服务商：仁港永胜（香港）有限公司｜Rengangyongsheng (Hong Kong) Limited

牌照名称：西班牙 Spain（MiCA）加密资产服务提供商（CASP）牌照｜Crypto-Asset Service Provider（CASP）｜MiCA 体系下 Crypto-Asset Service Provider（CASP）授权

• 在西班牙根据 MiCA 框架，提供加密资产服务需获得的许可证通称为：
  CASP 牌照（Crypto-Asset Service Provider Licence）
  即：
  “Proveedor de Servicios de Criptoactivos autorizado bajo MiCA”
  或更简练称为：
  MiCA CASP 牌照 / MiCA 加密资产服务提供商授权

  这是一种由 CNMV 授权的许可，允许企业根据 MiCA 提供受监管的加密资产服务（例如交易、托管、订单执行等）。

补充说明

• 获得 CASP 牌照后，该许可将在欧盟范围内具有“护照效力”（passporting），允许牌照持有者在全 EU 27 个成员国范围内部署相关服务。

• 西班牙已经逐步停止旧的 VASP 注册体系，新实体需自 2024 年底起申请 MiCA CASP 授权，且过渡期计划于 2025 年结束。

主管机构：

• 西班牙国家证券市场委员会
  西班牙语全称：Comisión Nacional del Mercado de Valores
  缩写：CNMV

  CNMV 是西班牙负责根据 MiCA 授权、监管和监督加密资产服务提供商（CASPs）的主管金融市场监管机构。

• 另一个相关机构（职责侧重不同）
  对于 MiCA 范围内的 资产参考代币（ARTs） 和 电子货币代币（EMTs） 等方面的审慎监管，还涉及 西班牙银行（Bank of Spain） 的职责划分（尤其是针对货币类稳定币等分类）。

✅ 点击这里可以下载 PDF 文件：西班牙 Spain（MiCA）加密资产服务提供商（CASP）牌照常见问题（FAQ 大全）
✅ 点击这里可以下载 PDF 文件：西班牙 Spain（MiCA）加密资产服务提供商（CASP）牌照申请注册指南
✅ 点击这里可以下载 PDF 文件：关于仁港永胜

注：本文模板、清单、Word/PDF 可编辑电子档，可向仁港永胜唐生有偿索取（用于监管递交与内部落地）。

交付口径提示（适配西班牙监管现实）：西班牙 CASP 申请的“关键动作”不是把材料写厚，而是把 CNMV 的 CASP 授权申请手册/表格口径 做成“可递交、可审计、可补件（RFI-ready）”的证据链，并把历史 BdE 加密登记（AML 登记）与 MiCA 授权体系做正确区分与迁移解释。

1）牌照名称（License Name）

• 牌照名称：MiCA 体系下 Crypto-Asset Service Provider（CASP）授权（以西班牙为 Home Member State）。

• 法律属性：欧盟统一法规下的授权制（authorisation），获批后可在授权的服务范围内，通过 MiCA 护照机制跨境展业。

2）西班牙监管坐标（最重要的“入口信息”）

在西班牙谈 CASP，一定要把监管坐标拆成“三条线”，否则非常容易在材料逻辑与合规口径上“自相矛盾”：

A. MiCA 授权主线（核心）— CNMV 牵头的 CASP 授权体系

• CNMV 已发布 CASP 授权申请手册（Manual）与相关模板/材料框架，用于指导 MiCA 下 CASP 的正式授权申请与准备工作。

B. 历史“加密登记”支线（非等同牌照）— Banco de España（BdE）加密服务登记的 AML 属性

• Banco de España 的“虚拟货币兑换/托管钱包服务提供者登记”属于 AML 框架下的登记（历史机制），并不等同 MiCA 下 CASP 授权；BdE 也明确该登记不构成对业务的批准或核验。

C. 反洗钱/金融情报线（并行约束）— 西班牙 AML 框架与 FIU（SEPBLAC）体系

• MiCA 授权并不替代 AML 义务；CASP 仍需满足 AML/KYC/STR/制裁等要求（并与欧盟 TFR/Travel Rule 形成“交易信息随行 + AML 调查留痕”的组合）。CNMV 的 MiCA 信息页也提示：部分存量提供者在过渡期内可能继续运营，但这不意味着免除合规义务。

3）“西班牙路径”一句话结论（给老板/投资人）

西班牙 CASP 的核心不在“材料堆叠”，而在于：按 CNMV 的授权手册把 MiCA 要求“表格化 + 附件编号化 + 证据链化”，同时把 BdE 历史 AML 登记与 MiCA 授权迁移关系讲清楚，并把过渡期策略、客户保护披露与 ICT/DORA 外包治理做成可审计落地。

4）过渡期（Transitional / Grandfathering）在“西班牙路径”中的地位（务必写入 BP）

• CNMV 面向公众的 MiCA 信息页面明确提示：在一定条件下，部分提供者可能在到 2026-07-01 之前仍可在未持 MiCA 牌照情况下继续提供服务（属于过渡安排语境）。

• CNMV也发布过专门文件讨论“过渡期与通知义务”，其中提到西班牙曾将过渡期缩短为 12 个月（至 2025-12-30）的安排。

交付建议（写法）：在商业计划书（BP）中单列《Transitional Strategy》：说明你是否属于可适用过渡安排的“存量提供者”、你如何在过渡期内实现“授权申请+持续合规”的双轨推进，以及“若过渡政策/名单口径变化”时的应对（例如提前递交、收缩服务、客户迁移、暂停新客等）。

二、MiCA 统一框架价值 + 西班牙作为 Home Member State 的策略优势

2.1 MiCA 统一框架的核心价值（拿牌后能做什么）

1. 单一授权 + 欧盟护照（passporting）

• 在一个成员国获批后，可按 MiCA 机制向其他成员国通报，跨境提供获批范围内的加密资产服务（自由提供服务/设分支）。

2. 统一经营规则（监管“模板化”）

• MiCA 将治理、利益冲突、客户披露、客户资产保护、外包治理、记录保存、投诉处理等核心义务统一成欧盟标准，利于规模化复制合规体系。

3. 与 TFR/Travel Rule 并行（交易信息随行）

• 对涉及转账/托管/平台对接的业务，Travel Rule（TFR）要求与 MiCA 合规建设高度耦合：字段、消息传递、留存、异常处置与审计证据链必须端到端打通。

2.2 西班牙作为 Home Member State 的“策略优势”（实操视角）

这里强调“策略优势”不是指监管更松，而是指：规则明确、材料标准化程度高、监管沟通路径清晰、利于做合规中台与跨境扩张。

（1）CNMV 已提供“申请手册（Manual）”与材料框架：利于一次成型、降低补件成本

• CNMV 发布的 CASP 授权申请手册（Manual）意味着监管在“要什么材料、怎么组织、怎么解释”上给了明确结构，你可以按其目录与证据清单做“交付包工程化”。

（2）监管沟通语言更“证券监管范式”：利于平台/经纪/投顾类服务的合规模板化

• 若你的服务包含平台运营、执行/传递订单、投顾等“行为监管”更强的模块，CNMV 的证券监管传统使其对披露、市场行为、营销合规、利益冲突等要求更可预期（你可以把“投资者保护包”写得更标准化）。

（3）历史 BdE AML 登记生态：利于“存量主体迁移叙事”与合规证据复用（但必须说明“不等同授权”）

• 如果你是西班牙存量的 BdE 登记主体，可以把既有 AML 体系、客户文件、STR 流程、供应商尽调等作为“可运行证据链”的一部分复用；同时必须在材料中明确：该登记不等同 MiCA 授权，你是在做“授权升级迁移”。

（4）过渡期安排的“战略窗口”价值：给存量提供者留出递交与整改窗口

• CNMV 的 MiCA 页面与其过渡期文件，使“过渡运营 + 授权申请推进”的路线可被清晰论证（尤其对存量机构）。

三、适用法律全景（EU 主法 + 西班牙落地口径 + AML/税务/韧性）

交付写法：唐生建议在申请材料中做一张《Legal Mapping Table（法规映射表）》：法规条款 → 本公司制度/流程 → 系统证据 → 附件编号。CNMV 手册结构可作为你映射表的目录骨架。

3.1 欧盟层面（主法 + 必须并行考虑的配套）

A. MiCA：Regulation (EU) 2023/1114

• CASP 授权条件、持续义务、客户保护、治理与内控、外包、投诉、记录保存等核心来源。

B. TFR/Travel Rule：Regulation (EU) 2023/1113

• 加密资产转账随行信息规则；与 AML 调查、制裁筛查、交易监控证据链深度耦合。

C. DORA：Regulation (EU) 2022/2554（数字运营韧性）

• ICT 风险管理、第三方风险与外包治理、事件管理、韧性测试等要求对平台/托管/关键系统依赖型 CASP 极其关键。

D. DAC8：Directive (EU) 2023/2226（税务信息报告导向）

• 强化加密资产交易与客户税务信息的数据治理要求，影响数据字段标准、留存、报表抽取与跨境一致性。

3.2 西班牙层面（“落地口径”应如何理解）

由于 MiCA 是欧盟条例，成员国落地重点通常集中在：

• 主管机关（NCA）与程序机制：谁收申请、如何沟通、如何公示、如何跨境通报；

• 处罚与执法框架：行政罚则、纠正措施、公开披露、协作机制；

• 过渡期安排：存量服务提供者如何在过渡期内继续运营、何时截止、如何通知。

在西班牙的公开口径中，CNMV 已就 MiCA 相关信息、过渡安排与 CASP 授权申请资料发布指引与文件（含手册/模板/过渡期说明）。

3.3 AML 与历史 BdE “加密登记”在法律全景中的位置（避免混淆）

• BdE 的加密服务提供者登记与 AML 法框架（西班牙反洗钱法体系）绑定，属于“反洗钱合规准入/登记”逻辑，并非 MiCA 授权。

• 在材料表述中应使用明确措辞：

  • “Registered with BdE (AML registration) / Not equivalent to MiCA authorisation”；

  • “Applying for MiCA CASP authorisation with CNMV as competent authority”。

四、监管机构与分工（CNMV 为核心；央行登记/SEPBLAC 体系要并轨理解）

4.1 CNMV（西班牙证券市场委员会）——MiCA 时代 CASP 的核心监管枢纽

（1）CNMV 的关键作用：授权申请“标准答案”来自它的 Manual/模板口径

• CNMV 发布 CASP 授权申请手册（Manual）与相关申请/通知模板，用于指导 MiCA 框架下 CASP 的授权准备与递交。

（2）CNMV 视角下的“高频审查主题”（你材料必须对齐）
结合 CNMV 手册存在这一事实（意味着其审查会按手册结构推进），在交付版材料中建议把以下作为“必答模块”写成可审计证据链：

• 服务范围（MiCA 服务目录映射）与业务流程（端到端、含异常处置）；

• 客户保护与披露包（风险披露、费用披露、执行政策/冲突披露/投诉处理）；

• 平台规则/市场监测（如涉及 Trading Platform）；

• 记录保存与可审计性（日志、工单、录音录像、链上证据固化）；

• 重大外包与第三方治理（审计权、监管可访问、退出预案）。

（3）公众信息披露与市场教育：CNMV MiCA 专页口径可用于你的“合规营销边界”设计

• CNMV 的 MiCA 页面提示消费者注意事项、过渡期语境等，这类监管公开表达可被你纳入“Marketing Policy（营销合规政策）”的禁止性表述清单与风险提示话术库。

4.2 Banco de España（BdE）——历史加密登记（AML 登记）与“迁移解释”的关键角色

（1）BdE 登记的性质：AML 登记，不是 MiCA 牌照

• BdE 明确其“虚拟货币兑换/托管钱包服务提供者登记”记录的是服务提供者识别信息，且登记不意味着对其活动的批准或核验。

（2）对申请材料的现实影响：你必须做“登记主体 → MiCA 授权主体”的迁移叙事
若你是存量登记主体，交付版建议准备《Migration Pack（迁移包）》：

• 登记信息与业务范围现状（说明哪些服务在 MiCA 下属于 CASP 服务）；

• AML 体系现状与差距（KYC/EDD、制裁、STR、监控规则库、记录保存）；

• TFR/Travel Rule 的差距与改造计划；

• 客户协议/披露包的升级计划；

• 关键外包合同的“审计权/监管访问/退出”补强清单。

4.3 SEPBLAC（FIU/AML 体系）——反洗钱/制裁/STR 的“并行监管逻辑”

即便你走 MiCA 授权主线（CNMV），你的 AML 义务仍然在西班牙 FIU/AML 体系下强约束；交付版材料应体现：

• 交易监控（链上+链下）规则库、告警处置与 STR 决策留痕；

• Travel Rule 信息随行与“缺失信息”的拒绝/延迟/人工复核机制；

• 制裁与 PEP/负面新闻筛查命中处置、误报复核与升级路径；

• 7–10 年（按适用规则）记录保存与可调取机制。
  （上述与 MiCA 授权材料并行，并会在监管问询中交叉出现。）

4.4 “三线并轨”的项目管理建议（交付版做法）

为避免“同一事实在不同材料里说法不一致”，建议把所有材料拆成四册并用统一索引（Index）管理：

1. CNMV 授权主册（MiCA ITS 表格 + 附件 A–I + 交叉引用）

2. AML/TFR 专册（AML Manual + Travel Rule SOP + 规则库与证据留痕）

3. ICT/DORA 与外包治理专册（架构、权限、日志、事件、韧性、外包合同条款包）

4. 财务与审慎保障专册（资本测算、固定开支、现金流压力测试、融资承诺）
   并在每一册首页放同一张《Regulatory Stakeholders Map》与《Document Index》。

五、CASP 服务范围（MiCA 服务清单）与“申请组合策略”

5.1 MiCA 下 CASP 服务清单：先“选服务”，再“写制度/资本/系统”

MiCA 将 CASP 授权按“服务类型”拆分批准：你申请哪些服务，就必须逐项证明 治理、人员、资本、风控、客户保护、ICT/外包、记录保存 已具备可运行能力。MiCA 为欧盟统一框架，自 2024-12-30 起在全欧盟适用。

MiCA 常见 CASP 服务（监管申请时建议按“服务-流程-证据链”逐项展开）：

1. 托管与管理（Custody & Administration）

2. 运营交易平台（Trading Platform）

3. 兑换服务（Exchange）：Crypto-Crypto / Crypto-Fiat（若涉及法币出入金，还要并行解释支付/银行合作结构）

4. 执行订单（Execution of Orders）

5. 接收与传递订单（Reception & Transmission of Orders, RTO）

6. 代表客户转移加密资产（Transfer Services）（与 Travel Rule/TFR 强绑定）

7. 加密资产投资咨询（Advice）

8. 加密资产组合管理（Portfolio Management）

注：MiCA 对“服务定义、边界、外包与责任”高度敏感；同一业务在不同结构下可能被定性为不同服务组合，必须在 BP 与流程图中“定性一致”。

5.2 “申请组合策略”：按监管难度/系统压力/资本压力分层（实操建议）

为了提升一次过审概率，建议采用 分阶段授权策略（Phase 1 → Phase 2 → Phase 3），把“最吃系统/最吃资本/最吃安全证明”的模块后置。

A. 入门合规组合（更利于先获批、后扩项）

• RTO + Execution + Transfer
  适用于：经纪/撮合/OTC（不做平台撮合引擎或先不对外开放 order book）
  监管重点：KYC/EDD、制裁、STR、Travel Rule 字段与留痕、记录保存、投诉机制。

B. 交易平台组合（系统与市场行为要求显著提高）

• Trading Platform（可叠加 Exchange/RTO/Execution）
  监管重点：平台规则手册、订单生命周期、撮合与公平性、市场监测、滥用识别、上币治理、异常处置与证据链。

C. 全栈高强度组合（最吃资本与安全）

• Custody + Exchange + Platform（全栈）
  监管重点：客户资产隔离、密钥/权限、对账、保险/保障安排、重大外包审计权与退出、ICT/DORA 对齐。

西班牙路径：CNMV 已发布 CASP 授权申请“手册/指南”与相关模板，建议从一开始就按其目录结构拆包，减少补件。

5.3 交付件要点：把“服务清单”做成监管可审阅的 4 张核心表

• 服务映射表：服务 → MiCA 定义 → 你产品模块 → 流程节点 → 风控控制点 → 证据附件编号

• 订单/资产生命周期图：从获客到下单、撮合、清算、交收、对账、争议处理/退单

• 外包矩阵：每项服务的关键外包、重要性分级、审计权/退出条款是否到位

• 资本影响矩阵：服务组合变化对最低资本档位、固定开支、保险/保障安排的影响

六、申请主体与“实质运营（Substance）”要求（西班牙落地核心门槛）

6.1 西班牙“监管坐标”下的实质要求：你要证明“有效管理在 EU/西班牙可问责”

西班牙 CASP 授权核心监管机构为 CNMV（已发布 CASP 申请手册/模板与 MiCA 专页）。
同时，历史上 Banco de España（西班牙央行）有一个与虚拟货币兑换/托管钱包提供者相关的登记信息安排，但该登记不等于对其业务的许可或背书（这点在央行公开信息中有明确提示）。

实操提示：在 MiCA 时代，“央行登记/AML义务”与“CASP 授权/行为监管”要并轨理解：一套是反金融犯罪与登记/信息义务的逻辑，一套是 MiCA 授权与持续监管逻辑；材料中要把两者关系讲清楚，避免监管认为你“把登记当牌照”。

6.2 Substance 的“监管判定四问”（建议写进 BP 的开篇）

1. 决策链是否在西班牙主体内可追溯？（董事会/管理层决策、授权矩阵、会议纪要）

2. 关键控制职能是否独立有效？（合规、风控、MLRO、信息安全/ICT）

3. 外包是否可控、可审计、可退出？（云、托管、KYC、链上分析、Travel Rule 通道、撮合引擎等）

4. 监管检查时能否即时调取证据链？（KYC档案、交易/安全日志、告警工单、STR决策记录）

6.3 仁港永胜“最低可解释模型”（可递交、可面谈）

（1）组织最低配置（示例）

• 西班牙主体：董事会 + CEO/COO（或 GM）

• 二道防线：Compliance Officer + Risk Officer + MLRO（可一人多岗但需解释独立性与资源）

• ICT：CISO/安全负责人（可外包执行，但必须有内部 Owner）

• 三道防线：Internal Audit（可外包，但需独立性、审计计划、整改闭环）

（2）“三张图 + 三类证据”是快速过审关键

• 三张图：集团穿透图、组织架构图、系统数据流/权限流图

• 三类证据：会议纪要/决议编号体系、工单与告警闭环、权限与日志可导出

七、资本金与审慎保障（MiCA 取高规则）+ 现金流可持续证明

7.1 MiCA 的审慎逻辑：最低资本 + 持续审慎保障（常见为“取高”）

MiCA 对 CASP 设定分层最低资本门槛（不同服务档位不同；常见区间为 €50,000 / €125,000 / €150,000，并与服务类型挂钩）。

交付口径：在申请材料中必须做出“服务组合 → 资本档位 → 固定开支口径 → 触发补资机制”的完整链条。

7.2 监管最看重的不是“资本数字”，而是“持续经营能力”

你至少要给监管三类交付件：

A. 资本测算表（Prudential Calculation Pack）

• 按拟申请服务映射最低资本档位

• 若提供多项服务，说明“取高规则/叠加逻辑”

• 给出“资本维持机制”：亏损/增长/重大风险事件触发补资的阈值与流程

B. 固定开支（Fixed Overheads）口径说明（写实是关键）
必须把以下成本写实纳入（否则极易被质疑“纸面合规”）：

• 人员：合规/风控/MLRO/ICT/客服

• 工具：链上分析、制裁筛查、交易监控、Travel Rule 通道、工单系统

• 安全：渗透测试、漏洞管理、SOC/SIEM、密钥管理/HSM/MPC

• 外包：云与托管、KYC供应商、撮合引擎、审计权成本

• 审计/法律：年度审计、合规评估、外部法律意见

C. 3 年财务模型 + 12 个月现金流压力测试（Cash Sustainability Pack）

• P&L / BS / Cashflow 三表

• 压力场景：交易量腰斩、价差收缩、极端行情、重大安全事件、关键外包失败

• 资本补充路径：股东承诺函/融资计划/可动用授信（与 SoF/SoW 对齐）

八、股东/UBO 与适当人选（Fit & Proper）+ SoF/SoW（资金/财富来源）

8.1 必须做尽调的对象范围（建议按“强制/建议”分层）

强制（建议按监管审查口径全覆盖）：

• ≥10% 直接/间接持股股东（qualifying holding）

• 实际控制人/最终受益人（UBO，穿透到自然人）

• 董事会成员、高级管理层

• 关键职能负责人：合规、风控、MLRO、ICT/安全、财务负责人

8.2 Fit & Proper 四维模型（交付版写法：每维“标准 + 证据 + 结论”）

1）声誉（Reputation）

• 无重大刑事记录、金融犯罪、重大诉讼/破产清算不良记录

• 无重大监管处罚或被拒牌历史（如有需解释整改）
  证据：无犯罪证明、诉讼/破产查询、监管记录声明、第三方负面信息报告

2）能力（Competence）

• 与岗位匹配的金融/支付/证券/交易/托管/合规/ICT 风险经验

• 能解释 MiCA 下：客户保护、利益冲突、外包治理、记录保存、市场监测
  证据：监管版简历、岗位说明书、过往项目证明、培训与持续胜任力计划

3）财务稳健性（Financial Soundness）

• 无严重债务风险、无异常资金往来
  证据：资信报告/银行资信、资产负债证明、主要纳税与收入证明（按风险分级）

4）诚信与独立性（Integrity & Independence）

• 利益冲突识别、回避机制、关联交易披露
  证据：COI 声明、关联方清单、股东协议摘要（是否影响治理独立性）

8.3 SoF/SoW（资金/财富来源）：“资金路径图 + 每一跳解释”是核心

SoW（财富来源）：你整体财富怎么形成（经营利润/分红/薪酬/股权退出/资产处置/投资收益），配套税务与审计证据。
SoF（资金来源）：本次投资/增资/收购的钱从哪里来，必须可审计、可解释。
交付建议：资金路径图（Source → Bank A → FX/Payment → Bank B → Capital Account），每一跳给：

• 付款主体与受款主体

• 金额、日期、用途说明

• 支撑文件（流水、合同、完税/审计、对价协议）

8.4 10%/重大持股与持续通知：把“触发器”写进制度与章程/股东协议

建议建立“持续通知清单”，至少包括：

• 股权达到/跨越 10% 或控制权变化

• UBO 变更、质押/信托/表决权协议变化

• 董事/高管/关键岗位变更

• 股东被调查、制裁、重大负面事件

西班牙 CNMV 已发布与 MiCA 相关的申请材料指引/手册，实际审查中会高度关注“持股结构透明度、控制权安排、资金来源可解释性”。

九、公司治理（Governance）与“三道防线”落地

——监管可问责模型

9.1 治理目标（监管视角的一句话）

CNMV 关注的不是“你有没有制度”，而是“当风险发生时，谁负责、谁决策、谁复核、证据在哪里”。

因此，治理设计必须实现 可问责（Accountability）+ 可审计（Auditability）+ 可执行（Operability）。

本文由 仁港永胜（香港）有限公司 拟定，并由 唐上永（唐生，Tang Shangyong）提供专业讲解。
（口径：MiCA（EU 2023/1114）+ 西班牙落地实践（CNMV 为核心主管；AML/登记体系并轨理解））

9.2 治理结构总览（建议交付架构）

三层治理 + 三道防线 + 委员会机制

（一）三层治理

1. 股东层：战略方向、资本承诺、重大交易/并购

2. 董事会（Management Body）：战略、风险偏好、重大外包/资本/任命

3. 管理层（Senior Management）：执行、监控、整改闭环

（二）三道防线（Three Lines of Defence）

• 第一道防线（1LOD｜业务线）
  交易、产品、客户运营的日常风险控制与自检

• 第二道防线（2LOD｜合规/风险/AML）
  制度制定、监控、独立复核、向董事会报告

• 第三道防线（3LOD｜内审）
  独立审计、抽样测试、缺陷评级与整改跟踪

监管红线：若 2LOD/3LOD 与业务 KPI 绑定，或无法直接向董事会汇报，极易被否定。

9.3 董事会与委员会设置（可简化但必须“可问责”）

最低可接受配置（中小型 CASP）：

• 董事会（BoD）

• 风险与合规委员会（可合并）

• 审计委员会（或外包内审直报董事会）

关键交付件（必须可审计）：

• Governance Charter（治理章程）

• Committee ToR（委员会职权范围）

• Delegation of Authority（DoA）矩阵（谁能批什么、金额上限、升级路径）

• 董事会/委员会 会议纪要模板（含决议编号与附件索引）

9.4 关键治理制度（CNMV 面谈高频关注）

• 利益冲突政策（COI）：员工/董事交易、关联交易、礼品招待、回避机制

• 风险偏好声明（Risk Appetite Statement）：市场/流动性/操作/ICT/合规

• 投诉与争议处理机制：分级、时限、升级、统计与复盘

• 记录保存政策：日志、录音、工单、链上证据留存与调取

• 重大事件与危机管理：安全事件、外包失败、资本不足

9.5 仁港永胜交付建议（治理）

• 把“制度”写成“流程 + 表单 + 证据编号”

• 每个关键决策 都能回放：提案 → 风险意见 → 决议 → 执行 → 复核

• 董事会纪要是“监管证据王”：务必标准化、编号化

十、关键人员与岗位胜任力

——面谈“必问模块”

10.1 面谈必考四类岗位（每类都要“履历 + 职责 + 证据链”）

1. 董事/高管（BoD / CEO / COO）

2. 合规负责人（Compliance Officer）

3. 反洗钱负责人（MLRO）

4. 信息安全/ICT 负责人（CISO / IT Security Owner）

10.2 董事/高管（Management Body）

监管关注点

• 是否理解 MiCA 下的 客户保护、外包治理、资本可持续性

• 是否真正参与决策（非挂名）

必备证据

• 监管版简历（突出金融/科技/合规经验）

• 职责说明（JD）+ 签批权限

• 会议纪要、应急授权链、值勤安排

面谈高频问法

• “当平台出现异常行情/安全事件，你第一步做什么？”

• “如何判断是否需要补充资本或暂停业务？”

10.3 合规负责人（Compliance）

职责

• MiCA 行为义务、披露、营销合规、投诉处理

• 年度合规计划与培训

必备证据

• 合规制度清单

• 合规意见模板、违规处置记录

• 年度合规报告样式

雷区

• 合规向业务汇报

• KPI 与成交额挂钩

10.4 MLRO（反洗钱负责人）

职责

• AML 风险评估、监控规则库、STR 决策

• Travel Rule 落地与审计留痕

必备证据

• 规则库与阈值说明

• STR 决策记录与复核痕迹

• 培训与独立审查计划

10.5 ICT / 信息安全负责人

职责

• 密钥/权限、日志、事件响应、BCP/DR

• 外包与供应链安全

必备证据

• 系统架构图（数据流/权限流）

• 渗透测试与整改报告

• 灾备演练记录

十一、所需材料清单（Master Checklist）A–I

——交付版｜对齐 CNMV 递交

原则：所有材料要能在 CNMV 审查时 “表格字段 → 附件编号 → 证据文件” 一一对应。

A｜申请人身份与公司法文件

• 公司注册文件、章程、NIF、LEI（如有）

• 集团穿透结构图（含关联方）

• 西班牙注册地址与办公证明

B｜业务模式与商业计划（BP）

• 3 年期 BP（产品、客户、收费、流程）

• 财务预测（P&L/CF/BS）+ 压力测试

C｜公司治理与内控

• Governance Charter、DoA

• 三道防线说明

• 董事会/委员会文件

D｜资本金与审慎保障

• 最低资本满足证明

• 固定开支测算

• 资本补充机制

E｜AML/CFT + Travel Rule

• AML 风险评估

• KYC/EDD/KYB

• STR 流程与记录

F｜ICT / DORA

• ICT 风险框架

• 日志/SIEM/BCP/DR

• 安全测试报告

G｜外包治理

• 外包清单与重要性分级

• 合同关键条款（审计权/退出）

• 第三方风险评估

H｜客户保护与市场行为

• 客户协议、风险披露

• 投诉处理与 ADR

• 营销合规政策

I｜监管流程与护照通报

• 申请表（ITS）

• 附件索引（Index）

• 护照通报策略（如适用）

十二、董事 / 股东 / 合规人员 / 管理人员要求

——什么情况下“符合申请人条件”（判定表｜交付版）

12.1 适用对象

• ≥10% 股东 / 控股股东 / UBO

• 董事、高级管理层

• 合规、MLRO、风险、ICT 负责人

12.2 Fit & Proper 四维判定

12.3 SoF / SoW（资金/财富来源）

必须可审计、可解释

• SoW：财富形成路径 + 税务/审计证明

• SoF：本次出资路径 + 银行流水

• 资金路径图（每一跳解释）

12.4 “可递交”判定清单（8 项）

1. 服务范围清晰、与 MiCA 映射一致

2. 西班牙实质运营成立

3. 资本与现金流 ≥ 12 个月

4. 治理与三道防线落地

5. AML/Travel Rule 可运行

6. ICT/安全证据完整

7. 外包可控可退出

8. 客户保护与披露就绪

满足以上 8 项，即可进入正式递交与面谈阶段。

十三、AML/CFT + Travel Rule（TFR）端到端运营设计

——从“制度合规”到“可运行系统”的交付版

13.1 西班牙 AML/CFT + MiCA 的并行监管逻辑

在西班牙，CASP 同时面对三条监管线：

1. MiCA（EU 2023/1114）

   • 对 CASP 的持续性义务、客户保护、治理与记录保存提出统一要求

2. TFR / Travel Rule（EU 2023/1113）

   • 对加密资产转账信息随行、VASP 对接与数据留存提出硬性义务

3. 西班牙 AML/CFT 体系

   • SEPBLAC（FIU）：STR/SAR 报送、检查与处罚

   • CNMV：CASP 行为合规、客户保护

   • Banco de España：部分支付/账户维度协同理解

监管共识：
不是“有没有 AML 手册”，而是 能否在现场/远程检查中演示“从客户进入 → 交易 → 告警 → 调查 → STR → 监管沟通”的完整证据链。

13.2 企业级 AML/CFT 风险评估（ER-RA）

必须提交且可复核，建议采用四维模型：

交付件

• 风险评估方法论（权重、评分、年度复核）

• 风险登记册（Risk Register）

• 董事会批准记录

13.3 客户尽调（CDD / EDD / KYB）

（一）CDD（基础尽调）

• 身份核验（ID + 生物识别）

• 居住地/税务居民

• 钱包归属声明

（二）EDD（增强尽调触发器）

• PEP / 高风险国家

• 大额或异常交易

• 复杂结构或代理开户

（三）KYB（法人客户）

• UBO 穿透至自然人

• 控制权、否决权披露

• 商业模式与资金路径

证据要求

• 尽调记录可回放

• 风险评级变更留痕

• 合规/MLRO 复核记录

13.4 交易监控（链上 + 链下）

监控体系必须“公司自有可解释”，不能完全外包。

核心模块

• 规则库（阈值 + 行为场景）

• 地址黑名单/高风险标签

• 行为模式识别（频繁拆单、跳转地址）

STR / SAR 流程

1. 告警触发

2. 合规调查与补充资料

3. MLRO 决策

4. 向 SEPBLAC 报送 STR

5. 证据留存与复盘

13.5 Travel Rule（TFR）端到端落地

监管最严模块之一

必须覆盖

• 发送方 / 接收方信息字段

• VASP-to-VASP 对接（API / TRP）

• 信息缺失的处置逻辑（拒绝 / 延迟 / 人工复核）

交付件

• TFR SOP（字段、流程、异常）

• 对接测试报告

• 留存与审计轨迹说明

13.6 培训、独立审查与持续改进

• 年度 AML 培训计划（分岗位）

• 独立审查 / 内审报告

• 缺陷整改闭环（Issue Log）

十四、客户保护与信息披露

——“写给客户看的合规”

14.1 客户保护的监管目标

CNMV 的核心问题只有一个：

“普通客户是否真正理解自己在做什么、风险在哪里、钱由谁保管？”

14.2 客户披露包（Disclosure Pack）

必须清晰、可理解、可留痕

包括

• 风险披露（价格波动、技术、监管）

• 费用披露（交易费、价差、托管费）

• 执行方式说明（撮合/经纪/OTC）

交付要求

• 网站披露版本

• 客户确认记录（click-wrap / 签署）

14.3 客户协议（T&Cs）

重点条款：

• 资产保管方式与责任边界

• 冻结 / 暂停 / 终止条件

• 争议解决与司法管辖

14.4 营销合规（Marketing Policy）

红线

• 禁止收益承诺

• 禁止误导性宣传

• 对零售客户分层展示风险

14.5 投诉与 ADR

• 投诉分级与时限

• 升级至 CNMV / ADR 机制

• 统计与改进报告

十五、平台类业务（Trading Platform）专项制度

——规则 + 监测 + 证据链

15.1 平台规则手册（核心交付）

• 订单类型与撮合逻辑

• 手续费结构

• 暂停交易 / 熔断机制

15.2 市场监测与滥用防控

• 刷量、操纵、关联账户

• 异常行情自动告警

• 内幕信息墙（Chinese Wall）

15.3 上币 / 下币治理

• 上币评估维度（技术、合规、风险）

• 委员会决策机制

• 下币与紧急下架流程

15.4 审计与证据链

• 不可篡改日志

• 时间同步

• 取证与监管调取流程

十六、托管（Custody）专项制度

——资产隔离、密钥、对账、责任边界

16.1 客户资产隔离

• 链上地址隔离

• 法币客户资金隔离账户

• 内部账务分离

16.2 密钥管理（Key Management）

• HSM / MPC / 多签

• 权限分层与轮换

• 灾备与应急恢复

16.3 对账与审计

• 日常对账频率

• 差异处理流程

• 外部审计接口

16.4 托管协议与责任边界

• 赔付与免责

• 第三方托管安排

• 保险/保障机制（如适用）

16.5 转出与取现控制

• 白名单

• 延迟生效

• 多人审批

唐生结语（阶段性）

以上 第十三—第十六章 已构成 西班牙 CASP 审查中最“硬核”的运营与系统模块，也是 CNMV / SEPBLAC 最容易补件与深挖的部分。

十七、兑换与执行（Exchange / Execution）专项制度

——公平定价、最佳执行与冲突管理

17.1 监管关注的核心问题（CNMV 视角）

客户是否以“公平、透明、可预期”的价格完成交易？
CASP 是否利用信息或系统优势损害客户利益？

因此，兑换与执行制度必须覆盖 定价 → 执行 → 对账 → 复核 → 申诉 的完整链路。

17.2 报价与定价机制（Pricing Mechanism）

（一）报价来源

• 单一或多源流动性提供方（LP）

• 价格聚合逻辑与权重

• 异常价格过滤规则（outlier filter）

（二）价差与费用披露

• 点差（spread）是否固定/浮动

• 手续费是否叠加

• 对零售客户的“全成本披露”（All-in Cost）

交付件

• Pricing Policy

• 报价源说明文件

• 异常报价处置日志

17.3 最佳执行与公平执行（Best / Fair Execution）

适用场景

• 经纪模式

• 代客执行

• OTC / RFQ

制度要点

• 执行优先级（价格 > 速度 > 成交概率）

• 滑点容忍度与披露

• 客户指令处理顺序（FIFO）

监管证据

• Best Execution Policy

• 成交质量报告（定期抽样）

• 客户申诉与纠偏记录

17.4 利益冲突与自营交易隔离

高风险场景

• CASP 同时做自营与客户交易

• 内部做市 / 对冲

控制措施

• 信息隔离（Chinese Wall）

• 账户与钱包隔离

• 禁止抢跑（front-running）

17.5 对账、纠错与客户赔付

• 日终对账

• 错误成交冲正流程

• 客户通知与补偿规则

十八、信息安全、系统合规与“可演示证据链”

——决定审批效率的核心模块

18.1 西班牙 + 欧盟对 ICT 的监管逻辑

• MiCA：系统必须支持合规运营与记录保存

• DORA：ICT 风险、外包、韧性、事件通报

• CNMV 实务：“现场可演示”优于“纸面描述”

18.2 系统架构与权限设计

必备图件

• 系统架构图（业务流 / 数据流）

• 权限流与审批链

• 钱包与账务映射关系

权限控制

• RBAC 最小权限

• 特权账号审计

• 定期权限复核

18.3 日志、监控与证据留存

• 不可篡改日志（WORM）

• 时间同步（NTP）

• 检索、导出与监管调取流程

18.4 安全测试与事件响应

• 渗透测试 / 代码审计

• 漏洞管理与整改闭环

• 重大事件分级与通报（DORA）

18.5 BCP / DR（业务连续性与灾备）

• RTO / RPO 定义

• 演练计划与报告

• 真实恢复证明

十九、外包与第三方治理（Outsourcing）+ 供应链风险

——“控制权是否仍在你手里”

19.1 外包监管原则（MiCA + DORA）

• 外包不等于责任外包

• 关键职能不得失控

19.2 外包清单与重要性分级

• 云服务

• 托管/钱包

• KYC / 链上分析

• 客服 / IT 运维

19.3 合同必备条款（监管红线）

• 审计权与监管可访问性

• 数据驻留与安全

• 分包限制

• 退出与迁移权

19.4 第三方风险管理

• 尽调（财务/安全/合规）

• SLA / KPI

• 年度评估与替代方案

二十、数据治理（含税务/报告导向）与记录保存

——从 MiCA 到 DAC8

20.1 数据治理的监管背景

• MiCA：记录保存、可审计

• DAC8：加密资产税务信息交换

• 西班牙 AEAT：税务一致性与可追溯性

20.2 三层数据治理模型

1. 字段层：KYC、交易、TFR、税务字段统一

2. 留存层：日志、证据封存、访问控制

3. 报告层：监管/税务/管理报告自动抽取

20.3 记录保存期限与调取

• 保存年限（通常 ≥5–10 年）

• 调取权限与流程

• 数据完整性证明

二十一、投诉处理、ADR 与争议解决

——消费者保护的“最后一公里”

21.1 投诉机制的监管期望

投诉不是风险，而是风险信号。

21.2 投诉处理流程

• 分类（一般 / 严重）

• 时限（受理、调查、回复）

• 升级路径（合规 → 管理层）

21.3 ADR 与监管沟通

• ADR 机制适用情形

• 向 CNMV 报告重大投诉

• 统计与根因分析

21.4 证据留存

• 客服录音

• 工单系统

• 处理结论与整改

二十二、财务模型、定价与“可持续经营”证明

——BdP / CNMV 审慎审查核心

22.1 财务模型要求（至少 3 年）

• P&L、现金流、资产负债表

• 按服务线拆分收入与成本

22.2 合规成本写实

必须纳入

• AML 工具

• Travel Rule

• 安全测试

• 审计与外包治理

22.3 压力测试

• 市场极端波动

• 安全事件

• 监管要求升级

22.4 资本补充与应急计划

• 触发条件

• 股东承诺函

• 融资路径

唐生结论

至此，第十七—第二十二章 已完整覆盖 西班牙 CASP 在运营、技术、外包、数据、客户与财务层面的全部“硬核审查点”，并与前文治理、AML、平台、托管模块形成 闭环证据链。

——“出问题也能善后”的监管底线

23.1 监管为何要求 Wind-down Plan

在 MiCA 框架下，退出计划并非“停业说明”，而是客户保护与金融稳定工具。
CNMV 关注三点：

1. 客户资产是否能安全、迅速处置

2. 关键服务是否有序停止/移交

3. 监管与客户沟通是否可控、可回放

23.2 触发条件（Triggers）

必须清晰、可量化：

• 资本或审慎保障低于监管阈值

• 重大安全事件（私钥泄露、系统不可用）

• 关键外包失效且无法替代

• 监管要求/牌照被限制或撤销

• 股东或治理层发生不可逆变化

交付件：Trigger 清单 + 决策升级路径（谁决定、多久内）

23.3 客户资产处置方案（核心）

（一）托管资产

• 链上资产迁移到第三方合格托管人

• 私钥/签名权的交接或销毁证明

• 迁移前后 双重对账 与客户确认

（二）法币资金

• 客户隔离账户清算

• 银行对账与支付指令审计轨迹

（三）未结算交易

• 撮合中止

• 成交确认/取消规则

• 客户补偿机制（如适用）

23.4 运营与人员连续性

• 关键岗位备份（合规、MLRO、ICT）

• 第三方替代方案（云/托管/客服）

• 员工沟通与留任激励（避免“退出期操作风险”）

23.5 对外沟通与信息披露

• 监管通报模板（CNMV/SEPBLAC）

• 客户公告模板（多语言、FAQ）

• 媒体与市场沟通口径（防止恐慌）

23.6 数据与档案封存

• KYC/交易/日志/STR 资料封存

• 调取与审计权限保留

• 保存年限与责任人

23.7 与 BCP/DR 的衔接

• BCP/DR 解决“临时中断”

• Wind-down 解决“永久退出”
  二者需在制度、演练与证据上形成闭环。

二十四、授权申请流程（ITS 表格化递交）与补件打法

——RFI-ready 的项目管理方法

24.1 西班牙 CASP 授权路径（实操）

1. 确定 Home Member State：西班牙

2. 向 CNMV 递交 MiCA CASP 授权申请（ITS 表格 + 附件）

3. 并行满足 AML/登记要求（SEPBLAC 体系）

4. 补件（RFI）—面谈—最终决定

关键点：CNMV 以“表格化信息 + 证据附件”审查，不接受“纯叙述”。

24.2 ITS 表格化递交的核心原则

• 每一字段 必须能定位到附件编号

• 同一信息 不得在不同附件中矛盾

• 表格、BP、制度、系统证据 口径一致

交付件

• ITS 主表

• 附件 Index（字段 → 文件 → 页码/段落）

24.3 常见 RFI（补件）高频主题

• 实质运营不足（人员/决策不在西班牙）

• 资金来源解释不完整

• AML/Travel Rule 证据链不闭合

• 平台/托管技术说明不足

• 外包合同缺失审计权/退出权

• 财务模型无法覆盖合规成本

24.4 仁港永胜 RFI 应答打法（标准化）

每一条补件统一格式：

1. 监管问题复述

2. 法规/条款依据

3. 当前状态说明

4. 已采取/拟采取改进措施

5. 证据附件编号

6. 责任人 + 完成日期

监管偏好：看到“问题 → 行动 → 证据 → 责任”的闭环。

24.5 面谈准备（如安排）

• 30–50 个核心问题标准答案

• 岗位分工与升级路径演示

• 系统现场演示（日志/权限/监控）

二十五、处罚与合规风险地图（MiCA 红线清单）

——“不可触碰”的监管底线

25.1 MiCA + 西班牙执行的处罚逻辑

• 高额罚款（固定金额 + 营业额比例）

• 公开谴责（reputational risk）

• 业务限制/撤销授权

• 个人责任（董事/高管）

25.2 西班牙 CASP 高风险红线（示例）

1. 未授权经营 / 超范围经营

2. 客户资产未隔离或挪用

3. 误导性营销或虚假披露

4. Travel Rule 不落地导致信息缺失

5. AML/STR 义务缺失或迟报

6. 关键外包失控引发安全事件

7. 重大信息/事件未及时通报

25.3 风险地图（Risk Heat Map）

• 按 发生概率 × 影响程度 分级

• 对应 预防控制 + 应急措施 + 责任人

交付件

• 风险地图

• 年度风险评估报告

• 董事会审议记录

二十六、仁港永胜交付方案（结论与行动建议）

——从“可获批”到“可持续运营”

26.1 结论（给管理层的一句话）

西班牙 CASP 的关键不在“材料厚度”，而在于：
把 MiCA 的制度要求，转化为 CNMV 能看懂、能验证、能复核的“运营证据链”。

26.2 行动建议（可执行清单）

1. 先定服务边界：明确申请的 MiCA 服务清单

2. 双口径材料一次成型：行为（CNMV）+ 审慎/AML（SEPBLAC）

3. 系统证据链前置：日志、权限、监控、Travel Rule 可演示

4. 资本与现金流写实：合规成本纳入压力测试

5. 把 RFI 当项目阶段：不是问题，是审查必经路径

6. 护照通报作为第二阶段工程：先稳拿西班牙，再扩 EU

26.3 选择仁港永胜的核心优势

• 监管导向写作能力强：把技术/风控翻译成监管语言

• 模板与证据库成熟：Checklist（A–I）、BP、AML/TFR、平台规则、外包/退出条款

• RFI 与面谈经验：减少反复补件，提高一次性通过率

• 跨境与护照经验：西班牙持牌 → 欧盟护照 → 集团治理

26.4 关于仁港永胜

仁港永胜（香港）有限公司
长期为加密资产平台、支付机构、金融科技公司提供：

• MiCA CASP 授权与持续合规

• AML/CFT 与 Travel Rule 体系搭建

• 监管面谈、检查与整改支持

• 欧盟护照与跨境展业结构设计

26.5 联系方式

唐上永（唐生，Tang Shangyong）｜业务经理

---

26.6 免责声明

本文依据欧盟及西班牙最新公开法规与监管实践整理，仅作一般性合规筹备参考，不构成法律意见或获批保证。具体申请结果以 CNMV、SEPBLAC 及相关主管机关的最终审查为准。仁港永胜保留对内容更新与修订的权利。

本文由仁港永胜（香港）有限公司拟定，并由唐生（Tang Shangyong）提供专业讲解。

如需进一步协助，包括西班牙 Spain（MiCA）CASP 申请／收购、合规指导及后续维护服务，请联系仁港永胜（www.jrp-hk.com，手机：15920002080 / 852-92984213）获取专业支持，以确保业务在 MiCA 框架下合法合规、稳健运营。