香港1号牌照
VA業務升級指南

內部評估與規劃

完成人員盤點，制定招募/訓練計劃，調整組織架構

• 現有人員VA能力評估
• 招募或內部培訓計劃
• 組織架構調整方案

制度與文件準備

更新核心文件，制定VA專案政策與流程

• 業務計劃書修訂
• 合規手冊更新
• 私鑰管理政策
• AML/CFT政策更新

申請附函及支持文件

準備所有申請資料和支援文件

• 人員履歷及訓練證書
• 合作協議草案
• 錢包運作機制說明
• IT系統評估報告

提交與跟進

透過WINGS系統提交申請並積極配合審查

• 申請資料提交
• SFC問詢回复
• 現場檢查配合
• 批准後實施

負責人員 (RO)

数量与架构要求

• 最低数量：不少于两名RO
• 常驻要求：至少一名RO必须常驻香港
• 双重牌照：建议同时具备SFO和AMLO资格

经验与胜任能力

理想配置 – 經驗互補
一名RO是資深證券合規專家，另一名RO則擁有深厚的虛擬資產背景

僅有VA經驗的申請人
可能被施加」僅限於VATP業務」的牌照條件

僅有1號牌經驗的申請人
可能被施加」非獨任」條件，需在具備VA經驗的RO監督下工作

考試與培訓要求

• 資格考試：LE Paper 1 & Paper 7
• VA知識證明：建議完成HKSI的CVAP課程

關鍵職能主管 (MICs)

合規主任 (CO) & MLRO

新增核心知識領域
• 鏈上交易監控與分析工具（Chainalysis, Elliptic）
• 「旅遊規則」(Travel Rule)合規流程
• KYV (Know-Your-VASP)盡職調查

經驗要求

具備處理涉及虛擬資產的可疑交易報告（STRs）的實務經驗

IT與網路安全負責人

VA專項技術要求
• 錢包管理架構（98%冷儲存需求）
• 私鑰安全管理全生命週期
• 網路安全防禦（DDoS、智慧合約漏洞）

風險管理負責人

新增風險維度
• 技術與協議風險（共識機制、硬分叉）
• 市場與流動性風險（滑點、流動性枯竭）
• 託管與對手方風險（VATP合作風險）

持牌代表 (LR)

基本要求

與RO一樣，從事1號牌業務的LR必須通過HKSI的LE Paper 1和Paper 7考試。

VA知識要求

本公司負有主體責任，必須確保所有為客戶提供VA交易服務的LR都接受了充分的內部或外部訓練。

記錄保存

所有訓練的記錄，包括課程大綱、參與者、考核結果等，都必須妥善保存，以備SFC隨時檢查。

持續專業培訓 (CPT)

內容相關性

CPT課程必須與持牌人所履行的職能相關。從事VA交易服務的RO和LR，其每年的CPT計畫中應包含相當比例的VA相關主題。

• 最新的VA監理動態（香港及全球主要司法管轄區）
• 新興的區塊鏈技術與安全威脅
• 鏈上分析與AML/CFT工具的最新發展
• 新型VA產品（如RWA代幣化、DeFi協議）的結構與風險

記錄保存

公司必須為每位持牌人員保存詳細的CPT記錄，包括課程名稱、主辦機構、日期、時長和內容摘要，並確保記錄至少保存3年。

定期報告與獨立審計

財務報告

除了依規定提交年度經審計的財務報表和定期的財務資源申報表（FRR）外，SFC可能要求公司在報告中更清楚地揭露與VA業務相關的財務狀況。

業務報告

SFC有權要求持牌機構定期提交關於其VA業務的報告，可能包括交易量、客戶數量、主要交易的VA種類、以及重大風險事件等。

強制性獨立審計

SFC期望從事VA業務的機構每年聘請獨立的第三方專業機構，對其內部控制系統和IT基礎設施進行審計，特別是錢包管理系統、私鑰安全流程和網路防禦措施的有效性。

重大事件通報機制

報告時限

在發生可能對客戶資產安全、公司財務穩健性或市場穩定構成重大影響的事件時，必須在48小時內向SFC報告。

事件範圍

• 任何涉及客戶VA資產的網路安全事件
• 與合作VATP或技術服務商的重大服務中斷
• 發現重大的內部詐欺或違反內控程序的行為
• 對公司持續經營構成威脅的重大財務虧損
• 任何可能引發重大合規風險的法律訴訟

政策與程序的動態更新

定期審閱

公司的合規、風控和IT部門應建立定期審查機制（例如每半年或每年一次），系統性地評估現有政策和程序是否仍然適用和有效。

觸發式更新

• SFC發布新的VA相關通函、指引或常見問題解答
• FATF或其他國際標準制定機構更新其標準
• 市面上出現新的重大風險事件或攻擊手法
• 公司計劃引進新的VA產品、服務或技術

員工溝通與培訓

任何政策的更新都必須及時傳達給所有相關員工，並輔以必要的培訓，確保新政策能被正確理解和執行。