迪拜 VARA 监管框架解读
封面:Photo by Mohammed Nasim on Unsplash
随着全球对虚拟资产监管的日益重视,迪拜虚拟资产监管局(VARA)于近期发布了新的合规规定,旨在提升虚拟资产服务提供商(VASPs)的透明度和安全性。这些新规不仅影响了本地市场的运营环境,还对国际虚拟资产交易平台提出了更高的合规要求。作为全球数字资产中心,迪拜的监管政策走在了行业的前列,为其他地区的监管框架提供了重要参考。
迪拜虚拟资产监管局 (VARA) 于 2024 年 9 月 26 日宣布了新的、更严格的虚拟资产营销指南。新法规将于 2024 年 10 月 1 日生效。新法规旨在通过要求参与推广这些数字资产的公司进行更清晰的沟通来解决与加密投资相关的固有风险。
2022 年 3 月,阿联酋总理谢赫·穆罕默德正式推出 VARA,以监督 Web3 领域的增长、发展和安全。所有希望在迪拜开展业务的 Web3 参与者都必须通过 VARA 进行身份识别。
本文将深入探讨迪拜 VARA 合规方面的关键内容,并分析 VASP 在应对监管挑战时应采取的有效策略。通过了解这些要求,虚拟资产服务提供商能够更好地规避潜在风险,维护自身的合法合规运营,同时推动整个行业的健康发展。
合规与风控部分
第一部分 - 合规管理
1. 原则精神:
VASPs 在阿联酋开展业务提供服务时,应遵守诚信、勤勉、高效能力、稳健技术、充分保护、精准核算、有效披露、合规、公开以及透明的原则。
2. 合规管理系统 CMS:
VASPs 应建立并维护有效的合规管理系统,能分析关键绩效和风险指标、监控及测试风险、识别潜在的违规行为,并能及时通知 CO 且相关人员能不受限制地访问必要的记录和文件。
3. 合规政策和程序 Compliance Policies & Procedures:
VASPs 应建立、维护和执行清晰详细的合规政策及程序,包括反洗钱政策、商业活动政策、记录保存程序、员工合规政策、投诉应对程序等。
4. 风控政策和程序 Risk Management Policies & Procedures:
VASPs 应建立与其性质、规模、复杂性和风险概况相适应的风险管理职能以及政策和程序,并应用有效的风险度量以及上报方式。风险职能主管应必须至少每季度提交风险暴露报告。风险类别包括财务稳定风险、市场风险、信用风险、流动性风险、市场行为风险、合规与风控风险、客户保护风险等。
5. 运营管理 Operation Management:
VASPs 应建立和维护有效的运营政策和流程,以保护其虚拟资产和客户虚拟资产免受盗窃、欺诈和/或挪用,确保有防范措施防止其任何工作人员利用机密信息或内幕信息。
6. 账簿和记录 Books and records:
VASPs 应妥善保管账簿和记录,对所有来自第三方服务以及客户的记录、客户交易记录、通信及文件、利益冲突记录册保持相应的记录跟踪以随时证明其符合所有适用的法律和监管要求。这些记录将被保留不少于 8 年,而所有可能涉及阿联酋国家安全的记录都需要无限期保留。
7. 审计 Audit:
外部审计 - VASPs 应指定独立的第三方审计师对其财务报表进行审计,并了解审计师估值的合理性。如果 VASPs 的原始审计师被认为不适合其业务的规模和复杂性以及声誉,则 VARA 可要求 VASPs 更换审计师。内部审计 - 内审部门至少每季度开展审计工作并向高层通报调查结果和建议以及跟进并解决相关问题或风险。
8. 监管报送 Regulatory Reporting:
-至少每月向 VARA 提交其资产负债表和所有资产负债表外项目的清单、损益表、收入表、现金流量表、虚拟资产钱包地址、投资组合完整清单以及所有交易的完整记录,包括但不限于贷款或其他虚拟资产活动的任何交易。
- 至少每季度向 VARA 提交董事会委员会会议的记录、证明符合法律规定的财务要求的声明、财务预测和战略业务计划、风险暴露报告 - 至少每年向 VARA 提交经审计的年报、高管对于年报情况的评估、核实年报准确性正式性的证明、前 100 名客户的开户真实文件、产品说明、集团架构图、董事会成员简历、独立董事的身份证明、任何委员会及成员、董事会议纪要。
9. 监管通知 Regulatory notifications:
VASPs 应书面通知 VARA 任何规则变更、任何重大事件,以及任何刑事或重大民事诉讼、指控或破产程序等。发现任何违反 VA 活动有关的任何法律、监管条例、规则的行为应立即向 VARA 提交报告。及时通知 VARA 与网络安全漏洞有关的事件,包括但不限于涉及信息丢失或影响个人数据的事件。
10. 员工管理及培训 Staff management and training:
VASPs 应采用相应的招聘流程以确保有适当数量且具有必要技能、知识和专业知识的合格人员来履行岗位职责。确保所有监管和执法职能得到有效实施并达到 VARA 要求的前提下,不强制在阿联酋本地办公。VASPs 应在员工入职之初 30 天内进行运营政策和程序的培训,且于之后定期对其实施反洗钱/反恐融资培训,并监督其遵守所有既定程序。
第二部分 - 税务申报和合规
VASPs 必须始终遵守所有适用法律、法规、规则或指南以及国家、国际和行业最佳实践下的所有税务报告义务,包括适用的《美国外国账户税收合规法案》(FATCA)。
第三部分 - 反洗钱及恐怖主义集资
1. 委任洗钱举报主任
VASPs 应任命一名拥有至少两年 2 年处理反洗钱/反恐融资事宜经验洗钱报告官,并每年复核其是否继续属合适人选。
2. MLRO 应负责
a. 确保董事会和员工在理解和遵守所有适用的 “反洗钱”/“反恐融资” 法律和监管要求并安排适当和充分的培训;
b. 制定和实施反洗钱/反恐融资政策和程序
c. 进行 “反洗钱”/“反恐融资” 风险评估并对 VASPs 的相关政策和程序实施所有必要的变更;
d. 监测和报告可疑交易,确保对违反任何联邦反洗钱-反恐怖主义法律的行为采取适当的纠正措施。
犯罪分子不断发展新的洗钱技术和策略,以规避监测和识别的情况。Beosin KYT 借助区块链大数据分析和先进 AI 技术,通过数十亿的地址标签和黑地址库,能够识别可疑交易、进行综合风险评估以及识别链上关系的风险。它能够检测安全攻击、暗网交易、混币器使用、欺诈行为、勒索活动和赌博等风险行为。
e. 每季度向董事会报告 VASPs 反洗钱/反恐融资政策和程序的有效性,识别此类政策和程序中的任何不足以及任何违反反洗钱-反恐融资法律的行为;
f. 每季度提交合规报告。包含隐私币 Privacy Coins:
Anonymity-Enhanced Cryptocurrencies 及其用户的使用情况。
3. 反洗钱政策和程序
a. 遵守 FATF 对于 VASPs 的标准制定以及第二次修订、风险为本的指引、反洗钱国际标准等相关条例;
b. EOCN 办公室的相关指引、本地恐怖分子名单等;
c. 遵守联合国安理会关于打击恐怖主义融资、大规模杀伤性武器扩散及其融资的决议和其他相关指令,遵守与经济制裁有关的及其所有其他适用法律、监管要求和指引;
d. 避免客户以匿名或假名以及假号码开立或进行任何金融或业务往来,避免为其提供任何服务;
e. 保存本地或国际交易的所有记录、文件和数据;
f. VASPs 应当建立相应的风险规则来扫描其客户、实际控制人、虚拟转账、和虚拟钱包地址以识别潜在的非法活动并预警运营及合规团队以实施进一步调查;
g. 所有政策以及流程应当被有资质的第三方验证过,并且有任何修改的 21 天内提交到 VARA 以获取审批。
4. AML/CTF 管控:
a. VASPs 应具有有效的 AML/CFT 管控和系统,能够充分管理与其 VA 活动相关的 AML/CFT 风险,包括使用分布式账本分析工具,以及其他调查工具或监控和扫描交易的能力。
b. 对于所使用的任何分布式账本分析工具,VASPs 应审查并记录其对此类工具的功能和弱点的审查,并设计控制以监控客户的交易活动。
c. 由于虚拟交易和钱包地址的信息是动态变化的,VASPs 应当审查及保存提供持续性监控的分析工具的性能表现。
d. 当设计交易监控和阈值调整时应当满足 FATF Virtual Assets Red Flag Indicators 的要求;
具体如下:
https://www.fatf-gafi.org/content/dam/fatf-gafi/brochures/Handout-Red-Flags-VA-VASP.pdf
5. 风险评估:
a. VASPs 必须对其业务进行风险评估,包括虚拟资产(特别是 Anonymity-Enhanced Cryptocurrencies 隐私币),虚拟资产相关的产品和服务,与虚拟资产活动相关的技术等;
b. 支持匿名增强型交易(隐私币交易)的 VASPs 必须实施增强型风险控制,以确保遵守所有适用的法律法规。应当每六个月对使用该类隐私币的客户进行 ECDD。若 VASPs 没有能力实施相应的风险控制,那么不应该提供隐私币产品或服务。
6. 客户尽职调查:
a. VASPs 必须在提供服务(例如单笔或相关累计超过 3500 迪拉姆的交易、任何可疑行为等)之前对客户进行相应的尽职调查以识别客户以及最终受益人,并应当采用基于风险的尽职调查策略,
b. VASPs 应该在持续监控中实施相应的尽职调查:包括审计客户交易(不仅限于资金来源审查)以保证跟其开户时的目的是相符合的;
c. 定期回顾高风险客户的信息,以确保其文档、数据和信息是最新的、准确的。
d. 对于个人用户:应当通过可靠且独立的来源验证以下文件、数据或信息:全名、国籍、地址、出生地、雇主名字和地址、如果涉及到任何的政治曝光人物,则需要反洗钱报告主任和至少一位高级管理层的审批。
e. 对于非个人实体用户:应当通过可靠且独立的来源验证以下文件、数据或信息:完整名称、类型、公司章程、主要运营地、高管姓名、如果最终受益人是政治曝光人物,则需要反洗钱报告主任和至少一位高级管理层的审批。
f. 验证声称代表行事的实体是否被授权,以及以相同的方式验明身份。
g. 了解与客户的预期目的和性质,并在必要时获取与此目的相关的信息;
h. 如果客户是一家企业或以其他方式向其他客户提供服务,需要了解其业务性质和实控人、最终受益人、客户类型、性质以及目的。
i. 如果 VASPs 无法对客户进行适当的 CDD,则其不得与该客户建立或维持业务关系或为该客户执行任何交易。如果 VASPs 依赖第三方执行 CDD,则其仍有责任确保该第三方按照所有相关规则和指令执行 CDD。
7. 可疑交易监测和上报
a. VASPs 应采用适合其业务活动的方法以持续监控与客户的业务关系,以识别任何可疑的交易活动。此类方法应确保不会发生 “告密” 或类似的违法行为,还应确保立即向反洗钱报告主任报告所有可疑的交易。这些方法需要被存档且获得高级管理层的批准,并应被定期审查和更新以确保其有效性。
b. VASPs 应制定且定期更新能识别可疑交易的指标。
c. 如若怀疑或有合理理由认为交易的收益与犯罪有关,或企图将资金或收益用于实施、隐瞒犯罪或从犯罪中获益,主管处须立即向 UAE FIU 和 VARA 上报此类可疑交易,并在 48 小时内回应所有辅助调查的需求,配合所有指示动作。
d. 所有可疑交易报告应当在 VARA 发布的指引下通过 GoAML 平台上报给 UAE FIU 和 VARA。且应继续监控可疑交易报告中的所有交易。
8. FATF Travel Rule
a. 在发起任何等值超过 3,500 迪拉姆的虚拟资产转账(或是批准任何客户接收超过 3,500 迪拉姆的虚拟资产转账)之前,VASPs 必须获取和保存所需的准确的发款人信息和收款人信息。
b. 所需的发款人信息应包括但不限于:全名、账号或钱包地址、居住或商业地址。收款人信息应包括但不限于:全名、账号或钱包地址。
c. 在与任何其他司法管辖区的交易对手 VASPs 或虚拟资产服务提供商进行任何交易之前,VASPs 必须对该交易对手完成基于风险的尽职调查,以减轻反洗钱/反恐融资风险。除非评估或确定了交易对手风险增加,否则不需要对随后与交易对手的每笔交易都进行尽职调查。
d. 在遵守旅行规则时,VASPs 必须考虑如何处理与出金入金(包括是否实施 Travel Rule 的 VASPs 对手)、无托管钱包、隐私币等相关的风险
e. VASPs 应向 VARA 证明他们在许可过程中如何遵守旅行规则,并向 VARA 提交相关政策和管理措施。VASPs 还应提交他们对于"Sunrise Issue"的计划。
9. 记录保存要求
a. VASPs 应当保留以下记录不少于 8 年;
b. 虚拟资产交易记录,包括运营和统计记录、文件和信息以及涉及 VASPs 执行或处理过的所有交易;
c. CDD 记录,包括有关客户的记录、文件和信息,以及对客户活动的调查和分析结果;
d. 与 VASPs 委托进行 CDD 的第三方有关的信息;
e. OCDD 相关的记录;
f. 所有可疑交易报告记录;
10. 客户虚拟资产规则
a. 客户虚拟资产系指 VASPs 代表客户在进行任何虚拟资产活动的过程中或与其相关的过程中持有或控制的所有虚拟资产。
b. VASPs 应将客户虚拟资产分开存放在单独的虚拟资产钱包中。
c. VASPs 必须以一对一的方式持有客户虚拟资产,不得授权或允许对客户虚拟资产进行再抵押。
d. 与客户 VASPs 相关的所有收益,如 “空投”、“入股收益” 或类似收益,均应归客户所有;
e. 除了规则手册中的储备资产要求外,VASPs 应遵守 VARA 不时规定的所有要求,以证明其持有的储备资产涵盖其对客户资产的所有负债。
f. VASPs 必须维护一个系统以确保每天对每个客户拥有的虚拟资产进行准确的对账。如果与对帐存在重大差异且未得到纠正,VASPs 必须通知 VARA。
a. 在发起任何等值超过 3,500 迪拉姆的虚拟资产转账(或是批准任何客户接收超过 3,500 迪拉姆的虚拟资产转账)之前,VASPs 必须获取和保存所需的准确的发款人信息和收款人信息。
b. 所需的发款人信息应包括但不限于:全名、账号或钱包地址、居住或商业地址。收款人信息应包括但不限于:全名、账号或钱包地址。
c. 在与任何其他司法管辖区的交易对手 VASPs 或虚拟资产服务提供商进行任何交易之前,VASPs 必须对该交易对手完成基于风险的尽职调查,以减轻反洗钱/反恐融资风险。除非评估或确定了交易对手风险增加,否则不需要对随后与交易对手的每笔交易都进行尽职调查。
d. 在遵守旅行规则时,VASPs 必须考虑如何处理与出金入金(包括是否实施 Travel Rule 的 VASPs 对手)、无托管钱包、隐私币等相关的风险
e. VASPs 应向 VARA 证明他们在许可过程中如何遵守旅行规则,并向 VARA 提交相关政策和管理措施。VASPs 还应提交他们对于"Sunrise Issue"的计划。
VASPs 如何应对监管挑战?
在快速发展的 Web3 加密货币领域,合规成为了至关重要的关键词。『Beosin KYT 虚拟资产反洗钱合规和分析平台』,功能包括实时监测交易,识别潜在的风险交易和地址,对洗钱交易进行风险警报,制裁名单和黑名单检查,交易行为分析以及合规报告,通过分析海量链上交易信息,识别交易及账户类型,再利用系统中的海量实体地址库以及机器学习分析技术从评估风险交易。目前已经为全球多个客户提供服务,使其符合反洗钱监管要求。
Beosin KYT 还可以提供全面的代币生态系统持续监控。你可以实时获取关于代币持有者分布、资金流向、以及大额交易的动态洞察。无论是跟踪代币的流通情况,还是识别潜在的风险交易,Beosin KYT 都能帮助您精准掌握代币和稳定币的整体运行状态,为你的决策提供强有力的数据支持。
Beosin KYT 目前已为多个国家和地区的机构、交易所、钱包公司等提供数据、软件、服务和研究,能为虚拟资产服务商(VASPs)提供了卓越的合规支持,为加密资产的安全和可信发展提供了强大保障。
关于迪拜 VARA 监管
Virtual Assets Regulatory Authority (VARA)
1,VARA 所发布的《迪拜虚拟资产管理法》适用于阿联酋境内的所有虚拟资产和虚拟资产活动。2,拥有解释、放弃、修改或以其他方式调整本条例的唯一和绝对自由裁量权。VARA 的权力和功能。a. VARA 拥有《迪拜 VA 法》及其任何修正案赋予其的职能、权力和目标。b. VARA 可采取其认为必要的或与之相关的任何措施
获批 22 家
1. 已获批的 VASPs(22 家):https://www.vara.ae/en/licenses-and-register/public-register/
2. 已获批的借贷服务提供商(4 家):OKX Middle East Fintech FZE、Aquanow ME FZE、Binance FZE、Foris DAX Middle East FZE (Crypto.com)
3. 已获批的管理与投资服务提供商(8 家):OKX Middle East Fintech FZE、Web 3 Innovations FZE (AYA)、Aquanow ME FZE、HT Markets MENA FZE、Binance FZE、Foris DAX Middle East FZE (Crypto.com)、Nine Blocks Capital Management FZE、Laser Digital Middle East FZE
4. 已获批虚拟货币交易所(5 家):Bybit Fintech FZE、Bybit Fintech FZE(Crypto.com)、OKX Middle East Fintech FZE、Trek Labs Ltd FZE (Backpack)、TOKO FZE
5. 已获批托管服务提供商(1 家):Hex Trust MENA FZE
6. 已获批托管服务(可质押)提供商(1 家):Komainu MEA FZE
7. 已获批 Broker-Dealer 服务提供商(14 家):Aquanow ME FZE、Varni Labs FZE (Roma)、MEX Digital FZE、HT Markets MENA FZE、WPME Technology LLC (WadzPay)、Binance FZE、Foris DAX Middle East FZE (Crypto.com)、Fasset FZE、CoinMENA FZE、GC Exchange FZE (GCEX) 、Morpheus Software Technology FZE (FUZE)、TOKO FZE、Laser Digital Middle East FZE、BitOasis Technologies FZE
免责声明:作为区块链信息平台,本站所发布文章仅代表作者及嘉宾个人观点,与 Web3Caff 立场无关。文章内的信息仅供参考,均不构成任何投资建议及要约,并请您遵守所在国家或地区的相关法律法规。