出品|白露会客厅
编辑|博文
2024年2月20日,香港金管局发布《销售及分销代币化产品》通函,列载金管局对于认可机构向客户销售及分销代币化产品,即利用分布式分类帐或类似技术以数码形式表达的现实世界资产(RWA)时需遵守的预期监管标准,包括涵盖范围、一般原则、尽职审查、产品与风险披露、风险管理、保管服务、实施方法等内容。
以下为通函原文。
本通告列载金融管理局(“金管局”)对于认可机构向客户销售及分销代币化产品时需遵守的预期监管标准。
涵盖范围
本通告涵盖代币化产品(就本通告而言,指利用分布式分类帐或类似技术以数码形式表达的现实世界资产),但不适用于受《证券及期货条例》规管以及受证券及期货事务监察委员会(“证监会”)与金管局不时发出的相关规定管限的代币化产品。
一般原则
金管局支持认可机构在代币化方面的举措,并对业界至今所取得的进展感到鼓舞。金管局认为现在是时候就代币化产品相关活动提供指引,为银行业提供清晰的监管要求,以支持业界继续创新及实现代币化可带来的好处,同时从消费者/投资者保障的角度采取适当的保障措施。
作为一般原则,现行有关销售及分销某产品的监管规定及消费者/投资者保障措施亦适用于以代币代化形式销售及分销的该产品,原因是其条款、特点及风险(由代币化本身所引起的风险除外)与相关产品的条款、特点及风险相若。
以下例子进一步说明上述一般原则的应用:
(i)认可机构分销代币化不受《证券及期货条例》规管的结构性投资产品时,应采纳适用于金管局所定有关销售不受《证券及期货条例》规管的结构性投资产品的现行监管规定及投资者保障措施;以及
(ii)认可机构分销代币化黄金时,应遵循规管销售黄金的相同规定,包括《银行营运守则》、《公平待客约章》及金管局发出的任何其他适用规定。
尽管部分代币化产品基本上是以代币化作为包装的传统产品,但仍有可能会出现一些情况是某代币化产品的性质、特点与风险因该产品在代币化过程中的结构及安排而有所改变。举例来说,将某项资产的细分化权益代币化的安排可能构成一项集体投资计划。因此,认可机构应确保它们评估及了解每项代币化产品的条款、特点及风险,并应运用专业判断,以确定适用的法律及监管规定。除本通告所列载的预期标准外,认可机构在销售及分销代币化产品时,亦应遵守所有适用法律及监管规定。认可机构向客户销售及分销代币化产品时,应制定足够的系统及监控措施,以确保符合所有适用规定,并另行实施适当的内部监控措施,以应对相关代币化产品的特定风险与独特性质。如有疑问,认可机构应寻求专业意见。
除上述一般原则外,认可机构应就代币化产品实施以下所载有关尽职审查、披露与风险管理的消费者/投资者保障措施。
(A)尽职审查
按照适用于相关产品的规定,认可机构应在向客户发售代币化产品前,进行足够的尽职审查,以及充分了解有关代币化产品,并因应有关产品的性质、特点及风险,于每隔一段合适的时间进行持续的尽职审查。
认可机构应以适当的技能、小心审慎和勤勉尽责的态度行事,并根据所有可用资料进行尽职审查,以识别及确保它们充分了解代币化产品的条款、特点及风险(包括与相关产品有关及与代币化的技术范畴有关的条款、特点及风险)。
认可机构应对代币化产品发行人及参与代币化安排的第三方供应商/服务提供者(例如代币化平台提供者),包括其经验与往绩纪录,以及代币化安排的特点和其所引致的风险进行尽职审查。认可机构应了解并信纳发行人及其第三方供应商/服务提供者制定的系统及监控措施,包括有否及如何管理与代币化产品的拥有权及相关科技的新风险。认可机构应就代币化产品的运作定有适当的科技稽查安排(尤其智能合约审计)、妥善的政策、程序、系统及监控措施(包括足够的管理监控措施),例如私人密钥管理,以及防范盗窃、欺诈、错误与遗漏、黑客攻击及其他网络保安风险的保障措施。同时,认可机构应有有效的应变计划,以应付一旦发生如分布式分类帐(“DLT”)网络故障、网络攻击、未经授权转移及遗失用以存取代币化产品的私人密钥等情况。认可机构亦应考虑DLT网络与发行人及如保管人等其他方的系统的互操作性;就代币化产品所采用的DLT网络的稳健程度,包括该DLT网络在保安、私隐、漏洞及可扩展性等方面的潜在影响;以及代币化产品的法律及监管状况。认可机构应确定支持数码代币的资产及附带于该资产的权利确实存在。
金管局注意到认可机构亦可能自行发行代币化产品。如认可机构发行或在很大程度上参与发行代币化产品,应考虑上述各段所载有关对参与代币化安排的发行人及第三方供应商/服务提供者的尽职审查的各项因素。此外,认可机构应以代币化产品的特点和风险(包括但不限于在公有非许可制DLT网络上使用非许可制代币须顾及的相关因素)考虑最合适该产品的保管安排。
(B)产品与风险披露
认可机构应以符合其客户最佳利益的方式行事,并应充分披露与代币化产品相关的重要资料,包括主要条款、特点及风险,让客户能作出有根据的决定。认可机构在发售代币化产品时,应因应该代币化产品的情况披露有关代币化安排的重要资料,例如:
(i)所运用的DLT网络构成的风险(包括因科技不断演变而引致有关运作与保安事宜的潜在不确定性),以及相关DLT网络可能无法与其他网络或基建相互操作
(ii)容易受到网络保安威胁影响,例如黑客攻击及安全违规
(iii)对代币化产品的转移施加的任何限制
(iv)如适用,有关使用智能合约的风险(包括智能合约存在隐忧或安全缺失的风险),以及在应用智能合约前是否已进行智能合约审计
(v)拥有权及有关在DLT网络上的交收终局性等范畴可能出现法律方面的不确定性
(vi)链下或链上的交收才是已作实的
(vii)主要管理监控措施,以及应付一旦发生系统故障、DLT网络故障及其他无法预料的情况的应变与备用计划
(viii)如适用,保管安排及与保管代币化产品相关的风险
(ix)如适用,与依赖第三方供应商/服务提供者及技术相关的风险
提供予客户的所有资料都应准确、公正及不含误导成分,同时应以清晰、简洁及易于使用的方式列载,方便客户取览。有关资料包括在网上、以纸本形式或经社交媒体平台发放的广告讯息及宣传资料所载信息。认可机构应以浅白易明的语言向客户作出披露,避免使用艰涩的技术性用语或术语。
(C)风险管理
认可机构应制定妥善的政策、程序、系统及监控措施,以识别及缓解代币化产品相关活动引致的风险。认可机构应确保就代币化产品的销售活动设有适当的风险管理框架,当中应包括风险管理政策与程序、内部监控、投诉处理、合规、内部审计及业务应变规划。
认可机构应分配资源,以确保其管理层及相关职员具备履行进行代币化产品相关活动的职责所需的专业知识,包括有能力向客户解释代币化产品,以及管理代币化所引致的风险。
(D)保管服务
如认可机构亦提供代币化产品的保管服务,应符合金管局不时发出有关数码资产保管的预期标准。
实施
认可机构在从事代币化产品相关活动前,应先行实施充足的政策、程序、系统及监控措施,以确保符合本通告所载规定及其他适用规定,并事先与金管局商讨。金管局会继续留意代币化市场的监管环境及全球发展形势,并按需要向认可机构提供进一步指引。