保薦人如何處理上市申請人的數字資產及加密貨幣風險

2025年3月，香港證監會（SFC）刊發《有關聲稱具備虛擬資產相關業務的上市申請人的通函》（下稱「2025年3月通函」），首次就保薦人處理上市申請人涉及數字資產及加密貨幣風險的盡職審查責任，發出明確指引。該通函直接回應過去18個月至少6宗上市申請因數字資產披露不足而被拒或撤回的案例，其中3宗涉及申請人未能證明其加密貨幣交易收入來源的合規性。與此同時，香港交易所（HKEX）於2024年第四季度修訂《上市規則》第18C章及第18B章，要求所有涉及虛擬資產業務的申請人必須在招股書（prospectus）中披露其錢包地址及第三方審計報告。保薦人作為上市過程的第一道防線，其對數字資產風險的評估能力，已直接決定申請能否通過上市委員會（Listing Committee）審批。本文將從監管框架、盡職審查實務及內部監控三個維度，拆解保薦人處理數字資產風險的具體操作要求。

監管框架的演變：從原則性指引到具體披露要求

香港對數字資產上市的監管態度，在2023年至2025年間經歷了從「風險提示」到「強制披露」的根本轉變。2023年6月生效的《打擊洗錢及恐怖分子資金籌集條例》（AMLO）修訂，將虛擬資產交易平台納入發牌制度，但該條例主要針對運營商而非上市申請人。真正的轉折點出現在2024年10月，HKEX發佈《有關數字資產發行人上市申請的指引信》（HKEX-GL120-24），明確要求申請人必須提供其數字資產持有量、交易歷史及合規狀況的「全面披露」。

SFC 2025年3月通函的核心要求

SFC 2025年3月通函（SFC Circular dated 27 March 2025）將保薦人的責任分為三個層次。第一，保薦人必須核實申請人數字資產收入的「真實性」，即證明每筆交易均來自真實的商業活動，而非虛構或循環交易。第二，保薦人需評估申請人持有的數字資產是否涉及未經許可的證券型代幣（security tokens），因《證券及期貨條例》（SFO）第103條對「證券」的定義涵蓋任何具有投資合約特徵的數字資產。第三，保薦人必須對申請人的錢包安全措施進行獨立審查，包括多重簽名錢包（multi-signature wallets）的實施情況及私鑰保管安排。

上市規則第18C章及第18B章的修訂影響

HKEX於2024年12月生效的《上市規則》第18C章修訂，要求所有涉及「虛擬資產相關業務」的申請人（包括礦機營運商、交易平台及支付處理商）必須在招股書中披露其數字資產的「錢包地址清單」及「由合資格會計師事務所出具的資產驗證報告」。此要求直接引用國際審計準則（ISA）第540號修訂版中對加密貨幣審計的指引。保薦人需確保申請人在上市前至少完成一次由「四大」會計師事務所或獲SFC認可的第三方審計機構進行的錢包資產驗證。

與其他監管機構的協同要求

保薦人不能僅依賴SFC及HKEX的指引，還需考慮香港金融管理局（HKMA）及財經事務及庫務局（FSTB）的相關規定。HKMA於2024年8月發出的《有關銀行對虛擬資產交易平台客戶的盡職審查指引》，要求銀行在為數字資產企業開戶時，必須審查其反洗錢（AML）合規框架。保薦人在盡職審查中需確認申請人已取得至少一家持牌銀行的銀行服務，否則其業務營運的持續性將受質疑。

盡職審查的具體操作：從錢包驗證到收入追溯

保薦人對數字資產風險的盡職審查，不能停留在「有無持有比特幣」的表面層次。根據SFC 2025年3月通函的附件A，保薦人需執行至少7項具體核實程序，涵蓋錢包地址驗證、交易對手方審查、收入來源追溯及估值方法評估。

錢包地址驗證與資產持有量確認

保薦人必須要求申請人提供所有與其業務相關的數字資產錢包地址，包括熱錢包（hot wallets）、冷錢包（cold wallets）及託管錢包（custodial wallets）。每筆錢包地址的餘額需通過區塊鏈瀏覽器（blockchain explorer）即時驗證，並與申請人提供的財務報表進行比對。若申請人使用第三方託管服務（如Coinbase Custody或BitGo），保薦人需取得該託管機構的獨立確認函，證明其持有資產的數額及所有權歸屬。2024年一宗被HKEX拒絕的案例中，申請人聲稱持有1,200枚比特幣，但實際錢包地址僅顯示900枚，差額無法解釋。

交易對手方審查與合規性評估

保薦人需對申請人過去12個月內的前20大交易對手方進行身份驗證，確保其不屬於SFC《打擊洗錢指引》中列明的受制裁實體或高風險司法管轄區。若申請人的交易對手方位於「反洗錢金融行動特別組織」（FATF）定義的「高風險及受監控司法管轄區」（如伊朗、北韓），保薦人需額外評估該等交易是否涉及制裁合規風險。此要求與《聯合國制裁條例》（第537章）及《打擊洗錢條例》（第615章）第12條的規定一致。

收入來源追溯與估值方法

數字資產業務的收入來源往往涉及多層交易結構，保薦人需追溯每筆收入至最終的法定貨幣（fiat currency）結算。若申請人接受加密貨幣作為支付方式，保薦人需確認其已設立獨立賬戶記錄每筆交易的入賬時間、幣種及匯率。估值方面，保薦人應採用SFC認可的市場價格來源（如CoinMarketCap的加權平均價格），並在招股書中披露估值日期及採用方法。對於持有大量非主流代幣（altcoins）的申請人，保薦人需評估其流動性風險，因HKEX上市委員會曾於2024年明確表示，持有流動性不足代幣的申請人將被視為「高風險申請」。

內部監控與合規系統的建設要求

保薦人自身必須建立一套完整的數字資產風險內部監控系統，否則無法通過SFC的持牌資格審查。SFC 2025年3月通函明確指出，保薦人需在2025年9月30日前完成內部監控系統的升級，否則將面臨牌照條件限制或罰款。

獨立數字資產審計團隊的設立

保薦人應設立至少由3名具備區塊鏈技術背景的合規人員組成的數字資產審計團隊，負責所有涉及數字資產的上市項目。該團隊需持有SFC第6類（企業融資）牌照，並完成由SFC認可的虛擬資產培訓課程（如香港大學專業進修學院提供的「區塊鏈審計與合規」課程）。保薦人需定期（至少每季度一次）向SFC提交數字資產項目的審計報告，報告內容需包括錢包驗證結果、交易對手方審查清單及估值方法變更記錄。

與外部專家的合作機制

對於技術複雜度較高的項目（如去中心化金融（DeFi）協議或非同質化代幣（NFT）平台），保薦人應聘請具備SFC認可資格的第三方技術專家進行獨立評估。該專家需出具書面報告，證明申請人的智能合約（smart contracts）不存在重大安全漏洞，且其代幣經濟模型（tokenomics）不構成SFO第103條定義的證券。保薦人需將該報告作為招股書的附件提交至HKEX，否則上市委員會將不予受理。

持續監控與上市後責任

保薦人的責任並不隨上市完成而終止。根據《上市規則》第3A.09條，保薦人需在上市後至少12個月內，持續監控申請人的數字資產持有量變化及合規狀況。若申請人上市後3個月內數字資產持有量減少超過20%，保薦人需立即向SFC提交解釋報告。2025年1月，一家2024年上市的數字資產支付公司因上市後拋售80%持有的以太幣，導致其股價在兩周內下跌62%，最終被SFC暫停交易並要求保薦人承擔連帶責任。

跨境結構與司法管轄區風險的處理

數字資產上市申請人往往採用跨境結構，將營運實體設於開曼群島（Cayman Islands）或英屬維爾京群島（BVI），而將數字資產持有實體設於新加坡或瑞士。保薦人必須識別每一層結構的監管風險，並確保所有實體均符合香港的披露要求。

開曼群島及BVI結構的稅務與合規考量

若申請人的控股公司註冊於開曼群島或BVI，保薦人需確認該等司法管轄區的《經濟實質法》（Economic Substance Law）是否適用於數字資產業務。開曼群島稅務信息管理局（TIA）於2024年修訂的指引，明確要求數字資產交易平台必須在當地設立實際營運場所，否則將被視為不符合經濟實質要求。保薦人需取得申請人開曼或BVI律師的法律意見書，證明其結構符合當地法規。

新加坡及瑞士實體的數據保護與反洗錢要求

若申請人的數字資產持有實體設於新加坡，保薦人需審查其是否遵守新加坡金融管理局（MAS）的《支付服務法》（PSA）及《數字支付代幣服務提供商指引》。新加坡於2024年10月修訂的PSA，要求所有數字支付代幣服務提供商必須取得MAS牌照，否則將被視為非法營運。保薦人需確認申請人的新加坡實體已取得MAS牌照或已提交申請，並將該等文件納入盡職審查檔案。

香港實體的牌照與銀行服務要求

申請人若在香港設有營運實體，保薦人需確認該實體已取得SFC第1類（證券交易）及第7類（提供自動化交易服務）牌照（如適用），或已向SFC提交牌照申請。2024年11月，一家申請人因未能提供其香港實體已向SFC提交牌照申請的證明，被HKEX上市委員會要求撤回申請。保薦人需同時確認申請人已取得至少一家香港持牌銀行的銀行服務，否則其業務營運的持續性將受質疑。

結語：保薦人數字資產合規的五項核心行動

第一，保薦人必須在2025年9月30日前完成內部數字資產審計團隊的設立及培訓，確保團隊成員具備區塊鏈技術及SFC合規的雙重能力。第二，所有涉及數字資產的上市申請，保薦人必須執行錢包地址驗證、交易對手方審查及收入來源追溯三項核心程序，缺一不可。第三，保薦人需建立與外部技術專家的合作機制，確保智能合約審計及代幣經濟模型評估的獨立性與專業性。第四，跨境結構的合規審查需延伸至開曼群島、新加坡及瑞士等司法管轄區，並取得當地律師的法律意見書。第五，保薦人需建立上市後持續監控機制，至少12個月內定期向SFC提交數字資產持有量變化的報告，以避免連帶責任風險。