香港稳定币发行人 AML/CFT 监管“三部曲”

背景

2025 年 7 月 29 日，香港金融管理局(HKMA) 就 2025 年 8 月 1 日起正式实施的稳定币发行人监管制度发布多个指引及说明文件，其中两套指引于 2025 年 8 月 1 日刊宪。

• 《持牌稳定币发行人监管指引》咨询总结及该指引；
• 《打击洗钱及恐怖分子资金筹集指引（持牌稳定币发行人适用）》咨询总结及该指引；
• 与发牌制度及申请程序相关的《稳定币发行人发牌制度摘要说明》；
• 《原有稳定币发行人过渡条文摘要说明》

这些文件构成香港稳定币制度落地的核心监管组件：不仅包括与发牌申请与监管过渡相关的摘要说明，还包括两份围绕反洗钱与反恐怖融资(AML / CFT) 框架制定的核心规范，其内容直接关乎稳定币发行人能否建立合规、可控、可持续的业务框架，并体现金管局对洗钱与恐怖融资风险的系统性回应，也是本文的解读重点。

7 月发布的咨询总结与指引

咨询总结：确立制度优化方向

在 2025 年 5 月 26 日至 6 月 30 日的公众咨询期间，金管局共收到来自银行、虚拟资产平台、Web3 公司、技术服务商及律所等 38 份反馈意见。总结文件主要围绕以下几个关键议题回应业界关注，并相应修订原拟议要求：

• 非托管钱包监管强度调整：市场普遍认同需管理客户钱包相关的风险，但有意见指出，由于当前技术和分析工具的限制，难以有效区分链上的非托管钱包和托管钱包。金管局要求持牌人核实每个客户钱包的拥有权或控制权，而无需进行钱包类型的分类。
• 链上监控技术灵活应用：多数意见支持利用区块链数据追踪交易，但担心强制性技术规范将阻碍中小企业。金管局最终采纳“技术适配”原则，鼓励使用而非强制特定工具，要求合规能力与业务体量相符。
• Travel Rule 角色识别：意见指出持牌人需明确在交易中是“发起方”“中介方”或“接收方”，以便履行不同义务。金管局表示将继续与业界持份者紧密合作，并在适当情況下提供进一步指引。
• 次级市场责任合理限定：关于稳定币发行人是否应承担次级市场监控责任，一些意见认为发行人应发挥作用，因为他们对稳定币生命周期有最全面的理解和最终控制。另一些意见则认为，发行人对次级市场交易的可见性和控制力有限，且技术上难以监控每一笔点对点(peer-to-peer) 交易，特别是涉及非托管钱包的交易。金管局的回应重申了稳定币发行人有必要建立并实施充分和适当的控制系统，以防止和打击其持牌稳定币活动中的洗钱/恐怖融资及其他犯罪行为；考虑到稳定币某些特征对犯罪分子具有吸引力，以及点对点交易和非托管钱包相关的风险，金管局在实施初期将采取谨慎态度；除非持牌人能够向金管局证明并使其信纳其风险缓减措施能有效防止和打击洗钱/恐怖融资及其他罪行，否则，每一名稳定币持有人的身份（包括与持牌人没有客户关系的持有人）应由以下其中一方核实：(i) 持牌人；(ii) 受适当监管的金融机构或虚拟资产服务提供者；或 (iii) 可靠的第三方。

综上，《咨询总结》体现出金管局在坚持监管原则的基础上，更加重视可执行性与监管弹性，并针对技术发展不均、市场多元性等现实问题作出制度性回应。

指引：制度条文化与执行细化

《指引》由《稳定币条例》（第 656 章）第 171 条以及《打击洗钱及恐怖分子资金筹集条例》（AMLO，第 615 章）第7条授权制定，既传承了 5 月《咨询文件》的政策框架，也根据 7 月《咨询总结》中对非托管钱包、技术可行性、责任范围的反馈，进行了实质性细化和法律转化。与前期《咨询文件》与《咨询总结》侧重于政策设计与公众反馈不同，《指引》构成香港稳定币 AML / CFT 监管架构中具有强制执行力的合规操作手册，其不仅规定了稳定币发行人所需履行的义务，更直接构建了行政问责、违规处罚与证监联动等制度机制。

（一）适用范围与总体结构

《指引》面向所有根据《稳定币条例》第 15 条获发牌的稳定币发行人（持牌人），文件以“风险为本”的方法贯穿主轴，结合虚拟资产本身的去中心化、跨链、高匿名特征，分别就以下核心领域设定了规范：

• 机构层面的治理结构与 AML 制度框架建设；
• 发行与赎回过程中对客户的尽职调查要求；
• 稳定币流通中的持续交易监控机制；
• 对链上钱包类型（尤其是非托管钱包）的管理措施；
• 可疑交易识别、报告与后续审查义务；
• 记录保存、员工培训与高层监督责任。

（二）七大关键监管维度

1. 机构风险管理框架

持牌人必须建立书面的内部政策、控制系统与审核程序，以识别、评估和缓解与稳定币活动相关的洗钱与恐怖融资风险。风险评估应涵盖客户类别、地域、支付工具、稳定币类型（单一法币锚定 vs 多资产锚定）及其在链上的可流动性；应设立专责的 AML / CFT 合规负责人，向董事会直接汇报；所有制度执行须记录并可供后审计溯源。

2. 客户尽职调查与加强尽职调查(CDD 与 EDD)

《指引》将客户关系分为“业务关系”与“偶发交易”，并据此设定尽职调查强度：若客户在持续交互中建立业务关系，持牌人必须收集其身份信息、验证文件、实际控制人资料及业务性质，并结合链上行为交叉验证风险水平。若客户涉及政治公众人物(PEPs)、高风险司法辖区或使用混币服务等情形，必须实施加强尽职调查(EDD)，包括但不限于资金来源证明及持续审查频率增加。

3. 非托管钱包的管理措施

《指引》明确指出非托管钱包被视为高风险渠道，持牌人不得将其等同于受监管金融账户。具体要求包括：

• 交易控制措施：对涉及非托管钱包的交易设定限额阈值，或仅允许其参与低风险赎回环节；
• 行为识别与 KYC 增强：须记录首次交互钱包的链上行为模式，采取一系列附加尽职调查步骤（如链上画像、地址绑定记录）；
• 黑名单与白名单机制：建立链上地址数据库，将被识别到与制裁或非法活动有关的钱包地址列入黑名单；
• 技术监控要求：需部署链上分析工具，定期扫描钱包与交易之间的行为联动关系，必要时生成审计路径报告。

值得注意的是，《指引》并未禁止非托管钱包的使用，而是要求将其纳入“基于行为风险”的审查体系。

4. 稳定币交易监控与追踪分析

香港金管局此次将稳定币在链上转移路径的识别与追踪作为合规重心之一，持牌人必须建立实时交易监控机制，并具备以下能力：

• 实时追踪交易链路，识别高风险跳数、跨链桥、混币器等行为；
• 建立链上行为模式数据库，对反常交易路径设定自动报警；
• 与钱包识别机制打通，记录交易对手身份与地址风险；
• 输出合规审查报告，支持金管局现场抽查与执法介入。

链上监控被视作与银行支付监控同等重要，未部署有效链上系统将被视为制度失责。

5. 可疑交易识别与报告义务（STR 机制）

所有发现或怀疑客户涉及非法活动、链上行为异常或资产来源无法解释的情形，持牌人必须在合理时间内向联合财情情报组(JFIU) 提交可疑交易报告(STR)：

• 客户身份、地址、交易类型；
• 涉及的稳定币种类、数量与钱包；
• 可疑行为发生时的系统提示与人员反应；
• 处理措施与后续跟进（如冻结、限权）。

监管机关将定期抽查 STR 系统与响应日志，验证可疑事件是否被有效处理。同时，STR 机制应与链上监控、KYC 模块联动，形成自动辅助生成机制。

6. 数据与记录保存要求

《指引》对合规数据记录设立严格年限：

• 客户尽职调查相关资料（包括链上地址映射信息）：至少保存 5 年；
• 交易记录（链上数据含路径快照、交易标签、地址分析报告）：至少保存 5 年；
• 风险评估、内部审查、系统参数变更记录：金管局可要求延长保存期限。

持牌人应确保所有记录具备可追溯性、安全性与防篡改能力，以备合规审计。

7. 员工培训与组织文化

所有涉及客户识别、交易监控、风险评估、合规报告的员工，均需接受入职前的定期 AML / CFT 培训。高管与董事会成员必须接受职责界定培训，确保资源配备与制度执行到位。金管局可抽查培训体系与效果记录，若发现制度虚设，视同重大违规。

（三）法律责任与监管权力执行机制

《指引》违反后果并非仅为建议性修正，还可能触发以下执法行动：

• 金管局可暂停、限制、撤销稳定币发行牌照；
• 情节严重者，将移交执法机关依《打击洗钱条例》或其他刑事法处理。

此外，金管局保留突击检查、风险评估面谈、技术系统核查的权力，并将在香港金管局与香港证监会(SFC)、海关、JFIU 等多部门协作开展综合执法。

（四）制度意义与监管逻辑总结

该《指引》的推出不仅是对《咨询文件》与《咨询总结》的法律化回应，更体现了香港监管当局从“原则导向”转向“机制导向”的重要跃迁。相比传统金融，稳定币领域的风险更加动态、链上行为更难定性，因此，《指引》的制度意义体现在：

• 从政策倡议（5 月）→ 咨询总结（7 月）→ 法定执行（8 月），完成完整制度闭环
• 引入链上行为监管机制，使 AML 体系向“可视化、可验证、可回溯”方向演化；
• 平衡监管刚性与合规灵活性，强调“责任边界清晰”与“风险可控可量化”；
• 为未来拓展至链上支付、资产通证化（如 RWA）、跨链合规等提供制度试验平台。

该《指引》是持牌人运营合规不可或缺的执行标准，也是技术服务商（如链上监控、身份认证、地址管理等工具提供方）对接香港监管体系的核心接口。

三份文件的对比分析

2025 年 5 月发布的《咨询文件》、2025 年 7 月发布的《咨询总结》以及将于 2025 年 8 月刊宪的《指引》三份文件构成香港稳定币 AML / CFT 监管制度从设计、修正到执行的完整闭环。三份文件既体现了金管局对稳定币特有风险特征的审慎识别与监管预期，也反映出在市场反馈下对监管可行性与执行性不断调整与深化的过程。通过比对三者的结构和内容，不难看出该监管体系从“原则设定”到“实操指引”的逻辑演进与关键变化。

一方面，《咨询文件》（2025 年 5 月）提出了一套初步框架，确立监管的核心原则与目标，尤其强调稳定币活动所面临的 ML / TF 风险，并围绕客户尽职调查、非托管钱包管理、交易监控与 STR 报告等领域提出设想。该文件附有草拟版指引，目的在于引导市场参与者就监管方向及技术路径提供反馈。

随后，《咨询总结》（2025 年 7 月）反映了金管局对 38 份市场意见的吸收情况，并就具体争议事项（如白名单机制、非托管钱包分类困难、Travel Rule 可操作性等）作出回应，提出更具执行性的修订。值得注意的是，《咨询总结》已经在若干核心要求上体现出监管立场的趋严，例如取消白名单设想、强化非客户身份验证义务等。

最终，《指引》将于 2025 年 8 月刊宪生效，正式确立持牌稳定币发行人在 AML / CFT 合规方面的法律义务，内容比前两份文件更为系统、细化，并通过列举、操作步骤和文件保存要求等手段增强其可执行性与审查性。该《指引》不仅将原则性要求转化为合规操作流程，同时引入监管执行机制、处罚机制与跨机构合作权力，确保监管目标具备约束力和执法力。

在内容上，三者之间体现出以下层级递进与关键差异：

1. 监管要求从抽象原则向刚性操作转化：例如，《咨询文件》提出使用区块链分析工具追踪非法资金，而《指引》则具体要求使用具备实时监控能力的外部技术服务商，并就其覆盖面、更新频率、准确性进行尽职调查，强调工具本身也需承担合规证明责任。

2. 非托管钱包管理策略出现重大转向：《咨询文件》提出“白名单机制”作为控制二级市场风险的可能措施，而《咨询总结》则取消这一设想，转向要求对所有非客户持有人进行身份识别验证，除非持牌人能证明其他控制措施有效。《指引》继承并固化这一修订，明确要求在无证据支持风险缓解有效性的情况下，须对所有稳定币持有人的身份进行验证。这一变动将持牌人的 KYC 义务从客户延展至“持有人”，体现监管对 DeFi 中匿名性结构的根本性警惕。

3. Travel Rule 制度由原则转向执行架构： 在《咨询文件》中，Travel Rule 作为 AML 框架的一个条款性要求被提出，而在《指引》中，其执行要求被大幅细化，包括金额分级、汇款/中介/收款方义务划分、加密传输机制、信息缺失处理程序、技术供应商尽职调查标准等，最终确立“稳定币转账对手机构尽职调查”的全面监管模型。这是将 FATF 技术标准完整本地化的体现。

4. 法律责任与监管权力体系全面明确：《指引》新增大量监管执行条款，包括对不遵守规定的处罚后果（影响持牌资格）、对记录保存期限的监管介入权、以及对技术系统、操作流程进行实地核查的职权说明。相较之下，《咨询文件》对此着墨极少，未能构成执法威慑。

5. 组织治理与审计要求显著加强：《指引》强化对 AML / CFT 组织结构的监管，要求设立高级管理层监督机制、指定合规主任(CO) 与洗钱报告主任(MLRO)，并明确其职责分工。同时引入独立审计要求，要求其直接向董事会汇报，并规定员工选聘应考虑诚信与适任性。这些内容在前两份文件中未作展开。

总的来看，《咨询文件》更多是一份理念性蓝图，提出监管目标与方向；《咨询总结》则在回应市场反馈的基础上做出实质修订，明确监管底线与核心义务；而《指引》则完成监管要求的法律化、操作化、程序化处理，体现出金管局以国际标准为基础、结合本地实际、从严防控新型风险的监管路径。特别是在非托管钱包处理策略、Travel Rule 实施机制、技术工具尽调标准和全流程记录留存等关键领域，《指引》已不再仅是“参考性建议”，而是具有明确法律约束力的监管规定，为持牌人构建了可以遵循、可操作、可审计的执行体系。

合规安全解决方案

尽管将于 2025 年 8 月 1 日生效的《指引》在多项具体要求上相较《咨询文件》已有所细化与强化，慢雾(SlowMist) 团队此前基于《咨询文件》所构建的合规解决方案，尤其是「面向香港稳定币发行人的智能合约实施指南」以及联合生态合作伙伴共同制定的「稳定币风险管理与反洗钱 / 反恐怖融资（AML / CFT）合规安全解决方案」，在逻辑架构、系统性设计与技术模块等方面，仍可为当前《指引》提供高度适配的合规参考路径。

一方面，智能合约指南中已涵盖多项与《指引》正式要求相一致的技术控制措施，为持牌人构建合约架构提供了参考蓝本。

另一方面，「稳定币风险管理与反洗钱 / 反恐怖融资（AML / CFT）合规安全解决方案」则基于慢雾(SlowMist) 团队在区块链安全、合规审计及风险管理方面的实践经验，所推荐的技术解决方案与实施路径亦具备较强的操作性。

总体而言，《指引》涵盖的合规要求广泛且复杂，涉及技术、运营、治理、反洗钱(AML / CFT) 等多个维度，本方案仅聚焦于部分关键条款的解读与提供应对策略，尚不构成对《指引》全部要求的完整覆盖。此外，稳定币发行人的合规体系需结合业务场景、技术架构及监管动态不断优化调整。本方案所列解决方案基于当前技术能力与行业实践的分析，可能还需根据实际业务需求、技术演进及监管环境变化做进一步调整与补充。建议发行人结合自身业务特性，与专业合规与安全服务机构（如慢雾科技）持续沟通，并参考相关监管机构的最新指引，确保合规体系的完整性与有效性。

总结

香港金管局通过一份咨询草案、一轮市场总结与一份正式指引，构建起具有法律效力、制度清晰、责任明确的稳定币 AML / CFT 监管框架。这一制度不仅回应了 FATF 对虚拟资产监管的国际要求，也为香港构建金融科技国际枢纽、保护市场稳定与用户权益提供了重要制度支撑。随着 2025 年 8 月 1 日制度正式生效，稳定币发行人将面临前所未有的监管合规挑战。在这一背景下，需要通过建立组织治理、引入技术工具、加强链上可视化管理与提升员工合规意识，才能真正实现“合规即市场准入”的监管逻辑。

参考链接：

[1] 2025 年 5 月发布的《打击洗钱及恐怖分子资金筹集指引（持牌稳定币发行人适用）》咨询文件

[2] 2025 年 7 月发布的《打击洗钱及恐怖分子资金筹集指引（持牌稳定币发行人适用）》咨询总结

[3] 2025 年 8 月生效的《打击洗钱及恐怖分子资金筹集指引（持牌稳定币发行人适用）》正式指引