原文標題: Holding the future: Custody principles for a tokenized world
原文作者:Scott Walker、Kate Dellolio、David Sverdlov,a16z
原文編譯:Luffy,bitget交易所
投資加密資產的注冊投資顧問(RIAs)面臨著監管不明確和資產托管選擇有限的困境。更為復雜的是,加密資產帶有與 RIAs 以往負責的資產不同的所有權和轉讓風險。RIAs 的內部團隊(運營、合規、法務等部門)竭盡全力尋找愿意且符合期望的第三方托管人,盡管付出諸多努力,他們還是難以找到合格的托管人,結果就是 RIAs 不得不自行持有這些資產。因此,當前加密資產托管面臨著獨有的法律和運營風險。
加密行業需要的是一種原則上的方法,來為幫助客戶保護加密資產的專業投資者解決這一關鍵問題。在回應美國證券交易委員會(SEC)近期的信息征集請求時,我們制定了一些原則,若能夠實施,這些原則將把《投資顧問法》托管規則的目標延伸至新的加密資產類別。
加密資產托管有何不同
傳統資產的持有人對資產的控制意味著其他人沒有控制權。但加密資產并非如此,可能有多個實體能夠訪問與一組加密資產相關的私鑰。
加密資產通常還附帶多種對資產至關重要的內在經濟和治理權利。傳統債務或證券可以 「被動」 賺取收益(如股息或利息),持有人在獲取資產后無需轉移資產或采取任何進一步行動。相比之下,加密資產持有人可能需要采取行動來解鎖與資產相關的特定收益或治理權利。根據第三方托管人的能力,RIAs 可能需要暫時將這些資產轉出托管,以解鎖這些權利。例如,某些加密資產可以通過質押或收益耕作賺取收益,或者對協議或網絡升級的治理提案擁有投票權。這些與傳統資產的差異給加密資產托管帶來了新的挑戰。
為便于追蹤何時適合自我托管,我們制定了這個流程圖。
原則
我們在此提出的原則旨在為 RIAs 揭開托管的神秘面紗,同時保留其保護客戶資產的責任。目前專注于加密資產的合格托管人(如銀行或經紀自營商)市場極其狹小;因此,我們的主要關注點在于托管實體是否有能力提供我們認為托管加密資產所必需的實質性保護措施 ,而不僅僅是該實體作為《投資顧問法》下合格托管人的法律地位。
我們建議,當滿足實質性保護措施的第三方托管解決方案不可用或不支持經濟和治理權利時,有能力滿足實質性保護要求的 RIAs 可將自我托管作為一種途徑。
我們的目標不是將托管規則的范圍擴大到證券之外。這些原則適用于屬于證券的加密資產,并為其他資產類型規定了滿足 RIAs 受托責任的標準。RIAs 應尋求在類似條件下持有不屬于證券的加密資產,并記錄所有資產的托管實踐,包括針對不同類型資產的托管實踐存在重大差異的原因。
原則 1:法律地位不應決定加密資產托管人的資格
法律地位以及與特定法律地位相關的保護措施對托管人的客戶很重要,但在涉及加密資產托管時,這并非全部考量因素。例如,聯邦特許銀行和經紀自營商受托管法規約束,為客戶提供嚴格保護,但州特許信托公司和其他第三方托管人也可以提供類似程度的保護。
托管人的注冊不應是其是否有資格托管加密資產證券的唯一決定因素。在加密領域,「合格托管人」 的范圍應予以擴大,還應包括:
-
州特許信托公司(意味著它們除了接受州或聯邦銀行監管機構的監督和檢查外,無需滿足《投資顧問法》中 「銀行」 的定義標準);
-
根據(擬議的)聯邦加密市場結構立法注冊的任何實體;
-
任何其他能夠證明自身符合嚴格客戶保護標準的實體,無論其注冊狀態如何。
原則 2:加密資產托管人應建立適當的保護措施
無論使用何種技術工具,托管人都應圍繞加密資產托管采取一定的保護措施。這些措施包括:
1、權力分離:加密資產托管人在沒有 RIAs 配合的情況下,不應能夠將加密資產轉出。
2、資產隔離:加密資產托管人不應將為 RIAs 持有的任何資產與為其他實體持有的資產混合。不過,注冊經紀自營商可以使用單一綜合錢包,前提是它始終保持這些資產所有權的最新記錄,并及時向相關 RIAs 披露情況。
3、托管硬件:加密資產托管人不應使用任何會引發安全風險或存在受損風險的托管硬件或其他工具。
4、審計:加密資產托管人應至少每年接受一次財務和技術審計。此類審計應包括:
由 PCAOB 注冊審計師進行的財務審計:
-
服務組織控制(SOC)1 審計;
-
SOC 2 審計;以及
-
從持有人角度對加密資產的確認、計量和列報;
技術審計:
-
ISO 27001 認證;
-
滲透測試;以及
-
災難恢復程序和業務連續性規劃測試。
5、保險:加密資產托管人應有足夠的保險覆蓋范圍,或者,如果無法獲得保險,應建立足夠的儲備金。
6、披露:加密資產托管人必須每年向 RIAs 提供一份與其托管加密資產相關的主要風險清單,以及減輕這些風險的相關書面監督程序和內部控制措施。加密資產托管人應每季度對此進行評估,以確定是否需要更新披露內容。
6、托管區域:加密資產托管人不應在當地法律規定托管資產在其破產時將成為破產財產一部分的任何管轄區域托管加密資產。
此外,我們建議加密資產托管人在每個階段實施與以下流程相關的保護措施:
-
準備階段:審查和評估要托管的加密資產,包括密鑰生成過程和交易簽名程序,它是否由開源錢包或軟件支持,以及密鑰管理過程中使用的每一件硬件和軟件的來源。
-
密鑰生成:在此過程的各個層面都應使用加密技術,并且需要多個加密密鑰來生成私鑰。密鑰生成過程應既 「橫向」(即同一層級有多個加密密鑰持有人),又 「縱向」(即有多個層級的加密)。最后,法定人數要求還應確保認證人員的實際在場。
-
密鑰存儲:絕不要以明文形式存儲密鑰,只能以加密形式存儲。密鑰必須通過地理位置或不同的訪問人員進行物理隔離。如果使用硬件安全模塊來保存密鑰副本,其必須符合美國聯邦信息處理標準(「FIPS」)的安全評級。應實施嚴格的物理隔離和授權措施。加密資產托管人應至少維持兩級加密冗余,以便在發生自然災害、停電或財產損毀時能夠維持運營。
-
密鑰使用:錢包應要求身份驗證;換句話說,它們應核實用戶身份屬實,并且只有授權方能夠訪問錢包。錢包應使用成熟的開源加密庫。另一個最佳實踐是避免將一個密鑰用于多種用途。例如,應分別為加密和簽名保存密鑰。遵循 「最小特權」 原則,即在發生安全漏洞時,對任何資產、信息或操作的訪問應僅限于系統運行絕對必需的各方。
原則 3:加密資產托管規則應允許注冊投資顧問行使與托管加密資產相關的經濟或治理權利
除非客戶另有指示,RIAs 應能夠行使與托管加密資產相關的經濟或治理權利。在前一屆 SEC 管理層執政期間,鑒于代幣分類的不確定性,許多 RIAs 采取保守策略,將所有加密資產托管給合格托管人。如前所述,可供選擇的托管人市場有限,這往往導致只有一家合格托管人愿意支持某一特定資產。
在這些情況下,RIAs 可以要求行使經濟或治理權利,但加密資產托管人可能因為一些原因選擇不提供這些權利。反過來,RIAs 覺得自己沒有權力選擇其他第三方托管人或進行自我托管以行使這些權利。這些經濟和治理權利的包括質押、收益耕作或投票。
根據這一原則,我們主張 RIAs 應選擇符合相關保護措施的第三方加密資產托管人,以便 RIAs 能夠行使與托管加密資產相關的經濟或治理權利。如果第三方無法同時滿足這兩個要求,RIAs 為行使經濟或治理權利而將資產臨時轉出進行自我托管的行為不應被視為脫離托管。
所有第三方托管人應盡最大努力在資產仍由其托管時,為 RIAs 提供行使這些權利的能力,并應在 RIAs 授權時,采取商業上合理的行動,以行使與鏈上資產相關的任何權利。
在為行使與某項加密資產相關的權利而將資產轉出托管之前,RIAs 或托管人必須首先以書面形式確定,是否可以在不轉出托管的情況下行使該權利。
原則 4:加密資產托管規則應具備靈活性,以實現最佳執行
RIAs 在交易資產方面負有最佳執行義務。為此,RIAs 可以將資產轉移到加密交易平臺,以確保該資產的最佳執行,無論資產或托管人的狀態如何,前提是 RIAs 已采取必要步驟確保交易場所的安全性,或者 RIAs 在加密市場結構立法最終確定后,已將加密資產轉移到受該立法監管的實體。
只要 RIAs 確定將加密資產轉移到交易場所以實現最佳執行是明智之舉,這種轉移不應被視為脫離托管。這要求 RIAs 合理確定該場所適合實現最佳執行。如果交易無法在該場所妥善執行,資產應立即返還給加密資產托管人。
原則 5:在特定情況下,應允許 RIAs 進行自我托管
雖然使用第三方托管仍應是加密資產的主要選擇,但在以下情況下,應允許 RIAs 對加密資產進行自我托管:
-
RIAs 確定找不到能夠滿足其所需保護措施的第三方托管人;
-
RIAs 自身的托管安排至少與可獲得的第三方托管人的保護措施一樣有效;
-
自我托管對于行使與加密資產相關的任何經濟或治理權利是必要的。
當 RIAs 出于這些原因決定對加密資產進行自我托管時,RIAs 必須每年確認證明自我托管合理的情況未發生變化,向客戶披露自我托管情況,并使此類加密資產接受《托管規則》的審計要求。
基于這些原則的加密資產托管方法確保 RIAs 能夠在履行受托責任的同時,適應加密資產的獨特特性。通過關注實質性保護而非僵化的分類,這些原則為保護客戶資產和解鎖資產功能提供了一條務實的前進道路。隨著監管環境的演變,基于這些保護措施的明確標準將使 RIAs 能夠以負責任的方式管理加密資產。
鄭重聲明:本文版權歸原作者所有,轉載文章僅為傳播更多信息之目的,如作者信息標記有誤,請第一時間聯系我們修改或刪除,多謝。
