首页 > 常见问题

立陶宛 Lithuania（MiCA）加密资产服务提供商（CASP）牌照常见问题，Lithuanian crypto license FAQ

时间：2025-12-25 10:29:15 阅读：221

立陶宛 Lithuania（MiCA）加密资产服务提供商（CASP）牌照

常见问题（FAQ 大全）Q1–Q300

Lithuanian (MiCA) Crypto Asset Service Provider (CASP) License Frequently Asked Questions

本文由 仁港永胜（香港）有限公司拟定，并由唐生提供专业讲解。

牌照名称：加密资产服务提供商牌照（Crypto-Asset Service Provider, CASP）
适用框架：MiCA / MiCAR（Regulation (EU) 2023/1114）
主管机关（立陶宛）：Bank of Lithuania / Lietuvos bankas（国家主管机关 NCA）

监管口径提示：在立陶宛，MiCA 相关的 CASP 授权/许可，由 立陶宛央行 Bank of Lithuania（Lietuvos bankas）承担国家主管机关角色，并在其官网设有“CASP 授权”入口与说明。
过渡期提示：ESMA 公布的成员国“grandfathering（过渡）”清单中，Lithuania 为 12 个月（相对于 MiCA 允许的最长至 2026-07-01 的框架，各国可缩短）。

✅ 点击这里可以下载 PDF 文件：立陶宛 Lithuania（MiCA）加密资产服务提供商（CASP）牌照申请注册指南
✅ 点击这里可以下载 PDF 文件：立陶宛 Lithuania（MiCA）加密资产服务提供商（CASP）牌照常见问题（FAQ 大全）
✅ 点击这里可以下载 PDF 文件：关于仁港永胜

（Lithuania（MiCA）crypto license FAQ｜本文由仁港永胜唐生拟定讲解）

A. 牌照范围与适用（Q1–Q25）

Q1｜CASP 是什么？与立陶宛过去的 VASP 注册有什么区别？
A1｜CASP 是 MiCA 体系下对“加密资产服务提供者”的统一欧盟牌照概念（需授权/许可），强调资本、治理、客户保护、ICT 与持续报告等全栈要求。MiCA 的“crypto-asset services”在法规中有明确定义与清单。

Q2｜哪些业务一定要 CASP？钱包/托管/兑换/平台/转账/投顾如何界定？
A2｜凡属于 MiCA 列表服务（如托管、交易平台、换汇、执行指令、转移等）即进入 CASP 许可范围；是否“技术提供”不关键，关键在于你是否对客户提供服务并产生控制/影响。

Q3｜仅做 B2B API（给别家交易所/钱包提供接口）也算 CASP 吗？
A3｜看两点：1）你是否直接面向最终客户（零售/机构）提供服务；2）你是否在关键环节“持有/控制客户资产或交易指令”。纯技术外包更像 ICT/外包供应商，但若你在链路中承担“执行/托管/撮合”等角色，仍可能被认定为 CASP。

Q4｜DeFi/非托管钱包是否豁免？
A4｜原则上“完全去中心化、无可识别服务提供者”的形态可能不落入传统许可逻辑，但现实项目往往存在前端运营、费用收取、治理控制、客户支持等“可归责主体”；一旦存在主体性运营，就需要评估是否构成 CASP 或触发其他监管义务。

Q5｜反向招揽（Reverse Solicitation）怎么判断？
A5｜核心是：客户是否主动、你是否未对该成员国进行营销招揽。广告投放、当地语言网站、地推、KOL、SEO、当地电话/客服、当地付款方式等，都可能被视为主动招揽证据。

Q6｜做 OTC（场外撮合）需要 CASP 吗？
A6｜若你对客户提供“执行指令/撮合/兑换/转移”等服务，一般会落入 CASP；如果你只是信息撮合但不触碰资金/资产、不参与结算且不对交易结果负责，仍需谨慎评估（监管通常会穿透看实质）。

Q7｜做托管（Custody）与做钱包（Wallet）有什么差别？
A7｜“托管/管理”看你是否代表客户控制私钥/签名或能影响资产转移；“非托管钱包”若私钥完全由客户掌握，你仅提供软件工具，则监管负担明显不同，但仍会涉及 AML、制裁、市场营销合规等问题。

Q8｜做法币出入金（Fiat on/off ramp）一定要 CASP 吗？
A8｜加密↔法币兑换属于 MiCA 服务清单之一；此外还可能触发支付机构/EMI、反洗钱、资金传输规则（含 Travel Rule）等协同要求。

Q9｜做加密到加密兑换（swap）算 CASP 吗？
A9｜若你以业务形式提供“exchange crypto-assets for other crypto-assets”，通常属于 CASP；若完全去中心化且无主体运营，仍需审视“是否存在可归责主体”。

Q10｜做交易平台（Order book / matching）算 CASP 吗？
A10｜属于 MiCA 明确列出的“operation of a trading platform”。平台类监管关注更重：市场诚信、撮合规则、上币治理、冲突管理、客户资产隔离、系统韧性等。

Q11｜做经纪（Broker）需要哪类服务授权？
A11｜经纪常落入“接收并传递指令/执行指令/提供建议/做兑换”等组合；需要把业务动作拆成服务清单，再决定申请范围与资本档。

Q12｜做资管（组合管理）算 CASP 吗？
A12｜若你提供 crypto-asset portfolio management 或投资建议，属于 MiCA 服务范围；但也可能与传统金融牌照（如 MiFID 资产管理/投顾）存在边界重叠，需做监管映射与“持牌组合设计”。

Q13｜做上币（Listing）或代币发行顾问算 CASP 吗？
A13｜单纯顾问可能不属于 CASP，但若涉及“placing of crypto-assets”或平台上架、承销/分销相关职能，就可能进入许可边界。

Q14｜做 staking / validator 服务是否属于 CASP？
A14｜取决于是否构成“托管/管理”“转移服务”或其他金融性质服务；若你代客户控制资产并进行质押，监管通常会更倾向于把它视作可监管服务链路的一部分。

Q15｜做托管+借贷（借币/理财）会怎样？
A15｜MiCA 主要覆盖加密资产服务与发行/披露框架；借贷、衍生品、收益型产品可能触发其他欧盟/成员国金融法规（例如证券、衍生品、消费信贷、存款替代品监管等），需结构化拆分。

Q16｜NFT 业务是否需要 CASP？
A16｜MiCA 对 NFT 有特定豁免与“分拆发行/类同质化”风险点。若 NFT 具有可替代性或呈系列化/可交易性强，可能被纳入监管。

Q17｜稳定币（ART/EMT）相关业务会更难吗？
A17｜若你提供与 ART/EMT 相关服务，除了 CASP，还可能涉及发行人义务、赎回机制、储备资产、披露等更强要求；监管审查深度通常上一个等级。

Q18｜是否可以只申请“部分服务”？
A18｜可以，且建议“按真实商业模型最小化持牌范围”，避免为了市场宣传把服务写得过宽，导致资本、人员、系统与合规成本陡增。

Q19｜一家公司能做多种服务吗？
A19｜可以，但要能证明：治理、风控、合规、IT 与运营能力可以覆盖全部服务链路；并具备“冲突管理与隔离机制”（尤其平台自营/做市/经纪同体）。

Q20｜同集团多实体怎么安排更稳？
A20｜常见做法：EU 持牌主体作为 CASP，技术/研发/营销放在集团其他实体，通过外包协议与治理控制实现“可控外包”；同时要处理数据跨境、访问权限与审计权。

Q21｜在立陶宛申请 CASP 的主管机关是谁？
A21｜立陶宛央行 Lietuvos bankas 公开说明：拟提供加密资产服务者需向其提交文件并获得批准/牌照（视主体与服务而定）。

Q22｜立陶宛对 CASP 的基本态度是什么？
A22｜总体偏“实质审查”：强调了解 MiCA/ESMA/EBA 技术标准与指南，并要求准备充分的治理、AML 与 ICT 证据链。

Q23｜MiCA 全面适用时间点与 Travel Rule 生效点？
A23｜MiCA 为欧盟统一规则；Travel Rule 对“资金与加密资产转移信息”要求在欧盟层面从 2024/12/30 起适用，且 EBA 有相应指南。

Q24｜是否存在“门槛较低的临时许可”？
A24｜成员国可能有过渡安排，但 MiCA 下 CASP 的本质仍是“拿到授权才能做”；是否有过渡窗口需结合你是否原 VASP、以及立陶宛当期执行口径（建议走 Pre-Application 对齐）。

Q25｜最常见的误区是什么？
A25｜（1）把文件当作文案，不做可演示证据；（2）外包不可控；（3）把合规官/MLRO当挂名；（4）把钱包与权限设计成“讲得通但跑不通”。

B. 公司与实质要求（Q26–Q45）

Q26｜必须在立陶宛设公司吗？
A26｜作为在立陶宛受理并授权的 CASP，通常需要在当地设立主体并满足实质经营（办公、管理、关键人员、决策与控制链）。

Q27｜是否必须有办公室/本地员工？
A27｜原则上需有“可证明的实质存在”：至少管理层与关键职能能支撑持续合规。是否需要大量员工取决于业务规模，但“空壳+全外包”风险极高。

Q28｜关键岗位能否外包？外包如何“可控”？
A28｜可以外包部分职能（如链上分析、制裁筛查、云服务），但必须：
1）你保留最终决策权；2）有 SLA/KPI 与审计权；3）有退出/迁移计划；4）供应商尽调与持续监督留痕。

Q29｜董事会如何配置更稳妥？
A29｜建议至少覆盖“金融合规、风险/审计、技术安全、业务运营”四类能力；并设置合规/风险委员会（或等效机制）形成固定节奏纪要。

Q30｜公司治理要准备哪些核心文件？
A30｜组织架构图、三道防线、授权矩阵、董事会章程/议事规则、利益冲突政策、关联交易政策、外包治理政策、内部审计计划。

Q31｜Place of Effective Management（实际管理地）怎么证明？
A31｜看证据链：会议纪要、决策流程、审批系统、关键人员所在地、签字权、服务器与日志访问控制、业务运营与客户支持位置等。

Q32｜可以让集团母公司董事“远程兼任”吗？
A32｜可行但要谨慎：监管关注“时间投入与实际履职”。你要提供 Time Commitment、职责说明、参与会议与审批的证据。

Q33｜需要公司秘书/法务岗位吗？
A33｜建议设“公司治理支持”职能（可外包），确保会议纪要、合规台账、合同与披露文件版本控制可持续。

Q34｜是否需要本地 MLRO？
A34｜并非绝对，但 MLRO 必须能“及时决策、调取数据、指导处置、对接监管”。若 MLRO 不在当地，需要补强：本地合规联络人、明确授权、7x24 处置机制与演练证据。

Q35｜合规官与 MLRO 可以是同一人吗？
A35｜小规模初期可能被接受，但你必须证明：职责冲突可管理、工作量可承受、替补机制完善（Deputy/backup），并且“抽检与第二道防线”不失效。

Q36｜需要内部审计功能吗？
A36｜需要“独立检查”机制：可以是内部审计或外部独立审查，但必须有年度计划、审计报告与整改闭环。

Q37｜业务连续性（BCP）要求到什么程度？
A37｜要做到：关键业务识别、RTO/RPO、灾备架构、演练计划与演练报告、事件复盘与整改台账（监管最看证据）。

Q38｜可以先不做托管，拿证后再加吗？
A38｜可以，但新增服务通常需要变更申报/批准，且托管会显著提高 ICT、私钥管理、客户资产保护与资本要求，建议一开始就做路线图与差距评估。

Q39｜客户资金/客户加密资产要隔离吗？
A39｜是。客户资产隔离是核心审查点：账户隔离、链上地址隔离、账务隔离、权限隔离、对账与异常处置流程都要能演示。

Q40｜是否需要保险（Professional Indemnity / Crime Insurance）？
A40｜视服务类型与商业风险而定。平台/托管/大额机构客户项目强烈建议配置，并在申请包中说明保障逻辑与覆盖范围。

Q41｜可以用共享办公室/虚拟办公室吗？
A41｜通常不建议。监管会看实质经营与信息安全；若使用共享办公，需要补强访问控制、文件保管、会议与客户资料隔离措施。

Q42｜数据（含 KYC/交易/日志）可以放在欧盟外吗？
A42｜涉及 GDPR 与监管可访问性：即便可跨境，也需确保：监管/审计可访问、加密与权限控制、数据处理协议、跨境传输合法基础与退出机制。

Q43｜是否必须有本地客服？
A43｜不必然，但必须满足：客户投诉处理时限、语言与可达性、重大事件通知与记录留存。

Q44｜最低资本金到底是多少？
A44｜MiCA 对 CASP 有“永久最低资本要求”，不同服务通常在 5万–15万欧元区间（以服务类型匹配到 Annex/条款）。

Q45｜除了最低资本，还要准备什么财务材料？
A45｜三年预测（P/L、BS、现金流）、资本来源说明、成本结构（合规/IT/审计/外包）、压力测试假设、持续经营与流动性管理说明。

C. 股东/UBO/资金来源（Q46–Q75）

Q46｜重大持股（Qualifying holding）如何认定？
A46｜一般按“直接或间接对公司产生重大影响/控制”的持股或表决权来判断（常见以 10%、20%、30%、50% 等关键节点做穿透审查），最终以监管审查口径为准。

Q47｜UBO 穿透到自然人要到什么层级？
A47｜必须穿透到最终自然人受益所有人，并解释每一层公司/信托/合伙结构的控制权来源；若存在 nominee/协议控制，必须披露。

Q48｜资金来源（SoF）与财富来源（SoW）分别怎么写？
A48｜SoF 解释“本次出资资金从哪里来”（银行流水、分红、出售资产、融资等）；SoW 解释“你长期财富如何形成”（经营收入、股权收益、薪资等）。两者都要可验证。

Q49｜可以用加密资产入资吗？
A49｜实务上难度高：需要解决估值、来源合法性证明、反洗钱解释、入账与审计可接受性。建议优先用法币入资；若必须用加密，需准备链上来源分析、交易所出入金证明、税务与会计意见。

Q50｜股东有加密行业背景是加分还是加风险？
A50｜两面：有经验是加分，但若关联高风险交易所、制裁风险、过往被调查/处罚，会显著增加审查深度。关键是“透明披露 + 风险隔离 + 合规证据”。

Q51｜股东有过监管处罚史是否必死？
A51｜不必然。你需要：完整披露、处罚背景与整改证明、当前治理隔离、无持续风险的证据；隐瞒通常比处罚本身更致命。

Q52｜股权结构复杂（多层控股/BVI/Cayman）会被拒吗？
A52｜不一定，但会增加：穿透成本、受益人核验、资金路径解释、税务与数据跨境审查。建议用“结构简化 + 控制权清晰 + 文件齐全”降低阻力。

Q53｜需要提供哪些股东文件？
A53｜身份证明、住址证明、无犯罪/诚信声明（视要求）、简历/背景说明、资金/财富来源、股权结构图、关联方清单、制裁与负面新闻筛查报告。

Q54｜企业股东还要提供什么？
A54｜母公司注册文件、董事名册、股东名册、审计报表/管理账、资金来源证明、集团结构图、合规/牌照情况说明。

Q55｜是否需要做第三方尽调（EDD report）？
A55｜强烈建议做：尤其是跨国股东/高净值/政治敏感或媒体曝光度高的 UBO。监管更信任“可验证的第三方材料”。

Q56｜资金路径怎么设计最稳？
A56｜“单一路径、少中转、全银行化”最稳：UBO/股东账户 → 公司资本账户；避免现金、避免多次跳转、避免混入交易所资金池。

Q57｜能否用借款充当资本？
A57｜通常不建议。资本强调“自有、稳定、可持续”；借款会引发偿还压力与真实资本质量疑虑。

Q58｜是否要披露关联交易与关联方？
A58｜要。关联交易会触发利益冲突与客户公平性审查；需有审批机制与定价原则。

Q59｜UBO 变更要不要报？
A59｜要。重大持股/控制权变更通常属于重大事项，需事前沟通并按要求申请/通知。

Q60｜股东是基金/信托结构怎么办？
A60｜必须解释控制链：受托人、保护人、投资委员会、最终受益人；提供信托契约/基金文件要点摘要及授权与受益证明。

Q61｜股东来自高风险司法辖区还能做吗？
A61｜能做但审查更严格：需加强 EDD、资金来源证明、制裁与腐败风险解释，并可能被要求提供更多辅助材料或采取结构隔离。

Q62｜是否需要声明“无制裁关联”？
A62｜通常需要：对 UBO/董事/关键人员及主要业务伙伴做制裁筛查，并留存筛查证据与周期复核计划。

Q63｜股东是否必须具备金融实力？
A63｜需要证明“有能力长期支持运营”：不仅是入资，还包括持续经营资本、合规与IT预算、潜在赔付与安全事件成本的承担能力。

Q64｜股东可以是个人吗？
A64｜可以，但个人股东的 SoW/SoF、税务合规、媒体风险通常更敏感，材料要更完备。

Q65｜是否要提供税务居民证明？
A65｜视案件而定。若涉及跨境税务透明度/报告（例如 DAC8 相关数据治理），提前准备会更稳。

Q66｜若股东同时拥有交易所/OTC/做市业务，会冲突吗？
A66｜会触发冲突管理：你需要解释信息隔离、防止市场操纵、关联交易限制、客户公平执行等机制。

Q67｜如何证明“控制权”结构清晰？
A67｜用三件套：股权穿透图（含投票权）、董事委任权说明、股东协议关键条款摘要（否决权/表决安排）。

Q68｜隐名股东/代持能接受吗？
A68｜高风险。监管通常要求透明披露真实受益人；代持结构会显著增加拒批概率。

Q69｜股东资金里混有加密交易收益，怎么解释？
A69｜提供：交易所对账单、税务申报/会计处理、链上追踪报告、出入金路径；并证明不涉及混币/黑产资金。

Q70｜股东必须提供无犯罪记录吗？
A70｜不同情形要求不同。即便不强制，建议关键自然人准备可替代的诚信证明与第三方背景调查报告，以减少补件。

Q71｜股东过往参与过失败项目/爆雷项目，影响大吗？
A71｜会影响风险评分。关键在你是否能提供：角色说明、是否涉诉、是否整改、你现在的治理隔离与风险控制证据。

Q72｜股东能否来自欧盟外？
A72｜可以，但跨境穿透、资金来源、制裁与数据跨境会更严格；建议结构上保持“欧盟持牌主体治理独立”。

Q73｜监管会看媒体舆情吗？
A73｜会。负面新闻、诉讼、关联方争议都会触发 RFI；建议事前准备“解释备忘录 + 证据附件”。

Q74｜股东出资后能不能很快抽走？
A74｜不建议。资本稳定性是持续监管重点；频繁分红/抽资会触发资本充足与持续经营质疑。

Q75｜股东尽调最常缺的材料是什么？
A75｜（1）SoW 证据不足；（2）资金路径不清；（3）集团结构缺关键层；（4）关联方清单缺失；（5）负面新闻未解释。

D. 董事/高管/关键人员 Fit & Proper（Q76–Q105）

Q76｜董事需要哪些经验？
A76｜至少要覆盖：金融合规/风险、运营管理、技术/安全或行业经验；对平台/托管项目，监管会强看“技术治理与风险文化”。

Q77｜合规官与 MLRO 是否必须本地？
A77｜不必然，但必须“可履职、可响应、可取证”。若不在本地，需提供替代机制（本地联络、授权、轮值、演练证据）。

Q78｜允许一人兼任合规官+MLRO吗？
A78｜可能被接受但会被追问：工作量、独立性、第二道防线有效性、替补安排。建议至少设 Deputy MLRO 或合规助理。

Q79｜面谈会问什么？如何准备“可验证证据”？
A79｜常问：

你如何设定 KYC 分层与 EDD？
你如何判断 STR？为什么报/不报？
你如何定义高风险交易行为？
准备证据：真实案例复盘、流程图、监控规则样例、演练记录、会议纪要。

Q80｜有过监管处罚史是否必死？
A80｜不必然，但必须披露并说明整改与当前控制；隐瞒更严重。

Q81｜关键岗位清单通常包括哪些？
A81｜董事、高管、合规官、MLRO、风险负责人、IT安全负责人、钱包/托管负责人、运营负责人、客户投诉负责人。

Q82｜关键人员需要提交哪些文件？
A82｜CV、学历/资质、推荐信或雇主证明、无利益冲突声明、时间投入声明、诚信声明、过往监管沟通/处罚披露、住址证明等。

Q83｜监管如何判断“时间投入不足”？
A83｜看你是否多地兼职、是否担任多个受规管实体角色、是否有 7x24 处置责任；以及你能否提供日程安排与替补机制。

Q84｜技术负责人需要到什么水平？
A84｜平台/托管项目技术负责人应能解释：权限分层、多签、日志、BCP/DR、渗透测试与漏洞管理、事故响应（含复盘机制）。

Q85｜钱包私钥管理岗位需要什么材料？
A85｜岗位职责说明、签名流程、权限矩阵、多签策略、操作日志样例、冷钱包管理 SOP、异常处置机制与演练记录。

Q86｜能否用外部顾问担任合规官/MLRO？
A86｜可行但要保证：授权明确、可访问数据、能独立决策、记录留存、对监管问询及时响应；并避免“挂名顾问”。

Q87｜董事会需要多少人？
A87｜看规模与服务复杂度；建议至少 2–3 人并具备互补能力。平台/托管类建议更完整的治理配置。

Q88｜董事必须具备加密从业经验吗？
A88｜不必然，但必须具备足够认知与治理能力；若缺加密经验，需用“技术委员会/外部专家 + 内部培训与纪要”补强。

Q89｜合规官最常被问到什么？
A89｜合规年度计划、抽检机制、缺陷整改闭环、营销合规、投诉处理、外包可控、利益冲突与关联交易管理。

Q90｜MLRO 最常被问到什么？
A90｜风险评估方法、KYC 分层逻辑、STR 判断标准、制裁命中处置、交易监控有效性、Travel Rule 落地。

Q91｜是否需要“关键人员更替计划”？
A91｜建议准备：岗位继任与替补机制、交接清单、权限回收流程、重大岗位空缺应急方案。

Q92｜关键人员变更要不要报？
A92｜通常属于重大事项，需按监管要求提前通知/申请批准，避免被视为治理失控。

Q93｜董事/高管的 KPI 与合规目标要写吗？
A93｜建议写入治理文件：合规文化与风险偏好如何落地，避免“只追业务不顾风险”的印象。

Q94｜能否由集团总部直接控制全部运营？
A94｜不建议。监管强调本地治理与责任可归属；总部可支持，但本地必须有真实管理与决策证据。

Q95｜Fit & Proper 如何自检？
A95｜用四类：诚信（Integrity）、能力（Competence）、经验（Experience）、财务稳健（Financial soundness）逐项列证据，并准备“解释备忘录”。

Q96｜如果关键岗位候选人经验不足怎么办？
A96｜通过：岗位拆分（双人制）、引入资深副手、外部顾问加固、加强制度与演练证据，降低单点风险。

Q97｜是否要做背景调查（Background Check）？
A97｜强烈建议。尤其对董事/MLRO/钱包负责人，第三方背调可显著降低补件与质疑。

Q98｜董事会会议需要留存什么？
A98｜议程、材料包、纪要、决议、行动项跟踪表；并与制度（例如 AML 风险评估、ICT 演练）形成闭环证据。

Q99｜能否用“名义董事”满足形式？
A99｜高风险。监管会通过面谈与证据穿透，识别“是否真实履职”。

Q100｜关键人员是否需要持牌/证书？
A100｜MiCA 不等同某些国家的考试制，但行业资质（合规/审计/安全）与过往受监管经验会显著加分。

Q101｜销售与营销人员也要纳入 Fit & Proper 吗？
A101｜至少需要培训、话术库与合规审查机制。若面向零售客户，误导营销会是高风险点。

Q102｜客服岗位对监管重要吗？
A102｜重要。投诉处理、客户资产问题、可疑交易线索往往从客服触发；需要 SOP、升级机制、记录留存。

Q103｜关键岗位如何设置“权限分离”？
A103｜至少实现：业务发起、风险/合规复核、技术执行三分离；托管签名采用多签与分权审批。

Q104｜是否建议设置合规委员会？
A104｜建议。委员会是治理证据的“生产线”：例会纪要、风险议题、整改追踪都是监管喜欢的证据形态。

Q105｜最常见的 Fit & Proper 失败原因？
A105｜（1）经历无法验证；（2）无法清晰解释 AML/ICT；（3）时间投入不足；（4）过往问题隐瞒；（5）关键岗位无人备份。

E. AML/KYC 与制裁（Q106–Q135）

Q106｜KYC 要做到什么强度？
A106｜按风险为本：基础 KYC + 风险分层 + 高风险 EDD；并能拿出“抽检证据”。对平台/托管/换汇业务通常要求更高。

Q107｜交易监控规则怎么设定？
A107｜先做业务风险评估，再定义场景：拆分、快速进出、混币、与高风险地址交互、异常地理位置、行为异常等；每条规则要能解释阈值来源与回测逻辑。

Q108｜STR 如何形成闭环？
A108｜告警→立案→调查笔记→升级→MLRO 决策→报送/不报送理由→回执→后续追踪→复盘改规则。要留全链路证据。

Q109｜Travel Rule 如何落地？
A109｜欧盟转账信息规则对加密资产转移的信息字段与流程要求已适用，并有 EBA 指南：你要解决数据字段采集、对手方识别、失败处理、留存与报表。

Q110｜高风险国家/匿名币/混币器如何处理？
A110｜建立禁止/限制清单（Prohibited/Restricted），明确：拦截策略、EDD 强化、上报规则、客户告知条款与申诉机制，并留存处置记录。

Q111｜链上分析是否必须？
A111｜对涉及转入转出、托管、换汇的平台类业务强烈建议部署；监管更关注你是否能解释“资金来源合法性与风险评分”。

Q112｜PEP 识别怎么做？
A112｜制裁/PEP 数据源 + 自申报 + 媒体检索 + 持续监测；命中后要有 EDD 与高级管理层批准机制。

Q113｜制裁筛查是“开户一次”还是“持续”？
A113｜必须持续：开户、定期复核、交易触发、名单更新触发；并保留每次筛查的日志证据。

Q114｜企业客户（B2B）KYC 要求更高吗？
A114｜通常更复杂：穿透到 UBO、核验董事高管、业务真实性、资金来源、关联方与制裁风险；并对其下游客户模型提出要求（尤其 API/白标合作）。

Q115｜自托管钱包（unhosted wallet）怎么处理？
A115｜重点是对手方识别与风险控制：地址归属证明、风险评分、转账阈值策略、异常行为拦截；并与 Travel Rule 要求协同。

Q116｜如何做 AML 风险评估（Enterprise-wide risk assessment）？
A116｜按客户、产品、渠道、地域、交易行为、外包/技术等维度评分；每年更新或重大变更触发更新；并形成董事会审阅纪要。

Q117｜多久做一次 KYC 复核？
A117｜按风险分层：低风险可延长，中高风险更频繁；重大触发事件（地址变更、异常交易、负面新闻）立即复核。

Q118｜客户拒绝提供资料怎么办？
A118｜按制度：暂停/限制服务→必要时终止关系→评估是否需要 STR；并保留沟通记录。

Q119｜可疑交易监测是规则为主还是模型为主？
A119｜都可，但关键是“可解释、可审计、可回测”。模型需要治理：训练数据、漂移监测、阈值调整审批。

Q120｜如何证明监控有效？
A120｜三件套：命中质量指标（True/False Positive）、回测报告、阈值治理台账（变更原因与审批）。

Q121｜AML 培训要怎么做才像真的？
A121｜分岗位：客服/运营/合规/技术/管理层；培训后测验；未通过补训；并与真实案例复盘结合。

Q122｜记录保存多久？
A122｜需按欧盟/成员国 AML 规则与监管要求执行；关键是确保 KYC、交易、告警、处置、报送、日志可追溯且可导出。

Q123｜是否需要 AML 软件系统？
A123｜规模化业务强烈建议配置（KYC、制裁、监控、案件管理、报表）；小规模也至少需要可审计的流程化工具与日志留存。

Q124｜法币入金来源证明要到什么程度？
A124｜看风险：基础来源+银行流水；高风险客户要更深：收入证明、资产出售合同、税单、审计报表等。

Q125｜加密入金来源证明怎么做？
A125｜链上追踪 + 交易所对账单 + 出入金路径 + 风险评分；遇到混币/高风险地址要有明确处置策略。

Q126｜哪些情形 STR 风险最高？
A126｜制裁命中、混币/黑产关联、快速分层转移、异常大额、结构化拆分、与已知诈骗地址交互、无合理经济目的。

Q127｜合规官与 MLRO 如何分工？
A127｜合规官偏制度与监督；MLRO偏 AML 风险与 STR 决策；两者要有会议机制与清晰职责矩阵（RACI）。

Q128｜如何管理代理/渠道合作方的 AML 风险？
A128｜签订 AML 附件条款、尽调、培训、抽检、KPI、违规退出；并留存审计记录。

Q129｜能否完全外包 AML？
A129｜不建议。可以外包工具或部分尽调，但责任不能外包；监管会要求你证明你有能力监督并最终负责。

Q130｜多币种、多链业务 AML 怎么统一？
A130｜建立“跨链风险口径统一层”：地址风险评分、资产类型风险、链特性、桥接/跨链协议风险纳入规则。

Q131｜如何管理“内部人员作恶”风险？
A131｜权限分离、双人复核、操作日志不可篡改、异常行为监控、强制休假与轮岗、内审抽检。

Q132｜客户适当性与 AML 有关系吗？
A132｜有。适当性可作为风险分层输入：客户经验不足、目的不清、交易行为异常时，应加强监控与披露。

Q133｜监管会抽查客户档案吗？
A133｜会。你要准备“抽样包”：KYC 资料、风险评分、复核记录、交易监控告警、处置笔记、STR 决策链。

Q134｜最容易被打回的 AML 文档问题？
A134｜（1）制度与系统不一致；（2）没有闭环证据；（3）高风险政策空泛；（4）Travel Rule 没落地。

Q135｜立陶宛监管对 CASP 的 AML 期待是什么？
A135｜立陶宛央行的公开“expectation letter”强调：申请人需熟悉并落实 ESMA/EBA 技术标准与指南，准备可执行体系而非纸面制度。

F. ICT/钱包安全/外包（Q136–Q150）

Q136｜冷热钱包比例怎么定？
A136｜按业务量、提款频率、风险偏好、客户类型决定；监管更看重：冷钱包治理、多签、审批链、对账与异常拦截证据。

Q137｜多签与权限分离怎样设计才“像监管想要的”？
A137｜至少实现：发起人≠审批人≠执行签名人；多签密钥分散；阈值签名策略；紧急冻结与恢复流程；全链路日志留存。

Q138｜日志留存多久？哪些日志必需可追溯？
A138｜必需：身份与权限变更日志、签名与转账日志、订单与撮合日志、告警与处置日志、系统变更日志、访问与异常登录日志；并确保可导出、可审计、可防篡改。

Q139｜渗透测试/漏洞扫描频率？
A139｜至少年度 + 重大变更后；并形成“发现—修复—复测—复盘”的闭环台账（监管看整改证据）。

Q140｜外包云服务如何评估与退出？
A140｜要有：供应商尽调、数据驻留与加密、访问控制、SLA/KPI、审计权、事故通报、退出与迁移演练（Exit Test）记录。

Q141｜交易平台撮合系统监管最关心什么？
A141｜公平撮合、市场操纵防控、冲突管理（自营/做市/客户订单）、订单簿完整性、异常交易监测、灾备与可用性。

Q142｜是否必须有 SOC/安全运营？
A142｜规模化项目建议建立 SOC 或外包 SOC，并保证可监督；至少要有事件响应流程、分级通报、演练与复盘。

Q143｜是否需要专门的数据治理与报表能力？
A143｜需要，尤其要兼容：监管报表、AML 取证、Travel Rule 字段、税务信息交换（如 DAC8 方向）等数据留存与可追溯能力。

Q144｜系统上线前必须准备哪些“可演示证据”？
A144｜权限矩阵、签名流程演示、日志导出演示、BCP/DR 演练报告、渗透测试报告、告警处置样本、对账与异常处理流程。

Q145｜是否允许使用集团统一钱包系统？
A145｜可以，但要证明：立陶宛持牌主体对关键控制点拥有治理权（权限、变更、审计、应急处置），并能做到监管可访问与可审计。

Q146｜第三方 KYC/制裁工具会被认可吗？
A146｜通常可接受，但你仍需证明：参数配置、命中处置、误报治理、版本更新、数据留存与审计权在你掌控之下。

Q147｜如何设置“变更管理”避免被质疑？
A147｜建立 Change Management：变更单→评审→上线→回滚预案→上线复核→纪要与台账；重大变更需触发更强测试与审批。

Q148｜私钥丢失/泄露的应急预案要怎么写？
A148｜包括：事件分级、冻结与暂停机制、密钥轮换、客户通知、监管通报、链上追踪、内部调查、复盘与整改。

Q149｜供应商尽调需要哪些材料？
A149｜公司资质、合规证明、SOC2/ISO（如有）、安全架构、人员背景、事故历史、SLA、数据处理协议、审计配合、退出条款。

Q150｜最常见的 ICT 被打回原因？

A150｜（1）“说得很安全但没证据”；（2）权限不分离；（3）日志不可追溯；（4）外包不可控；（5）没有演练记录。

G. 客户保护与披露（Q151–Q220）

Q151｜客户资产隔离要怎么“证明”，而不是“口头说明”？
A151｜监管要看三类证据：
1）制度：客户资产隔离政策、托管/钱包 SOP、对账与异常处置流程；
2）结构：客户法币账户/客户链上地址/内部账分账的隔离设计；
3）运行证据：对账报表、抽检记录、异常工单、权限操作日志与审批链。

Q152｜客户法币资金与公司自有资金能共用账户吗？
A152｜强烈不建议。共用会被质疑挪用风险、破产隔离不足、对账不可控。应采用客户资金专户/隔离账户，并在合同与披露中说明保护机制。

Q153｜客户加密资产的“地址隔离”必须做到一客一地址吗？
A153｜不一定，但你必须证明：即便共用地址/热钱包池，也有可审计的内部账分账、链上-链下对账、异常识别与纠偏机制；机构客户往往更偏好独立地址。

Q154｜如何应对“托管方破产/冻结”情形的客户保护？
A154｜要有：

破产隔离条款（客户资产不构成公司财产）
合同约定与客户告知
第三方托管/多签/紧急迁移方案
冷钱包资产比例与应急提款流程
外包托管的替代与退出计划（Exit Plan）。

Q155｜客户资产对账频率建议？
A155｜平台/托管建议：日对账（至少关键资产、关键地址），月度出具对账报告并抽检；出现异常即时触发调查与客户沟通/监管通报（视严重性）。

Q156｜“客户资产不可挪用”如何落实到权限？
A156｜用“权限分离+多签+双人复核+限额+白名单地址+延迟提款（time-lock）+异常冻结”组合落地，并保留审批链与日志。

Q157｜可否使用客户资产做质押/借贷/再投资？
A157｜风险极高。除非法律与合同允许、客户明确同意、风险披露充分、并具备隔离与赎回机制，否则容易触发重大合规与声誉风险（也可能落入其他金融监管）。

Q158｜费用披露要做到什么颗粒度？
A158｜建议做到“可计算、可对账”：

交易费、点差、滑点、提现费、托管费、做市/路由费用、第三方网络费（gas）
费用收取时间点与计费公式
费用变更通知机制与生效规则。

Q159｜风险披露（Risk Disclosure）必须包含哪些关键条款？
A159｜至少包含：价格波动、流动性风险、技术与网络风险、托管与私钥风险、第三方风险、监管变化、稳定币脱锚风险、链上不可逆转风险、诈骗与社工风险等，并与产品/服务类型匹配。

Q160｜客户条款（T&Cs）最容易被监管挑刺的点？
A160｜（1）资产归属不清；（2）费用不透明；（3）冻结/终止条款过于随意；（4）争议解决与责任限制不合理；（5）风险披露与实际服务不一致。

Q161｜客户投诉处理要怎么设计才合规？
A161｜建议“四段式”：受理（确认回执）→调查（证据调取）→结论（书面答复）→升级（复核/仲裁/监管投诉渠道提示）。并设时限（如 7/14/30 天分级）与记录留存。

Q162｜投诉与 AML 冲突时怎么办？客户说“你冻结我账户不合理”。
A162｜要有“冻结与解冻政策”：冻结理由分类（制裁/AML/欺诈/合约违约/司法协助），内部审批与复核机制；对外沟通采用合规模板，避免“泄露可疑报告/侦查信息”。

Q163｜客户适当性评估适用于哪些服务？
A163｜当你提供投顾、组合管理、复杂产品分销、杠杆/衍生品相关服务时适当性尤为关键；即便是现货平台，也建议对零售客户做基础的知识测评与风险承受问卷。

Q164｜零售与机构客户要分层吗？
A164｜建议分层：零售更强调信息披露、风险提示、冷静期/限制功能（视产品）、反诈教育；机构更强调 SLA、托管安排、审计接口、对账与 API 访问控制。

Q165｜“专业客户/合格投资者”如何定义？
A165｜MiCA 与传统 MiFID 体系可能并行出现；实务上建议建立“专业客户判定标准+证据清单”（资产规模、经验、公司类型、财务报表等）并留存。

Q166｜营销合规怎么做？哪些内容不能说？
A166｜避免：保本保收益、承诺回报、夸大监管背书、隐瞒费用与风险。所有营销材料建议走“合规审查+版本控制+上线审批”流程。

Q167｜KOL/代理推广怎么管控？
A167｜签订营销合规条款、允许/禁止表述清单、脚本审批、抽检与违规下架、费用结算与线索留存；并将其纳入外包/第三方风险管理。

Q168｜客户资金与加密资产的“冻结/扣划”边界？
A168｜必须有：触发条件、内部审批层级、时限、复核机制、客户告知口径（含例外）、监管/司法协助流程。

Q169｜如果发生黑客盗币，客户如何赔付？
A169｜取决于你承诺与过失认定。建议：

事前明确责任边界（但不要不合理免责）
配置保险/准备金机制（如适用）
事故响应与客户沟通机制
证据保存与链上追踪
复盘与整改报告。

Q170｜是否需要“客户资产证明报告”（Proof of Reserves）？
A170｜不是所有情况下强制，但对托管/平台是强烈加分项：可采用审计/第三方证明或定期披露机制，并确保方法可验证、可解释。

Q171｜“价格展示/报价公平”怎么做？
A171｜需要披露：定价来源（外部报价/做市商/自有撮合）、异常行情处理、熔断/限价规则、滑点与订单优先级规则，防止暗箱与操纵指控。

Q172｜撮合优先级：自营/做市订单与客户订单冲突怎么办？
A172｜必须有冲突管理：订单优先级清晰、信息隔离、做市规则披露、监控与审计，避免“吃单”或内部优先成交。

Q173｜能否进行“内部撮合+外部路由”混合模式？
A173｜可以，但要披露路由逻辑、最佳执行（best execution）标准、第三方费用与回扣安排，并能提供执行质量监控报告。

Q174｜客户数据与隐私（GDPR）怎么兼容 AML/Travel Rule？
A174｜建立数据治理：数据最小化、用途限制、保留期限、访问控制、加密、对外共享依据与 DPA（数据处理协议）；同时确保 AML/Travel Rule 字段留存可审计。

Q175｜客户协议要不要写明“监管通报/信息共享”？
A175｜建议写明：在 AML、制裁、司法协助、监管要求下可共享必要信息，并说明范围与依据，降低争议。

Q176｜客户教育（Investor education）是否必要？
A176｜强烈建议，尤其零售：反诈提示、常见风险、冷钱包安全、钓鱼防护；并保留教育触达记录（弹窗/邮件/测验）。

Q177｜客户账户被盗用（SIM swap/社工）责任怎么分？
A177｜要靠制度+技术：多因素认证、设备绑定、异常登录拦截、提现白名单、冷静期；合同中明确客户义务与平台义务，并有争议处理流程。

Q178｜是否必须提供“账户关闭与资产提取”机制？
A178｜必须设计清晰：账户关闭条件、AML 冻结例外、资产提取路径、费用与时限；避免“锁客/无法出金”的监管风险。

Q179｜客户资产在链上拥堵导致延迟，如何披露？
A179｜披露网络拥堵、gas 波动、不可控延迟的可能性，并提供状态查询与客户沟通机制；同时建立“超时工单/升级处理”。

Q180｜客服话术库要包含哪些主题？
A180｜出入金、冻结与解冻、KYC 补件、投诉、诈骗提示、订单异常、系统宕机、资产丢失申诉等；并标注“可说/不可说”合规边界。

Q181｜是否需要建立“公平对待客户政策”？
A181｜建议建立：定价与执行一致性、投诉处理公平性、信息披露一致性、冲突管理，形成“客户保护框架”。

Q182｜客户资产是否需要第三方托管？
A182｜不必然，但第三方托管或多签托管能显著降低监管担忧；关键在于你是否能证明私钥治理、隔离与应急方案。

Q183｜如何管理“上币项目方”的客户保护风险？
A183｜建立 Listing 评估机制：项目尽调、信息披露审查、流动性与操纵风险评估、利益冲突披露、持续监控与下架机制（含触发条件）。

Q184｜下架（Delisting）会被客户投诉，怎么做才稳？
A184｜提前披露下架规则、给出公告期、提供资产提取窗口、说明风险与证据；保留内部决策纪要与市场监测数据。

Q185｜适当性问卷如何设计才“可用”？
A185｜避免形式主义：让问卷直接影响功能权限（如高风险产品需通过测评才能启用），并保留版本与答题记录。

Q186｜客户保证金/杠杆（如有）要注意什么？
A186｜杠杆会显著提高监管敏感度：需披露爆仓机制、风险提示、强平规则、冲突管理与执行公平性（且可能触发其他金融法规）。

Q187｜是否要提供“客户资金/资产的对账申诉渠道”？
A187｜建议提供：对账差异申诉、工单追踪、证据提交、复核与仲裁路径，形成可审计的纠纷解决闭环。

Q188｜客户保护最重要的“3个可演示点”是什么？
A188｜（1）资产隔离与对账；（2）投诉处理闭环；（3）披露与营销合规（含费用与风险）。

Q189｜监管抽查客户保护会抽什么？
A189｜抽：客户条款、费用披露、风控提示、投诉记录、冻结工单、对账报告、上币/下架决策纪要、营销素材版本台账。

Q190｜客户资产保护与 AML 发生冲突时，优先级？
A190｜AML/制裁/司法协助优先，但必须有制度化的例外处理与对外沟通口径；避免“以 AML 为名随意冻结”。

Q191｜如何证明你没有挪用客户资产？
A191｜用“证据链”：隔离账户证明、链上地址与内部账对应关系、对账报告、权限日志、审计/第三方报告、重大操作双人审批记录。

Q192｜是否需要建立“客户资产审计接口”？
A192｜建议建立：可导出报表、审计取证流程、数据字典、日志访问控制与审计追踪。

Q193｜客户资产出现差异（shortfall）怎么办？
A193｜必须有“短缺应急预案”：冻结、内部调查、补足机制（准备金/保险）、客户通知、监管通报（视情形）、复盘整改。

Q194｜“系统宕机导致无法交易”怎么处理投诉？
A194｜预先披露系统风险、维护窗口、补偿原则（如有）、事件通报流程；并保留宕机监控证据与 RCA（根因分析）。

Q195｜重大事件（安全/资金/合规）客户与监管通报的时限？
A195｜按监管要求与事件等级制定“分级通报”：内部 1 小时、管理层 4 小时、客户与监管视严重性在规定时限内；关键是制度与演练证据。

Q196｜“最佳执行”怎么写才像真的？
A196｜明确指标：价格、成本、速度、成交概率、结算可靠性；并提供监测报告模板、异常行情处理与改进机制。

Q197｜客户风险披露要不要分产品版本？
A197｜建议分：现货、托管、兑换、转移、投顾/资管、稳定币相关；每类风险不同，避免“一份通用模板”被质疑。

Q198｜客户资产保护需要培训吗？
A198｜需要：运营/客服/技术都要训，尤其“冻结、提款、异常对账、客户沟通、反诈”五块，形成培训记录与测验。

Q199｜“客户资料造假”如何处理？
A199｜制度：拒绝/终止关系、限制交易、必要时 STR；并建立黑名单与跨系统同步机制。

Q200｜客户保护与外包相关的底线是什么？
A200｜任何外包不得导致：客户资产控制权不清、数据不可追溯、监管不可访问、应急不可处置。合同必须写审计权、退出权、数据权。

Q201｜客户披露文件是否要提供立陶宛语？
A201｜视你的目标客户与营销国家而定；至少要保证客户能理解（通常英文可行），但若面向本地零售，提供当地语言版本更稳。

Q202｜客户资金出金慢会触发什么风险？
A202｜会被视为流动性、运营与声誉风险；需披露处理时限、异常原因、工单机制，并监控 KPI（平均出金时长、失败率）。

Q203｜反诈（Anti-scam）需要制度化吗？
A203｜建议制度化：高风险收款地址拦截、异常交易提示、客户确认弹窗、冷静期、客服升级，形成“反诈控制框架”。

Q204｜客户资产地址白名单怎么管？
A204｜白名单新增/修改要双因素+二次确认+延迟生效；并对异常变更触发人工复核与告警。

Q205｜“一键卖出/快速兑换”这种功能要披露什么？
A205｜披露：点差、价格来源、滑点、成交条件、失败处理与撤单规则，避免客户争议。

Q206｜客户保护与市场诚信关系？
A206｜平台必须防操纵、防内幕、异常交易监测；否则客户保护无法成立（客户会质疑平台公平性）。

Q207｜客户协议里能否把责任全部推给客户？
A207｜不建议且风险高。过度免责会引发监管质疑与消费者保护风险；应采用合理责任边界与相称补救机制。

Q208｜客户资产保护需要内部审计抽检吗？
A208｜需要：抽检对账、权限操作、投诉处理、冻结工单、KYC 质量，形成年度审计计划与整改闭环。

Q209｜是否需要建立“客户资产风险偏好/限制清单”？
A209｜建议：例如匿名币、混币相关地址、高风险链桥、受制裁地区等，设交易限制并披露。

Q210｜客户披露中是否要说明“监管不等于担保”？
A210｜要，避免客户误解“有牌照=无风险”。

Q211｜客户保护最有效的“证据样例包”应包含什么？
A211｜抽取 3 个客户（匿名化）的全链路：开户→KYC→交易→监控告警→处置→对账→投诉（如有）→结案；再附权限日志与审批截图/导出。

Q212｜客户资产隔离与会计处理怎么配合？
A212｜建立客户资产台账与会计分录映射、对账频率、异常处理；审计师能追溯到链上与银行端。

Q213｜客户资产在不同链上，如何统一对账？
A213｜采用统一资产主数据（token mapping）、链上节点/第三方数据源对照、跨链桥识别规则、汇率基准与截点时间一致。

Q214｜客户保护是否需要 KPI？
A214｜建议 KPI：投诉响应时长、出金时长、对账差异率、冻结误伤率、告警处置时效、重大事件响应时效。

Q215｜客户对“冻结原因”追问，能解释到什么程度？
A215｜提供一般性解释即可（如“合规/安全原因需进一步核验”），避免泄露 STR/执法信息；使用标准话术库并记录沟通。

Q216｜如何避免“选择性对客户冻结”的质疑？
A216｜制定客观触发规则、审批链、复核与申诉机制，并留存证据，确保一致性与可解释性。

Q217｜客户保护与产品迭代冲突怎么办？
A217｜采用变更管理：新功能必须过合规审查、风险评估、披露更新与灰度上线；重大变更要演练与回滚计划。

Q218｜客户资产保护需要“年度外部评估”吗？
A218｜建议：年度审计/鉴证、渗透测试、安全评估、第三方对账或 PoR（如适用），形成外部证据增强可信度。

Q219｜客户保护章节最常被监管要求补件的材料？
A219｜（1）隔离与对账的运行证据；（2）投诉闭环台账；（3）费用披露公式；（4）营销素材审查与版本台账。

Q220｜客户保护做得好，会带来什么直接收益？
A220｜审批更顺、RFI 更少、银行与支付合作更容易、机构客户更愿意进场（因为可审计、可托管、可对账）。

H. 护照机制与跨境（Q221–Q260）

Q221｜立陶宛获牌后如何开展欧盟跨境业务？
A221｜MiCA 设有护照机制：在本国获授权后，可按规定向主管机关提交通知/信息，由主管机关与目标成员国沟通，从而在欧盟范围提供服务。

Q222｜跨境前要准备哪些“护照通报材料”？
A222｜通常包括：拟进入国家清单、提供服务类型、目标客户类型、营销方式、外包安排、投诉处理与语言支持、负责人联络信息等。

Q223｜护照后是否仍要遵守目标国的营销/消费者规则？
A223｜通常仍要遵守目标国的一些一般性规则（消费者保护、广告规范、数据保护等）；因此要做“跨境合规矩阵”。

Q224｜跨境营销最容易踩雷的点？
A224｜本地语言广告、KOL 投放、当地支付方式、当地客服电话、线下活动、当地域名/SEO；这些都可能构成主动招揽证据。

Q225｜“反向招揽”能当长期策略吗？
A225｜不稳。反向招揽只能作为个案例外，不能作为规模化获客模型；监管与执法更看“事实与证据”。

Q226｜跨境后，投诉由哪个国家处理？
A226｜一般你仍需提供统一投诉机制，但需适配当地语言/渠道；复杂争议可能涉及当地消费者保护机制，建议提前设“跨境投诉升级路径”。

Q227｜是否需要在目标国设分支机构？
A227｜不必然，但若业务规模大、零售客户多、当地监管沟通频繁，设立分支/代表处能显著降低运营风险与客户服务成本。

Q228｜跨境后数据如何跨国共享？
A228｜需符合 GDPR、DPA 与数据最小化；同时要满足 AML/Travel Rule 取证与报送需要，建议建立“数据字典+访问控制+审计日志”。

Q229｜跨境后 AML 义务按哪个国家？
A229｜通常以主监管框架为核心，但目标国可能有本地 AML 要求与执法协作；务必建立“本国 AML 制度 + 目标国差异补丁”。

Q230｜跨境业务的税务信息交换（如 DAC8）会带来什么？
A230｜会强化客户税务信息采集、留存与报送能力要求，建议早做数据治理与报表架构，避免后期大改系统。

Q231｜跨境提供 B2B API 服务也需要护照吗？
A231｜若你向目标国客户提供属于 MiCA 的服务（即便 B2B），仍需评估是否构成跨境提供服务；不建议仅凭“B2B”就不做通报。

Q232｜跨境后能否在目标国本地用代理/白标？
A232｜可以，但要纳入外包与第三方风险管理，且要防止代理的营销违规与误导；白标合作要明确责任边界与客户关系归属。

Q233｜跨境后，目标国监管会直接检查你吗？
A233｜可能会通过协调机制提出信息请求；因此你的系统、日志、报表必须能快速响应多方问询。

Q234｜跨境后是否要做当地语言披露？
A234｜取决于客户类型与营销方式。面向零售客户，提供当地语言披露更稳；面向机构客户可用英文，但需确保可理解。

Q235｜跨境后产品能否按国家做差异化？
A235｜可以，建议做“国家级功能开关”：例如某些国家限制高风险资产、限制衍生品、限制杠杆等，通过配置控制而不是人工口头控制。

Q236｜跨境后的客户资产托管是否要本地化？
A236｜通常不要求本地化，但要确保客户资产保护与监管可访问；若与当地银行/托管合作，会提升信任与合规韧性。

Q237｜跨境后如何管理“不同国家的投诉时限与流程差异”？
A237｜建立标准流程+国家附录：受理时限、升级渠道、监管投诉入口提示、语言支持；并在工单系统里加“国家字段”。

Q238｜跨境后“市场诚信”监测要按国家区分吗？
A238｜撮合与市场监测可统一，但要考虑不同国家用户行为差异与本地执法重点；建议保留按国家切片的监控与报告。

Q239｜跨境后如何管理“营销素材版本”？
A239｜建立素材库：每份素材标注国家适用范围、语言版本、审批记录、上线日期、撤下日期；违规可一键回滚。

Q240｜跨境后如何避免被指“监管套利”？
A240｜关键是实质：本国持牌主体有真实治理与合规投入；跨境服务不做“低标准获客”；并能提供一致的客户保护与 AML 强度。

Q241｜跨境通知后多久可以开始展业？
A241｜取决于通报流程与主管机关处理节奏；建议把跨境作为“上线后一阶段”，先把本国运营证据跑起来再扩展。

Q242｜跨境扩张最容易拖垮什么能力？
A242｜客服与投诉、AML 调查与案件管理、数据与报表、系统可用性与变更管理——扩张前要做容量规划。

Q243｜跨境后要不要设立“国家负责人”？
A243｜建议设：至少设合规与运营联络人，负责本地监管沟通、营销审查与投诉升级。

Q244｜跨境后如何处理“目标国银行开户/支付通道”？
A244｜建议由合规证明、审计证据、客户资产隔离、反洗钱体系支撑银行尽调；并准备“银行尽调包”（治理、AML、ICT、财务）。

Q245｜跨境后是否要向目标国提供报表？
A245｜可能会被要求提供某些信息或配合检查；因此应预先准备“可按国家切片导出的报表能力”。

Q246｜跨境后如何控制代理/介绍人返佣合规？
A246｜披露返佣、禁止诱导性话术、设定合规 KPI、抽检录音/聊天记录、违规处罚与终止条款。

Q247｜跨境后如何管理“不同国家的制裁/高风险国家名单差异”？
A247｜以欧盟制裁为基础，再叠加业务政策（公司内部更严格的名单）；并确保名单更新自动化与留痕。

Q248｜跨境后如何处理“语言与误解”导致的纠纷？
A248｜提供本地语言关键披露/FAQ/话术库；重要条款使用简明语言；必要时提供客户确认机制（checkbox+时间戳）。

Q249｜跨境后如何降低合规成本？
A249｜通过“制度与系统平台化”：统一 KYC/监控/工单/报表，国家差异用配置层（rules & parameters）实现。

Q250｜跨境后的内部审计要怎么做？
A250｜审计计划加入“国家维度”：抽检目标国客户样本、营销素材合规、投诉闭环、AML 告警质量；输出整改与复测。

Q251｜跨境后如何处理“当地监管来函（RFI/问询）”？
A251｜建立监管来函处理 SOP：登记→分派→证据提取→统一口径→版本控制→按时回复→复盘改进。

Q252｜跨境最重要的三件事？
A252｜（1）护照通报材料完整；（2）营销合规可控；（3）数据与报表可按国家导出。

Q253｜跨境后的产品上新要不要重新通报？
A253｜如果新增服务类型或重大变更，可能需要更新通报或重新沟通；务必把“变更触发条件”写入合规流程。

Q254｜跨境后是否可以在目标国开展线下活动？
A254｜可以，但要当作“高风险营销”：材料审批、现场话术、客户适当性提示、录音录像留存（视当地要求），避免误导宣传。

Q255｜跨境后如何处理“客户资产跨实体转移”？
A255｜避免不必要的跨实体迁移；若必须迁移，要有客户同意、清晰披露、对账与审计证据、以及迁移风险控制。

Q256｜跨境后如何避免“客户数据在集团内滥用”？
A256｜权限分层、用途限制、审计日志、DPA、定期访问审计；并建立违规处置机制。

Q257｜跨境业务要不要设立单独的风险偏好（Risk Appetite）？
A257｜建议设：按国家与产品组合定义风险承受上限（高风险客户比例、匿名币暴露、投诉率等），由董事会定期审阅。

Q258｜跨境后如何控制“监管碎片化”带来的项目管理风险？
A258｜建立“国家合规矩阵 + 截止点日历 + 证据库”，把每个国家的关键差异变成可执行任务与台账。

Q259｜跨境后如何与 ESMA/EBA Level 2/3 更新保持一致？
A259｜设立法规跟踪机制：月度更新、影响评估、制度与系统变更单、培训与公告；并保留“法规更新影响评估报告”。

Q260｜跨境扩张的最佳路径建议？
A260｜先做 1–2 个重点国家试点（客户服务、营销、报表跑通），再复制扩张；避免一口气全欧盟铺开导致合规与运营失控。

I. 持续监管、审计、变更与退出（Q261–Q300）

Q261｜获牌后最重要的“持续合规节奏”是什么？
A261｜建议三层节奏：

季度：合规例会（KPI、投诉、重大事件、外包监督）
半年：内部审计/专项抽检
年度：外部审计/安全评估/渗透测试（视业务）。

Q262｜持续合规最核心的输出物？
A262｜年度合规计划、风险评估更新、监控规则回测报告、内部审计报告与整改闭环、外包监督报告、培训记录、重大事件报告与复盘。

Q263｜监管最爱看的“证据库”有哪些？
A263｜三张表（你已指定的方向非常正确）：
1）治理与内控证据表（制度+纪要+培训+抽检）
2）AML 证据表（KYC、告警、处置、STR、留存）
3）ICT 证据表（权限、签名、日志、BCP/DR、演练、渗透测试）。

Q264｜内部审计怎么选题？
A264｜优先：客户资产隔离与对账、提现与签名权限、制裁与 Travel Rule、外包控制、投诉闭环、营销素材合规。

Q265｜制度更新要不要报监管？
A265｜重大制度变更（影响客户资产、AML、ICT、外包、商业模型）建议先沟通或按要求报备；轻微更新走内部版本管理即可。

Q266｜新增服务/新增币种要怎么走流程？
A266｜设“变更分级”：

轻微：内部审批+公告
中等：风险评估+培训+灰度上线
重大：可能触发监管沟通/批准、补充材料、上线前条件。

Q267｜关键人员变更（董事/MLRO/IT 安全负责人）怎么处理？
A267｜建立交接清单、权限回收、岗位继任、对监管的通知/申请材料包，避免“关键职能空窗”。

Q268｜外包供应商更换要不要演练？
A268｜建议做退出/迁移演练（Exit Test）：数据迁移、系统切换、客户影响评估、回滚预案、证据留存。

Q269｜重大安全事件（被黑/数据泄露）后必须做什么？
A269｜事件响应：隔离→止损→取证→通报→客户沟通→恢复→复盘整改；并形成 RCA 报告、整改计划与复测证据。

Q270｜如何防止“合规做久了变形式主义”？
A270｜用 KPI 与抽检驱动：告警质量、处置时效、投诉闭环率、对账差异率、变更合规率；并由董事会定期挑战（challenge）与复盘。

Q271｜监管抽查通常怎么来？
A271｜可能以来函、会议或现场/远程检查形式。你要准备“快速响应包”：组织架构、关键制度、样本客户档案、日志导出说明、报表模板。

Q272｜“记录留存”最容易出事的点？
A272｜系统日志覆盖不全、工单缺结案、KYC 资料散落在邮件/网盘、版本无控制、权限日志不可追溯。

Q273｜如何做版本控制（Version control）？
A273｜每份制度/材料：版本号、发布日期、变更摘要、审批人、培训记录；建立中央文件库与访问控制。

Q274｜如何证明培训有效？
A274｜培训后测验、抽问、演练、案例复盘；并与违规事件挂钩形成整改培训。

Q275｜如何管理“冲突管理”的持续执行？
A275｜利益冲突登记册、关联交易审批台账、做市/自营隔离审计、员工交易政策与监控、礼品招待登记。

Q276｜客户资产隔离的持续监控怎么做？
A276｜设自动化指标：热钱包余额阈值、对账差异、异常地址交互、提现失败率；触发告警并形成工单与复盘。

Q277｜如何持续优化交易监控规则？
A277｜每月/季度回测：命中质量、误报率、漏报复盘；阈值调整需审批与留痕。

Q278｜STR/可疑报告团队如何避免“过度报送”或“漏报”？
A278｜建立决策标准与案例库；每季度做 STR 复盘会，更新判例与规则；并设质量审查（QA）。

Q279｜Travel Rule 持续合规最难的点？
A279｜对手方识别、字段完整性、失败处理、跨链与自托管钱包的可验证性；需要系统化落地而不是人工补录。

Q280｜如何建立“监管沟通日志”？
A280｜所有沟通（会议/邮件/电话）形成记录：主题、问题、口径、行动项、截止日期、负责人；这能显著提升检查应对能力。

Q281｜什么情况会触发“重大事项报告”？
A281｜关键岗位变更、重大安全事件、重大客户资产事件、重大合规缺陷、重大外包中断、重大经营变化（业务模型/地域扩张）。

Q282｜如何准备年度预算让监管安心？
A282｜把合规与安全成本单列：合规团队、外包、审计、渗透测试、链上分析、Travel Rule、培训与内审；并说明“规模增长时的扩容计划”。

Q283｜公司盈利前如何证明持续经营？
A283｜提供股东支持承诺、备用资金、成本控制与扩张节奏、压力测试；并展示“关键外包可持续性”。

Q284｜如何与银行/支付机构持续合作？
A284｜定期提供合规报告包：审计摘要、AML 统计、重大事件通报、客户资产隔离对账摘要、投诉 KPI；让合作方尽调更容易。

Q285｜监管会看你“真实运营数据”吗？
A285｜会。你要能拿出：客户数、交易量、告警量、STR 数、投诉数、出金时长、宕机与事件统计（匿名化或聚合）。

Q286｜如何做“合规仪表盘”（Compliance dashboard）？
A286｜建议指标：KYC 逾期率、EDD 占比、告警处置时效、STR 决策时效、制裁命中处置、对账差异、投诉闭环、渗透测试整改率。

Q287｜产品上线前“Go-Live Readiness Pack”应包含什么？
A287｜权限与多签演示、日志导出、BCP/DR 演练、渗透测试、KYC/监控规则配置证明、客户披露文件、投诉机制、外包协议与审计权证明。

Q288｜如何处理“监管要求你现场演示系统”？
A288｜准备演示脚本：开户→KYC→交易→告警→处置→STR 决策→日志导出→对账→冻结/解冻；并准备脱敏测试数据与截图证据。

Q289｜如果监管要求补件（RFI）反复往返怎么办？
A289｜建立 RFI 台账：问题→口径→责任人→证据→版本→提交日期→反馈；并通过 Pre-Application 的口径对齐减少往返。

Q290｜退出市场/停止业务要怎么做？
A290｜建立退出计划：新客户停止、存量客户通知、资产清退、数据留存、投诉与争议处理、合同终止、监管通报与结案报告。

Q291｜客户资产清退（wind-down）最重要的控制点？
A291｜资产归集与对账、提现路径畅通、异常与争议处置、客服容量、信息披露、反诈与冒领防控。

Q292｜员工离职如何防止权限与数据泄露？
A292｜离职清单：权限回收、密钥轮换、设备回收、审计检查、离职声明；并对关键岗位设强制休假与轮岗。

Q293｜如何管理“内部人员交易/利益冲突”？
A293｜员工交易政策、预审批、黑名单、监控与抽检；礼品招待登记；违规处罚机制与培训复盘。

Q294｜如何应对媒体危机（被质疑跑路/冻结客户资产）？
A294｜准备危机沟通预案：事实核验、统一口径、客户支持渠道、监管沟通同步；并保留证据避免误导陈述。

Q295｜持续合规中最容易忽略但最致命的点？
A295｜“证据不留痕”：制度有但没有纪要、没有抽检、没有工单、没有日志导出、没有复盘。监管看的是运行证据。

Q296｜如何建立年度合规报告（Annual compliance report）？
A296｜包含：制度更新、培训、审计、重大事件、投诉统计、AML 指标、Travel Rule 落地、外包监督、改进计划与下一年度路线图。

Q297｜如何做“监管趋势跟踪”机制？
A297｜每月监测 ESMA/EBA 更新、成员国执行口径变化、税务信息交换与 AMLA 进展；输出“影响评估+变更单+培训”。

Q298｜AMLA 与 DAC8 对 CASP 长期意味着什么？
A298｜更强的穿透、更多的数据采集与报送、更高的审计与留存要求：提前做数据治理与报表能力建设是长期竞争力。

Q299｜持续合规做得好，监管通常会怎么反馈？
A299｜检查更顺、问询更少、对扩张与新增服务更开放；合作方（银行、机构客户）尽调更容易通过。

Q300｜一句话总结：立陶宛 CASP 项目“成功的关键”？
A300｜把 MiCA 要求变成可运行、可演示、可抽检、可追溯的证据链（治理+AML+ICT），而不是写得漂亮的文案。

仁港永胜建议

立陶宛 CASP 申请的关键不是“写文件”，而是把 治理、AML、ICT 做成可演示、可抽检、可追溯证据链。
建议走 Pre-Application 口径对齐 + Q&A Pack，能显著减少 RFI 往返与周期不确定性。
Travel Rule（欧盟转账信息规则）已在欧盟层面适用，必须提前做数据字段、对手方识别与留存体系，否则容易成为“上线前条件”卡点。
合规服务：选择一间专业专注的合规服务商协助牌照申请及后续维护及合规指导尤为重要，在此推荐选择仁港永胜。

为何选择仁港永胜

✅ MiCA / CASP 全流程：业务映射 → 文件编制 → 面谈辅导 → RFI 回复 → 上线证据包（Go-Live Pack）
✅ AML/KYC/制裁/Travel Rule：制度+系统+证据闭环一体化落地
✅ ICT/钱包安全：权限分离、多签、日志、BCP/DR、渗透测试与证据库建设
✅ 交付可复制：Master Checklist（可勾选 200–400 子项）、Q&A Pack、面谈题库、证据表三张表

关于仁港永胜

仁港永胜为专业的合规与金融咨询服务机构，长期专注于国际支付、银行、虚拟资产、加密牌照与持续合规体系建设，为客户提供从“申请获批”到“合规运营”的一站式支持。

联系方式

官网：www.jrp-hk.com
香港 / WhatsApp：+852 9298 4213
深圳 / 微信同号：+86 159 2000 2080

办公地址

香港：湾仔轩尼诗道 253-261 号依时商业大厦 18 楼
深圳：福田区卓越世纪中心 1 号楼 11 楼
香港：环球贸易广场 86 楼

免责声明

本文由仁港永胜（香港）有限公司拟定，并由唐上永（唐生）提供专业讲解。本文所载资料仅供一般信息用途，不构成任何形式的法律、会计或投资建议。具体监管口径、申请细则及收费标准以欧盟法规（MiCA）及立陶宛主管机关（Bank of Lithuania / Lietuvos bankas）最新发布为准。仁港永胜保留对内容更新与修订的权利。如需进一步协助（申请/收购、合规指导及后续维护），欢迎联系仁港永胜获取支持。

如欲查询更多立陶宛 Lithuania（MiCA）加密资产服务提供商（CASP）牌照常见问题，Lithuanian crypto license FAQ有关的资料，请与我们仁港永胜的专业顾问联络，我们将为您提供免费咨询服务。[点击联系公司注册专业顾问]

24小时专业顾问：15920002080（深圳/微信同号） 852-92984213（Hongkong/WhatsApp）

上一页： 卢森堡 Luxembourg（MiCA）加密资产服务提供商（CASP）牌照常见问题，Luxembourg crypto license FAQ
下一页： 拉脱维亚 Latvia（MiCA）加密资产服务提供商（CASP）牌照常见问题（FAQ 大全），Latvian crypto license FAQ