(2025 版)香港金融持牌人必读:1 号牌升级 VA 牌照终极指南

avatar
Web3Caff

随着香港特别行政区政府在 2022 年 10 月及 2025 年 6 月相继发布政策宣言,明确其建设全球领先虚拟资产(Virtual Asset, VA)中心的战略定位,香港的金融监管格局正经历一场深刻而迅速的演变。

作者:Aiying 艾盈团队

随着香港特别行政区政府在 2022 年 10 月及 2025 年 6 月相继发布政策宣言,明确其建设全球领先虚拟资产(Virtual Asset, VA)中心的战略定位,香港的金融监管格局正经历一场深刻而迅速的演变。对于数以百计持有香港证券及期货事务监察委员会(SFC)第 1 类受规管活动(证券交易)牌照的传统金融机构而言,这既是前所未有的业务拓展机遇,也是一场极其严峻的合规升级挑战。

众多持牌法团(Licensed Corporation)正积极探索如何将其业务版图延伸至虚拟资产领域,特别是提供虚拟资产交易服务。然而,这一跨越并非易事。其核心并非重新申请一张全新的牌照,而是对现有的 1 号牌进行一次精密的业务范围扩展(Uplift / Top-up)。在这场升级大考中,SFC 审查的重中之重,无疑是 “人员配置”——即机构是否拥有具备相应资质、经验和能力的人才来驾驭这一高风险、高技术门槛的新兴业务。

Aiying(艾盈)本报告旨在为已持有 SFC 1 号牌的持牌法团之管理层、合规负责人(Compliance Officer, CO)及负责人员(Responsible Officer, RO)提供一份权威、详尽的行动指南。我们将系统性地梳理和解析从传统 1 号牌升级至提供虚拟资产交易服务(下文为方便论述,简称 “VA1 牌照”)所需满足的全部人员要求,剖析监管机构背后的逻辑与考量,并提供可落地的实操清单。本文所有信息均基于 SFC 截至 2025 年 8 月的官方指引、最新通函、咨询文件及权威市场实践案例,旨在帮助您的机构精准导航,稳健地完成这场至关重要的合规跨越。

一、 监管框架速览:理解 “VA1 牌照” 的本质

在深入探讨具体的人员配置要求之前,我们必须首先厘清一个基础概念:“VA1 牌照” 并非 SFC 官方目录中一个独立的牌照类型。它是一个市场惯用语,特指在现有的第 1 类(证券交易)牌照之上,由 SFC 施加一系列特定的虚拟资产条款和条件(Terms and Conditions),从而允许持牌机构从事虚拟资产相关交易活动。这一监管方式的底层逻辑,源于 SFC 一以贯之的监管哲学——“相同业务、相同风险、相同规则” (Same Business, Same Risks, Same Rules)

这一原则意味着,无论交易的底层资产是传统的股票、债券,还是新兴的虚拟资产,只要其业务模式(如中介交易、提供交易建议)和所带来的风险(如市场风险、操作风险、客户资产安全风险)具有可比性,就必须接受同等严格的监管。因此,SFC 要求计划提供 VA 交易服务的 1 号牌持牌机构,必须建立一个与传统证券业务同等,甚至在某些方面(如网络安全、资产托管)更为严格的内部管控体系。这一要求直接投射到对人员专业知识和经验的更高标准上。

监管之声:SFC 在其于 2025 年 2 月 19 日发布的中明确指出:“SFC 的监管采纳了 ‘相同业务、相同风险、相同规则’ 的原则——所有现行的传统金融(TradFi)投资者保护护栏均适用于虚拟资产相关活动,这也是目前 IOSCO 和 FSB 等国际标准制定者所倡导的方法。”

要准确理解人员配置要求,区分 “VA1 牌照” 与独立的 “VATP 牌照” 至关重要。两者在监管框架、业务模式和申请主体上存在本质区别:

综上所述,VA1 牌照的升级路径,本质上是对现有券商业务的一次专业化 “插件” 安装。SFC 关注的核心是:这家机构的 “操作系统”(即其人员和内控系统)是否已经准备好运行这个复杂且高风险的 “新插件”。因此,下文将要展开的人员配置要求,正是对这个 “操作系统” 升级的具体规格说明。

二、 人员配置深度解析:VA1 牌照升级的核心要求

本章节是报告的核心,我们将依据 Aiying(艾盈)为客户申牌的经验以及 SFC 的官方指引、通函及市场实践,全面、系统地拆解升级 VA1 牌照所涉及的各项人员配置要求。SFC 的审查逻辑是穿透式的,不仅审查纸面上的组织架构,更会深入评估每个关键岗位人员的实际胜任能力。任何一个环节的短板都可能导致申请被延误甚至拒绝。

1. 负责人员 (Responsible Officers, RO) — 监管责任的基石

负责人员(RO)是持牌法团与 SFC 之间的主要沟通桥梁,对公司的受规管活动负有直接的监管责任。在 VA1 牌照的升级申请中,RO 的资质、经验和稳定性是 SFC 审查的绝对核心,是决定申请成败的关键因素。

数量与架构要求

  • 最低数量:根据 SFC 的要求,每家持牌法团必须就其进行的每一类受规管活动,时刻委任 “不少于两名负责人员”。对于 VA1 牌照的升级,这一基本原则不变。这意味着,公司必须确保在任何时候都有至少两名 RO 来监督其包含虚拟资产的证券交易业务。
  • 常驻要求:SFC 规定,至少一名 RO 必须常驻香港,以便能随时有效地监督业务运作并与监管机构沟通。此外,SFC 通常期望这名常驻 RO 同时也是公司的 “执行董事(Executive Director)”,以确保其在公司内部拥有足够的权力和影响力来推行合规政策。
  • 双重牌照考量:虽然 VA1 牌照是 1 号牌的延伸,但其业务活动同时触及 SFO(证券定义)和 AMLO(反洗钱)两大法规。如果公司希望全面覆盖证券型代币(Security Tokens)和非证券型代币的交易中介服务,SFC 强烈建议其 RO 申请成为双重牌照的 RO。如果 RO 仅持有 SFO 下的牌照,其活动范围可能受限。因此,最稳妥的架构是拥有至少两名同时具备 SFO 和 AMLO 资格的 RO。

经验与胜任能力要求 (Competence Requirements)

这是 SFC 审查中最为细致和主观的部分。SFC 不仅要求 RO 具备传统的金融从业经验,更对其在虚拟资产领域的认知深度和实践经验提出了明确要求。

  • 传统金融经验:作为 1 号牌的 RO,申请人仍需满足 SFC 的基本门槛,即在过去 6 年内拥有至少 3 年直接相关的证券行业经验。这是不可或缺的基础。
  • VA 专项经验(核心审查点):这是升级申请的成败关键。SFC 意识到市场初期人才稀缺,因此采取了所谓的**“务实处理方式” (pragmatic approach)**。SFC 的务实态度:在 SFC 关于胜任能力的常见问题解答中,SFC 明确表示,考虑到 VA 牌照制度尚属初期,市场可能缺乏兼具 VA 和证券经验的人才,因此会采取务实方法评估 RO 的经验。具体而言,SFC 对 RO 团队的 VA 经验构成有以下期望和处理方式:
    1. 理想配置——经验互补:SFC 最希望看到的是一个经验互补的 RO 团队。例如,一名 RO 是资深的证券交易合规专家,熟悉 SFC 的各项规则;另一名 RO 则拥有深厚的虚拟资产背景,例如曾有在加密货币交易所、VA 基金或区块链技术公司担任核心岗位的经验,对 VA 交易、托管、钱包技术、链上分析和智能合约风险有深刻理解。
    2. 仅有 VA 经验的申请人:如果一名 RO 申请人主要经验来自 VA 行业(如运营非证券类代币平台),缺乏传统证券经验,SFC 可能认可其 VA 经验等同于 1 号牌所需的相关行业经验。但作为平衡,SFC 可能会在该 RO 的牌照上施加一项条件(Licensing Condition),即 “其牌照仅限于为其主事人(即其所属的持牌法团)的持牌 VATP 业务提供服务”。这意味着他不能从事与 VA 无关的传统证券业务。
    3. 仅有 1 号牌经验的申请人:反之,如果一名 RO 仅有传统证券交易经验,而无直接的 VA 经验,SFC 也可能认可其证券经验。但同样地,其牌照可能会被施加 “非独任”(non-sole)条件。这意味着该 RO 在履行与 VA 相关的职责时,必须在另一名完全胜任(即具备足够 VA 经验)的 RO 的监督下工作。
  • 如何证明 VA 经验:口头声明是远远不够的。申请人必须在履历(CV)和申请文件中提供详实、可验证的证据,例如:
    • 曾参与的具体 VA 项目名称、时间、规模。
    • 在项目中扮演的角色和具体职责(例如,是负责交易策略、风险控制、技术架构还是合规审查)。
    • 管理过的 VA 资产类型和规模。
    • 使用过的技术工具(如特定的交易系统、钱包解决方案、链上分析软件)。
    • 处理过的具体案例(如应对市场剧烈波动、处理分叉事件、调查可疑交易等)。

考试与培训要求

  • 资格考试 (Licensing Examination, LE):所有 1 号牌的 RO 都必须通过由香港证券及投资学会(HKSI)举办的资格考试,具体包括:这是硬性要求,除非满足 SFC 规定的豁免条件。
    • LE Paper 1: Fundamentals of Securities and Futures Regulation (证券及期货规例基础)
    • LE Paper 7: Financial Markets (金融市场)
  • VA 知识证明:尽管 SFC 目前尚未为 VA1 牌照的 RO 设立强制性的独立 VA 考试,但这并不意味着没有要求。SFC 会在面试和文件审查中评估 RO 对 VA 市场的理解深度。因此,强烈建议所有相关 RO,特别是缺乏直接 VA 经验的 RO,主动完成 SFC 认可的虚拟资产相关培训,并以此作为胜任能力的有力证明。行业最佳实践:香港证券及投资学会(HKSI)推出的**“虚拟资产专业人员认证课程”(Certification Programme for Virtual Asset Professionals, CVAP)**是目前市场上最受认可的培训之一。该课程涵盖了 VA 市场概览、产品特性、相关法规及风险管理等核心内容,完成该课程并获得证书,将极大增强 RO 申请的说服力。(来源: HKSI CVAP Core Curriculum)

2. 关键职能主管 (Managers-In-Charge, MICs) — 专业能力的延伸

除了直接对 SFC 负责的 RO,SFC 的 MIC 制度要求持牌法团的 8 大核心职能(Core Functions)必须由明确的、具备适当技能和权限的主管人员负责。对于 VA 业务,虽然所有 MIC 都需要了解其对业务的影响,但以下几个岗位的专业能力要求被显著拔高,成为 SFC 审查的焦点。

合规主任 (Compliance Officer, CO) 与洗钱报告主任 (Money Laundering Reporting Officer, MLRO)

在虚拟资产领域,反洗钱及反恐怖分子资金筹集(AML/CFT)的复杂性和风险性远超传统金融。因此,CO 和 MLRO 的角色变得空前重要,其知识体系必须进行重大升级。

  • 新增核心知识领域:
    • 链上交易监控与分析:必须深刻理解区块链的透明性与匿名性并存的特点,并能熟练运用专业的链上分析工具(如 Chainalysis, Elliptic, Notabene 等)进行交易溯源、风险评分和识别可疑活动模式(如资金通过混币器(Mixer/Tumbler)、高风险交易所或暗网市场的流动)。
    • “旅游规则”(Travel Rule):必须熟悉金融行动特别工作组(FATF)的建议,并确保公司建立了符合香港 SFC 要求的 “旅游规则” 合规流程。这要求在进行价值超过 8,000 港元的 VA 转移时,能够收集、核实、保存并向对手方 VASP 传递交易双方(发起人和受益人)的必要信息。
    • KYV (Know-Your-VASP):在与其它虚拟资产服务提供商(VASP)进行交易前,必须具备对其进行全面尽职调查的能力,评估其注册地、监管状态、AML/CFT 政策的健全性,以管理对手方风险。
  • 经验要求:SFC 期望 MLRO 具备处理涉及虚拟资产的可疑交易报告(Suspicious Transaction Reports, STRs)的实务经验。这包括能够清晰地向联合财富情报组(JFIU)阐述可疑活动的链上证据和分析逻辑。

资讯科技与网络安全负责人 (Head of IT / Chief Information Security Officer, CISO)

虚拟资产的原生数字化特征,使其面临着与传统金融截然不同的技术风险。IT 和网络安全负责人的职责从维护传统交易系统,扩展到了保护加密密钥和抵御链上攻击等全新领域。

  • 核心职责:保障交易系统、客户数据以及最核心的客户虚拟资产的安全。
  • VA 专项技术要求:
    • 安全生成:使用经认证的硬件安全模块(Hardware Security Module, HSM)或类似的安全环境离线生成密钥,确保其随机性和不可预测性。
    • 安全存储:私钥和助记词的备份必须加密,并以物理隔离的方式安全地存放在香港境内。
    • 访问控制:采用多重签名(Multi-signature)和权限分层机制,确保没有任何单一个人可以单方面动用客户资产。
    • 应急预案:制定详细的私钥泄露或丢失应急预案,包括快速转移资产的流程。
    • 钱包管理架构:必须深刻理解并能设计、实施和维护安全的钱包系统。这包括严格遵守 SFC 对持牌 VATP 提出的**98% 资产冷储存**的要求,并合理管理剩余 2% 资产的热钱包风险。(来源: VATP Guidelines, Para 10.6(c))
    • 私钥安全管理:这是重中之重。负责人必须制定并监督执行一套覆盖私钥 “全生命周期” 的严格安全策略,包括:
    • 网络安全防御:必须具备应对针对性网络威胁的经验和技术方案,例如分布式拒绝服务(DDoS)攻击、针对智能合约的漏洞利用、网络钓鱼、恶意软件等。定期的第三方渗透测试和漏洞扫描是必须执行的合规动作。

风险管理负责人 (Risk Manager)

风险经理的视野需要从传统的市场、信用和操作风险,扩展到覆盖虚拟资产带来的全新风险维度。

  • 新增风险识别与管理维度:
    • 技术与协议风险:理解并评估特定区块链协议的内在风险,如共识机制的安全性、交易终局性(Finality)问题、智能合约代码中可能存在的漏洞、以及硬分叉(Hard Forks)或网络升级可能带来的资产安全和价值波动风险。
    • 市场与流动性风险:除了价格高波动性,还需关注特定代币在不同交易所的流动性深度差异、滑点风险,以及在极端市场条件下可能出现的流动性枯竭问题。
    • 托管与对手方风险:对合作的持牌 VATP 和任何第三方技术服务商(如钱包技术提供商)进行严格的尽职调查和持续监控,评估其安全性、合规性和财务稳健性。
    • 操作风险:制定针对 VA 交易的特定操作流程,例如防止 “胖手指” 错误、处理失败的链上交易、以及确保资产在冷热钱包间转移的安全性。

3. 持牌代表 (Licensed Representatives, LR)

持牌代表是直接面向客户、执行交易指令的一线人员。虽然 SFC 对 LR 的经验审查不如对 RO 严格,但对其知识水平和合规意识同样有明确要求。

  • 基本要求:与 RO 一样,从事 1 号牌业务的 LR 必须通过 HKSI 的 LE Paper 1 和 Paper 7 考试。
  • VA 知识要求:公司负有主体责任,必须确保所有为客户提供 VA 交易服务的 LR 都接受了充分的内部或外部培训。培训内容应至少包括:所有培训的记录,包括课程大纲、参与人员、考核结果等,都必须妥善保存,以备 SFC 随时检查。
    • 所交易 VA 的基本原理和技术特征。
    • 与 VA 投资相关的主要风险,特别是波动性、流动性、托管和网络安全风险。
    • 公司的 VA 交易流程和客户适当性评估标准。
    • 相关的 AML/CFT 规定。

三、 牌照升级后的持续责任与合规维护

成功获得 SFC 的批准,将虚拟资产交易纳入 1 号牌的业务范围,这并非终点,而是一个更高合规标准的起点。持牌法团及其关键人员必须履行一系列持续的责任,以确保业务在动态的监管环境中始终合规。忽视这些持续性义务,可能导致严厉的纪律处分,包括罚款、暂时吊销乃至撤销牌照。

持续专业培训 (Continuous Professional Training, CPT)

SFC 要求所有持牌个人,包括 RO 和 LR,每年必须完成指定时数的 CPT,以确保其知识和技能与时俱进。对于涉足 VA 业务的持牌人,CPT 的要求更具针对性。

  • 内容相关性:CPT 课程必须与持牌人履行的职能相关。因此,从事 VA 交易服务的 RO 和 LR,其每年的 CPT 计划中应包含相当比例的 VA 相关主题。这些主题可以包括但不限于:
    • 最新的 VA 监管动态(香港及全球主要司法管辖区)。
    • 新兴的区块链技术和安全威胁。
    • 链上分析和 AML/CFT 工具的最新发展。
    • 新型 VA 产品(如 RWA 代币化、DeFi 协议)的结构与风险。
  • 记录保存:公司必须为每位持牌人员保存详细的 CPT 记录,包括课程名称、主办机构、日期、时长和内容摘要,并确保记录至少保存 3 年,以备 SFC 审查。

定期报告与独立审计

透明度和外部验证是 SFC 监管的重要手段。涉足 VA 业务后,公司的报告和审计义务会增加。

  • 财务报告:除了按规定提交年度经审计的财务报表和定期的财务资源申报表(FRR)外,SFC 可能要求公司在报告中更清晰地披露与 VA 业务相关的财务状况,例如持有的 VA 资产(作为公司资产部分)、相关的收入和支出等。
  • 业务报告:SFC 有权要求持牌机构定期提交关于其 VA 业务的报告,可能包括交易量、客户数量、主要交易的 VA 种类、以及重大风险事件等。
  • 强制性独立审计:这是 VA 业务监管的一个显著特点。根据 VATP Guidelines 的精神,SFC 期望从事 VA 业务的机构每年聘请独立的第三方专业机构,对其内部控制系统和 IT 基础设施进行审计或审阅。对于 VA1 牌照持有者,这尤其可能集中在:
    • IT 系统与网络安全:特别是钱包管理系统、私钥安全流程和网络防御措施的有效性。
    • 合规与风控流程:AML/CFT 政策的执行情况,特别是链上交易监控和客户风险评估的有效性。

重大事件报告机制

虚拟资产市场的高波动性和技术风险,要求持牌机构具备高度的风险敏感性和快速响应能力。建立一个有效的重大事件报告机制是强制性要求。

  • 报告时限:在发生可能对客户资产安全、公司财务稳健性或市场稳定构成重大影响的事件时,必须在极短时间内(例如,某些安全事件要求在 48 小时内)向 SFC 汇报。
  • 事件范围:需要报告的重大事件包括但不限于:
    • 任何涉及客户 VA 资产的网络安全事件,如黑客攻击、私钥泄露或未经授权的访问。
    • 与合作的持牌 VATP 或主要技术服务商发生的重大服务中断或安全问题。
    • 发现重大的内部欺诈或违反内控程序的行为。
    • 对公司持续经营构成威胁的重大财务亏损。
    • 任何可能引发重大合规风险或声誉风险的法律诉讼或监管调查。

政策与程序的动态更新

虚拟资产行业和监管环境都在以惊人的速度发展。静态的合规手册很快就会过时。因此,持续的政策审阅和更新是必不可少的。

  • 定期审阅:公司的合规、风控和 IT 部门应建立定期审阅机制(例如每半年或每年一次),系统性地评估现有政策和程序是否仍然适用和有效。
  • 触发式更新:当出现以下情况时,应立即启动对相关政策的更新:
    • SFC 发布新的 VA 相关通函、指引或常见问题解答。
    • FATF 或其他国际标准制定机构更新其标准。
    • 市场上出现新的重大风险事件或攻击手法。
    • 公司计划引入新的 VA 产品、服务或技术。
  • 员工沟通与培训:任何政策的更新都必须及时传达给所有相关员工,并辅以必要的培训,确保新政策能够被正确理解和执行。

四、 实操清单与行动指南:您的 VA1 牌照升级路线图

理论知识最终需要转化为可执行的行动。Aiying(艾盈)在本章节旨在为您提供一个高度结构化、可操作的自查清单和行动指南,帮助您系统性地评估现状、识别差距,并规划从现有 1 号牌到 VA1 牌照的升级路径。所有内容均提炼自 SFC 官方文件及 Aiying(艾盈)的实践总结。

核心人员变动概览 (1 号牌 vs. VA1 牌照)

下表直观地展示了从传统 1 号牌升级到 VA1 牌照后,对核心人员配置要求的关键变化和强化重点。这可以作为您进行内部能力盘点的起点。

五、 结语:合规是基石,人才是关键

成功将 1 号牌升级为 VA1 牌照,是传统金融机构在数字资产时代保持市场竞争力的关键一步。SFC 的监管框架虽然严格,但其核心逻辑清晰一致:即通过严谨的规则确保投资者得到充分保护,维护香港金融市场的稳定与声誉。在这套框架中,所有精密的制度、流程和技术,最终都依赖于 “人” 来设计、执行和监督。

因此,建立一支既深刻理解传统金融合规精髓,又具备虚拟资产领域专业知识和风险意识的团队,是通往成功之路的唯一、也是最坚实的途径。这不仅是满足 SFC 牌照要求的被动行为,更是企业在未来高风险、高回报的 VA 市场中行稳致远的内在需求。Aiying(艾盈)建议,有意向的申请机构应尽早启动内部人员评估,将人才的引进和培养视为战略性投资

随着 VA 交易商和托管商的新一轮监管咨询在 2025 年 8 月 29 日结束,香港的虚拟资产监管版图将进一步完善。

免责声明:  本文内容基于截至 2025 年 8 月 29 日可获得的公开信息和过完 Aiying 实践经验撰写,仅供一般性参考和学术交流之用,不构成任何法律、财务或投资建议。虚拟资产监管环境仍在快速发展,具体申请要求应以香港证监会(SFC)发布的最新官方指引和规定为准。在采取任何行动前,可咨询 Aiying(艾盈)。

免责声明:作为区块链信息平台,本站所发布文章仅代表作者及嘉宾个人观点,与 Web3Caff 立场无关。文章内的信息仅供参考,均不构成任何投资建议及要约,并请您遵守所在国家或地区的相关法律法规。

来源
免责声明:以上内容仅为作者观点,不代表Followin的任何立场,不构成与Followin相关的任何投资建议。
喜欢
收藏
评论
相关推荐