香港穩定幣發行人 AML/CFT 監管“三部曲”

背景

2025 年 7 月 29 日，香港金融管理局(HKMA) 就 2025 年 8 月 1 日起正式實施的穩定幣發行人監管制度發布多個指引及說明文件，其中兩套指引於 2025 年 8 月 1 日刊憲。

• 《持牌穩定幣發行人監管指引》諮詢總結及該指引；
• 《打擊洗錢及恐怖分子資金籌集指引（持牌穩定幣發行人適用）》諮詢總結及該指引；
• 與發牌制度及申請程序相關的《穩定幣發行人發牌制度摘要說明》；
• 《原有穩定幣發行人過渡條文摘要說明》

這些文件構成香港穩定幣制度落地的核心監管組件：不僅包括與發牌申請與監管過渡相關的摘要說明，還包括兩份圍繞反洗錢與反恐怖融資(AML / CFT) 框架制定的核心規範，其內容直接關乎穩定幣發行人能否建立合規、可控、可持續的業務框架，並體現金管局對洗錢與恐怖融資風險的系統性回應，也是本文的解讀重點。

7 月發布的諮詢總結與指引

諮詢總結：確立制度優化方向

在 2025 年 5 月 26 日至 6 月 30 日的公衆諮詢期間，金管局共收到來自銀行、虛擬資產平台、Web3 公司、技術服務商及律所等 38 份反饋意見。總結文件主要圍繞以下幾個關鍵議題回應業界關注，並相應修訂原擬議要求：

• 非托管錢包監管強度調整：市場普遍認同需管理客戶錢包相關的風險，但有意見指出，由於當前技術和分析工具的限制，難以有效區分鏈上的非托管錢包和托管錢包。金管局要求持牌人核實每個客戶錢包的擁有權或控制權，而無需進行錢包類型的分類。
• 鏈上監控技術靈活應用：多數意見支持利用區塊鏈數據追蹤交易，但擔心強制性技術規範將阻礙中小企業。金管局最終採納“技術適配”原則，鼓勵使用而非強制特定工具，要求合規能力與業務體量相符。
• Travel Rule 角色識別：意見指出持牌人需明確在交易中是“發起方”“中介方”或“接收方”，以便履行不同義務。金管局表示將繼續與業界持份者緊密合作，並在適當情況下提供進一步指引。
• 次級市場責任合理限定：關於穩定幣發行人是否應承擔次級市場監控責任，一些意見認爲發行人應發揮作用，因爲他們對穩定幣生命週期有最全面的理解和最終控制。另一些意見則認爲，發行人對次級市場交易的可見性和控制力有限，且技術上難以監控每一筆點對點(peer-to-peer) 交易，特別是涉及非托管錢包的交易。金管局的回應重申了穩定幣發行人有必要建立並實施充分和適當的控制系統，以防止和打擊其持牌穩定幣活動中的洗錢/恐怖融資及其他犯罪行爲；考慮到穩定幣某些特徵對犯罪分子具有吸引力，以及點對點交易和非托管錢包相關的風險，金管局在實施初期將採取謹慎態度；除非持牌人能夠向金管局證明並使其信納其風險緩減措施能有效防止和打擊洗錢/恐怖融資及其他罪行，否則，每一名穩定幣持有人的身分（包括與持牌人沒有客戶關係的持有人）應由以下其中一方核實：(i) 持牌人；(ii) 受適當監管的金融機構或虛擬資產服務提供者；或 (iii) 可靠的第三方。

綜上，《諮詢總結》體現出金管局在堅持監管原則的基礎上，更加重視可執行性與監管彈性，並針對技術發展不均、市場多元性等現實問題作出制度性回應。

指引：制度條文化與執行細化

《指引》由《穩定幣條例》（第 656 章）第 171 條以及《打擊洗錢及恐怖分子資金籌集條例》（AMLO，第 615 章）第7條授權制定，既傳承了 5 月《諮詢文件》的政策框架，也根據 7 月《諮詢總結》中對非托管錢包、技術可行性、責任範圍的反饋，進行了實質性細化和法律轉化。與前期《諮詢文件》與《諮詢總結》側重於政策設計與公衆反饋不同，《指引》構成香港穩定幣 AML / CFT 監管架構中具有強制執行力的合規操作手冊，其不僅規定了穩定幣發行人所需履行的義務，更直接構建了行政問責、違規處罰與證監聯動等制度機制。

（一）適用範圍與總體結構

《指引》面向所有根據《穩定幣條例》第 15 條獲發牌的穩定幣發行人（持牌人），文件以“風險爲本”的方法貫穿主軸，結合虛擬資產本身的去中心化、跨鏈、高匿名特徵，分別就以下核心領域設定了規範：

• 機構層面的治理結構與 AML 制度框架建設；
• 發行與贖回過程中對客戶的盡職調查要求；
• 穩定幣流通中的持續交易監控機制；
• 對鏈上錢包類型（尤其是非托管錢包）的管理措施；
• 可疑交易識別、報告與後續審查義務；
• 記錄保存、員工培訓與高層監督責任。

（二）七大關鍵監管維度

1. 機構風險管理框架

持牌人必須建立書面的內部政策、控制系統與審核程序，以識別、評估和緩解與穩定幣活動相關的洗錢與恐怖融資風險。風險評估應涵蓋客戶類別、地域、支付工具、穩定幣類型（單一法幣錨定 vs 多資產錨定）及其在鏈上的可流動性；應設立專責的 AML / CFT 合規負責人，向董事會直接匯報；所有制度執行須記錄並可供後審計溯源。

2. 客戶盡職調查與加強盡職調查(CDD 與 EDD)

《指引》將客戶關係分爲“業務關係”與“偶發交易”，並據此設定盡職調查強度：若客戶在持續交互中建立業務關係，持牌人必須收集其身分信息、驗證文件、實際控制人資料及業務性質，並結合鏈上行爲交叉驗證風險水平。若客戶涉及政治公衆人物(PEPs)、高風險司法轄區或使用混幣服務等情形，必須實施加強盡職調查(EDD)，包括但不限於資金來源證明及持續審查頻率增加。

3. 非托管錢包的管理措施

《指引》明確指出非托管錢包被視爲高風險渠道，持牌人不得將其等同於受監管金融帳戶。具體要求包括：

• 交易控制措施：對涉及非托管錢包的交易設定限額閾值，或僅允許其參與低風險贖回環節；
• 行爲識別與 KYC 增強：須記錄首次交互錢包的鏈上行爲模式，採取一系列附加盡職調查步驟（如鏈上畫像、地址綁定記錄）；
• 黑名單與白名單機制：建立鏈上地址數據庫，將被識別到與制裁或非法活動有關的錢包地址列入黑名單；
• 技術監控要求：需部署鏈上分析工具，定期掃描錢包與交易之間的行爲聯動關係，必要時生成審計路徑報告。

值得注意的是，《指引》並未禁止非托管錢包的使用，而是要求將其納入“基於行爲風險”的審查體系。

4. 穩定幣交易監控與追蹤分析

香港金管局此次將穩定幣在鏈上轉移路徑的識別與追蹤作爲合規重心之一，持牌人必須建立實時交易監控機制，並具備以下能力：

• 實時追蹤交易鏈路，識別高風險跳數、跨鏈橋、混幣器等行爲；
• 建立鏈上行爲模式數據庫，對反常交易路徑設定自動報警；
• 與錢包識別機制打通，記錄交易對手身分與地址風險；
• 輸出合規審查報告，支持金管局現場抽查與執法介入。

鏈上監控被視作與銀行支付監控同等重要，未部署有效鏈上系統將被視爲制度失責。

5. 可疑交易識別與報告義務（STR 機制）

所有發現或懷疑客戶涉及非法活動、鏈上行爲異常或資產來源無法解釋的情形，持牌人必須在合理時間內向聯合財情情報組(JFIU) 提交可疑交易報告(STR)：

• 客戶身分、地址、交易類型；
• 涉及的穩定幣種類、數量與錢包；
• 可疑行爲發生時的系統提示與人員反應；
• 處理措施與後續跟進（如凍結、限權）。

監管機關將定期抽查 STR 系統與響應日志，驗證可疑事件是否被有效處理。同時，STR 機制應與鏈上監控、KYC 模塊聯動，形成自動輔助生成機制。

6. 數據與記錄保存要求

《指引》對合規數據記錄設立嚴格年限：

• 客戶盡職調查相關資料（包括鏈上地址映射信息）：至少保存 5 年；
• 交易記錄（鏈上數據含路徑快照、交易標籤、地址分析報告）：至少保存 5 年；
• 風險評估、內部審查、系統參數變更記錄：金管局可要求延長保存期限。

持牌人應確保所有記錄具備可追溯性、安全性與防篡改能力，以備合規審計。

7. 員工培訓與組織文化

所有涉及客戶識別、交易監控、風險評估、合規報告的員工，均需接受入職前的定期 AML / CFT 培訓。高管與董事會成員必須接受職責界定培訓，確保資源配備與制度執行到位。金管局可抽查培訓體系與效果記錄，若發現制度虛設，視同重大違規。

（三）法律責任與監管權力執行機制

《指引》違反後果並非僅爲建議性修正，還可能觸發以下執法行動：

• 金管局可暫停、限制、撤銷穩定幣發行牌照；
• 情節嚴重者，將移交執法機關依《打擊洗錢條例》或其他刑事法處理。

此外，金管局保留突擊檢查、風險評估面談、技術系統核查的權力，並將在香港金管局與香港證監會(SFC)、海關、JFIU 等多部門協作開展綜合執法。

（四）制度意義與監管邏輯總結

該《指引》的推出不僅是對《諮詢文件》與《諮詢總結》的法律化回應，更體現了香港監管當局從“原則導向”轉向“機制導向”的重要躍遷。相比傳統金融，穩定幣領域的風險更加動態、鏈上行爲更難定性，因此，《指引》的制度意義體現在：

• 從政策倡議（5 月）→ 諮詢總結（7 月）→ 法定執行（8 月），完成完整制度閉環
• 引入鏈上行爲監管機制，使 AML 體系向“可視化、可驗證、可回溯”方向演化；
• 平衡監管剛性與合規靈活性，強調“責任邊界清晰”與“風險可控可量化”；
• 爲未來拓展至鏈上支付、資產通證化（如 RWA）、跨鏈合規等提供制度試驗平台。

該《指引》是持牌人運營合規不可或缺的執行標準，也是技術服務商（如鏈上監控、身分認證、地址管理等工具提供方）對接香港監管體系的核心接口。

三份文件的對比分析

2025 年 5 月發布的《諮詢文件》、2025 年 7 月發布的《諮詢總結》以及將於 2025 年 8 月刊憲的《指引》三份文件構成香港穩定幣 AML / CFT 監管制度從設計、修正到執行的完整閉環。三份文件既體現了金管局對穩定幣特有風險特徵的審慎識別與監管預期，也反映出在市場反饋下對監管可行性與執行性不斷調整與深化的過程。通過比對三者的結構和內容，不難看出該監管體系從“原則設定”到“實操指引”的邏輯演進與關鍵變化。

一方面，《諮詢文件》（2025 年 5 月）提出了一套初步框架，確立監管的核心原則與目標，尤其強調穩定幣活動所面臨的 ML / TF 風險，並圍繞客戶盡職調查、非托管錢包管理、交易監控與 STR 報告等領域提出設想。該文件附有草擬版指引，目的在於引導市場參與者就監管方向及技術路徑提供反饋。

隨後，《諮詢總結》（2025 年 7 月）反映了金管局對 38 份市場意見的吸收情況，並就具體爭議事項（如白名單機制、非托管錢包分類困難、Travel Rule 可操作性等）作出回應，提出更具執行性的修訂。值得注意的是，《諮詢總結》已經在若幹核心要求上體現出監管立場的趨嚴，例如取消白名單設想、強化非客戶身分驗證義務等。

最終，《指引》將於 2025 年 8 月刊憲生效，正式確立持牌穩定幣發行人在 AML / CFT 合規方面的法律義務，內容比前兩份文件更爲系統、細化，並通過列舉、操作步驟和文件保存要求等手段增強其可執行性與審查性。該《指引》不僅將原則性要求轉化爲合規操作流程，同時引入監管執行機制、處罰機制與跨機構合作權力，確保監管目標具備約束力和執法力。

在內容上，三者之間體現出以下層級遞進與關鍵差異：

1. 監管要求從抽象原則向剛性操作轉化：例如，《諮詢文件》提出使用區塊鏈分析工具追蹤非法資金，而《指引》則具體要求使用具備實時監控能力的外部技術服務商，並就其覆蓋面、更新頻率、準確性進行盡職調查，強調工具本身也需承擔合規證明責任。

2. 非托管錢包管理策略出現重大轉向：《諮詢文件》提出“白名單機制”作爲控制二級市場風險的可能措施，而《諮詢總結》則取消這一設想，轉向要求對所有非客戶持有人進行身分識別驗證，除非持牌人能證明其他控制措施有效。《指引》繼承並固化這一修訂，明確要求在無證據支持風險緩解有效性的情況下，須對所有穩定幣持有人的身分進行驗證。這一變動將持牌人的 KYC 義務從客戶延展至“持有人”，體現監管對 DeFi 中匿名性結構的根本性警惕。

3. Travel Rule 制度由原則轉向執行架構： 在《諮詢文件》中，Travel Rule 作爲 AML 框架的一個條款性要求被提出，而在《指引》中，其執行要求被大幅細化，包括金額分級、匯款/中介/收款方義務劃分、加密傳輸機制、信息缺失處理程序、技術供應商盡職調查標準等，最終確立“穩定幣轉帳對手機構盡職調查”的全面監管模型。這是將 FATF 技術標準完整本地化的體現。

4. 法律責任與監管權力體系全面明確：《指引》新增大量監管執行條款，包括對不遵守規定的處罰後果（影響持牌資格）、對記錄保存期限的監管介入權、以及對技術系統、操作流程進行實地核查的職權說明。相較之下，《諮詢文件》對此着墨極少，未能構成執法威懾。

5. 組織治理與審計要求顯著加強：《指引》強化對 AML / CFT 組織結構的監管，要求設立高級管理層監督機制、指定合規主任(CO) 與洗錢報告主任(MLRO)，並明確其職責分工。同時引入獨立審計要求，要求其直接向董事會匯報，並規定員工選聘應考慮誠信與適任性。這些內容在前兩份文件中未作展開。

總的來看，《諮詢文件》更多是一份理念性藍圖，提出監管目標與方向；《諮詢總結》則在回應市場反饋的基礎上做出實質修訂，明確監管底線與核心義務；而《指引》則完成監管要求的法律化、操作化、程序化處理，體現出金管局以國際標準爲基礎、結合本地實際、從嚴防控新型風險的監管路徑。特別是在非托管錢包處理策略、Travel Rule 實施機制、技術工具盡調標準和全流程記錄留存等關鍵領域，《指引》已不再僅是“參考性建議”，而是具有明確法律約束力的監管規定，爲持牌人構建了可以遵循、可操作、可審計的執行體系。

合規安全解決方案

盡管將於 2025 年 8 月 1 日生效的《指引》在多項具體要求上相較《諮詢文件》已有所細化與強化，慢霧(SlowMist) 團隊此前基於《諮詢文件》所構建的合規解決方案，尤其是「面向香港穩定幣發行人的智能合約實施指南」以及聯合生態合作夥伴共同制定的「穩定幣風險管理與反洗錢 / 反恐怖融資（AML / CFT）合規安全解決方案」，在邏輯架構、系統性設計與技術模塊等方面，仍可爲當前《指引》提供高度適配的合規參考路徑。

一方面，智能合約指南中已涵蓋多項與《指引》正式要求相一致的技術控制措施，爲持牌人構建合約架構提供了參考藍本。

另一方面，「穩定幣風險管理與反洗錢 / 反恐怖融資（AML / CFT）合規安全解決方案」則基於慢霧(SlowMist) 團隊在區塊鏈安全、合規審計及風險管理方面的實踐經驗，所推薦的技術解決方案與實施路徑亦具備較強的操作性。

總體而言，《指引》涵蓋的合規要求廣泛且復雜，涉及技術、運營、治理、反洗錢(AML / CFT) 等多個維度，本方案僅聚焦於部分關鍵條款的解讀與提供應對策略，尚不構成對《指引》全部要求的完整覆蓋。此外，穩定幣發行人的合規體系需結合業務場景、技術架構及監管動態不斷優化調整。本方案所列解決方案基於當前技術能力與行業實踐的分析，可能還需根據實際業務需求、技術演進及監管環境變化做進一步調整與補充。建議發行人結合自身業務特性，與專業合規與安全服務機構（如慢霧科技）持續溝通，並參考相關監管機構的最新指引，確保合規體系的完整性與有效性。

總結

香港金管局通過一份諮詢草案、一輪市場總結與一份正式指引，構建起具有法律效力、制度清晰、責任明確的穩定幣 AML / CFT 監管框架。這一制度不僅回應了 FATF 對虛擬資產監管的國際要求，也爲香港構建金融科技國際樞紐、保護市場穩定與用戶權益提供了重要制度支撐。隨着 2025 年 8 月 1 日制度正式生效，穩定幣發行人將面臨前所未有的監管合規挑戰。在這一背景下，需要通過建立組織治理、引入技術工具、加強鏈上可視化管理與提升員工合規意識，才能真正實現“合規即市場準入”的監管邏輯。

參考連結：

[1] 2025 年 5 月發布的《打擊洗錢及恐怖分子資金籌集指引（持牌穩定幣發行人適用）》諮詢文件

[2] 2025 年 7 月發布的《打擊洗錢及恐怖分子資金籌集指引（持牌穩定幣發行人適用）》諮詢總結

[3] 2025 年 8 月生效的《打擊洗錢及恐怖分子資金籌集指引（持牌穩定幣發行人適用）》正式指引