投資加密資產(chǎn)的注冊投資顧問（RIAs）面臨著監(jiān)管不明確和資產(chǎn)托管選擇有限的困境。更為復(fù)雜的是，加密資產(chǎn)帶有與 RIAs 以往負(fù)責(zé)的資產(chǎn)不同的所有權(quán)和轉(zhuǎn)讓風(fēng)險。RIAs 的內(nèi)部團(tuán)隊(duì)（運(yùn)營、合規(guī)、法務(wù)等部門）竭盡全力尋找愿意且符合期望的第三方托管人，盡管付出諸多努力，他們還是難以找到合格的托管人，結(jié)果就是 RIAs 不得不自行持有這些資產(chǎn)。因此，當(dāng)前加密資產(chǎn)托管面臨著獨(dú)有的法律和運(yùn)營風(fēng)險。

加密行業(yè)需要的是一種原則上的方法，來為幫助客戶保護(hù)加密資產(chǎn)的專業(yè)投資者解決這一關(guān)鍵問題。在回應(yīng)美國證券交易委員會（SEC）近期的信息征集請求時，我們制定了一些原則，若能夠?qū)嵤@些原則將把《投資顧問法》托管規(guī)則的目標(biāo)延伸至新的加密資產(chǎn)類別。

傳統(tǒng)資產(chǎn)的持有人對資產(chǎn)的控制意味著其他人沒有控制權(quán)。但加密資產(chǎn)并非如此，可能有多個實(shí)體能夠訪問與一組加密資產(chǎn)相關(guān)的私鑰。

加密資產(chǎn)通常還附帶多種對資產(chǎn)至關(guān)重要的內(nèi)在經(jīng)濟(jì)和治理權(quán)利。傳統(tǒng)債務(wù)或證券可以「被動」賺取收益（如股息或利息），持有人在獲取資產(chǎn)后無需轉(zhuǎn)移資產(chǎn)或采取任何進(jìn)一步行動。相比之下，加密資產(chǎn)持有人可能需要采取行動來解鎖與資產(chǎn)相關(guān)的特定收益或治理權(quán)利。根據(jù)第三方托管人的能力，RIAs 可能需要暫時將這些資產(chǎn)轉(zhuǎn)出托管，以解鎖這些權(quán)利。例如，某些加密資產(chǎn)可以通過質(zhì)押或收益耕作賺取收益，或者對協(xié)議或網(wǎng)絡(luò)升級的治理提案擁有投票權(quán)。這些與傳統(tǒng)資產(chǎn)的差異給加密資產(chǎn)托管帶來了新的挑戰(zhàn)。

為便于追蹤何時適合自我托管，我們制定了這個流程圖。

我們在此提出的原則旨在為 RIAs 揭開托管的神秘面紗，同時保留其保護(hù)客戶資產(chǎn)的責(zé)任。目前專注于加密資產(chǎn)的合格托管人（如銀行或經(jīng)紀(jì)自營商）市場極其狹小；因此，我們的主要關(guān)注點(diǎn)在于托管實(shí)體是否有能力提供我們認(rèn)為托管加密資產(chǎn)所必需的實(shí)質(zhì)性保護(hù)措施，而不僅僅是該實(shí)體作為《投資顧問法》下合格托管人的法律地位。

我們建議，當(dāng)滿足實(shí)質(zhì)性保護(hù)措施的第三方托管解決方案不可用或不支持經(jīng)濟(jì)和治理權(quán)利時，有能力滿足實(shí)質(zhì)性保護(hù)要求的 RIAs 可將自我托管作為一種途徑。

我們的目標(biāo)不是將托管規(guī)則的范圍擴(kuò)大到證券之外。這些原則適用于屬于證券的加密資產(chǎn)，并為其他資產(chǎn)類型規(guī)定了滿足 RIAs 受托責(zé)任的標(biāo)準(zhǔn)。RIAs 應(yīng)尋求在類似條件下持有不屬于證券的加密資產(chǎn)，并記錄所有資產(chǎn)的托管實(shí)踐，包括針對不同類型資產(chǎn)的托管實(shí)踐存在重大差異的原因。

法律地位以及與特定法律地位相關(guān)的保護(hù)措施對托管人的客戶很重要，但在涉及加密資產(chǎn)托管時，這并非全部考量因素。例如，聯(lián)邦特許銀行和經(jīng)紀(jì)自營商受托管法規(guī)約束，為客戶提供嚴(yán)格保護(hù)，但州特許信托公司和其他第三方托管人也可以提供類似程度的保護(hù)。

托管人的注冊不應(yīng)是其是否有資格托管加密資產(chǎn)證券的唯一決定因素。在加密領(lǐng)域，「合格托管人」的范圍應(yīng)予以擴(kuò)大，還應(yīng)包括：

州特許信托公司（意味著它們除了接受州或聯(lián)邦銀行監(jiān)管機(jī)構(gòu)的監(jiān)督和檢查外，無需滿足《投資顧問法》中「銀行」的定義標(biāo)準(zhǔn)）；

根據(jù)（擬議的）聯(lián)邦加密市場結(jié)構(gòu)立法注冊的任何實(shí)體；

任何其他能夠證明自身符合嚴(yán)格客戶保護(hù)標(biāo)準(zhǔn)的實(shí)體，無論其注冊狀態(tài)如何。

無論使用何種技術(shù)工具，托管人都應(yīng)圍繞加密資產(chǎn)托管采取一定的保護(hù)措施。這些措施包括：

1、權(quán)力分離：加密資產(chǎn)托管人在沒有 RIAs 配合的情況下，不應(yīng)能夠?qū)⒓用苜Y產(chǎn)轉(zhuǎn)出。

2、資產(chǎn)隔離：加密資產(chǎn)托管人不應(yīng)將為 RIAs 持有的任何資產(chǎn)與為其他實(shí)體持有的資產(chǎn)混合。不過，注冊經(jīng)紀(jì)自營商可以使用單一綜合錢包，前提是它始終保持這些資產(chǎn)所有權(quán)的最新記錄，并及時向相關(guān) RIAs 披露情況。

3、托管硬件：加密資產(chǎn)托管人不應(yīng)使用任何會引發(fā)安全風(fēng)險或存在受損風(fēng)險的托管硬件或其他工具。

4、審計(jì)：加密資產(chǎn)托管人應(yīng)至少每年接受一次財(cái)務(wù)和技術(shù)審計(jì)。此類審計(jì)應(yīng)包括：

由 PCAOB 注冊審計(jì)師進(jìn)行的財(cái)務(wù)審計(jì)：

服務(wù)組織控制（SOC）1 審計(jì)；SOC 2 審計(jì)；以及從持有人角度對加密資產(chǎn)的確認(rèn)、計(jì)量和列報；

技術(shù)審計(jì)：

ISO 27001 認(rèn)證；滲透測試；以及災(zāi)難恢復(fù)程序和業(yè)務(wù)連續(xù)性規(guī)劃測試。

5、保險：加密資產(chǎn)托管人應(yīng)有足夠的保險覆蓋范圍，或者，如果無法獲得保險，應(yīng)建立足夠的儲備金。

6、披露：加密資產(chǎn)托管人必須每年向 RIAs 提供一份與其托管加密資產(chǎn)相關(guān)的主要風(fēng)險清單，以及減輕這些風(fēng)險的相關(guān)書面監(jiān)督程序和內(nèi)部控制措施。加密資產(chǎn)托管人應(yīng)每季度對此進(jìn)行評估，以確定是否需要更新披露內(nèi)容。

7、托管區(qū)域：加密資產(chǎn)托管人不應(yīng)在當(dāng)?shù)胤梢?guī)定托管資產(chǎn)在其破產(chǎn)時將成為破產(chǎn)財(cái)產(chǎn)一部分的任何管轄區(qū)域托管加密資產(chǎn)。

此外，我們建議加密資產(chǎn)托管人在每個階段實(shí)施與以下流程相關(guān)的保護(hù)措施：

準(zhǔn)備階段：審查和評估要托管的加密資產(chǎn)，包括密鑰生成過程和交易簽名程序，它是否由開源錢包或軟件支持，以及密鑰管理過程中使用的每一件硬件和軟件的來源。

密鑰生成：在此過程的各個層面都應(yīng)使用加密技術(shù)，并且需要多個加密密鑰來生成私鑰。密鑰生成過程應(yīng)既「橫向」（即同一層級有多個加密密鑰持有人），又「縱向」（即有多個層級的加密）。最后，法定人數(shù)要求還應(yīng)確保認(rèn)證人員的實(shí)際在場。

密鑰存儲：絕不要以明文形式存儲密鑰，只能以加密形式存儲。密鑰必須通過地理位置或不同的訪問人員進(jìn)行物理隔離。如果使用硬件安全模塊來保存密鑰副本，其必須符合美國聯(lián)邦信息處理標(biāo)準(zhǔn)（「FIPS」）的安全評級。應(yīng)實(shí)施嚴(yán)格的物理隔離和授權(quán)措施。加密資產(chǎn)托管人應(yīng)至少維持兩級加密冗余，以便在發(fā)生自然災(zāi)害、停電或財(cái)產(chǎn)損毀時能夠維持運(yùn)營。

密鑰使用：錢包應(yīng)要求身份驗(yàn)證；換句話說，它們應(yīng)核實(shí)用戶身份屬實(shí)，并且只有授權(quán)方能夠訪問錢包。錢包應(yīng)使用成熟的開源加密庫。另一個最佳實(shí)踐是避免將一個密鑰用于多種用途。例如，應(yīng)分別為加密和簽名保存密鑰。遵循「最小特權(quán)」原則，即在發(fā)生安全漏洞時，對任何資產(chǎn)、信息或操作的訪問應(yīng)僅限于系統(tǒng)運(yùn)行絕對必需的各方。

除非客戶另有指示，RIAs 應(yīng)能夠行使與托管加密資產(chǎn)相關(guān)的經(jīng)濟(jì)或治理權(quán)利。在前一屆 SEC 管理層執(zhí)政期間，鑒于代幣分類的不確定性，許多 RIAs 采取保守策略，將所有加密資產(chǎn)托管給合格托管人。如前所述，可供選擇的托管人市場有限，這往往導(dǎo)致只有一家合格托管人愿意支持某一特定資產(chǎn)。

在這些情況下，RIAs 可以要求行使經(jīng)濟(jì)或治理權(quán)利，但加密資產(chǎn)托管人可能因?yàn)橐恍┰蜻x擇不提供這些權(quán)利。反過來，RIAs 覺得自己沒有權(quán)力選擇其他第三方托管人或進(jìn)行自我托管以行使這些權(quán)利。這些經(jīng)濟(jì)和治理權(quán)利的包括質(zhì)押、收益耕作或投票。

根據(jù)這一原則，我們主張 RIAs 應(yīng)選擇符合相關(guān)保護(hù)措施的第三方加密資產(chǎn)托管人，以便 RIAs 能夠行使與托管加密資產(chǎn)相關(guān)的經(jīng)濟(jì)或治理權(quán)利。如果第三方無法同時滿足這兩個要求，RIAs 為行使經(jīng)濟(jì)或治理權(quán)利而將資產(chǎn)臨時轉(zhuǎn)出進(jìn)行自我托管的行為不應(yīng)被視為脫離托管。

所有第三方托管人應(yīng)盡最大努力在資產(chǎn)仍由其托管時，為 RIAs 提供行使這些權(quán)利的能力，并應(yīng)在 RIAs 授權(quán)時，采取商業(yè)上合理的行動，以行使與鏈上資產(chǎn)相關(guān)的任何權(quán)利。

在為行使與某項(xiàng)加密資產(chǎn)相關(guān)的權(quán)利而將資產(chǎn)轉(zhuǎn)出托管之前，RIAs 或托管人必須首先以書面形式確定，是否可以在不轉(zhuǎn)出托管的情況下行使該權(quán)利。

RIAs 在交易資產(chǎn)方面負(fù)有最佳執(zhí)行義務(wù)。為此，RIAs 可以將資產(chǎn)轉(zhuǎn)移到加密交易平臺，以確保該資產(chǎn)的最佳執(zhí)行，無論資產(chǎn)或托管人的狀態(tài)如何，前提是 RIAs 已采取必要步驟確保交易場所的安全性，或者 RIAs 在加密市場結(jié)構(gòu)立法最終確定后，已將加密資產(chǎn)轉(zhuǎn)移到受該立法監(jiān)管的實(shí)體。

只要 RIAs 確定將加密資產(chǎn)轉(zhuǎn)移到交易場所以實(shí)現(xiàn)最佳執(zhí)行是明智之舉，這種轉(zhuǎn)移不應(yīng)被視為脫離托管。這要求 RIAs 合理確定該場所適合實(shí)現(xiàn)最佳執(zhí)行。如果交易無法在該場所妥善執(zhí)行，資產(chǎn)應(yīng)立即返還給加密資產(chǎn)托管人。

雖然使用第三方托管仍應(yīng)是加密資產(chǎn)的主要選擇，但在以下情況下，應(yīng)允許 RIAs 對加密資產(chǎn)進(jìn)行自我托管：

· RIAs 確定找不到能夠滿足其所需保護(hù)措施的第三方托管人；

· RIAs 自身的托管安排至少與可獲得的第三方托管人的保護(hù)措施一樣有效；

· 自我托管對于行使與加密資產(chǎn)相關(guān)的任何經(jīng)濟(jì)或治理權(quán)利是必要的。

當(dāng) RIAs 出于這些原因決定對加密資產(chǎn)進(jìn)行自我托管時，RIAs 必須每年確認(rèn)證明自我托管合理的情況未發(fā)生變化，向客戶披露自我托管情況，并使此類加密資產(chǎn)接受《托管規(guī)則》的審計(jì)要求。

基于這些原則的加密資產(chǎn)托管方法確保 RIAs 能夠在履行受托責(zé)任的同時，適應(yīng)加密資產(chǎn)的獨(dú)特特性。通過關(guān)注實(shí)質(zhì)性保護(hù)而非僵化的分類，這些原則為保護(hù)客戶資產(chǎn)和解鎖資產(chǎn)功能提供了一條務(wù)實(shí)的前進(jìn)道路。隨著監(jiān)管環(huán)境的演變，基于這些保護(hù)措施的明確標(biāo)準(zhǔn)將使 RIAs 能夠以負(fù)責(zé)任的方式管理加密資產(chǎn)。