首页 > 常见问题

香港证监会SFC虚拟资产牌照常见问题解答，FAQs on Hong Kong Securities and Futures Commission (SFC) V

时间：2025-06-22 18:15:14 阅读：1243

香港证监会SFC虚拟资产牌照常见问题解答

《香港证监会SFC受规管活动持牌：虚拟资产牌照常见问题解答》由仁港永胜唐生整理讲解。

本指南涵盖在申请香港证券及期货事务监察委员会（SFC）关于虚拟资产（Virtual Assets，简称“VA”）相关牌照（1/4/7/9类）过程中，企业及高管团队最常遇到的合规、系统、人员、费用、结构等关键问题。

一、总则类常见问题

Q1：香港SFC是否已设立专门的虚拟资产牌照？

A：并未设立“单独的VA牌照”，而是以传统持牌架构（如第1、4、7、9类）基础，附加虚拟资产业务条件与技术规范。
如经营交易平台，须申请第1类（证券交易）+ 第7类（自动化交易服务）+ 虚拟资产平台注册（VASP）。

Q2：香港SFC是否允许零售客户投资虚拟资产？

A：允许，但需满足以下前提条件：

所涉虚拟资产不构成证券性质或须符合法规要求（如STO、VA基金）
平台或基金管理人须已注册VASP并获得适当牌照
须实施“适当性评估+投资者教育”机制
零售客户仅能购买被SFC列入“合资格虚拟资产清单”中的项目

Q3：SFC监管的“虚拟资产”包括哪些内容？

A：包括但不限于：

数字货币（如比特币、以太坊）
证券性质的代币（STO）
虚拟资产基金单位、VA ETF
稳定币（如USDT），若涉及存取兑付、募资、基金化使用等

二、申请条件与结构类

Q4：我只有境外平台，是否可以在香港申请SFC VA牌照？

A：可以，但须设立香港本地法人公司作为申请主体，并满足：

香港本地办公室、审计师、RO人员
系统与业务在港运行或接受香港监管
不得以纯“境外联络处”形式运作

Q5：需要几位RO？必须住香港吗？

A：

一般需至少2名RO，其中1人需为驻港人士
RO需参与日常决策并能随时与SFC沟通
可由董事或合规高管兼任，但必须真实履职

Q6：需要多少注册资本与保证金？

A：

1/4/7类牌照：最低500万港币缴足股本
虚拟资产平台（1+7类）+客户资产：需不少于300万港币的速动资金
不设明文保证金要求，但SFC可个案要求设置“客户保障金账户”或托管账户

三、技术系统与合规类

Q7：我可否使用外包钱包或系统进行SFC合规申请？

A：可以，但须满足：

系统结构完全“封闭式平台”
钱包/交易引擎不能开放给公众
外包服务商需提供完整API文档、SOC审计、灾备机制
系统架构、KYC/AML策略需由申请人掌控和解释

Q8：是否必须实施冷钱包？如何证明安全性？

A：

必须采用冷/热钱包分层结构
冷钱包需多签控制、脱离互联网
须提供：
- 钱包结构图
- 权限设置说明
- 安全测试报告（如渗透测试、SOC2审计）

Q9：是否需对所有客户进行KYC？是否接受机构账户？

A：

是，所有客户（自然人/法人）必须完成KYC/AML识别
接受机构账户，但需提供：
- 商业登记证
- 控权人信息（UBO）
- 合规信函（合规官签发KYC问卷）
建议使用专业KYC厂商（如Sumsub、ShuftiPro）

四、费用、流程与时间表类

Q10：申请整个VA牌照组合（1/4/7/9+VASP）费用是多少？

A：

项目	费用
SFC申请费（1/4/7/9类）	每类港币4,740元（7类为129,730元）
顾问费用（含文件准备）	50–80万港币（视项目复杂度）
技术合规报告、外包服务	30–100万港币（含审计/测试报告）
RO人员安排与薪酬	通常RO每年需支付薪酬40–100万港币/人

Q11：审批流程需要多长时间？

A：

WINGS提交后：30天初审
中期SFC函件问答 + 补件：60–120天
面谈 + 系统演示：1个月内
总体：6–9个月为常规周期，最快4个月可完成，视材料与问答质量而定

五、平台运营与后续合规类

Q12：我获得牌照后是否可以立即上线运营？

A：

不可以。须完成：
- 平台冷/热钱包验收
- 客户账户测试交易
- SFC系统回测合规性
SFC可能附加条件，要求“先完成内部模拟运营3个月”才可正式上线

Q13：获批后需要提交哪些年度文件？

A：

年度财务审计报告（与客户资产报告合并）
AML年度审查报告
业务回顾（Business Return）：每季报送
RO值班记录、内部政策更新摘要

Q14：RO离职后是否需重新申请？

A：

是，如RO离职，须在7日内向SFC备案
若剩余RO不足2名，须暂停受规管活动
新任RO需重新填写Form 5 + 面谈/履历审查

Q15：是否可以跨国运营？

A：

原则上：只可就香港客户提供受规管活动
若有海外客户：建议设立本地子公司，避免被视为违反其他国家监管规定
SFC允许持牌公司披露“仅就香港市场运作”并在网站清晰声明

六、关于投资者与客户账户管理

Q16：客户是否可以开立多个交易账户？

A：否。根据SFC《适用于虚拟资产交易平台的附加规定》第9.24条：

“平台不得允许同一客户以不同身份在平台开设多个账户。”
目的为防止洗钱、操纵交易、利益冲突等行为。

Q17：客户是否可以使用匿名钱包或转账工具（如Tornado Cash）入金？

A：不允许。平台需对每笔入金来源进行追溯性识别（traceability）。任何来源不明的钱包（如MIXER类工具）将被归类为高风险，并触发：

可疑交易报告（STR）
延迟入账
客户账户冻结（如反复发生）

Q18：平台是否可以提供杠杆交易？

A：限制极高。如涉及以下情况，将构成额外牌照要求与重大审查：

保证金交易（Margin）
借贷机制（Lending）
永续合约 / 期货 / 期权交易

若客户可在平台内“超额交易”或“延迟付款”，将被视为第2类受规管活动（期货合约交易），需另行申请。

七、关于托管与冷钱包架构

Q19：是否必须使用本地托管商？可以外包给海外公司吗？

A：可外包，但须满足：

托管方具备完善的多签机制
拥有金融资产托管或钱包服务历史
提供服务协议 + 安全责任说明
香港平台方承担最终合规责任，SFC可能要求独立渗透测试及代码审查

Q20：平台是否可以自建钱包系统？

A：可自建，但需满足：

冷/热钱包分层独立
关键私钥不得存储于联网服务器
系统需通过外部安全审计（如：SOC2 / ISO 27001）
须准备“钱包系统结构图 + 签名流程图 + 异常处理计划”

八、关于AML/KYC持续尽职调查

Q21：是否必须每年重新审查客户KYC信息？

A：是。依据《打击洗钱与恐怖分子资金筹集指引》第4.10条，平台须：

对所有客户进行持续尽职审查（Ongoing CDD）
若客户风险等级为“高”，需每6个月复审一次
有地址/身份变更等情况需即时报备与复核

Q22：客户提供了护照与地址证明，是否就足够？

A：不一定，平台还需根据客户类型进一步要求：

客户类型	额外要求
香港个人客户	香港身份证 + 地址证明
外籍个人客户	护照 + 国籍评估（含制裁审查）
法人客户	公司注册证书 + 董事/控权人身份证 + 公司结构图（UBO）
信托或家族办公室	需披露受益人及控权人详情（信托契约等）

九、关于RO履职与人员安排

Q23：RO是否必须全职？是否可以跨公司担任？

A：

RO需具备“实质参与”业务管理能力
建议为全职角色（兼职需说明工作安排）
不可于多个持牌公司交叉担任RO（除非属于同一集团结构，需SFC备案说明）

Q24：若MLRO（反洗钱负责人）非RO，可以吗？

A：可以，但需具备：

高级管理人员身份
直接向董事会或合规主管汇报
拥有充分资源处理STR / AML监控系统
SFC可能要求其参与面谈或培训资料提交

十、监管处罚与典型风险案例

Q25：SFC曾因哪些事项处罚持牌VA平台？

A：以下为SFC已公布的典型处罚事项：

案例	违规事项	处罚结果
香港某交易所	未披露资产归属风险 + KYC程序薄弱	警告 + 限期改正通知
某VA基金管理公司	使用未获许可的钱包系统 + 无AML培训记录	暂停牌照6个月
某顾问中介	为客户代投VA产品，未说明风险 + 无适当性文件	高额罚款 + 吊销第4类牌照

Q26：SFC对虚拟资产类RO的面谈重点有哪些？

A：

是否理解相关牌照下的责任范围与法律义务
是否了解所经营VA产品的法律属性
是否清楚AML制度执行流程
如何管理“潜在客户资产挪用风险”

十一、关于多牌照结构与集团营运安排

Q27：一个平台是否可以由多家公司分别持有不同类别的牌照？

A：可以。但需满足以下监管原则：

各公司须分别申请相应牌照（如：A公司持第1/7类，B公司持第9类）
需披露集团结构图 + 控股关系，并提交书面说明牌照职能分工
若客户数据、钱包系统、人员有共享，则需编制：
- 数据隔离与权限管控政策
- 员工交叉管理机制说明
- 年度IT审计报告涵盖所有持牌实体

Q28：不同持牌公司是否可以共用一个KYC系统？

A：可以，但前提为：

所有公司对外KYC流程一致
系统操作记录可区分归属公司
有完整的共享协议 / Outsourcing agreement
须注明哪家公司对KYC数据负最终合规责任

十二、关于产品分销与适当性评估

Q29：若我只分销代币化债券，是否也要申请牌照？

A：视乎代币法律属性。如该债券为“证券性质虚拟资产”，即属于《证券及期货条例》下第1类活动范围，应申请：

第1类（证券交易）
第4类（就证券提供意见）
同时遵守《虚拟资产销售适当性指引》

判断依据包括是否具备：收益承诺、兑付权利、回购条款等

Q30：是否必须对每位客户都执行适当性评估？

A：是的，即便是专业投资者，仍需执行：

客户分类（PI vs. 零售）
财务状况 + 投资经验问卷
风险承受能力评估
与拟销售VA产品进行匹配分析

建议使用标准化文件模板：

《客户分类及风险承受能力问卷》
《产品适当性比对表》
《非保证/损失申明确认书》

十三、关于系统测试、渗透测试与审计机制

Q31：是否必须提交IT系统渗透测试报告？

A：建议提交。尤其适用于平台运营者（第7类）、交易服务中介（第1类）。SFC可能要求：

外部供应商提供渗透测试报告（如：OWASP / CVSS评分标准）
钱包模块单独报告 + 安全签名逻辑说明
内部审计控制记录（如测试人员权限 / 日志 / 回溯控制）

Q32：SFC是否接受外包系统？

A：可以，但仍由持牌公司承担监管责任。
必须：

明确系统架构、模块职责
外包协议中列明服务级别与审计权（SLA & audit rights）
提交外包合规评估表 + 风险控制措施

十四、关于财务报表、资本要求与年审

Q33：申请虚拟资产相关牌照，有无最低资本金要求？

A：有，取决于牌照类别。

牌照类别	实收资本要求	流动资金要求
第1类（VA）	最少 500万港币	300万港币以上
第7类	建议1000万港币以上	保证可支撑6个月运营
第9类（基金）	300万港币起	须有NAV管理系统配套
多牌照合并	需累加计算（或用较高项）	须提交营运预算与财务模型

财务模型建议附带：

盈亏预测表（P&L Forecast）
资本充足率测试（Capital Stress Test）
客户资产与自有资金分离说明

Q34：是否需要年审或持续向SFC申报事项？

A：需要。以下为典型持续义务：

年度审计报告（经香港持牌审计师签署）
年度AML培训记录与执行总结
合规计划书（Compliance Plan）
员工披露 + RO持续合规申报
IT系统变更备案（重大版本升级需提前通知）

十五、关于灰色地带业务与实务建议

Q35：我是否可以设立一间海外公司持牌，再接香港客户？

A：不建议。若存在以下任何情况，将被SFC视为“在港招揽业务”：

网站使用中文 + 有港币报价
员工或代理人位于香港
广告、推介活动投放至香港用户
银行账户接受港币入金

即便持牌于新加坡/开曼，只要招揽港人，即属违规行为。

Q36：是否可设立“纯技术平台”避开SFC监管？

A：不可。如满足下列任何条件即构成监管对象：

系统撮合买卖双方交易
代持客户资产（VA或法币）
提供买卖建议
接受客户资金并进行配对或分发

十六、关于境外业务与牌照边界

Q37：平台是否可以接收境外客户？

A：可以，但需小心监管重叠问题。
香港持牌平台可服务境外客户，前提是：

相关国家未明确禁止平台提供服务
香港平台未在当地设立营销代表或实体
客户自发通过网络访问（非主动推销）

若接收美国客户，务必留意 SEC / FinCEN 等可能要求额外登记或报备。

Q38：平台在海外设服务器是否合规？

A：可以，但须说明：

数据安全措施（加密、访问控制）
服务器地理位置是否影响合规（特别是涉及欧盟GDPR或中国数据出境管理条例）
SFC是否可远程调阅数据或配合执法单位

建议：主服务器设在香港、海外作为灾备中心，并准备数据主副架构说明。

十七、关于RO职责与多牌照协调

Q39：一个人可以同时担任多个牌照类别的RO吗？

A：可以。但须满足：

每类业务都具备足够经验与资格（考试 + 管理经验）
无利益冲突或职责不清情形
清晰说明时间分配与责任范围
SFC可能要求填写《RO角色分配声明书》或进行面谈确认。

Q40：RO离职或更换会影响牌照吗？

A：是。RO变更属于重大事项，必须：

至少提前7日书面通知SFC
新任RO需通过“适当人选”评估（包括背景审查、RO考试、面谈等）
公司须证明新RO能“实质参与”业务（否则将被吊销牌照）

若无替代RO接任，SFC有权暂停相关牌照类别，即使仍继续运营也属违规。

十八、关于合规责任人、外包与技术承包

Q41：我可以聘请外部公司提供AML/KYC服务吗？

A：可以，但须满足以下要求：

签订《合规服务协议》列明责任划分
内部仍需一名“合规负责人”总览执行情况
重要职能（如客户分类、风险评级）不得完全外包
平台必须保留最终决定权。

Q42：若使用外包技术平台，SFC是否仍认为我是“交易服务提供者”？

A：视乎平台控制程度。如您拥有以下任一职能：

控制撮合逻辑、交易规则、结算优先级
提供平台账户/钱包系统
对用户数据有操作权限
即会被视为“平台营运者”，需持牌。

十九、关于平台撮合、撮合系统及T+0机制

Q43：是否可以采用第三方撮合引擎？

A：可以，但需满足以下几点：

已通过第三方IT安全审计（如SOC 2 Type II）
提供撮合逻辑说明书 + 交易优先级规则
拥有完整异常处理机制（包括闪崩、系统宕机等）
操作日志完整可审计，供SFC随时抽查

若使用开源撮合系统，应明确进行代码审查与风险评估。

Q44：是否允许T+0交易？平台是否必须提供结算周期？

A：可以进行T+0交易，但需说明：

风险披露已明确即时成交机制
投资者已知悉：无退市机制 + 高波动风险
若平台提供“延迟付款”或“锁仓先交易”机制，则将构成信贷/杠杆交易，可能需额外牌照（如第2类）

二十、关于冷钱包与多签机制

Q45：SFC是否要求强制采用冷钱包？

A：强烈建议使用。监管期望：

至少80%客户资产储存于冷钱包
冷钱包应离线保存（如USB、HSM、纸钱包等）
拥有双重或多重签名机制（2 of 3, 3 of 5 等）
热钱包仅作小额流动使用，并设限额

SFC审核时会要求提供：

钱包结构图
多签配置说明
私钥持有人清单 + 冗余管理机制

Q46：钱包私钥可否由单人持有？

A：绝不可。必须：

多签（如董事 + 合规人员 + 外部审计）
设置灾备程序（如私钥丢失或死亡）
每次交易/转账需至少2人联合签署
否则视为控制不合规，平台风险过高。

二十一、后续可提供补充内容（可按需文档化）

如您需要，可以向仁港永胜唐生索取以下电子档：

✅《RO/MLRO资格审核要点及补充资料模板》
✅《外包协议样本（钱包托管 / KYC厂商）》
✅《冷钱包+热钱包合规图示与签名流程图》
✅《多牌照合规结构 + 责任分工图解》
✅《撮合交易系统+订单优先逻辑白皮书》
✅《适当性评估执行记录表与案例说明》

二十二、关于年审、报告与持续监管义务

Q47：SFC牌照获批后每年是否要年审？是否有年度报告义务？

A：是的。每类受规管活动及持牌实体需遵守以下持续义务：

监管义务	时间点	报送内容
年度审计报告（核数师）	每年财政年度完结后4个月内	审计账目、净资产合规性、客户资金隔离证明
业务概况年度申报（Annual Return）	每年一届	业务活动摘要、员工、RO及董事变更
合规报告（Compliance Confirmation）	随Annual Return一起提交	是否符合SFC牌照条款与财务规定
虚拟资产专项汇报（如平台）	不定期（SFC函件或新规生效）	冷热钱包比例、交易量、客户国籍、STR报告等

建议建立专门“合规日历”，提前准备文件草稿、报告格式，便于年度更新。

Q48：如果平台未有营运收入，是否仍需提交报表或年审？

A：是。即使尚未正式启动业务，仍需提交“零营运”报告，并确保：

公司维持最低净资产（例如100万港币）
银行账户仍在正常运作（不可无交易6个月以上）
核数师出具“已无实质营运”审计报告或说明

若平台长期无营运 + 无发展意向，SFC可能发函要求解释，甚至考虑吊销或冻结牌照。

二十三、关于“适当人选”与“控制人”定义

Q49：什么是“适当人选（Fit and Proper）”？适用于谁？

A：适当人选标准适用于所有：

董事
负责人员（RO）
持牌代表
控制人（即直接或间接控制持牌公司≥10%股权者）

评估标准包括：

无刑事或欺诈前科（金融犯罪尤严）
有无SFC、FCA等监管处分历史
财务稳健记录（如无破产、无债务缠身）
专业知识与行业经验是否匹配业务范围

若某董事有曾参与失败项目但未被追责，可由合规顾问撰写“适当性说明信”，向SFC解释。

Q50：什么人算是“控制人”？境外母公司算不算？

A：控制人包括：

持有公司10%以上直接或间接股权的人
有权任命或罢免董事会多数成员的人
有权直接或间接控制投票权或业务决策的人

✅ 境外母公司若持股≥10%，即属于“间接控制人”，须提交：

控股结构图（穿透至最终自然人）
所有中间实体的注册文件、董事名单、章程
控股人声明信 + 反洗钱自律声明书

二十四、关于客户资金处理与托管义务

Q51：客户资产是否可以与公司营运资金合并存放？

A：绝对不可以。根据《证券及期货条例》规定：

客户资金必须放在“独立客户资金信托账户”中
不能用于公司营运或预支平台费用
所有客户充值与提现均需流水留存、可溯源

每日或每周必须完成客户资产对账，并可由核数师查核。

Q52：SFC是否强制要求客户资产托管？

A：视情况而定：

若涉及证券类虚拟资产（如STO、VA ETF），SFC通常要求：
- 资产托管安排（第三方或分隔存放）
- 冷钱包托管应非由平台自己管理单一私钥
非证券性质代币（如实用型Token）则允许平台托管，但需：
- 多签机制
- 每日可审计记录
- 风险控制措施（限额、保险等）

建议附加“第三方审查报告”或“托管系统演示录像”增强合规性。

二十五、关于客户适当性评估与投资者分类

Q53：是否可以服务零售投资者？

A：可以，但前提是：

平台仅允许非证券性质的虚拟资产交易
明确向SFC说明“风险披露制度”、“KYC问卷等级评估”机制
交易产品不包含衍生品、杠杆或保证金机制

若涉及证券性质资产或复杂衍生结构，只能服务“专业投资者”（资产 ≥800万港币）或机构客户。

Q54：客户适当性问卷必须怎么设计？

A：建议包含以下栏目：

投资经验（是否曾投资虚拟资产 / 股票 / 衍生品）
风险承受能力（从亏损容忍度、资产占比评估）
理解能力评估（是否明白Token白皮书、冷钱包机制）
产品匹配分析（系统自动将产品等级与风险等级对应）

✅ 强烈建议设置“提示机制”：

若客户风险等级<产品风险等级 → 强制性风险披露或强制等待期

二十六、关于技术系统与合规对接问题

Q55：SFC是否强制要求自建系统？可以外包吗？

A：可以外包，但须满足以下条件：

所有系统模块（开户、交易、钱包、KYC、交易监控）必须可审计
外包方应提供完整ISMS信息安全管理系统认证
平台需对所有模块具有最终控制权（如访问权、配置权）

推荐做法：

与外包厂商签署合规交付协议 + IT审计条款
向SFC提交技术说明书 + 外包协议摘要

Q56：SFC要求系统保留多久交易数据？形式有无要求？

A：最少7年（根据《证券及期货条例》第130条）

所有客户交易、登入、账户变动、冷热钱包转移记录，需加密+可读取+可导出
数据储存在香港本地服务器优先，若用海外云服务（如AWS、Azure），需说明合规保障（如加密+权限隔离）

✅ 可附：

数据备份说明图
异地灾备机制计划书

二十七、关于项目代币筛选机制（Token Listing）

Q57：是否需要对上线代币进行合规审核？

A：是的。SFC建议平台建立一套Token筛选与审查机制，包括：

合规分类：是否为证券性质？是否涉及收益分配？
发行方背景：是否有真实团队？是否做过KYC？
流动性审查：是否仅在境外交易所流通？交易量是否异常？
技术结构：智能合约是否开源？审计报告是否合格？

建议平台设立“代币尽职调查委员会”，出具每一个上线币种的Token Due Diligence Report。

二十八、关于异常交易识别与STR报告机制

Q58：SFC要求监控哪些“异常行为”？如何触发STR？

A：常见需要报告的行为包括：

大额交易频繁进出，明显与客户财务背景不符
多账户使用同一设备或IP（涉嫌洗钱）
短时间内跨境转入多笔高风险币种（如隐私币）
尝试规避KYC认证、提供伪造证件者

STR（Suspicious Transaction Report）提交指引：

首先内部合规专员（MLRO）审查
若判断为“合理可疑”，7日内向香港联合财务情报组（JFIU）报送
附上系统截图、交易记录、风险评级历史

✅ 附件建议：

STR报告模板（中英双语）
可疑交易案例分类清单
自动触发监控系统规则样例

二十九、关于系统灾难与应急响应（BCP/DRP）

Q59：是否必须准备IT系统灾难应对计划？

A：必须。所有受监管持牌人应准备以下两份计划文件：

BCP（Business Continuity Plan）业务持续计划
DRP（Disaster Recovery Plan）灾难恢复计划

内容包括：

系统故障恢复机制（2小时内）
备用冷钱包地址与私钥分离管理
客户资料备份机制
与外包厂商的“灾难应急恢复服务协议”

✅ 每年至少一次系统演练，并保留日志，供SFC或外审查看。

三十、关于系统测试与SFC演示环节

Q60：SFC面谈环节需演示哪些系统功能？

A：如涉及第1类+第7类平台，SFC会重点要求演示：

演示模块	内容要求
钱包系统	热/冷钱包比例、权限配置、授权逻辑、提现流程
撮合引擎	撮合流程（价格优先/时间优先）、是否可操控
客户KYC	实名认证界面、审核流程、人脸识别厂商展示
异常识别	后台风险预警机制、交易量突变自动标注系统
日志与审计	日志记录样例、审计轨迹、访问日志分类管理

建议事前准备完整“系统功能清单PPT”+演示录屏+系统白皮书

三十一、客户投诉处理与纠纷应对机制

Q61：SFC对持牌机构处理客户投诉有何要求？

A：持牌人必须建立一套“客户投诉接收与应对制度”，确保合规与及时响应。必须包括：

客户投诉专属渠道（如：complaint@domain.com）
处理流程与时限（建议5个工作日内首次回应）
指定合规专员负责归档与内部通报
每季度整理《投诉处理摘要报告》供董事会/RO审阅

推荐建立：

投诉登记表（Complaint Log）
回复模板（含免责声明）
投诉升级机制（合规内审/法律顾问）

三十二、黑名单客户与账户拒绝机制

Q62：平台是否可以拒绝特定客户开户或交易？

A：可以，且必须在以下情况下强制拒绝或中止服务：

客户为联合国制裁名单、OFAC制裁名单、JFIU通报对象
反复提供虚假身份资料
频繁进行高风险币种混合交易（如隐私币 + 跨境跳转）

建议建立：

实时黑名单接口（如使用Dow Jones、Refinitiv或Chainalysis）
拒绝客户操作记录机制
客户风险等级提升自动限权系统

✅ 附件建议：

《拒绝开户决策文书模板》
《黑名单审查制度（黑白名单自动比对规则）》

三十三、关于接收海外客户（如东南亚/中东）

Q63：持香港牌照是否可以接收海外客户？

A：可以，但需满足当地法规不禁止 + SFC透明备案。

条件包括：

向SFC披露客户来源国家
是否设有“本地推广代表”或广告投放
评估该地区法律是否要求双重监管

例如：

香港持牌人招揽新加坡客户，若该活动构成“主动推销”，新加坡MAS可能要求CMS牌照
接收中东客户资产需确认资金来源合法合规，并保留反洗钱核查纪录

三十四、双牌照结构与多地合规备案机制

Q64：SFC是否允许与新加坡/开曼/阿联酋的持牌公司联营运营？

A：允许，但须申报清楚集团结构，且确保香港部分为实际运营核心。

若海外公司持有业务系统（如KYC、钱包），必须提交外包或合营协议
所有客户资产流入/出必须途经香港持牌人
RO与董事架构中不可“空壳化”处理香港公司

推荐编制：《多牌照合营结构图》《职能分布表》《合规责任划分备忘录》

三十五、是否可以申请加入监管沙盒？

Q65：SFC是否仍接受加入“虚拟资产监管沙盒”的平台？

A：监管沙盒机制已逐步过渡为“正式牌照制度”，但具备新型产品模型、重大创新、合规难点的公司，仍可：

通过提交申请函，表达意向进入“观察式审批”机制
在未正式持牌前，获准与监管者提前进行系统测试、材料准备

常见适用场景：

混合型结构（DeFi + CeFi平台）
NFT金融化项目（如NFT质押借贷、二级交易）
基于RWA（Real World Assets）代币化平台

三十六、SFC如何判定“证券性质”的虚拟资产？

Q66：我的平台上代币是否构成“证券”？如何判断？

A：SFC采用实质判断标准，主要包括：

判断标准	内容说明
收益结构	代币持有人是否可获得分红、固定收益？
投资意图	是否为公众集资？是否承诺回购？
管理主体	是否由团队/公司主动操盘投资资产？
法律权利	持有人是否享有投票、债权或产权？

推荐准备：《Token法律属性评估报告》+《非证券声明函》（Legal Opinion）

三十七、关于牌照获批后的结构变更

Q67：如果平台运营后拟变更RO或大股东，是否要报SFC？

A：必须。按SFC《发牌手册》第9章内容：

所有RO（Responsible Officer）变更，必须提前30日申报
控股股东变动（超过35%），需提交：
- 新股东KYC资料
- 控股架构图更新版
- 《适当人选声明书》

注意：如变动涉及实质控制权，SFC有权重新审批或撤销现有牌照。

三十八、虚拟资产相关的广告合规限制

Q68：我是否可以在社交媒体发布平台宣传文案？

A：需小心。若广告内容包含以下要素，须符合《证券广告条例》与《适当性指引》：

宣称“无风险”“高收益”
鼓励即刻投资
以“受监管平台”误导公众（如误导尚未获牌）

建议内容附免责声明，如：

“本公司正在申请香港证监会牌照，尚未获得批准，所有服务须待牌照获批后方可开展。”

三十九、IT系统是否必须进行外部审计？是否强制？

Q69：虚拟资产平台的IT系统是否必须做外部审计？

A：不是强制要求，但极度建议。根据SFC《技术风险管理框架》及《平台营运准则》：

核心交易系统（撮合引擎、钱包系统、KYC接口）建议每年至少由第三方专业审计机构进行测试；
包括但不限于：
- 渗透测试（Penetration Test）
- 异常恢复演练
- 数据完整性验证
审计结果应存档并供RO、IT主管及合规部查阅。

建议机构包括：

Deloitte Cyber | PwC Digital Asset Team | Kudelski Security | KPMG Tech Risk

四十、客户资料与交易数据保留期限？

Q70：香港法规对客户数据、交易记录的保存有何要求？

A：需保留不少于7年。参考《证券及期货条例》第129条及《打击洗钱指引》要求：

客户KYC资料（身份验证、地址、风险问卷）：7年
交易记录（下单、撮合、结算、资金流向）：7年
STR可疑交易记录与内部合规通报：7年

数据应加密存储，并设立多层访问权限机制，严禁未经授权读取。

四十一、平台如何控制跨链资产？是否允许链上资产“跳链”？

Q71：平台客户资产可否转出至非托管钱包？

A：不允许“完全开放式”链上资产跳转。SFC对“客户资产管理”有明确闭环要求：

若平台提供客户提币功能，需：
- 设立白名单地址机制
- 建立“冷钱包审批 + 手动签名机制”
- 所有提币行为需经RO或指定合规负责人批准
- 可采用Chainalysis等区块链分析接口监控去向

推荐机制：设定每日总提币额度 + 单地址单日限额 + 风控预警中断机制。

四十二、RO可以兼任MLRO/董事/合规负责人吗？

Q72：同一人可否在平台内担任多个角色？

A：可以，但须申报并证明具“胜任能力+无冲突”。SFC允许在中小型结构中：

角色组合	可否兼任	申报要求
RO + 董事	✅可	填写Form 5 + 附履历
RO + MLRO	✅可	须具备AML培训与实际经验
RO + Compliance Head	✅可	须附责任分工说明书
RO + CEO	⚠️谨慎	不建议在大型平台使用该组合结构

附件建议：

《RO多职合一说明书》
《合规结构分层图》（列明职能与监督路径）

四十三、什么情况下SFC会吊销虚拟资产牌照？

Q73：SFC在何种情形下会吊销VA相关牌照？

A：下列情况极有可能导致吊销或暂停牌照：

重大事故未及时上报（如资产被盗、系统瘫痪）
多次违反AML/KYC政策（如客户欺诈识别失败）
RO辞职后超过90天未补人选
提供虚假文件或误导性披露
实体已无营运、无人员实际值勤

建议建立《牌照维持监控机制表》，包含：

月度KYC审查次数
STR报告汇总情况
RO值勤记录与在职日历
SFC问询回复日志

四十四、香港以外营运技术人员是否合规？

Q74：我的IT系统由新加坡或台湾技术团队开发维护，是否违反SFC规定？

A：不违反，但必须有清晰外包说明与系统控制协议。

必须满足：

香港实体对系统拥有“最终控制权”
系统代码/交易撮合/钱包密钥不得完全由海外人员掌控
所有系统数据应保留一份主副本于香港数据中心
外包协议中明确SFC“可查阅权限”与紧急接管机制

✅ 附件建议：

《IT外包说明书》
《关键控制系统权限分布图》

四十五、平台是否必须配合警方/JFIU调查？

Q75：如香港警方或JFIU要求查阅客户交易数据，是否必须配合？

A：必须配合，并在不违反其他法律的前提下提供支持。