MiCA 解码是 Bitcoin.com 新闻的一系列 12 篇文章,每周发布,由 LegalBison 的联合创始人兼常务董事 Aaron Glauberman、Viktor Juskin 和 Sabir Alijev 共同撰写。LegalBison 为加密和金融科技公司提供有关 MiCA 许可、CASP 和 VASP 申请以及欧洲及其他地区的监管结构的咨询。
当创始人开始规划加密资产服务提供者(CASP)授权时,谈话几乎总会在同一时刻结束:“那么,我们需要雇佣合规官吗?”
有时这个问题会有后续:“还需要一个反洗钱报告官(MLRO)吗?就这些吗?”
两个问题的答案都是肯定的。但将这两项任命视为终点,是对 MiCA 实际对合规职能需求的最常见且后果严重的误读。
监管机构并不检查组织结构图中是否有正确的职位名称。他们在评估管理机构整体是否具备知识架构、结构独立性和记录的操作深度,以运营一家受监管的金融机构。MiCA 许可不是发给个人,而是发给一个组织。
这种区别在于,为什么许多早期申请会停滞不前或在国家主管机构(NCA)授权之前需要重大修改。
MiCA 第 68(1) 条对此点非常明确。管理机构成员必须“个体和集体”具备适当的知识、技能和经验。这个单词“集体”在监管工作中发挥了重要作用。
欧洲银行管理局(EBA)和欧洲证券和市场管理局(ESMA)关于管理机构成员和股东适合性的联合指导,明确列出了管理机构必须具备的特定专业经验领域。LegalBison 的高级律师 Eira Järvi 在下表中概述了具体要求。
| 要求类别 | 详细描述 |
| 金融市场监管 | 理解金融工具和 DLT 金融工具,包括 SIBA 和其他适用法律下的监管要求 |
| 反洗钱/反恐怖融资合规 | 对反洗钱/反恐怖融资要求的了解,包括风险识别、评估和缓解策略 |
| 虚拟资产 | 了解虚拟资产类型,包括资产挂钩和电子货币代币,以及与每种类型相关的风险 |
| 数据保护 | 理解与公司运营相关的数据保护义务 |
| 风险管理 | 理解风险管理原则和程序,包括市场、信用和流动性风险 |
| 治理与内部控制 | 评估治理安排、监督机制和内部控制有效性的能力 |
| 数字运营弹性 | 了解与运营弹性相关的要求 |
| 战略和管理知识 | 在战略规划、业务发展和业务目标实施方面的经验 |
| 第三方管理 | 理解外包安排、第三方提供商管理及相关的监管要求 |
| 沟通与监督 | 能够表达观点、讨论策略,并在适用时质疑管理层的决定,以确保有效监督 |
| 会计与审计 | 能够解读财务信息、识别关键问题,并理解相关的会计和审计标准 |
| 法律与监管知识 | 了解适用于 VASP 的法律要求,包括虚拟资产的发行和管理 |
当分析 ESMA 的指南时,可以清楚地看到,管理机构的综合资料必须明显涵盖三个核心知识领域,这些领域包括 Eira 列出的所有内容:
- 传统金融市场:适用的监管框架、投资者保护义务、市场行为规则,以及适用于持牌金融服务提供商的操作标准。
- 数字账本技术(DLT)基础设施和网络安全:区块链架构、协议级风险、智能合约风险、网络安全威胁建模,以及从链上服务交付所产生的特定操作脆弱性。
- 商业战略和组织治理:风险管理设计、内部控制架构、治理政策,以及评估和定期审查公司的合规有效性的能力。
监管机构并不期望一个人涵盖所有三个领域。根据 ESMA 要求公司提交“集体适宜性”评估,这一期望是整个团队共同覆盖所有领域,没有显著的空白。
完全由传统金融背景人员组成的管理机构,如果没有人能够评估 DLT 基础设施风险,在提交申请前就已经在结构上不完整。
反之亦然:一个技术背景深厚的加密原生团队,如果没有人了解受监管金融市场的行为,也会面临同样的审查。
集体适宜性标准还有第二层,往往让申请者感到意外。
合适的人选必须在实践中存在,而不仅仅是文件上。每个管理机构成员必须以书面形式记录他们对公司的最低时间投入:具体来说,是对该角色投入的时间的估算(包括年度和月度指示),并附上他们当前所担任的所有其他执行和非执行董事职务的正式声明。
ESMA 关于授权的草案监管技术标准(来自第一次咨询包)对此做了明确规定。评估涵盖每个人在功能上是否在场,而不仅仅是名义上的列出。
一位担任四个其他董事会职位的非执行董事,以及与另外两家公司之间存在合规咨询关系的人将面临直接审查。NCA 需要确保管理机构实际上能够履行其职责,而不仅仅是申请上显示了正确的名字。
这对早期阶段的加密公司尤其重要,这些公司引入有经验的合规人员以兼职或顾问身份加强授权申请。监管机构会准确看到该人士每月投入的小时数,并将这一数字与角色的范围和公司打算提供的服务进行比较。
责任和时间承诺之间的不匹配是一个红旗,而不是技术细节。
理解管理机构层面的集体适宜性只是全貌的一部分。MiCA 第 68(4) 条要求 CASP 采用“足够有效以确保合规”的政策和程序。第 68(5) 条要求每个公司层级的人员具备适当的知识。第 68(6) 条要求管理机构定期审查这些安排的有效性,并解决发现的任何不足。
ESMA 的草案 RTS 进一步推进了这一点。它们要求公司识别特定的内部控制职能,并对每一项进行文档记录:
- 报告线路直接向管理机构汇报。
- 该职能如何独立于其监督的业务领域运作。
- 当检测到重大合规风险时,该职能如何能够按计划和紧急(临时)方式接触管理机构。
构成这一内部控制框架核心的三个职能领域是:
- 合规职能(监管义务、行为政策、内部程序)。
- 风险评估职能(风险识别、评估方法、升级协议)。
- 内部审计职能(独立有效性审查、定期评估)。
注意:反洗钱/反恐怖融资职能和业务连续性职能也是授权申请的强制支柱,但 ESMA 将它们视为与这一核心内部控制框架并列的独立组织要求。
MiCA 在级别 1 文本中并不总是赋予这些精确的标签。ESMA RTS 明确规定,核心内部控制领域必须有命名的负责人员、文件化的责任范围和经过验证的结构独立性。
这一最后一点是许多申请显示出结构缺陷的地方。
一个向首席运营官报告的合规职能,同时首席运营官还管理收入和业务发展,从监管意义上讲并不独立。风险职能嵌入在交易台中,同样通过与其所监督的交易台相同的链条上升报告,也不符合标准。
监管机构将要求查看组织结构图。然后他们会询问合规负责人在实际中向谁报告,该人员的其他职责是什么,以及在发现严重合规风险时他们拥有的升级权利。
围绕真正的独立结构构建 CASP 许可申请要求在申请起草之前设计出架构,而不是事后进行调整。
授权申请必须在欧盟内部记录一个有效管理的实体。这意味着总部地址、相关的分支机构位置,以及公司的真实决策地理位置。
- 至少有一名行使实际权力的董事必须在欧盟内居住,并可与本国国家主管机构取得联系。
- 在欧盟辖区内的注册地址辅以提名董事安排并不符合该标准。
- 实体要求意味着人类决策权重必须实际位于欧盟内部。
NCA 通过 RTS 申请中的位置字段和每个管理机构成员的时间承诺披露来评估这一点。
一位每季度在欧盟实际逗留两周的董事在监管意义上并不符合常驻董事的标准。
这一点对于那些在欧盟以外的全球总部运营、且在欧洲构建加密许可证的公司尤其重要。总部位于欧盟的实体必须作为一个真正的决策单位运作,而不是作为一个在其他地方运营的集团结构的行政前台。
业务连续性通常被视为 IT 的责任。在 MiCA 和数字运营弹性法(DORA)下,这种框架对任何获得授权的 CASP 来说都是不正确的。
业务连续性政策必须由管理机构拥有、批准和维护。DORA(法规 EU 2022/2554)治理与信息和通信技术相关的具体元素,而 CASP 属于 DORA 的范围,作为金融实体。这两个框架同时运作,合规职能必须能够同时应对这两个框架。
ESMA 的第二次 MiCA 咨询文件引入了对在无许可分布式账本技术(如以太坊等公共区块链)上运营的公司的特定义务:在任何 DLT 级别服务中断期间,主动、结构化地与客户沟通。
公司必须向客户更新其资金是否处于风险中,并提供清晰的服务恢复管理情况。公司对其自身智能合约所产生的任何损失负有全部责任,无论基础区块链是否为无许可区块链。
这并不是一个标准的 IT 故障政策。真正承担这一义务需要管理机构在 DLT 基础设施风险的理解上超越一般的技术意识。
只能以一般术语描述区块链风险的合规团队,将无法起草、审查或维护符合监管审查的业务连续性政策。
合规职能的职责扩展到数据架构。运营交易平台的 CASP 必须使用数字令牌标识符(DTI)标准进行所有记录和向 NCA 报告。DTI 唯一标识每种加密资产,并将其链接到发行、交易或结算的特定 DLT。这使监管机构能够以一致、可比较的数据执行跨境监督。
ISO 20022 消息标准治理向当局提交的交易数据格式。交易前和交易后的透明度数据必须通过非歧视、机器可读的公共渠道披露,以防止市场滥用。每一项这些要求都有技术维度,合规团队必须掌握,而不是盲目委托给 IT。
将记录保持当做一般系统管理任务,没有合规监督特定数据标准 RTS 要求的做法,公司在授权后将面临监督问题。
这些标准的存在正是为了让 NCA 可以在一次分析中比较数百个 CASP 的记录。无法按照所需格式生成数据的公司,将无法证明持续合规。
这就是“单一大脑”标准的实际意义。合规团队将监管意识、治理结构、DLT 操作知识和技术数据素养集成作为一个单一的功能能力。这些元素中的任何一个都不能完全外包给其他职能。
CASP MiCA 许可的授权申请记录了一个已经存在的机构。这是将高效通过流程的公司与停滞不前的公司分开的心理模型。
追求加密交易许可、数字资产保管授权或任何其他 CASP 许可的公司需要将团队架构视为首要交付成果,而不是在申请草拟过程中拼凑起来的东西。
合规职能在首个文件书写之前必须在结构上独立。管理机构的集体知识覆盖必须在 NCA 审查开始之前进行评估,任何空白都必须得到解决。时间承诺披露在提交之前必须是现实的。
同样的逻辑适用全球。申请欧盟以外司法管辖区内 VASP 许可的公司正越来越多地遇到平行标准:中东、亚太地区和美洲的监管机构正在趋向于对合规职能设计的实质优于形式的类似要求。
欧盟标准是当前最详细、技术上最具体的标准,是任何在主要司法管辖区内朝着受监管状态构建的团队的有用基准。
关键要点
神话:任命合规官和反洗钱报告官可以满足 MiCA 的合规义务。
现实:MiCA 要求一个有效运作的合规组织,而不是一个职位头衔的列表。
三个因素决定管理机构是否符合标准:
集体知识覆盖。团队作为一个整体,必须涵盖传统金融市场专业知识、DLT 和网络安全专长,以及组织治理能力。任何一个领域的缺口都是结构性缺陷,而不是资料偏好。
记录的结构独立。核心内部控制职能(合规、风险评估和内部审计)必须有命名的拥有者、直接向管理机构报告的线路,以及与其监督的业务领域的经过验证的独立性。(注意:反洗钱/反恐怖融资和业务连续性同样是强制要求,但被视为独立的组织支柱)。通过收入生成职能来处理合规的组织结构图在 NCA 审查中不会生存。
真正的机构实质。时间承诺必须是真实的并且有记录。欧盟的实际存在必须反映出实际的决策权重,而不是仅仅是注册地址。业务连续性政策必须由管理机构层面拥有。数据报告必须从第一天开始符合 DTI 和 ISO 20022 标准。
CASP 许可申请是输出结果。合规架构是基础。先建立基础。
本文基于 LegalBison 于 2026 年 4 月进行的研究。内容仅供参考,不构成法律建议。
免责声明:本文章仅代表作者个人观点,不代表本平台的立场和观点。本文章仅供信息分享,不构成对任何人的任何投资建议。用户与作者之间的任何争议,与本平台无关。如网页中刊载的文章或图片涉及侵权,请提供相关的权利证明和身份证明发送邮件到support@aicoin.com,本平台相关工作人员将会进行核查。
