香港合規虛擬資產交易的核心：安全的錢包管理和資產托管

近期，香港兩家虛擬數字資產交易所獲得了香港證監會批準的虛擬資產服務提供商牌照，正式宣布可向香港散戶提供虛擬資產交易服務。這意味着香港散戶只需在這兩家交易所註冊，就能直接購買比特幣和以太坊等虛擬資產。此舉無疑爲合規交易所在虛擬資產領域的地位和布局注入了強心劑。

自去年10月以來，香港監管機構陸續發布了一系列關於虛擬資產交易的措施。今年6月1日起，更多虛擬資產交易所可以向香港證監會正式申請合規的虛擬資產交易所牌照。

在這樣的政策環境下，許多交易所都希望來香港申請牌照，成爲合規的中心化交易所。某虛擬資產交易平台也計劃在今年年底向證監會正式遞交申請，爲更多來自傳統金融和Web3世界的從業者和投資人提供增值服務。

那麼，香港證監會對中心化交易所的具體要求是什麼？除了法律文件上的一整套流程外，在技術上有哪些特別的配置要求？

事實上，香港目前的合規交易監管框架對交易所在軟硬件合規方面的技術要求非常高。國際上有一些供應商爲這些交易所在合規框架下提供各種技術服務。其中，客戶資產的托管是一個核心領域，也是香港證監會最關注的方面。

傳統金融與虛擬資產交易所的資產托管差異

在傳統金融體系中，用戶通常通過券商購買股票。從用戶體驗來看，似乎是將資金存入券商帳戶，由券商進行股票交易並存儲在用戶名下的帳戶中。

然而，實際上用戶的資金並不存放在券商帳戶裏，因爲券商作爲非銀機構不能直接托管客戶資金。用戶的資金實際上存放在銀行中。銀行下設該券商的一個大帳戶，其中包含多個小帳戶用於托管用戶資金。因此，券商作爲用戶資金的托管方，並不能真正調動用戶資金。銀行會"把關"，確認券商已獲得客戶指令後，才允許其代表客戶提取存放的資金。

總的來說，傳統金融世界中的股票、債券等資產都托管在高度中心化、安全保障極高的機構中。這些機構在軟硬件方面有完善的安全保護，包括網路和內部管制。證券服務商實際上只是協助客戶進行托管管理流程，背後是經過多代技術更新的大型金融機構爲用戶托管和保護資產。這也是人們在傳統金融交易中感到非常安全的原因。

而在香港合規虛擬資產交易框架下，用戶的資產托管有很大不同。香港對合規虛擬資產交易的監管要求交易所自身承擔類似銀行的角色，客戶的虛擬資產直接托管在交易所的冷錢包中。這相當於需要將銀行和托管等衆多傳統金融托管體系的功能集中在合規交易所這一實體中，負責客戶資產。因此，對任何一家合規交易所而言，其所需具備的軟硬件技術要求遠超券商，接近銀行水平，同時還需增加加密學維度。

虛擬資產交易領域的安全問題

從安全角度來看，區塊鏈可簡單分爲鏈上和鏈下。鏈上智能合約是預設條件後自動執行的程序，可能面臨各種黑客攻擊，利用智能合約漏洞進行資金轉移或泄露等。鏈下對運營平台而言，是一個安全能力的系統工程：從用戶端的認證體系，到企業內部的網路安全、終端安全、應急響應機制，再到托管的技術路線選擇。

從合規角度來看，虛擬資產行業從2018年前的野蠻生長狀態，逐步走向規範化。雖然大陸和香港地區的政策制定和監管政策明確方面，更多是禁止和驅逐，但日本早在2017年就在亞洲範圍內較早開啓了發牌制度，由日本金融機構對交易所進行發牌管理，並提出了一系列網路安全、數據安全等安全層面的要求。

新加坡和香港近期的政策中，香港的監管制度可能是最重磅的。這些政策出臺的部分原因是去年的FTX事件讓人們意識到，合規和監管不能僅停留在表面，必須將管理規則和制度落實明確，才能真正保護投資者利益。因此，香港今年發布了非常明確的虛擬資產牌照監管政策，從交易平台開始實施。

監管對資產托管合規的要求

某安全公司在香港、日本、新加坡等地都有持牌客戶，通過對各地牌照要求的橫向比較，認爲香港證監會/港府的監管政策在邏輯性和全面度上都非常強。

主要體現在以下幾個方面：

首先，考慮到地緣政治因素，香港政府明確要求數字資產背後的私鑰必須在香港本地。

其次，從監管制度成熟度來看，監管考慮得非常全面。目前香港還沒有成熟完備的第三方托管監管制度，因此香港政府的監管政策要求虛擬資產牌照申請者必須自己建設虛擬資產安全托管系統，並列舉了許多細則要求。以技術路線的選型爲例，港府的一個重要衡量原則是技術本身的成熟度。

成熟度體現在該技術路線所使用的關鍵技術環節是否被國際上主流的權威安全認證機構認可，這是一個很重要的評價標準。因此，港府的態度可以描述爲"既保守又開放"。保守體現在港府相對保守地選擇了傳統金融安全領域經過反復驗證的較成熟技術路線；開放則體現在港府也考察了許多新型技術方案，並表示了開放態度。

雖然港府要求虛擬資產交易平台需要自己托管客戶資產，並列出了明確的監管要求，但交易所自稱達到要求並不足以獲得牌照。還必須有權威的第三方評估機構進行評估，只有權威第三方評估機構證明該交易所達到了要求，才有可能申請到牌照。

綜上所述，可以看出香港政府的監管在邏輯、方法和細節上都考慮得非常全面。

保護用戶資產安全的方法

1. IT方面的要求包括網路安全、IT基礎設施、終端安全、災備應急響應以及錢包托管系統等內容。其中一個重要要求是98%的資產必須存儲在冷錢包中。

冷錢包是完全離線斷網的錢包。但僅做到離線斷網是不夠的，還需要使用國際認可的密碼學安全設備形成數字資產金庫來保護用戶的數字資產。同時，對存放這些信息硬件（金庫）的物理環境也有一些要求，如維持溫度、溼度，防追蹤、防尾隨，有信號幹擾等。

爲了防止監管未考慮到的漏洞或運營平台操作失誤造成用戶資產損失，在技術和實現方案等都限定好之後，還需要對用戶資產進行進一步保護，即強制要求設立風險賠付金或購買專用保險，具備給客戶理賠的能力。

2. 合規方面，反洗錢、反恐怖融資是監管非常重視的內容，因此每個交易所都需要配備專業的"首席合規官"。合規貫穿整個交易過程，不僅要在用戶入駐環節判別客戶的身分安全和資金安全（KYC），還需要在每筆交易背後判斷交易資金的來源和流向是否符合要求（Travel Rule）。

3. 風控體現在多個方面，每個平台都需要管理市場操控行爲、用戶欺詐風險、交易對手方風險、信用風險等。

4. 從治理層面來看，需要建立完善的治理制度，核心在於角色的明確：

首先，主體的角色要分離。香港類似的牌照監管要求交易平台是獨立主體，同時還要有另一個負責托管客戶端資產安全的主體，且該主體要100%服務於交易平台主體，不能服務其他主體，即主體上責任要明確。

其次，從資金層面，責任也必須明確。要清晰區分交易平台的資金和用戶的資金，不能有任何資金混淆，即使是完成交易需要支付的Gas Fee也要區分清楚。

第三，"角色與職責是分離的"原則也很重要。在整個業務流程的任何環節都不能有單點風險，不能出現濫用職權等情況。例如，進行冷錢包資金調撥時，必須遵循"四目原則"。

未來可能引入的解決方案

在不影響現有安全程度，又能爲交易所和用戶帶來更多便利的前提下，香港合規虛擬資產交易所在客戶資產托管方面未來可能引入哪些方案？

從交易平台運營角度來看，這個領域確實有很多優秀的技術，如非常流行的MPC（Multi-Party Computation安全多方計算）技術。監管並不是要拒絕這些技術，而是更多地考慮技術的成熟度。相信隨着時間積累，這些優秀技術也會在全球公認的認證體系下變得更加成熟。

另一方面，許多交易平台必須考慮如何觸達更多C端用戶。目前通過中心化方式讓C端用戶完成入駐並進行交易，滿足了很大一部分用戶需求，用戶無需自己管理私鑰和助記詞。同時，我們也看到Web3世界有很多創新者，未來可能會出現許多個人錢包相關的解決方案，並與中心化交易所形成互補，甚至聯動。

從傳統金融的操作經驗來看，並不需要每個交易所都有自己的托管系統，完全可以由1-2家托管機構完成整個市場的資產托管。未來，當MPC等技術的安全性和可執行性得到更多國際級認證機構認可後，托管領域可能會逐漸集中到幾家頭部托管機構來執行整個本地化托管。

具體到兩個層面：

1. 責權分離角度：目前申請牌照的交易所仍承擔着托管角色，相信隨着監管制度進一步完善，未來應該可以將托管部分的監管獨立明確出來，包括如何監管托管、交易所如何利用第三方托管服務對客戶進行資產托管。隨着監管明確，責任就可以分離。

2. 技術路線角度：目前普遍要求的是傳統金融安全級的基於加密機的解決方案。未來，當其他新技術路線越來越成熟，獲得全球測試認證背書時，對托管服務方技術的選擇就不再局限於單一方案，可以有更多選擇。

我們始終相信，隨着技術不斷進步，以及整個市場從監管到從業者對這個行業理解的不斷深入，將來必定會有越來越多的人進入這個領域，市場會越來越繁榮。