a16z：加密資產託管的5項原則

原文標題：Holding the future: Custody principles for a tokenized world

原文作者：Scott Walker、Kate Dellolio、David Sverdlov

原文編譯：Luffy，Foresight News

投資加密資產的註冊投資顧問（RIAs）面臨著監管不明確和資產託管選擇有限的困境。更為複雜的是，加密資產帶有與 RIAs 以往負責的資產不同的所有權和轉讓風險。 RIAs 的內部團隊（營運、合規、法務等部門）竭盡全力尋找願意且符合期望的第三方託管人，儘管付出諸多努力，他們還是難以找到合格的託管人，結果就是 RIAs 不得不自行持有這些資產。因此，目前加密資產託管面臨獨有的法律和營運風險。

加密產業需要的是一種原則上的方法，來為幫助客戶保護加密資產的專業投資者解決這個關鍵問題。在回應美國證券交易委員會（SEC）近期的資訊徵集請求時，我們制定了一些原則，若能夠實施，這些原則將把《投資顧問法》託管規則的目標延伸至新的加密資產類別。

加密資產託管有何不同

傳統資產的持有人對資產的控制意味著其他人沒有控制權。但加密資產並非如此，可能有多個實體能夠存取與一組加密資產相關的私鑰。

加密資產通常也附帶多種對資產至關重要的內在經濟和治理權利。傳統債務或證券可以「被動」賺取收益（如股息或利息），持有人在獲取資產後無需轉移資產或採取任何進一步行動。相較之下，加密資產持有人可能需要採取行動來解鎖與資產相關的特定收益或治理權利。根據第三方託管人的能力，RIAs 可能需要暫時將這些資產轉出託管，以解鎖這些權利。例如，某些加密資產可以透過質押或收益耕作賺取收益，或對協議或網路升級的治理提案擁有投票權。這些與傳統資產的差異為加密資產託管帶來了新的挑戰。

為方便追蹤何時適合自我託管，我們制定了這個流程圖。

原則

我們在此提出的原則旨在為 RIAs 揭開託管的神秘面紗，同時保留其保護客戶資產的責任。目前專注於加密資產的合格託管人（如銀行或經紀自營商）市場極其狹小；因此，我們的主要關注點在於託管實體是否有能力提供我們認為託管加密資產所必需的實質性保護措施，而不僅僅是該實體作為《投資顧問法》下合格託管人的法律地位。

我們建議，當滿足實質保護措施的第三方託管解決方案不可用或不支持經濟和治理權利時，有能力滿足實質保護要求的 RIAs 可將自我託管作為一種途徑。

我們的目標不是將託管規則的範圍擴大到證券之外。這些原則適用於屬於證券的加密資產，並為其他資產類型規定了符合 RIAs 受託責任的標準。 RIAs 應尋求在類似條件下持有不屬於證券的加密資產，並記錄所有資產的託管實踐，包括針對不同類型資產的託管實踐存在重大差異的原因。

原則 1：法律地位不應決定加密資產託管人的資格

法律地位以及與特定法律地位相關的保護措施對託管人的客戶很重要，但在涉及加密資產託管時，這並非全部考慮因素。例如，聯邦特許銀行和經紀自營商受託管法規約束，為客戶提供嚴格保護，但州特許信託公司和其他第三方託管人也可以提供類似程度的保護。

託管人的註冊不應是其是否有資格託管加密資產證券的唯一決定因素。在加密領域，「合格託管人」的範圍應予以擴大，還應包括：

州特許信託公司（意味著它們除了接受州或聯邦銀行監管機構的監督和檢查外，無需滿足《投資顧問法》中“銀行”的定義標準）；

根據（擬議的）聯邦加密市場結構立法註冊的任何實體；

任何其他能夠證明自身符合嚴格客戶保護標準的實體，無論其註冊狀態如何。

原則 2：加密資產託管人應建立適當的保護措施

無論使用何種技術工具，託管人都應圍繞加密資產託管採取一定的保護措施。這些措施包括：

1、權力分離：加密資產託管人在沒有 RIAs 配合的情況下，不應能夠將加密資產轉出。

2、資產隔離：加密資產託管人不應將為 RIAs 持有的任何資產與為其他實體持有的資產混合。不過，註冊經紀自營商可以使用單一綜合錢包，前提是它始終保持這些資產所有權的最新記錄，並及時向相關 RIAs 披露情況。

3、託管硬體：加密資產託管人不應使用任何會引發安全風險或有受損風險的託管硬體或其他工具。

4、稽核：加密資產託管人應至少每年接受一次財務和技術審計。此類審計應包括：

由 PCAOB 註冊審計師進行的財務審計：

服務組織控制（SOC）1 審計；SOC 2 審計；以及從持有人角度對加密資產的確認、計量和列報；

27001 認證；滲透測試；以及災難復原程序和業務連續性規劃測試。

5、保險：加密資產託管人應有足夠的保險覆蓋範圍，或者，如果無法獲得保險，應建立足夠的儲備金。

6、揭露：加密資產託管人必須每年向 RIAs 提供一份與其託管加密資產相關的主要風險清單，以及減輕這些風險的相關書面監督程序和內部控制措施。加密資產託管人應每季對此進行評估，以確定是否需要更新揭露內容。

7、託管區域：加密資產託管人不應在當地法律規定託管資產在其破產時將成為破產財產一部分的任何管轄區域託管加密資產。

此外，我們建議加密資產託管人在每個階段實施與以下流程相關的保護措施：

準備階段：審查和評估要託管的加密資產，包括密鑰生成過程和交易簽名程序，它是否由開源錢包或軟體支援，以及每個硬體管理過程中使用的硬體和軟體來源。

金鑰產生：在此過程的各個層面都應使用加密技術，並且需要多個加密金鑰來產生私鑰。金鑰產生過程應既「橫向」（即同一層級有多個加密金鑰持有人），又「縱向」（即有多個層級的加密）。最後，法定人數要求也應確保認證人員的實際在場。

金鑰儲存：絕對不要以明文形式儲存金鑰，只能以加密形式儲存。密鑰必須透過地理位置或不同的存取人員進行實體隔離。如果使用硬體安全模組來保存金鑰副本，其必須符合美國聯邦資訊處理標準（「FIPS」）的安全評級。應實施嚴格的實體隔離和授權措施。加密資產託管人應至少維持兩級加密冗餘，以便在發生自然災害、停電或財產損毀時能夠維持營運。

金鑰使用：錢包應要求驗證；換句話說，它們應核實使用者身分屬實，並且只有授權方能夠存取錢包。錢包應使用成熟的開源加密庫。另一個最佳實踐是避免將一個密鑰用於多種用途。例如，應分別為加密和簽章儲存金鑰。遵循「最小特權」原則，即在發生安全漏洞時，對任何資產、資訊或操作的存取應僅限於系統運作絕對必需的各方。

原則 3：加密資產託管規則應允許註冊投資顧問行使與託管加密資產相關的經濟或治理權利

除非客戶另有指示，RIAs 應能行使與託管加密資產相關的經濟或治理權利。在前一屆 SEC 管理層執政期間，鑑於代幣分類的不確定性，許多 RIAs 採取保守策略，將所有加密資產託管給合格託管人。如前所述，可供選擇的託管人市場有限，這往往導致只有一家合格託管人願意支援某一特定資產。

在這些情況下，RIAs 可以要求行使經濟或治理權利，但加密資產託管人可能因為某些原因選擇不提供這些權利。反過來，RIAs 覺得自己沒有權力選擇其他第三方託管人或進行自我託管以行使這些權利。這些經濟和治理權利的包括質押、收益耕作或投票。

根據此原則，我們主張 RIAs 應選擇符合相關保護措施的第三方加密資產託管人，以便 RIAs 能夠行使與託管加密資產相關的經濟或治理權利。如果第三方無法同時滿足這兩個要求，RIAs 為行使經濟或治理權利而將資產暫時轉出進行自我託管的行為不應被視為脫離託管。

所有第三方託管人應盡最大努力在資產仍由其託管時，為 RIAs 提供行使這些權利的能力，並應在 RIAs 授權時，採取商業上合理的行動，以行使與鏈上資產相關的任何權利。

在為行使與某項加密資產相關的權利而將資產轉出託管之前，RIAs 或託管人必須首先以書面形式確定，是否可以在不轉出託管的情況下行使該權利。

原則 4：加密資產託管規則應具備彈性，以實現最佳執行

RIAs 在交易資產方面負有最佳執行義務。為此，RIAs 可以將資產轉移到加密交易平台，以確保該資產的最佳執行，無論資產或託管人的狀態如何，前提是 RIAs 已採取必要步驟確保交易場所的安全性，或者 RIAs 在加密市場結構立法最終確定後，已將加密資產轉移到受該立法監管的實體。

只要 RIAs 確定將加密資產轉移到交易場所以實現最佳執行是明智之舉，這種轉移不應被視為脫離託管。這要求 RIAs 合理確定該場所適合實現最佳執行。如果交易無法在該場所妥善執行，資產應立即返還給加密資產託管人。

原則 5：在特定情況下，應允許 RIAs 進行自我託管

雖然使用第三方託管仍應是加密資產的主要選擇，但在以下情況下，應允許 RIAs 對加密資產進行自我託管：

確定找不到能夠滿足其所需保護措施的第三方託管人；

· RIAs 自身的託管安排至少與可獲得的第三方託管人的保護措施一樣有效；

· 自我託管對於行使與加密資產相關的任何經濟或治理權利是必要的。

當 RIAs 基於這些原因決定對加密資產進行自我託管時，RIAs 必須每年確認證明自我託管合理的情況未發生變化，向客戶披露自我託管情況，並使此類加密資產接受《託管規則》的審計要求。

基於這些原則的加密資產託管方法確保 RIAs 能夠在履行受託責任的同時，適應加密資產的獨特特性。透過專注於實質保護而非僵化的分類，這些原則為保護客戶資產和解鎖資產功能提供了一條務實的前進道路。隨著監管環境的演變，基於這些保護措施的明確標準將使 RIAs 能夠以負責任的方式管理加密資產。

原文連結