香港

【Aiying license】香港金融持牌人必读:1号牌升级VA牌照终极指南(2025版)

Posted on by Aiying
16
8 月

随着香港特别行政区政府在2022年10月及2025年6月相继发布政策宣言,明确其建设全球领先虚拟资产(Virtual Asset, VA)中心的战略定位,香港的金融监管格局正经历一场深刻而迅速的演变。对于数以百计持有香港证券及期货事务监察委员会(SFC)第1类受规管活动(证券交易)牌照的传统金融机构而言,这既是前所未有的业务拓展机遇,也是一场极其严峻的合规升级挑战。

众多持牌法团(Licensed Corporation)正积极探索如何将其业务版图延伸至虚拟资产领域,特别是提供虚拟资产交易服务。然而,这一跨越并非易事。其核心并非重新申请一张全新的牌照,而是对现有的1号牌进行一次精密的业务范围扩展(Uplift / Top-up)。在这场升级大考中,SFC审查的重中之重,无疑是“人员配置”——即机构是否拥有具备相应资质、经验和能力的人才来驾驭这一高风险、高技术门槛的新兴业务。

Aiying(艾盈)本报告旨在为已持有SFC 1号牌的持牌法团之管理层、合规负责人(Compliance Officer, CO)及负责人员(Responsible Officer, RO)提供一份权威、详尽的行动指南。我们将系统性地梳理和解析从传统1号牌升级至提供虚拟资产交易服务(下文为方便论述,简称“VA1牌照”)所需满足的全部人员要求,剖析监管机构背后的逻辑与考量,并提供可落地的实操清单。本文所有信息均基于SFC截至2025年8月的官方指引、最新通函、咨询文件及权威市场实践案例,旨在帮助您的机构精准导航,稳健地完成这场至关重要的合规跨越。

 

一、 监管框架速览:理解“VA1牌照”的本质

在深入探讨具体的人员配置要求之前,我们必须首先厘清一个基础概念:“VA1牌照”并非SFC官方目录中一个独立的牌照类型。它是一个市场惯用语,特指在现有的第1类(证券交易)牌照之上,由SFC施加一系列特定的虚拟资产条款和条件(Terms and Conditions),从而允许持牌机构从事虚拟资产相关交易活动。这一监管方式的底层逻辑,源于SFC一以贯之的监管哲学——“相同业务、相同风险、相同规则” (Same Business, Same Risks, Same Rules)

这一原则意味着,无论交易的底层资产是传统的股票、债券,还是新兴的虚拟资产,只要其业务模式(如中介交易、提供交易建议)和所带来的风险(如市场风险、操作风险、客户资产安全风险)具有可比性,就必须接受同等严格的监管。因此,SFC要求计划提供VA交易服务的1号牌持牌机构,必须建立一个与传统证券业务同等,甚至在某些方面(如网络安全、资产托管)更为严格的内部管控体系。这一要求直接投射到对人员专业知识和经验的更高标准上。

监管之声:SFC在其于2025年2月19日发布的中明确指出:“SFC的监管采纳了‘相同业务、相同风险、相同规则’的原则——所有现行的传统金融(TradFi)投资者保护护栏均适用于虚拟资产相关活动,这也是目前IOSCO和FSB等国际标准制定者所倡导的方法。”

要准确理解人员配置要求,区分“VA1牌照”与独立的“VATP牌照”至关重要。两者在监管框架、业务模式和申请主体上存在本质区别:

综上所述,VA1牌照的升级路径,本质上是对现有券商业务的一次专业化“插件”安装。SFC关注的核心是:这家机构的“操作系统”(即其人员和内控系统)是否已经准备好运行这个复杂且高风险的“新插件”。因此,下文将要展开的人员配置要求,正是对这个“操作系统”升级的具体规格说明。

 

二、 人员配置深度解析:VA1牌照升级的核心要求

本章节是报告的核心,我们将依据Aiying(艾盈)为客户申牌的经验以及SFC的官方指引、通函及市场实践,全面、系统地拆解升级VA1牌照所涉及的各项人员配置要求。SFC的审查逻辑是穿透式的,不仅审查纸面上的组织架构,更会深入评估每个关键岗位人员的实际胜任能力。任何一个环节的短板都可能导致申请被延误甚至拒绝。

1. 负责人员 (Responsible Officers, RO) — 监管责任的基石

负责人员(RO)是持牌法团与SFC之间的主要沟通桥梁,对公司的受规管活动负有直接的监管责任。在VA1牌照的升级申请中,RO的资质、经验和稳定性是SFC审查的绝对核心,是决定申请成败的关键因素。

数量与架构要求

  • 最低数量:
    根据SFC的要求,每家持牌法团必须就其进行的每一类受规管活动,时刻委任“不少于两名负责人员”。对于VA1牌照的升级,这一基本原则不变。这意味着,公司必须确保在任何时候都有至少两名RO来监督其包含虚拟资产的证券交易业务。
  • 常驻要求:
    SFC规定,至少一名RO必须常驻香港,以便能随时有效地监督业务运作并与监管机构沟通。此外,SFC通常期望这名常驻RO同时也是公司的“执行董事(Executive Director)”,以确保其在公司内部拥有足够的权力和影响力来推行合规政策。
  • 双重牌照考量:
    虽然VA1牌照是1号牌的延伸,但其业务活动同时触及SFO(证券定义)和AMLO(反洗钱)两大法规。如果公司希望全面覆盖证券型代币(Security Tokens)和非证券型代币的交易中介服务,SFC强烈建议其RO申请成为双重牌照的RO。如果RO仅持有SFO下的牌照,其活动范围可能受限。因此,最稳妥的架构是拥有至少两名同时具备SFO和AMLO资格的RO。

经验与胜任能力要求 (Competence Requirements)

这是SFC审查中最为细致和主观的部分。SFC不仅要求RO具备传统的金融从业经验,更对其在虚拟资产领域的认知深度和实践经验提出了明确要求。

  • 传统金融经验:
    作为1号牌的RO,申请人仍需满足SFC的基本门槛,即在过去6年内拥有至少3年直接相关的证券行业经验。这是不可或缺的基础。
  • VA专项经验(核心审查点):
    这是升级申请的成败关键。SFC意识到市场初期人才稀缺,因此采取了所谓的**“务实处理方式” (pragmatic approach)**。

    SFC的务实态度:在SFC关于胜任能力的常见问题解答中,SFC明确表示,考虑到VA牌照制度尚属初期,市场可能缺乏兼具VA和证券经验的人才,因此会采取务实方法评估RO的经验。

    具体而言,SFC对RO团队的VA经验构成有以下期望和处理方式:

    1. 理想配置——经验互补:
      SFC最希望看到的是一个经验互补的RO团队。例如,一名RO是资深的证券交易合规专家,熟悉SFC的各项规则;另一名RO则拥有深厚的虚拟资产背景,例如曾有在加密货币交易所、VA基金或区块链技术公司担任核心岗位的经验,对VA交易、托管、钱包技术、链上分析和智能合约风险有深刻理解。
    2. 仅有VA经验的申请人:
      如果一名RO申请人主要经验来自VA行业(如运营非证券类代币平台),缺乏传统证券经验,SFC可能认可其VA经验等同于1号牌所需的相关行业经验。但作为平衡,SFC可能会在该RO的牌照上施加一项条件(Licensing Condition),即“其牌照仅限于为其主事人(即其所属的持牌法团)的持牌VATP业务提供服务”

      。这意味着他不能从事与VA无关的传统证券业务。
    3. 仅有1号牌经验的申请人:
      反之,如果一名RO仅有传统证券交易经验,而无直接的VA经验,SFC也可能认可其证券经验。但同样地,其牌照可能会被施加“非独任”(non-sole)条件。这意味着该RO在履行与VA相关的职责时,必须在另一名完全胜任(即具备足够VA经验)的RO的监督下工作。
  • 如何证明VA经验:
    口头声明是远远不够的。申请人必须在履历(CV)和申请文件中提供详实、可验证的证据,例如:
    • 曾参与的具体VA项目名称、时间、规模。
    • 在项目中扮演的角色和具体职责(例如,是负责交易策略、风险控制、技术架构还是合规审查)。
    • 管理过的VA资产类型和规模。
    • 使用过的技术工具(如特定的交易系统、钱包解决方案、链上分析软件)。
    • 处理过的具体案例(如应对市场剧烈波动、处理分叉事件、调查可疑交易等)。

考试与培训要求

  • 资格考试 (Licensing Examination, LE):
    所有1号牌的RO都必须通过由香港证券及投资学会(HKSI)举办的资格考试,具体包括:这是硬性要求,除非满足SFC规定的豁免条件。
    • LE Paper 1:
       Fundamentals of Securities and Futures Regulation (证券及期货规例基础)
    • LE Paper 7:
       Financial Markets (金融市场)
  • VA知识证明:
    尽管SFC目前尚未为VA1牌照的RO设立强制性的独立VA考试,但这并不意味着没有要求。SFC会在面试和文件审查中评估RO对VA市场的理解深度。因此,强烈建议所有相关RO,特别是缺乏直接VA经验的RO,主动完成SFC认可的虚拟资产相关培训,并以此作为胜任能力的有力证明。

    行业最佳实践:香港证券及投资学会(HKSI)推出的**“虚拟资产专业人员认证课程”(Certification Programme for Virtual Asset Professionals, CVAP)**是目前市场上最受认可的培训之一。该课程涵盖了VA市场概览、产品特性、相关法规及风险管理等核心内容,完成该课程并获得证书,将极大增强RO申请的说服力。(来源: HKSI CVAP Core Curriculum)

2. 关键职能主管 (Managers-In-Charge, MICs) — 专业能力的延伸

除了直接对SFC负责的RO,SFC的MIC制度要求持牌法团的8大核心职能(Core Functions)必须由明确的、具备适当技能和权限的主管人员负责。对于VA业务,虽然所有MIC都需要了解其对业务的影响,但以下几个岗位的专业能力要求被显著拔高,成为SFC审查的焦点。

合规主任 (Compliance Officer, CO) 与洗钱报告主任 (Money Laundering Reporting Officer, MLRO)

在虚拟资产领域,反洗钱及反恐怖分子资金筹集(AML/CFT)的复杂性和风险性远超传统金融。因此,CO和MLRO的角色变得空前重要,其知识体系必须进行重大升级。

  • 新增核心知识领域:
    • 链上交易监控与分析:
      必须深刻理解区块链的透明性与匿名性并存的特点,并能熟练运用专业的链上分析工具(如 Chainalysis, Elliptic, Notabene 等)进行交易溯源、风险评分和识别可疑活动模式(如资金通过混币器(Mixer/Tumbler)、高风险交易所或暗网市场的流动)。
    • “旅游规则”(Travel Rule):
      必须熟悉金融行动特别工作组(FATF)的建议,并确保公司建立了符合香港SFC要求的“旅游规则”合规流程。这要求在进行价值超过8,000港元的VA转移时,能够收集、核实、保存并向对手方VASP传递交易双方(发起人和受益人)的必要信息。
    • KYV (Know-Your-VASP):
      在与其它虚拟资产服务提供商(VASP)进行交易前,必须具备对其进行全面尽职调查的能力,评估其注册地、监管状态、AML/CFT政策的健全性,以管理对手方风险。
  • 经验要求:
    SFC期望MLRO具备处理涉及虚拟资产的可疑交易报告(Suspicious Transaction Reports, STRs)的实务经验。这包括能够清晰地向联合财富情报组(JFIU)阐述可疑活动的链上证据和分析逻辑。

资讯科技与网络安全负责人 (Head of IT / Chief Information Security Officer, CISO)

虚拟资产的原生数字化特征,使其面临着与传统金融截然不同的技术风险。IT和网络安全负责人的职责从维护传统交易系统,扩展到了保护加密密钥和抵御链上攻击等全新领域。

  • 核心职责:
    保障交易系统、客户数据以及最核心的客户虚拟资产的安全。
  • VA专项技术要求:
    • 安全生成:
      使用经认证的硬件安全模块(Hardware Security Module, HSM)或类似的安全环境离线生成密钥,确保其随机性和不可预测性。
    • 安全存储:
      私钥和助记词的备份必须加密,并以物理隔离的方式安全地存放在香港境内。
    • 访问控制:
      采用多重签名(Multi-signature)和权限分层机制,确保没有任何单一个人可以单方面动用客户资产。
    • 应急预案:
      制定详细的私钥泄露或丢失应急预案,包括快速转移资产的流程。
    • 钱包管理架构:
      必须深刻理解并能设计、实施和维护安全的钱包系统。这包括严格遵守SFC对持牌VATP提出的**98%资产冷储存**的要求,并合理管理剩余2%资产的热钱包风险。(来源: VATP Guidelines, Para 10.6(c))
    • 私钥安全管理:
      这是重中之重。负责人必须制定并监督执行一套覆盖私钥“全生命周期”的严格安全策略,包括:
    • 网络安全防御:
      必须具备应对针对性网络威胁的经验和技术方案,例如分布式拒绝服务(DDoS)攻击、针对智能合约的漏洞利用、网络钓鱼、恶意软件等。定期的第三方渗透测试和漏洞扫描是必须执行的合规动作。

风险管理负责人 (Risk Manager)

风险经理的视野需要从传统的市场、信用和操作风险,扩展到覆盖虚拟资产带来的全新风险维度。

  • 新增风险识别与管理维度:
    • 技术与协议风险:
      理解并评估特定区块链协议的内在风险,如共识机制的安全性、交易终局性(Finality)问题、智能合约代码中可能存在的漏洞、以及硬分叉(Hard Forks)或网络升级可能带来的资产安全和价值波动风险。
    • 市场与流动性风险:
      除了价格高波动性,还需关注特定代币在不同交易所的流动性深度差异、滑点风险,以及在极端市场条件下可能出现的流动性枯竭问题。
    • 托管与对手方风险:
      对合作的持牌VATP和任何第三方技术服务商(如钱包技术提供商)进行严格的尽职调查和持续监控,评估其安全性、合规性和财务稳健性。
    • 操作风险:
      制定针对VA交易的特定操作流程,例如防止“胖手指”错误、处理失败的链上交易、以及确保资产在冷热钱包间转移的安全性。

3. 持牌代表 (Licensed Representatives, LR)

持牌代表是直接面向客户、执行交易指令的一线人员。虽然SFC对LR的经验审查不如对RO严格,但对其知识水平和合规意识同样有明确要求。

  • 基本要求:
    与RO一样,从事1号牌业务的LR必须通过HKSI的LE Paper 1和Paper 7考试。
  • VA知识要求:
    公司负有主体责任,必须确保所有为客户提供VA交易服务的LR都接受了充分的内部或外部培训。培训内容应至少包括:所有培训的记录,包括课程大纲、参与人员、考核结果等,都必须妥善保存,以备SFC随时检查。
    • 所交易VA的基本原理和技术特征。
    • 与VA投资相关的主要风险,特别是波动性、流动性、托管和网络安全风险。
    • 公司的VA交易流程和客户适当性评估标准。
    • 相关的AML/CFT规定。

 

三、 牌照升级后的持续责任与合规维护

成功获得SFC的批准,将虚拟资产交易纳入1号牌的业务范围,这并非终点,而是一个更高合规标准的起点。持牌法团及其关键人员必须履行一系列持续的责任,以确保业务在动态的监管环境中始终合规。忽视这些持续性义务,可能导致严厉的纪律处分,包括罚款、暂时吊销乃至撤销牌照。

持续专业培训 (Continuous Professional Training, CPT)

SFC要求所有持牌个人,包括RO和LR,每年必须完成指定时数的CPT,以确保其知识和技能与时俱进。对于涉足VA业务的持牌人,CPT的要求更具针对性。

  • 内容相关性:
    CPT课程必须与持牌人履行的职能相关。因此,从事VA交易服务的RO和LR,其每年的CPT计划中应包含相当比例的VA相关主题。这些主题可以包括但不限于:
    • 最新的VA监管动态(香港及全球主要司法管辖区)。
    • 新兴的区块链技术和安全威胁。
    • 链上分析和AML/CFT工具的最新发展。
    • 新型VA产品(如RWA代币化、DeFi协议)的结构与风险。
  • 记录保存:
    公司必须为每位持牌人员保存详细的CPT记录,包括课程名称、主办机构、日期、时长和内容摘要,并确保记录至少保存3年,以备SFC审查。

定期报告与独立审计

透明度和外部验证是SFC监管的重要手段。涉足VA业务后,公司的报告和审计义务会增加。

  • 财务报告:
    除了按规定提交年度经审计的财务报表和定期的财务资源申报表(FRR)外,SFC可能要求公司在报告中更清晰地披露与VA业务相关的财务状况,例如持有的VA资产(作为公司资产部分)、相关的收入和支出等。
  • 业务报告:
    SFC有权要求持牌机构定期提交关于其VA业务的报告,可能包括交易量、客户数量、主要交易的VA种类、以及重大风险事件等。
  • 强制性独立审计:
    这是VA业务监管的一个显著特点。根据VATP Guidelines的精神,SFC期望从事VA业务的机构每年聘请独立的第三方专业机构,对其内部控制系统和IT基础设施进行审计或审阅。对于VA1牌照持有者,这尤其可能集中在:
    • IT系统与网络安全:
      特别是钱包管理系统、私钥安全流程和网络防御措施的有效性。
    • 合规与风控流程:
      AML/CFT政策的执行情况,特别是链上交易监控和客户风险评估的有效性。

重大事件报告机制

虚拟资产市场的高波动性和技术风险,要求持牌机构具备高度的风险敏感性和快速响应能力。建立一个有效的重大事件报告机制是强制性要求。

  • 报告时限:
    在发生可能对客户资产安全、公司财务稳健性或市场稳定构成重大影响的事件时,必须在极短时间内(例如,某些安全事件要求在48小时内)向SFC汇报。
  • 事件范围:
    需要报告的重大事件包括但不限于:
    • 任何涉及客户VA资产的网络安全事件,如黑客攻击、私钥泄露或未经授权的访问。
    • 与合作的持牌VATP或主要技术服务商发生的重大服务中断或安全问题。
    • 发现重大的内部欺诈或违反内控程序的行为。
    • 对公司持续经营构成威胁的重大财务亏损。
    • 任何可能引发重大合规风险或声誉风险的法律诉讼或监管调查。

政策与程序的动态更新

虚拟资产行业和监管环境都在以惊人的速度发展。静态的合规手册很快就会过时。因此,持续的政策审阅和更新是必不可少的。

  • 定期审阅:
    公司的合规、风控和IT部门应建立定期审阅机制(例如每半年或每年一次),系统性地评估现有政策和程序是否仍然适用和有效。
  • 触发式更新:
    当出现以下情况时,应立即启动对相关政策的更新:
    • SFC发布新的VA相关通函、指引或常见问题解答。
    • FATF或其他国际标准制定机构更新其标准。
    • 市场上出现新的重大风险事件或攻击手法。
    • 公司计划引入新的VA产品、服务或技术。
  • 员工沟通与培训:
    任何政策的更新都必须及时传达给所有相关员工,并辅以必要的培训,确保新政策能够被正确理解和执行。

 

四、 实操清单与行动指南:您的VA1牌照升级路线图

理论知识最终需要转化为可执行的行动。Aiying(艾盈)在本章节旨在为您提供一个高度结构化、可操作的自查清单和行动指南,帮助您系统性地评估现状、识别差距,并规划从现有1号牌到VA1牌照的升级路径。所有内容均提炼自SFC官方文件及Aiying(艾盈)的实践总结。

核心人员变动概览 (1号牌 vs. VA1牌照)

下表直观地展示了从传统1号牌升级到VA1牌照后,对核心人员配置要求的关键变化和强化重点。这可以作为您进行内部能力盘点的起点。

 

五、 结语:合规是基石,人才是关键

成功将1号牌升级为VA1牌照,是传统金融机构在数字资产时代保持市场竞争力的关键一步。SFC的监管框架虽然严格,但其核心逻辑清晰一致:即通过严谨的规则确保投资者得到充分保护,维护香港金融市场的稳定与声誉。在这套框架中,所有精密的制度、流程和技术,最终都依赖于“人”来设计、执行和监督。因此,建立一支既深刻理解传统金融合规精髓,又具备虚拟资产领域专业知识和风险意识的团队,是通往成功之路的唯一、也是最坚实的途径。这不仅是满足SFC牌照要求的被动行为,更是企业在未来高风险、高回报的VA市场中行稳致远的内在需求。Aiying(艾盈)建议,有意向的申请机构应尽早启动内部人员评估,将人才的引进和培养视为战略性投资随着VA交易商和托管商的新一轮监管咨询在2025年8月29日结束,香港的虚拟资产监管版图将进一步完善。免责声明: 本文内容基于截至2025年8月7日可获得的公开信息和参考资料撰写,仅供一般性参考和学术交流之用,不构成任何法律、财务或投资建议。虚拟资产监管环境仍在快速发展,具体申请要求应以香港证监会(SFC)发布的最新官方指引和规定为准。在采取任何行动前,可咨询Aiying(艾盈)。

Aiying