在合格储备资产的定义上,香港展现出了审慎但不保守的态度。
除了现金和短期银行存款这些传统选项,监管指引还明确接受"代币化形式的合格资产"。这为未来的创新预留了空间——理论上,代币化的美国国债、代币化的银行存款都可能成为合格的储备资产。
但最引人注目的,还是信托隔离安排。
比如持牌人必须设立"有效的信托安排",确保储备资产在法律层面与自有资产隔离,并且要获得独立法律意见来证明这种安排的有效性。这不是简单的会计隔离,而是要确保即使发行人破产,稳定币持有人的权益也能得到保护。
在透明度要求上,香港采取了"高频披露+定期审计"的组合拳。发行人必须每周公布储备资产的市值和组成,同时每季度由独立审计师进行核证。相比之下,即使是合规程度较高的USDC,目前也只是每月公布储备报告。香港的要求无疑将大幅提高稳定币的透明度。
技术要求:私钥管理很专业在私钥管理这个Web3特有的风险点上,监管指引展现出了令人惊讶的专业度:
从密钥产生到销毁,从物理安全到泄露应对,12项具体要求几乎覆盖了私钥生命周期的每个环节。
比如,"重要私钥必须在隔离环境中使用"——这意味着用于铸造、销毁稳定币的私钥不能接触互联网,必须在完全离线的环境中操作;
"密钥使用需要多人授权"——没有任何单一个体能够独自动用关键私钥;
"密钥储存媒体必须放在香港或金管局认可的地方"——这也直接排除了将私钥托管在海外的可能性。
这些要求显示,金管局不是简单地套用传统金融监管,而是真正理解了区块链技术的特点和风险。某种程度上,这份指引可以被视为"企业级私钥管理最佳实践"的监管版本。
智能合约审计的要求同样严格。发行人必须聘请"合资格的第三方实体",在智能合约部署、重新部署或升级时进行审计,确保合约"正确执行"、"与预期功能相符",并且"高度确信不存在任何漏洞或保安缺陷"。考虑到智能合约审计行业本身还在发展初期,"合资格"的定义可能会成为实践中的一个挑战。
在客户身份认证上,监管要求体现了Web3与传统KYC的融合。
一方面,发行人必须完成"相关的客户尽职审查"才能提供服务;另一方面,又要求"只能将稳定币转移到客户预先登记的钱包地址"。这种设计试图在匿名性和合规性之间找到平衡点。