关于Loeb Smith
团队
行业板块
专业领域
新闻及公告
最新动态
专业洞见
法律快讯
视频
办公地点
订阅通讯
联络我们开曼群岛——CIMA对虚拟资产服务提供商的审查
2026年2月9日 . 8 min read开曼群岛出台了《虚拟资产(服务提供商)法》(“VASP法案”),以符合金融行动特别工作组(FATF)制定的关于虚拟资产服务提供商(VASP)反洗钱/反恐融资监管的标准和建议。VASP法案(包括适用于VASP的强化审慎监管和政府监管要求)提供了一个清晰的数字资产框架,巩固了开曼群岛作为运营虚拟资产业务的可靠、透明的司法管辖区的地位。
VASP法案采用分阶段实施的方式。第一阶段于2020年10月31日生效,要求虚拟资产服务提供商在开曼群岛金融管理局(CIMA)注册,监管重点包括反洗钱(AML)、反恐融资(CTF)、反扩散融资(CPF)、定向金融制裁和网络安全。第二阶段于2025年4月1日启动,引入了虚拟资产交易平台和虚拟资产托管机构的许可制度。截至2026年2月4日,已有19家虚拟资产服务提供商在开曼群岛金融管理局(CIMA)注册。
CIMA 是开曼群岛注册VASP的指定监管机构,因此,它负责监督 VASP 的监管合规性,并确定对 VASP 进行现场检查和非现场检查的频率和重点。
持续监测 VASP
获得CIMA批准后,VASP 需履行某些持续的法定义务,这些义务是对任何事件驱动型申报的补充,例如,VASP 必须向 CIMA 提交年度反洗钱申报表和季度旅行规则申报表。CIMA 利用软件自动完成以下两项工作:(1) 收集和分析与 VASP 进行的跨境交易相关的数据;(2) 对 VASP 的固有风险和控制措施进行评分。
CIMA对虚拟资产服务提供商的检查
2023 年,CIMA 开始对 VASP 进行基于风险的反洗钱/反恐融资现场检查,以评估其反洗钱/反恐融资政策、程序、系统和控制措施——特别是评估其是否符合反洗钱条例、CIMA 关于预防和检测反洗钱/反恐融资及反扩散融资的指导说明以及旅行规则的要求。
此后,CIMA于2024年9月至2025年2月期间,对11家受监管的VASP开展了专题桌面审查(“桌面审查”),其中包括虚拟资产交易所和虚拟资产托管服务提供商。桌面审查的主要结论已于2025年11月发布。桌面审查最重要的启示是,由于VASP监管体系尚处于起步阶段,VASP必须持续定期监测变化,并采取积极措施,以确保符合现行监管义务。
除了桌面审查之外,CIMA 还于 2025 年 9 月 18 日发布了一份单独的监管通函,涉及更具体的反洗钱/反恐融资相关考虑因素(“反洗钱/反恐融资审查”)。
下面概述了桌面审查和反洗钱/反恐融资审查(统称“CIMA审查”)的主要调查结果:
CIMA审查的主要观察结果
- 公司治理缺陷——尽管自首次颁布以来,《虚拟资产(服务提供商)法》已进行修订,现在要求三 (3) 名董事(包括至少一名与虚拟资产服务提供商无直接利益的独立董事),但CIMA仍然注意到,在审查的虚拟资产服务提供商中,有 27% 不符合此要求,36% 的虚拟资产服务提供商在运营时没有任何针对管理机构和关键高级管理层的正式继任计划。
- 网络安全治理不足 ——桌面审查显示,27%的虚拟资产服务提供商(VASP)未任命合格的首席信息安全官(CISO)或首席信息官(CIO),且缺乏足够的IT和网络安全审计文档。令人震惊的是,82%的受访VASP没有任何网络安全保险。此外,数据保护、IT控制以及外包安排的监管方面也存在其他缺陷。
- 虚拟资产托管政策不足 ——尽管CIMA 于 2024 年 12 月才发布了《虚拟资产托管人和虚拟资产交易平台规则和指导声明》,并且 CIMA 在桌面审查中承认VASP 需要更多时间来遵守,但 CIMA 发现,在接受审查的 VASP 中,有 40% 的 VASP 的虚拟资产托管服务政策不足。
- 业务连续性计划存在缺陷 —— 桌面审查显示业务连续性计划不足,包括一些业务连续性计划(“BCP”)不符合适用的指导声明,且未经董事会批准、测试或独立审查。
- 风险评估不足。客户风险评估未及时更新、记录不完整或未能证明已考虑所有风险因素(例如运营管辖区、交易和交付渠道)。
- 技术解决方案评估不足。对技术解决方案的保障审查不足,无法确保系统有效运行,例如制裁和负面媒体筛查、电子身份验证和链上分析工具。
- 缺少 KYC。缺少客户尽职调查,缺乏对客户档案的核实(例如,未能保存法人客户的章程文件),以及未能将高风险客户(例如,政治公众人物)适当分类为需要加强尽职调查的高风险客户。
- 缺乏持续监控。反洗钱/反恐融资审查中发现,部分企业对业务关系缺乏持续监控,要么监控不及时,要么根本没有监控。
- 员工问题。缺乏升级机制,员工对虚拟资产服务提供商 (VASP) 的交易监控系统缺乏了解。此外,反洗钱/反恐融资审查报告中指出,员工培训内容非常笼统,未涵盖开曼群岛的相关监管框架,且缺乏记录来证明已向员工提供充分的反洗钱/反恐融资/反扩散融资(AML/CTF/CPF) 培训。
- 制裁合规性不足。未在用户注册后持续进行制裁筛查,未充分记录名称匹配情况以及清除或驳回警报的理由。此外,反洗钱/反恐融资审查发现,相关政策和程序未能明确链上交易警报的处理路径,例如未明确虚拟资产服务提供商 (VASP) 中哪些人员有权批准涉及高风险敞口的交易,以及如何处理涉及制裁实体和司法管辖区的风险敞口。
- 合规职能的监督不足。董事会对虚拟资产服务提供商 (VASP) 的反洗钱/反恐融资合规职能的监督不足,例如,董事会文件和会议记录未显示任何关于反洗钱/反恐融资问题的讨论,缺乏董事会批准反洗钱政策和程序的证据,以及缺乏外包协议。
- 未进行反洗钱/反恐融资审计。CIMA 发现存在未建立内部审计职能,且根本没有进行反洗钱/反恐融资审计,或者审计工作并非由独立于运营的人员进行的情况。
- 记录保存方面的漏洞。记录管理系统不完善,无法确保及时向CIMA提供信息,例如客户尽职调查 (CDD)、交易记录或制裁筛查。
- 财务状况 。对于尚未实现盈利的虚拟资产服务提供商 (VASP),需向开曼群岛金融管理局 (CIMA) 提交补充信息,以支持对其持续经营能力的评估,证明其拥有足够的资源履行其财务义务。这意味着,VASP 实际上必须制定健全的政策、程序和控制措施,以充分管理财务和流动性风险。
- 未及时通知CIMA关键变更。CIMA 注意到,部分虚拟资产服务提供商(VASP)未能及时将关键人员或业务运营的变更告知CIMA,或在需要时未寻求批准。例如:(i) 高级管理人员的任命需事先获得CIMA批准;(ii) VASP在其他司法管辖区受到的任何处罚、执法行动或诉讼程序必须在30天内报告给CIMA;以及(iii) 任何网络安全事件必须在30天内报告给CIMA。
监管警告:CIMA采取执法行动!
2025年6月5日,CIMA取消了虚拟资产服务提供商(AC Holding Limited)的注册资格。原因是该VASP存在多项缺陷,包括未能向CIMA提供所需文件、未能建立反洗钱(AML)系统和程序,以及违反了CIMA的其他规则,例如公司治理规则和内部控制规则。
此次强制措施凸显了CIMA对监管合规的严肃态度,以及在违规行为未得到纠正时采取果断行动的决心。
本文无意取代具体的法律建议或法律意见。如果您需要有关本法律更新中讨论的事项的进一步建议,请与我们联络。我们很乐意提供协助。
合伙人: Elizabeth Kenny
E: elizabeth.kenny@loebsmith.com
Liz 是公司和基金集团的合伙人,同时也是监管和风险主管,她在监管许可证申请、虚拟资产、加密货币和金融科技监管、公司治理审查、反洗钱合规框架、监管审计、公司治理、CIMA 检查和补救措施、制裁报告和许可、数据保护法、监管执法通知、行政罚款以及强制性信息交换要求等方面具有重要的思想领导力。
分享至微信
在微信中 “扫描二维码” 并点击···分享。
最新更新和洞见
Fund Management in Cayman Islands (Part 2)
What are the main corporate structures used to set up a retail fund? How are they formed?
Cayman Islands – Cryptoassets and Blockchain (part 1)
What legal framework governs cryptoassets? Is there specific legislation governing cryptoassets and businesses transacting with cryptoassets?
英属维尔京群岛公司恢复注册:法院程序和要求
本文简要探讨了如何向英属维尔京群岛 (BVI) 法院申请将 BVI 公司在公司注册处 (注册处)恢复注册,并旨在为恢复注册过程提供一些实用见解。
开曼群岛——CIMA对虚拟资产服务提供商的审查
开曼群岛出台了《虚拟资产(服务提供商)法》(“VASP法案”),以符合金融行动特别工作组(FATF)制定的关于虚拟资产服务提供商(VASP)反洗钱/反恐融资监管的标准和建议。VASP法案(包括适用于VASP的强化审慎监管和政府监管要求)提供了一个清晰的数字资产框架,巩固了开曼群岛作为运营虚拟资产业务的可靠、透明的司法管辖区的地位。
