出品|白露會客廳

編輯|博文

2024年2月20日,香港金管局發布《銷售及分銷代幣化產品》通函,列載金管局對於認可機構向客戶銷售及分銷代幣化產品,即利用分佈式分類帳或類似技術以數位形式表達的現實世界資產(RWA)時需遵守的預期監管標準,包括涵蓋範圍、一般原則、盡職審查、產品與風險揭露、風險管理、保管服務、實施方法等內容。

以下為通函原文。

本通告列載金融管理局(「金管局」)對於認可機構向客戶銷售及分銷代幣化產品時需遵守的預期監理標準。

涵蓋範圍

本通告涵蓋代幣化產品(就本通告而言,指利用分散式分類帳或類似技術以數碼形式表達的現實世界資產),但不適用於受《證券及期貨條例》規管以及受證券及期貨事務監察委員會(「證監會」)與金管局不時發出的相關規定管限的代幣化產品。

一般原則

金管局支持認可機構在代幣化方面的舉措,並對業界至今所取得的進展感到鼓舞。金管局認為現在是時候就代幣化產品相關活動提供指引,為銀行業提供清晰的監管要求,以支持業界繼續創新及實現代幣化可帶來的好處,同時從消費者/投資者保障的角度採取適當的保障措施。

作為一般原則,現行有關銷售及分銷某產品的監管規定及消費者/投資者保障措施也適用於以代幣代化形式銷售及分銷的該產品,原因是其條款、特點及風險(由代幣化本身所引起的風險除外)與相關產品的條款、特性及風險相若。

以下例子進一步說明上述一般原則的應用:

(i)認可機構分銷代幣化不受《證券及期貨條例》規管的結構性投資產品時,應採納適用於金管局所定有關銷售不受《證券及期貨條例》規管的結構性投資產品的現行監理規定及投資者保障措施;以及

(ii)認可機構分銷代幣化黃金時,應遵循規管銷售黃金的相同規定,包括《銀行營運守則》、《公平待客約章》及金管局發出的任何其他適用規定。

儘管部分代幣化產品基本上是以代幣化作為包裝的傳統產品,但仍有可能會出現一些情況是某代幣化產品的性質、特點與風險因該產品在代幣化過程中的結構及安排而有所改變。舉例來說,將某項資產的細分化權益代幣化的安排可能構成一項集體投資計畫。因此,認可機構應確保它們評估及了解每項代幣化產品的條款、特點及風險,並應運用專業判斷,以確定適用的法律及監管規定。除本通告所列載的預期標準外,認可機構在銷售及分銷代幣化產品時,亦應遵守所有適用法律及監管規定。當認可機構向客戶銷售及分銷代幣化產品時,應制定足夠的系統及監控措施,以確保符合所有適用規定,並另行實施適當的內部監控措施,以應對相關代幣化產品的特定風險與獨特性質。如有疑問,認可機構應尋求專業意見。

除上述一般原則外,認可機構應就代幣化產品實施以下所載有關盡職審查、揭露與風險管理的消費者/投資者保障措施。

(A)盡職審查

依照適用於相關產品的規定,認可機構應在向客戶發售代幣化產品前,進行足夠的盡職審查,以及充分了解有關代幣化產品,並因應有關產品的性質、特點及風險,於每隔一段合適的時間進行持續的盡職審查。

認可機構應以適當的技能、小心審慎和勤勉盡責的態度行事,並根據所有可用資料進行盡職審查,以識別及確保它們充分了解代幣化產品的條款、特點及風險(包括與相關產品有關及與代幣化的技術範疇有關的條款、特徵及風險)。

認可機構應對代幣化產品發行人及參與代幣化安排的第三方供應商/服務提供者(例如代幣化平台提供者),包括其經驗與往績紀錄,以及代幣化安排的特徵和其所引致的風險進行盡職審查。認可機構應了解並信納發行人及其第三方供應商/服務提供者所製定的系統及監控措施,包括有否及如何管理與代幣化產品的擁有權及相關科技的新風險。認可機構應就代幣化產品的運作定有適當的科技稽查安排(尤其智能合約審計)、妥善的政策、程序、系統及監控措施(包括足夠的管理監控措施),例如私人金鑰管理,以及防範竊盜、詐欺、錯誤與遺漏、駭客攻擊及其他網路保全風險的保障措施。同時,認可機構應有有效的應變計劃,以應付一旦發生如分散式分類帳(「DLT」)網路故障、網路攻擊、未經授權轉移及遺失用以存取代幣化產品的私人金鑰等情況。認可機構亦應考慮DLT網路與發行人及如保管人等其他方的系統的互通性;就代幣化產品所採用的DLT網路的穩健程度,包括該DLT網路在保全、私隱、漏洞及可擴展性等方面的潛在影響;以及代幣化產品的法律及監管狀況。認可機構應確定支持數碼代幣的資產及附帶於該資產的權利確實存在。

金管局注意到認可機構亦可能自行發行代幣化產品。如認可機構發行或在很大程度上參與發行代幣化產品,應考慮上述各段所載有關對參與代幣化安排的發行人及第三方供應商/服務提供者的盡職審查的各項因素。此外,認可機構應以代幣化產品的特色和風險(包括但不限於在公有非許可製DLT網路上使用非許可製代幣須顧及的相關因素)考慮最合適該產品的保管安排。

(B)產品與風險揭露

認可機構應以符合其客戶最佳利益的方式行事,並應充分揭露與代幣化產品相關的重要資料,包括主要條款、特點及風險,讓客戶能做出有根據的決定。認可機構在發售代幣化產品時,應因應代幣化產品的情況揭露有關代幣化安排的重要資料,例如:

(i)所運用的DLT網絡構成的風險(包括因科技不斷演變而引致有關運作與保安事宜的潛在不確定性),以及相關DLT網絡可能無法與其他網絡或基建相互操作

(ii)容易受到網路保全威脅影響,例如駭客攻擊及安全違規

(iii)對代幣化產品的轉移施加的任何限制

(iv)如適用,有關使用智能合約的風險(包括智能合約有隱憂或安全缺失的風險),以及在應用智能合約前是否已進行智能合約審計

(v)擁有權及有關在DLT網路上的交收終局性等範疇可能出現法律方面的不確定性

(vi)鏈下或鏈上的交收才是已作實的

(vii)主要管理監控措施,以及應付一旦發生系統故障、DLT網路故障及其他無法預料的情況的應變與備用計劃

(viii)如適用,保管安排及與保管代幣化產品相關的風險

(ix)如適用,與依賴第三方供應商/服務提供者及技術相關的風險

提供給客戶的所有資料都應準確、公正及不含誤導成分,同時應以清晰、簡潔及易於使用的方式列載,方便客戶取覽。相關資料包括在網路上、以紙本形式或透過社群媒體平台發放的廣告訊息及宣傳資料所載資料。認可機構應以淺白易明的語言向客戶揭露,避免使用艱澀的技術性用語或用語。

(C)風險管理

認可機構應制定妥善的政策、程序、系統及監控措施,以辨識及緩解代幣化產品相關活動所引致的風險。認可機構應確保就代幣化產品的銷售活動設有適當的風險管理框架,當中應包括風險管理政策與程序、內部監控、投訴處理、合規、內部審計及業務應變規劃。

認可機構應分配資源,以確保其管理階層及相關職員具備履行進行代幣化產品相關活動的職責所需的專業知識,包括有能力向客戶解釋代幣化產品,以及管理代幣化所引致的風險。

(D)保管服務

如認可機構亦提供代幣化產品的保管服務,應符合金管局不時發出有關數位資產保管的預期標準。

實施

認可機構在從事代幣化產品相關活動前,應先行實施充足的政策、程序、系統及監控措施,以確保符合本通告所載規定及其他適用規定,並事先與金管局商討。金管局會持續留意代幣化市場的監管環境及全球發展情勢,並依需求向認可機構提供進一步指引。