(Phiên bản năm 2025) Tài liệu cần đọc dành cho người được cấp phép tài chính tại Hồng Kông: Hướng dẫn đầy đủ nâng cấp từ Giấy phép loại 1 lên Giấy phép VA

Với việc Chính quyền Đặc khu hành chính Hồng Kông ban hành các tuyên bố chính sách vào tháng 10 năm 2022 và tháng 6 năm 2025, làm rõ định hướng chiến lược của mình trong việc xây dựng một trung tâm tài sản ảo (VA) hàng đầu thế giới, bối cảnh quản lý tài chính của Hồng Kông đang trải qua quá trình thay đổi sâu sắc và nhanh chóng.

Tác giả: Aiying Đội ngũ

Với việc chính quyền Đặc khu Hành chính Hồng Kông ban hành các tuyên bố chính sách vào tháng 10 năm 2022 và tháng 6 năm 2025, làm rõ vị thế chiến lược của mình như một trung tâm tài sản ảo (VA) hàng đầu toàn cầu, bối cảnh quản lý tài chính của Hồng Kông đang trải qua một sự thay đổi sâu sắc và nhanh chóng. Đối với hàng trăm tổ chức tài chính truyền thống sở hữu giấy phép hoạt động loại 1 (giao dịch chứng khoán) do Ủy ban Chứng khoán và Hợp đồng Tương lai (SFC) cấp, điều này vừa mang đến những cơ hội mở rộng việc kinh doanh chưa từng có, vừa đặt ra một thách thức lớn nâng cấp tuân thủ.

Nhiều công ty được cấp phép đang tích cực tìm kiếm các phương thức mở rộng phạm vi việc kinh doanh sang lĩnh vực tài sản ảo, đặc biệt là bằng cách cung cấp dịch vụ giao dịch tài sản ảo. Tuy nhiên, bước tiến này không hề dễ dàng. Nó không liên quan đến việc xin cấp giấy phép hoàn toàn mới, mà là việc mở rộng (nâng cấp) một cách tinh vi việc kinh doanh Loại 1 hiện có. Trong nâng cấp này, ưu tiên hàng đầu của SFC chắc chắn là vấn đề nhân sự - nói cách khác, liệu tổ chức có đủ trình độ, kinh nghiệm và năng lực phù hợp để điều hướng việc kinh doanh mới nổi đầy rủi ro và đòi hỏi công nghệ cao này hay không.

Báo cáo Aiying này nhằm mục đích cung cấp một hướng dẫn toàn diện và đáng tin cậy cho ban quản lý, Cán bộ Tuân thủ (CO) và Cán bộ Chịu trách nhiệm (RO) của các công ty được cấp phép sở hữu giấy phép SFC Loại 1. Chúng tôi xem xét và phân tích một cách có hệ thống tất cả các yêu cầu về nhân sự cần thiết nâng cấp từ giấy phép Loại 1 truyền thống lên cung cấp dịch vụ giao dịch tài sản ảo (sau đây gọi là "giấy phép VA1"), phân tích cơ sở lý luận và các cân nhắc của cơ quan quản lý, đồng thời cung cấp một danh sách kiểm tra thực tế. Tất cả thông tin trong báo cáo này đều dựa trên chỉ dẫn chính thức của SFC, các thông tư mới nhất, tài liệu tham vấn và các trường hợp thực tiễn thị trường có thẩm quyền tính đến tháng 8 năm 2025. Báo cáo này nhằm mục đích giúp tổ chức của bạn điều hướng quá trình chuyển đổi tuân thủ quan trọng này một cách chính xác và ổn định.

1. Tổng quan nhanh về Khung pháp lý: Hiểu bản chất của “Giấy phép VA1”

Trước khi đi sâu vào các yêu cầu cụ thể về nhân sự, trước tiên chúng ta cần làm rõ một khái niệm cơ bản: "Giấy phép VA1" không phải là một loại giấy phép riêng biệt trong mục lục chính thức của SFC. Đây là một thuật ngữ thị trường đề cập cụ thể đến sê-ri các điều khoản và điều kiện tài sản ảo cụ thể do SFC áp đặt, bổ sung cho giấy phép Loại 1 (Giao dịch Chứng khoán) hiện có, cho phép các tổ chức được cấp phép tham gia vào các hoạt động giao dịch liên quan đến tài sản ảo. Logic cơ bản của phương pháp tiếp cận quản lý này bắt nguồn từ triết lý quản lý nhất quán của SFC là "Cùng Việc kinh doanh, Cùng Rủi ro, Cùng Quy tắc".

Nguyên tắc này có nghĩa là bất kể tài sản cơ sở được giao dịch là cổ phiếu và trái phiếu truyền thống hay tài sản ảo mới nổi, miễn là mô hình việc kinh doanh của chúng (ví dụ: giao dịch trung gian, cung cấp tư vấn giao dịch) và rủi ro mà chúng gây ra (ví dụ: rủi ro thị trường, rủi ro hoạt động và rủi ro bảo mật tài sản của khách hàng) tương đương nhau, thì chúng phải chịu sự giám sát nghiêm ngặt như nhau. Do đó, SFC yêu cầu các bên được cấp phép Loại 1 có kế hoạch cung cấp dịch vụ giao dịch VA phải thiết lập một hệ thống kiểm soát nội bộ tương đương, và trong một số lĩnh vực (ví dụ: an ninh mạng và lưu ký tài sản ) còn nghiêm ngặt hơn so với các hệ thống trong việc kinh doanh chứng khoán truyền thống. Yêu cầu này trực tiếp chuyển thành các tiêu chuẩn cao hơn về chuyên môn và kinh nghiệm của nhân sự.

Tiếng nói của cơ quan quản lý: SFC đã tuyên bố rõ ràng trong thông cáo ngày 19 tháng 2 năm 2025: “Quy định của SFC áp dụng nguyên tắc ‘cùng hoạt động việc kinh doanh, cùng rủi ro, cùng quy tắc’ – tất cả các biện pháp bảo vệ nhà đầu tư tài chính truyền thống (TradFi) hiện hành đều áp dụng cho các hoạt động liên quan đến tài sản ảo, đây cũng là phương pháp hiện đang được các tổ chức đặt ra tiêu chuẩn quốc tế như IOSCO và FSB ủng hộ.”

Để hiểu chính xác các yêu cầu về nhân sự, điều quan trọng là phải phân biệt giữa "giấy phép VA1" và "giấy phép VATP" độc lập. Hai loại giấy phép này khác nhau cơ bản về khuôn khổ pháp lý, mô hình việc kinh doanh và người nộp đơn:

Tóm lại, lộ trình nâng cấp giấy phép VA1 về cơ bản là một cài đặt " plug-in " chuyên biệt cho việc kinh doanh môi giới hiện có. Mối quan tâm cốt lõi của SFC là liệu "hệ điều hành" của tổ chức (tức là nhân sự và hệ thống kiểm soát nội bộ) có sẵn sàng xử lý " plug-in mới" phức tạp và rủi ro cao này hay không. Do đó, các yêu cầu về nhân sự được thảo luận dưới đây đóng vai trò là thông số kỹ thuật cụ thể cho nâng cấp"hệ điều hành" này.

II. Phân tích chuyên độ sâu về nhân sự: các yêu cầu cốt lõi để nâng cấp giấy phép VA1

Phần này là cốt lõi của báo cáo . Dựa trên kinh nghiệm của Aiying trong việc hỗ trợ khách hàng nộp đơn xin cấp phép, cũng như chỉ dẫn chính thức của SFC, thông tư và thực tiễn thị trường, chúng tôi sẽ phân tích một cách toàn diện và có hệ thống các yêu cầu về nhân sự khác nhau liên quan đến nâng cấp giấy phép VA1. Quy trình đánh giá của SFC rất kỹ lưỡng, không chỉ đánh giá cơ cấu tổ chức trên giấy tờ mà còn cả năng lực thực tế của các nhân sự chủ chốt. Những thiếu sót trong bất kỳ lĩnh vực nào cũng có thể dẫn đến việc chậm trễ hoặc thậm chí bị từ chối đơn xin cấp phép.

1. Cán bộ chịu trách nhiệm (RO) — Nền tảng của trách nhiệm giám sát

Cán bộ phụ trách (RO) đóng vai trò là kênh liên lạc chính giữa các công ty được cấp phép và SFC, chịu trách nhiệm giám sát trực tiếp các hoạt động được quản lý của công ty. Trong các đơn nâng cấp lên giấy phép VA1, trình độ chuyên môn, kinh nghiệm và sự ổn định của RO là trọng tâm trong quá trình xem xét của SFC và là những yếu tố quan trọng quyết định sự thành công của đơn xin.

Yêu cầu về số lượng và kiến ​​trúc

• Số lượng tối thiểu: SFC yêu cầu mọi công ty được cấp phép phải luôn bổ nhiệm "không ít hơn hai Cán bộ Chịu trách nhiệm" cho mỗi loại hoạt động được quản lý mà công ty thực hiện. Nguyên tắc cơ bản này vẫn không thay đổi đối với nâng cấp lên giấy phép VA1. Điều này có nghĩa là các công ty phải đảm bảo luôn có ít nhất hai Cán bộ Chịu trách nhiệm (RO) giám sát việc kinh doanh, bao gồm cả tài sản ảo.
• Yêu cầu thường trú: SFC yêu cầu ít nhất một RO phải cư trú tại Hồng Kông để giám sát hiệu quả hoạt động việc kinh doanh và giao tiếp với các cơ quan quản lý. Hơn nữa, SFC thường kỳ vọng RO thường trú này cũng sẽ đảm nhiệm vai trò Giám đốc Điều hành của công ty, đảm bảo họ có đủ thẩm quyền và ảnh hưởng trong công ty để thực thi các chính sách tuân thủ.
• Những cân nhắc về Giấy phép Kép: Mặc dù giấy phép VA1 là phần mở rộng của giấy phép Loại 1, nhưng việc kinh doanh của nó liên quan đến cả quy định của SFO (Định nghĩa Chứng khoán) và AMLO (Chống Rửa tiền). Nếu một công ty muốn cung cấp dịch vụ trung gian toàn diện cho cả token token và token phi token, SFC khuyến nghị mạnh mẽ rằng RO của công ty đó nên đăng ký giấy phép kép. Việc chỉ sở hữu giấy phép SFO có thể hạn chế phạm vi hoạt động của RO. Do đó, cấu trúc vững chắc nhất là phải có ít nhất hai RO đủ điều kiện tư cách cả SFO và AMLO.

Yêu cầu về kinh nghiệm và năng lực

Đây là phần đánh giá chi tiết và chủ quan nhất của SFC. SFC không chỉ yêu cầu các RO phải có kinh nghiệm trong ngành tài chính truyền thống mà còn đặt ra các yêu cầu rõ ràng về hiểu biết độ sâu và kinh nghiệm thực tế trong lĩnh vực tài sản ảo.

• Kinh nghiệm tài chính truyền thống: Là RO Loại 1, ứng viên vẫn phải đáp ứng ngưỡng cơ bản của SFC, đó là có ít nhất ba năm kinh nghiệm liên quan trực tiếp đến ngành chứng khoán trong sáu năm gần nhất. Đây là nền tảng không thể thiếu.
• Kinh nghiệm chuyên biệt về VA (Điểm Đánh giá Cốt lõi): Điều này rất quan trọng đối với sự thành công hay thất bại của các đơn xin nâng cấp. Nhận thấy sự khan hiếm nhân tài trong giai đoạn đầu của thị trường, SFC đã áp dụng cái gọi là "phương pháp thực dụng". Phương pháp thực dụng của SFC: Trong phần Câu hỏi Thường gặp về năng lực, SFC nêu rõ rằng, do tính chất non trẻ của hệ thống cấp phép VA và khả năng thiếu hụt nhân tài có cả kinh nghiệm về VA và chứng khoán, SFC sẽ áp dụng phương pháp thực dụng đánh giá kinh nghiệm của RO. Cụ thể, SFC có những kỳ vọng và phương pháp sau đây liên quan đến kinh nghiệm của đội ngũ RO về VA:
  1. Cấu hình lý tưởng – Kinh nghiệm bổ sung: SFC chủ yếu tìm kiếm một đội ngũ RO có kinh nghiệm bổ sung. Ví dụ: một RO có thể là chuyên gia tuân thủ chứng khoán dày dạn kinh nghiệm, am hiểu các quy định của SFC; RO còn lại có thể có bối cảnh tài sản ảo, có thể nắm giữ vị trí cốt lõi tại một sàn giao dịch crypto , quỹ VA hoặc công ty công nghệ blockchain, với hiểu biết sâu sắc về giao dịch VA, lưu ký, công nghệ ví, phân tích Chuỗi và rủi ro hợp đồng thông minh.
  2. Ứng viên chỉ có kinh nghiệm về VA: Nếu kinh nghiệm chính của ứng viên RO đến từ ngành VA (ví dụ: vận hành nền tảng token phi chứng khoán) và thiếu kinh nghiệm chứng khoán truyền thống, SFC có thể công nhận kinh nghiệm VA của họ tương đương với kinh nghiệm ngành liên quan cần thiết để được cấp giấy phép Loại 1. Tuy nhiên, như một biện pháp đối kháng, SFC có thể áp dụng điều kiện cấp phép cho giấy phép của RO, nêu rõ rằng "giấy phép của RO chỉ giới hạn ở việc cung cấp dịch vụ cho việc kinh doanh VATP được cấp phép của bên chủ quản (tức là công ty được cấp phép)". Điều này có nghĩa là ứng viên không được tham gia vào việc kinh doanh chứng khoán truyền thống không liên quan đến VA.
  3. Ứng viên chỉ có kinh nghiệm Loại 1: Ngược lại, nếu một RO chỉ có kinh nghiệm giao dịch chứng khoán truyền thống và không có kinh nghiệm VA trực tiếp, SFC vẫn có thể công nhận kinh nghiệm chứng khoán của họ. Tuy nhiên, giấy phép của họ có thể phải tuân theo điều kiện "không độc quyền" . Điều này có nghĩa là khi thực hiện các nhiệm vụ liên quan đến VA, RO phải làm việc dưới sự giám sát của một RO khác có trình độ đầy đủ (tức là người có đủ kinh nghiệm VA).
• Cách chứng minh kinh nghiệm làm việc tại VA: Chỉ trình bày bằng lời nói là không đủ. Ứng viên phải cung cấp bằng chứng chi tiết, có thể xác minh được trong sơ yếu lý lịch (CV) và các tài liệu ứng tuyển, chẳng hạn như:
  • Tên, thời gian và quy mô của các dự án VA cụ thể mà bạn đã tham gia.
  • Nhân vật và trách nhiệm cụ thể trong dự án (ví dụ: có chịu trách nhiệm về chiến lược giao dịch, kiểm soát rủi ro, kiến ​​trúc kỹ thuật hay đánh giá tuân thủ hay không).
  • Các loại và quy mô tài sản VA được quản lý.
  • Các công cụ kỹ thuật được sử dụng (ví dụ: hệ thống giao dịch cụ thể, giải pháp ví, phần mềm phân tích Chuỗi).
  • Xử lý các trường hợp cụ thể (như ứng phó với biến động mạnh của thị trường, xử lý sự kiện fork, điều tra các giao dịch đáng ngờ, v.v.).

Yêu cầu về kiểm tra và đào tạo

• Kỳ thi tư cách(LE): Tất cả các RO loại 1 phải vượt qua kỳ thi tư cách do Viện Chứng khoán và Đầu tư Hồng Kông (HKSI) tổ chức, bao gồm: Đây là yêu cầu bắt buộc trừ khi đáp ứng được các điều kiện miễn trừ do SFC quy định.
  • Bài báo LE 1: Cơ sở của Quy định về Chứng khoán và Hợp đồng Tương lai
  • Bài báo LE 7: Thị trường tài chính
• Bằng chứng về Kiến thức về VA: Mặc dù hiện tại SFC không có kỳ thi VA độc lập bắt buộc dành cho các RO sở hữu giấy phép VA1, nhưng điều này không có nghĩa là không có yêu cầu. SFC sẽ đánh giá độ sâu của RO về thị trường VA thông qua các cuộc phỏng vấn và xem xét tài liệu. Do đó, tất cả các RO liên quan, đặc biệt là những người chưa có kinh nghiệm trực tiếp về VA, được khuyến nghị mạnh mẽ nên hoàn thành khóa đào tạo tài sản ảo do SFC phê duyệt như một minh chứng mạnh mẽ về năng lực của họ. Thực tiễn Tốt nhất của Ngành: Chương trình Chứng nhận Chuyên gia Tài sản Ảo (CVAP) do Viện Chứng khoán và Đầu tư Hồng Kông (HKSI) cung cấp là một trong những chương trình đào tạo được công nhận nhất trên thị trường. Khóa học này bao gồm các nội dung cốt lõi như tổng quan về thị trường VA, các tính năng sản phẩm, các quy định liên quan và quản lý rủi ro. Hoàn thành khóa học này và nhận được chứng chỉ sẽ nâng cao đáng kể tính thuyết phục của đơn đăng ký của RO. (Nguồn: Chương trình Cốt lõi CVAP của HKSI)

2. Quản lý phụ trách (MIC) — Mở rộng năng lực chuyên môn

Ngoài RO, người báo cáo trực tiếp cho SFC, hệ thống MIC của SFC yêu cầu tám chức năng cốt lõi của mỗi công ty được cấp phép phải được điều hành bởi các giám sát viên được xác định rõ ràng với kỹ năng và thẩm quyền phù hợp. Đối với việc kinh doanh VA, mặc dù tất cả MIC đều phải hiểu rõ tác động của mình đối với việc kinh doanh, nhưng các vị trí sau đây có yêu cầu năng lực chuyên môn cao hơn đáng kể và là trọng tâm giám sát của SFC.

Cán bộ tuân thủ (CO) và Cán bộ báo cáo rửa tiền (MLRO)

Trong lĩnh vực tài sản ảo, tính phức tạp và rủi ro của hoạt động chống rửa tiền và chống tài trợ khủng bố (AML/CFT) vượt xa lĩnh vực tài chính truyền thống. Do đó, nhân vật của các CO và MLRO trở nên quan trọng hơn bao giờ hết, và nền tảng kiến ​​thức của họ cần được nâng cấp đáng kể.

• Các lĩnh vực kiến ​​thức cốt lõi mới:
  • Giám sát và phân tích giao dịch trên Chuỗi : Phải có hiểu biết sâu sắc về sự tồn tại đồng thời của tính minh bạch và nặc danh blockchain và thành thạo sử dụng các công cụ phân tích chuyên nghiệp Chuỗi(như Chainalysis, Elliptic, Notabene, v.v.) để theo dõi giao dịch, thực hiện chấm điểm rủi ro và xác định các mô hình hoạt động đáng ngờ (như dòng tiền thông qua các máy trộn (Mixers/Tumblers), sàn giao dịch rủi ro cao hoặc thị trường Dark Web).
  • “Quy tắc Du lịch”: Các công ty phải nắm rõ các khuyến nghị của Lực lượng Đặc nhiệm Tài chính (FATF) và đảm bảo đã thiết lập quy trình tuân thủ “Quy tắc Du lịch” đáp ứng các yêu cầu của SFC Hồng Kông. Điều này đòi hỏi khả năng thu thập, xác minh, lưu giữ và truyền đạt thông tin cần thiết về cả hai bên tham gia giao dịch (bên khởi tạo và bên thụ hưởng) cho VASP đối tác khi thực hiện chuyển khoản VAT trên 8.000 đô la Hồng Kông.
  • KYV (Biết VASP của bạn): Trước khi giao dịch với các nhà cung cấp dịch vụ tài sản ảo (VASP) khác, bạn phải có khả năng tiến hành thẩm định toàn diện đối với họ, đánh giá nơi đăng ký, tình trạng quản lý và tính vững chắc của chính sách AML/CFT của họ để quản lý rủi ro đối tác.
• Yêu cầu về kinh nghiệm: SFC kỳ vọng các MLRO có kinh nghiệm thực tế trong việc xử lý báo cáo giao dịch đáng ngờ (STR) liên quan đến tài sản ảo. Điều này bao gồm khả năng trình bày rõ ràng bằng chứng trên Chuỗi và logic phân tích của các hoạt động đáng ngờ cho Đơn vị Tình báo Tài chính Liên hợp (JFIU).

Trưởng phòng CNTT / Giám đốc An ninh thông tin (CISO)

Bản chất kỹ thuật số vốn có của tài sản ảo khiến chúng phải đối mặt với rủi ro kỹ thuật khác biệt so với tài chính truyền thống. Trách nhiệm của các nhà lãnh đạo CNTT và an ninh mạng mở rộng từ việc duy trì các hệ thống giao dịch truyền thống sang các lĩnh vực mới như bảo vệ khóa crypto và phòng thủ chống lại các cuộc tấn công trên Chuỗi.

• Trách nhiệm cốt lõi: Đảm bảo an ninh cho hệ thống giao dịch, dữ liệu khách hàng và quan trọng nhất là tài sản ảo của khách hàng.
• Yêu cầu kỹ thuật đặc biệt của VA:
  • Tạo khóa an toàn: Tạo khóa ngoại tuyến bằng mô-đun bảo mật phần cứng (HSM) được chứng nhận hoặc hoàn cảnh bảo mật tương tự để đảm bảo tính ngẫu nhiên và không thể đoán trước.
  • Lưu trữ an toàn: Bản sao private key và Cụm từ hạt giống phải crypto và lưu trữ an toàn tại Hồng Kông theo cách biệt về mặt vật lý.
  • Kiểm soát truy cập: Cơ chế cấp phép nhiều lớp và chữ ký đa dạng được sử dụng để đảm bảo không một cá nhân nào có thể sử dụng tài sản của khách hàng một cách đơn phương.
  • Kế hoạch dự phòng: Xây dựng kế hoạch dự phòng chi tiết cho private key, bao gồm quy trình chuyển giao tài sản nhanh chóng.
  • Kiến trúc Quản lý Ví: Cần có sự hiểu biết sâu sắc và khả năng thiết kế, triển khai và duy trì một hệ thống ví an toàn. Điều này bao gồm việc tuân thủ nghiêm ngặt yêu cầu của SFC đối với các VATP được cấp phép phải duy trì 98% tài sản trong kho lạnh và quản lý rủi ro ví nóng cho 2% tài sản một cách hợp lý. (Nguồn: Hướng dẫn VATP, Đoạn 10.6(c))
  • Quản lý bảo mật private key: Điều này cực kỳ quan trọng. Người chịu trách nhiệm phải xây dựng và giám sát việc thực hiện chính sách bảo mật nghiêm ngặt bao trùm toàn bộ vòng đời của private key, bao gồm:
  • Phòng thủ an ninh mạng: Cần có kinh nghiệm và giải pháp kỹ thuật để giải quyết các mối đe dọa mạng có chủ đích, chẳng hạn như tấn công từ chối dịch vụ phân tán (DDoS), khai thác lỗ hổng hợp đồng thông minh, Phishing và phần mềm độc hại. Kiểm tra xâm nhập của bên thứ ba và quét lỗ hổng định kì là các biện pháp tuân thủ bắt buộc.

Quản lý rủi ro

Các nhà quản lý rủi ro cần mở rộng tầm nhìn của mình từ rủi ro thị trường, tín dụng và hoạt động truyền thống sang các khía cạnh rủi ro mới do tài sản ảo mang lại.

• Các khía cạnh mới về nhận dạng và quản lý rủi ro:
  • Rủi ro về kỹ thuật và giao thức: Hiểu và đánh giá các rủi ro vốn có của các giao thức blockchain cụ thể, chẳng hạn như tính bảo mật của cơ chế đồng thuận, các vấn đề về tính cuối cùng của giao dịch, các lỗ hổng tiềm ẩn trong mã hợp đồng thông minh và rủi ro đối với tính bảo mật tài sản và tính biến động giá trị có thể phát sinh hard fork hoặc nâng cấp mạng.
  • Rủi ro thị trường và thanh khoản : Ngoài biến động giá cao, điều quan trọng là phải chú ý đến sự khác biệt về độ sâu thanh khoản của token cụ thể trên sàn giao dịch khác nhau, rủi ro trượt giá và khả năng cạn kiệt thanh khoản trong điều kiện thị trường khắc nghiệt.
  • Rủi ro lưu ký và đối tác: Tiến hành thẩm định nghiêm ngặt và giám sát liên tục các VATP được cấp phép và bất kỳ nhà cung cấp dịch vụ công nghệ bên thứ ba nào (chẳng hạn như nhà cung cấp công nghệ ví) đánh giá tính bảo mật, tuân thủ và tình hình tài chính lành mạnh của họ.
  • Rủi ro hoạt động: Phát triển các quy trình hoạt động cụ thể cho các giao dịch VA, chẳng hạn như ngăn ngừa lỗi “ngón tay thừa”, xử lý các giao dịch trên Chuỗi không thành công và đảm bảo tính bảo mật cho việc chuyển tài sản giữa ví nóng và ví lạnh.

3. Đại diện được cấp phép (LR)

Đại diện được cấp phép là những nhân viên tuyến đầu, trực tiếp tiếp xúc với khách hàng và thực hiện các hướng dẫn giao dịch. Mặc dù việc đánh giá kinh nghiệm của LR ít nghiêm ngặt hơn so với RO, nhưng SFC cũng có những yêu cầu rõ ràng về trình độ kiến ​​thức và nhận thức tuân thủ của họ.

• Yêu cầu cơ bản: Giống như RO, LR tham gia việc kinh doanh loại 1 phải vượt qua kỳ thi HKSI LE Paper 1 và Paper 7.
• Yêu cầu về Kiến thức VA: Các công ty chủ yếu chịu trách nhiệm đảm bảo tất cả các LR cung cấp dịch vụ giao dịch VA cho khách hàng đều được đào tạo nội bộ hoặc bên ngoài đầy đủ. Nội dung đào tạo tối thiểu phải bao gồm: Tất cả hồ sơ đào tạo, bao gồm đề cương khóa học, người tham gia và kết quả đánh giá, phải được lưu giữ đúng cách và sẵn sàng để SFC kiểm tra.
  • Các đặc điểm cơ bản và kỹ thuật của VA được giao dịch.
  • Các rủi ro chính liên quan đến đầu tư VA, đặc biệt là rủi ro về biến động, thanh khoản , lưu ký và an ninh mạng.
  • Quy trình giao dịch VA của công ty và tiêu chí đánh giá mức độ phù hợp của khách hàng.
  • Các quy định liên quan về AML/CFT.

III. Trách nhiệm liên tục và duy trì tuân thủ sau khi nâng cấp giấy phép

Việc được SFC chấp thuận thành công để đưa giao dịch tài sản ảo vào phạm vi việc kinh doanh theo giấy phép Loại 1 không phải là kết thúc, mà là điểm khởi đầu cho một tiêu chuẩn tuân thủ cao hơn. Các công ty được cấp phép và nhân sự chủ chốt của họ phải hoàn thành sê-ri các trách nhiệm liên tục để đảm bảo việc kinh doanh liên tục trong một hoàn cảnh pháp lý năng động. Việc không tuân thủ các nghĩa vụ liên tục này có thể dẫn đến các biện pháp kỷ luật nghiêm khắc, bao gồm phạt tiền, đình chỉ hoặc thậm chí thu hồi giấy phép.

Đào tạo chuyên nghiệp liên tục (CPT)

SFC yêu cầu tất cả cá nhân được cấp phép, bao gồm cả RO và LR, phải hoàn thành một số giờ CPT nhất định hàng năm để đảm bảo kiến ​​thức và kỹ năng của họ luôn được cập nhật. Đối với những cá nhân được cấp phép tham gia vào việc kinh doanh của VA, các yêu cầu về CPT cụ thể hơn.

• Tính liên quan của nội dung: Các khóa học CPT phải liên quan đến chức năng của người được cấp phép. Do đó, các RO và LR tham gia vào các dịch vụ thương mại VA nên đưa một phần đáng kể các chủ đề liên quan đến VA vào chương trình CPT hàng năm của họ. Các chủ đề này có thể bao gồm, nhưng không giới hạn ở:
  • Những diễn biến mới nhất về quy định của VA (Hồng Kông và các khu vực pháp lý lớn trên toàn thế giới).
  • Công nghệ blockchain mới nổi và các mối đe dọa bảo mật.
  • Những phát triển mới nhất trong phân tích Chuỗi và các công cụ AML/CFT.
  • Cấu trúc và rủi ro của các sản phẩm VA mới (như token hóa RWA và giao thức DeFi).
• Lưu trữ hồ sơ: Công ty phải lưu giữ hồ sơ CPT chi tiết cho từng cá nhân được cấp phép, bao gồm tên khóa học, tổ chức tài trợ, ngày, thời lượng và tóm tắt nội dung, đồng thời đảm bảo rằng hồ sơ được lưu giữ ít nhất ba năm để SFC xem xét.

Báo cáo định kì và kiểm toán độc lập

Tính minh bạch và xác minh bên ngoài là những yếu tố then chốt trong quy định của SFC. Nghĩa vụ báo cáo và kiểm toán của công ty tăng lên khi tham gia vào việc kinh doanh VA.

• Báo cáo tài chính: Ngoài việc nộp báo cáo tài chính kiểm toán hàng năm và báo cáo nguồn lực tài chính định kì (FRR) theo yêu cầu, SFC có thể yêu cầu các công ty công bố rõ ràng hơn tình hình tài chính liên quan đến việc kinh doanh VA trong báo cáo , chẳng hạn như tài sản VA nắm giữ (như một phần tài sản của công ty), thu nhập và chi phí liên quan, v.v.
• Báo cáo việc kinh doanh : SFC có quyền yêu cầu các tổ chức được cấp phép nộp báo cáo định kì về việc kinh doanh VA của mình, có thể bao gồm khối lượng giao dịch, số lượng khách hàng, loại VA cho các giao dịch lớn và các sự kiện rủi ro lớn.
• Kiểm toán độc lập bắt buộc: Đây là một đặc điểm quan trọng của quy định việc kinh doanh VA. Theo Hướng dẫn VATP, SFC mong muốn các tổ chức tham gia việc kinh doanh VA thuê một công ty chuyên nghiệp độc lập, bên thứ ba kiểm toán hoặc rà soát hệ thống kiểm soát nội bộ và cơ sở hạ tầng CNTT hàng năm. Đối với các bên người nắm giữ VA1, việc này có thể đặc biệt tập trung vào:
  • Hệ thống CNTT và an ninh mạng: cụ thể là hiệu quả của hệ thống quản lý ví, quy trình bảo mật private key và các biện pháp phòng thủ mạng.
  • Quy trình tuân thủ và kiểm soát rủi ro: Triển khai các chính sách AML/CFT, đặc biệt là hiệu quả của việc giám sát giao dịch Chuỗi và đánh giá rủi ro của khách hàng.

Cơ chế báo cáo sự cố lớn

Tính biến động cao và rủi ro công nghệ của thị trường tài sản ảo đòi hỏi các tổ chức được cấp phép phải có mức độ nhạy cảm rủi ro cao và khả năng phản ứng nhanh. Việc thiết lập một cơ chế báo cáo sự cố lớn hiệu quả là bắt buộc.

• Thời hạn báo cáo: Khi xảy ra sự cố có thể ảnh hưởng đáng kể đến sự an toàn tài sản của khách hàng, sự lành mạnh về tài chính của công ty hoặc sự ổn định của thị trường, sự cố đó phải được báo cáo cho SFC trong thời gian rất ngắn (ví dụ, một số sự cố bảo mật yêu cầu phải báo cáo trong vòng 48 giờ ).
• Phạm vi sự cố: Các sự cố lớn cần báo cáo bao gồm nhưng không giới hạn ở:
  • Bất kỳ sự cố an ninh mạng nào liên quan đến tài sản VA của khách hàng, chẳng hạn như tấn công của hacker, rò rỉ private key hoặc truy cập trái phép.
  • Gián đoạn dịch vụ lớn hoặc các vấn đề bảo mật với VATP được cấp phép hoặc nhà cung cấp dịch vụ kỹ thuật quan trọng.
  • Phát hiện gian lận nội bộ đáng kể hoặc vi phạm các thủ tục kiểm soát nội bộ.
  • Lỗ vốn tài chính đáng kể đe dọa đến hoạt động liên tục của công ty.
  • Bất kỳ thủ tục pháp lý hoặc điều tra theo quy định nào có thể gây ra rủi ro ro đáng kể về rủi ro hoặc danh tiếng.

Cập nhật động cho các chính sách và thủ tục

Ngành công nghiệp tài sản ảo và hoàn cảnh pháp lý đang phát triển với tốc độ chóng mặt. Các hướng dẫn tuân thủ cứng nhắc nhanh chóng trở nên lỗi thời. Do đó, việc rà soát và cập nhật chính sách liên tục là điều cần thiết.

• Đánh giá định kì: Các bộ phận tuân thủ, kiểm soát rủi ro và CNTT của công ty nên thiết lập cơ chế đánh giá định kì(ví dụ: sáu tháng một lần hoặc một năm một lần) để đánh giá các chính sách và quy trình hiện hành có còn áp dụng và hiệu quả hay không.
• Cập nhật được kích hoạt: Khi xảy ra các tình huống sau, cần phải bắt đầu cập nhật ngay lập tức các chính sách có liên quan:
  • SFC công bố các thông tư, chỉ dẫn hoặc câu hỏi thường gặp mới liên quan đến VA.
  • FATF hoặc các cơ quan thiết lập tiêu chuẩn quốc tế khác để cập nhật các tiêu chuẩn của họ.
  • Các sự kiện rủi ro ro lớn hoặc phương pháp tấn công mới xuất hiện trên thị trường.
  • Công ty có kế hoạch giới thiệu các sản phẩm, dịch vụ hoặc công nghệ VA mới.
• Truyền thông và đào tạo nhân viên: Mọi cập nhật về chính sách phải được truyền đạt kịp thời tới tất cả nhân viên có liên quan và bổ sung bằng các khóa đào tạo cần thiết để đảm bảo các chính sách mới được hiểu và thực hiện đúng.

IV. Danh sách kiểm tra thực tế và Hướng dẫn hành động: Lộ trình nâng cấp Giấy phép VA1 của bạn

Kiến thức lý thuyết cuối cùng cần được chuyển hóa thành hành động thực tế. Trong phần này, Aiying mong muốn cung cấp một danh sách tự kiểm tra và hướng dẫn hành động có cấu trúc chặt chẽ, dễ thực hiện, giúp bạn đánh giá tình hình hiện tại một cách có hệ thống, xác định các thiếu sót và lập kế hoạch nâng cấp từ giấy phép Loại 1 hiện tại lên giấy phép VA1. Tất cả nội dung được chắt lọc từ các tài liệu chính thức của SFC và kinh nghiệm thực tế của Aiying.

Tổng quan về những thay đổi nhân sự chủ chốt (Giấy phép loại 1 so với giấy phép VA1)

Bảng sau đây minh họa trực quan những thay đổi và cải tiến chính về yêu cầu nhân sự cốt lõi sau khi nâng cấp từ giấy phép Loại 1 truyền thống lên giấy phép VA1. Đây có thể là điểm khởi đầu cho việc đánh giá năng lực nội bộ của bạn.

V. Kết luận: Tuân thủ là nền tảng, nhân tài là chìa khóa

Việc nâng cấp thành công giấy phép Loại 1 lên giấy phép VA1 là một bước đi quan trọng để các tổ chức tài chính truyền thống duy trì khả năng cạnh tranh trên thị trường trong kỷ nguyên tài sản kỹ thuật số. Mặc dù khuôn khổ quản lý của SFC rất nghiêm ngặt, nhưng logic cốt lõi của nó lại rõ ràng và nhất quán: đảm bảo bảo vệ nhà đầu tư đầy đủ thông qua các quy định nghiêm ngặt và duy trì sự ổn định cũng như uy tín của thị trường tài chính Hồng Kông. Trong khuôn khổ này, tất cả các hệ thống, quy trình và công nghệ phức tạp cuối cùng đều phụ thuộc vào con người trong việc thiết kế, triển khai và giám sát.

Do đó, việc xây dựng một đội ngũ không chỉ am hiểu sâu sắc bản chất của tuân thủ tài chính truyền thống mà còn sở hữu chuyên môn và nhận thức rủi ro trong lĩnh vực tài sản ảo là con đường duy nhất và đáng tin cậy nhất dẫn đến thành công. Đây không chỉ là một hành động thụ động để đáp ứng các yêu cầu cấp phép của SFC; mà còn là một yêu cầu cố hữu đối với các công ty để duy trì sự ổn định lâu dài trong thị trường VA rủi ro cao, lợi nhuận cao trong tương lai. Aiying khuyến nghị các ứng viên quan tâm nên bắt đầu đánh giá nhân sự nội bộ càng sớm càng tốt và xem việc tuyển dụng và phát triển nhân tài như một khoản đầu tư chiến lược.

Với vòng tham vấn pháp lý mới về các nhà giao dịch và người lưu ký VA kết thúc vào ngày 29 tháng 8 năm 2025, bối cảnh quản lý tài sản ảo của Hồng Kông sẽ được hoàn thiện hơn nữa.

Tuyên bố miễn trừ trách nhiệm: Bài viết này dựa trên thông tin công khai và kinh nghiệm thực tế của Aiying tính đến ngày 29 tháng 8 năm 2025. Bài viết chỉ mang tham khảo chung và mục đích học thuật, không cấu thành tư vấn pháp lý, tài chính hoặc đầu tư. Hoàn cảnh pháp lý cho tài sản ảo vẫn đang phát triển nhanh chóng. Các yêu cầu ứng dụng cụ thể nên dựa trên chỉ dẫn và quy định chính thức mới nhất do Ủy ban Chứng khoán và Tương lai Hồng Kông (SFC) ban hành. Vui lòng tham khảo ý kiến ​​của Aiying trước khi thực hiện bất kỳ hành động nào.

Tuyên bố miễn trừ trách nhiệm: Là một nền tảng thông tin blockchain, các bài viết được đăng trên trang web này chỉ phản ánh quan điểm tác giả và khách truy cập, không đại diện cho lập trường của Web3Caff. Thông tin trong các bài viết này chỉ mang tham khảo và không cấu thành bất kỳ lời khuyên hay ưu đãi đầu tư nào. Vui lòng tuân thủ luật pháp và quy định hiện hành của quốc gia hoặc khu vực của bạn.