首页 > 常见问题

巴西 Brazil 加密交易/虚拟资产服务牌照申请注册常见问题（FAQ）

时间：2026-01-08 00:51:16 阅读：87

《巴西 Brazil 加密交易/虚拟资产服务牌照申请注册常见问题（FAQ）》

Brazil Virtual Asset Service Provider (VASP) / Crypto Exchange Licensing FAQ (Deliverable Edition)

本文由 仁港永胜（香港）有限公司 拟定，并由 唐生（唐上永，Tang Shangyong） 提供专业讲解。
服务商：仁港永胜（香港）有限公司｜Rengangyongsheng (Hong Kong) Limited

重要监管依据（以最新公开口径为准）

巴西“虚拟资产服务提供商（VASP）”监管总框架来自 Law No. 14,478/2022（Brazilian Virtual Assets Law / BVAL），并通过 Decree No. 11,563/2023 指定巴西中央银行 BCB 作为虚拟资产服务监管/发牌主管机关。

CVM（证券监管机构）对“哪些加密资产属于证券/证券型代币”给出明确监管边界口径（CVM Guidance Opinion No. 40）。

2025 年底，BCB 已发布更具体的监管框架/规则方向（市场报道与专业解读均指向：授权、治理、内控、合规、消费者保护、AML 等“类金融机构化”要求），并出现“自 2026 年起生效”的时间线信息。

✅ 点击这里可以下载 PDF 文件：巴西 Brazil 加密交易虚拟资产服务牌照常见问题解答（FAQ）
✅ 点击这里可以下载 PDF 文件：巴西 Brazil 加密交易虚拟资产服务牌照申请注册指南
✅ 点击这里可以下载 PDF 文件：关于仁港永胜
注：本文模板、清单、Word/PDF 可编辑电子档，可向仁港永胜唐生有偿索取（用于监管递交与内部落地）。

牌照核心信息

国家/地区： 巴西 Brazil
牌照/监管对象的通用称谓：

Crypto-asset Service Provider under Brazilian Law（巴西加密资产服务提供商）
Prestador de Serviços de Ativos Virtuais（PSAV，虚拟资产服务提供商）
监管落地后可出现“按业务范围分层的授权/登记/许可”（registration/authorisation by scope）。

监管机构（核心）：

BACEN（Banco Central do Brasil）：Lei 14.478/2022 主管机关（Decreto 11.563/2023 指定）。
CVM（Comissão de Valores Mobiliários）：涉及证券属性（security token / investment contract / public offering / collective investment）时介入监管边界。
COAF/AML 体系：反洗钱报告、可疑交易、制裁合规纳入金融犯罪治理框架（具体义务依业务形态与主管机关规则落地）。

许可展业范围（趋势口径）：
围绕“交易/经纪撮合/托管/转移/支付/法币出入金/跨境”等功能分层监管，并与外汇与国际资本规则协同。

适合群体：

拉美市场进入（交易所、托管、OTC、支付/出入金通道）
愿意建立“金融机构级”治理、内控与审计证据链的机构
有长期本地化计划（人员、合规、银行合作、税务与数据治理）

巴西虚拟资产服务提供商常见问题解答｜Brazil Virtual Asset Service Provider（FAQ）

第 1 页｜Q1–Q40（监管框架与牌照定性）

Q1：巴西是否存在“加密交易所/虚拟资产服务提供商（VASP）牌照”？它的法律依据是什么？

A（交付级）：
巴西已建立针对虚拟资产服务提供商（VASP）的国家级监管框架。核心法律依据为 Law No. 14,478/2022（BVAL），并由 Decree No. 11,563/2023 指定 **BCB（Banco Central do Brasil）**作为虚拟资产服务的主管监管机关（授权、监管、监督）。

实务提示：BCB 将以“金融机构化”的方式要求 VASP 建立治理、内控、风险管理、消费者保护与 AML 体系。

Q2：巴西监管语境下，“虚拟资产（virtual asset）”通常指什么？

A：
在 BVAL 的语境下，虚拟资产通常被理解为可通过电子方式交易或转移、可用于支付或投资的数字化价值表示，但该框架通常不涵盖由国家发行的法定货币及部分既有金融资产类别（需结合具体条款与监管解释作排除判断）。

交付建议：在申请材料中单列《资产范围与排除项说明（Perimeter Memo）》：列明你计划支持的资产类别、稳定币、证券型代币、RWA 等，逐一映射到 BCB/CVM 监管边界。

Q3：哪些业务会被视为“虚拟资产服务”（VASP activities）从而触发监管？

A：
按 BVAL 及后续监管咨询/市场口径，典型触发 VASP 监管的服务包括（不限于）：

虚拟资产买卖/兑换撮合（exchange / brokerage / dealing）
代表第三方进行虚拟资产转移（transfer）
托管/保管、控制客户虚拟资产（custody）
平台运营、订单簿撮合、RFQ/做市相关安排（trading venue / platform）
组合管理、质押/收益类安排等（若构成“为第三方提供服务”且落入 BCB 口径）

Q4：BCB 与 CVM 的监管边界如何划分？我需要同时拿两个监管许可吗？

A：

BCB：主管虚拟资产服务提供商（VASP）的授权、运营监管与审慎/行为要求（框架层面）。
CVM：当某些加密资产/代币被认定为“证券”或涉及资本市场活动时，可能触发 CVM 监管（发行、公开发行、交易、分销、投资合规等）。CVM 已通过 Guidance Opinion No. 40 说明其监管边界与分类口径。

结论：是否“双许可”取决于你是否涉及证券型代币/投资合同型代币/公开募资与分销等资本市场活动。交付上建议：在 Perimeter Memo 中做“BCB线 + CVM线”双轨判定。

Q5：巴西是否允许“境外交易所不落地、仅面向巴西客户线上提供服务”？

A（偏实务、可递交）：
BCB 的监管方向明确强调：在巴西提供虚拟资产服务的主体需在授权框架下运营（并接受监管要求），监管趋势对“境外无实体、直接向本国客户提供服务”的容忍度通常会降低。

交付建议：规划三种落地路径并做利弊矩阵：

巴西本地公司申请授权；
境外集团 + 巴西子公司运营（本地合规与负责人配置）；
过渡期安排（若监管设置 grandfathering/通知窗口，以监管文件为准）。

Q6：巴西 VASP 监管更像“牌照制”还是“注册制”？

A：
从最新公开信息看，BCB 的框架正在走向**“授权（authorization）+持续监管（ongoing supervision）”**的模式，要求接近传统金融机构的治理与内控标准。

交付提示：对外用词建议使用“BCB authorization / authorization to operate as VASP”，避免误写为“简单登记”。

Q7：巴西 VASP 需要满足哪些“核心监管原则”（高层次）？

A：
交付版可按 8 大原则写入总纲：

治理与管理层问责（Board accountability）
风险管理与内控（ERM & internal controls）
AML/CFT 与制裁合规（含可疑交易报告链路）
客户保护与信息披露（风险/费用/利益冲突）
资产安全与托管隔离（尤其托管与平台）
IT 安全、网络韧性与事件响应（IR/取证/通报）
外包治理与第三方风险管理（critical outsourcing）
记录保存与监管报告（reporting & auditability）

Q8：巴西对稳定币（stablecoins）是否有额外要求？

A：
公开信息显示，BCB 的新规方向中对稳定币交易与跨境支付的合规属性更为敏感，并出现“将某些稳定币相关交易归类为外汇业务”的监管倾向（时间线与适用边界需以 BCB 正式规范性文件为准）。

交付建议：在制度中加入《Stablecoin Perimeter & FX Treatment Memo》：区分

稳定币买卖（spot）
稳定币跨境转移/支付
稳定币出入金与银行卡/电子支付通道的衔接
并匹配外汇合规与交易监控规则。

Q9：如果我只做“撮合交易平台（order book）”，还需要托管牌照吗？

A：
是否构成“托管”取决于你是否控制客户私钥/可单方划转、是否以平台名义持有客户资产、是否提供钱包或集中托管。若你仅提供撮合与结算接口，但由第三方合规托管机构独立控制资产，托管义务可部分转移，但平台仍需对客户资产安全、外包治理与资金路径透明承担强责任。

Q10：如果我做“OTC/RFQ 经纪”，监管要求会更轻吗？

A：
不必然。OTC/RFQ 往往在 AML、适当性、报价透明、利益冲突与市场操纵方面风险更集中。监管通常会要求：客户分类、报价记录、对手方尽调、异常交易监控、录音/留痕、投诉与争议处理机制。

Q11：巴西 VASP 申请是否要求本地实体（Brazilian company）？

A：
在“授权+持续监管”的框架下，监管通常倾向要求在巴西有可监管的实体与负责人、可执法的合规与审计链条。BCB 已明确虚拟资产服务提供商需在授权框架下运营。

交付建议：在项目计划中预留公司设立、税务登记、雇佣合规与数据合规的时间与成本。

Q12：申请巴西 VASP 需要哪些关键岗位（典型）？

A（交付级建议配置）：

董事/高管：对合规与风险承担最终责任
合规负责人（Compliance Officer）
反洗钱负责人（MLRO/AML Officer）
风险负责人（Risk）
信息安全负责人（CISO/IT Security）
内审或独立审计安排（Internal audit / independent assessment）
并写清：汇报线、独立性、权限、替代与交接机制。

Q13：巴西 VASP 对 AML/CFT 的法律来源是什么？

A：
BVAL 明确把虚拟资产服务提供商纳入反洗钱框架衔接（并与既有 AML 法体系联动），要求建立客户识别、记录保存、可疑活动报告等机制。

Q14：COAF（巴西金融情报单位）在 VASP 监管中扮演什么角色？

A：
在巴西 AML 体系中，COAF 作为金融情报与可疑交易信息处理核心机构之一，VASP 作为 AML 义务主体通常需要建立 STR/SAR 机制并遵守相关要求（具体报送口径以适用规范为准）。

Q15：巴西是否有“Travel Rule（旅行规则）”要求？

A：
从近期行业合规解读看，巴西 Travel Rule 的落地正在形成更清晰的执行框架，并以 BVAL + Decree 的法律依据为基础（具体字段、阈值、交换机制需以 BCB/相关规范为准）。

交付建议：制度按三件套写：Travel Rule SOP + 供应商治理（TRP）+ 证据链（回执/日志/失败处置）。

Q16：巴西 VASP 是否要做客户适当性（suitability）？

A：
公开报道与专业解读显示，BCB 的监管框架包含更强的客户保护要求，可能要求对复杂产品开放前进行适当性评估与风险提示。

交付建议：输出《Suitability Policy》：客户分层、风险问卷、产品分级、限额与功能开关。

Q17：申请材料通常会被监管要求“可审查”到什么程度？

A：
不是“讲理念”，而是“能运行”：

组织架构与职责矩阵（RACI）
AML 规则库、监控阈值、工单流转与 STR 决策留痕
钱包控制、签名门限、提币审批、对账闭环
信息安全与事件响应演练记录
外包清单、审计权、退出计划
（BCB 新规方向强调治理、内控与 AML 的可执行性。）

Q18：巴西 VASP 需要哪些内部制度文件（最小包）？

A（交付级最小包）：

Perimeter Memo（业务定性）
AML/CFT Program（含制裁、STR、培训、审计）
KYC/EDD/SoF/SoW 标准与模板
Transaction Monitoring & Market Surveillance
Custody & Safeguarding（如涉及托管）
IT Security / IR / DR / BCP
Outsourcing Policy & Register（含 TRP/KYC/云）
Complaints Handling / Disputes
Conflicts of Interest / Listing Policy（上币/退市）
Recordkeeping & Regulatory Reporting
（与监管“类金融机构化”方向一致。）

Q19：如果我提供“证券型代币（security tokens）交易”，会怎样？

A：
这将显著提高合规复杂度：你需要按 CVM 对证券属性的分类口径判断是否属于资本市场监管范畴（发行、公开发行、交易场所、分销、投资顾问等），可能触发 CVM 授权/豁免路径与持续义务。

Q20：巴西 VASP 是否允许“自营做市/对赌（principal trading）”？

A：
监管最关注：利益冲突、价格操纵、客户最佳执行与信息隔离。若开展自营，你必须：

明确披露自营身份
建立隔离墙与监控（insider trading / manipulation）
建立做市政策、报价规则与记录留存
并在客户协议中披露风险与费用。

Q21：巴西监管对“市场操纵/内幕交易”会怎么要求交易平台？

A：
公开信息显示，BCB 的监管框架方向要求平台具备检测欺诈、操纵与内幕交易的控制。交付上建议输出：

Surveillance Rules（刷量、拉盘砸盘、对敲、抢跑、异常盘口）
Case Management（案件工单、证据链、处置与复盘）

Q22：是否必须在巴西本地保存数据？

A：
通常监管会要求数据可得、可审计、可快速提供给监管与执法；是否“强制本地化”取决于具体规则与数据种类。交付建议：

数据分级（敏感/关键/一般）
加密与最小权限
跨境传输合规（DPA、子处理器清单）
审计日志与导出审批
（监管对治理与内控的要求趋严。）

Q23：巴西 VASP 是否要有本地董事/负责人？

A：
实践中监管倾向要求有可问责的管理层与关键岗位（合规、AML、安全）并能在本地配合监管沟通。建议按项目方案配置“本地负责人 + 集团职能支持”，并写明汇报线与授权。

Q24：巴西 VASP 是否有最低注册资本/资本充足要求？

A：
截至目前公开信息更强调“授权+治理+内控+风险为本”的框架。最低资本与资本规则通常会在更细的规范性文件中明确（并可能按业务类型、规模、客户资产等分层）。

交付建议：先做《Capital Plan（12–24个月）》：覆盖运营成本、合规投入、安全投入、压力测试与补充资本机制，避免只写一个数字。

Q25：在巴西运营加密交易所，最容易被“卡住”的点是什么？

A（经验型交付清单）：

业务定性不清（是否托管、是否证券）
AML/监控缺乏证据链（只有制度无工单/日志）
稳定币与外汇属性处理不清晰
外包治理薄弱（云、KYC、链上分析、TRP）
客户保护与披露不足（费用、风险、冲突）

Q26：巴西 VASP 是否需要“本地银行账户与法币通道”？

A：
若你提供 BRL 出入金，通常必须具备合规的本地资金路径、对账与同名规则，并满足银行尽调要求。监管趋势亦更关注稳定币与跨境支付的外汇合规属性。

交付建议：输出《Funds Flow Map》+《Bank DD Pack》。

Q27：巴西对“广告宣传/营销口径”有什么合规要求？

A：
监管通常严控误导宣传：不得暗示监管背书、不得承诺收益、不得夸大“零风险/必获批”。建议建立 Marketing Review SOP：合规审稿、版本留存、重大变更触发更新。

Q28：是否能用“沙盒（sandbox）”方式先做起来？

A：
沙盒是否适用取决于监管项目与业务范围。即便进入沙盒，AML、客户保护、数据与安全等核心要求通常不会被豁免。建议将沙盒作为“测试与证据链搭建阶段”，而非绕开授权的路径。

Q29：巴西 VASP 是否可以提供衍生品（期货/杠杆）？

A：
衍生品与杠杆会显著提高合规难度，可能触发更严格的适当性、风险披露、清算安排与资本市场/金融市场规则。建议单独做“产品分级与开放门槛”，并先与监管边界（BCB/CVM）做定性。

Q30：如果只提供“钱包软件（非托管）”，还算 VASP 吗？

A：
若你不控制客户私钥、不持有客户资产，仅提供本地软件工具，可能不构成托管型服务；但若你提供转账、撮合、代客户执行交易或与法币通道深度绑定，仍可能落入 VASP 定义。建议做功能拆解与责任边界声明。

Q31：巴西 VASP 需要做哪些记录保存？

A：
至少包括：客户 KYC/EDD、交易记录、资金路径、监控命中、调查工单、STR 决策、制裁筛查、投诉处理、外包评估与审计整改。监管趋势要求“可追溯与可导出”。

Q32：巴西 VASP 的合规体系应如何组织成“三道防线”？

A：

第一线：业务/运营（执行KYC、交易控制）
第二线：合规/风险/AML（规则、监控、审批、报告）
第三线：内审/独立评估（抽样、审计、整改闭环）
并配套董事会季度报告包，符合“治理问责”的监管方向。

Q33：巴西监管是否会要求“本地审计/独立评估”？

A：
在“类金融机构化”监管方向下，独立评估（AML/安全/内控）通常是强需求（具体形态取决于规范）。交付建议：年度审计计划 + CAPA 台账 + 董事会监督。

Q34：巴西 VASP 的审批时间一般多久？

A：
需以 BCB 的实施规则与实际窗口为准。由于监管正在从框架走向“细则化授权”，审批周期通常与材料成熟度强相关：材料结构化、证据链充分、外包治理清晰 → 周期更可控。

Q35：申请阶段最常见的补件（RFI）会问什么？

A（交付级清单）：

业务定性与监管边界（BCB/CVM）
AML/监控规则与 STR 决策证据链
托管与资产隔离（钱包控制、对账）
稳定币与外汇属性处理
外包关键性评估与退出计划
消费者保护、披露与投诉机制

Q36：我是否必须在申请前就把系统全部开发完？

A：
不需要“全部完工”，但必须达到“可审查的可运行状态”：

核心控制已实现（KYC、限额、监控、提币审批、对账）
日志、工单、报表可导出
外包合同与治理已落地

交付建议：采用“监管可演示（regulatory demo）脚本”，用 30–60 分钟演示关键控制点。

Q37：巴西 VASP 是否需要“客户资产隔离”？

A：
若你涉及托管或集中控制客户资产，监管趋势必然要求强隔离、强对账、强权限控制与防挪用机制。

交付建议：Safeguarding Policy + Wallet Controls + Reconciliation SOP 三件套。

Q38：是否允许把客户资产放在海外托管机构？

A：
可能可行，但会引入更强的外包与跨境风险：数据、审计权、执法协作、资产追回、破产隔离等。监管与银行尽调通常会要求你证明：你对托管方有足够控制与审计权，并有退出与替代安排。

Q39：巴西 VASP 是否需要“消费者风险披露”？

A：
公开信息显示 BCB 的监管框架强调客户保护与风险/费用透明。

交付建议：把披露拆成 4 份：

风险披露（价格波动、链上风险、稳定币风险）
费用披露（费率、点差、隐藏费用禁止）
利益冲突披露（自营/做市/上币费）
资产保管与责任边界（托管条款）

Q40：巴西 VASP 最终“监管希望你证明什么”？

A：
清晰边界（你在做什么）+ 可运行控制（你怎么管）+ 证据链（你真的在执行）+ 治理问责（谁负责）+ 持续资源（你能长期合规经营）。

第 2 页｜Q41–Q80（公司结构、股东穿透、资金来源、治理与合规组织）

本文由仁港永胜（香港）有限公司拟定，并由唐生提供专业讲解。
本页重点解决监管在申请前 90% 必问的问题：
“你是谁？钱从哪里来？谁在真正控制？谁对风险负责？”

一、公司设立与控股结构（Q41–Q55）

Q41：申请巴西 VASP，是否必须先设立巴西本地公司？

A（交付级）：
在 BCB 授权 + 持续监管 的监管模型下，监管实践高度倾向要求：

在巴西有可执法、可问责、可审计的法律实体；
该实体作为 VASP 的授权主体（authorized entity）；
能直接对董事、高管、合规负责人行使监管权。

结论性写法（用于申请文件）：
“本申请由巴西注册成立的公司作为虚拟资产服务提供商的运营主体，接受 BCB 的授权与持续监管，并承担全部合规与消费者保护责任。”

Q42：是否可以使用“境外母公司 + 巴西子公司”的集团结构？

A：
可以，且这是最常见、也是监管可接受度最高的结构之一，但前提是：

巴西子公司为实际运营与授权主体；
集团层面不架空本地治理；
本地董事/高管拥有实质决策权（不是“空壳签字人”）。

交付建议：
提交《Group Structure & Governance Memo》，明确：

哪些决策在巴西；
哪些职能集中在集团（IT、风控模型、钱包技术）；
如何避免“影子管理（shadow management）”。

Q43：BCB 是否会穿透审查最终受益人（UBO）？

A：
会，而且是强制性重点审查项。
监管通常要求识别并披露：

直接与间接持股 ≥25% 的自然人；
对公司施加实质控制的人（即使持股 <25%）；
通过协议、投票权、否决权形成控制的安排。

交付材料清单：

股权结构图（100% 穿透至自然人）
股东名册
UBO 声明
控制权说明信（Control Statement）

Q44：如果股东是基金/信托/SPV，该怎么办？

A：
这类结构不是禁止，但审查深度会显著增加。
BCB 通常会要求：

穿透至最终自然人；
提供基金/信托设立文件；
说明投资决策权归属；
确认不存在匿名或不可识别控制人。

实务提醒：
结构越复杂，对 SoF/SoW、AML、治理透明度 的要求越高，审批时间越长。

Q45：是否允许中国/亚洲/欧美投资人控股巴西 VASP？

A：
原则上允许外资控股或全资，但监管关注点在于：

投资人背景合法、资金来源清晰；
不来自高风险司法辖区或受制裁主体；
不影响巴西监管对公司的实际控制。

交付建议：
提前准备《Foreign Shareholder Assessment Memo》，主动解释跨境结构合理性。

Q46：巴西是否限制 VASP 的股权比例或董事国籍？

A：
截至目前公开框架，并未设定统一的硬性国籍/比例限制，但：

实际控制与问责能力是核心；
若董事/高管长期不在巴西，将被质疑“空转治理”。

Q47：董事会（Board）是否必须在巴西？

A：
监管重点不是“物理地点”，而是：

是否具备对巴西运营的最终决策权；
是否能及时响应监管、风险与事故。

交付级写法：

董事会可全球化；
但必须设立巴西治理节点（本地董事/执行董事/授权委员会）。

Q48：巴西 VASP 至少需要几名董事？

A：
没有统一法定最低数，但从治理合理性与监管期望看：

至少 2–3 名董事更符合“分权与制衡”；
单一董事 + 高风险业务模式，审批风险明显偏高。

Q49：董事是否需要通过“适当人选（Fit & Proper）审查”？

A：
是的。
BCB 的监管方向明确要求：董事与高管需具备：

良好声誉（无重大犯罪/金融违规）；
足够专业能力与经验；
时间与精力投入。

交付材料：

履历（CV）
无犯罪/合规声明
专业背景说明
自我适当性声明（Fit & Proper Declaration）

Q50：如果董事来自传统金融以外（如科技/加密背景），会被否决吗？

A：
不会。
监管并不要求“必须银行出身”，但要求：

团队整体覆盖金融、风险、合规、技术；
不能出现**“全员技术、无人懂合规”**的结构。

Q51：巴西 VASP 是否需要设立专门的董事会委员会？

A：
不是强制写进法律，但强烈建议在交付文件中设立：

风险与合规委员会
审计/内控委员会
上币/产品审批委员会（如适用）

这是监管判断你是否“类金融机构治理”的关键加分项。

Q52：董事会需要承担哪些明确的合规责任？

A（交付级责任清单）：
董事会需对以下事项承担最终责任：

合规与 AML 体系有效性
客户资产安全与托管安排
重大风险与事件处置
高风险客户/产品批准
资源充足性（人力、预算、系统）

Q53：是否需要在章程或内部文件中明确董事责任？

A：
是，且这是监管非常看重的一点。
建议在以下文件中明确写明：

公司章程（Articles）
董事会议事规则（Board Charter）
合规与风险管理政策

Q54：BCB 是否会要求董事亲自出席面谈？

A：
在高风险或复杂申请中，完全可能。
尤其是涉及：

托管 + 交易平台
稳定币
大规模零售客户
外资控股

交付建议：提前准备《Board Interview Q&A Pack》。

Q55：如果董事未来变更，是否需要事前审批？

A：
监管趋势明确指向：

重大变更需事前或事后及时通报；
新董事仍需通过适当性审查。

在制度中必须写清《Change of Control / Management Notification Policy》。

二、资金来源（SoF/SoW）与资本安排（Q56–Q70）

Q56：申请巴西 VASP 是否必须证明“资金来源（SoF）”？

A：
是，而且是核心审查点之一。
监管不仅关心“钱有没有”，更关心：

是否来自合法来源；
是否与股东背景一致；
是否存在洗钱、非法集资或灰色资金风险。

Q57：SoF 与 SoW（财富来源）有什么区别？

A：

SoF（Source of Funds）：这笔投入公司的钱从哪里来；
SoW（Source of Wealth）：股东整体财富是如何积累的。

监管逻辑：
SoF 必须与 SoW 长期逻辑一致，否则会被要求补件或解释。

Q58：监管通常接受哪些类型的资金来源？

A：
常见可接受来源包括：

工资/奖金积累
企业经营利润分红
股权出售或投资收益
合法的数字资产投资收益（需证据链）
继承或赠与（需文件）

Q59：如果资金来自“加密资产盈利”，会被否决吗？

A：
不会自动否决，但审查会显著加强。
你必须提供：

交易平台记录
钱包地址与链上证明
税务合规解释
资金路径闭环（链上 → 银行 → 公司）

Q60：SoF/SoW 文件一般需要覆盖多长时间？

A：
实务中通常覆盖 3–5 年，以建立合理连续性。

Q61：是否需要提供银行流水？

A：
是的，尤其是：

出资账户；
主要收入账户；
大额资金进出记录。

Q62：资金尚未全部到位，可以先申请吗？

A：
部分情况下可行，但：

必须有出资承诺与时间表；
关键是能证明在获批/运营前资金可到位。

Q63：巴西是否有最低资本金要求？

A：
目前公开框架更强调风险为本的资本规划，而非单一固定数字。
但在实践中：

托管、零售平台、稳定币业务 → 资本期望更高；
资本不足会直接影响授权成功率。

Q64：资本是否必须以 BRL 注入？

A：
通常建议以 BRL 或可合法兑换为 BRL 的外币形式注入，
并能清晰解释外汇路径与合规性。

Q65：资本是否可以来自集团内部借款？

A：
可以，但：

需清楚界定为“股东贷款”还是“股本”；
贷款安排会被审查是否影响财务稳健性。

Q66：监管是否关注资本“用途”？

A：
非常关注。
你需要提交《Capital Use Plan》，覆盖：

技术与安全投入
合规与 AML 团队
客服与投诉处理
外包与审计费用
应急与风险准备

Q67：是否需要做压力测试（stress test）？

A：
强烈建议。
尤其对以下场景：

大规模提币
黑客事件
银行通道中断
市场剧烈波动

Q68：资本不足会有什么直接后果？

A：

申请被延后或附加条件；
要求追加资本；
限制业务范围（如禁止零售）。

Q69：监管是否会持续监督资本情况？

A：
是的。
资本不是“一次性过关”，而是持续性合规指标。

Q70：资本与赔付、保险有什么关系？

A：
资本是“最后兜底”；
保险是“特定风险缓释”；
两者不可互相替代。

三、合规组织与关键岗位（Q71–Q80）

Q71：巴西 VASP 是否必须设立合规负责人（CO）？

A：
是，且该岗位必须具备：

独立性
专业能力
向董事会直接汇报的通道。

Q72：AML 负责人（MLRO）是否可以与 CO 为同一人？

A：
在小型机构中可能被接受，但需证明：

资源充足
没有利益冲突
有替代与备份机制。

Q73：MLRO 的核心职责是什么？

A：

AML 体系设计与维护
交易监控与调查
STR 决策与提交
培训与审计配合

Q74：是否需要专职风险管理人员？

A：
对交易平台、托管、零售业务，强烈建议。
否则需说明风险职能如何被覆盖。

Q75：IT/信息安全负责人是否必须本地？

A：
不必然，但需确保：

能快速响应本地事件；
有清晰的责任与授权链。

Q76：合规人员是否可以外包？

A：
核心合规职能不宜完全外包。
可使用顾问支持，但责任不能外包。

Q77：是否需要内部审计？

A：
监管趋势明确要求第三道防线。
可内部或外包，但需独立性与年度计划。

Q78：员工是否需要定期合规培训？

A：
是。
培训需覆盖：AML、制裁、市场操纵、数据保护、客户保护，并留存记录。

Q79：关键岗位离职是否需要通报监管？

A：
通常是的，尤其是：

董事
CO / MLRO
CEO / CTO

Q80：监管最怕看到怎样的合规组织结构？

A：

合规挂名
一人多职无制衡
无本地决策权
无预算、无系统、无证据链

第 3 页｜Q81–Q120（AML/CFT 全流程、KYC/EDD、STR、制裁与链上分析）

本文由仁港永胜（香港）有限公司拟定，并由唐生提供专业讲解。
本页解决监管的核心追问：
“你如何防止平台被用于洗钱、恐怖融资、制裁规避与犯罪收益转移？”

一、AML/CFT 总体框架（Q81–Q90）

Q81：巴西 VASP 是否被正式纳入 AML/CFT 义务主体？

A（交付级）：
是的。
根据 Law No. 14,478/2022（BVAL） 及巴西既有 AML 体系，虚拟资产服务提供商被明确纳入反洗钱监管框架，与金融机构承担同等级别的 AML/CFT 义务。
这意味着 VASP 必须建立制度、系统、人员、报告与审计的完整闭环。

Q82：巴西 VASP 的 AML/CFT 合规目标是什么？

A：
不是“形式合规”，而是：

识别并理解客户及其交易风险；
防止虚拟资产被用于洗钱、恐怖融资、诈骗、制裁规避；
及时发现、调查并向主管机构报告可疑活动；
保持交易与资金路径的可追溯性。

Q83：AML/CFT 制度是否可以直接套用其他国家模板？

A：
不可以直接套用。
监管明确要求 risk-based approach（风险为本），即：

制度必须反映巴西市场特征；
结合你的业务模式（交易所 / OTC / 托管 / 稳定币）；
结合你的客户群体（零售 / 机构 / 跨境）。

交付建议：
在 AML 手册首页单列《Brazil Risk Context》，说明为何你的规则适用于巴西。

Q84：AML/CFT Program 通常包括哪些核心部分？

A（交付级目录）：

AML 总体政策（Policy）
风险评估（Enterprise-wide Risk Assessment, EWRA）
客户尽调（CDD / EDD）
交易监控（Transaction Monitoring）
制裁筛查（Sanctions Screening）
可疑交易报告（STR/SAR）
记录保存
培训
独立审计
董事会监督与资源保障

Q85：监管最先看 AML 的哪一部分？

A：
三件事：

风险评估是否真实（不是模板）；
监控规则是否可运行（不是口号）；
STR 决策是否留痕（不是拍脑袋）。

Q86：什么是 Enterprise-wide Risk Assessment（EWRA）？

A：
EWRA 是 AML 体系的“地基”，用于系统性识别：

客户风险
产品风险
地域风险
渠道风险
技术风险

并据此决定：

KYC 深度
监控强度
资源配置

Q87：EWRA 需要多久更新一次？

A：
至少 每年一次，并在以下情形触发即时更新：

新产品上线
新国家/地区客户
重大监管变化
重大风险事件（诈骗、黑客）

Q88：EWRA 需要董事会批准吗？

A：
是的。
这是监管判断“治理是否有效”的关键证据之一。

Q89：如果 EWRA 判断风险较高，会有什么后果？

A：
必须体现为：

更严格的 KYC / EDD
更密集的交易监控
更高层级审批
更频繁的审计与报告

否则会被认为“风险评估流于形式”。

Q90：AML/CFT 体系中，谁承担最终责任？

A：
董事会 + 高级管理层承担最终责任，MLRO 是执行与报告负责人，而不是“替罪羊”。

二、客户尽调（KYC / CDD / EDD）（Q91–Q105）

Q91：巴西 VASP 是否必须执行 KYC？

A：
是，且必须在建立业务关系前完成。
匿名账户、无名钱包服务在监管框架下不可接受。

Q92：最低限度的 KYC 信息包括哪些？

A（自然人）：

全名
出生日期
国籍
居住地址
官方身份证件
联系方式

法人客户需额外包括：

注册信息
董事与 UBO
业务性质说明

Q93：是否可以使用电子身份识别（e-KYC）？

A：
可以，且在巴西是主流做法，但前提是：

技术可靠；
防伪能力充分；
可审计、可追溯。

Q94：什么时候必须做增强尽调（EDD）？

A：
典型触发场景包括：

高风险国家/地区客户
PEP（政治公众人物）
大额或异常交易
复杂结构法人
稳定币/跨境频繁使用者

Q95：EDD 通常包括哪些额外措施？

A：

更深入的身份与背景调查
资金来源（SoF）文件
财富来源（SoW）解释
高级管理层审批
更频繁的交易复核

Q96：什么是 PEP？如何管理？

A：
PEP 包括：

政府高官
国有企业高管
其直系亲属与密切关系人

PEP 并非禁止客户，但必须：

明确标识
强制 EDD
持续监控

Q97：是否可以拒绝高风险客户？

A：
可以，且在很多情况下应该拒绝。
监管并不鼓励“为了业务而勉强接收不可控风险”。

Q98：KYC 信息多久更新一次？

A：

低风险客户：定期（如 2–3 年）
高风险客户：至少每年，或事件触发即时更新

Q99：如果客户拒绝提供 KYC 信息怎么办？

A：

不得建立或继续业务关系；
记录拒绝原因；
若存在可疑迹象，评估是否提交 STR。

Q100：是否允许“分级 KYC”（Tiered KYC）？

A：
可以，但需满足：

风险与限额成比例；
高风险功能（提币、稳定币、跨境）仅向高等级 KYC 开放。

Q101：巴西监管如何看待“自托管钱包客户”？

A：
自托管钱包并不豁免 AML 要求。
平台仍需：

识别客户身份；
监控交易模式；
评估链上风险。

Q102：是否必须识别客户钱包地址？

A：
是，尤其是：

提币地址
白名单地址
高频交互地址

并将地址与客户身份进行关联。

Q103：是否需要验证法人客户的真实业务？

A：
是。
监管非常关注“空壳公司 + 加密账户”的组合风险。

Q104：KYC 数据是否可以外包处理？

A：
技术上可以，但：

决策责任不能外包；
你必须对结果负责；
外包方需纳入外包治理与审计。

Q105：KYC 最大的合规雷区是什么？

A：

文件齐全但不理解客户；
没有持续更新；
与交易行为明显不匹配却未升级尽调。

三、交易监控、制裁与 STR（Q106–Q120）

Q106：巴西 VASP 是否必须进行交易监控？

A：
是，而且是 AML 体系的核心执行层。

Q107：交易监控应覆盖哪些行为？

A：
至少包括：

大额交易
频繁拆分交易
异常时间/频率
与高风险地址交互
快进快出（rapid in/out）
稳定币异常流转

Q108：是否必须使用链上分析工具？

A：
不是法律强制，但在实践中，几乎是事实标准。
不用链上分析，很难证明你具备识别犯罪资金的能力。

Q109：制裁筛查需要覆盖哪些对象？

A：

客户本人
UBO / 董事
交易对手（如可识别）
钱包地址（制裁名单关联）

Q110：制裁名单应如何更新？

A：

自动更新
至少每日同步
变更需有审计记录

Q111：什么情况下需要提交 STR（可疑交易报告）？

A：
当你知道、怀疑或有合理理由怀疑：

资金来自犯罪；
与恐怖融资、诈骗、制裁有关；
客户行为无法合理解释。

Q112：STR 由谁决定是否提交？

A：
由 MLRO 决定，但需：

有调查记录
有决策理由
不得受业务部门干预

Q113：STR 是否可以告知客户？

A：
不可以。
Tipping-off（通风报信）是严重违规行为。

Q114：STR 是否有最低金额门槛？

A：
不是金额问题，而是可疑性问题。
小额也可能高度可疑。

Q115：提交 STR 后是否必须冻结账户？

A：
不一定，需视风险与执法要求决定，但必须加强监控。

Q116：STR 记录需要保存多久？

A：
通常至少 5 年，或按更严格的适用规则。

Q117：监管是否会检查 STR 的“质量”？

A：
是的。
“数量多 ≠ 合规好”，
逻辑清晰、证据充分、判断合理才是重点。

Q118：如果未能及时提交 STR，会有什么后果？

A：
可能导致：

行政处罚
授权受限
严重情形下刑事责任风险

Q119：员工是否必须接受 AML 培训？

A：
是，且需：

定期
针对岗位
留存记录

Q120：AML 模块最容易被监管否定的原因是什么？

A：

有制度无执行
有系统无分析
有监控无判断
有判断无记录

第 4 页｜Q121–Q160（Travel Rule、稳定币、跨境交易、外汇属性与高风险场景）

本文由仁港永胜（香港）有限公司拟定，并由唐生提供专业讲解。
本页核心问题只有一句话：
“当资金开始跨链、跨平台、跨国流动时，你是否还能持续掌控？”

一、Travel Rule（旅行规则）全流程（Q121–Q135）

Q121：巴西是否已正式要求 VASP 落实 Travel Rule？

A（交付级）：
是的，监管趋势非常明确：
巴西已将虚拟资产服务纳入 AML 体系，Travel Rule 被视为 AML/CFT 的重要组成部分，尤其针对：

跨平台转账
跨境转账
稳定币与高频转移
即便具体技术字段与阈值仍在细化中，不做 Travel Rule 的 VASP 将被视为重大合规缺口。

Q122：Travel Rule 的核心监管目标是什么？

A：
监管并不是要求“技术炫技”，而是要做到三点：

发送方与接收方可识别
信息随转账流动
异常可被阻断、调查与报告

Q123：哪些交易必须纳入 Travel Rule 范围？

A：
通常包括：

VASP ↔ VASP 转账
VASP ↔ 托管钱包
涉及稳定币的转账
跨境虚拟资产转移
即使金额不大，只要风险高，也应纳入。

Q124：Travel Rule 是否适用于自托管钱包（unhosted wallet）？

A：
是的，但处理方式不同：

自托管钱包无法交换完整 VASP 信息；
监管期望你采取风险缓释措施，如：
- 地址验证
- 客户声明
- 转账限额
- 强化监控与 EDD

Q125：实施 Travel Rule 是否必须接入第三方 TRP（Travel Rule Provider）？

A：
不是法律强制，但在实务中：

几乎是行业标准；
能显著降低监管质疑；
便于形成证据链与审计记录。

Q126：BCB 在 Travel Rule 上最关注什么？

A：
不是你选了哪个供应商，而是：

是否覆盖全部适用交易；
是否有失败/缺失信息的处理机制；
是否与 AML、STR 决策真正联动。

Q127：Travel Rule 信息无法获取时，可以放行交易吗？

A：
取决于风险评估结果。
交付级制度应明确：

何种情形可放行（低风险、补充措施）
何种情形必须拒绝或延迟
何种情形触发 STR

Q128：Travel Rule 与交易监控如何协同？

A：
这是监管非常关注的一点：

Travel Rule 提供身份与对手方信息
交易监控提供行为与模式识别
两者必须在同一案件管理体系中汇合

Q129：Travel Rule 是否需要董事会知情？

A：
是的。
由于其涉及客户体验、合规成本与业务限制，
董事会需批准 Travel Rule 实施方案与风险取舍。

Q130：Travel Rule 的常见失败点有哪些？

A（监管雷区）：

只覆盖部分资产或链
失败交易无记录
自托管钱包无限放行
不与 STR 决策挂钩

Q131：如何向监管证明 Travel Rule 是“真的在运行”？

A（交付级证据链）：

成功/失败报文示例
日志与时间戳
风险评估与处置记录
STR 关联案例

Q132：Travel Rule 是否需要员工培训？

A：
必须。
尤其是客服、合规、交易监控人员，需理解：

为什么拦截
什么时候升级
如何向客户解释（不触发 tipping-off）

Q133：如果对手 VASP 不支持 Travel Rule，怎么办？

A：
需写入制度：

风险分级
临时缓释措施
合作方评估
长期整改或终止合作策略

Q134：Travel Rule 是否适用于 NFT 或 RWA？

A：
若 NFT/RWA 被用于价值转移或支付属性明显，
监管可能要求纳入 AML/Travel Rule 管控范围，
需按功能与风险而非“名称”判断。

Q135：Travel Rule 模块最容易被否定的原因是什么？

A：

“有系统但没制度”
“有制度但没证据”
“有证据但没决策逻辑”

二、稳定币（Stablecoins）合规与外汇属性（Q136–Q150）

Q136：巴西监管为何特别关注稳定币？

A：
因为稳定币：

与法币高度锚定
易被用于跨境转移价值
可能绕开传统外汇与支付监管

Q137：稳定币交易是否可能被视为“外汇业务”？

A：
在特定情形下，是的。
尤其是：

稳定币用于跨境支付
稳定币 ↔ BRL 高频兑换
稳定币被用作资金出入金桥梁

Q138：这对 VASP 有什么直接影响？

A：
你必须：

明确稳定币的业务定性
在 AML、监控、限额、披露上采取更高标准
避免“隐形外汇通道”的嫌疑

Q139：是否可以只做“稳定币交易”，不做法币？

A：
可以，但监管仍会关注：

客户是否通过你平台完成价值转移
是否构成支付或跨境结算功能
是否存在规避监管的结构设计

Q140：稳定币是否需要单独的风险披露？

A：
是，且必须明确：

发行人风险
储备风险
监管风险
技术与合约风险

Q141：是否可以对稳定币设定更低 KYC 门槛？

A：
不可以。
在监管眼中，稳定币风险不低于甚至高于普通加密资产。

Q142：稳定币转账是否必须纳入交易监控？

A：
必须，且应作为重点监控对象。

Q143：稳定币是否必须纳入 Travel Rule？

A：
是的，尤其是 VASP ↔ VASP、跨境场景。

Q144：如果平台支持多种稳定币，是否需要逐一评估？

A：
是的。
每一种稳定币都应有：

风险评级
上线审批记录
持续监控与退市机制

Q145：监管是否允许算法稳定币？

A：
监管态度极为审慎。
若允许上线，需提供更高强度的风险评估与披露。

Q146：稳定币相关违规最常见的表现是什么？

A：

把稳定币当“无风险现金”
不做跨境识别
不做 Travel Rule
不做储备/发行人风险评估

Q147：稳定币模块在申请材料中应如何呈现？

A（交付级建议）：
单独成章：《Stablecoin Risk & Compliance Framework》。

Q148：是否需要限制稳定币的单日转账额度？

A：
强烈建议，尤其针对：

新客户
自托管钱包
跨境转账

Q149：稳定币是否会影响整体资本与风险评估？

A：
是的。
稳定币占比越高，监管对：

资本
风控
监控系统
的期望越高。

Q150：稳定币最容易导致项目被延误的原因是什么？

A：
“稳定币 = 普通币” 的错误假设。

三、跨境交易与高风险场景（Q151–Q160）

Q151：什么是巴西 VASP 的“跨境交易”？

A：
包括但不限于：

客户位于境外
对手方 VASP 在境外
稳定币/加密资产用于跨境价值转移

Q152：跨境交易是否自动构成高风险？

A：
不一定，但通常至少是中高风险，需加强尽调与监控。

Q153：是否需要识别客户的实际居住地？

A：
是的，不能仅依赖国籍。
IP、设备、行为特征都应纳入评估。

Q154：跨境交易是否需要单独的监控规则？

A：
是。
例如：

高频跨境小额
稳定币快速进出
与高风险司法辖区交互

Q155：高风险司法辖区如何处理？

A：

强制 EDD
更严格限额
高层审批
必要时拒绝服务

Q156：是否需要做“国家风险矩阵”？

A：
是，且应与 EWRA 保持一致。

Q157：跨境交易是否必须与 STR 决策联动？

A：
必须。
跨境异常是 STR 的高频触发因素。

Q158：监管如何看待“全球可用平台”？

A：
监管不反对全球化，但要求：

明确哪些市场允许服务
哪些市场禁止触达
有 geo-block 与营销限制

Q159：是否需要在制度中写明“拒绝国家/地区名单”？

A：
强烈建议。
这是合规成熟度的重要标志。

Q160：跨境与稳定币模块的最大合规风险是什么？

A：
“技术已经全球化，但合规仍停留在本地思维。”

第 5 页｜Q161–Q200（交易平台规则、撮合机制、OTC / RFQ、做市、自营与市场操纵防控）

本文由仁港永胜（香港）有限公司拟定，并由唐生提供专业讲解。
本页监管核心问题：
“你这家平台，是否公平、透明、不操纵、不吃客户单？”

一、交易平台业务定性（Q161–Q170）

Q161：巴西监管如何界定“加密交易平台（Crypto Exchange / Trading Platform）”？

A（交付级）：
凡提供以下任何功能之一，通常即被视为交易平台并纳入重点监管：

撮合买卖订单（order book）
维护交易规则并执行成交
为第三方提供交易场所或机制
在平台内形成价格发现

即使不直接持有客户资产，只要你控制交易规则与撮合逻辑，即属于平台运营者。

Q162：只提供“技术撮合系统”，不参与定价，是否可以规避平台监管？

A：
不可以。
监管关注的是功能与实质，而非你如何描述自己。
若你：

设定交易规则
控制撮合顺序
决定哪些资产可交易

你就承担平台级别的监管义务。

Q163：OTC / RFQ 是否被视为交易平台？

A：
是的，在很多情形下。
若你：

组织 OTC / RFQ 报价
连接买卖双方
提供价格或执行通道

监管会要求你承担：

报价公平性
利益冲突管理
交易记录与审计责任。

Q164：如果平台只服务机构客户，监管会放松吗？

A：
不会显著放松。
机构客户≠低风险。
监管仍会重点审查：

市场操纵
利益冲突
内幕信息滥用。

Q165：交易平台是否必须公开交易规则？

A：
是的。
交易规则必须：

清晰
可获取
对所有用户一致适用

这是公平交易原则的核心体现。

Q166：交易规则至少应包含哪些内容？

A（交付级清单）：

订单类型与优先级
撮合逻辑（时间/价格优先）
交易时间与中断规则
成交与撤单机制
异常交易处理
停牌、限价、熔断安排

Q167：撮合算法是否需要向监管披露？

A：
不要求披露源代码，但必须：

清楚描述逻辑；
证明不存在歧视性或操纵性设计；
可接受审计与验证。

Q168：平台是否可以“暗箱处理”异常成交？

A：
不可以。
任何回滚、取消、调整成交的行为，必须：

有明确规则
有审批流程
有记录与通知机制

Q169：是否允许平台对不同客户设定不同交易条件？

A：
可以，但必须：

有客观标准（如交易量、风险等级）；
不得歧视；
不得用于操纵或不公平优势。

Q170：交易平台业务定性中最常见的合规错误是什么？

A：
“我们只是技术平台”——监管最不接受的说法之一。

二、做市、自营与利益冲突（Q171–Q185）

Q171：巴西是否允许加密交易平台自营交易（principal trading）？

A：
原则上不被一刀切禁止，但属于高度敏感行为。
监管会重点审查：

是否与客户交易存在冲突
是否影响价格形成
是否存在信息不对称

Q172：平台若开展自营，必须满足哪些前提？

A（交付级要求）：

明确披露自营身份
自营账户与客户账户严格隔离
信息隔离墙（Chinese Wall）
独立监控与审计
董事会批准

Q173：平台是否可以同时做“做市商（Market Maker）”？

A：
可以，但监管期望：

做市规则公开透明
报价不误导市场
不利用客户订单信息套利

Q174：做市与自营的最大合规风险是什么？

A：
抢跑（front-running）与操纵价格。

Q175：如何防止平台利用客户订单信息？

A（交付级控制）：

访问权限分层
日志与审计追踪
延迟访问机制
违规零容忍处罚

Q176：是否允许平台向做市商提供激励？

A：
可以，但必须：

披露激励机制
防止虚假交易（wash trading）
与真实流动性挂钩

Q177：上币费是否构成利益冲突？

A：
本身不违法，但属于高敏感事项。
必须：

明确披露
与上币决策隔离
防止“付费即上线”

Q178：是否必须设立“上币委员会”？

A：
不是法律强制，但在实务中极为重要，尤其是：

零售平台
稳定币、RWA、复杂代币

Q179：上币决策应基于哪些标准？

A（交付级标准）：

法律与监管定性
技术安全
市场操纵风险
流动性与透明度
发行人背景与治理

Q180：上币后是否还需要持续评估？

A：
必须。
上币不是一次性行为，应设立：

持续监控
触发退市条件
定期复审

Q181：退市是否需要提前公告？

A：
原则上是的，除非：

紧急风险
欺诈或违法行为

即便紧急退市，也必须有完整记录。

Q182：平台是否可以对特定资产设置交易限制？

A：
可以，且在高风险情形下应当这样做。

Q183：自营与做市模块最常见的监管否决原因是什么？

A：

披露不足
隔离不清
监控形同虚设

Q184：监管是否会要求提供历史交易数据？

A：
是的，尤其在调查操纵或投诉时。

Q185：交易相关违规可能带来哪些后果？

A：

罚款
限制业务
吊销授权
高管问责

三、市场操纵与内幕交易防控（Q186–Q200）

Q186：巴西监管是否关注加密市场操纵？

A：
非常关注。
尽管加密资产不同于传统证券，但操纵风险同样被严肃对待。

Q187：哪些行为被视为潜在市场操纵？

A：
包括但不限于：

Wash trading（对敲）
Pump & Dump
Spoofing
Layering
虚假流动性

Q188：平台是否必须建立市场监察系统？

A：
是的，尤其是面向零售客户的平台。

Q189：市场监察系统至少应具备哪些功能？

A（交付级）：

异常价格波动识别
异常成交量识别
关联账户分析
行为模式识别

Q190：是否可以仅依赖人工监察？

A：
不够。
人工 + 系统结合才符合监管期望。

Q191：内幕信息在加密平台是否构成监管问题？

A：
是的。
尤其是：

上币信息
系统变更
大额订单信息

Q192：如何防止内幕信息泄露？

A（交付级措施）：

信息分级
访问控制
保密协议
交易窗口限制

Q193：员工是否允许交易平台上的资产？

A：
可以，但必须：

披露
预审批
受限交易窗口

Q194：是否需要建立员工交易政策？

A：
是，且这是监管成熟度的重要标志。

Q195：若发现市场操纵迹象，平台应如何处理？

A：

立即调查
采取临时限制措施
记录证据
必要时提交 STR

Q196：是否必须向客户披露市场操纵风险？

A：
是的，属于客户风险披露的一部分。

Q197：监管是否会要求平台协助执法调查？

A：
是的，平台必须具备配合能力与流程。

Q198：市场监察模块常见补件点有哪些？

A：

规则过于笼统
无案例或日志
无处置流程

Q199：交易与市场模块最核心的合规逻辑是什么？

A：
你不能既当裁判，又当运动员，还不告诉观众。

Q200：本页内容用一句话概括是什么？

A：
交易自由不是监管真空，平台权力越大，责任越重。

第 6 页｜Q201–Q240（托管、钱包控制、签名机制、资产隔离、挪用防控与对账）

本文由仁港永胜（香港）有限公司拟定，并由唐生提供专业讲解。
本页监管核心问题只有一句：
“客户的钱，在任何时刻，是否都不会被你‘顺手用一下’？”

一、托管业务的监管定性（Q201–Q210）

Q201：什么情况下，巴西监管认为 VASP 正在从事“托管（Custody）”？

A（交付级）：
只要你满足以下任一条件，即通常被视为托管：

平台控制客户私钥或签名权限
客户资产存放于平台统一钱包
客户无法在未经过平台的情况下单独转移资产

即便你声称“技术托管”“代管”“云钱包”，只要控制权在你，就属于托管。

Q202：仅提供钱包技术、不掌握私钥，是否可以不算托管？

A：
在“真·非托管”前提下，可能不算，但监管会严格审查：

私钥生成与保存机制
是否存在后台恢复权限
是否可单方冻结或转移资产

形式上的“非托管”极易被否定。

Q203：托管是否属于高风险业务？

A：
是的，托管是巴西监管视角下的高风险核心业务，
通常意味着：

更高合规门槛
更严格资本与系统要求
更频繁的监管关注

Q204：是否可以只申请“交易平台”，不做托管？

A：
可以，但必须做到：

客户资产完全不进入你控制的钱包
与第三方托管方清晰分工
合同与技术上均可验证

否则容易被监管认定为“事实托管”。

Q205：托管业务是否需要单独在申请中明确？

A：
必须明确。
模糊托管定位，是被要求补件甚至重提申请的高频原因。

Q206：托管是否允许外包给第三方？

A：
可以，但前提是：

第三方具备合规资质
外包协议清晰
风险与责任划分明确
VASP 仍承担最终责任

Q207：监管是否接受海外托管方？

A：
可能接受，但会额外关注：

跨境风险
司法管辖
执法配合能力
破产与资产追回路径

Q208：托管是否必须纳入 AML / Travel Rule？

A：
是的。
托管账户是交易监控与资金路径分析的关键节点。

Q209：托管业务是否会影响牌照审批周期？

A：
是的，通常会：

延长审批时间
提高问询深度
要求更多系统演示与证据

Q210：托管模块最常见的监管否决原因是什么？

A：
“我们技术上能控制，但制度上不会乱用”——监管不接受这种表述。

二、钱包架构与签名机制（Q211–Q225）

Q211：监管期望的基本钱包架构是什么？

A（交付级）：
至少区分：

热钱包（Hot Wallet）
冷钱包（Cold Wallet）
运营钱包（Fees / Gas）

并明确每一类钱包的：

用途
限额
风险控制

Q212：是否必须使用多签（Multi-Sig）？

A：
强烈期望。
多签被视为防止单点挪用风险的基本工具。

Q213：多签是否可以由同一团队控制？

A：
不建议。
监管更认可：

职能分离
不同人员或部门掌握不同签名权

Q214：MPC 是否可以替代多签？

A：
可以，但必须：

清楚解释 MPC 原理
提供安全评估
证明权限不可被单方滥用

Q215：是否需要设置单笔/单日转账限额？

A：
是，且这是监管非常明确的期望。

Q216：热钱包资金比例是否有限制？

A：
没有固定比例，但监管通常期望：

热钱包仅存放必要流动性
大部分资产存放于冷钱包

Q217：冷钱包是否必须完全离线？

A：
原则上是。
任何“半离线”“可远程触达”的冷钱包，都会被深入质疑。

Q218：钱包私钥是否允许备份？

A：
可以，但必须：

加密
分散存储
有访问控制与日志

Q219：若私钥丢失，如何处理？

A：
必须在制度中明确：

恢复流程
审批机制
客户通知安排
风险承担说明

Q220：钱包架构是否需要第三方安全审计？

A：
强烈建议，且在托管业务中几乎是隐性门槛。

Q221：监管是否会要求钱包结构图？

A：
是的，而且是可交付级材料，非概念图。

Q222：钱包操作是否需要日志？

A：
必须，且应包括：

操作人
时间
目的
审批路径

Q223：是否允许紧急情况下绕过多签？

A：
仅在极端情形，且必须：

事前规则
事后审计
高层知情

Q224：钱包系统是否必须与交易系统隔离？

A：
是。
技术与权限隔离是防范内部风险的关键。

Q225：钱包与签名模块最常见的补件原因是什么？

A：

逻辑说得通，但技术证据不足
权限设计过于集中
缺乏应急与失败场景说明

三、客户资产隔离与挪用防控（Q226–Q240）

Q226：巴西监管是否要求客户资产与公司资产隔离？

A：
是，且这是底线要求。

Q227：资产隔离应体现在哪些层面？

A（交付级）：

法律结构（账户/合同）
会计记录
钱包地址
系统权限

Q228：是否允许动用客户资产用于运营？

A：
不允许。
这是严重违规行为。

Q229：是否可以将客户资产用于借贷或质押？

A：
仅在客户明确同意、披露充分且监管允许的情况下，
否则极易被否定。

Q230：客户资产是否需要单独对账？

A：
是，且应做到：

日对账
链上/链下核对
差异调查与记录

Q231：是否需要第三方参与资产对账？

A：
强烈建议，尤其是托管规模较大时。

Q232：对账出现差异应如何处理？

A：
制度应明确：

调查流程
临时冻结
升级路径
监管与客户通知

Q233：是否需要设立“客户资产负责人”？

A：
不是强制，但在实务中非常加分。

Q234：挪用风险如何在制度中体现？

A：

零容忍政策
员工问责
内部举报机制
刑事风险提示

Q235：监管是否关注内部舞弊风险？

A：
高度关注，尤其是：

权限过度集中
家族式管理
缺乏内控审计

Q236：是否需要购买保险覆盖托管风险？

A：
不是强制，但极具加分效果，尤其面向零售客户。

Q237：破产情形下，客户资产如何处理？

A：
必须明确：

客户资产不进入破产财产
可快速识别与返还
法律路径清晰

Q238：是否需要在客户协议中说明托管安排？

A：
必须，且应使用清晰、非误导性语言。

Q239：托管与资产保护模块的监管关注核心是什么？

A：
不是你“有没有坏心”，而是你“有没有可能做坏事”。

Q240：本页内容一句话总结是什么？

A：
托管不是技术问题，而是信任、制度与责任问题。

第 7 页｜Q241–Q280（IT 系统合规、网络安全、LGPD 数据保护、系统审计、BCP / DR）

本文由仁港永胜（香港）有限公司拟定，并由唐生提供专业讲解。
本页监管核心问题只有一句：
“如果系统今天出事，你还能不能守住客户资产、数据和业务连续性？”

一、IT 系统整体合规框架（Q241–Q250）

Q241：巴西监管是否要求 VASP 建立完整的 IT 治理体系？

A（交付级）：
是的。
VASP 不被视为普通互联网公司，而是受监管金融科技机构，监管期望看到：

IT 治理结构
系统架构说明
安全控制措施
责任人与审批机制

Q242：IT 系统合规是否仅指“交易系统”？

A：
不是。
监管关注的系统范围包括：

交易与撮合系统
钱包与托管系统
KYC / AML 系统
客户数据系统
日志、监控与报表系统

Q243：是否可以使用云服务（Cloud）？

A：
可以，但必须满足：

数据安全与访问控制
云服务商尽调
合同中明确责任
监管与审计可访问性

Q244：海外云服务器是否被允许？

A：
可能允许，但会被重点审查：

数据跨境传输
巴西执法可及性
LGPD 合规性
应急与恢复能力

Q245：系统是否必须 7×24 小时运行？

A：
业务上未必，但监管期望：

核心系统高可用
明确维护与停机安排
对客户有清晰通知机制

Q246：是否需要 IT 风险评估？

A：
必须。
IT 风险评估应至少覆盖：

网络攻击
内部滥用
系统故障
数据泄露
第三方依赖风险

Q247：IT 风险评估是否需要定期更新？

A：
是，通常建议：

每年至少一次
系统或业务重大变更后立即更新

Q248：是否需要指定 IT 负责人（如 CTO / CISO）？

A：
不是强制职称，但必须：

明确责任人
具备相应能力
对董事会负责

Q249：IT 合规模块最常见的补件原因是什么？

A：

描述偏概念化
无责任人
无实操流程与证据

Q250：监管如何判断 IT 系统是否“可控”？

A：
不是看你用什么技术，
而是看：谁能控制、谁能审计、谁能在出事时负责。

二、网络安全与系统防护（Q251–Q260）

Q251：巴西监管是否要求正式的网络安全政策？

A：
是的，且必须成文。
内容应包括：

威胁识别
防护措施
监控与响应
事故上报流程

Q252：是否需要定期渗透测试（Penetration Testing）？

A：
强烈期望。
尤其涉及：

钱包系统
API 接口
客户登录与认证模块

Q253：渗透测试必须由第三方完成吗？

A：
不是法律强制，但第三方报告显著提高可信度。

Q254：是否需要漏洞管理流程？

A：
必须。
包括：

漏洞分级
修复时限
验证与复测
记录留存

Q255：是否需要 DDoS、防火墙等基础防护？

A：
是，属于基本安全要求。

Q256：是否需要多因素认证（MFA）？

A：
强烈期望，尤其是：

管理员账户
钱包操作
高风险功能

Q257：是否需要记录所有系统访问日志？

A：
必须，且日志应：

防篡改
可追溯
保存符合监管年限要求

Q258：若发生网络攻击，应如何处理？

A：
制度应明确：

事件分级
紧急响应
内部升级
向监管与客户通报的条件与时限

Q259：网络安全事故是否可能影响牌照？

A：
是的。
尤其是：

处置不当
隐瞒不报
重复发生

Q260：网络安全模块的监管关注核心是什么？

A：
不是“会不会被攻击”，而是“被攻击后是否失控”。

三、LGPD 数据保护与隐私（Q261–Q270）

Q261：VASP 是否必须遵守巴西《LGPD 数据保护法》？

A：
是的，只要处理巴西个人数据，即必须遵守。

Q262：LGPD 是否仅适用于巴西公民？

A：
不是。
适用于：

位于巴西的个人
与巴西市场相关的数据处理活动

Q263：VASP 在 LGPD 中通常扮演什么角色？

A：
通常为：

数据控制者（Controller）
或控制者 + 处理者（Processor）

Q264：是否需要指定数据保护负责人（DPO）？

A：
强烈建议。
即使不强制，指定 DPO 是合规成熟的重要体现。

Q265：是否需要隐私政策（Privacy Policy）？

A：
必须，且需：

易于理解
明确数据用途
告知权利与申诉渠道

Q266：客户是否有权要求删除其数据？

A：
在一定条件下是的，但需与：

AML
记录保存义务
进行平衡与说明。

Q267：是否允许将客户数据传输至海外？

A：
可以，但必须：

符合 LGPD 跨境数据要求
有适当保障措施
在隐私政策中披露

Q268：数据泄露是否需要通报？

A：
是的，严重泄露需：

向主管机关
向受影响个人
进行通报。

Q269：LGPD 违规可能带来哪些后果？

A：

罚款
业务限制
声誉风险
监管升级审查

Q270：数据保护模块最常见的合规误区是什么？

A：
把隐私政策当“网站装饰”，而不是治理工具。

四、业务连续性与灾难恢复（BCP / DR）（Q271–Q280）

Q271：巴西监管是否要求 VASP 建立 BCP / DR？

A：
是的，尤其涉及托管、交易与支付功能。

Q272：BCP（业务连续性）关注什么？

A：

关键业务识别
中断影响分析
替代流程
人员与系统安排

Q273：DR（灾难恢复）关注什么？

A：

数据备份
恢复时间目标（RTO）
数据丢失容忍度（RPO）
恢复测试

Q274：BCP / DR 是否需要测试？

A：
必须，且应：

定期演练
有记录
有改进措施

Q275：系统大规模故障是否必须通知监管？

A：
在重大影响情形下，是的。

Q276：是否需要备用数据中心？

A：
视规模与风险而定，但至少需：

数据异地备份
可行的恢复方案

Q277：第三方系统故障如何纳入 BCP？

A：
必须纳入。
第三方风险不等于可免责。

Q278：BCP / DR 是否需要董事会批准？

A：
强烈期望。
这是高层治理责任的一部分。

Q279：BCP / DR 模块最常见的补件原因是什么？

A：

只写原则，不写场景
无测试记录
无责任人

Q280：本页一句话总结是什么？

A：
系统不是为了平时运行，而是为了“出事时不崩”。

第 8 页｜Q281–Q320（公司治理、董事会责任、高管问责、内部控制与三道防线）

本文由仁港永胜（香港）有限公司拟定，并由唐生提供专业讲解。
本页监管核心问题：
“你的公司，到底是谁在负责？”

一、公司治理总体框架（Q281–Q290）

Q281：巴西监管是否关注 VASP 的公司治理结构？

A（交付级）：
高度关注。
监管已明确将 VASP 视为受审慎监管的金融类机构，治理结构不是“形式文件”，而是风险管理基础。

Q282：公司治理通常需要覆盖哪些层级？

A：
至少包括：

股东层
董事会
高级管理层
合规、风控、审计等控制职能

Q283：是否必须设立董事会？

A：
取决于公司结构与规模，但在以下情形中几乎是隐性要求：

涉及托管
面向零售客户
交易平台或稳定币业务

Q284：董事会在 VASP 中的核心责任是什么？

A：

设定风险偏好
批准重大政策（AML、IT、BCP、托管等）
监督高管
对监管负责

Q285：董事是否需要具备加密或金融经验？

A：
不是法律强制，但监管期望：

至少部分董事具备相关经验
董事会整体“懂业务、懂风险”

Q286：是否允许名义董事（Nominee Director）？

A：
形式上可能存在，但监管将重点审查：

实际决策权
是否履行职责
是否仅“挂名”

Q287：董事会是否需要定期会议？

A：
是的，且应：

有会议频率
有议程
有会议记录与决议

Q288：监管是否会要求提供董事会会议记录？

A：
在审查、调查或续期中，完全可能。

Q289：公司治理模块最常见的补件原因是什么？

A：

结构清晰，但责任模糊
文件齐全，但无人真正履职

Q290：监管如何判断公司治理是否“有效”？

A：
不是看组织图，而是看：
决策有没有来源，风险有没有上达，问题有没有人兜底。

二、高级管理层责任与问责（Q291–Q300）

Q291：哪些人被视为“高级管理人员（Senior Management）”？

A：
通常包括：

CEO / Managing Director
COO / CFO
CTO / CISO
合规负责人（Compliance Officer）
MLRO

Q292：高级管理层是否承担个人监管责任？

A：
是的。
巴西监管趋势明确：责任可穿透至个人。

Q293：高管是否需要通过适当性审查（Fit & Proper）？

A：
是的，通常涵盖：

诚信与声誉
专业能力
经验与履职记录

Q294：是否允许同一人兼任多个关键职能？

A：
在小型机构中可能允许，但需：

解释合理性
证明无重大冲突
有补充控制措施

Q295：合规负责人是否可以向 CEO 汇报？

A：
可以，但监管更认可：

合规负责人对董事会或独立董事有直接汇报路径

Q296：MLRO 是否必须独立？

A：
原则上是。
MLRO 不应因商业压力而影响 STR 决策。

Q297：高管是否必须接受合规培训？

A：
必须。
监管认为“不懂合规不是免责理由”。

Q298：若发生严重违规，高管可能面临哪些后果？

A：

罚款
任职限制
被列为不适当人选
刑事风险（严重情形）

Q299：高管责任模块最常见的误区是什么？

A：
把合规当部门问题，而不是管理层责任。

Q300：一句话总结高管责任是什么？

A：
权力越集中，责任越不可转移。

三、内部控制与“三道防线”（Q301–Q320）

Q301：什么是“三道防线”模型？

A（交付级）：

第一道防线：业务部门（执行与自控）
第二道防线：合规 / 风控（监督与指导）
第三道防线：内部审计（独立检查）

Q302：巴西监管是否要求正式建立三道防线？

A：
虽然不总是用该术语，但监管期望你具备实质等效的结构。

Q303：第一道防线的责任是什么？

A：

在日常业务中识别风险
遵守政策与流程
对异常进行初步处理与上报

Q304：第二道防线的核心职能是什么？

A：

制定政策
监督执行
监控风险指标
向管理层报告

Q305：第三道防线是否必须外包？

A：
可以外包，也可以内部设立，但必须：

独立
具备专业能力
直接向董事会汇报

Q306：内部审计是否需要覆盖 AML 与 IT？

A：
是的，且这是监管重点。

Q307：内部审计报告是否需要整改跟踪？

A：
必须，且应：

有整改计划
有时限
有责任人

Q308：是否需要风险委员会或合规委员会？

A：
不是强制，但在复杂业务中非常加分。

Q309：内部控制是否需要书面化？

A：
必须。
“靠经验运作”不被监管接受。

Q310：内部控制是否需要定期评估？

A：
是，尤其在：

业务扩展
系统升级
监管规则变化后

Q311：员工是否需要参与风险管理？

A：
是的。
风险管理不是合规部门的“独角戏”。

Q312：是否需要内部举报机制（Whistleblowing）？

A：
强烈建议，且需：

匿名
保护举报人
有调查流程

Q313：内部控制失败是否可能导致牌照被限制？

A：
是的，尤其在重复或系统性失败时。

Q314：监管如何识别“纸面合规”？

A：

询问不同人员回答是否一致
抽查案例
查看日志与决策记录

Q315：三道防线中最薄弱的一环通常是？

A：
第一道防线——业务部门。

Q316：如何强化第一道防线？

A（交付级）：

培训
KPI 挂钩
明确问责
简化流程

Q317：三道防线是否需要董事会背书？

A：
是的，这是治理有效性的关键。

Q318：内部控制模块最常见的监管否定点是什么？

A：

职责交叉
无独立性
无证据

Q319：本页内容的监管逻辑核心是什么？

A：
风险不能只被发现，还必须有人负责、有人解决。

Q320：一句话总结本页内容是什么？

A：
监管不是找制度漏洞，而是找“无人负责”的地方。

第 9 页｜Q321–Q360（申请流程、监管沟通、RFI 应对、审批节奏与被拒原因）

本文由仁港永胜（香港）有限公司拟定，并由唐生提供专业讲解。
本页监管核心问题只有一句：
“你是不是一个‘监管愿意继续跟你聊下去’的申请人？”

一、牌照申请整体流程（Q321–Q330）

Q321：巴西 VASP 牌照申请是否为“一次性递交”？

A（交付级）：
不是。
实务中更接近：
递交 → 初审 → RFI（补件/问询）→ 再审 → 条件性批准 / 批准 / 拒绝。

Q322：申请材料通常包括哪些核心模块？

A：

公司与股权结构
董事与高管适当性
商业模式说明
AML/CFT 制度
托管与资产保护
IT / 网络安全
治理与内控
财务与资本说明

Q323：商业模式说明在审批中有多重要？

A：
极其重要。
这是监管理解你风险画像的“入口文件”，
后续所有问询都会围绕它展开。

Q324：是否可以在申请后再“慢慢调整业务模式”？

A：
不建议。
监管更偏好：

业务边界清晰
初始模型可控
后续变更走正式审批

Q325：申请是否有固定审批时限？

A：
没有硬性时限。
审批节奏高度取决于：

材料质量
RFI 回复速度
风险复杂度

Q326：是否可以并行准备系统与制度？

A：
必须并行。
“制度写完但系统未就绪”是被拖延的高频原因。

Q327：是否需要在申请阶段进行系统演示？

A：
越来越常见，尤其涉及：

托管
交易平台
AML 监控

Q328：监管是否接受“未来承诺型”方案？

A：
非常有限。
监管更关注：现在是否已经可运行。

Q329：流程中是否可以与监管非正式沟通？

A：
可以，且在复杂项目中非常有价值，
但前提是：

准备充分
说得清楚
不前后矛盾

Q330：申请流程中最关键的成功因素是什么？

A：
让监管“快速理解你”，而不是“反复猜你想做什么”。

二、RFI（补件 / 问询）机制与应对（Q331–Q345）

Q331：什么是 RFI？

A：
RFI（Request for Information）是监管在初审或复审中提出的：

补充材料
澄清说明
风险解释

Q332：收到 RFI 是否代表申请存在问题？

A：
不一定。
绝大多数项目都会经历 RFI，
关键在于你如何回应。

Q333：RFI 通常集中在哪些模块？

A：

商业模式与资金流
托管与钱包控制
AML / Travel Rule
IT 安全
治理与高管职责

Q334：RFI 回复是否有时限？

A：
通常有指引性时限，
但实务中可在合理范围内沟通延期。

Q335：RFI 回复应采取什么形式？

A（交付级）：

逐条编号对应
清晰、简洁、直击问题
必要时附流程图、截图、制度修订版

Q336：是否可以在 RFI 中“顺便修改原方案”？

A：
可以，但需：

明确说明修改点
解释修改原因
确保前后一致

Q337：RFI 回复中最忌讳什么？

A：

回避问题
复制粘贴制度原文
使用大量模糊表述（如“视情况而定”）

Q338：是否可以在 RFI 中与监管“辩论”？

A：
不建议对立式辩论。
更好的方式是：

理解监管关切
给出风险缓释方案
展示合作态度

Q339：多轮 RFI 是否正常？

A：
在复杂项目中是正常的，
但每一轮都应显著减少不确定性。

Q340：RFI 回复质量会影响审批结果吗？

A：
会，且影响很大。
监管常通过 RFI 判断：

管理层能力
合规成熟度
沟通可信度

Q341：是否可以在 RFI 中补充新的支持文件？

A：
可以，且常被视为积极信号。

Q342：RFI 回复是否需要董事会或高管背书？

A：
在重大问题上，非常加分。

Q343：RFI 回复后是否一定会下牌？

A：
不一定，但好的 RFI 回复通常会：

缩短后续流程
降低附加条件

Q344：RFI 阶段最常见的失败原因是什么？

A：
把 RFI 当作“补作业”，而不是“合规对话”。

Q345：一句话总结 RFI 应对逻辑是什么？

A：
RFI 不是考你有没有错，而是看你会不会改。

三、审批结果、条件与被拒原因（Q346–Q360）

Q346：巴西监管可能给出哪些审批结果？

A：

无条件批准
附条件批准
延期审查
拒绝

Q347：什么是“附条件批准”？

A：
即允许持牌，但需在限定期限内：

完成系统升级
补充人员
完善制度

Q348：附条件未完成会有什么后果？

A：

业务受限
罚款
暂停或撤销授权

Q349：最常见的附加条件集中在哪些方面？

A：

托管与钱包控制
IT 安全
AML 系统成熟度
治理与人员配置

Q350：监管会直接拒绝哪些类型的申请？

A：

商业模式不清晰
风险不可控
高管不适当
严重资料不实

Q351：被拒后是否可以重新申请？

A：
通常可以，但需：

明确拒绝原因
实质整改
等待适当时间

Q352：被拒是否会影响未来申请？

A：
会被记录，但整改到位仍有机会。

Q353：是否可以只申请低风险业务以提高成功率？

A：
是的，这是常见策略之一。

Q354：审批阶段监管最看重哪一点？

A：
你是否清楚自己在承担什么风险。

Q355：是否存在“关系型”审批？

A：
不应依赖。
长期来看，材料与能力才是决定因素。

Q356：监管是否会关注申请人的国际背景？

A：
会，尤其是：

其他司法辖区合规记录
是否曾被处罚
跨境业务经验

Q357：审批结果是否可以申诉？

A：
在程序上可能存在路径，但成功率有限。

Q358：如何最大程度避免被拒？

A（交付级）：

先定业务边界
先建系统与制度
先补人员与治理
再正式递交

Q359：申请流程模块一句话总结是什么？

A：
监管审批不是考试，而是一次长期合作的“面试”。

Q360：本页内容的最终结论是什么？

A：
审批的本质，是监管在判断“能不能放心把牌照交给你”。

第 10 页｜Q361–Q400（持续监管、年审、报告义务、处罚、退出与牌照终止）

本文由仁港永胜（香港）有限公司拟定，并由唐生提供专业讲解。
本页监管核心问题只有一句：
“牌照不是终点，而是监管关系的开始。”

一、持续监管与日常合规义务（Q361–Q375）

Q361：取得巴西 VASP 授权后，是否会被持续监管？

A（交付级）：
是的。
巴西监管采用**持续监管（Ongoing Supervision）**模式，重点关注：

业务是否偏离获批范围
风险是否显著上升
治理与系统是否持续有效

Q362：持续监管主要通过哪些方式进行？

A：

定期报告
主题性问询
非现场审查
现场检查（必要时）

Q363：是否需要提交定期合规报告？

A：
是的，通常包括：

业务与风险概览
AML / STR 数据
系统与安全事件
重大变更说明

Q364：是否需要提交年度报告或年审材料？

A：
是的。
年审通常关注：

财务状况
内控与治理
托管与资产隔离
IT 与安全更新

Q365：监管是否会抽查交易与客户数据？

A：
可能。
因此必须确保：

记录完整
数据可追溯
日志不可篡改

Q366：业务发生变化是否必须事前申报？

A：
重大变更通常需要：

事前通知或批准
更新商业模式与风险评估

Q367：哪些变化通常被视为“重大变更”？

A：

新增高风险业务（如托管、自营）
重大系统架构调整
股权或控制权变更
高管变更

Q368：是否需要持续更新 AML / 风险评估？

A：
必须。
EWRA / BWRA 应随着：

客户结构
产品类型
地域风险
变化而更新。

Q369：是否需要持续员工培训？

A：
是的，且应：

定期
有记录
覆盖业务、合规与高管层

Q370：监管是否会关注投诉处理情况？

A：
会。
投诉是重要风险信号，处理不当可能引发专项审查。

Q371：未按时提交报告会有什么后果？

A：

警告
罚款
被视为治理缺陷
后续监管升级

Q372：持续监管阶段最常见的合规失败点是什么？

A：
“下牌后松懈，把合规当一次性项目。”

Q373：是否可以外包部分合规职能？

A：
可以，但：

不可外包最终责任
必须可监督、可审计

Q374：监管是否接受“合规即服务（Compliance-as-a-Service）”？

A：
可以，但前提是：

内部仍具备理解与决策能力

Q375：一句话总结持续监管逻辑是什么？

A：
监管不是查你有没有犯错，而是盯你会不会失控。

二、违规、处罚与执法风险（Q376–Q390）

Q376：巴西监管可采取哪些处罚措施？

A：

行政罚款
业务限制
暂停或撤销授权
高管问责

Q377：哪些违规最容易被重罚？

A：

客户资产挪用
严重 AML 失职
虚假披露
系统性内控失败

Q378：是否存在刑事风险？

A：
在严重情形下，可能存在，尤其涉及：

洗钱
欺诈
挪用资金

Q379：处罚是否会公开？

A：
在很多情况下会，
声誉风险往往大于罚款本身。

Q380：如何降低被处罚的概率？

A（交付级）：

早发现、早报告
主动整改
与监管保持透明沟通

Q381：自我报告是否有减罚效果？

A：
在很多监管体系中，是的。

Q382：是否可以对处罚决定提出异议？

A：
程序上可能，但成功率有限，
且可能影响监管关系。

Q383：重复违规会有什么后果？

A：

处罚加重
高管适当性受影响
牌照风险显著上升

Q384：监管是否会进行跨部门或跨境协作？

A：
会，尤其在：

跨境业务
洗钱调查
稳定币与资金外流问题

Q385：处罚模块最核心的风险是什么？

A：
不是一次错误，而是系统性失控。

Q386：如何向董事会汇报处罚与风险？

A：

事实清楚
风险量化
有整改路线图

Q387：监管是否会要求更换高管？

A：
在严重治理失败时，完全可能。

Q388：处罚记录是否会影响其他国家牌照？

A：
是的，跨辖区尽调通常会调取相关信息。

Q389：一句话总结处罚逻辑是什么？

A：
监管处罚的目标不是“罚你”，而是“防止再发生”。

Q390：处罚章节最终结论是什么？

A：
合规失败，最终买单的一定是管理层。

三、退出机制、牌照终止与有序清盘（Q391–Q400）

Q391：VASP 是否可以主动退出或注销牌照？

A：
可以，但必须走**有序退出（Orderly Wind-down）**流程。

Q392：什么是有序退出？

A：
在停止业务前：

保障客户资产
完成客户清算
向监管报告
保存必要记录

Q393：是否可以“直接关站走人”？

A：
不可以。
无序退出可能引发：

行政处罚
高管个人责任
刑事风险

Q394：退出时最重要的监管关注点是什么？

A：
客户资产与数据是否安全、完整、可追回。

Q395：是否需要提交退出计划（Wind-down Plan）？

A：
强烈期望，尤其是：

托管规模较大
客户数量较多的 VASP

Q396：退出期间是否仍需履行报告义务？

A：
是的，直到正式注销完成。

Q397：牌照被撤销与主动退出有何不同？

A：

主动退出：可控、风险相对低
被撤销：高度不利，影响深远

Q398：退出后是否仍需保存记录？

A：
是的，需按法规保存 AML、交易等记录若干年。

Q399：退出机制中最常见的合规失败是什么？

A：

未提前规划
忽视客户沟通
资产与数据处理混乱

Q400：全篇 FAQ 的一句话终极总结是什么？

A：
牌照不是护身符，而是一份长期、可追责的合规契约。

仁港永胜结论与行动建议（Executive Conclusion & Action Plan）

如果你准备进入巴西加密市场，正确顺序只有一个：

1️⃣ 先定业务边界（交易 / 托管 / 稳定币 / 跨境）
2️⃣ 先建系统与制度（AML、托管、IT、安全、治理）
3️⃣ 先配人、先演示（不是 PPT）
4️⃣ 再正式递交申请
5️⃣ 把 RFI 当合规对话，而不是补作业

为何选择仁港永胜（核心服务优势）

✔ 交付级合规文件：不是模板，是可直接递交监管的版本
✔ 全流程实操经验：从商业模式拆解到 RFI 应答
✔ 跨司法辖区视角：避免“巴西合规但全球不可用”的结构错误
✔ 监管语言能力：把复杂业务讲成监管听得懂的话
✔ 长期陪跑：不止拿牌，更关注持续合规与扩展

关于仁港永胜（Hong Kong）

我们仁港永胜在全球各地设有专业的合规团队，提供针对性的合规咨询服务。我们为受监管公司提供全面的合规咨询解决方案，包括帮助公司申请初始监管授权、制定符合监管要求的政策和程序、提供季度报告和持续的合规建议等。我们的合规顾问团队拥有丰富经验，能与您建立长期战略合作伙伴关系，提供量身定制的支持。

专注领域：

全球加密 / 金融牌照申请
VASP / CASP / DLT / 支付牌照
AML/CFT 制度搭建与持续合规
托管、交易平台、稳定币合规架构设计

—— 合规咨询与全球金融服务专家 ——

公司中文名称：仁港永胜（香港）有限公司
公司英文名称：Rengangyongsheng (Hong Kong) Limited

专业讲解与项目负责人：唐生（唐上永，Tang Shangyong）

总部地址：
香港特别行政区西九龙柯士甸道西 1 号
香港环球贸易广场（ICC）86 楼

办公地址：

香港湾仔轩尼诗道 253–261 号依时商业大厦 18 楼
深圳福田卓越世纪中心 1 号楼 11 楼
香港环球贸易广场 86 楼

联系人： 唐生（唐上永，Tang Shangyong）

香港 / WhatsApp：+852 9298 4213
深圳 / 微信：+86 159 2000 2080
邮箱：Drew@cnjrp.com
官网：www.jrp-hk.com

来访提示：请至少提前 24 小时预约。（如需：PDF 交付版 / 监管递交版 / 内部培训版 / RFI 模板包，可进一步联系唐生有偿索取）

免责声明（Disclaimer）

本文由 仁港永胜（香港）有限公司 拟定，并由 唐上永（唐生） 提供专业讲解。

本文内容仅供一般合规研究与监管沟通参考，
不构成法律意见或对监管结果的保证。
具体适用性需结合申请主体、业务模式及监管口径变化进行个案分析。仁港永胜保留对本文内容更新与修订的权利。

至此，《巴西 Brazil 加密交易 / 虚拟资产服务牌照申请注册常见问题（FAQ）》讲解完毕。

如欲查询更多巴西 Brazil 加密交易/虚拟资产服务牌照申请注册常见问题（FAQ）有关的资料，请与我们仁港永胜的专业顾问联络，我们将为您提供免费咨询服务。[点击联系公司注册专业顾问]

24小时专业顾问：15920002080（深圳/微信同号） 852-92984213（Hongkong/WhatsApp）

上一页： 萨尔瓦多 El Salvador 加密交易 / 虚拟资产服务牌照常见问题解答，El Salvador (DASP) License（FAQ）
下一页： 开曼 Cayman Islands VASP 虚拟资产服务牌照 FAQ，Cayman Islands VASP FAQ