出具审计计划与底稿、整改闭环可追踪。

Q86：如何证明独立性？
A：汇报线直达董事会/审计委员会；KPI 不与交易量直接绑定；有否决/升级权；有独立预算与系统访问权限。

Q87：瑞典实体与欧盟其他实体如何分工？
A：建议明确：瑞典主体为监管责任主体；SSC 提供支持；数据与系统的控制权、审计权与决策权保留在瑞典主体。

Q88：可以在瑞典申请，主要客户在其他国家吗？
A：可以，但需护照通报、当地营销合规补丁、客户披露语言、投诉与 ADR 安排按目标国完善。

Q89：先申请一国、后扩张多国的路线图？
A：Phase1 获批+上线合规运营；Phase2 护照通报与多语言披露；Phase3 扩项（平台/托管）与资本升级。

Q90：监管最看重“谁负责”？
A：问责性：董事会、CEO/COO、合规、MLRO、安全负责人各自职责边界与证据链（谁批准、谁复核、谁留痕）。

Q91：如何做“组织架构图”？
A：一张图三层：股权/控制链 → 管理层/委员会 → 业务线/控制职能；并附 RACI 与权限矩阵。

Q92：如何做“系统数据流图”？
A：客户→开户→KYC→交易→清算→钱包→对账→报表→归档，标注数据字段来源、系统、日志点与权限点。

Q93：如何做“权限流图”？
A：RBAC 最小权限；特权账号审批；双人复核；敏感操作（白名单、提币、密钥轮换）必须可追溯。

Q94：实质不足会怎样？
A：补件、延迟、甚至拒绝；即使获批也可能在持续监管中被要求整改或限制业务。

Q95：可以“先上产品再补制度”吗？
A：不建议。监管更期待“先建体系再上线”，尤其 AML/Travel Rule、资产隔离、日志、投诉与披露必须先到位。

Q96：怎么证明“客户资产隔离”在组织层面成立？
A：法律结构（客户资产与公司资产分离）、钱包地址与账务分离、权限隔离、日对账与审计、破产隔离与处置流程。

Q97：怎样证明“市场监测”不是摆设？
A：提供监测规则、告警样例、调查记录、处置决定、复核与整改；并能回放取证（时间戳一致、日志不可篡改）。

Q98：FI 是否要求预申请沟通？
A：建议开展非正式沟通或预沟通以降低补件概率，具体以 FI 的最新流程安排为准。

Q99：如果业务模式改变，需要通知吗？
A：通常需要，尤其影响服务类别、风险画像、外包、资本与客户保护安排的变更。

Q100：可以同时做传统金融业务与加密业务吗？
A：可以，但要管理利益冲突、信息墙、客户分类与披露，并确保各业务合规框架不互相削弱。

Q101：监管如何判断你“不是空壳公司（letterbox）”？核心证据链是什么？
A：监管通常不接受“注册地址 + 外包合同 + PPT 业务介绍”这种空壳型结构。要用可验证的运营证据链证明：

• 关键决策在瑞典/欧盟可追溯：董事会决议、委员会纪要、授权矩阵（DoA）、审批记录

• 关键控制职能真实存在：合规/MLRO/风险/安全负责人任命书、KPI、值勤、周/月报告

• 系统与数据控制权属于持牌主体：RBAC 权限、审计日志、关键参数变更记录、供应商审计权

• 运营闭环可抽查：KYC 样本、告警调查工单、STR 决策记录、客户投诉闭环、对账与差异处理

Q102：哪些岗位必须“实体内化（in-house）”，哪些可以外包？
A：原则是“责任不可外包、工作可外包”。监管更在意：

• 必须内化（至少 1 名核心负责人在主体内）：董事会/CEO 的问责链；合规负责人（或对等）；MLRO（可有外包支持但决策与提交责任在内）；ICT 安全治理 owner（可外包 SOC 但治理必须内化）

• 可外包但需保留控制权：客服、KYC 工具/初审、链上分析工具、渗透测试、内审、会计税务

• 不建议完全外包：钱包托管关键权限、交易监控规则库所有权、系统变更审批权

Q103：如何设计“欧盟内实质 + 集团共享服务”的合规分工？
A：交付版建议用“三张表 + 一封说明信”：
1）服务目录表：SSC 提供什么（KYC 工具、SOC、客服），不提供什么（审批权、最终决策）
2）RACI 表：每个流程步骤（开户/监控/STR/上币/外包评估）谁负责、谁批准、谁咨询、谁知会
3）监管访问表：FI/审计师可以访问哪些系统/日志/人员，响应 SLA

• 说明信：强调“控制权在瑞典主体”，SSC 只是执行支持

Q104：什么是“有效管理（effective management）”的最低可交付标准？
A：最低要做到：

• 董事会/管理层能解释业务模型与控制点（不是技术外包商代答）

• 重大事项（上币、外包、提款规则、重大事件）有明确审批链

• 有定期监督机制（季度风险报告、AML 月报、外包年度评估）

• 有问责记录（谁在何时批准、依据何政策、对应哪个附件）

Q105：监管会如何抽查“管理层时间投入与值勤”？
A：常用证据：

• 值勤表（on-duty roster）与替补机制

• 会议出席记录、签批记录

• 关键事件处置链（如冻结、拒绝转账、异常提款）对应的审批/复核痕迹

• 管理层周/月报（含 KPI/KRI）

Q106：没有本地办公室可以吗？共享办公室会被卡吗？
A：共享办公室不是绝对不行，但必须满足：

• 可进行保密会议与监管检查接待

• 有文档与数据安全（锁柜、访问控制、屏幕保护、打印管理）

• 能证明关键人员能在欧盟范围内随时履职（不是“邮箱公司”）

Q107：如何把“实质运营”写成一份监管喜欢的《Substance Statement》？
A：建议 8 节结构：
1）公司与集团结构
2）服务范围（MiCA 映射）
3）关键岗位与组织架构
4）决策机制（董事会/委员会/DoA）
5）系统控制权与日志证据
6）外包与供应链控制（审计权/退出权）
7）客户支持与投诉闭环
8）BCP/DR 与事件响应（可演练证据）

Q108：监管如何看“跨境远程员工”？
A：可接受，但要证明：

• 核心职责与决策链在欧盟主体内

• 远程访问符合最小权限、MFA、审计日志

• 数据跨境符合 GDPR 与外包要求

• 关键岗位有欧盟内可替补与应急响应

Q109：最常见的“实质被否”原因有哪些？
A：

• MLRO/合规“挂名”，无数据访问权、无报告、无工单记录

• 外包合同缺审计权/监管访问权/退出迁移条款

• 系统由集团控制，瑞典主体无法证明关键参数与钱包权限控制

• 董事会不会解释业务风险与控制点

• 现金流不可持续（合规成本无法覆盖）

Q110：实质交付最建议的“10件套附件”是什么？
A：交付版建议一次打包：
1）组织架构 + RACI
2）董事会章程 + 委员会章程
3）DoA 授权矩阵
4）关键岗位任命书 + JD + CV（监管版）
5）值勤与替补机制
6）外包清单 + 重大外包判定表
7）外包合同条款包（审计/访问/退出）
8）系统/数据/权限三图 + 日志样例
9）运营闭环样例（KYC、告警、投诉、对账）
10）年度合规计划 + 内审计划 + 培训计划

---

C. 股东/UBO 与适当人选（Q111–Q170）

Q111：什么是 qualifying holding（重大持股）？
A：通常指达到或超过一定门槛、可对公司施加重大影响的持股/控制安排（常见以 10% 等阈值触发审查与通知义务）。

Q112：为什么 10% 门槛重要？
A：达到/跨越门槛通常触发“重大持股审查/变更申报”，监管会重点审查声誉、资金来源、控制权与利益冲突。

Q113：UBO 必须穿透到哪里？
A：穿透到最终自然人，并解释控制链（表决权、协议控制、否决权、委派权、信托/代持等）。

Q114：SoF 与 SoW 区别？
A：SoF（资金来源）解释“本次出资的钱从哪来”；SoW（财富来源）解释“整体财富如何积累”。

Q115：SoF 需要哪些证据？
A：银行流水、资金路径图、出售资产/分红/薪酬/投资收益证明、融资协议（如有）、税务或审计材料（按风险分级）。

Q116：SoW 需要哪些证据？
A：长期收入轨迹、企业审计报表、股权退出协议、资产证明、完税证明、投资组合对账单等。

Q117：资金路径图要怎么画？
A：Source→Bank A→（换汇/支付通道）→Bank B→公司资本金账户；每一跳附解释与文件编号。

Q118：股东有加密资产财富如何证明？
A：交易所对账单、链上地址证明（签名/控制证明）、入金来源证明、税务处理说明、与制裁/混币风险隔离说明。

Q119：股东有高杠杆收购会被拒吗？
A：不一定，但会加重审查：偿债能力、资金真实性、关联融资方、是否存在不当影响与利益冲突。

Q120：股东/UBO 的负面新闻会怎样？
A：触发增强尽调：事实核查、风险评估、整改与风险缓释（治理限制、信息披露、退出条款）——严重则可能导致拒绝。

Q121：董事/高管 Fit & Proper 评估维度？
A：声誉与诚信、能力与经验、财务稳健、独立性与时间投入。

Q122：需要无犯罪证明吗？
A：通常需要（或同等声明+官方证明），并配合监管处罚/诉讼/破产历史披露。

Q123：董事会需要哪些能力覆盖？
A：至少覆盖：交易/托管安全、AML/制裁、ICT/外包治理、财务与资本、客户保护与市场行为。

Q124：关键岗位“挂名”风险？
A：监管常问：你每天做什么、审批什么、留什么痕、谁复核。答不出或无证据链，极易被卡。

Q125：股东协议会被审查吗？
A：可能。尤其含否决权、利润分配、董事委派、关联交易条款，若影响治理独立性会被要求解释与整改。

Q126：如何管理股东与上币项目方冲突？
A：建立冲突披露、回避机制、独立上币委员会、关联交易审批与公开披露（如适用）。

Q127：股权变更要不要事前批准？
A：重大持股变更通常需要通知/审批或至少及时报告，具体以 FI 对 MiCA 变更程序的口径为准。

Q128：新增 UBO 要提供什么？
A：UBO 身份文件、住址、税务居民、无犯罪/处罚、SoF/SoW、关联方名单、制裁与负面筛查报告。

Q129：PEP 股东能否申请？
A：可，但审查更严：EDD、资金来源证明、利益冲突与声誉风险缓释、持续监控与披露策略。

Q130：股东来自高风险司法辖区怎么办？
A：需更强 EDD：受益人穿透、制裁筛查、资金路径、商业合理性、合规承诺与持续监控。

Q131：董事/高管需要在瑞典纳税居民吗？
A：未必强制，但必须证明有效管理与可履职；税务居民与实际工作地也会影响实质判断。

Q132：兼职董事如何证明时间投入？
A：提供工作计划、会议安排、授权链、值勤机制、关键决策参与证据。

Q133：如何准备“监管版履历（CV）”？
A：按岗位映射：经历→对应风险领域→可交付成果→监管相关项目→证书培训→语言与本地履职安排。

Q134：监管常问的股东问题？
A：为何投资、资金来源、控制权安排、是否影响上币/做市/风控、关联方交易、退出计划。

Q135：监管常问的董事问题？
A：你如何监督 AML、如何看懂安全报告、如何批准外包、如何处理重大事故、如何保证客户资产隔离。

Q136：管理层薪酬结构会被看吗？
A：会。若 KPI 强绑定交易量/上币费，可能刺激不当风险承担；建议加入合规与风险指标、扣回条款。

Q137：员工交易政策要写到什么程度？
A：申报、审批、黑窗期、禁止交易清单、冲突披露、监控与处罚机制；平台类还需内幕信息墙。

Q138：关键岗位可否与销售同线？
A：不建议。合规/MLRO 应保持独立汇报线与否决/升级权。

Q139：什么情形最容易“股东层面被卡”？
A：穿透不清、资金来源无法解释、关联方复杂、负面信息未披露、控制权条款影响治理独立性。

Q140：如何提升通过率？
A：尽调前置+证据链充分：股权结构与控制权说明书、SoF/SoW 全链、关联方与冲突处置、持续通知机制。

Q141：监管对“股权穿透”到底要到什么粒度？
A：必须穿透到最终自然人 UBO；如存在信托、基金、代持、协议控制，需提供：信托契约摘要/受益人说明、投票协议、委派权、否决权说明。

Q142：什么控制权安排最容易被质疑？
A：

• 隐性控制（side letter、回购条款、强制指令权）

• 复杂交叉持股导致“谁说了算”不清

• 发行方/做市商/上币项目方与股东交叉，冲突不可控

Q143：如何写《控制权说明信（Control & Influence Letter）》？
A：要讲清：

• 谁拥有表决权/董事委派权

• 重大事项否决权列表

• 关联方交易审批机制

• 冲突回避与信息墙
  并引用股东协议条款编号与附件。

Q144：SoF（资金来源）必须覆盖哪些节点？
A：至少覆盖：出资前来源→入资路径→最终到达资本金账户。每一跳提供银行流水、交易凭证、换汇说明、对手方信息。

Q145：SoW（财富来源）“最少要证明到什么程度”？
A：要能解释财富积累逻辑：企业经营/股权退出/分红/薪酬/投资收益，并能与税务申报或审计报表形成一致性。

Q146：股东是加密资产持有者，SoF 怎么做更可信？
A：建议“三件套”：
1）交易所对账单/审计证明（可第三方鉴证）
2）链上地址控制证明（签名/消息签署）
3）“法币化路径”与税务处理说明（避免被认为洗钱收益）

Q147：股东来自高风险司法辖区怎么办？
A：做增强尽调（EDD）：制裁与负面筛查、资金路径加深、商业合理性说明、持续监控频率提高、必要时设置治理限制（如不参与上币决策）。

Q148：PEP/政治公众人物股东是否一票否决？
A：不必然，但必须：EDD、管理层审批、资金来源强化、持续监控、冲突管理与声誉风险缓释。

Q149：股东负面媒体怎么处理？“不披露”可以吗？
A：不能。要主动披露并提供事实核查、法院文件（如有）、整改/缓释措施，否则更容易被认定不诚信。

Q150：重大持股（qualifying holding）变更，哪些情形必须提前报？
A：跨越/触发重大持股阈值、控制权变化、UBO 变化、股东协议导致重大影响变化等，一般都需要通知/审批或至少及时报告（以 FI 最新口径为准）。

Q151：如何做“股东触发器表（Trigger Matrix）”？
A：把以下作为触发器：持股比例变化、投票权变化、董事委派权变化、融资附带控制权、回购/对赌触发等，并规定：谁发现、几天内报、报给谁。

Q152：监管会问“为何投资此 CASP”？标准回答结构？
A：

• 战略合理性（市场、技术、客户）

• 不干预合规与上币决策承诺

• 资本承诺与持续经营支持（承诺函）

• 冲突管理与关联交易原则

Q153：股东承诺函要写什么？
A：至少包括：资金合法来源、配合监管调查、保持财务支持、通知变更、不得施压合规/上币、不得安排隐性控制。

Q154：股东与做市/发行方关联如何披露？
A：必须披露并设置隔离：信息墙、回避机制、独立委员会、关联交易审批与记录、必要时公开披露。

Q155：Venture/PE 股东常见被问什么？
A：退出安排是否导致短期激进扩张；是否有对赌影响风险承担；是否有董事席位影响治理独立。

Q156：股东贷款会被当成“资本不足”的遮羞布吗？
A：可能。监管更看可吸收损失与持续经营，股东贷款需清晰条款、从属/不可随意抽回、并与资本策略一致。

Q157：多层控股结构如何降低审查成本？
A：建议：简化层级、穿透图一页讲清、每层提供注册文件与股东名单、避免不必要的离岸层。

Q158：代持/nominee 能接受吗？
A：非常敏感。必须披露并穿透到最终受益人，同时解释为何需要代持与如何确保监管可识别 UBO。

Q159：股东背景调查报告（DD Report）应包含哪些章节？
A：身份核验、制裁/PEP、负面媒体、诉讼/破产、资金来源、关联方、利益冲突、结论与缓释。

Q160：如何把“股东层面”的材料变成可复制包？
A：建议统一编号：SH-01 穿透图、SH-02 控制权说明、SH-03 SoF、SH-04 SoW、SH-05 筛查报告……做到监管问哪条，能秒回附件号。

Q161：董事/高管与股东重叠会怎样？
A：不禁止，但冲突更高：需要信息墙、独立董事/委员会、关联交易审批强化。

Q162：股权质押/担保会被问吗？
A：会。若质押导致控制权潜在转移或触发强制执行，必须披露并设置通知机制。

Q163：股东协议中的“否决权”要披露到什么程度？
A：需披露重大事项否决权清单，避免形成“股东实际经营控制”导致有效管理被否定。

Q164：如何证明股东不会干预 AML/制裁决策？
A：在治理文件中写明合规独立、MLRO 直达董事会、合规否决权、冲突回避条款，并能提供会议纪要与决策记录。

Q165：多国股东如何处理签字与文件公证？
A：按 FI 要求准备认证链（公证/认证/海牙认证），并提供译本一致性声明（如需）。

Q166：监管常见“股东层面拒绝”的硬伤？
A：穿透不清、资金来源解释不通、负面信息隐瞒、控制权安排不透明、关联方冲突不可控。

Q167：如何提高股东层面通过率？
A：前置尽调 + 材料索引化 + 风险缓释可执行（回避机制、独立委员会、承诺函、退出条款）。

Q168：获批后股东变更的持续义务是什么？
A：建立持续监控：季度更新股东与关联方信息、年度筛查、触发器报送、重大变化即时通报。

Q169：股东资金合法性如何与 AML 框架联动？
A：把股东 SoF/SoW 纳入企业级风险评估与治理风险项，列入年度合规计划与内审抽查范围。

Q170：股东/UBO 交付包最终清单（交付版）？
A：12件套：穿透图、控制权说明、UBO/KYB、无犯罪/处罚、诉讼披露、SoF、SoW、资金路径图、筛查报告、关联方清单、股东承诺函、变更触发器表。

---

D. 董事适任性与关键岗位（Q171–Q220）

Q171：MiCA 要求的关键岗位有哪些？
A：通常包括管理层、合规、风险、AML/MLRO、ICT 安全、内审（可外包但要独立）等，视服务类型加码（平台/托管更重）。

Q172：合规负责人必须做什么？
A：制度、监测、合规意见、培训、违规处理、投诉机制监督、披露审核、年度合规计划与报告。

Q173：MLRO 必须做什么？
A：企业级风险评估、KYC/EDD/KYB、制裁筛查、交易监控与 STR 决策、培训、年度审查、与 FIU/监管沟通。

Q174：风险负责人重点做什么？
A：风险偏好、限额体系、KRI、压力测试、风险报告、重大外包与变更风险评估、事件复盘与整改。

Q175：信息安全负责人重点做什么？
A：资产清单、威胁建模、权限与密钥、日志与 SIEM、漏洞与补丁、渗透测试、事件响应、BCP/DR 演练。

Q176：内审可以外包吗？
A：可，但必须独立、具备审计权与数据访问，出具年度计划与底稿，整改闭环可追踪。

Q177：小公司怎么做三道防线？
A：可“轻量化”：1LOD 业务自控 + 2LOD 合规/风险（可外包支持）+ 3LOD 外包内审；关键是独立性与证据链。

Q178：面谈最常见问题？
A：服务边界、客户资产隔离、提款控制、AML/Travel Rule、异常交易处置、外包审计权、事件响应、资本与现金流。

Q179：如何准备面谈答案？
A：用“四段式”：条款依据→我们怎么做→留什么痕→谁负责/多久复核；并对应附件编号。

Q180：关键岗位需要哪些证据？
A：任命决议、JD、汇报线、权限、预算与团队、年度计划、培训与考核、具体案例处置记录（脱敏）。

Q181：合规与 MLRO 能同一人吗？
A：小体量可，但要证明独立性、工作量可承受、无销售冲突，并配置替补与值勤机制。

Q182：IT 安全外包是否可行？
A：可外包 SOC/SIEM 或测试，但内部必须有人负责安全治理与决策，能解释风险与整改闭环。

Q183：董事会需要委员会吗？
A：建议设风险/审计/合规等委员会或至少形成相应职能会议机制与章程（小公司可合并但要可问责）。

Q184：DoA（授权矩阵）要写什么？
A：哪些事项必须董事会批、哪些可管理层批、哪些需双人复核；特别标记：上币、外包、提款限额、例外豁免、重大事故。

Q185：如何管理利益冲突？
A：冲突识别、披露、回避、禁止交易、礼品招待、关联交易审批、外部披露（必要时）。

Q186：员工培训要做到什么？
A：岗位分层（董事/业务/合规/客服/技术）、年度计划、考试题库、通过率、补训记录、培训材料归档。

Q187：绩效回拨需要吗？
A：建议引入对重大合规事件的扣回/延期支付机制，体现风险文化。

Q188：客户适当性要求适用于哪些服务？
A：通常对投顾/组合管理更强；对零售客户的风险披露与合适性安排也会被关注。

Q189：如何证明“治理可运行”？
A：给监管看：会议纪要、决议、委员会报告、KRI 报告、审计报告、整改追踪表与关闭证据。

Q190：最容易被质疑的岗位配置？
A：MLRO 与销售同线、合规无数据访问权、内审缺失、IT 安全无人负责、董事会不懂关键风险。

Q191：监管为何强调“三道防线”？
A：因为它是“问责模型”：业务自控（1LOD）→合规/风险监督（2LOD）→独立审计与整改闭环（3LOD）。

Q192：小公司如何“轻量化三道防线”而不被认为走过场？
A：可以兼任/外包，但必须满足：

• 2LOD 能直接访问数据、能否决/升级

• 3LOD 独立且有底稿与整改追踪

• 董事会能看到月/季报告并形成决议/要求整改的证据

Q193：董事会最关键的“监管问责文件”是什么？
A：董事会章程、委员会章程（或职能会议机制）、DoA、年度合规计划批准记录、风险偏好声明、重大事件复盘决议。

Q194：面谈时 MLRO 会被问什么？
A：企业级风险评估怎么做、规则库怎么设、STR 决策标准、tipping-off 如何避免、Travel Rule 对接失败怎么办、自托管钱包怎么控。

Q195：面谈时 CTO/CISO 会被问什么？
A：权限分层、密钥管理、日志留存、变更管理、渗透测试整改、事件响应、BCP/DR（RTO/RPO）、外包审计权与退出。

Q196：面谈时 CEO/COO 会被问什么？
A：商业模式、收入来源、客户结构、增长策略、如何在增长时保持合规资源、资本与现金流可持续、重大风险的决策机制。

Q197：如何证明“合规有权说不”？
A：制度写明否决权；工单系统体现合规拦截/冻结；会议纪要体现合规意见被采纳；KPI 不与交易量强绑定。

Q198：合规/风险报告应包含哪些固定栏目？
A：KRI/KPI、异常交易/告警统计、STR 统计、制裁命中、投诉统计、外包 SLA、系统事件、整改追踪、培训完成率。

Q199：值勤与替补怎么做才算“可审计”？
A：值勤表+交接记录+应急授权链+事件演练记录；并能出示一次真实事件的响应轨迹。

Q200：关键岗位兼职的风险如何缓释？
A：明确时间投入、替补安排、独立汇报线、资源授权（数据访问、预算）、冲突声明与回避机制。

Q201：员工个人交易政策要覆盖哪些内容？
A：申报、审批、黑窗期、禁买清单、内幕信息墙、违规处罚、监测方法（抽查/链上地址申报）。

Q202：如何设置“上币委员会”满足治理与冲突管理？
A：成员构成（业务+风险+合规+安全）、回避机制、评分矩阵、会议纪要、投票记录、证据链归档。

Q203：合规培训如何做到“不是PPT走过场”？
A：岗位分层题库、考试、通过率、补训、案例复盘（真实告警/投诉），并留存材料与签到。

Q204：内审报告要写多细？
A：必须有抽样方法、发现评级、根因、整改计划、责任人、截止日期、复核关闭证据。

Q205：如何证明董事会真的看懂了安全/AML报告？
A：会议纪要里体现提问与要求整改；董事会要求管理层提交补充材料；整改追踪表纳入季度议程。

Q206：岗位胜任力（competence）怎么证明？
A：CV 映射岗位要求、相关项目经验、证书、培训记录、面谈演练 Q&A、样例决策记录（如 STR 决策）。

Q207：如何做“面谈必问题库”并与附件联动？
A：将每个问题对应：政策编号+流程图+系统截图/日志样例+责任人。面谈时可直接指向附件号。

Q208：合规文化怎么量化？
A：违规事件数量与整改时效、培训完成率、合规否决/拦截次数、匿名举报处理、内审发现关闭率。

Q209：销售激励怎么避免诱导违规？
A：加入合规指标、延迟支付、回拨条款；禁止与上币费/高风险客户引入直接绑定。

Q210：关键岗位离职怎么办？
A：必须有继任计划：替补名单、交接清单、权限收回、监管通知触发器、临时安排与时限。

Q211：如何管理关联交易与内部定价？
A：关联方清单、审批门槛、独立董事/委员会审核、对价公允性证明、披露与记录。

Q212：如何设置“重大事件委员会”与事故复盘？
A：分级（P1/P2/P3），每级触发人员与通报时限；复盘报告模板；整改闭环追踪与复测。

Q213：客户资产差异（对账不平）如何问责？
A：定义阈值与升级路径；冻结相关功能；根因分析；补偿规则；向董事会报告并留档。

Q214：如何证明“合规与 AML”不是同一个文件？
A：合规覆盖 MiCA 行为、披露、冲突、外包、记录；AML 覆盖 KYC/EDD/制裁/STR/TFR；两者要在流程与系统层面联动。

Q215：监管是否关注供应链风险文化？
A：会。尤其云、钱包、KYC、Travel Rule、链上分析等关键供应商，需定期评估与退出演练。

Q216：董事/高管个人责任边界怎么写？
A：在职位说明与DoA里写明：审批事项、监督频率、必须收到的报告、必须触发的升级事件。

Q217：如何让“问责模型”在系统中可见？
A：工单系统、审批系统、权限系统三者要统一：谁审批、何时审批、基于哪条政策，全部自动留痕。

Q218：如何准备“监管检查日”的资料室？
A：建立监管数据室（VDR）：政策目录、附件索引、抽样证据（脱敏）、日志导出步骤、联系人清单。

Q219：最常见的岗位配置错误？
A：合规无数据、MLRO无权、CISO外包无人管、内审缺失、董事会不懂关键风险。

Q220：关键岗位交付包（最终版）？
A：岗位任命+CV+JD+汇报线+权限矩阵+年度计划+面谈题库+值勤日志+交接机制+独立性声明。

---

E. 资本/保障（Q221–Q260）

Q221：MiCA 资本要求怎么理解？
A：通常按“最低资本 + 持续审慎保障（如固定开支比例等）”双轨，取高并持续维持（具体计算以法规与主管机关口径为准）。

Q222：不同服务资本档位一样吗？
A：通常不同；平台与托管往往更重。建议按服务映射建立资本测算表与触发补充机制。

Q223：为什么监管看现金流比看资本更严？
A：纸面资本充足但现金流无法覆盖合规成本（AML、Travel Rule、审计、安全、外包）会导致持续经营风险。

Q224：财务模型要提交哪些表？
A：至少 3 年 P&L、资产负债表、现金流量表，附关键假设与压力情景（牛熊、黑天鹅、安全事件）。

Q225：什么是“最坏月度现金消耗”？
A：在压力情景下每月净流出峰值；监管用它判断你能否支撑整改、赔付与持续运营。

Q226：资本来源需要与 SoF/SoW 对齐吗？
A：必须对齐。资本注入的资金路径与股东 SoF 需一致，避免“钱说不清”。

Q227：客户资产保护如何做“保障”？
A：资产隔离、对账、提款控制、保险/保证、第三方托管安排、破产隔离条款、有序退出计划。

Q228：是否需要法币隔离账户？
A：若持有客户法币，通常需要 safeguarding/隔离账户与对账机制，确保不可挪用与可追溯。

Q229：加密资产隔离怎么证明？
A：链上地址隔离、内部账务隔离、权限隔离、每日对账、审计记录、差异处理与补偿规则。

Q230：收入模型常见有哪些？
A：交易费、价差、托管费、上币费、借贷/质押收益（需额外合规评估）、API/机构服务费等。

Q231：定价为什么会被监管看？
A：涉及公平性、费用披露、潜在冲突（如暗加点、滑点）、以及是否诱导不当交易。

Q232：压力测试要覆盖哪些风险？
A：行情波动、流动性枯竭、提款挤兑、稳定币脱钩、安全事件、关键外包故障、监管要求升级。

Q233：资本补充机制要写什么？
A：触发条件（亏损/增长/事件）、资金来源（增资/股东贷款/融资）、审批流程、时间表与承诺函。

Q234：股东贷款可当资本吗？
A：不一定；需看可吸收损失能力与监管口径，通常更偏向补充现金流而非监管资本。

Q235：是否必须有外部审计师？
A：通常需要外部审计安排与年度审计计划，尤其涉及客户资产与隔离更需要强审计。

Q236：财务模型为什么必须做“压力情景”？
A：监管要看“黑天鹅时你是否还能维持合规与客户资产安全”。压力情景至少：交易量腰斩、提款挤兑、稳定币脱锚、安全事故、供应商故障。

Q237：压力情景的输出要包含哪些指标？
A：现金余额曲线、月度净流出峰值、资本充足率（如适用）、运营成本刚性支出覆盖、客户赔付/补偿准备。

Q238：如何证明“合规成本已纳入预算”？
A：把 AML 工具、Travel Rule、链上分析、SOC/SIEM、安全测试、审计、法律顾问、外包审计写入费用科目，并附供应商报价或预算依据。

Q239：监管会质疑哪些“过度乐观假设”？
A：交易量增长过快、获客成本过低、合规成本过低、投诉与退款为零、没有事故与罚款成本。

Q240：收入模型要如何解释“费用公平性”？
A：披露收费结构、价差/滑点机制、不同客户等级费率、退费规则、对账单可核对。

Q241：客户资产隔离对财务报表有什么影响？
A：客户资产不应与公司自有资产混同；账务与对账机制要可区分；并明确破产隔离与处置逻辑。

Q242：是否需要设置准备金/保险？
A：视风险暴露。托管/平台更建议：保险、保证、第三方托管、风险准备金等组合措施，并披露赔付边界。

Q243：资本补充承诺函怎么写才有效？
A：写清：触发条件、补充金额区间、资金来源、审批链、到账时限、不可撤回承诺（或至少明确撤回条件与通知期）。

Q244：资本来源与 SoF/SoW 如何一致化？
A：资本金账户入资的每笔资金必须能回链到股东 SoF 文件；避免出现“模型里写股东注资，实际上走第三方借款”。

Q245：固定成本口径如何选？
A：以“不可避免支出”为主：人员、云、合规工具、审计、办公、法律、保险；并形成“固定开支清单表”。

Q246：现金流可持续证明最低要做多久？
A：建议至少 12–18 个月 runway 证明（在压力情景下），并写明削减成本的应急措施（裁员、关闭市场、停上币等）。

Q247：增长与资本触发器如何写？
A：把“交易量、客户数、托管规模、日均告警量、跨境国家数”设为触发器，一旦跨阈值就增员/增资/升级系统。

Q248：监管喜欢的“定价合理性”证据是什么？
A：同业对标、成本加成模型、风险加价逻辑、费用披露样例与客户确认流程。

Q249：如何解释“上币费/做市收入”的合规风险？
A：必须披露冲突、建立上币委员会独立机制、禁止以费用换上币的单线决策、保留拒绝权与记录。

Q250：费用披露如何落到 UI/对账单？
A：在交易确认页、月结对账单、费用说明页中同时披露；并提供“费用计算公式+例子”。

Q251：客户退款/争议资金怎么会计处理？
A：设立争议资金科目、冻结机制、处理 SLA、记录保存，避免挪用风险。

Q252：审计师/会计师的角色监管怎么看？
A：关键在独立性与对客户资产、对账、收入确认的可审计性；托管/平台通常更强调审计频率与抽样覆盖。

Q253：税务与数据治理如何衔接财务模型？
A：把税务字段与报表抽取能力预埋到数据仓库（国家、客户类型、费用、VAT 相关字段等），避免“做得出账但做不出报表”。

Q254：如何证明“反洗钱预算”不是写在纸上？
A：提供工具合同/PO、团队编制、培训计划、监控规则库建设里程碑、上线验收记录。

Q255：如何证明“安全预算”充足？
A：渗透测试计划、SOC/SIEM 订阅、漏洞管理工具、密钥管理/HSM/MPC 成本、演练成本。

Q256：资本金是否可以分期到位？
A：取决于主管机关口径与具体服务类别；通常要求满足最低资本并持续维持，分期需提前沟通并证明不影响稳健。

Q257：如果发生安全事故导致赔付，财务如何应对？
A：预设赔付政策、保险理赔路径、风险准备金、资本补充触发器、对外沟通模板与报表披露安排。

Q258：财务模型里最关键的 5 个“监管敏感指标”？
A：Runway（月）、固定成本覆盖、资本缓冲、合规工具与人员成本占比、压力情景下客户资产保护能力（对账/赔付/运营不断档）。

Q259：财务模型交付的“附件结构”建议？
A：EXCEL 版本：假设页、P&L、BS、CF、压力测试、触发器表、费用披露样例、Runway 图、资本补充计划。

Q260：资本与持续经营交付结论一句话？
A：监管要看到：你不仅“能开业”，还“能在坏市场里合规活下去”——并能用报表与证据链证明。

---

F. AML/制裁/STR/Travel Rule（Q261–Q320）

Q261：MiCA 获牌是否等于 AML 合规？
A：不等于。AML/CFT 是独立且更“实操化”的监管核心，必须做到可运行、可回放、可审计。

Q262：企业级 AML 风险评估要包含什么？
A：客户/产品/渠道/地域/交易行为维度，评分方法、权重、阈值、年度复核与审批记录。

Q263：KYB 的关键点？
A：企业客户 UBO 穿透、业务真实性、资金来源、受益人/授权人核验、制裁与负面筛查、持续监控。

Q264：制裁筛查要做到什么层级？
A：客户、UBO、授权人、交易对手、钱包地址、关联实体；命中处置、误报复核、升级路径与记录保存。

Q265：PEP 管理怎么做？
A：EDD 触发、资金来源强化、管理层审批、持续监控频率提高、关系终止策略与记录。

Q266：链上监控要覆盖哪些场景？
A：混币/隐私协议、制裁地址、暗网/高风险服务、跨链桥、跳转地址、集群归因与风险评分。

Q267：交易监控规则库如何搭建？
A：分层阈值（金额/频次/行为）、情景模型（structuring、rapid in/out、wash patterns）、告警分级、调查SOP、STR 决策闭环。

Q268：STR（可疑交易报告）流程要点？
A：识别→调查→升级→MLRO 决策→提交→后续协作；每一步留痕（证据、截图、链上证明、沟通记录）。

Q269：Travel Rule（TFR）核心要求是什么？
A：加密资产转账需随行传递一定信息字段，并对信息获取失败、对手方不合规等设定处置与留存机制。

Q270：Travel Rule 适用于哪些转账？
A：通常涉及 CASP 参与的转账（发送方/接收方 CASP）与一定条件下的自托管钱包交互，具体按法规与监管口径落地。

Q271：自托管钱包怎么处理 Travel Rule？
A：通常需要风险分级：收集对手方信息、进行所有权证明/验证、设定限额与强化监控，对高风险交互采取拒绝或延迟/人工复核。

Q272：无法获取 Travel Rule 字段怎么办？
A：按政策：拒绝/延迟执行/人工复核/上报；并保留原因、尝试记录、决策审批与风险评估。

Q273：VASP-to-VASP 对接怎么做？
A：选择通道（行业协议/网络）、字段标准、加密传输、对手方尽调、失败重试与降级流程、审计日志。

Q274：制裁地址命中怎么办？
A：冻结/阻断、升级 MLRO、必要时上报、保存链上证据与系统日志，并执行客户沟通策略（避免 tipping-off）。

Q275：Tipping-off 怎么避免？
A：客服话术、工单分类、对外沟通模板、权限控制与内部信息墙，避免泄露 STR 或调查事实。

Q276：AML 培训频率？
A：至少年度全员+高风险岗位更频繁；新员工入职培训；培训要考试与记录。

Q277：独立审查怎么做？
A：年度 AML 审查（内部或外部），抽样测试、缺陷评级、整改计划、复核与关闭证据。

Q278：企业级 AML 风险评估（EWRA）多久更新一次？
A：至少年度更新；重大事件（新国家、新产品、上币高风险资产、重大外包、安全事件）触发即时更新与董事会批准。

Q279：KYC 分层怎么做才算可审计？
A：定义低/中/高风险标准（国家、职业、交易行为、产品），每层对应：资料清单、审批人级别、复核频率、监控阈值。

Q280：CDD/EDD 的“最低资料清单”如何设置？
A：CDD：身份证明+住址+职业/资金来源声明+制裁筛查；EDD：补充 SoF、银行流水、合同/发票、受益人穿透、管理层审批。

Q281：KYB 的关键风险点是什么？
A：UBO 穿透、实控人、业务真实性、资金来源、授权人核验、行业风险（博彩、暗网、成人、武器等敏感行业）。

Q282：制裁筛查的“命中处置”SOP 要有哪些步骤？
A：系统命中→人工复核→升级→冻结/阻断→记录→必要时提交 STR/与执法协作→避免 tipping-off 的客户沟通话术。

Q283：链上监控为何必须“规则 + 人工调查”组合？
A：仅靠工具评分容易误报/漏报；监管要看调查人员能解释“为什么可疑/为什么解除”。

Q284：交易监控规则库最低要覆盖哪些情景？
A：拆分交易（structuring）、快进快出、循环转账、跨链跳转、与高风险服务交互、异常提款、与制裁/混币相关交互。

Q285：告警工单要记录哪些字段？
A：告警编号、触发规则、交易哈希、地址、客户ID、调查步骤、证据截图、结论、复核人、是否 STR、关闭日期。

Q286：STR 决策标准如何写才可执行？
A：给出“红/黄/绿”判定：红=强制 STR；黄=补充资料+强化监控；绿=解除但记录依据。

Q287：如何避免 tipping-off？
A：客服与运营话术库、工单权限控制、对外统一回复模板（“技术/合规审核中”），禁止透露 STR/调查细节。

Q288：Travel Rule 字段缺失最常见原因？
A：对手方 VASP 不支持、字段映射错误、客户自托管钱包信息无法验证、系统故障。

Q289：Travel Rule 字段缺失时你的处置策略要怎么写？
A：分层：

• 低风险小额：补采集信息+延迟执行

• 中风险：人工复核+限额

• 高风险/对手不合规：拒绝/冻结/必要时 STR

Q290：自托管钱包（unhosted wallet）如何验证“归属”？
A：方法组合：签名证明、Satoshi test、小额验证、声明+行为一致性、风险评分；高风险场景需更强验证或拒绝。

Q291：自托管钱包政策要写哪些核心条款？
A：允许/禁止场景、限额、验证方法、失败处置、持续监控、黑名单机制、例外审批与留痕。

Q292：Travel Rule 与制裁地址命中发生冲突怎么办？
A：制裁优先：阻断/冻结、升级 MLRO、保存证据、按程序报告；同时确保不 tipping-off。

Q293：如何做对手方 VASP 尽调（VASP Due Diligence）？
A：牌照信息、AML框架、Travel Rule 支持、制裁策略、事件通报机制、数据保护、SLA、联系人与升级路径。

Q294：如何设定“高风险资产/币种”策略？
A：对隐私币/高混币风险资产：更高监控阈值、更严格提款规则、可能限制上币或仅限专业客户。

Q295：如何把 AML 与产品流程打通？
A：开户→交易→提款→链上监控→告警→工单→STR→归档，全部在系统中可追踪，且每一步责任明确。

Q296：AML 培训如何交付到“可检查”？
A：培训计划、教材、签到、考试、通过率、补训记录、岗位差异化题库。

Q297：AML 独立审查（independent review）要覆盖哪些内容？
A：EWRA、KYC抽样、制裁命中处置、告警调查质量、STR 决策、Travel Rule 合规率、记录保存与数据完整性。

Q298：记录保存多久？保存什么？
A：至少覆盖 AML 与监管要求的期限（以瑞典与欧盟适用规则为准）；重点保存：客户文件、交易记录、告警/调查、STR、Travel Rule 传输记录、审计日志。

Q299：如何建立“可追溯 STR 决策链”？
A：每个 STR 都要能从：触发规则→调查证据→MLRO 决策→提交记录→后续协作对应起来。

Q300：如何衡量 AML 系统有效性？
A：KRI：告警命中率、误报率、平均调查时长、STR 提交率、复核不合格率、审计发现数量与关闭率。

Q301：与银行/EMI 合作时 AML 边界怎么划？
A：明确谁做客户尽调、谁做交易监控、谁提交 STR；若你是前端引流或代理，仍需满足自身 AML 责任。

Q302：如何处理“第三方支付通道”带来的 AML 风险？
A：通道尽调、交易限额、异常退款监控、对账与差异处理、通道事件通报与退出计划。

Q303：如何处理“跨链桥/混币服务”风险？
A：链上标签库、规则提升、对相关交互设置强化监控或限制、必要时拒绝服务。

Q304：如何管理“高风险地域客户”？
A：EDD、限额、资金来源强化、频繁复核、交易监控阈值降低、必要时拒绝。

Q305：如何处理“代理/KOL”引入客户的 AML 风险？
A：代理尽调、禁止代开户、话术合规、质量抽查、违规处罚与终止条款。

Q306：如何处理“机器人交易/刷量”对 AML 的影响？
A：行为模型识别、关联账户聚类、与市场滥用监控联动、对可疑账号限制与调查。

Q307：如何处理“客户拒绝提供补充资料”？
A：按风险分级：拒绝/限制功能/关闭账户；并记录沟通与决策依据，必要时 STR。

Q308：如何把 AML 与客户体验平衡？
A：前端分层：低风险自动化、提升体验；高风险人工加强。关键是“例外审批与留痕”。

Q309：Travel Rule 对接成功率怎么管理？
A：指标化：成功率、字段缺失率、失败原因分类、重试机制、对手方黑名单、修复 SLA。

Q310：Travel Rule 数据如何加密与保护？
A：端到端加密、最小访问权限、日志审计、数据留存与删除策略（与法规期限一致）、供应商安全评估。

Q311：如何准备监管抽查时的“Travel Rule 样本包”？
A：抽取 20–50 笔样本：字段齐全截图/导出、失败处置记录、对手方信息、复核签批、归档编号。

Q312：如何处理 Travel Rule “对手方不合规 VASP”？
A：建立黑名单与分级策略：拒绝或限额+人工复核；并记录对手方尽调与处置决策。

Q313：是否必须支持所有链？
A：不必，但你支持的每条链都必须能做到 AML/Travel Rule 风控与取证能力，否则宁可不支持。

Q314：AML/Travel Rule 与数据仓库如何结合？
A：把关键字段统一：客户ID、地址、链、交易哈希、风险评分、告警编号、STR 编号、对手方VASP信息，确保可报表与可审计。

Q315：如何把 AML 风险纳入董事会监督？
A：月度 AML 报告上董事会/风险委员会：风险趋势、重大 STR、制裁命中、整改事项。

Q316：如何管理“重大可疑事件”的跨部门协作？
A：预案：MLRO 牵头，安全/法务/客服加入；统一对外口径；记录协作与决策。

Q317：如何证明 AML 体系“持续改进”？
A：规则库迭代记录、阈值调整理由、审计发现整改、事件复盘改进、培训更新。

Q318：监管最常抓的 AML 硬伤？
A：KYC 资料不完整、告警不调查或无证据、STR 决策不留痕、制裁命中处置不当、Travel Rule 缺失或失败不处理。

Q319：如何快速降低补件概率？
A：提交前做“监管模拟抽查”：随机抽 30 个客户档案、50 笔交易、20 个告警、5 个 STR、20 笔 Travel Rule 转账样本。

Q320：AML/Travel Rule 交付最终清单？
A：EWRA、KYC/KYB/EDD 手册、制裁/PEP SOP、链上监控方案、规则库、工单样本、STR 模板与样本、Travel Rule 对接与失败处置、自托管钱包政策、培训与独立审查、记录保存与数据字典。

---

G. ICT/DORA/外包（Q321–Q360）

Q321：DORA 与 CASP 有什么关系？
A：DORA 为金融实体 ICT 风险管理与韧性提出统一要求，CASP 的 ICT、外包、事件管理与测试会被显著提高要求。

Q322：ICT 风险管理最小集合？
A：资产清单、风险评估、补丁与漏洞、变更管理、访问控制、日志、供应链风险、事件响应、BCP/DR。

Q323：必须做渗透测试吗？
A：通常是监管期待；平台/托管类更是必备，并需整改闭环与复测证据。

Q324：日志要保留多久？
A：依监管与 AML/审计要求设定，核心是不可篡改、可检索、可导出、时间同步。

Q325：密钥管理要提交什么证据？
A：HSM/MPC/多签方案、权限分层、轮换、备份、灾备、审批链、应急流程、操作日志样例。

Q326：云外包最敏感条款？
A：监管访问权、审计权、数据位置与迁移、分包、事件通报、退出、BCP/DR、加密与密钥控制。

Q327：外包年度评估怎么做？
A：供应商评分（安全/合规/财务/运营）、SLA 达成、事件复盘、改进计划、替代供应商预案。

Q328：重大事故如何通报？
A：按事件分级、时限、根因分析、客户影响评估、补救措施、复盘与整改；并保留通报与沟通记录。

Q329：ICT 治理文件最低要有哪些？
A：ICT 风险管理政策、信息安全政策、访问控制、变更管理、漏洞管理、日志策略、事件响应、BCP/DR、外包治理。

Q330：系统资产清单要到什么粒度？
A：应用/服务、数据库、云资源、第三方API、关键密钥与HSM/MPC组件；并标记数据分类与关键性等级。

Q331：权限管理（RBAC）监管最爱看的是什么？
A：最小权限、特权账号审批、双人复核、敏感操作（提币/白名单/密钥）全留痕、离职权限回收记录。

Q332：日志要满足哪四个特征？
A：完整、不可篡改、可检索、可导出（含时间同步）。同时能关联到用户、动作、对象与结果。

Q333：密钥管理最关键的三件事？
A：控制权边界、操作审批链、灾备恢复可行性（演练证据）。托管类尤其要明确冷/热分层与多签/MPC。

Q334：渗透测试与漏洞整改怎么“闭环取证”？
A：报告→整改计划→补丁/配置变更→复测报告→关闭证明，全部编号归档。

Q335：变更管理（Change Management）要怎么写？
A：变更分类（标准/重大/紧急）、审批门槛、回滚方案、测试要求、上线窗口、变更日志与事后复盘。

Q336：事件响应（IR）最少要做哪些演练？
A：账户被盗/异常提款、节点/云故障、数据泄露、供应商断供、密钥丢失或疑似泄露、DDoS。每次演练要出复盘报告。

Q337：DORA 视角下“重大事件”怎么分级？
A：按影响客户、影响关键功能、数据泄露规模、持续时间、经济损失与声誉影响分级；并设定通报与升级时限。

Q338：BCP/DR 的 RTO/RPO 怎么设？
A：按关键服务（交易、提款、KYC、监控、客服）分别设；并以可演练证明为准。

Q339：灾备演练要保留什么证据？
A：演练计划、参与人、演练过程记录、恢复时间数据、问题清单与整改、复测证明。

Q340：外包分包（sub-outsourcing）怎么控？
A：合同要求事前批准、清单披露、同等审计权与监管访问权、关键分包禁止或严格限制。

Q341：云服务最敏感的“监管访问权”怎么写？
A：FI/审计师可访问数据、日志、场所与人员；供应商配合义务与响应 SLA；不得以保密为由拒绝监管。

Q342：数据驻留与跨境怎么设计？
A：分类分级：敏感数据加密、访问控制、跨境传输合法性（GDPR）、外包合同条款、数据导出与删除策略。

Q343：供应商年度评估要评什么？
A：安全（SOC报告/渗透测试）、合规、财务稳健、SLA、事件记录、人员变动、分包变化、退出可行性。

Q344：退出计划（Exit Plan）要怎么写才可执行？
A：迁移步骤、时间表、数据导出格式、替代供应商、客户沟通模板、回滚方案、演练计划。

Q345：系统“可演示证据链”最建议准备哪些截图/导出？
A：RBAC、提币审批、白名单审批、告警工单、日志检索、SIEM告警、变更记录、对账报表、事件工单、备份恢复记录。

Q346：如何证明“供应商故障不会让你停摆”？
A：SLA、冗余设计、多云/多供应商策略（如适用）、手工降级流程、备选通道、演练证据。

Q347：安全事件客户通知要怎么做？
A：分级通知、事实核实、影响范围、客户需采取措施、补偿策略、后续更新节奏；避免泄露执法调查细节。

Q348：如何把 ICT 风险纳入董事会？
A：季度 ICT 风险报告、重大事件复盘上会、渗透测试与整改追踪上会、外包年度评估上会。

Q349：开发与运维分离是否必须？
A：强烈建议至少在权限与审批层面分离（Dev 不能直接生产提权/改参数），并有审计日志。

Q350：如何管理 API 风险？
A：速率限制、异常行为检测、密钥轮换、访问令牌生命周期、审计日志、WAF、防刷与反欺诈联动。

Q351：如何管理“交易引擎操纵/刷量”技术风险？
A：撮合日志、异常撮合监测、订单簿完整性校验、回放能力、不可篡改日志与取证链。

Q352：数据完整性（Data Integrity）怎么证明？
A：校验机制、对账、哈希校验、不可变存储（WORM）、时间同步、抽样核对记录。

Q353：供应链攻击怎么防？
A：依赖库扫描、SBOM（如适用）、CI/CD 安全、代码审计、密钥不落地、最小权限。

Q354：如何处理“员工内鬼”风险？
A：特权最小化、双人复核、行为监控、离职流程、异常访问告警、定期权限审计。

Q355：系统上线前的验收标准？
A：功能+安全+合规：KYC、监控、日志、提币审批、对账、报表抽取、故障降级、BCP/DR 演练通过。

Q356：如何准备监管 ICT 检查的资料包？
A：政策目录、系统架构、资产清单、外包合同条款、渗透测试与整改、事件记录、演练记录、日志导出步骤。

Q357：DORA 下第三方 ICT 风险怎么持续管理？
A：定期评估、事件通报、变更通知、分包披露、退出演练；并把关键供应商纳入董事会监督。

Q358：什么样的 ICT 缺陷会直接拖慢审批？
A：权限不清、日志不可导出、密钥边界不明、外包合同缺审计权、BCP/DR 无演练、渗透测试无闭环。

Q359：如何把“ICT 证据链”与申请材料索引化？
A：每项控制点对应附件号：ICT-01 架构、ICT-02 RBAC、ICT-03 日志、ICT-04 密钥……监管提问即定位。

Q360：ICT/外包交付最终清单？
A：资产清单、架构与数据流、RBAC、日志与SIEM、密钥管理、渗透测试闭环、事件响应与演练、BCP/DR、外包合同条款包、退出计划与演练、年度评估与董事会监督证据。

---

H. 客户保护/披露/投诉（Q361–Q390）

Q361：客户披露要披露什么？
A：风险、费用、执行方式、托管与资产隔离、利益冲突、暂停/终止、硬分叉/空投处理、投诉渠道与时限。

Q362：营销合规最常见雷区？
A：收益承诺、淡化风险、误导性比较、面向不适当受众投放、未披露费用/利益冲突、KOL/代理话术失控。

Q363：费用披露要多细？
A：明示费率、隐含成本（滑点/价差）、第三方费用、退费规则、对账单可核对性。

Q364：投诉处理要素？
A：受理→调查→回复→结案；分级与时限；升级路径；统计与根因分析；整改闭环；证据留存（录音/工单/邮件）。

Q365：ADR 是什么？
A：替代性争议解决机制；跨境业务更需明确适用 ADR、语言、管辖与流程，确保消费者保护要求可满足。

Q366：客户资产丢失/被盗如何处理？
A：事件响应、冻结与调查、链上取证、客户通知、赔付与责任边界、复盘整改；同时要避免 tipping-off。

Q367：适当性/合适性何时需要？
A：投顾/组合管理更强；对零售客户的知识测评、风险承受评估与产品分层也常被监管期待。

Q368：客户协议（T&Cs）要包含什么？
A：权责边界、费用、风险、暂停/终止、争议解决、隐私与数据、资产处置、异常行情与系统故障规则。

Q369：客户披露文件（Disclosure Pack）最少包含哪些？
A：风险披露、费用披露、执行政策、托管与资产隔离说明、利益冲突、暂停/终止、争议解决/ADR、隐私与数据、重大事件通知机制。

Q370：风险披露要写到什么程度才“可交付”？
A：要做到“客户看得懂”：

• 价格波动、流动性、技术风险（链拥堵/分叉）

• 托管风险与责任边界

• 交易不可逆/错误地址

• 稳定币脱锚

• 杠杆/衍生品（如有）风险
  并用例子解释。

Q371：费用披露如何避免“暗费”争议？
A：披露：手续费、价差/滑点、第三方费用、提现费、换汇费、托管费；并给出计算示例与对账单可核对字段。

Q372：执行政策（Execution Policy）需要什么？
A：订单类型、撮合/路由逻辑、滑点处理、异常行情、暂停交易规则、成交确认与撤单规则、日志留存。

Q373：客户资产隔离说明书要写哪些点？
A：钱包隔离、账务隔离、权限隔离、日对账、差异处理、破产隔离原则、第三方托管/保险（如有）。

Q374：营销合规最常见的违规点是什么？
A：收益承诺、弱化风险、误导性对比、未披露费用、代理/KOL 夸大宣传、向不适当受众投放。

Q375：如何管理 KOL/代理的合规话术？
A：代理政策、预审机制、话术库、禁止词清单、抽查与处罚、终止条款、留存证据。

Q376：客户分类（零售/专业）如何做？
A：标准、证据文件、复核频率、分类变更流程；并对应不同披露、限额、产品权限。

Q377：投诉处理 SOP 的固定时限怎么设？
A：建议设：受理确认（T+1）、初步答复（如 T+7）、结案目标（如 T+30），并支持复杂案件延期说明。

Q378：投诉工单要记录哪些证据？
A：投诉内容、客户身份、相关交易哈希、对账单、沟通记录、调查步骤、结论与补偿/纠正措施、关闭日期。

Q379：什么是 ADR，为什么要写入条款？
A：ADR 是替代性争议解决机制；跨境零售客户更需要清晰路径（语言、机构、时限、费用承担）。

Q380：争议解决条款如何避免“对客户不公平”被质疑？
A：条款清晰、语言易懂、提供合理沟通渠道、不得设置过度不利条款（例如不合理免责）。

Q381：客户资金/资产冻结争议怎么处理？
A：冻结依据（制裁/AML/欺诈）、内部审批链、客户通知口径（不 tipping-off）、复核机制、解冻条件与记录。

Q382：错误地址转账怎么办？
A：风险披露中提前写明；内部协助流程（联系对手方/链上追踪）但不承诺追回；保留协助记录。

Q383：系统故障造成损失怎么处理？
A：T&C 需写明故障处理、暂停交易、订单重放规则、补偿政策（如适用）、事件通报与复盘机制。

Q384：客户数据隐私投诉怎么处理？
A：GDPR 相关权利响应（访问、更正、删除/限制等）、处理时限、DPO/联系人、记录留存。

Q385：如何把客户保护落实到 UI？
A：关键节点弹窗确认、风险提示、费用明细、订单确认页、对账单字段、投诉入口与时限说明。

Q386：退款/撤销规则如何写？
A：不同产品不同：法币入金、交易成交、链上转账不可逆；必须清晰列出可退/不可退与处理时限。

Q387：客户教育是否是监管期待？
A：是。尤其零售客户：风险教育、常见骗局提示、如何自我保护（2FA、地址白名单）等。

Q388：投诉统计如何用于持续改进？
A：分类（费用/执行/诈骗/技术/客服）、根因分析、整改措施、复核关闭证据，上报董事会/管理层。

Q389：客户保护最常见的“硬伤”？
A：披露不清、费用暗含、客服无记录、投诉不闭环、ADR 机制缺失、营销话术失控。

Q390：客户保护交付最终清单？
A：披露包（风险/费用/执行/托管/冲突）、T&C、营销政策+话术库、代理管理制度、投诉SOP+模板、ADR条款、客户通知模板、对账单样式与UI落地清单。

---

I. 护照与跨境（Q391–Q399）

Q391：护照通报需要什么材料？
A：服务清单、目标国、提供方式（跨境/分支）、客户语言与披露、投诉与 ADR、营销合规补丁、运营与外包安排概述。

Q392：能同时通报多个国家吗？
A：可，但建议分批，以降低合规与运营压力，确保每个国家的营销与披露要求落实。

Q393：跨境最容易踩坑点？
A：当地消费者保护与广告规则、语言披露、税务/报告、数据与隐私、客户身份核验标准差异。

Q394：跨境后谁来监管？
A：母国主管机关为主，东道国对市场行为/消费者保护等有协作与执法空间，具体按 MiCA 机制执行。

Q395：在瑞典获批能否面向欧盟以外客户？
A：可能涉及第三国招揽规则与当地许可要求；需逐国评估，不应仅凭 MiCA 推断“全球可做”。

Q396：跨境客户支持要如何搭建？
A：多语言披露、客服与投诉 SLA、本地时区覆盖、ADR 机制、数据访问与取证、反欺诈与风控规则本地化。

Q397：跨境税务（DAC8）影响？
A：会强化客户税务信息与交易数据治理、报告抽取能力与留存一致性（建议在数据治理层预埋字段与标签）。

Q398：跨境后能否再扩项服务？
A：可以，但扩项后需要更新通报信息与各国披露，避免“超范围经营”。

Q399：跨境合规最推荐的项目打法？
A：先“母国可运行”再护照：把 AML/Travel Rule、披露与投诉、系统日志与对账做成可审计标准件，再复制到目标国。

---

J. 运营与持续合规/处罚（Q400）

Q400：MiCA 下 CASP 的“红线清单”有哪些？
A：典型红线包括：未授权经营/超范围、客户资产未隔离或挪用、重大误导披露/营销、Travel Rule 缺失导致转账信息缺口、外包失控导致数据/安全事故、制裁/STR 义务缺失或处置不当、重大事件不报告或不整改、治理失效与问责缺位。

---

仁港永胜建议（可执行清单）

1. 先做服务映射：把业务拆到 MiCA 服务清单（托管/平台/兑换/执行/投顾等），决定申请组合与资本、系统、制度边界。

2. 系统证据链优先：权限分层、日志、监控、Travel Rule、对账、提款审批链做到“可演示、可回放、可导出”。

3. 实质运营前置：有效管理、关键岗位、外包审计权/退出权、监管可检查与可取证能力先搭起来。

4. 资本+现金流写实：把 AML 工具、Travel Rule、SOC/SIEM、安全测试、审计、外包治理成本写进模型与压力测试。

5. RFI-ready 交付：所有材料按“条款→说明→证据→附件编号→责任人→日期”管理，补件闭环效率最高。

选择仁港永胜的好处（核心优势）

• 监管导向写作 + 证据链交付：不是“材料堆砌”，而是把制度、系统、流程做成监管可读、可审计、可补件的交付包。

• 模板库成熟可落地：Master Checklist（A–I）、BP/财务模型、AML/Travel Rule SOP、外包治理条款包、面谈题库、护照通报包等。

• 跨境展业经验：MiCA 护照路径、集团穿透与 SoF/SoW 证据链、外包与数据治理一体化设计。

关于仁港永胜

仁港永胜（香港）有限公司（Rengangyongsheng (Hong Kong) Limited）长期为金融机构、支付机构、加密资产平台、基金与家办提供：

• 牌照申请与持续合规（MiCA CASP、EMI/PI、SFC、MSO、VARA 等）

• AML/CFT 体系搭建、制度与系统合规、监管面谈与检查应对

• 跨境展业合规结构设计（护照机制、集团治理、数据治理）

联系方式

唐上永（唐生，Tang Shangyong）｜业务经理

仁港永胜（香港）有限公司 | Rengangyongsheng (Hong Kong) Limited
官网：jrp-hk.com
香港：852-92984213（WhatsApp）
深圳：15920002080（微信同号）

办公地址：

• 香港湾仔轩尼诗道253-261号依时商业大厦18楼

• 深圳福田卓越世纪中心1号楼11楼

• 香港环球贸易广场86楼

免责声明

本文由仁港永胜（香港）有限公司拟定，并由唐生提供专业讲解。本文依据欧盟及瑞典主管机关公开信息整理，旨在提供一般性合规筹备参考，不构成法律意见、监管承诺或获批保证；具体申请策略、材料清单、审查要点与费用以 Finansinspektionen（FI） 及欧盟最新法规、RTS/ITS、个案事实为准。

如需进一步协助（瑞典 Sweden/欧盟 CASP 申请、收购并购、材料编制、系统合规与持续维护），欢迎联系唐生获取专业支持。

---

---

瑞典MiCA牌照常见问题,瑞典MiCA CASP牌照常见问题,瑞典MiCAR牌照常见问题,瑞典加密牌照FAQ,瑞典加密交易所牌照FAQ,瑞典CASP牌照常见问题解答,瑞典加密资产服务提供商FAQ,瑞典虚拟资产服务提供商FAQ,瑞典MiCA牌照FAQ大全,瑞典MiCAR牌照FAQ大全,瑞典加密牌照常见问题大全,瑞典CASP牌照FAQ大全,瑞典MiCA加密资产服务商牌照FAQ,瑞典MiCAR加密资产服务提供商牌照FAQ,瑞典加密牌照申请问题,瑞典MiCA牌照申请FAQ,瑞典MiCAR牌照申请FAQ,瑞典加密交易所牌照申请问题,瑞典CASP牌照申请FAQ,瑞典加密资产服务提供商申请FAQ,瑞典虚拟资产服务提供商申请FAQ,瑞典加密牌照注册问题,瑞典MiCA牌照注册FAQ,瑞典MiCAR牌照注册FAQ,瑞典加密牌照转让问题,瑞典MiCA牌照转让FAQ,瑞典MiCAR牌照转让FAQ,瑞典加密牌照出售问题,瑞典MiCA牌照出售FAQ,瑞典MiCAR牌照出售FAQ,瑞典加密牌照指南,瑞典MiCA牌照申请指南,瑞典MiCAR牌照申请指南,瑞典加密交易所牌照申请指南,瑞典CASP牌照申请指南,瑞典加密资产服务提供商申请指南,瑞典虚拟资产服务提供商申请指南,瑞典MiCA牌照完整指南,瑞典MiCAR牌照完整指南,瑞典加密牌照申请完整指南,瑞典加密交易所牌照完整指南,瑞典CASP牌照完整指南,瑞典加密资产服务提供商完整指南,瑞典虚拟资产服务提供商完整指南,瑞典MiCA框架牌照,瑞典MiCAR框架牌照,瑞典加密监管牌照,瑞典欧盟加密牌照,Sweden MiCA license FAQ,Sweden MiCA CASP license FAQ,Sweden MiCAR license FAQ,Sweden crypto license FAQ,Sweden crypto exchange license FAQ,Sweden CASP license FAQ,Sweden crypto asset service provider FAQ,Sweden virtual asset service provider FAQ,Sweden MiCA license frequently asked questions,Sweden MiCAR license frequently asked questions,Sweden crypto license common questions,Sweden CASP license common questions,Sweden MiCA CASP authorization FAQ,Sweden MiCAR CASP authorization FAQ,Sweden MiCA license application FAQ,Sweden MiCAR license application FAQ,Sweden crypto license application FAQ,Sweden crypto exchange license application FAQ,Sweden CASP license application FAQ,Sweden MiCA license registration FAQ,Sweden MiCAR license registration FAQ,Sweden crypto license registration FAQ,Sweden MiCA license transfer FAQ,Sweden MiCAR license transfer FAQ,Sweden crypto license transfer FAQ,Sweden MiCA license sale FAQ,Sweden MiCAR license sale FAQ,Sweden crypto license sale FAQ,Sweden MiCA license guide,Sweden MiCAR license guide,Sweden crypto license application guide,Sweden crypto exchange license application guide,Sweden CASP license application guide,Sweden MiCA license complete guide,Sweden MiCAR license complete guide,Sweden crypto license complete guide,Sweden MiCA framework license,Sweden MiCAR framework license,Sweden crypto regulatory license,Sweden EU crypto license