Làm thế nào để đảm bảo một công ty thanh toán stablecoin hoạt động hợp pháp và tuân thủ quy định tại Singapore: Danh sách kiểm tra dành cho các nhà sáng lập.

Bài viết bởi: Luật sư Yang Qi

Ngày càng nhiều doanh nghiệp sử dụng stablecoin cho quyết toán bù trừ, thanh toán xuyên biên giới, quản lý quỹ và thanh toán B2B. Tuy nhiên, tại Singapore, "sử dụng stablecoin để thanh toán" thường không chỉ đơn thuần là vấn đề sản phẩm, mà còn là một công việc phức tạp liên quan đến các quy định, chống rửa tiền AML/CFT và quản lý rủi ro công nghệ.

Bài viết này sử dụng cách tiếp cận "có thể thực thi" để giải thích rõ ràng lộ trình cốt lõi: trước tiên, hãy giải thích rõ ràng mô hình việc kinh doanh của bạn, sau đó xây dựng hệ thống cấp phép và tuân thủ, điều này có thể giảm đáng kể rủi ro vi phạm quy định và chi phí khắc phục sau đó.

Lưu ý: Bài viết này chỉ mang tính chất thông tin chung và không cấu thành tư vấn pháp lý. Kết quả tuân thủ cuối cùng phụ thuộc vào quy trình giao dịch, loại khách hàng và cách thức chuyển giao và kiểm soát tiền/ token của bạn.

Đầu tiên, hãy thực hiện bước quan trọng nhất: "lập việc kinh doanh của bạn.

Trước khi thảo luận về các bước triển khai cụ thể, vui lòng yêu cầu người lãnh đạo việc kinh doanh lập sơ đồ dòng tiền/ token một trang, trả lời ít nhất các câu hỏi sau:

• Khách hàng của bạn là ai: cá nhân/thương nhân/ việc kinh doanh trong một lĩnh vực hoặc ngành nghề cụ thể?
• Bạn có nắm giữ hoặc kiểm soát stablecoin của khách hàng (quyền lưu ký, quyền kiểm soát private key, quyền xác thực đa chữ ký) không?
• Bạn sử dụng phương pháp trao đổi Frugal sang Stablecoin hay Stablecoin sang Stablecoin?
• Bạn có tham gia vào quá trình chuyển tiền (từ A sang B, người bán nhận thanh toán, thanh toán doanh nghiệp) không?
• Khách hàng của bạn ở Singapore hay nước ngoài? Bạn có "cung cấp dịch vụ cho khách hàng nước ngoài từ Singapore" không?
• Bạn có phải là nhà phát hành stablecoin hay chỉ sử dụng stablecoin của bên thứ ba (như USDC/USDT)?

Trang này của Flow xác định những hoạt động quản lý nào bạn sẽ kích hoạt và hệ thống tuân thủ nào bạn cần.

II. Đánh giá cấp phép: Hầu hết các khoản thanh toán stablecoin sẽ thuộc khuôn khổ PSA (và cũng có thể liên quan đến FSMA).

Tại Singapore, việc kinh doanh thanh toán stablecoin thường thuộc phạm vi điều chỉnh của Đạo luật Dịch vụ Thanh toán (PSA), đặc biệt là các hoạt động liên quan đến dịch vụ token thanh toán kỹ thuật số (DPT) (như chuyển khoản, trao đổi và lưu ký). Ngoài ra, việc cung cấp dịch vụ token kỹ thuật số từ Singapore cho khách hàng nước ngoài có thể dẫn đến các yêu cầu liên quan theo Cơ quan Quản lý Thị trường và Dịch vụ Tài chính (FSMA).

Các mô hình việc kinh doanh phổ biến và "các yếu tố có thể kích hoạt quy định"

• Thu tiền thanh toán từ người bán + quyết toán /bù trừ stablecoin : thường kích hoạt các dịch vụ liên quan đến DPT; nếu liên quan đến việc chấp nhận thanh toán, chuyển khoản, chuyển tiền xuyên biên giới, v.v., các loại dịch vụ thanh toán PSA khác cũng có thể được thêm vào.
• Ví/Tài khoản ký quỹ (Bạn có thể truy cập vào tiền của khách hàng): Đây thường được coi là một trong những điểm có rủi ro cao (đặc biệt nếu bạn kiểm soát private key hoặc có quyền chuyển tiền).
• Giao dịch OTC / Trao đổi / Khớp lệnh: Điều này thường kích hoạt các dịch vụ liên quan đến DPT.
• Phát hành stablecoin của riêng bạn: Làm thế nào để khơi mào các cuộc thảo luận về việc đưa vào "khuôn khổ pháp lý dành cho nhà phát hành" với các yêu cầu tuân thủ cao hơn đáng kể.

Lời khuyên thiết thực: Đừng bắt đầu bằng câu hỏi "Tôi muốn xin loại giấy phép nào?", mà hãy bắt đầu bằng "Tôi đã thực hiện những hoạt động nào thuộc diện quản lý?". Các đánh giá của cơ quan quản lý luôn xem xét bản chất của giao dịch.

Thứ ba, nếu bạn muốn phát hành stablecoin: trước tiên hãy quyết định xem bạn có muốn đi theo con đường "stablecoin được MAS quản lý" hay không.

Nếu bạn không chỉ sử dụng stablecoin hiện có mà còn có kế hoạch stablecoin của riêng mình, thì quy trình tuân thủ sẽ hoàn toàn khác. Thông thường, bạn sẽ cần đáp ứng các yêu cầu nghiêm ngặt hơn nhiều (chẳng hạn như tài sản dự trữ, cơ chế quy đổi, công khai thông tin, kiểm toán và kiểm soát rủi ro hoạt động).

Kết luận rất đơn giản:

• Không phát hành: Trọng tâm là hệ thống tuân thủ của "các nhà cung cấp dịch vụ thanh toán/DPT" (đặc biệt là rủi ro chống rửa tiền và công nghệ).
• Để phát hành: Bạn cần thực hiện các bước "dự trữ, mua lại, kiểm toán , công bố thông tin và quản trị" ở cấp độ tổ chức theo khuôn khổ của tổ chức phát hành.

IV. Trụ cột tuân thủ 1: Chống rửa tiền (AML/CFT) (phải được thực hiện như một tổ chức tài chính)

Trong việc kinh doanh liên quan đến stablecoin/ token kỹ thuật số, **chống rửa tiền và chống tài trợ khủng bố (AML/CFT)** là lĩnh vực đầu tiên mà các cơ quan quản lý quan tâm.

Bạn phải có ít nhất các hệ thống "có thể triển khai" sau:

1) Đánh giá rủi ro cấp công ty (EWRA)

• Rủi ro sản phẩm, rủi ro khách hàng, rủi ro khu vực, rủi ro kênh phân phối
• Những khách hàng nào cần thẩm định chuyên sâu (EDD)? Những khách hàng nào phải bị từ chối?

2) Quy trình thẩm định khách hàng (KYC/CDD/EDD)

• Nhận dạng và xác minh danh tính, xác định chủ sở hữu hưởng lợi (chẳng hạn như khách hàng doanh nghiệp).
• Các biện pháp trừng phạt và sàng lọc PEP (Đối với các nhân vật chính trị công khai)
• Các quy tắc kích hoạt rủi ro cao (ví dụ: nặc danh, cấu trúc phức tạp, vùng nhạy cảm, v.v.)

3) Giám sát giao dịch và xử lý giao dịch đáng ngờ (quy trình STR)

• Các quy tắc/kịch bản giám sát (ví dụ: chia tách thường xuyên, vào và ra nhanh chóng, liên kết địa chỉ bất thường, v.v.)
• Cơ chế quản lý và nâng cấp vụ việc: Ai điều tra, ai phê duyệt và làm thế nào để bảo toàn Chuỗi bằng chứng?
• Đào tạo nhân viên và đánh giá hàng năm/kiểm toán độc lập

4) Phân tích dữ liệu trên Chuỗi/đánh giá rủi ro ví (khuyến nghị thực hiện càng sớm càng tốt)

• Việc này có "bắt buộc về mặt pháp lý" hay không phụ thuộc vào mô hình việc kinh doanh, nhưng xét về mặt thực tiễn, việc theo dõi quỹ Chuỗi và đánh giá rủi ro địa chỉ đang ngày càng trở nên "chuẩn mực trong ngành", đặc biệt khi bạn phục vụ các ngành rủi ro cao, kinh doanh xuyên biên giới hoặc cung cấp các chức năng lưu ký/chuyển tiền.

V. Trụ cột tuân thủ 2: Tuân thủ quy định tiếp thị – Đừng biến mình thành "quảng cáo crypto cho số đông".

Tại Singapore, việc quảng bá và tiếp thị các dịch vụ liên quan đến token kỹ thuật số phải tuân thủ nghiêm ngặt các quy định. Nhiều đội ngũ thất bại không phải vì sản phẩm mà vì "phương pháp quảng bá" của họ: tiếp thị đại trà quy mô lớn, phóng lợi nhuận, hạ thấp rủi ro và thao túng sự tham gia của công chúng đều là những vấn đề rất nhạy cảm.

Một cách tiếp cận ổn định hơn thường là:

• Ưu tiên khách hàng B2B (thương nhân, doanh nghiệp, tổ chức)
• Các kênh tiếp thị đang trở nên "chuyên nghiệp" hơn: hội nghị ngành, các cuộc họp kín, giới thiệu từ đối tác và tiếp thị nội dung nhắm mục tiêu.
• Công khai rủi ro rõ ràng: Không hạ thấp mức độ nghiêm trọng, không "đảm bảo lợi nhuận" và không "bảo vệ vốn gốc".

Tóm lại: Bạn có thể tăng trưởng, nhưng không thể sử dụng "những câu chuyện mang tính suy đoán" để thu hút người dùng mới.

VI. Trụ cột tuân thủ 3: Rủi ro công nghệ, Bảo mật được quản lý và Quản lý thuê ngoài (TRM + Thuê ngoài)

Các công ty thanh toán stablecoin là sự kết hợp giữa "tài chính + phần mềm". Các cơ quan quản lý sẽ đánh giá xem bạn có khả năng quản lý rủi ro công nghệ ở cấp độ tổ chức hay không, đặc biệt là:

1) Quản lý ví và Key

• Phân tách quyền hạn, cơ chế phê duyệt, ủy quyền đa chữ ký/nhiều cấp
• Ghi nhật ký và kiểm toán từ đầu đến Chuỗi
• "Quy trình xem xét hai người/ phê duyệt bên long" đối với các hoạt động quan trọng

2) An ninh mạng và ứng phó sự cố

• Quản lý lỗ hổng bảo mật, kiểm thử xâm nhập, quản lý bản vá và cấu hình.
• Kế hoạch và diễn tập ứng phó sự cố (diễn tập trên bàn)
• Sao lưu, phục hồi và duy trì việc kinh doanh(BCP)

3) Quản lý nhà cung cấp/thuê ngoài (Cực kỳ quan trọng): Bạn có thể sẽ thuê ngoài các dịch vụ điện toán đám mây, nhà cung cấp KYC, công cụ phân tích Chuỗi , cơ sở hạ tầng ví điện tử, v.v. Các cơ quan quản lý sẽ xem xét:

• Thẩm định nhà cung cấp và đánh giá rủi ro
• Các điều khoản hợp đồng (quyền kiểm toán, bảo vệ dữ liệu, hạn chế thuê ngoài, cơ chế chấm dứt hợp đồng)
• Các phương án thay thế và kế hoạch dự phòng cho các nhà cung cấp chính

VII. Trụ cột tuân thủ số 4: Bảo vệ dữ liệu cá nhân (PDPA)

Bất cứ khi nào bạn thực hiện các thủ tục KYC (Xác minh danh tính khách hàng) và thu thập thông tin khách hàng, giao dịch hoặc thiết bị, bạn sẽ phải tuân thủ các nghĩa vụ theo PDPA (Hiệp định Đối tác Công tư) của Singapore. Nên bắt đầu với hai hành động chi phí thấp, lợi nhuận cao:

• Bổ nhiệm một Cán bộ Bảo vệ Dữ liệu(DPO) và thiết lập các kênh liên lạc bên ngoài.
• Hãy lập bản đồ dữ liệu: Dữ liệu nào được thu thập, mục đích thu thập là gì, được lưu trữ ở đâu, được chia sẻ với ai và được lưu giữ trong bao lâu?

VIII. Kế hoạch hành động của người sáng lập: Ngày 0 → Ngày 90

Ngày 0–15: Trước tiên, hãy làm rõ ranh giới.

• Hãy vẽ sơ đồ dòng tiền/ token rõ ràng.
• Vui lòng cho biết bạn đang sử dụng dịch vụ ký quỹ, đổi tiền tệ hay chuyển khoản ngân hàng, và khách hàng của bạn đang ở Singapore hay nước ngoài.
• Việc xác định sơ bộ "các hoạt động được quy định nào sẽ bị kích hoạt" đã hoàn tất.

Ngày 15–45: Xây dựng khung pháp lý tuân thủ

• AML/CFT: Đánh giá rủi ro , thẩm định khách hàng/tài trợ khủng bố, giám sát và các quy trình STR
• Rủi ro công nghệ: ví/khóa, tiêu chuẩn bảo mật, ứng phó sự cố
• Quản lý thuê ngoài: Thẩm định nhà cung cấp + Điều khoản hợp đồng + Kế hoạch dự phòng khi chấm dứt hợp đồng
• PDPA: DPO, Chính sách bảo mật, Lưu trữ dữ liệu và Kiểm soát truy cập

Ngày 45–90: Biến việc tuân thủ thành "khả thi"

• Ra mắt các công cụ sàng lọc và giám sát, đồng thời thiết lập hệ thống quản lý ca bệnh và lưu trữ hồ sơ.
• Hoàn thiện chương trình đào tạo nhân viên, cơ chế báo cáo tuân thủ và cơ chế kiểm tra nội bộ.
• Chuẩn bị bộ hồ sơ cấp phép/tuân thủ (cấu trúc quản trị, hệ thống, kiến ​​trúc, quy trình, Chuỗi bằng chứng).

Tóm lại: Tuân thủ không phải là một "chi phí", mà là một ngưỡng quyết định liệu bạn có thể phát triển và duy trì doanh nghiệp của mình về lâu dài hay không.

Thanh toán stablecoin có thể nhanh chóng, nhưng việc tuân thủ quy định thậm chí còn phải nhanh hơn. Bằng cách nắm vững ba lĩnh vực chính—giới hạn pháp lý, chống rửa tiền (AML) và rủi ro công nghệ— việc kinh doanh của bạn sẽ dễ dàng hơn trong việc thiết lập quan hệ đối tác với các tổ chức, vượt qua quá trình thẩm định và chịu được sự giám sát trong những thời điểm quan trọng.