作者按：历史已经一再证明、并将继续证明类似Fcoin的事故不会是个例，如何有效保护客户资产是各国加密资产交易所迟早需要面对的重大合规问题。对此，加拿大扩大了监管范围，而香港制定了专门规则。

在监管缺失或者不足的环境下，只要客户资产仍交由加密资产交易所一手掌管和控制，类似新近发生的Fcoin的兑付危机、早年出现的Mt. Gox的盗币事件就难以完全避免。如何有效保护客户资产，是监管部门及加密货币交易所迟早都会面临的重大问题。

在传统证券市场上，“证券公司管交易、商业银行管资金”，客户证券交易结算资金由第三方存管的机制早已成为比较普遍的市场和监管实践。而在新兴的加密资产交易市场上，对于客户资产的保护总体上还处于法规比较粗放、滞后、存在不足的状态，交易所内的客户资产被盗、被挪用、被侵吞的情况屡见不鲜。

针对该等问题，为了维护投资者的资产安全，规范加密资产交易所的相关行为，近年来已经有一些国家及地区的相关监管部门出台了初步的规则，也有一些国家正在研究和探索监管框架的过程中。

比如日本在2016年5月通过的修订的《资金结算法》及相关配套规定中要求加密资产交易所将自身的资产（包括法币及虚拟货币）与投资人的资产进行区分管理，并接受会计师审计；香港证券及期货事务监察委员会（SFC）在2018年11月发布的《有关针对虚拟资产投资组合的管理公司、基金分销商及交易平台营运者的监管框架的声明》、[1]在2019年11月发布的《立场书——监管虚拟资产交易平台》（“立场书”）[2]参照其在传统证券市场上采用的监管措施，制定了专门适用于加密资产交易所客户资产保护的监管规则；而加拿大证券管理委员会（CSA）与加拿大投资行业监管组织（IIROC）在2019年3月发布的第21-402号咨询文件《有关加密资产交易平台的拟议框架》（“框架”）[3]及CSA在2020年1月发布的第21-327号通知《关于促进加密资产交易的实体适用证券法规的指引》（“指引”）[4]均反映出加拿大拟就相关加密货币交易所的客户资产保护作出监管要求。

笔者注意到，就客户资产保护这一方面而言，加拿大在“管谁”的问题（即对监管对象的选择）上比较特别，其拟纳入该国证券法规规管的交易所并不局限于上线证券型代币的中心化交易所，而是实际扩大至绝大部分控制着客户资产的中心化交易所；而香港在“怎么管”的问题（即对客户资产保护所采取的措施）上较有特色，制定了比较全面、详细、专门适用于客户加密资产保护的规则。该等国家和地区对加密资产交易所客户资产保护的监管尝试及努力值得其他国家的监管层及相关加密资产交易所关注。

1.      加拿大拟确定的监管对象

(1)     确定监管对象的标准

据笔者观察，已经对加密资产交易所建立监管框架的一些国家和地区不少是将交易所上线的加密资产的性质是否为证券型代币作为是否需将该等交易所纳入该国证券法规监管的主要标准（如美国、新加坡、香港等）。如果交易所上交易的加密资产中包括至少一种证券型代币，则通常需受该国证券法规的管辖；而如果交易所上不涉及证券型代币的交易（如仅交易比特币、以太坊等支付型代币或功能型代币），则一般不在该国证券法规的规管范围之内。此外，由于去中心化交易所通常不控制客户资产，用户的加密资产由用户自行保管，加密资产在用户之间的转移通过智能合约完成，因此仅从客户资产保护的角度而言，通常不受证券法规规管。

加拿大除了同香港一样，将交易证券型代币的交易所作为监管对象之外，还增加了一项确定监管范围的评判因素——即对于非交易证券型代币的交易所而言，其在投资人发生交易后是否“立即交付（immediate delivery）”客户资产，如否，则该等交易非证券型代币的交易所也在监管范围之内。

(2)     将非交易证券型代币的交易所也纳入监管的理由

• 要求交付资产的合同请求权构成“衍生品”

根据CSA的指引，即使交易所上交易的加密资产不是证券型代币、而是商品（比如比特币），但是，如果交易所在交易后没有向投资人“立即交付”加密资产，而是仍实际控制着投资人的资产，投资人就该等资产仅有一项请求交易所转移资产的合同请求权，则投资人的该等合同权利本身可能构成衍生品（在某些司法辖区内，该等合同权利可能被视为证券、投资合同、债权凭证、权利或权益凭证），因此该等交易所也需受加拿大证券法规管。

• “立即交付”的理解和认定

根据指引，满足以下两项条件的加密资产交易所不受加拿大证券法规管辖：(a)交易所上交易的加密资产不构成证券或衍生品；以及(b)在加密资产买卖合同下，交易所负有向用户“立即交付”加密资产的义务，并且根据交易惯例，交易所通过向用户“立即交付”加密资产的方式完成交收。

CSA指出，交易所有没有向用户“立即交付”加密资产的义务和意图，没有一个直接、明确的判断标准，需结合书面、非书面的条款、具体情势、交易惯例等因素综合判断。交易所是否以及何时完成了“立即交付”，也需基于“实质重于形式”的原则，结合具体情况和经济实质予以确定。

根据指引，出现以下情形的，可以认为“立即交付”已经发生：(a)交易所已经向用户转让了加密资产的所有权、占有和控制的权利，用户有权自由使用、处置该等加密资产，而无需再牵涉或依赖平台或其关联方，并且平台或其关联方对该等加密资产不拥有任何担保权益或其他权利；以及(b)在加密资产立即交付之后，用户不再面临平台破产、欺诈、运营、专业性等风险。

• 需提出提币请求的情形不构成“立即交付”

CSA进一步指出，如果交易所仅在其账簿上记录了交易（以证明用户购买了相关加密资产，且用户有权在提出提取要求时收到该等资产），但交易所保留对该等加密资产的所有权、占有和控制的权利，其仅在用户提出要求时才会将加密资产转入用户控制的钱包的，在这种情况下，交易所没有“立即交付”的义务。在交易所将加密资产转入用户控制的钱包之前，用户仍需持续信赖和依赖交易所，对其购买的加密资产没有所有权、占有和控制的权利，用户仍承担着平台破产、欺诈、运营等风险。

简言之，交易所仅在其账簿上记录客户对其资产的所有权不构成交付，原因在于为了能够在提出提取要求后最终收到加密资产，用户仍需持续依赖交易所。

(3)     影响

鉴于目前绝大多数中心化交易所（无论交易的是否是证券型代币）的经营模式都是由交易所控制用户的加密资产（用户在购买加密资产后，加密资产通常不会直接转入用户控制的钱包，而是在交易所拥有私钥的账户内，用户只有在向交易所发出提币请求后才能获得相关加密资产），因此，根据指引，目前设立在加拿大境内的，或虽未设立在加拿大、但针对加拿大居民提供加密资产交易服务的中心化交易所可能都在加拿大各地证券法规管辖范围之内。加拿大通过引入“立即交付”这一判断因素，将该国证券法规的管辖范围扩大到为非证券型代币提供交易服务的中心化交易所。

实际上，从客户资产所面临的被盗、被挪用、侵占的风险来看，客户不仅是在交易证券型代币的中心化交易所上会面临该等风险，在交易非证券型代币的中心化交易所上也会面临同样的风险，将控制客户资产的所有加密货币交易所（无论其上交易的代币类型是证券型、功能型、支付型）都纳入监管范围，更有助于全面保护客户的资产安全，尤其是在相关代币的定性不甚明确或存在争议，控制客户资产的中心化交易所占据主流的现阶段。 

2.      香港所采取的客户资产保护措施

在将相关加密资产交易所纳入监管的国家及地区中，香港是目前为数不多的、就客户资产保障专门制定明确规则的地区。香港所制定的监管规则既参考了其在传统证券市场上所采用的客户资金保障措施，同时也考虑到了加密资产交易所及加密资产在技术上和商业模式上的特殊性，对客户的资产保护设置了比较有针对性的保障机制。

SFC在立场书中对客户的资产保护设置了专门章节（主要是第7章），内容全面且详细，涉及对资产托管实体的要求、独立账户的开立、内控程序（包括账户管理、私钥的管理、钱包储存技术的采用、提存等）的建立及落实、信息披露、持续监察、保险购买等多个方面。

(1)      对托管实体的要求

根据立场书，为了确保客户资产（包括发币及虚拟货币）与交易所的资产妥善隔离，交易所的运营者应通过其一家子公司以信托方式为其客户持有客户资产。接受客户资产托管的子公司需为交易所运营者的一家全资子公司，在香港成立为法团，且持有香港“信托或公司服务提供者牌照”。

为持有和存放客户资产目的，该子公司应开立一个或多个独立账户，且该等账户需被指定为信托账户或客户账户。交易所运营者应确保所有客户资产均存放在该等独立账户内。该子公司除了依法收取、持有、处理及保障交易所的客户资产外，不得从事其他业务。

(2)      建立并落实相关内部程序

为保障客户资产，交易所运营者应（并应确保该子公司；下同）建立并落实有关账户管理的内部政策及管治程序，包括但不限于交易所不得挪用、买卖、处置客户资产，在线下存储98%的客户加密资产、尽量减少以对线下方式储存的客户加密资产进行交易等。

为确保能够安全产生、储存及备份加密种子及私钥，交易所运营者应在私钥管理方面设立并实施严格的内部监控措施及管制程序。

为确保客户加密资产安全地储存，交易所运营者评估风险并落实适当的储存解决方案，尤其是应保持钱包储存技术是最新的及符合国际最佳作业手法或标准。

为防止盗窃、欺诈及其他不诚信、不当行为导致的损失，交易所运营者应就客户加密资产的提存制定明晰、充分的程序，并积极执行。

(3)      信息披露

交易所应向客户全面披露其代客户持有的客户资产的保管安排（包括各方的权利义务、其储存客户资产的方式等），客户加密资产因黑客入侵、交易所违约等发生损失时的赔偿安排，出现硬分叉及空投等事件时客户加密资产及相关权利的处理等。

(4)      持续监察

交易所运营者应委派人员进行定期的内部审计，以监察交易所在执行有关客户资产保管和处理的规定及程序方面的情况。交易所还应密切监察账户活动，就如何处理不活跃或不动账户内的客户资产的提存建立内部程序。

(5)      保险购买

交易所运营者应为客户的加密资产的相关风险（如盗窃、黑客入侵等）购买相关保险，且保障范围应涵盖线上储存的所有加密资产及线下储存的绝大部分加密资产。

控制着客户资产而不受监管的中心化加密资产交易所曾经是隐形的风险集散地，随着全球若干知名、不知名的交易所一次次的爆出安全事故，该等风险也逐渐为更多的用户和监管层所知。如何保障客户资产安全，是监管层和交易所都需考虑的问题。

对于一些国家的监管层而言，加拿大对加密货币交易所监管范围的确定标准，香港所采取的具有针对性的监管措施，都为其提供了监管思路和模式方面的参考。对中心化交易所而言，保障客户的资产安全，长远来看，不仅是满足监管的需要，也是交易所留住并赢得更多用户、持续发展的需要。
 

作者：张凌，瀚一律师事务所合伙人