作者：Scott Walker、Kate Dellolio、David Sverdlov 來源：a16zcrypto
翻譯：善歐巴，金色財經

投資於加密資產的註冊投資顧問 (RIA) 一直面臨着監管清晰度不足和可行的託管選擇有限的雙重困境。更複雜的是，加密資產具有與 RIA以往負責的資產不同的所有權和轉移風險。RIA 的內部團隊——運營、合規、法律等——花費大量精力尋找願意滿足期望的第三方託管人。儘管如此，RIA 有時根本找不到託管人，或者找不到能夠實現資產全部經濟和治理權利的託管人，這導致 RIA 直接持有這些資產。因此，當前加密託管領域的現實帶來了明顯的法律和運營風險以及不確定性。

行業需要一種基於原則的方法來解決這個關鍵問題，以服務於代表客戶保管加密資產的專業投資者。在回應美國證券交易委員會 (SEC) 近期信息請求的過程中，我們制定了一些原則，如果實施這些原則，將把《投資顧問法》託管規則的目標——安全性、定期披露和獨立驗證——擴展到新的代幣資產類別。

加密資產：它們的差異之處

持有者對傳統資產的控制意味着任何其他人都不具備控制權。但加密資產並非如此。多個實體可能擁有與一組加密資產相關的私鑰訪問權限，並且多人可能能夠轉移這些加密資產，而不管合同權利如何。

加密資產通常還附帶多種固有的經濟和治理權利，這些權利是資產的基礎。傳統的債務或股權證券可以“被動地”（即，持有者在獲得資產後無需轉移資產或採取任何進一步行動）賺取收入（例如股息或利息）。相比之下，加密資產持有者可能需要採取行動才能解鎖與資產相關的某些收入來源或治理權利。根據第三方託管人的能力，RIA 可能需要暫時將這些資產從託管中轉移出去以解鎖這些權利。例如，某些加密資產可以通過質押或收益耕種賺取收入，或者在協議或網絡升級的治理提案中擁有投票權。這些與傳統資產的差異為託管加密資產帶來了新的挑戰。

為了跟蹤何時適合自託管，我們開發了以下流程圖。

原則

我們在此提出的原則旨在消除 RIA 對託管的神秘感，同時保留其保護客戶資產的責任。目前，專門從事加密資產的合格託管人（例如銀行或經紀交易商）市場非常薄弱；因此，我們的主要關注點是託管實體滿足我們認為託管加密資產所必需的實質性保護措施的能力——而不僅僅是該實體作為《投資顧問法》下的合格託管人的法律地位。

當無法獲得滿足這些實質性保護措施的第三方託管解決方案，或者這些解決方案不支持經濟和治理權利時，我們也建議能夠滿足實質性保護措施的 RIA 考慮自託管。

我們的目標不是將託管規則的範圍擴大到證券以外。這些原則適用於屬於證券的加密資產，並闡述了 RIA 對其他資產類型履行信託責任的標準。RIA 應尋求在類似條件下維護非證券的加密資產，並應記錄所有資產的託管慣例，包括不同類型資產託管慣例之間存在重大差異的任何原因。

原則 1：法律地位不應決定加密託管人的資格

法律地位以及與特定法律地位相關的保護措施對於託管人的客戶很重要，但在託管加密資產方面並非全部。例如，聯邦特許銀行和經紀交易商受制於為客戶提供重要保護的託管法規，但州特許信託公司和其他第三方託管人可以提供類似水平的保護（我們將在原則 2 中進一步討論）。

託管人的註冊不應成為其是否有資格託管加密資產證券的唯一決定因素。《託管規則》中“合格託管人”的類別應在加密領域擴大，以包括：

• 州特許信託公司（這意味着它們不需要滿足《投資顧問法》中“銀行”定義的標準，只需受到對銀行具有監管權的州或聯邦機構的監督和檢查）。

• 根據（擬議的）聯邦加密市場結構立法註冊的任何實體。

• 任何其他實體，無論其註冊狀態如何，只要能夠證明其符合保護客戶的嚴格標準。

原則 2：加密託管人應建立適當的保護措施

無論使用何種具體的技術工具，加密託管人都應圍繞加密資產的託管採取某些保護措施。這些措施包括：

• 權力分離： 未經 RIA 合作（例如，簽署交易和/或基於設備的身份驗證），加密託管人不得將加密資產從託管中轉移出去。

• 隔離： 加密託管人不得將為 RIA 持有的任何資產與為其他實體持有的任何資產混淆。但是，註冊經紀交易商可以使用單一的綜合錢包，前提是它始終維護這些資產所有權的最新記錄，並及時向相關的 RIA 披露此類混淆的事實。

• 託管硬件的來源： 加密託管人不應使用任何會增加安全風險或存在被入侵風險的託管硬件或其他工具。

• 審計： 加密託管人應至少每年接受財務控制和技術審計。此類審計應包括：

• ISO 27001 認證；

• 滲透測試 (“pen test”)；以及

• 災難恢復程序和業務連續性計劃的測試。

• 服務組織控制 (SOC) 1 審計；

• SOC 2 審計；以及

• 從持有者角度對加密資產的確認、計量和列報；

• 由美國公眾公司會計監督委員會 (PCAOB) 註冊的審計師進行的財務控制審計：

• 技術審計：

• 保險： 加密託管人應擁有足夠的保險覆蓋（包括“傘式”保險），如果無法獲得，則應建立足夠的儲備金，或者選擇兩者結合。

• 披露： 加密託管人必須每年向 RIA 提供一份與其加密資產託管相關的主要風險清單，以及減輕這些風險的相關書面監督程序和內部控制。加密託管人將每季度評估此情況，並確定是否需要更新披露。

• 託管地點： 如果當地法律規定，在託管人破產的情況下，此類託管資產將成為破產財產的一部分，則加密託管人不應在該地點託管加密資產。

此外，我們建議加密託管人在每個階段實施與以下流程相關的保護措施：

• 準備階段： 審查和評估要託管的加密資產——包括密鑰生成過程和交易簽名程序，是否受開源錢包或軟件支持，以及密鑰管理過程中使用的每件硬件和軟件的來源。

• 密鑰生成： 此過程的所有級別都應使用加密，並且需要多個加密密鑰才能生成一個或多個私鑰。密鑰生成過程應同時是“水平的”（即，同一級別的多個加密密鑰持有者）和“垂直的”（即，多個加密級別）。最後，仲裁要求還應要求驗證器的物理存在，這些驗證器應受到保護和監控，以防止干擾。

• 密鑰存儲： 絕不以明文形式存儲密鑰，只能以加密形式存儲。密鑰必須通過地理位置或具有不同訪問權限的個人進行物理分離。如果使用硬件安全模塊（或類似模塊）來維護密鑰副本，則必須符合美國聯邦信息處理標準 (“FIPS”) 安全評級。應採取嚴格的物理隔離和授權措施以確保氣隙隔離。（有關示例措施，請參閱我們的完整回復）。加密託管人應至少保持兩層加密的冗餘，以便在發生自然災害、停電或財產損毀時能夠維持運營。

• 密鑰使用： 錢包應要求身份驗證；換句話說，它們應驗證用戶是否是他們所聲稱的人，並且只有授權方才能訪問錢包的內容。（有關示例身份驗證形式，請參閱我們的完整回復）。錢包應使用成熟的開源密碼學庫。另一個最佳實踐是避免將一個密鑰用於多個目的。例如，加密和簽名應使用不同的密鑰。這遵循“最小權限原則”，以防被入侵，這意味着對任何資產、信息或操作的訪問應僅限於系統運行絕對需要的當事方或代碼。

原則 3：加密託管規則應允許 RIA 行使其託管加密資產相關的經濟或治理權利

除非客戶另有指示，否則 RIA 應能夠行使其託管加密資產相關的經濟或治理權利。在前 SEC 管理部門領導下，鑒於代幣分類的不確定性，許多 RIA 採取了保守策略，將其所有加密資產託管給合格託管人（除非沒有合格託管人可用）。正如我們之前提到的，可供選擇的託管人市場有限，這通常導致只有一個合格託管人願意支持特定資產。

在這些情況下，RIA 可以要求允許其行使經濟或治理權利，但加密託管人可以根據其內部資源或其他因素選擇不提供這些權利。反過來，RIA 也不認為自己有權選擇其他第三方託管人或進行自託管以行使這些權利。這些經濟和治理權利的示例包括質押、收益耕種或投票。

根據本原則，我們認為 RIA 應選擇符合相關保護措施的第三方加密託管人，這些措施允許 RIA 行使其託管加密資產相關的經濟或治理權利。如果第三方無法同時滿足這兩個要求，則 RIA 將資產臨時轉移到自託管以行使經濟或治理權利不應被視為轉出託管——即使資產部署到任何非託管協議或智能合約。

所有第三方託管人都應盡最大努力在資產保留在託管人處時提供 RIA 行使這些權利的能力，並且在獲得 RIA 授權后，應允許採取商業上合理的行動，這些行動可能是執行與鏈上資產相關的任何權利所必需的。這包括將任何加密資產明確委託給 RIA 的錢包以實現與該資產相關的任何權利的權利。

在將任何加密資產從託管中取出以行使與該資產相關的權利之前，RIA 或託管人（視情況而定）必須首先以書面形式合理確定是否可以在不將資產從託管中取出的情況下行使這些權利。

原則 4：加密託管規則應具有靈活性，以允許最佳執行

RIA 在交易資產方面負有最佳執行的義務。為此，無論資產或託管人的狀態如何，RIA 都可以將資產轉移到加密交易平台以確保該資產的最佳執行，前提是 RIA 已採取必要步驟以確保交易場所的彈性和安全性，或者，RIA 已在相關立法最終確定后將加密資產轉移到根據加密市場結構立法受到監管的實體。

如果 RIA 確定將加密資產轉移到此類場所是為了獲得最佳執行是可取的，則將加密資產轉移到交易場所不應被視為撤回託管。這將要求 RIA 合理確定該場所適合最佳執行。如果在該場所無法妥善執行交易，則資產應及時返回給加密託管人進行託管。

原則 5：在特定情況下應允許 RIA 進行自託管

雖然使用第三方託管人應仍然是加密資產的主要選擇，但在以下情況下應允許 RIA 進行自託管加密資產：

• RIA 確定沒有能夠滿足 RIA 所需保護措施的第三方託管人可以託管該加密資產。

• RIA 自身的託管安排至少與合理可用的第三方託管人對該加密資產的保護水平相當。

• 自託管對於最佳地行使與該加密資產相關的任何經濟或治理權利是必要的。

當 RIA 因上述原因之一決定自託管加密資產時，RIA 必須每年確認證明自託管合理性的情況保持不變，向客戶披露自託管情況，並使此類加密資產符合《託管規則》的審計要求，審計師可以在其中確認資產與 RIA 的其他資產隔離並得到充分保護。

基於原則的加密託管方法確保 RIA 能夠在適應加密資產獨特特性的同時履行其信託責任。通過關注實質性保護而不是僵硬的分類，這些原則為保護客戶資產和解鎖資產功能提供了一條務實的道路。隨着監管環境的發展，植根於這些保護措施的明確標準將使 RIA 能夠負責任地管理加密投資。