a16z：加密資產託管的5項原則

投資加密資產的註冊投資顧問（RIAs）面臨著監管不明確和資產託管選擇有限的困境。 更為複雜的是，加密資產帶有與 RIAs 以往負責的資產不同的所有權和轉讓風險。 RIAs 的內部團隊（運營、合規、法務等部門）竭盡全力尋找願意且符合期望的第三方託管人，儘管付出諸多努力，他們還是難以找到合格的託管人，結果就是 RIAs 不得不自行持有這些資產。 因此，當前加密資產託管面臨著獨有的法律和運營風險。

加密行業需要的是一種原則上的方法，來為幫助客戶保護加密資產的專業投資者解決這一關鍵問題。 在回應美國證券交易委員會（SEC）近期的信息徵集請求時，我們制定了一些原則，若能夠實施，這些原則將把《投資顧問法》託管規則的目標延伸至新的加密資產類別。

傳統資產的持有人對資產的控制意味著其他人沒有控制權。 但加密資產並非如此，可能有多個實體能夠訪問與一組加密資產相關的私鑰。

加密資產通常還附帶多種對資產至關重要的內在經濟和治理權利。 傳統債務或證券可以「被動」賺取收益（如股息或利息），持有人在獲取資產後無需轉移資產或採取任何進一步行動。 相比之下，加密資產持有人可能需要採取行動來解鎖與資產相關的特定收益或治理權利。 根據第三方託管人的能力，RIAs 可能需要暫時將這些資產轉出託管，以解鎖這些權利。 例如，某些加密資產可以通過質押或收益耕作賺取收益，或者對協議或網絡升級的治理提案擁有投票權。 這些與傳統資產的差異給加密資產託管帶來了新的挑戰。

為便於追踪何時適合自我託管，我們制定了這個流程圖。

我們在此提出的原則旨在為 RIAs 揭開託管的神秘面紗，同時保留其保護客戶資產的責任。 目前專注於加密資產的合格託管人（如銀行或經紀自營商）市場極其狹小；因此，我們的主要關注點在於託管實體是否有能力提供我們認為託管加密資產所必需的實質性保護措施，而不僅僅是該實體作為《投資顧問法》下合格託管人的法律地位。

我們建議，當滿足實質性保護措施的第三方託管解決方案不可用或不支持經濟和治理權利時，有能力滿足實質性保護要求的 RIAs 可將自我託管作為一種途徑。

我們的目標不是將託管規則的範圍擴大到證券之外。 這些原則適用於屬於證券的加密資產，並為其他資產類型規定了滿足 RIAs 受託責任的標準。 RIAs 應尋求在類似條件下持有不屬於證券的加密資產，並記錄所有資產的託管實踐，包括針對不同類型資產的託管實踐存在重大差異的原因。

法律地位以及與特定法律地位相關的保護措施對託管人的客戶很重要，但在涉及加密資產託管時，這並非全部考量因素。 例如，聯邦特許銀行和經紀自營商受託管法規約束，為客戶提供嚴格保護，但州特許信託公司和其他第三方託管人也可以提供類似程度的保護。

託管人的註冊不應是其是否有資格託管加密資產證券的唯一決定因素。 在加密領域，「合格託管人」的範圍應予以擴大，還應包括：

州特許信託公司（意味著它們除了接受州或聯邦銀行監管機構的監督和檢查外，無需滿足《投資顧問法》中「銀行」的定義標準）；

根據（擬議的）聯邦加密市場結構立法註冊的任何實體；

任何其他能夠證明自身符合嚴格客戶保護標準的實體，無論其註冊狀態如何。

無論使用何種技術工具，託管人都應圍繞加密資產託管採取一定的保護措施。 這些措施包括：

1、權力分離：加密資產託管人在沒有 RIAs 配合的情況下，不應能夠將加密資產轉出。

2、資產隔離：加密資產託管人不應將為 RIAs 持有的任何資產與為其他實體持有的資產混合。 不過，註冊經紀自營商可以使用單一綜合錢包，前提是它始終保持這些資產所有權的最新記錄，並及時向相關 RIAs 披露情況。

3、託管硬件：加密資產託管人不應使用任何會引發安全風險或存在受損風險的託管硬件或其他工具。

4、審計：加密資產託管人應至少每年接受一次財務和技術審計。 此類審計應包括：

由 PCAOB 註冊審計師進行的財務審計：

服務組織控制（SOC）1 審計；SOC 2 審計；以及從持有人角度對加密資產的確認、計量和列報；

技術審計：

ISO 27001 認證；滲透測試；以及災難恢復程序和業務連續性規劃測試。

5、保險：加密資產託管人應有足夠的保險覆蓋範圍，或者，如果無法獲得保險，應建立足夠的儲備金。

6、披露：加密資產託管人必須每年向 RIAs 提供一份與其託管加密資產相關的主要風險清單，以及減輕這些風險的相關書面監督程序和內部控制措施。 加密資產託管人應每季度對此進行評估，以確定是否需要更新披露內容。

7、託管區域：加密資產託管人不應在當地法律規定託管資產在其破產時將成為破產財產一部分的任何管轄區域託管加密資產。

此外，我們建議加密資產託管人在每個階段實施與以下流程相關的保護措施：

準備階段：審查和評估要託管的加密資產，包括密鑰生成過程和交易簽名程序，它是否由開源錢包或軟件支持，以及密鑰管理過程中使用的每一件硬件和軟件的來源。

密鑰生成：在此過程的各個層面都應使用加密技術，並且需要多個加密密鑰來生成私鑰。 密鑰生成過程應既「橫向」（即同一層級有多個加密密鑰持有人），又「縱向」（即有多個層級的加密）。 最後，法定人數要求還應確保認證人員的實際在場。

密鑰存儲：絕不要以明文形式存儲密鑰，只能以加密形式存儲。 密鑰必須通過地理位置或不同的訪問人員進行物理隔離。 如果使用硬件安全模塊來保存密鑰副本，其必須符合美國聯邦信息處理標準（「FIPS」）的安全評級。 應實施嚴格的物理隔離和授權措施。 加密資產託管人應至少維持兩級加密冗餘，以便在發生自然災害、停電或財產損毀時能夠維持運營。

密鑰使用：錢包應要求身份驗證；換句話說，它們應核實用戶身份屬實，並且只有授權方能夠訪問錢包。 錢包應使用成熟的開源加密庫。 另一個最佳實踐是避免將一個密鑰用於多種用途。 例如，應分別為加密和簽名保存密鑰。 遵循「最小特權」原則，即在發生安全漏洞時，對任何資產、信息或操作的訪問應僅限於系統運行絕對必需的各方。

除非客戶另有指示，RIAs 應能夠行使與託管加密資產相關的經濟或治理權利。 在前一屆 SEC 管理層執政期間，鑑於代幣分類的不確定性，許多 RIAs 採取保守策略，將所有加密資產託管給合格託管人。 如前所述，可供選擇的託管人市場有限，這往往導致只有一家合格託管人願意支持某一特定資產。

在這些情況下，RIAs 可以要求行使經濟或治理權利，但加密資產託管人可能因為一些原因選擇不提供這些權利。 反過來，RIAs 覺得自己沒有權力選擇其他第三方託管人或進行自我託管以行使這些權利。 這些經濟和治理權利的包括質押、收益耕作或投票。

根據這一原則，我們主張 RIAs 應選擇符合相關保護措施的第三方加密資產託管人，以便 RIAs 能夠行使與託管加密資產相關的經濟或治理權利。 如果第三方無法同時滿足這兩個要求，RIAs 為行使經濟或治理權利而將資產臨時轉出進行自我託管的行為不應被視為脫離託管。

所有第三方託管人應盡最大努力在資產仍由其託管時，為 RIAs 提供行使這些權利的能力，並應在 RIAs 授權時，採取商業上合理的行動，以行使與鏈上資產相關的任何權利。

在為行使與某項加密資產相關的權利而將資產轉出託管之前，RIAs 或託管人必須首先以書面形式確定，是否可以在不轉出託管的情況下行使該權利。

RIAs 在交易資產方面負有最佳執行義務。 為此，RIAs 可以將資產轉移到加密交易平台，以確保該資產的最佳執行，無論資產或託管人的狀態如何，前提是 RIAs 已採取必要步驟確保交易場所的安全性，或者 RIAs 在加密市場結構立法最終確定後，已將加密資產轉移到受該立法監管的實體。

只要 RIAs 確定將加密資產轉移到交易場所以實現最佳執行是明智之舉，這種轉移不應被視為脫離託管。 這要求 RIAs 合理確定該場所適合實現最佳執行。 如果交易無法在該場所妥善執行，資產應立即返還給加密資產託管人。

雖然使用第三方託管仍應是加密資產的主要選擇，但在以下情況下，應允許 RIAs 對加密資產進行自我託管：

· RIAs 確定找不到能夠滿足其所需保護措施的第三方託管人；

· RIAs 自身的託管安排至少與可獲得的第三方託管人的保護措施一樣有效；

· 自我託管對於行使與加密資產相關的任何經濟或治理權利是必要的。

當 RIAs 出於這些原因決定對加密資產進行自我託管時，RIAs 必須每年確認證明自我託管合理的情況未發生變化，向客戶披露自我託管情況，並使此類加密資產接受《託管規則》的審計要求。

基於這些原則的加密資產託管方法確保 RIAs 能夠在履行受託責任的同時，適應加密資產的獨特特性。 通過關注實質性保護而非僵化的分類，這些原則為保護客戶資產和解鎖資產功能提供了一條務實的前進道路。 隨著監管環境的演變，基於這些保護措施的明確標準將使 RIAs 能夠以負責任的方式管理加密資產。

原文鏈接

歡迎加入律動 BlockBeats 官方社群：

Telegram 訂閱群：https://t.me/theblockbeats

Telegram 交流群：https://t.me/BlockBeats_App

Twitter 官方賬號：https://twitter.com/BlockBeatsAsia