撰文:楊琪律師
穩定幣正在被越來越多企業用於結算、跨境收付、資金管理與 B2B 支付。但在新加坡,「用穩定幣做支付」 往往不是單純的產品問題,而是一個典型的 監管邊界 + AML/CFT 反洗錢 + 科技風險管理 的綜合工程。
這篇文章用 「創業者能執行」 的方式,把核心路徑講清楚:你先把業務模型講明白,再把牌照與合規體系搭起來,就能大幅降低踩線風險與後續整改成本。
提示:本文為一般性信息分享,不構成法律意見。最終合規結論取決於你的交易流程、客戶類型、資金 / 代幣流轉與控制方式。
一、先做最重要的一步:把你的業務 「畫出來」
在討論具體實施步驟之前,請業務負責人先寫一頁紙的 資金 / 代幣流轉圖(Flow),至少回答這些問題:
- 你的客戶是誰:個人 / 商戶 / 某類領域業務或行業企業?
- 你是否 持有或控制 客戶的穩定幣(託管、私鑰控制、多籤權限)?
- 你是否做 法幣↔穩定幣 或 穩定幣↔穩定幣 的兌換?
- 你是否 促成轉賬(A 轉給 B、商戶收款、企業付款)?
- 客戶在新加坡還是海外?你是否 「在新加坡提供服務給海外客戶」?
- 你是 穩定幣發行人 還是僅使用第三方穩定幣(比如 USDC/USDT 等)?
這一頁 Flow 決定你會觸發哪些監管活動,也決定你需要什麼合規體系。
二、牌照判斷:多數穩定幣支付會落在 PSA 框架內(可能還涉及 FSMA)
在新加坡,穩定幣支付業務通常會涉及《支付服務法》(PSA)下的監管範圍,尤其是與 數字支付代幣(DPT)服務相關的活動(如轉移、兌換、託管等)。另外,如果你從新加坡向海外客戶提供數字代幣服務,還可能觸發 FSMA 下的相關要求。
常見業務模型與 「可能的監管觸發點」
- 商戶收款 + 穩定幣結算 / 清算:往往會觸發 DPT 相關服務;若涉及收單、轉賬、跨境匯款等,也可能疊加其他 PSA 支付服務類型。
- 錢包 / 託管(你能動客戶幣):通常會被視為高風險觸發點之一(尤其是你掌控私鑰或轉移權限)。
- OTC / 兌換 / 撮合:一般會觸發 DPT 相關服務。
- 發行自己的穩定幣:如何觸發列入 「發行人監管框架」 的討論,合規強度顯著更高。
實務建議:別從 「我想申請哪種牌照」 出發,而要從 「我做了哪些受監管活動」 出發。監管判斷永遠看交易實質。
三、如果你要發行穩定幣:先決定是否要走 「MAS 監管穩定幣」 路徑
如果你不僅使用現有穩定幣,而是打算 發行自己的穩定幣,合規路線會完全不同。通常你需要對標更嚴格的要求(例如儲備資產、贖回機制、信息披露、審計與運營風險控制等)。
結論很簡單:
- 不發行:重點是 「DPT / 支付服務提供者」 的合規體系(尤其 AML 與科技風險)。
- 要發行:你需要按照發行人框架把 「儲備、贖回、審計、披露、治理」 做成機構級。
四、合規支柱 1:反洗錢 AML/CFT(必須像金融機構一樣做)
在穩定幣 / 數字代幣相關業務中,** 反洗錢與反恐融資(AML/CFT)** 是監管最先看的部分。
你至少要具備以下 「可落地」 的體系:
1)公司層面的風險評估(EWRA)
- 產品風險、客戶風險、地區風險、渠道風險
- 哪些客戶必須加強盡調(EDD)?哪些必須拒絕?
2)客戶盡調(KYC/CDD/EDD)
- 身份識別與驗證、受益所有人識別(如企業客戶)
- 制裁與 PEP 篩查(政治公眾人物)
- 高風險觸發規則(例如匿名性、複雜結構、敏感地區等)
3)交易監控與可疑交易處理(STR 流程)
- 監控規則 / 場景(例如頻繁拆分、快速進出、異常地址關聯等)
- 案件管理與升級機制:誰調查、誰審批、怎麼留證據鏈
- 員工培訓與年度複核 / 獨立審查
4)鏈上分析 / 錢包風險評分(強烈建議儘早上)
- 是否 「法律強制」 取決於業務模型,但從實操角度,鏈上資金追蹤與地址風險評估越來越接近 「行業標配」,尤其是你服務高風險行業、做跨境、或提供託管 / 轉移功能時。
五、合規支柱 2:營銷合規 —— 別把自己做成 「面向大眾的加密廣告」
在新加坡,數字代幣相關服務的宣傳推廣有明確監管關注點。很多團隊不是死在產品上,而是死在 「推廣方式」 上:大規模面向公眾的營銷、誇大收益、弱化風險、引導大眾參與等,都非常敏感。
更穩的打法通常是:
- B2B 優先(商戶、企業、機構)
- 渠道更 「專業化」:行業會議、閉門會、合作伙伴轉介、定向內容營銷
- 清晰風險披露:不 「輕描淡寫」、不 「穩賺」、不 「保本」
一句話:你可以增長,但不能用 「投機型敘事」 去拉新。
六、合規支柱 3:科技風險、託管安全與外包管理(TRM + Outsourcing)
穩定幣支付公司是 「金融 + 軟件」 的結合體。監管會看你是否具備機構級的科技風險治理能力,尤其是:
1)錢包與密鑰管理(Custody / Key Management)
- 權限分離、審批機制、多籤 / 分層授權
- 全鏈路日誌與可審計性
- 關鍵操作的 「二人複核 / 多方授權」
2)網絡安全與事件響應
- 漏洞管理、滲透測試、補丁與配置管理
- 事件響應預案與演練(tabletop exercise)
- 備份、恢復、業務連續性(BCP)
3)供應商 / 外包管理(特別重要)你很可能會外包給雲服務、KYC 廠商、鏈上分析工具、錢包基礎設施等。監管會看:
- 供應商盡調與風險評估
- 合同條款(審計權、數據保護、分包限制、退出機制)
- 關鍵供應商的備選方案與應急預案
七、合規支柱 4:個人數據保護(PDPA)
只要你做 KYC、收集客戶信息、交易信息、設備信息,就會涉及新加坡 PDPA 相關義務。建議從兩個 「低成本高收益」 的動作開始:
- 指定 DPO(數據保護負責人)並建立對外聯繫渠道
- 做一份數據地圖:收集什麼、用途是什麼、存在哪裡、與誰共享、保留多久
八、創始人版行動計劃:Day 0 → Day 90
Day 0–15:先把邊界講清楚
- 畫清楚資金 / 代幣流轉圖(Flow)
- 明確你是否託管、是否兌換、是否轉移、客戶在 SG 還是海外
- 初步完成 「觸發哪些受監管活動」 的判斷
Day 15–45:把合規骨架搭起來
- AML/CFT:風險評估、CDD/EDD、監控與 STR 流程
- 科技風險:錢包 / 密鑰、安全基線、事件響應
- 外包管理:供應商盡調 + 合同條款 + 退出預案
- PDPA:DPO、隱私政策、數據保留與訪問控制
Day 45–90:把合規做成 「可運營」
- 上線篩查與監控工具、建立案件管理與留痕
- 完成員工培訓、合規報告機制、內部檢查機制
- 整理牌照 / 合規準備包(治理結構、制度、架構、流程、證據鏈)
結語:合規不是 「成本」,而是你能否做大做久的門檻
穩定幣支付可以很快,但合規必須更快。把監管邊界、AML 與科技風險三件事做紮實,你的業務會更容易拿到機構合作、更容易通過盡調,也更容易在關鍵時刻 「扛得住檢查」。
