迪拜 VARA 監管框架解讀
封面:Photo by Mohammed Nasim on Unsplash
隨著全球對虛擬資產監管的日益重視,迪拜虛擬資產監管局(VARA)於近期發佈了新的合規規定,旨在提升虛擬資產服務提供者(VASPs)的透明度和安全性。 這些新規不僅影響了本地市場的運營環境,還對國際虛擬資產交易平臺提出了更高的合規要求。 作為全球數字資產中心,迪拜的監管政策走在了行業的前列,為其他地區的監管框架提供了重要參考。
迪拜虛擬資產監管局(VARA)於 2024 年 9 月 26 日宣佈了新的、更嚴格的虛擬資產行銷指南。 新法規將於 2024 年 10 月 1 日生效。 新法規旨在通過要求參與推廣這些數字資產的公司進行更清晰的溝通來解決與加密投資相關的固有風險。
2022 年 3 月,阿聯酋總理謝赫·穆罕默德正式推出 VARA,以監督 Web3 領域的增長、發展和安全。 所有希望在迪拜開展業務的 Web3 參與者都必須通過 VARA 進行身份識別。
本文將深入探討迪拜 VARA 合規方面的關鍵內容,並分析 VASP 在應對監管挑戰時應採取的有效策略。 通過了解這些要求,虛擬資產服務提供者能夠更好地規避潛在風險,維護自身的合法合規運營,同時推動整個行業的健康發展。
合規與風控部分
第一部分 - 合規管理
1. 原則精神:
VASPs 在阿聯酋開展業務提供服務時,應遵守誠信、勤勉、高效能力、穩健技術、充分保護、精準核算、有效披露、合規、公開以及透明的原則。
2. 合規管理系統 CMS:
VASPs 應建立並維護有效的合規管理系統,能分析關鍵績效和風險指標、監控及測試風險、識別潛在的違規行為,並能及時通知 CO 且相關人員能不受限制地訪問必要的記錄和檔。
3. 合規政策和程式
VASPs 應建立、維護和執行清晰詳細的合規政策及程式,包括反洗錢政策、商務活動政策、記錄保存程式、員工合規政策、投訴應對程式等。
4. 風控政策和程序 風險管理政策和程式:
VASPs 應建立與其性質、規模、複雜性和風險概況相適應的風險管理職能以及政策和程式,並應用有效的風險度量以及上報方式。 風險職能主管應必須至少每季度提交風險暴露報告。 風險類別包括財務穩定風險、市場風險、信用風險、流動性風險、市場行為風險、合規與風控風險、客戶保護風險等。
5. 運營管理 Operation Management:
VASPs 應建立和維護有效的運營政策和流程,以保護其虛擬資產和客戶虛擬資產免受盜竊、欺詐和/或挪用,確保有防範措施防止其任何工作人員利用機密資訊或內幕資訊。
6. 帳簿和記錄 Books and records:
VASPs 應妥善保管帳簿和記錄,對所有來自第三方服務以及客戶的記錄、客戶交易記錄、通信及檔、利益衝突記錄冊保持相應的記錄跟蹤以隨時證明其符合所有適用的法律和監管要求。 這些記錄將被保留不少於 8 年,而所有可能涉及阿聯酋國家安全的記錄都需要無限期保留。
7. 審計 Audit:
外部審計 - VASPs 應指定獨立的第三方審計師對其財務報表進行審計,並了解審計師估值的合理性。 如果 VASPs 的原始審計師被認為不適合其業務的規模和複雜性以及聲譽,則 VARA 可要求 VASPs 更換審計師。 內部審計 - 內審部門至少每季度開展審計工作並向高層通報調查結果和建議以及跟進並解決相關問題或風險。
8. 監管報送 Regulatory Reporting:
-至少每月向 VARA 提交其資產負債表和所有資產負債表外項目的清單、損益表、收入表、現金流量表、虛擬資產錢包地址、投資組合完整清單以及所有交易的完整記錄,包括但不限於貸款或其他虛擬資產活動的任何交易。
- 至少每季度向 VARA 提交董事會委員會會議的記錄、證明符合法律規定的財務要求的聲明、財務預測和戰略業務計劃、風險暴露報告 - 至少每年向 VARA 提交經審計的年報、高管對於年報情況的評估、核實年報準確性正式性的證明、前 100 名客戶的開戶真實檔、產品說明、集團架構圖、董事會成員簡歷、獨立董事的身份證明、任何委員會及成員、董事會議紀要。
9. 監管通知 Regulatory notifications:
VASPs 應書面通知 VARA 任何規則變更、任何重大事件,以及任何刑事或重大民事訴訟、指控或破產程式等。 發現任何違反 VA 活動有關的任何法律、監管條例、規則的行為應立即向 VARA 提交報告。 及時通知 VARA 與網路安全漏洞有關的事件,包括但不限於涉及資訊丟失或影響個人數據的事件。
10. 員工管理及培訓 Staff management and training:
VASPs 應採用相應的招聘流程以確保有適當數量且具有必要技能、知識和專業知識的合格人員來履行崗位職責。 確保所有監管和執法職能得到有效實施並達到 VARA 要求的前提下,不強制在阿聯酋本地辦公。 VASPs 應在員工入職之初 30 天內進行運營政策和程序的培訓,且於之後定期對其實施反洗錢/反恐融資培訓,並監督其遵守所有既定程式。
第二部分 - 稅務申報和合規
VASPs 必須始終遵守所有適用法律、法規、規則或指南以及國家、國際和行業最佳實踐下的所有稅務報告義務,包括適用的《美國外國帳戶稅收合規法案》(FATCA)。
第三部分 - 反洗錢及恐怖主義集資
1. 委任洗錢舉報主任
VASPs 應任命一名擁有至少兩年 2 年處理反洗錢/反恐融資事宜經驗洗錢報告官,並每年複核其是否繼續屬合適人選。
2. MLRO 應負責
a. 確保董事會和員工在理解和遵守所有適用的「反洗錢」/反恐融資 “ 法律和監管要求並安排適當和充分的培訓;
b. 制定和實施反洗錢/反恐融資政策和程式
c. 進行「反洗錢」/「反恐融資」風險評估並對 VASPs 的相關政策和程式實施所有必要的變更;
d. 監測和報告可疑交易,確保對違反任何聯邦反洗錢-反恐怖主義法律的行為採取適當的糾正措施。
犯罪分子不斷發展新的洗錢技術和策略,以規避監測和識別的情況。 Beosin KYT 藉助區塊鏈大數據分析和先進 AI 技術,通過數十億的地址標籤和黑位址庫,能夠識別可疑交易、進行綜合風險評估以及識別鏈上關係的風險。 它能夠檢測安全攻擊、暗網交易、混幣器使用、欺詐行為、勒索活動和賭博等風險行為。
e. 每季度向董事會報告 VASPs 反洗錢/反恐融資政策和程式的有效性,識別此類政策和程式中的任何不足以及任何違反反洗錢-反恐融資法律的行為;
f. 每季度提交合規報告。 包含隱私幣 Privacy Coins:
Anonymity-Enhanced Cryptocurrencies 及其使用者的使用方式。
3. 反洗錢政策和程式
a. 遵守 FATF 對於 VASPs 的標準制定以及第二次修訂、風險為本的指引、反洗錢國際標準等相關條例;
b. EOCN 辦公室的相關指引、本地恐怖分子名單等;
c. 遵守聯合國安理會關於打擊恐怖主義融資、大規模殺傷性武器擴散及其融資的決議和其他相關指令,遵守與經濟制裁有關的及其所有其他適用法律、監管要求和指引;
d. 避免客戶以匿名或假名以及假號碼開立或進行任何金融或業務往來,避免為其提供任何服務;
e. 儲存本地或國際交易的所有記錄、文件和數據;
f. VASPs 應當建立相應的風險規則來掃描其客戶、實際控制人、虛擬轉帳、和虛擬錢包位址以識別潛在的非法活動並預警運營及合規團隊以實施進一步調查;
g. 所有政策以及流程應當被有資質的第三方驗證過,並且有任何修改的 21 天內提交到 VARA 以獲取審批。
4. AML/CTF 管控:
a. VASPs 應具有有效的 AML/CFT 管控和系統,能夠充分管理與其 VA 活動相關的 AML/CFT 風險,包括使用分散式帳本分析工具,以及其他調查工具或監控和掃描交易的能力。
b. 對於所使用的任何分散式帳本分析工具,VASPs 應審查並記錄其對此類工具的功能和弱點的審查,並設計控制以監控客戶的交易活動。
c. 由於虛擬交易和錢包地址的資訊是動態變化的,VASPs 應當審查及保存提供持續性監控的分析工具的性能表現。
d. 當設計交易監控和閾值調整時應當滿足 FATF Virtual Assets Red Flag Indicators 的要求;
具體如下:
5. 風險評估:
a. VASPs 必須對其業務進行風險評估,包括虛擬資產(特別是 Anonymity-Enhanced Cryptocurrencies 隱私幣),虛擬資產相關的產品和服務,與虛擬資產活動相關的技術等;
b. 支援匿名增強型交易(隱私幣交易)的 VASPs 必須實施增強型風險控制,以確保遵守所有適用的法律法規。 應當每六個月對使用該類隱私幣的客戶進行 ECDD。 若 VASPs 沒有能力實施相應的風險控制,那麼不應該提供隱私幣產品或服務。
6. 客戶盡職調查:
a. VASPs 必須在提供服務(例如單筆或相關累計超過 3500 迪拉姆的交易、任何可疑行為等)之前對客戶進行相應的盡職調查以識別客戶以及最終受益人,並應當採用基於風險的盡職調查策略,
b. VASPs 應該在持續監控中實施相應的盡職調查:包括審計客戶交易(不僅限於資金來源審查)以保證跟其開戶時的目的是相符合的;
c. 定期回顧高風險客戶的資訊,以確保其文檔、數據和資訊是最新的、準確的。
d. 對於個人使用者:應當通過可靠且獨立的來源驗證以下文件、數據或資訊:全名、國籍、位址、出生地、僱主名字和位址、如果涉及到任何的政治曝光人物,則需要反洗錢報告主任和至少一位高級管理層的審批。
e. 對於非個人實體用戶:應當通過可靠且獨立的來源驗證以下文件、數據或資訊:完整名稱、類型、公司章程、主要運營地、高管姓名、如果最終受益人是政治曝光人物,則需要反洗錢報告主任和至少一位高級管理層的審批。
f. 驗證聲稱代表行事的實體是否被授權,以及以相同的方式驗明身份。
g. 了解與客戶的預期目的和性質,並在必要時獲取與此目的相關的資訊;
h. 如果客戶是一家企業或以其他方式向其他客戶提供服務,需要瞭解其業務性質和實控人、最終受益人、客戶類型、性質以及目的。
i. 如果 VASPs 無法對客戶進行適當的 CDD,則其不得與該客戶建立或維持業務關係或為該客戶執行任何交易。 如果 VASPs 依賴第三方執行 CDD,則其仍有責任確保該第三方按照所有相關規則和指令執行 CDD。
7. 可疑交易監測和上報
a. VASPs 應採用適合其商務活動的方法以持續監控與客戶的商務關係,以識別任何可疑的交易活動。 此類方法應確保不會發生「告密」或類似的違法行為,還應確保立即向反洗錢報告主任報告所有可疑的交易。 這些方法需要被存檔且獲得高級管理層的批准,並應被定期審查和更新以確保其有效性。
b. VASPs 應制定且定期更新能識別可疑交易的指標。
c. 如若懷疑或有合理理由認為交易的收益與犯罪有關,或企圖將資金或收益用於實施、隱瞞犯罪或從犯罪中獲益,主管處須立即向 UAE FIU 和 VARA 上報此類可疑交易,並在 48 小時內回應所有輔助調查的需求,配合所有指示動作。
d. 所有可疑交易報告應當在 VARA 發佈的指引下通過 GoAML 平台上報給 UAE FIU 和 VARA。 且應繼續監控可疑交易報告中的所有交易。
8. FATF Travel Rule
a. 在發起任何等值超過 3,500 迪拉姆的虛擬資產轉帳(或是批准任何客戶接收超過 3,500 迪拉姆的虛擬資產轉帳)之前,VASPs 必須獲取和保存所需的準確的發款人資訊和收款人資訊。
b. 所需的發款人資訊應包括但不限於:全名、帳號或錢包位址、居住或商業位址。 收款人資訊應包括但不限於:全名、帳號或錢包位址。
c. 在與任何其他司法管轄區的交易對手 VASPs 或虛擬資產服務提供者進行任何交易之前,VASPs 必須對該交易對手完成基於風險的盡職調查,以減輕反洗錢/反恐融資風險。 除非評估或確定了交易對手風險增加,否則不需要對隨後與交易對手的每筆交易都進行盡職調查。
d. 在遵守旅行規則時,VASPs 必須考慮如何處理與出金入金(包括是否實施 Travel Rule 的 VASPs 對手)、無託管錢包、隱私幣等相關的風險
e. VASPs 應向 VARA 證明他們在許可過程中如何遵守旅行規則,並向 VARA 提交相關政策和管理措施。 VASPs 還應提交他們對於「Sunrise Issue」的計劃。
9. 記錄保存要求
a. VASPs 應當保留以下記錄不少於 8 年;
b. 虛擬資產交易記錄,包括運營和統計記錄、文件和資訊以及涉及 VASPs 執行或處理過的所有交易;
c. CDD 記錄,包括有關客戶的記錄、文件和資訊,以及對客戶活動的調查和分析結果;
d. 與 VASPs 委託進行 CDD 的第三方有關的資訊;
e. OCDD 相關的記錄;
f. 所有可疑交易報告記錄;
10. 客戶虛擬資產規則
a. 客戶虛擬資產系指 VASPs 代表客戶在進行任何虛擬資產活動的過程中或與其相關的過程中持有或控制的所有虛擬資產。
b. VASPs 應將客戶虛擬資產分開存放在單獨的虛擬資產錢包中。
c. VASPs 必須以一對一的方式持有客戶虛擬資產,不得授權或允許對客戶虛擬資產進行再抵押。
d. 與客戶 VASPs 相關的所有收益,如「空投」、「入股收益」或類似收益,均應歸客戶所有;
e. 除了規則手冊中的儲備資產要求外,VASPs 應遵守 VARA 不時規定的所有要求,以證明其持有的儲備資產涵蓋其對客戶資產的所有負債。
f. VASPs 必須維護一個系統以確保每天對每個客戶擁有的虛擬資產進行準確的對賬。 如果與對帳存在重大差異且未得到糾正,VASPs 必須通知 VARA。
a. 在發起任何等值超過 3,500 迪拉姆的虛擬資產轉帳(或是批准任何客戶接收超過 3,500 迪拉姆的虛擬資產轉帳)之前,VASPs 必須獲取和保存所需的準確的發款人資訊和收款人資訊。
b. 所需的發款人資訊應包括但不限於:全名、帳號或錢包位址、居住或商業位址。 收款人資訊應包括但不限於:全名、帳號或錢包位址。
c. 在與任何其他司法管轄區的交易對手 VASPs 或虛擬資產服務提供者進行任何交易之前,VASPs 必須對該交易對手完成基於風險的盡職調查,以減輕反洗錢/反恐融資風險。 除非評估或確定了交易對手風險增加,否則不需要對隨後與交易對手的每筆交易都進行盡職調查。
d. 在遵守旅行規則時,VASPs 必須考慮如何處理與出金入金(包括是否實施 Travel Rule 的 VASPs 對手)、無託管錢包、隱私幣等相關的風險
e. VASPs 應向 VARA 證明他們在許可過程中如何遵守旅行規則,並向 VARA 提交相關政策和管理措施。 VASPs 還應提交他們對於「Sunrise Issue」的計劃。
VASPs 如何應對監管挑戰?
在快速發展的 Web3 加密貨幣領域,合規成為了至關重要的關鍵詞。 『Beosin KYT 虛擬資產反洗錢合規和分析平臺』,功能包括實時監測交易,識別潛在的風險交易和位址,對洗錢交易進行風險警報,制裁名單和黑名單檢查,交易行為分析以及合規報告,通過分析海量鏈上交易資訊,識別交易及帳戶類型,再利用系統中的海量實體位址庫以及機器學習分析技術從評估風險交易。 目前已經為全球多個客戶提供服務,使其符合反洗錢監管要求。
Beosin KYT 還可以提供全面的代幣生態系統持續監控。 你可以即時獲取關於代幣持有者分佈、資金流向、以及大額交易的動態洞察。 無論是跟蹤代幣的流通情況,還是識別潛在的風險交易,Beosin KYT 都能説明您精準掌握代幣和穩定幣的整體運行狀態,為你的決策提供強有力的數據支援。
Beosin KYT 目前已為多個國家和地區的機構、交易所、錢包公司等提供數據、軟體、服務和研究,能為虛擬資產服務商(VASPs)提供了卓越的合規支援,為加密資產的安全和可信發展提供了強大保障。
關於迪拜 VARA 監管
Virtual Assets Regulatory Authority (VARA)
1,VARA 所發佈的《迪拜虛擬資產管理法》適用於阿聯酋境內的所有虛擬資產和虛擬資產活動。 2,擁有解釋、放棄、修改或以其他方式調整本條例的唯一和絕對自由裁量權。 VARA 的權力和功能。 a. VARA 擁有《迪拜 VA 法》及其任何修正案賦予其的職能、權力和目標。 b. VARA 可採取其認為必要的或與之相關的任何措施
獲批 22 家
1. 已獲批的 VASP(22 家):https://www.vara.ae/en/licenses-and-register/public-register/
2. 已獲批的借貸服務提供者(4 家):OKX Middle East Fintech FZE、Aquanow ME FZE、Binance FZE、Foris DAX Middle East FZE(Crypto.com)
3. 已獲批的管理與投資服務提供者(8 家):OKX Middle East Fintech FZE、Web 3 Innovations FZE(AYA)、Aquanow ME FZE、HT Markets MENA FZE、Binance FZE、Foris DAX Middle East FZE(Crypto.com)、Nine Blocks Capital Management FZE、Laser Digital Middle East FZE
4. 已獲批虛擬貨幣交易所(5 家):Bybit Fintech FZE、Bybit Fintech FZE(Crypto.com)、OKX Middle East Fintech FZE、Trek Labs Ltd FZE(Backpack)、TOKO FZE
5. 已獲批託管服務提供者(1 家):Hex Trust MENA FZE
6. 已獲批託管服務(可質押)供應商(1 家):Komainu MEA FZE
7. 已獲批 Broker-Dealer 服務提供者(14 家):Aquanow ME FZE、Varni Labs FZE(Roma)、MEX Digital FZE、HT Markets MENA FZE、WPME Technology LLC(WadzPay)、Binance FZE、Foris DAX Middle East FZE(Crypto.com)、 Fasset FZE、CoinMENA FZE、GC Exchange FZE (GCEX) 、Morpheus Software Technology FZE (FUZE)、TOKO FZE、Laser Digital Middle East FZE、BitOasis Technologies FZE
免責聲明:作為區塊鏈資訊平臺,本站所發佈文章僅代表作者及嘉賓個人觀點,與 Web3Caff 立場無關。 文章內的資訊僅供參考,均不構成任何投資建議及要約,並請您遵守所在國家或地區的相關法律法規。