來源：新加坡MAS；編譯：AIMan@金色財經

2025年5月30日，新加坡金管局發布《数字代幣服務提供商發牌指南》（Guidelines on Licensing for Digital Token Service Providers），正式對DTSP發牌並進行監管。

以下為新加坡金管局《数字代幣服務提供商發牌指南》文件全文：

1、目的 

2、《金融服務與市場法》項下的許可牌照

3、准入標準

4、牌照申請要求

5、持牌人的持續要求

附錄1 治理和所有權要求

附錄2 最低合規安排

附錄3 許可申請所需信息指南

附錄4 年度許可費

附錄5 申請審核流程參与規則

附錄6 外部審計師獨立評估

1、目的  

1.1  《数字代幣服務提供商申牌指南》（以下簡稱“本指南”）旨在為《2022年金融服務與市場法》（“FSM法”）第9部分項下的数字代幣服務提供商（定義為在新加坡設有營業場所，或在新加坡成立但在境外從事提供数字代幣服務業務的個人、合夥企業或新加坡公司，簡稱“DTSPs”）提供申請流程、許可標準和持續要求的指引。  

1.2  本指南應與FSM法、《金融服務與市場（数字代幣服務提供商）條例》（“FSM條例”）及新加坡金融管理局（“MAS”）發布的其他相關法律、通知、指南和常見問題解答（FAQs）結合閱讀。  

1.3  MAS將定期更新本指南以提供進一步指引。  

2、《金融服務與市場法》項下的許可牌照

2.1  根據FSM法第137條，任何在新加坡從事FSM法第一附表所定義的数字代幣服務的個人，除非獲得豁免，否則必須持有許可牌照。FSM法第137(5)條規定了適用的豁免情形。  

2.2  由於MAS不會為DTSPs提供過渡安排，根據FSM法第137條需取得許可證的DTSPs必須在2025年6月30日前暫停或停止在境外從事提供数字代幣服務的業務。違反許可要求的DTSPs將構成犯罪，並須承擔FSM法第137(6)條規定的處罰。  

数字代幣服務的類型  

2.3  申請人應根據FSM法第一附表中的十類数字代幣服務，評估其商業模式是否涉及提供数字代幣服務。申請人還應考慮其擬開展的活動是否屬於FSM法第一附表第2部分規定的数字代幣服務監管範圍之外的例外情形。  

譯者注：FSM法附表標註的十類数字代幣服務

1、任何数字代幣交易服務（MAS所規定的数字代幣交易服務除外）；

2、任何促進数字代幣交換的服務（MAS所規定的数字代幣交易服務除外）；

3、任何從一個数字代幣賬戶（無論是在新加坡還是其他地方）接受数字代幣（無論是作為委託人還是代理人）的服務，目的是將数字代幣傳輸或安排傳輸到另一個数字代幣賬戶（無論是在新加坡還是其他地方）；

4、任何安排（無論是作為委託人還是代理人）將数字代幣從一個数字代幣賬戶（無論是在新加坡還是其他地方）轉移到另一個数字代幣賬戶（無論是在新加坡還是其他地方）的服務；

5、任何誘導或試圖誘導任何人訂立或提供訂立任何協議以購買或出售任何数字代幣以換取任何金錢或任何其他数字代幣（無論是相同還是不同類型）的服務；

6、任何保護数字代幣的服務，其中服務提供商對数字代幣具有控制權；

7、為客戶執行與数字代幣相關的指令的任何服務，其中服務提供商對数字代幣具有控制權；

8、任何保護数字代幣工具的服務，其中服務提供商可以控制與数字代幣工具相關的一個或多個数字代幣；

9、為客戶執行與数字代幣工具相關的一個或多個数字代幣相關的指令的任何服務，其中服務提供商對数字代幣工具具有控制權；

10、任何與銷售或提供銷售数字代幣有關的服務，涉及——1、直接或通過出版物或著作（無論是电子形式、印刷形式還是其他形式）提供與任何数字代幣有關的建議；或2、通過發布或公布與任何数字代幣相關的研究分析或研究報告（無論是电子版、印刷版還是其他形式）提供建議。

3、准入標準  

3.1  由於数字代幣服務的互聯網屬性和跨境性質，DTSPs更容易受到洗錢、恐怖主義融資和擴散融資（“ML/TF”）風險的影響。這將導致此類提供商參与或被濫用於非法目的的風險增加，損害新加坡的聲譽。鑒於這些風險，MAS以審慎和謹慎的方式對DTSPs進行許可發牌，並且僅會在極少數情況下考慮根據FSM法授予申請人DTSP許可牌照。極少數情況包括：  

• 申請人的商業模式具有經濟合理性，並能向MAS滿意地證明，儘管其在新加坡運營或成立/註冊，但其有正當理由不打算在新加坡從事提供数字代幣服務的業務；  

• 申請人的運營方式不會引起MAS的擔憂，並且已在其提供境外数字代幣服務的所有司法管轄區，就遵守相關國際公認標準（如金融穩定委員會、國際證券委員會組織和反洗錢金融行動特別工作組（“FATF”）制定的標準）接受相關監管機構的監管和監督；  

• MAS對申請人的業務結構無擔憂，例如其遵守監管義務的能力。  

3.2  申請人必須完全滿足以下標準，並清楚證明其作為持牌人能夠遵守FSM法規定的義務。  

3.2.1 治理和所有權要求  申請人必須遵守附錄1規定的治理和所有權結構，並在新加坡會計與企業管理局（ACRA）註冊。  

3.2.2 適當和合適性  申請人必須根據《適當和合適標準指南》[FSG-G01]，使MAS確信其獨資經營者、合伙人、經理或董事及首席執行官（CEO）、股東和員工，以及申請人本身，均為適當和合適的。證明相關人員適當和合適的責任在於申請人，而非MAS。除誠實、正直和聲譽外，能力和勝任力以及財務穩健性也是考量因素，MAS還將考慮其他因素，例如是否存在利益衝突以及相關人員對新加坡實體的時間投入。特別是，該實體及其關聯集團不應有任何不良聲譽，尤其是在金融犯罪和制裁合規方面。  

3.2.3 關鍵人員的能力  申請人必須確保其獨資經營者、合伙人、經理或執行董事及CEO在数字代幣服務行業具備足夠的運營經驗，包括對新加坡DTSPs監管框架的充分理解。  

如果相關人員將管理一個規模較大的團隊，其還應具備相關經驗、能力和影響力，以便對業務活動和員工進行有效監督和控制。  

申請人還應考慮其關鍵人員的教育背景和專業資格。  

3.2.4 永久營業場所或註冊辦公室  申請人必須在新加坡設有永久營業場所或註冊辦公室。該場所必須是能夠安全保存申請人賬簿和記錄的辦公區域。申請人還必須至少任命一名人員在場，以處理客戶的任何查詢或投訴，以及當局的詢問/信息請求。  

3.2.5 基本資本  許可證申請人必須使MAS確信其熟悉FSM條例規定的基本資本要求，並清楚證明其將如何持續滿足這些要求，概述如表3所示。鑒於這一義務，申請人必須考慮其業務規模和範圍以及盈利和虧損的可能性，確保維持超過基本資本要求的足夠資本緩衝。一般來說，實體的基本資本應至少能夠覆蓋申請人6至12個月的運營費用。申請人還應建立有效的監控流程，以確保始終滿足基本資本要求，例如定期報告或設定高於最低要求的特定資本緩衝。  

表1 基本資本要求

3.2.6 合規安排  申請人必須制定有效的合規安排計劃，並確保投入與業務性質、規模和複雜性相稱的充足合規資源。最低合規安排要求見附錄2。無論合規安排的設置如何，確保申請人的獨資經營者、合伙人、經理或董事及CEO遵守適用法律法規的最終責任和問責性。  

3.2.7 技術風險管理  申請人必須對其擬提供的数字代幣服務進行滲透測試，修復所有已識別的高風險問題，並對修復措施的有效性進行獨立驗證。此項工作無需在申請前完成，但必須在許可證授予前完成。  

3.2.8 審計安排  申請人必須制定適當的獨立審計安排計劃，定期評估其程序、控制措施的充分性和有效性，以及對監管要求的遵守情況。審計安排應與其業務規模、性質和複雜性相稱。審計可由申請人內部審計職能部門、申請人總部的獨立內部審計團隊或外包給第三方服務提供商進行。  

3.2.9 年度審計要求  申請人必須制定計劃，滿足FSM法第158條規定的年度審計要求。審計師必須由申請人自費任命，對其賬戶和交易以及遵守相關法規和要求的情況進行審計。  

3.2.10 責任函和/或承諾函  在適當情況下，MAS可能要求申請人從其控股股東、母公司和/或關聯公司處取得責任函和/或承諾函。如果申請獲得批准，MAS將提供模板。  

3.2.11 其他因素  MAS還可能考慮以下因素（如適用）：  

- 申請人及其控股公司或關聯公司的記錄和財務狀況；  

- 申請人的運營準備情況，包括遵守監管要求的能力；  

- 申請人是否已充分認識到與其業務活動相關的主要風險，並已對相關風險進行充分識別、評估和緩解；  

- 授予許可牌照是否符合公共利益。  

3.3  MAS根據每個申請的具體情況進行評估，並可能根據個案考慮其他因素。上述標準和考量並沒列盡，MAS可能會施加額外條件或要求，以應對申請人帶來的獨特風險。  

3.4  申請人應提交Form 1申請。所有申請人和持牌人必須支付FSM條例附表規定的相關費用。有關費用的更多信息，請參見附錄4。申請人還應參考附錄5，了解申請審核流程的參与規則。  

4、牌照申請要求  

4.1  已評估自身能夠滿足准入標準的申請人，應參考附錄3，了解許可申請所需信息的指南。  

新牌照申請的法律意見  

4.1.1  申請DTSP許可牌照的新申請人需隨申請提交由知名律師事務所出具的法律意見。法律意見應包括申請人商業模式的清晰簡明摘要，以及對申請人擬提供的服務和/或產品是否屬於FSM法規定的受監管数字代幣服務的評估。  

4.1.2  在任何情況下，如初始法律意見不明確，MAS保留要求提供第二份法律意見的權利。  

外部審計師的獨立評估  

4.1.3  獲得原則性批准（“IPA”）后，申請人須任命一名合格的獨立外部審計師，對其技術和網絡安全風險領域（此項要求將作為IPA條件納入。技術和網絡安全風險評估範圍見附錄6）的政策、程序和控制措施進行獨立評估。  

5、持牌人的持續要求  

5.1  持牌人必須持續遵守FSM法及其他相關法律規定的所有適用要求。持牌人應建立流程、系統、政策和程序，以確保履行所有持續義務，包括在必要時向MAS提出申請和通知。以下概述了部分要求，但並非全部，持牌人應及時了解監管動態，並可訪問MAS網站獲取最新要求。  

5.2 反洗錢和反恐怖主義融資（“AML/CFT”）要求  持牌人必須遵守《金融服務與市場條例》（包括針對定向金融制裁的條例）、《2002年恐怖主義（制止融資）法》、《1992年腐敗、販毒和其他嚴重犯罪（沒收利益）法》、《防止洗錢和反恐怖主義融資通知》[FSM-N27]和《可疑活動和欺詐事件報告通知》[FSM-N28]規定的AML/CFT要求。持牌人還應參考《FSM-N27通知指南》，了解其AML/CFT要求。  

5.3 定期報告  持牌人必須根據FSM條例，提交與其数字代幣活動相關的定期監管報告。相關要求載於《提交監管報告通知》[FSM-N29]。  

5.4 網絡安全  持牌人必須遵守《網絡安全通知》[FSM-N31]規定的網絡安全要求，並採取適當的保障措施保護客戶信息。  

5.5 技術風險管理  持牌人必須遵守《技術風險管理通知》[FSM-N30]，並參考《技術風險管理實踐指南》，了解技術風險管理要求。  

5.6 業務行為  持牌人必須遵守FSM法、FSM條例和《行為通知》[FSM-N32]中的業務行為要求。這些義務包括交易記錄、出具收據、显示匯率和費用以及通知正常營業時間。持牌人還必須確保遵守所有禁止和限制規定，包括禁止的業務活動。  

5.7 披露和通信  持牌人必須對其許可牌照範圍作出準確陳述，並在適用於其業務的情況下，提供《披露和通信通知》[FSM-N33]規定的披露內容。持牌人還應確保客戶及時收到有關披露內容的任何重大變更的更新。  

5.8 年度審計要求  持牌人必須每年任命一名審計師，對其賬戶和交易以及遵守法規和要求的情況進行審計。持牌人必須確保審計師以Form 3向MAS提交報告。  

附錄1  

A1 治理和所有權要求  

附錄2

A2 最低合規安排  

申請人應確保其擁有與業務規模、性質和複雜性相稱的有效合規安排和充足合規資源。這可以採取以下形式：  

• - 獨立合規職能部門  申請人應在新加坡設立獨立合規職能部門，配備在與其業務活動相關領域具備適當資質的員工。合規人員可兼任其他無衝突的互補角色，如內部法律顧問。  

• - 控股公司或海外關聯實體的合規支持  申請人可從其控股公司或海外關聯實體的獨立專職合規團隊獲得合規支持，前提是能夠證明申請人的合規官、獨資經營者、合伙人、經理或董事及CEO和其他高級管理人員已進行充分監督。  

申請人還必須制定適當的合規管理安排，至少包括在管理層 appoint 一名具備適當資質的合規官。該人員應駐在新加坡，在與其業務活動相關領域具備足夠專業知識，並有權監督申請人的合規職能，儘管其可在日常運營中由其他員工協助。  

申請人還應建立適當的治理結構，以監督合規和AML/CFT問題（包括與定向金融制裁相關的問題）。根據業務規模和集團結構，申請人可考慮讓合規官定期向董事會或董事會委員會報告合規和AML/CFT問題，並對超出合規官權限的事項作出決策。  

申請人應注意，無論選擇何種安排，申請人的獨資經營者、合伙人、經理或董事及CEO最終應對所有合規和監管事項負責，並必須對相關安排進行充分監督。  

因此，申請人的高級管理人員和合規官應能夠證明其充分了解申請人業務活動中面臨的合規和ML/FT風險，以及為有效管理這些風險而採取的措施。  

附錄3  

A3 牌照申請所需信息指南  

申請人應確保其完全滿足准入標準，並確保申請完整、無錯誤和不一致，並隨附申請表中規定的必要支持文件。  

擬議業務計劃中所需信息  

特別是，其擬議業務計劃應包括以下信息：  

申請人應提供其商業模式和計劃的清晰描述，該描述需得到擬議管理團隊的專業經驗和專業知識的支持。業務計劃應說明如何遵守FSM法及相關附屬立法，並包括以下信息：  

- 服務的司法管轄區，包括申請人在其提供数字代幣服務的司法管轄區已獲得運營許可並就遵守相關國際公認標準（如金融穩定委員會、國際證券委員會組織和FATF制定的標準）接受相關監管機構監督的證據。  

- 目標客戶概況。  

- 擬提供的產品和服務。申請人應明確說明其在交易流程的每個階段將開展的数字代幣服務類型。如申請人擬提供不止一種類型的数字代幣服務，應針對每種類型的数字代幣服務分別進行評估。  

- 儘管在新加坡運營或成立/註冊，但不打算在新加坡從事提供数字代幣服務業務的原因。  

- 詳細的資金流動計劃和渠道，包括交易和/或流程流程圖。如存在不止一種產品或服務，或不止一種類型的交易和/或流程流動，應為每種流動提供一張圖。流程圖應：  

• 描述從申請人接受的資金來源（如銀行轉賬、現金、銀行卡）到完全履行對客戶義務的典型交易的始末。  

• 說明客戶與申請人之間的互動以及資金流動。  

• 註明時間線，包括與第三方的服務水平協議，以及適用的支付和結算周期。  

• 突出显示其使用創新技術（如数字代幣的使用或提供、分佈式賬本技術）或與市場常見方式不同的產品或服務交付方式的環節。  

• 包括所有涉及的第三方（如其他数字代幣服務提供商、銀行合作夥伴、中介機構、其他代理），並說明其在流程中的角色。  

- 實施計劃，包括業務/產品啟動的預期時間表，以及將在其運營中發揮關鍵作用的系統、流程和第三方。  

- 数字代幣服務是否是申請人提供的任何其他產品或服務的附帶服務或捆綁服務。  

- 申請人目前正在開展或擬開展的由MAS監管的任何其他活動的簡要說明（如金融諮詢、證券交易等）。  

- 申請人目前正在開展或擬開展的任何豁免和不受監管活動的簡要說明。  

- 對於屬於全球数字代幣服務集團一部分的申請人：  

• 申請人在集團中的角色，包括其將從集團內關聯公司接收和/或向其提供的職能或服務（如有）。如有可能，申請人應提供集團內其他關聯公司支持新加坡業務運營的資源水平（以員工人數和時間投入計）的估計值。  

• 確認其所有實體均已獲得充分許可/註冊，並提供每個實體的許可/註冊詳情。申請人應提供其許可/註冊證書的副本或其在監管機構網站上的許可/註冊狀態信息。申請人應披露其任何實體可能涉及的任何監管執法行動/調查。  

- 對其擬支持或提供的所有数字代幣和数字代幣服務（如交易平台、託管）的全面風險評估，包括其代幣上市治理流程。申請人應提供所支持的数字代幣的完整列表，並說明其根據MAS監管框架對代幣性質的評估（如是否為證券代幣或支付代幣）。  

- 其在新加坡維持客戶数字代幣訪問和運營控制的消費者訪問措施和業務行為措施、客戶賬戶的每日對賬以及向客戶提供月度賬戶對賬單的相關信息、風險管理控制（客戶資產流動的控制）、向客戶的披露內容。  

法律意見  

申請人需提供由知名律師事務所出具的關於其擬議商業模式下將提供的受監管数字代幣服務的法律意見。法律意見應包括（但不限於）以下內容：  

- 申請人商業模式以及申請人擬提供的每項服務和產品的清晰簡明摘要（包括每項服務/產品的資產/資金流動和涉及的各方，如適用）。

• 對擬議的服務或產品是否屬於《FSM 法》規定的受監管数字代幣服務的評估。該評估應包括對每項受監管数字代幣服務是否適用於每項擬議服務或產品的詳細全面分析。評估還應考慮所有相關法律、通知、指南、通告和常見問題解答。

• 如任何擬議的服務或產品被評估為豁免或不受監管，需詳細解釋相關豁免或例外情況的適用方式。

• 確認法律意見將向MAS披露。

合規、風險管理、系統與控制所需信息

技術風險管理

申請人應制定評估和管理技術風險的框架，並採取與所提供金融服務的風險水平和複雜性以及支持這些服務的技術相稱的措施，以保護客戶數據、交易和系統。申請人應參考《技術風險管理通知》[FSM-N30]、《網絡安全通知》[FSM-N31] 和《技術風險管理實踐指南》，了解信息技術風險管理原則和監管預期。

合規與審計

申請人應提供以下與擬議商業模式性質一致的信息和文件：

• 證明符合 MAS《FSM-N27 通知》的反洗錢 / 反恐怖主義融資政策和程序，以及相關定向金融制裁要求。這應包括評估和監督代理和第三方合作夥伴（本地和海外）的框架。

• 企業範圍內的洗錢 / 恐怖主義融資 / 擴散融資風險評估（“EWRA”）。申請人還應在 EWRA 中納入逃稅風險評估。

• 反洗錢 / 反恐怖主義融資治理、升級和報告安排。這應包括獨資經營者、合伙人、經理或董事及 CEO 和其他高級管理人員參与監督和解決業務過程中可能出現的反洗錢 / 反恐怖主義融資問題的細節。

• 合規管理安排的實施計劃，包括已推出的流程和將使用的系統。

• 合規官的姓名和簡歷（“CV”），包括任何正式合規認證詳情，如 ACAMS、IBF 認證。

• 如組織架構圖未包含合規職能的人員配置安排和彙報線，則需提供相關詳情。這應包括所有外包合規職能的細節，包括外包提供商和團隊的所在地、申請人與外包提供商的關係（如供應商、母公司）、外包提供商的許可 / 註冊狀態以及監督安排。

• 內部和外部審計安排。

股權結構圖

申請人應提供完整的股權結構圖（直至最終控制人），最終控制人應為自然人。

如申請人沒有 20% 的控股股東，需提供書面確認。

附錄 4

A4 年度許可費

根據《FSM 法》第 140 條，許可費按年度支付，具體見《FSM 條例》附表。所有已支付的許可費均不予退還。

持牌人應與 MAS 簽訂銀行自動轉賬（GIRO）協議，以每年支付許可費。持牌人應確保其 GIRO 協議細節已更新，並在費用通知規定的扣除日期前，其銀行賬戶中有足夠資金。

新持牌人的按比例許可費

對於未在當年 1 月 1 日獲得許可的新持牌人，其獲許可牌照后第一個日曆年的許可費按固定年度許可費的比例計算，計算期間為許可發放日期至同年 12 月 31 日。示例 1 展示了第一年許可費的計算方式。

示例 1 某公司於 2025 年 12 月 1 日獲得 DTSP 許可證。

附錄 5

A5 申請審核流程參与規則

初始審核和信息請求

申請審核流程始於分配案件官員並收到申請人提交的所有所需信息和文件。根據收到的申請數量，案件分配可能不會在 MAS 收到申請后立即進行。案件分配后，案件官員將聯繫申請人，告知其必要的下一步步驟，可能包括召開啟動會議。

案件官員將檢查提交的全套文件，這通常構成申請人將收到的首輪信息請求。案件官員還將對申請人的商業模式進行初步審核。在審核過程中，根據申請人提交的回復是否完整，可能會有多輪信息和澄清請求。

申請人在提交申請前，應始終確保申請符合本指南規定的准入標準，並包含本指南附錄 3 要求的必要信息。如提交的材料被評估為嚴重不完整或存在重大缺陷，MAS 保留拒絕申請的權利。申請人還應始終有聯繫人可隨時跟進這些信息請求，並及時提供充分回應。如聯繫人發生變更，申請人應及時通知 MAS。

申請人必須及時、主動、充分地向案件官員披露所有重要信息，不得有任何隱瞞。如發現申請人無正當理由故意模糊、隱瞞或延遲披露信息，將被視為重大缺陷。申請人需注意，必須合理謹慎地確保向 MAS 提供的信息和文件不虛假、不具誤導性。違反《FSM 法》第 176 (1) 或 176 (3) 條的個人可能構成犯罪，經定罪后可處以罰款或監禁。

回復的及時性和質量

MAS 通常會為申請人提供回複信息請求的截止日期。如申請人未能在規定時間內回復，MAS 將視為申請撤回。如申請人需要額外時間準備回復，應提前通知案件官員。

申請人還必須在提供充分全面的回復所需時間與為加快審核而倉促回復之間取得平衡。未能提供令人滿意和全面的回復將被評估為缺陷，可能導致對申請的不利考慮。

面試

案件官員通常會安排與申請人的關鍵管理人員和 / 或合規官進行面試。申請人的所有代表均應認真對待與案件官員的互動。面試的目的是讓申請人解釋其打算如何管理業務和風險，以遵守監管要求。顧問、外部法律顧問和其他第三方不得參加面試。這是因為即使申請人將其任何職能外包，仍需對履行監管義務負責。

案件官員有合理理由認為申請人無法充分履行持牌人義務的潛在情形包括但不限於以下情況：

• 無正當理由未參加面試；

• 面試中無法清晰回答問題；

• 辱罵案件官員。

如面試后但申請結果出爐前，申請內容發生重大變更，案件官員可能會安排與申請人進行額外面試。此類變更的示例包括申請人關鍵人員的任命變更或申請人商業模式的變更。

MAS 的審核流程

案件官員有義務對申請進行全面評估。即使在申請階段，申請人的目標是獲得許可，從而接受持續監管和監督，如同處於監管體系中一樣。案件官員將在此背景下審核申請，並期望申請人表現得如同已受監管的金融機構。未能做到這一點的申請人將被評估為存在潛在重大缺陷，可能導致申請被拒絕。

擱置申請

如申請提交后提供的信息發生任何變更，應立即通知 MAS。如申請發生重大變更，申請人可能需要考慮撤回申請，並在變更完成后重新申請，因為在此之前申請將無法進行審核。

在審核過程中，如申請人發生重大企業重組、關鍵管理人員發生重大變更或商業模式 / 活動發生重大變化，MAS 有權將被評估為尚未準備好審核的申請擱置六個月。儘管此類重大變更可能是申請人無法預見的，但擱置期允許將資源從這些不完整的申請中轉移，以確保對排隊中的所有其他已準備好的申請人公平。

在擱置期內，申請人有責任確保及時解決 / 完成所有必要變更，並在擱置期結束時向 MAS 提供相關文件以供評估。默認擱置期為六個月，不可延長。如重大變更未在擱置期內完成，申請將被評估為尚未準備好審核，申請人應考慮撤回申請。

申請的撤回

申請人有權在任何時候撤回其申請。經 MAS 審核后，如存在無法在合理時間內充分解決的根本性問題，或申請被評估為存在重大缺陷，申請人也可能被建議撤回申請。申請人應注意，如案件官員作出此類評估，表明處於類似情況的其他申請人未獲批准。已建立健全的控制措施，以確保案件官員進行公平、客觀和可驗證的評估。每個申請及其支持文件均由案件官員、監督官員以及審核和批准機構組成的團隊進行嚴格審核。因此，申請人應認真對待審核流程及其結果。

如申請人打算重新提交申請，必須確保已充分解決所有問題和缺陷。未糾正 MAS 先前提出的問題而重新提交申請可能導致拒絕。

關於申請擱置，關鍵管理人員的重大變更主要指與首席執行官、首席財務官、首席風險官和首席合規官等關鍵 C-suite 職位相關的變更。然而，申請人還應根據其商業模式的關鍵性和彙報線的重要性，評估並強調其他應視為關鍵管理人員的職位變更。

附錄 6

A6 外部審計師獨立評估

A. 技術與網絡安全風險：

（原則性批准后申請人需完成）

1. 被任命對技術和網絡安全風險進行獨立評估的外部審計師的標準
   申請人任命的進行獨立評估的外部審計師應符合以下標準：
   

2. 評估範圍
   以下列出了將作為原則性批准（IPA）條件的、由獨立外部審計師評估的技術和網絡安全風險領域。

業務負責人應具有足夠的 seniority，並在技術和網絡安全風險（技術風險）領域具備足夠的經驗和專業知識。申請人有責任確保任命具備適當資質的獨立外部審計師，對其技術風險政策、程序和控制措施進行獨立評估。

I. 網絡安全

a. 考慮到申請人的擬議商業模式、產品、服務、資金流動和交付渠道，
i. 識別與 MAS《FSM-N31 網絡安全通知》規定的相關監管要求的任何差距；
ii. 突出显示緩解網絡安全風險所需的改進領域。

II. 數據防丟失

a. 審查和評估申請人在以下領域的擬議信息保護政策和控制措施（IPPCs）：
i. 傳輸和存儲期間敏感數據（包括客戶數據）的保護；
ii. 檢測和防止敏感數據（包括客戶信息）的未授權訪問或披露（包括通信、傳輸和存儲）；
iii. 託管錢包加密密鑰的保護。
b. 考慮到申請人的擬議商業模式、產品、服務、資金流動和交付渠道，
iv. 識別與適用的技術風險管理監管要求（包括但不限於 MAS《FSM-N30 技術風險管理通知》和《技術風險管理指南》第 11 節）的任何差距；
v. 突出显示緩解其擬議商業模式帶來的技術風險所需的改進領域。

III. 滲透測試

a. 審查和評估申請人在滲透測試系統方面的擬議 IPPCs，包括：
i. 根據系統關鍵性和系統面臨的網絡風險等因素確定的滲透測試頻率。對於可直接從互聯網訪問的系統，申請人應至少每年或在這些系統進行重大變更或更新時進行滲透測試，以驗證安全控制的充分性；
ii. 與相關風險水平相稱的糾正滲透測試結果的服務水平協議（“SLAs”）。
b. 審查和評估對申請人擬議的在線金融服務進行的滲透測試（在過去 12 個月內）是否相關且足以識別關鍵安全漏洞。
c. 考慮到申請人的擬議商業模式、產品、服務、資金流動和交付渠道，
i. 識別與適用的技術風險管理監管預期（包括但不限於《技術風險管理指南》第 13.2 節）的任何差距；
ii. 突出显示緩解其擬議商業模式帶來的技術風險所需的改進領域。

IV. 数字錢包和智能合約

a. 審查申請人的擬議 IPPCs，並評估擬議的 IPPCs 是否包括以下與申請人的擬議商業模式、產品、服務、資金流動和交付渠道相稱的控制措施：
i. 在其擬議系統和智能合約（如相關）的系統開發生命周期中遵循安全設計原則（包括適當的訪問控制、全面測試、定期更新到穩定版本、靜態和動態代碼分析）；
ii. 智能合約的開發，包括通過安全開發、DevSecOps 和測試確保智能合約免受網絡威脅和漏洞的控制措施，以防止未授權訪問、數據泄露和安全漏洞的利用；
iii. 確保關鍵系統高可用性的控制措施，以及系統恢復和業務恢復優先級（包括根本原因和影響分析），以確保此類系統的快速恢復策略；
iv. 採用多方計算和門限簽名方案等技術來保護託管錢包；
v. 在託管錢包系統與其他信息系統 / 互聯網之間實施網絡隔離，以防止未授權連接；
vi. 託管錢包加密密鑰組件的分離，以確保任何時候都沒有單一個人或系統可以訪問完整密鑰（即遵循 “永不單獨” 原則，要求至少兩名授權人員協調和批准密鑰管理操作）。