SEC 悄悄更新規則！高盛、摩根士丹利可主張「控制」用戶私鑰

美國證監會（SEC）於 12 月 17 日悄悄更新加密資產常見問題解答，闡明摩根士丹利、高盛等經紀交易商如何滿足加密資產證券的託管和資本要求。關鍵變革在於：經紀商可透過「合格的控制地點」和書面指令權來主張對客戶加密資產的「控制」，而無需實際持有私鑰。SEC 工作人員撤回對特殊目的經紀交易商（SPBD）安全港的依賴要求。

從實際持有到書面控制的監管革命

（來源：SEC）

SEC 這次更新的核心，是將「控制」的定義從「實際持有私鑰」轉變為「透過合約和程序證明控制能力」。對於加密資產證券，工作人員表示，即使該工具沒有證書，經紀交易商也可以透過使用合格的控制地點，根據規則 15c3-3© 建立「控制」。這種表述看似技術性調整，實則徹底改變了託管的本質。

在傳統加密理念中，「Not your keys, not your coins」（私鑰不在手，幣不屬於你）是鐵律。但 SEC 的新規允許經紀商透過以下方式主張控制權：經紀交易商持有的 HSM（硬體安全模組）中的關鍵資料、經紀交易商擁有書面指令權的銀行控制地點、或經紀交易商的簽字權和程序旨在滿足控制地點預期的多重簽名安排。

這意味著什麼？在實務中，摩根士丹利或高盛可以與某家銀行或託管機構簽訂合約，約定「我們有權指示轉移客戶的加密資產」，而無需實際持有私鑰。只要合約措辭符合 SEC 要求、內部程序完善、審計追蹤清晰，就能滿足「控制」標準。

SEC 新規下的三種私鑰控制模式

經紀商自託管模式：經紀商直接控制私鑰（HSM 或多重簽章），提供 15c3-3© 對照的直接證據，但需承擔網路控制和保險風險

銀行次級託管模式：銀行作為控制地點持有私鑰，經紀商透過合約擁有指示權，熟悉監護範圍但合約條款必須證明控制能力

智能合約託管模式：經紀商與過戶代理人之間的多重簽名，可程式控制但審查團隊如何測試「控制」仍不明確

這種轉變更加註重合約語言、關鍵治理以及能夠證明長期控制的審計追蹤。Sullivan & Cromwell 和 Sidley Austin 等律師事務所的總結強調，工作人員的做法擴大了普通經紀交易商證明其控制權的途徑，而無需依賴 SPBD 地位作為預設立場。

SPBD 安全港撤銷的深遠影響

工作人員表示，這種方法減少了對特殊目的經紀交易商（SPBD）安全港的依賴，而安全港曾是證明對這些證券控制權的主要途徑。SPBD 是專門為數位資產託管設計的監管框架，要求極為嚴格，包括獨立的資本要求、專門的風險控制系統、以及定期的監管檢查。

撤銷 SPBD 作為必要途徑，表面上降低了經紀商進入加密託管的門檻，但實際上創造了更大的灰色地帶。在 SPBD 框架下，規則明確且嚴格，經紀商和監管機構都清楚知道標準是什麼。現在，「控制」的證明變成了「合約語言」和「內部程序」的藝術，解釋空間大幅增加。

2019 年 SEC 和 FINRA 聯合發布的關於經紀交易商託管數位資產證券的聲明已在 SEC 撤回頁面上標記為撤回，FINRA 也發布了類似的通知。這個 2019 年聲明曾是業界的「北極星」，提供了明確的合規指引。現在撤回後，經紀交易商託管的「北極星」縮小到常見問題解答框架，這個框架遠不如正式聲明具有法律約束力。

這種撤回時機值得玩味。川普政府推動加密友好政策，SEC 主席換成 Paul Atkins，聯準會撤回 2023 年限制銀行加密業務的政策。這一系列動作都在「降低門檻、鼓勵參與」。但降低門檻的代價是什麼？可能是客戶保護水平的下降。

非證券加密貨幣的保護真空

對於非證券加密貨幣，工作人員重申規則 15c3-3(b)「持有或控制」不適用，從而使非證券加密貨幣不受適用於證券託管的客戶保護規則機制的約束。這句話的含義極為重要但容易被忽略：當你將比特幣或以太坊存放在摩根士丹利的加密託管服務時，它們不受傳統證券託管的客戶保護規則保護。

傳統證券託管有嚴格的隔離要求，經紀商必須將客戶資產與自有資產分開，且在經紀商破產時客戶資產不被清算。但非證券加密貨幣被排除在這些保護之外。若經紀商破產或被駭客攻擊,客戶可能面臨資產損失且求償無門。

12 月 17 日的更新為面向零售的公司劃清了界限，企業仍需要明確揭露哪些保護措施適用、哪些不適用。然而，有多少零售投資者會仔細閱讀這些揭露文件？大多數人看到「摩根士丹利託管」就假設享有銀行級保護，實際上可能完全不是這麼回事。

SEC 專員 Hester Peirce 將員工常見問題解答描述為漸進式的，同時指出該指南可以降低市場參與者在嘗試將鏈上活動納入現有規則集時的摩擦。這種官方表述強調「降低摩擦」和「鼓勵參與」，但對客戶保護的潛在削弱卻輕描淡寫。

對於依賴銀行次級託管作為控制地點途徑的經紀交易商而言，聯準會於 2025 年 4 月 24 日撤回先前針對某些加密資產設定的提前通知預期的監管函，將銀行參與轉向更常規的監管管道。這種轉變縮短了從概念到銀行方面監管對話的途徑，使華爾街銀行更容易進入加密託管市場。

經紀交易商仍需以檢查小組能夠測試的方式證明其對 15c3-3© 的控制和記錄。在接下來的 12 至 18 個月裡，託管市場可能會圍繞著那些能夠產生可重複的控制證據，同時又能控製網路和營運風險的結構而形成集群。關鍵問題是：誰來定義「可重複的控制證據」的標準？在標準明確化之前，客戶資產面臨的風險可能被大幅低估。