投資加密資產(chǎn)的注冊投資顧問（RIAs）面臨著監(jiān)管不明確和資產(chǎn)托管選擇有限的困境。更為復雜的是，加密資產(chǎn)帶有與 RIAs 以往負責的資產(chǎn)不同的所有權(quán)和轉(zhuǎn)讓風險。RIAs 的內(nèi)部團隊（運營、合規(guī)、法務等部門）竭盡全力尋找愿意且符合期望的第三方托管人，盡管付出諸多努力，他們還是難以找到合格的托管人，結(jié)果就是 RIAs 不得不自行持有這些資產(chǎn)。因此，當前加密資產(chǎn)托管面臨著獨有的法律和運營風險。

加密行業(yè)需要的是一種原則上的方法，來為幫助客戶保護加密資產(chǎn)的專業(yè)投資者解決這一關(guān)鍵問題。在回應美國證券交易委員會（SEC）近期的信息征集請求時，我們制定了一些原則，若能夠?qū)嵤@些原則將把《投資顧問法》托管規(guī)則的目標延伸至新的加密資產(chǎn)類別。

傳統(tǒng)資產(chǎn)的持有人對資產(chǎn)的控制意味著其他人沒有控制權(quán)。但加密資產(chǎn)并非如此，可能有多個實體能夠訪問與一組加密資產(chǎn)相關(guān)的私鑰。

加密資產(chǎn)通常還附帶多種對資產(chǎn)至關(guān)重要的內(nèi)在經(jīng)濟和治理權(quán)利。傳統(tǒng)債務或證券可以「被動」賺取收益（如股息或利息），持有人在獲取資產(chǎn)后無需轉(zhuǎn)移資產(chǎn)或采取任何進一步行動。相比之下，加密資產(chǎn)持有人可能需要采取行動來解鎖與資產(chǎn)相關(guān)的特定收益或治理權(quán)利。根據(jù)第三方托管人的能力，RIAs 可能需要暫時將這些資產(chǎn)轉(zhuǎn)出托管，以解鎖這些權(quán)利。例如，某些加密資產(chǎn)可以通過質(zhì)押或收益耕作賺取收益，或者對協(xié)議或網(wǎng)絡升級的治理提案擁有投票權(quán)。這些與傳統(tǒng)資產(chǎn)的差異給加密資產(chǎn)托管帶來了新的挑戰(zhàn)。

為便于追蹤何時適合自我托管，我們制定了這個流程圖。

我們在此提出的原則旨在為 RIAs 揭開托管的神秘面紗，同時保留其保護客戶資產(chǎn)的責任。目前專注于加密資產(chǎn)的合格托管人（如銀行或經(jīng)紀自營商）市場極其狹小；因此，我們的主要關(guān)注點在于托管實體是否有能力提供我們認為托管加密資產(chǎn)所必需的實質(zhì)性保護措施，而不僅僅是該實體作為《投資顧問法》下合格托管人的法律地位。

我們建議，當滿足實質(zhì)性保護措施的第三方托管解決方案不可用或不支持經(jīng)濟和治理權(quán)利時，有能力滿足實質(zhì)性保護要求的 RIAs 可將自我托管作為一種途徑。

我們的目標不是將托管規(guī)則的范圍擴大到證券之外。這些原則適用于屬于證券的加密資產(chǎn)，并為其他資產(chǎn)類型規(guī)定了滿足 RIAs 受托責任的標準。RIAs 應尋求在類似條件下持有不屬于證券的加密資產(chǎn)，并記錄所有資產(chǎn)的托管實踐，包括針對不同類型資產(chǎn)的托管實踐存在重大差異的原因。

法律地位以及與特定法律地位相關(guān)的保護措施對托管人的客戶很重要，但在涉及加密資產(chǎn)托管時，這并非全部考量因素。例如，聯(lián)邦特許銀行和經(jīng)紀自營商受托管法規(guī)約束，為客戶提供嚴格保護，但州特許信托公司和其他第三方托管人也可以提供類似程度的保護。

托管人的注冊不應是其是否有資格托管加密資產(chǎn)證券的唯一決定因素。在加密領域，「合格托管人」的范圍應予以擴大，還應包括：

州特許信托公司（意味著它們除了接受州或聯(lián)邦銀行監(jiān)管機構(gòu)的監(jiān)督和檢查外，無需滿足《投資顧問法》中「銀行」的定義標準）；

根據(jù)（擬議的）聯(lián)邦加密市場結(jié)構(gòu)立法注冊的任何實體；

任何其他能夠證明自身符合嚴格客戶保護標準的實體，無論其注冊狀態(tài)如何。

無論使用何種技術(shù)工具，托管人都應圍繞加密資產(chǎn)托管采取一定的保護措施。這些措施包括：

1、權(quán)力分離：加密資產(chǎn)托管人在沒有 RIAs 配合的情況下，不應能夠?qū)⒓用苜Y產(chǎn)轉(zhuǎn)出。

2、資產(chǎn)隔離：加密資產(chǎn)托管人不應將為 RIAs 持有的任何資產(chǎn)與為其他實體持有的資產(chǎn)混合。不過，注冊經(jīng)紀自營商可以使用單一綜合錢包，前提是它始終保持這些資產(chǎn)所有權(quán)的最新記錄，并及時向相關(guān) RIAs 披露情況。

3、托管硬件：加密資產(chǎn)托管人不應使用任何會引發(fā)安全風險或存在受損風險的托管硬件或其他工具。

4、審計：加密資產(chǎn)托管人應至少每年接受一次財務和技術(shù)審計。此類審計應包括：

由 PCAOB 注冊審計師進行的財務審計：

服務組織控制（SOC）1 審計；SOC 2 審計；以及從持有人角度對加密資產(chǎn)的確認、計量和列報；

技術(shù)審計：

ISO 27001 認證；滲透測試；以及災難恢復程序和業(yè)務連續(xù)性規(guī)劃測試。

5、保險：加密資產(chǎn)托管人應有足夠的保險覆蓋范圍，或者，如果無法獲得保險，應建立足夠的儲備金。

6、披露：加密資產(chǎn)托管人必須每年向 RIAs 提供一份與其托管加密資產(chǎn)相關(guān)的主要風險清單，以及減輕這些風險的相關(guān)書面監(jiān)督程序和內(nèi)部控制措施。加密資產(chǎn)托管人應每季度對此進行評估，以確定是否需要更新披露內(nèi)容。

7、托管區(qū)域：加密資產(chǎn)托管人不應在當?shù)胤梢?guī)定托管資產(chǎn)在其破產(chǎn)時將成為破產(chǎn)財產(chǎn)一部分的任何管轄區(qū)域托管加密資產(chǎn)。

此外，我們建議加密資產(chǎn)托管人在每個階段實施與以下流程相關(guān)的保護措施：

準備階段：審查和評估要托管的加密資產(chǎn)，包括密鑰生成過程和交易簽名程序，它是否由開源錢包或軟件支持，以及密鑰管理過程中使用的每一件硬件和軟件的來源。

密鑰生成：在此過程的各個層面都應使用加密技術(shù)，并且需要多個加密密鑰來生成私鑰。密鑰生成過程應既「橫向」（即同一層級有多個加密密鑰持有人），又「縱向」（即有多個層級的加密）。最后，法定人數(shù)要求還應確保認證人員的實際在場。

密鑰存儲：絕不要以明文形式存儲密鑰，只能以加密形式存儲。密鑰必須通過地理位置或不同的訪問人員進行物理隔離。如果使用硬件安全模塊來保存密鑰副本，其必須符合美國聯(lián)邦信息處理標準（「FIPS」）的安全評級。應實施嚴格的物理隔離和授權(quán)措施。加密資產(chǎn)托管人應至少維持兩級加密冗余，以便在發(fā)生自然災害、停電或財產(chǎn)損毀時能夠維持運營。

密鑰使用：錢包應要求身份驗證；換句話說，它們應核實用戶身份屬實，并且只有授權(quán)方能夠訪問錢包。錢包應使用成熟的開源加密庫。另一個最佳實踐是避免將一個密鑰用于多種用途。例如，應分別為加密和簽名保存密鑰。遵循「最小特權(quán)」原則，即在發(fā)生安全漏洞時，對任何資產(chǎn)、信息或操作的訪問應僅限于系統(tǒng)運行絕對必需的各方。

除非客戶另有指示，RIAs 應能夠行使與托管加密資產(chǎn)相關(guān)的經(jīng)濟或治理權(quán)利。在前一屆 SEC 管理層執(zhí)政期間，鑒于代幣分類的不確定性，許多 RIAs 采取保守策略，將所有加密資產(chǎn)托管給合格托管人。如前所述，可供選擇的托管人市場有限，這往往導致只有一家合格托管人愿意支持某一特定資產(chǎn)。

在這些情況下，RIAs 可以要求行使經(jīng)濟或治理權(quán)利，但加密資產(chǎn)托管人可能因為一些原因選擇不提供這些權(quán)利。反過來，RIAs 覺得自己沒有權(quán)力選擇其他第三方托管人或進行自我托管以行使這些權(quán)利。這些經(jīng)濟和治理權(quán)利的包括質(zhì)押、收益耕作或投票。

根據(jù)這一原則，我們主張 RIAs 應選擇符合相關(guān)保護措施的第三方加密資產(chǎn)托管人，以便 RIAs 能夠行使與托管加密資產(chǎn)相關(guān)的經(jīng)濟或治理權(quán)利。如果第三方無法同時滿足這兩個要求，RIAs 為行使經(jīng)濟或治理權(quán)利而將資產(chǎn)臨時轉(zhuǎn)出進行自我托管的行為不應被視為脫離托管。

所有第三方托管人應盡最大努力在資產(chǎn)仍由其托管時，為 RIAs 提供行使這些權(quán)利的能力，并應在 RIAs 授權(quán)時，采取商業(yè)上合理的行動，以行使與鏈上資產(chǎn)相關(guān)的任何權(quán)利。

在為行使與某項加密資產(chǎn)相關(guān)的權(quán)利而將資產(chǎn)轉(zhuǎn)出托管之前，RIAs 或托管人必須首先以書面形式確定，是否可以在不轉(zhuǎn)出托管的情況下行使該權(quán)利。

RIAs 在交易資產(chǎn)方面負有最佳執(zhí)行義務。為此，RIAs 可以將資產(chǎn)轉(zhuǎn)移到加密交易平臺，以確保該資產(chǎn)的最佳執(zhí)行，無論資產(chǎn)或托管人的狀態(tài)如何，前提是 RIAs 已采取必要步驟確保交易場所的安全性，或者 RIAs 在加密市場結(jié)構(gòu)立法最終確定后，已將加密資產(chǎn)轉(zhuǎn)移到受該立法監(jiān)管的實體。

只要 RIAs 確定將加密資產(chǎn)轉(zhuǎn)移到交易場所以實現(xiàn)最佳執(zhí)行是明智之舉，這種轉(zhuǎn)移不應被視為脫離托管。這要求 RIAs 合理確定該場所適合實現(xiàn)最佳執(zhí)行。如果交易無法在該場所妥善執(zhí)行，資產(chǎn)應立即返還給加密資產(chǎn)托管人。

雖然使用第三方托管仍應是加密資產(chǎn)的主要選擇，但在以下情況下，應允許 RIAs 對加密資產(chǎn)進行自我托管：

· RIAs 確定找不到能夠滿足其所需保護措施的第三方托管人；

· RIAs 自身的托管安排至少與可獲得的第三方托管人的保護措施一樣有效；

· 自我托管對于行使與加密資產(chǎn)相關(guān)的任何經(jīng)濟或治理權(quán)利是必要的。

當 RIAs 出于這些原因決定對加密資產(chǎn)進行自我托管時，RIAs 必須每年確認證明自我托管合理的情況未發(fā)生變化，向客戶披露自我托管情況，并使此類加密資產(chǎn)接受《托管規(guī)則》的審計要求。

基于這些原則的加密資產(chǎn)托管方法確保 RIAs 能夠在履行受托責任的同時，適應加密資產(chǎn)的獨特特性。通過關(guān)注實質(zhì)性保護而非僵化的分類，這些原則為保護客戶資產(chǎn)和解鎖資產(chǎn)功能提供了一條務實的前進道路。隨著監(jiān)管環(huán)境的演變，基于這些保護措施的明確標準將使 RIAs 能夠以負責任的方式管理加密資產(chǎn)。