先说结论:香港 VA Custody 业务上线前,私钥管理制度不能只写“冷钱包、多签、MPC”。真正需要准备的是一套可执行、可审计、可追责的文件体系,至少包括私钥生命周期、权限矩阵、转账审批、备份恢复、异常事件、外包管理和审计留痕。
一线机构客户和监管关注的不是技术名词本身,而是谁能控制客户资产、谁能发起转账、谁审批、谁复核、发生事故谁负责。只要这些问题说不清,即使系统看起来很安全,也很难支撑机构级托管或 VA Custody 路径评估。
上线前应准备哪些核心文件?
| 文件 | 要回答的问题 | 为什么重要 |
|---|---|---|
| 私钥管理政策 | 私钥如何生成、保存、使用、备份、轮换和销毁 | 决定资产控制的基础规则 |
| 钱包架构说明 | 冷热钱包、多签/MPC、地址分层和权限如何设计 | 让外部方看懂资产控制结构 |
| 权限矩阵 | 谁能发起、审批、复核、执行转账 | 防止单人控制和内部舞弊 |
| 转账审批流程 | 提款、调拨、白名单、异常交易如何审批 | 防止错误转账和未经授权转账 |
| 备份与恢复流程 | 密钥丢失、人员离职、系统故障时如何恢复 | 确保业务连续性和资产可恢复 |
| 事故响应制度 | 私钥泄露、异常转账、链上攻击如何处理 | 决定损失控制和通知机制 |
| 审计日志制度 | 操作记录、审批记录、链上记录如何留存 | 支持审计、追责和监管问询 |
| 第三方供应商尽调 | MPC、HSM、云服务、钱包技术商如何评估 | 外包不能替代自身责任 |
私钥生命周期要写清楚什么?
私钥管理不是一个静态文件,而是覆盖完整生命周期的制度。建议至少拆成以下环节:
- 生成:私钥在哪里生成,是否离线生成,是否有双人见证或多方参与。
- 保存:密钥材料、助记词、分片或 HSM 访问权限如何保存。
- 使用:哪些场景可以调用私钥,是否有白名单、限额和双人审批。
- 备份:备份存放地点、访问权限、加密方式和定期测试。
- 轮换:什么情况下轮换密钥,轮换后旧密钥如何处理。
- 销毁:密钥废止、人员离职、钱包停用时如何销毁和留痕。
权限矩阵应该做到什么颗粒度?
很多团队只写“多签审批”,但没有说明谁有权限、权限如何分离、紧急情况如何处理。更好的方式是把角色拆开:
| 角色 | 典型职责 | 控制重点 |
|---|---|---|
| 发起人 | 提交提款、调拨或地址变更申请 | 不能单独完成转账 |
| 审批人 | 审核交易目的、客户指令和限额 | 与发起人职责分离 |
| 复核人 | 核对地址、金额、链、手续费和客户账户 | 防止操作错误 |
| 执行人/系统 | 执行签名或链上广播 | 操作必须留痕 |
| 合规/风控 | 制裁筛查、异常交易、黑名单地址检查 | 高风险交易应可暂停 |
| 审计/管理层 | 定期复核权限和日志 | 防止权限长期失控 |
不同业务场景的文件重点不同
| 业务场景 | 文件重点 | 容易忽略的点 |
|---|---|---|
| VATP 平台内部托管 | 客户资产隔离、冷热钱包、提款审批、保险和对账 | 平台交易系统和托管系统的权限隔离 |
| 独立第三方托管 | 托管协议、私钥控制、授权矩阵、SLA、事故责任 | 谁最终控制资产和谁承担赔偿责任 |
| 基金或家族办公室持有虚拟资产 | 投资授权、私钥保管、估值、对账和受托责任 | 自有资产管理与对外托管服务的边界 |
| 技术钱包服务 | 非托管声明、权限边界、客户自持私钥证明 | 不能实际控制客户资产,否则判断会改变 |
上线前最容易出问题的地方
- 只讲技术,不讲责任:冷钱包、多签或 MPC 不能自动说明谁承担托管责任。
- 只讲安全,不讲审批:没有审批链,发生错误转账时无法追责。
- 只讲系统,不讲人:员工权限、离职权限回收和管理层复核经常被低估。
- 只讲备份,不测试恢复:备份不可恢复,等于没有备份。
- 只讲第三方,不做尽调:使用钱包技术商或云服务商,不等于把责任外包出去。
艾盈咨询 Aiying License 的实务提醒
我们通常会建议 VA Custody 团队先做“私钥和客户资产控制文件包”,再讨论牌照路径。因为托管业务的核心不是钱包产品介绍,而是资产控制、授权、对账、事故处理和责任边界。
如果你正在评估香港虚拟资产托管业务,可以继续看 香港 VA Custody 服务页;如果业务同时涉及交易平台,也应同步评估 香港 VATP / VASP 牌照路径。
咨询前建议先整理的材料
- 钱包架构图:冷热钱包、多签/MPC、地址分层、系统连接方式。
- 权限矩阵:谁能发起、审批、复核、执行和查看。
- 转账流程:正常提款、大额提款、紧急暂停和异常处理。
- 私钥生命周期文件:生成、保存、备份、恢复、轮换、销毁。
- 对账和审计:链上余额、客户账、内部账如何核对。
- 外包清单:钱包、HSM、MPC、云服务、审计和保险供应商。
FAQ
使用 MPC 是否就足够说明私钥安全?
不够。MPC 是技术方案,不是完整制度。还要说明权限分离、审批流程、备份恢复、日志留存、事故处理和供应商管理。
只做非托管钱包是否需要准备这些文件?
如果确实不控制客户私钥和转账权限,监管判断可能不同。但仍建议准备非托管边界说明,证明服务商无法单方转移客户资产。
为什么要写事故响应制度?
因为虚拟资产一旦错误转账、私钥泄露或被攻击,追回难度很高。事故响应制度能证明团队有暂停、隔离、通知、调查、补救和复盘机制。
监管依据与延伸阅读
本文由艾盈咨询 Aiying License 原创整理,结合艾盈自主研发的 Ai全球金融法务、公开监管资料及牌照申请实务经验形成。
- SFC 香港证监会:Guidelines for Virtual Asset Trading Platform Operators
- FSTB:Consultation Conclusions on Regulation of VA Custodian Services
更新时间:2026-06-17