(2025 版)香港金融持牌人必讀:1 號牌升級 VA 牌照終極指南

avatar
Web3Caff

隨著香港特別行政區政府在 2022 年 10 月及 2025 年 6 月相繼發佈政策宣言,明確其建設全球領先虛擬資產(Virtual Asset, VA)中心的戰略定位,香港的金融監管格局正經歷一場深刻而迅速的演變。

作者:Aiying 艾盈團隊

隨著香港特別行政區政府在 2022 年 10 月及 2025 年 6 月相繼發佈政策宣言,明確其建設全球領先虛擬資產(Virtual Asset, VA)中心的戰略定位,香港的金融監管格局正經歷一場深刻而迅速的演變。對於數以百計持有香港證券及期貨事務監察委員會(SFC)第 1 類受規管活動(證券交易)牌照的傳統金融機構而言,這既是前所未有的業務拓展機遇,也是一場極其嚴峻的合規升級挑戰。

眾多持牌法團(Licensed Corporation)正積極探索如何將其業務版圖延伸至虛擬資產領域,特別是提供虛擬資產交易服務。然而,這一跨越並非易事。其核心並非重新申請一張全新的牌照,而是對現有的 1 號牌進行一次精密的業務範圍擴展(Uplift / Top-up)。在這場升級大考中,SFC 審查的重中之重,無疑是 “人員配置”——即機構是否擁有具備相應資質、經驗和能力的人才來駕馭這一高風險、高技術門檻的新興業務。

Aiying(艾盈)本報告旨在為已持有 SFC 1 號牌的持牌法團之管理層、合規負責人(Compliance Officer, CO)及負責人員(Responsible Officer, RO)提供一份權威、詳盡的行動指南。我們將系統性地梳理和解析從傳統 1 號牌升級至提供虛擬資產交易服務(下文為方便論述,簡稱 “VA1 牌照”)所需滿足的全部人員要求,剖析監管機構背後的邏輯與考量,並提供可落地的實操清單。本文所有信息均基於 SFC 截至 2025 年 8 月的官方指引、最新通函、諮詢文件及權威市場實踐案例,旨在幫助您的機構精準導航,穩健地完成這場至關重要的合規跨越。

一、 監管框架速覽:理解 “VA1 牌照” 的本質

在深入探討具體的人員配置要求之前,我們必須首先釐清一個基礎概念:“VA1 牌照” 並非 SFC 官方目錄中一個獨立的牌照類型。它是一個市場慣用語,特指在現有的第 1 類(證券交易)牌照之上,由 SFC 施加一系列特定的虛擬資產條款和條件(Terms and Conditions),從而允許持牌機構從事虛擬資產相關交易活動。這一監管方式的底層邏輯,源於 SFC 一以貫之的監管哲學——“相同業務、相同風險、相同規則” (Same Business, Same Risks, Same Rules)

這一原則意味著,無論交易的底層資產是傳統的股票、債券,還是新興的虛擬資產,只要其業務模式(如中介交易、提供交易建議)和所帶來的風險(如市場風險、操作風險、客戶資產安全風險)具有可比性,就必須接受同等嚴格的監管。因此,SFC 要求計劃提供 VA 交易服務的 1 號牌持牌機構,必須建立一個與傳統證券業務同等,甚至在某些方面(如網絡安全、資產託管)更為嚴格的內部管控體系。這一要求直接投射到對人員專業知識和經驗的更高標準上。

監管之聲:SFC 在其於 2025 年 2 月 19 日發佈的中明確指出:“SFC 的監管採納了 ‘相同業務、相同風險、相同規則’ 的原則——所有現行的傳統金融(TradFi)投資者保護護欄均適用於虛擬資產相關活動,這也是目前 IOSCO 和 FSB 等國際標準制定者所倡導的方法。”

要準確理解人員配置要求,區分 “VA1 牌照” 與獨立的 “VATP 牌照” 至關重要。兩者在監管框架、業務模式和申請主體上存在本質區別:

綜上所述,VA1 牌照的升級路徑,本質上是對現有券商業務的一次專業化 “插件” 安裝。SFC 關注的核心是:這家機構的 “操作系統”(即其人員和內控系統)是否已經準備好運行這個複雜且高風險的 “新插件”。因此,下文將要展開的人員配置要求,正是對這個 “操作系統” 升級的具體規格說明。

二、 人員配置深度解析:VA1 牌照升級的核心要求

本章節是報告的核心,我們將依據 Aiying(艾盈)為客戶申牌的經驗以及 SFC 的官方指引、通函及市場實踐,全面、系統地拆解升級 VA1 牌照所涉及的各項人員配置要求。SFC 的審查邏輯是穿透式的,不僅審查紙面上的組織架構,更會深入評估每個關鍵崗位人員的實際勝任能力。任何一個環節的短板都可能導致申請被延誤甚至拒絕。

1. 負責人員 (Responsible Officers, RO) — 監管責任的基石

負責人員(RO)是持牌法團與 SFC 之間的主要溝通橋樑,對公司的受規管活動負有直接的監管責任。在 VA1 牌照的升級申請中,RO 的資質、經驗和穩定性是 SFC 審查的絕對核心,是決定申請成敗的關鍵因素。

數量與架構要求

  • 最低數量:根據 SFC 的要求,每家持牌法團必須就其進行的每一類受規管活動,時刻委任 “不少於兩名負責人員”。對於 VA1 牌照的升級,這一基本原則不變。這意味著,公司必須確保在任何時候都有至少兩名 RO 來監督其包含虛擬資產的證券交易業務。
  • 常駐要求:SFC 規定,至少一名 RO 必須常駐香港,以便能隨時有效地監督業務運作並與監管機構溝通。此外,SFC 通常期望這名常駐 RO 同時也是公司的 “執行董事(Executive Director)”,以確保其在公司內部擁有足夠的權力和影響力來推行合規政策。
  • 雙重牌照考量:雖然 VA1 牌照是 1 號牌的延伸,但其業務活動同時觸及 SFO(證券定義)和 AMLO(反洗錢)兩大法規。如果公司希望全面覆蓋證券型代幣(Security Tokens)和非證券型代幣的交易中介服務,SFC 強烈建議其 RO 申請成為雙重牌照的 RO。如果 RO 僅持有 SFO 下的牌照,其活動範圍可能受限。因此,最穩妥的架構是擁有至少兩名同時具備 SFO 和 AMLO 資格的 RO。

經驗與勝任能力要求 (Competence Requirements)

這是 SFC 審查中最為細緻和主觀的部分。SFC 不僅要求 RO 具備傳統的金融從業經驗,更對其在虛擬資產領域的認知深度和實踐經驗提出了明確要求。

  • 傳統金融經驗:作為 1 號牌的 RO,申請人仍需滿足 SFC 的基本門檻,即在過去 6 年內擁有至少 3 年直接相關的證券行業經驗。這是不可或缺的基礎。
  • VA 專項經驗(核心審查點):這是升級申請的成敗關鍵。SFC 意識到市場初期人才稀缺,因此採取了所謂的**“務實處理方式” (pragmatic approach)**。SFC 的務實態度:在 SFC 關於勝任能力的常見問題解答中,SFC 明確表示,考慮到 VA 牌照制度尚屬初期,市場可能缺乏兼具 VA 和證券經驗的人才,因此會採取務實方法評估 RO 的經驗。具體而言,SFC 對 RO 團隊的 VA 經驗構成有以下期望和處理方式:
    1. 理想配置——經驗互補:SFC 最希望看到的是一個經驗互補的 RO 團隊。例如,一名 RO 是資深的證券交易合規專家,熟悉 SFC 的各項規則;另一名 RO 則擁有深厚的虛擬資產背景,例如曾有在加密貨幣交易所、VA 基金或區塊鏈技術公司擔任核心崗位的經驗,對 VA 交易、託管、錢包技術、鏈上分析和智能合約風險有深刻理解。
    2. 僅有 VA 經驗的申請人:如果一名 RO 申請人主要經驗來自 VA 行業(如運營非證券類代幣平臺),缺乏傳統證券經驗,SFC 可能認可其 VA 經驗等同於 1 號牌所需的相關行業經驗。但作為平衡,SFC 可能會在該 RO 的牌照上施加一項條件(Licensing Condition),即 “其牌照僅限於為其主事人(即其所屬的持牌法團)的持牌 VATP 業務提供服務”。這意味著他不能從事與 VA 無關的傳統證券業務。
    3. 僅有 1 號牌經驗的申請人:反之,如果一名 RO 僅有傳統證券交易經驗,而無直接的 VA 經驗,SFC 也可能認可其證券經驗。但同樣地,其牌照可能會被施加 “非獨任”(non-sole)條件。這意味著該 RO 在履行與 VA 相關的職責時,必須在另一名完全勝任(即具備足夠 VA 經驗)的 RO 的監督下工作。
  • 如何證明 VA 經驗:口頭聲明是遠遠不夠的。申請人必須在履歷(CV)和申請文件中提供詳實、可驗證的證據,例如:
    • 曾參與的具體 VA 項目名稱、時間、規模。
    • 在項目中扮演的角色和具體職責(例如,是負責交易策略、風險控制、技術架構還是合規審查)。
    • 管理過的 VA 資產類型和規模。
    • 使用過的技術工具(如特定的交易系統、錢包解決方案、鏈上分析軟件)。
    • 處理過的具體案例(如應對市場劇烈波動、處理分叉事件、調查可疑交易等)。

考試與培訓要求

  • 資格考試 (Licensing Examination, LE):所有 1 號牌的 RO 都必須通過由香港證券及投資學會(HKSI)舉辦的資格考試,具體包括:這是硬性要求,除非滿足 SFC 規定的豁免條件。
    • LE Paper 1: Fundamentals of Securities and Futures Regulation (證券及期貨規例基礎)
    • LE Paper 7: Financial Markets (金融市場)
  • VA 知識證明:儘管 SFC 目前尚未為 VA1 牌照的 RO 設立強制性的獨立 VA 考試,但這並不意味著沒有要求。SFC 會在面試和文件審查中評估 RO 對 VA 市場的理解深度。因此,強烈建議所有相關 RO,特別是缺乏直接 VA 經驗的 RO,主動完成 SFC 認可的虛擬資產相關培訓,並以此作為勝任能力的有力證明。行業最佳實踐:香港證券及投資學會(HKSI)推出的**“虛擬資產專業人員認證課程”(Certification Programme for Virtual Asset Professionals, CVAP)**是目前市場上最受認可的培訓之一。該課程涵蓋了 VA 市場概覽、產品特性、相關法規及風險管理等核心內容,完成該課程並獲得證書,將極大增強 RO 申請的說服力。(來源: HKSI CVAP Core Curriculum)

2. 關鍵職能主管 (Managers-In-Charge, MICs) — 專業能力的延伸

除了直接對 SFC 負責的 RO,SFC 的 MIC 制度要求持牌法團的 8 大核心職能(Core Functions)必須由明確的、具備適當技能和權限的主管人員負責。對於 VA 業務,雖然所有 MIC 都需要了解其對業務的影響,但以下幾個崗位的專業能力要求被顯著拔高,成為 SFC 審查的焦點。

合規主任 (Compliance Officer, CO) 與洗錢報告主任 (Money Laundering Reporting Officer, MLRO)

在虛擬資產領域,反洗錢及反恐怖分子資金籌集(AML/CFT)的複雜性和風險性遠超傳統金融。因此,CO 和 MLRO 的角色變得空前重要,其知識體系必須進行重大升級。

  • 新增核心知識領域:
    • 鏈上交易監控與分析:必須深刻理解區塊鏈的透明性與匿名性並存的特點,並能熟練運用專業的鏈上分析工具(如 Chainalysis, Elliptic, Notabene 等)進行交易溯源、風險評分和識別可疑活動模式(如資金通過混幣器(Mixer/Tumbler)、高風險交易所或暗網市場的流動)。
    • “旅遊規則”(Travel Rule):必須熟悉金融行動特別工作組(FATF)的建議,並確保公司建立了符合香港 SFC 要求的 “旅遊規則” 合規流程。這要求在進行價值超過 8,000 港元的 VA 轉移時,能夠收集、核實、保存並向對手方 VASP 傳遞交易雙方(發起人和受益人)的必要信息。
    • KYV (Know-Your-VASP):在與其它虛擬資產服務提供商(VASP)進行交易前,必須具備對其進行全面盡職調查的能力,評估其註冊地、監管狀態、AML/CFT 政策的健全性,以管理對手方風險。
  • 經驗要求:SFC 期望 MLRO 具備處理涉及虛擬資產的可疑交易報告(Suspicious Transaction Reports, STRs)的實務經驗。這包括能夠清晰地向聯合財富情報組(JFIU)闡述可疑活動的鏈上證據和分析邏輯。

資訊科技與網絡安全負責人 (Head of IT / Chief Information Security Officer, CISO)

虛擬資產的原生數字化特徵,使其面臨著與傳統金融截然不同的技術風險。IT 和網絡安全負責人的職責從維護傳統交易系統,擴展到了保護加密密鑰和抵禦鏈上攻擊等全新領域。

  • 核心職責:保障交易系統、客戶數據以及最核心的客戶虛擬資產的安全。
  • VA 專項技術要求:
    • 安全生成:使用經認證的硬件安全模塊(Hardware Security Module, HSM)或類似的安全環境離線生成密鑰,確保其隨機性和不可預測性。
    • 安全存儲:私鑰和助記詞的備份必須加密,並以物理隔離的方式安全地存放在香港境內。
    • 訪問控制:採用多重簽名(Multi-signature)和權限分層機制,確保沒有任何單一個人可以單方面動用客戶資產。
    • 應急預案:制定詳細的私鑰洩露或丟失應急預案,包括快速轉移資產的流程。
    • 錢包管理架構:必須深刻理解並能設計、實施和維護安全的錢包系統。這包括嚴格遵守 SFC 對持牌 VATP 提出的**98% 資產冷儲存**的要求,併合理管理剩餘 2% 資產的熱錢包風險。(來源: VATP Guidelines, Para 10.6(c))
    • 私鑰安全管理:這是重中之重。負責人必須制定並監督執行一套覆蓋私鑰 “全生命週期” 的嚴格安全策略,包括:
    • 網絡安全防禦:必須具備應對針對性網絡威脅的經驗和技術方案,例如分佈式拒絕服務(DDoS)攻擊、針對智能合約的漏洞利用、網絡釣魚、惡意軟件等。定期的第三方滲透測試和漏洞掃描是必須執行的合規動作。

風險管理負責人 (Risk Manager)

風險經理的視野需要從傳統的市場、信用和操作風險,擴展到覆蓋虛擬資產帶來的全新風險維度。

  • 新增風險識別與管理維度:
    • 技術與協議風險:理解並評估特定區塊鏈協議的內在風險,如共識機制的安全性、交易終局性(Finality)問題、智能合約代碼中可能存在的漏洞、以及硬分叉(Hard Forks)或網絡升級可能帶來的資產安全和價值波動風險。
    • 市場與流動性風險:除了價格高波動性,還需關注特定代幣在不同交易所的流動性深度差異、滑點風險,以及在極端市場條件下可能出現的流動性枯竭問題。
    • 託管與對手方風險:對合作的持牌 VATP 和任何第三方技術服務商(如錢包技術提供商)進行嚴格的盡職調查和持續監控,評估其安全性、合規性和財務穩健性。
    • 操作風險:制定針對 VA 交易的特定操作流程,例如防止 “胖手指” 錯誤、處理失敗的鏈上交易、以及確保資產在冷熱錢包間轉移的安全性。

3. 持牌代表 (Licensed Representatives, LR)

持牌代表是直接面向客戶、執行交易指令的一線人員。雖然 SFC 對 LR 的經驗審查不如對 RO 嚴格,但對其知識水平和合規意識同樣有明確要求。

  • 基本要求:與 RO 一樣,從事 1 號牌業務的 LR 必須通過 HKSI 的 LE Paper 1 和 Paper 7 考試。
  • VA 知識要求:公司負有主體責任,必須確保所有為客戶提供 VA 交易服務的 LR 都接受了充分的內部或外部培訓。培訓內容應至少包括:所有培訓的記錄,包括課程大綱、參與人員、考核結果等,都必須妥善保存,以備 SFC 隨時檢查。
    • 所交易 VA 的基本原理和技術特徵。
    • 與 VA 投資相關的主要風險,特別是波動性、流動性、託管和網絡安全風險。
    • 公司的 VA 交易流程和客戶適當性評估標準。
    • 相關的 AML/CFT 規定。

三、 牌照升級後的持續責任與合規維護

成功獲得 SFC 的批准,將虛擬資產交易納入 1 號牌的業務範圍,這並非終點,而是一個更高合規標準的起點。持牌法團及其關鍵人員必須履行一系列持續的責任,以確保業務在動態的監管環境中始終合規。忽視這些持續性義務,可能導致嚴厲的紀律處分,包括罰款、暫時吊銷乃至撤銷牌照。

持續專業培訓 (Continuous Professional Training, CPT)

SFC 要求所有持牌個人,包括 RO 和 LR,每年必須完成指定時數的 CPT,以確保其知識和技能與時俱進。對於涉足 VA 業務的持牌人,CPT 的要求更具針對性。

  • 內容相關性:CPT 課程必須與持牌人履行的職能相關。因此,從事 VA 交易服務的 RO 和 LR,其每年的 CPT 計劃中應包含相當比例的 VA 相關主題。這些主題可以包括但不限於:
    • 最新的 VA 監管動態(香港及全球主要司法管轄區)。
    • 新興的區塊鏈技術和安全威脅。
    • 鏈上分析和 AML/CFT 工具的最新發展。
    • 新型 VA 產品(如 RWA 代幣化、DeFi 協議)的結構與風險。
  • 記錄保存:公司必須為每位持牌人員保存詳細的 CPT 記錄,包括課程名稱、主辦機構、日期、時長和內容摘要,並確保記錄至少保存 3 年,以備 SFC 審查。

定期報告與獨立審計

透明度和外部驗證是 SFC 監管的重要手段。涉足 VA 業務後,公司的報告和審計義務會增加。

  • 財務報告:除了按規定提交年度經審計的財務報表和定期的財務資源申報表(FRR)外,SFC 可能要求公司在報告中更清晰地披露與 VA 業務相關的財務狀況,例如持有的 VA 資產(作為公司資產部分)、相關的收入和支出等。
  • 業務報告:SFC 有權要求持牌機構定期提交關於其 VA 業務的報告,可能包括交易量、客戶數量、主要交易的 VA 種類、以及重大風險事件等。
  • 強制性獨立審計:這是 VA 業務監管的一個顯著特點。根據 VATP Guidelines 的精神,SFC 期望從事 VA 業務的機構每年聘請獨立的第三方專業機構,對其內部控制系統和 IT 基礎設施進行審計或審閱。對於 VA1 牌照持有者,這尤其可能集中在:
    • IT 系統與網絡安全:特別是錢包管理系統、私鑰安全流程和網絡防禦措施的有效性。
    • 合規與風控流程:AML/CFT 政策的執行情況,特別是鏈上交易監控和客戶風險評估的有效性。

重大事件報告機制

虛擬資產市場的高波動性和技術風險,要求持牌機構具備高度的風險敏感性和快速響應能力。建立一個有效的重大事件報告機制是強制性要求。

  • 報告時限:在發生可能對客戶資產安全、公司財務穩健性或市場穩定構成重大影響的事件時,必須在極短時間內(例如,某些安全事件要求在 48 小時內)向 SFC 彙報。
  • 事件範圍:需要報告的重大事件包括但不限於:
    • 任何涉及客戶 VA 資產的網絡安全事件,如黑客攻擊、私鑰洩露或未經授權的訪問。
    • 與合作的持牌 VATP 或主要技術服務商發生的重大服務中斷或安全問題。
    • 發現重大的內部欺詐或違反內控程序的行為。
    • 對公司持續經營構成威脅的重大財務虧損。
    • 任何可能引發重大合規風險或聲譽風險的法律訴訟或監管調查。

政策與程序的動態更新

虛擬資產行業和監管環境都在以驚人的速度發展。靜態的合規手冊很快就會過時。因此,持續的政策審閱和更新是必不可少的。

  • 定期審閱:公司的合規、風控和 IT 部門應建立定期審閱機制(例如每半年或每年一次),系統性地評估現有政策和程序是否仍然適用和有效。
  • 觸發式更新:當出現以下情況時,應立即啟動對相關政策的更新:
    • SFC 發佈新的 VA 相關通函、指引或常見問題解答。
    • FATF 或其他國際標準制定機構更新其標準。
    • 市場上出現新的重大風險事件或攻擊手法。
    • 公司計劃引入新的 VA 產品、服務或技術。
  • 員工溝通與培訓:任何政策的更新都必須及時傳達給所有相關員工,並輔以必要的培訓,確保新政策能夠被正確理解和執行。

四、 實操清單與行動指南:您的 VA1 牌照升級路線圖

理論知識最終需要轉化為可執行的行動。Aiying(艾盈)在本章節旨在為您提供一個高度結構化、可操作的自查清單和行動指南,幫助您系統性地評估現狀、識別差距,並規劃從現有 1 號牌到 VA1 牌照的升級路徑。所有內容均提煉自 SFC 官方文件及 Aiying(艾盈)的實踐總結。

核心人員變動概覽 (1 號牌 vs. VA1 牌照)

下表直觀地展示了從傳統 1 號牌升級到 VA1 牌照後,對核心人員配置要求的關鍵變化和強化重點。這可以作為您進行內部能力盤點的起點。

五、 結語:合規是基石,人才是關鍵

成功將 1 號牌升級為 VA1 牌照,是傳統金融機構在數字資產時代保持市場競爭力的關鍵一步。SFC 的監管框架雖然嚴格,但其核心邏輯清晰一致:即通過嚴謹的規則確保投資者得到充分保護,維護香港金融市場的穩定與聲譽。在這套框架中,所有精密的制度、流程和技術,最終都依賴於 “人” 來設計、執行和監督。

因此,建立一支既深刻理解傳統金融合規精髓,又具備虛擬資產領域專業知識和風險意識的團隊,是通往成功之路的唯一、也是最堅實的途徑。這不僅是滿足 SFC 牌照要求的被動行為,更是企業在未來高風險、高回報的 VA 市場中行穩致遠的內在需求。Aiying(艾盈)建議,有意向的申請機構應儘早啟動內部人員評估,將人才的引進和培養視為戰略性投資

隨著 VA 交易商和託管商的新一輪監管諮詢在 2025 年 8 月 29 日結束,香港的虛擬資產監管版圖將進一步完善。

免責聲明:  本文內容基於截至 2025 年 8 月 29 日可獲得的公開信息和過完 Aiying 實踐經驗撰寫,僅供一般性參考和學術交流之用,不構成任何法律、財務或投資建議。虛擬資產監管環境仍在快速發展,具體申請要求應以香港證監會(SFC)發佈的最新官方指引和規定為準。在採取任何行動前,可諮詢 Aiying(艾盈)。

免責聲明:作為區塊鏈信息平臺,本站所發佈文章僅代表作者及嘉賓個人觀點,與 Web3Caff 立場無關。文章內的信息僅供參考,均不構成任何投資建議及要約,並請您遵守所在國家或地區的相關法律法規。

來源
免責聲明:以上內容僅為作者觀點,不代表Followin的任何立場,不構成與Followin相關的任何投資建議。
喜歡
收藏
評論
相關推薦