首页 > 常见问题

法国 France（MiCA）加密资产服务提供商（CASP）牌照常见问题（FAQ 大全）

时间：2025-12-08 21:06:52 阅读：111

法国 France（MiCA）加密资产服务提供商（CASP）牌照

常见问题（FAQ 大全）
本文由 仁港永胜（香港）有限公司 拟定，并由唐生提供专业讲解。

适用对象：
计划在法国设立 MiCA CASP 总部、申请任意一种或多种 CASP 服务类别、或准备向 AMF / ACPR 提交申请的交易平台、托管商、做市商、经纪商、钱包服务商、投资顾问、RWA / Web3 企业、区块链基础设施公司等。

服务商：仁港永胜（香港）有限公司

✅ 点击这里可以下载PDF文件：法国 France（MiCA）加密资产服务提供商（CASP）牌照常见问题（FAQ 大全）

✅ 点击这里可以下载PDF文件：法国 France（MiCA）加密资产服务提供商（CASP）牌照申请注册指南

✅ 点击这里可以下载PDF文件：关于仁港永胜

注：本文所提及的部分模板、制度手册、清单等电子档，可向仁港永胜唐生有偿索取。

《法国 France（MiCA）加密资产服务提供商（CASP）牌照常见问题（FAQ 大全）》
本文内容涵盖：

业务范围
MiCA 适用性
AML / KYC
技术与钱包安全
Safeguarding
外包
风险管理
治理与人员

可以 直接用于内部培训 + 结构化答监管 的完整框架（Q1–Q520），仁港永胜唐生拟定讲解。

第一章｜法国 MiCA 与本地 VASP 制度衔接（Q1–Q20）

Q1：法国目前的加密资产监管体系是什么？MiCA 是否已完全实施？

答复：
法国监管体系由两部分构成：

MiCA（欧盟统一法规）
自 2024 年 6 月起分阶段实施，包含稳定币（ART/EMT）+ CASP 统一监管。
法国本地 VASP 制度（AMF/ACPR）
MiCA 前已有两类制度：

VASP Registration（轻注册）
VASP Licensing（重牌照，几乎等同 MiCA 要求）

法国是 欧盟最早引入强监管的国家之一，因此其 VASP Licensing 要求和 MiCA 基本完全对齐。

法国已确认：
从 2025 年起，所有加密服务必须统一到 MiCA CASP 牌照。

Q2：此前已注册 VASP 的公司是否必须重新申请 MiCA CASP？

答复：
视情况而定：

现状	是否需重新申请 MiCA？
已取得 VASP Registration（轻注册）	❌ 必须重新申请 MiCA CASP
已取得 VASP License（全牌）	✔ 可直接转化为 MiCA CASP，几乎无额外要求
尚未申请任何牌照	✔ 必须申请 MiCA CASP 才能继续运营

Q3：MiCA CASP 与法国 VASP License 的主要区别是什么？

答复：
主要区别如下：

项目	MiCA CASP	FR VASP License
法律来源	欧盟统一法规	法国本地 AML 法案 + AMF 规则
可否护照	✔ 可欧盟 30 国护照	❌ 不可护照
监管强度	高	高（但略低于 MiCA）
服务分类	8 大类别	5 大类别
资本金要求	明确	更灵活
系统要求	非常严格	严格但部分宽松

结论：
法国 VASP License 是通往 MiCA CASP 最平滑的路径。

Q4：是否可以“跳过”法国 VASP 注册，直接申请 MiCA CASP？

答复：
✔ 可以直接申请 MiCA CASP，不需要先拿 VASP。

但 AMF 官方建议：

如项目希望尽快运营，可先申请 VASP Registration（时间快），再同时推进 MiCA 申请。

Q5：法国的加密监管机构是哪几个？各自负责什么？

答复：

AMF（Autorité des Marchés Financiers）
负责 MiCA 申请、VASP 注册、投资者保护、业务合规等。
ACPR（Autorité de Contrôle Prudentiel et de Résolution）
负责 AML / CFT、系统稳定性、钱包托管、支付链路监管。

法国比其他欧盟国家更特殊：
CASP 申请需要 AMF + ACPR 双机构共同审核。

Q6：哪些加密服务在法国属于“必须申请 CASP”的业务？

答复：
MiCA 列出的 8 种服务：

托管与钱包管理
接收与传送加密资产指令
执行交易指令
经营交易平台
放行/承销加密资产
加密资产自营交易（做市）
投资建议
投资组合管理

以上服务在法国 全部属于监管高风险业务，必须持牌经营。

Q7：法国是否允许无牌经营？处罚是什么？

答复：
法国是欧盟 处罚最严格的国家之一。

无牌从事加密服务的处罚包括：

刑事责任
最高 5 年监禁 + 75 万欧元罚款
禁止从事金融活动
强制关闭业务
罚款可按业务量数倍计算

法国在执行力度方面非常激进。

Q8：法国 MiCA CASP 牌照是否允许服务全球客户？

答复：

✔ 欧盟 / EEA 客户：完全合法，可护照通行
✔ 其他国家客户：取决于当地法规（如香港、迪拜需要当地牌照）
❌ 美国客户：不可主动招揽，美国 SEC 会直接执法

Q9：法国是否适合设立 CASP 欧洲总部？

答复：
适合以下类型的企业：

✔ 想在欧盟建立长期合规结构
✔ 想获得最强监管背书
✔ 想获得银行开户便利
✔ 计划通过 MiCA 护照覆盖欧洲 30 国

不适合以下企业：
❌ 想快速低成本获牌
❌ 不希望被监管严格检查
❌ 技术系统无法满足法国 IT 审查要求

Q10：法国的监管文化与德国、马耳他相比有什么特点？

答复：

国家	风格
法国	注重 AML、治理、风险管理、投资者保护
德国	注重系统架构、IT 安全、运营细节，RFI 最多
马耳他	灵活、可商谈、审批速度最快

法国属于“严格但透明”的监管体系。

Q11：法国是否允许使用离岸公司作为股东？

答复：
允许，但必须满足：

✔ 全透明穿透
✔ 提供完整 UBO 文件
✔ UBO 必须通过适当人选审查
✔ 不得使用复杂架构规避监管

不建议使用：BVI、开曼、塞舌尔、安圭拉等结构。
AMF 更倾向：
香港、欧盟、英国、新加坡等透明地区。

Q12：法国 AMF 对项目方最大的担忧是什么？

主要担忧包括：

资金来源不透明
技术系统能力不足
治理结构形同虚设
业务模式容易误导投资者
反洗钱不足（尤其是 CEX）

Q13：法国是否允许完全虚拟办公？

答复：
❌ 不允许。

MiCA 规定总部必须真实存在。
法国要求：

✔ 实体办公室
✔ 核心团队在法国
✔ AML / RO 必须在法国本地值勤

Q14：法国申请 CASP，需要多少内部员工？

最低配置（监管期望）：

CEO / 管理层（法国所在地）
RO（监管负责人）
MLRO（反洗钱负责人）
风险管理负责人
IT 安全负责人
合规经理

这是欧盟最严格的配置之一。

Q15：法国是否对加密托管服务有额外要求？

答复：
有，非常严格：

✔ 必须 80%+ 冷存储
✔ 多签
✔ 详细灾备计划
✔ 独立密钥托管
✔ 法国本地可监管节点
✔ 关键人员应具备可追责性

法国对 钱包安全等级 的要求接近银行体系。

Q16：法国是否允许算法稳定币？

MiCA 明确：
❌ 限制算法稳定币在欧盟流通。
法国将“稳定币发行与交易平台托管稳定币”纳入高风险审查。

Q17：法国的 CASP 申请预审机制是什么？是否必须走预审？

答复：

✔ 建议必须进行“预审会议（Pre-filing Meeting）”。
AMF 会提前提醒您：

业务模型是否可行
哪些地方最可能被拒绝
哪些资料必须加强
团队是否符合条件

仁港永胜通常会 提前模拟 AMF 提问（约 80–120 题）。

Q18：法国监管机构希望 CASP 的商业模式具备哪些特征？

必须具备：

合规驱动
投资者保护措施
风险清晰可控
技术系统安全透明
不承诺收益
不发行高风险代币引流

Q19：如果项目已在法国运营但无牌，会影响后续申请吗？

答复：
会，影响极大。

可能导致：

否决申请
强制停止运营
对管理层提起调查
加快 AML 审查

建议立即停止无牌业务，并向律师申请 整改计划。

Q20：法国是否接受“快速通道”申请？审批速度多久？

答复：

✔ 法国无官方 fast track，但可通过：
完整材料 + 强治理 + 技术成熟度高
来加快审查进度。

正常 MiCA 审批时间：
4–8 个月（欧洲最快之一，仅次于马耳他）

第二章｜业务模式与牌照适用性（Q21–Q40）

本文由仁港永胜（香港）有限公司拟定，并由唐生提供专业讲解。

Q21：在法国申请 MiCA CASP 时，如何判断自己的业务模式属于哪一种服务类别？

答复：
MiCA 明确规定了 8 大 CASP 服务类别。法国 AMF 要求申请人必须将业务模式清晰映射到以下服务：

托管与钱包管理（Custody）
接收与传送指令（Order Reception & Transmission）
执行指令（Order Execution）
经营交易平台（Trading Platform Operation）
承销 / 放行加密资产（Placement / Underwriting）
自营交易（Proprietary Trading / Market Making）
投资建议（Investment Advice）
投资组合管理（Portfolio Management）

法国 AMF 要求申请人必须：
✔ 使用 MiCA 原文定义
✔ 逐条解释业务功能
✔ 明确收入模型
✔ 解释核心技术组件如何支持目标服务

提示：法国 AMF 不接受“混合型模糊业务描述”，必须清晰分类，否则第一轮 RFI 会非常多。

Q22：我们的业务只提供“充值与提现（On/Off Ramp）”，是否需要申请 CASP？

答复：
在法国，以下情况均被认定为 托管服务 + 执行服务：

代客接收加密资产
代客发起加密资产转账
代客执行买卖交易

因此 必须申请 CASP（托管 + 执行）。

⚠ 特别注意：
法国是欧盟最严格监管国家之一，只要涉及代客户操作，即使不运营交易平台，也需要申领至少 两类 CASP 牌照。

Q23：仅提供“接口 API（如聚合行情）”是否需要 CASP？

答复：
以下情况 不属于 CASP：
✔ 提供加密行情
✔ 提供技术 API（不触及客户资产）
✔ 提供区块链浏览器
✔ 提供智能合约开发服务

以下情况 属于 CASP：
❌ 通过 API 代客执行交易（Execution）
❌ 自动化策略交易（属于投资建议或执行）
❌ API 帮助客户交易并持有其私钥

如果 API“改变客户的投资决策”，法国 AMF 会认定为 投资建议。

Q24：我们公司提供“做市服务”，需要申请哪类 CASP？

答复：
做市服务（Market Making）属于：

✔ 自营交易（Proprietary Trading）

在法国，此类别是监管强度最高的 CASP 服务之一，因为涉及：

流动性风险
市场操纵风险
定价透明度
与客户利益冲突

申请该类别需额外提交：

做市算法说明书
风控参数设定
流动性管理政策
利益冲突管理框架

Q25：如果我们只发行平台代币（Utility Token），是否需要 CASP？

答复：
仅发行 utility token 本身不需要 CASP，但：

如果代币用于交易平台 → 属于平台运营
如果代币用于募资 → 属于发行与放行
如果提供流动性 → 属于自营交易

法国 AMF 对代币发行的态度：
✔ 合规发行可接受
❌ 不允许任何形式的“隐性募资”“收益承诺”

Q26：运营一个加密资产交易平台在法国需要申请哪些类别？

最少必须申请四类：

托管
接收与传送指令
执行指令
经营交易平台

如果还提供做市：
→ 第五类：自营交易

如果平台提供投资建议：
→ 第六类：投资建议

如果平台提供组合管理：
→ 第七类：资产组合管理

法国 AMF 对 CEX 的监管强度 = 证券交易所级别。

Q27：法国是否允许“纯去中心化交易平台（DEX）”申请 CASP？

答复：
法国 AMF 明确：

✔ 如果 DEX 没有中心化管理者 → 不受 MiCA 监管
❌ 但无法获得护照，无法服务欧盟用户。

若 DEX 存在：

中心化治理
收取费用
控制前端
控制流动性池

则被认定为“事实上的平台运营者”，必须申请 CASP。

Q28：法国是否允许“托管外服务”（non-custodial wallet）项目豁免 CASP？

答复：
MiCA 明确规定：
如果用户自行控制私钥，则不是托管服务。

但法国 AMF 会审查以下陷阱：

❌ 项目是否掌控用户恢复密钥？
❌ 是否掌控多签结构？
❌ 是否记录用户操作信息？
❌ 是否提供一键交易（可能属于执行指令）？

如存在以上情况，AMF 可能仍要求申请 CASP。

Q29：如果是 RWA（实物资产代币化）项目，是否属于 CASP？

答复：
不一定，但请注意：

若代币代表证券 → 属于 MiFID 证券型代币监管，由 AMF 管辖
若代币代表实物资产所有权（如黄金、房产） → 属于 MiCA“资产参考型”
若平台代为托管、交易 → 必须申请 CASP

法国对 RWA 类项目尤其敏感，需要：

法律意见书
资产真实权属证明
托管与估值政策

Q30：是否可以只申请部分 CASP 业务类别，而非全部？

答复：
✔ 可以。
MiCA 允许申请单一或多个类别，但法国 AMF 强烈要求：

业务模式必须清晰边界
不能申请不必要的服务
申请服务必须有对应技术系统

建议：
按最小可行服务（MVP）申请，再后续扩张。

Q31：法国是否允许多业务线分别申请多个 CASP 牌照？

答复：
MiCA 规定：
❌ 一个法律实体仅能获得一个 CASP 授权，但可包含多个服务类别。

但集团结构可以：

✔ 设立多个子公司，各自申请不同 CASP 服务
✔ 共享后台系统但必须风险隔离

AMF 要求集团必须提交：

集团穿透图
风控隔离政策
关键人员职责对应表

Q32：法国是否允许白标交易（White-label CEX）模式？

答复：
可以，但监管要求极高：

✔ 技术外包可接受
❌ 合规外包不可接受
✔ 白标方必须具备全部控制能力
✔ 白标平台数据必须在法国监管可查范围

尤其要注意：

KYC/AML 必须自行完成
客户资产不得被“托管商”挤兑风险所控制

Q33：我们的平台不持有用户资产，只负责撮合，是否仍需申请 CASP？

答复：
需要。
原因：

撮合交易属于 经营交易平台
AMF 认为撮合形成价格发现机制，与证券交易所无异

即便不托管资产，也必须申请平台牌照。

Q34：法国对“探索性 Web3 应用（如 NFT）”是否需要 CASP？

答复：
NFT 不属于 MiCA 范围，但以下情况例外：

❌ NFT 被拆分为可流通的“份额型代币”
❌ NFT 被标榜为投资产品
❌ NFT 平台提供交易 / 托管
❌ NFT 市场提供价格预期或投资暗示

此时被视为加密资产 → 必须申请CASP。

Q35：我们想提供加密“支付服务”，是否属于 CASP？

答复：
法国监管分界如下：

若仅使用加密资产进行支付结算 → 需 CASP
若涉及法币账户 → 需要 PSP / EMI（支付机构或电子货币机构）
若客户充值/提现 “欧元” → 属于支付牌照范围，不属于 CASP

法国常见模式：
CASP + EMI 双牌照组合。

Q36：平台提供“自动化策略 / 交易机器人”，是否被视为投资建议？

答复：
以下情况属于投资建议（必须申请 CASP 投资建议服务）：

✔ 提供个性化策略
✔ 机器人会根据用户数据推荐交易
✔ 机器人主动修改仓位
✔ 用户依据机器人操作产生投资决策

仅提供“教育用途”策略 → 可豁免，但 AMF 会严格审查宣发文案。

Q37：如果平台提供“流动性挖矿 / Staking”，是否属于 CASP？

法国监管对 Staking 评价如下：

Custodial Staking（托管型质押）→ 必须持牌（托管 + 执行）
Non-custodial Staking（非托管质押）→ 可豁免
但 AMF 仍担心以下问题：

收益是否被承诺？
是否存在投资预期？
是否涉及收益分配？

如触及收益承诺 → 可能认定为 投资产品。

Q38：法国是否允许 DAO 结构提交 CASP 申请？

答复：
❌ 不允许 DAO 作为法律实体申请。

MiCA 要求：
✔ 必须为公司法下成立的法人实体
✔ 有明确董事会与责任人
✔ 有资本金
✔ 有 AML 职责承担主体

DAO 可作为股东，但不能作为申请主体。

Q39：我们公司希望开展“预留名额 + 抽签代币发售（类似 Launchpad）”，是否需要 CASP？

答复：
取决于结构：

如仅提供“技术部署” → 不属于 CASP
如涉及承销 / 放行 → 属于 CASP 承销服务
如收取费用帮助项目发行 → 属于 放行服务
如向用户推荐项目 → 属于 投资建议

Launchpad 类业务在法国属于 高风险业务，AMF 审查非常严格。

Q40：法国是否允许提供“跨链桥（Bridge）服务”而无需 CASP？

答复：
跨链桥本身不属于 CASP，但 France AMF 会审查：

是否托管用户资产？（如托管 → 属于托管服务）
是否执行链间转换？（如执行 → 属于执行指令）
是否承担转账责任？
是否向用户说明风险？

如桥服务由中心化实体控制，则 需要至少两类 CASP。

第三章｜人员要求（RO / MLRO / 董事 / 股东 / UBO）（Q41–Q70）

本文由仁港永胜（香港）有限公司拟定，并由唐生提供专业讲解。

Q41：法国 MiCA CASP 对“关键人员”（Key Function Holders）有什么要求？

答复：
法国监管对关键岗位的要求为欧盟最严格：

必须具备：

可证明的金融行业经验（一般 ≥ 3–5 年）
具备加密资产技术理解能力
有 AML / 内控 / 风险管理知识
能够在法国本地履职（必须居住或长期驻点）
无犯罪记录、无金融纠纷、无破产记录
能参加 AMF / ACPR 的面谈

关键岗位包括：

CEO / General Manager（总经理）
董事会成员（Board）
RO（Regulatory Officer）监管负责人
MLRO（反洗钱负责人）
Risk Manager（风险经理）
Compliance Officer（合规经理）
CTO / IT Security Officer（IT 安全负责人）

法国监管机构特别强调：
关键岗位绝不能由“挂名人员”担任。

Q42：RO（Regulatory Officer）在法国 CASP 的职责是什么？

答复：
法国 AMF 要求 RO 必须承担以下职责：

与 AMF / ACPR 对接监管事务
监督 MiCA 规则的落实
审核内部政策（KYC、风险管理、利益冲突管理等）
发起重大变更的监管报备
编制年度合规报告
协助董事会进行合规审查
审查客户投诉记录，确保透明披露

在法国，RO 必须实际工作，不可兼职挂名，并且经常参与监管会议。

Q43：RO 是否必须坐班法国？是否可由外国人担任？

答复：
法国是欧盟监管对“人员所在地”要求最明确的国家之一：

✔ RO 必须长期在法国当地履职
✔ 可以是外国国籍，但必须拥有法国合法居留资格
❌ 不可远程担任
❌ 不可“形式驻点”

法国 AMF 在面谈中最常问：
“RO 一天的工作时间表是什么？”

若回答无法证明真实履职 → 申请极易被否决。

Q44：MLRO（反洗钱负责人）是否可以与 RO 兼任？

答复：
在法国：

✔ 小型 CASP 允许 RO = MLRO
❌ 中大型平台不允许合并岗位
❌ 若申请托管 / 交易平台服务，也必须拆分岗位

法国对 AML / CFT 的重视高于大部分欧盟国家，因此 MLRO 通常需要：

AML 经验 ≥ 3 年
了解法国 TRACFIN 报告系统
实际操作 SAR/STR 申报流程
可独立开展内部调查

Q45：MLRO 是否必须在法国当地？

答复：
是，必须在法国本地。

法国 AML 监管体系（TRACFIN）要求：

MLRO 必须能即时响应监管要求
TRACFIN 期望 MLRO 在法国可随时被约谈
AML 调查必须在法国境内执行

结论：
MLRO 必须是法国人或持法国居留权的外籍人士。

Q46：法国 CASP 董事会成员的最低要求是什么？

答复：
法国 AMF 对董事会（Board）的要求包括：

❗ 至少 2 名董事
董事必须具备金融、风控或加密技术背景
董事必须无利益冲突
董事会必须每年至少召开 4 次会议
董事会会议记录必须保存 10 年
董事成员必须通过“适当人选审查”（fit & proper test）

AMF 还会额外关注：

董事是否专注于公司治理
董事是否真实参与合规监督
董事是否与股东独立

Q47：法国允许“一人董事会”吗？

答复：
❌ 不允许。

MiCA 要求 CASP 必须具备适当的治理结构，法国 AMF 解释为：

至少两名董事，且必须具备互补的专业技能。

单一董事会结构会被 AMF 判定为：

治理不足
风险管理薄弱
缺乏相互监督

结论：
必须至少 2 名董事，最好为 3–5 名。

Q48：法国 CASP 是否接受“名义董事”（Nominee Director）？

答复：
❌ 完全不接受。

AMF 会直接拒绝任何形式的名义董事，因为：

董事必须参与决策
必须与监管机构沟通
必须对风险管理负责
必须能解释内部程序

任何“挂名”“形式董事”的操作均视为欺诈。

Q49：股东（Shareholders）需要满足什么条件？是否接受离岸股东？

答复：
股东必须满足：

资本来源清晰、合法
过去无金融犯罪或监管处罚
能通过 UBO 穿透核查
持股结构简洁（不超过 3 层）
无监管避险意图

法国 AMF 对股东背景审查非常严格，尤其是：

加密行业从业背景
风险管理能力
是否过去涉及诈骗或违规交易
是否在高风险司法管辖区设立

建议使用：

✔ 香港
✔ 欧洲国家
✔ 英国
✔ 新加坡

不建议使用：

❌ BVI、开曼、塞舌尔、安圭拉、伯利兹等地的控股公司

除非提供非常充分的证明材料。

Q50：UBO（实际受益人）需要披露哪些信息？

必须披露以下文件：

身份证明
住址证明
资金来源证明
税务合规证明
银行流水
过往企业经营证明
无犯罪记录
个人 CV（强调金融与合规经验）

此外必须解释：

为什么投资法国
对 CASP 业务的理解
在风险治理中的角色

AMF 非常重视 UBO 的“诚信 + 能力 + 可问责性”。

Q51：法国是否允许聘请外部公司担任合规职位？

答复：
✔ 允许聘请外部合规咨询公司，但仅限辅助性职责
❌ 不允许外包关键岗位（RO / MLRO / 董事）

外部顾问的角色可以是：

合规文件撰写
内部控制测试
风险管理模型设计
技术合规顾问

但不能取代责任岗位。

Q52：法国是否允许 CEO、RO、MLRO 由同一个人担任？

答复：
❌ 原则上不允许。

MiCA 要求治理结构必须“相互制衡”，法国解释如下：

CEO 不可兼任 MLRO
CEO 不建议兼任 RO
RO + MLRO 在小型公司可合并，但必须证明没有利益冲突
中型/大型 CASP 必须拆分岗位

Q53：是否可以由创始人兼任 CEO / RO / MLRO？

答复：
不建议且基本会被否决。

AMF 会认为：

治理结构过度集中
无法建立独立监督机制
风险管理失效
严重违反 MiCA 目标要求

创始人可担任 CEO，但必须配备：

独立 RO
独立 MLRO
独立 Risk Manager

Q54：法国的 RO/MLRO 是否必须具备“加密行业经验”？

答复：
不是必须，但必须满足：

金融行业经验 ≥ 3 年
AML / CFT 经验 ≥ 2 年
对加密资产业务结构有深入理解
能在面谈中解释交易流程
能解释资金流动的风险点

在法国，监管更看重：

✔ 风控能力
✔ AML 能力
✔ 内控理解
❌ 而不是“你是否炒过币”

Q55：关键人员是否需要通过法国的适当人选（Fit & Proper）审查？

答复：
是，必须通过。

审查内容包括：

专业能力
道德诚信
财务稳定性（例如：无破产记录）
税务合规
刑事记录
监管处罚记录
媒体负面记录
关联公司风险状态

法国 Fit & Proper 审查是欧盟最严格之一。

Q56：法国是否接受远程面谈？关键人员是否必须参加？

答复：
面谈方式：

✔ 一般为视频会议（Zoom / Teams）
✔ 但 AMF 可要求面对面面谈
✔ 所有关键岗位必须参加

面谈内容：

业务模式
KYC/AML 流程
技术架构
合规报告节奏
董事会治理
关键岗位职责

如果关键人员无法解释其职责 → 申请失败风险极高。

Q57：法国对 CTO / IT Security Officer 有什么要求？

必须具备：

网络安全背景（≥3 年）
了解加密钱包运作
了解区块链技术
能解释冷/热钱包架构
了解法国 CNIL（数据保护主管机构）要求
能设计灾备计划（BCP/DRP）

法国监管对技术系统的要求严格程度 = 欧洲前三（与德国并列）。

Q58：如果 CTO 不在法国当地，是否可行？

答复：
部分可行，但需满足：

CTO 可远程，但必须 能随时应 AMF 要求进行会议
需提供法国当地的 IT 负责人（On-site IT Responsible）
技术文档必须完整
技术系统必须可在法国进行监管访问

若申请“交易平台 + 托管”，CTO 最好迁居法国。

Q59：法国是否允许聘用中国内地或香港人士担任关键岗位？

答复：
可以，但需满足：

必须能提供 无犯罪记录 + 合规履职证明
必须能够长期驻法国
必须通过法国移民与工作签证
必须能参加 AMF 面谈
必须具备良好英语或法语能力

法国非常欢迎来自香港、新加坡的合规和金融人才。

Q60：关键岗位人员离职时需要向 AMF 报备吗？

答复：
需要，且必须在：

离职后 7–15 天内报备 AMF。

并必须补充：

新任关键人员的资料
关键岗位职责过渡计划
风险缓解措施

若关键岗位空缺超过 30 天 → 可能被要求暂停业务。

Q61：法国监管是否允许董事或 RO 在多家公司兼职？

答复：
可以，但需满足：

兼职必须向 AMF 披露
不可在竞争性实体兼职
必须证明时间充分（AMF 最关注）
必须避免利益冲突

若兼职过多 → 申请将被拒绝。

Q62：法国是否允许公司聘请“临时 RO / 临时 MLRO”？

答复：
允许，但必须说明：

过渡期间（一般最长 6 个月）
过渡策略
新任 RO / MLRO 的招聘计划

但 France AMF 不喜欢长期临时人员 → 审批倾向降低。

Q63：申请过程中是否可以更换关键岗位人员？

答复：
✔ 可以，但必须立刻通知 AMF。
✔ 若关键人员更换太频繁 → 会影响审查。

AMF 会质疑：

公司治理是否稳定？
股东是否冲动决策？
内控是否已经崩溃？

建议：
在提交申请前就确定核心团队稳定性。

Q64：法国是否要求提交关键人员的“完整 CV”？

答复：
必须提交，且必须包含：

工作经历（按年份）
担任职位及职责
任何合规相关经验
任何金融相关经验
加密行业经验
教育背景（含学位证明）
专业证书（CAMS、CFA、FRM 等）

AMF 会核查 真实性。

Q65：关键人员需要提供哪些背景审查文件？

必须提供：

身份证件
住所证明
无犯罪记录
税务合规证明
银行信用记录（如有）
合规履职证明
工作合同
薪资说明

AMF 强调背景透明，不接受任何模糊信息。

Q66：法国是否要求关键人员具备法语能力？

答复：
不是硬性要求。

但：

面谈通常可用英语
文档可用英语
内部系统必须提供英语或法语版本
客户投诉系统必须支持法语

如果所有关键人员都不懂法语 → 风险略高，但仍可通过。

Q67：股东是否需要进行面谈？

答复：
不是必须，但 AMF 经常邀请大股东参加面谈，尤其在：

股东为自然人的情况下
股东来自加密行业
股东来自高风险司法管辖区
股东资金来源不完全明确

股东必须能解释：

投资逻辑
对加密行业的理解
风险管理态度
对治理的投入

Q68：法国是否允许“隐名股东”或“影子控制人”？

答复：
❌ 绝对禁止。

AMF 会问：

是否存在操控公司的人？
是否存在未披露的实际控制关系？

如发现隐名控制 → 直接拒绝申请，并可能通报 AML 机构。

Q69：法国是否允许聘请外部 AML 服务提供商作为补充？

答复：
✔ 可以，但仅限执行性任务，例如：

客户 KYC 审查
交易监控系统
风险评级模型
工具供应商（如 Chainalysis）
STR 预警

❌ 不得外包 AML 决策权。

Q70：法国对“人员薪酬结构”的要求是什么？

AMF 关注以下要点：

薪酬必须与职责匹配
RO / MLRO 不可领取销售佣金
薪酬结构必须避免利益冲突
关键岗位必须有固定薪酬
奖金不可基于交易量指标

法国监管文化核心理念：
“合规岗位必须独立且不可受到商业压力影响。”

第四章｜实体设立、治理架构、资本与财务要求（Q71–Q110）

本文由仁港永胜（香港）有限公司拟定，并由唐生提供专业讲解。

Q71：申请法国 MiCA CASP 必须在法国设立本地实体吗？

答复：
是，必须设立法国本地实体（通常为 SAS 或 SARL）。

MiCA 要求 CASP 必须：

在申请国拥有总部
拥有核心管理层（Mind & Management）
拥有实际办公场所
拥有本地运营人员

法国 AMF 与 ACPR 明确要求：
不能使用虚拟地址，也不能使用“信托秘书地址”提供服务。

Q72：法国 CASP 推荐采用哪种公司类型？SAS 还是 SARL？

答复：
99% 的申请人采用 SAS（Société par Actions Simplifiée）。

原因：

✔ 股权结构灵活
✔ 治理结构可定制
✔ 容易引入投资者
✔ 董事责任结构明确
✔ 容易配合 MiCA 的治理要求
✔ 允许 CEO（Président）集中管理决策
✔ 可设立监事会、风险委员会、合规委员会

SARL 更适合小型企业，不适用于 MiCA。

Q73：法国实体是否必须配备本地办公室？可否使用共享办公室？

答复：
必须有真实办公场所。

AMF 官方态度：共享办公一般可接受，但必须满足：

必须有专属办公空间（专属房间，而非开放式桌位）
必须可容纳关键人员
必须可进行现场监管检查
必须能接收监管邮件及法律文书

AMF 在实地检查时会：

✔ 检查办公室是否真实使用
✔ 检查员工是否实际在岗
✔ 检查数据是否在法国可访问

Q74：申请法国 CASP 是否需要提交商业计划书（Business Plan）？

答复：
是，而且法国要求极高。

商业计划书必须包含：

未来 3 年的收入预测
运营支出预算
风险管理计划
人员招聘计划
技术架构说明
护照扩张策略（如适用）

法国审查商业计划书内容的深度 ≈ 银行业级别。

Q75：法国 CASP 的最低资本金要求是多少？

法国按业务类别规定如下：

CASP 类别	最低资本金要求
托管（Custody）	€125,000
经营交易平台（Trading Platform）	€150,000
执行交易指令（Execution）	€50,000
接收与传送指令（RTS）	€50,000
自营交易（Market Making）	€150,000
投资建议（Advice）	€50,000
投资组合管理（Portfolio）	€125,000
放行/承销（Placement）	€125,000

如果申请多个服务类别：
取最高者。

Q76：资本金是否必须在法国银行存入？是否需冻结？

答复：
必须满足：

✔ 必须放在法国银行
✔ 必须为实缴资本（Paid-up Capital）
❌ 不需要冻结，但不可随意挪用
✔ 需提供银行出具的“资本金证明”（Attestation de Capital Déposé）

监管重点是：
资本金必须可立即用于公司运营，而非空壳资金。

Q77：法国是否允许资本金来源来自股东借款？

答复：
❌ 原则上不允许。

资本金必须来自以下来源：

股东自有资金
合法收入
投资机构出资

AMF 审查“资金来源证明”非常严格，包括：

银行对账单
所得税证明
股东财富来源文件
资产出售证明

若出现股东借款 → 需证明借款为 非可撤销、无期限、无利息
否则不能作为资本金。

Q78：法国 CASP 是否要求额外的流动资金储备？

答复：
是，要求包括：

资本充足度（Own Funds Requirement）
必须持续满足 MiCA 的资本要求。
流动性覆盖率（Liquidity Buffer）
必须维持最少 3–6 个月的运营资金。
压力测试报告（Stress Test）
必须证明公司在极端情况下仍可持续运营。

法国对资金的审查严格程度接近德国。

Q79：治理结构是否必须设立独立的风险管理职能？

答复：
是，必须设立独立的风险管理岗位（Risk Manager）。

风险管理须独立于：

商业团队
产品团队
技术团队

必备风险政策：

市场风险
流动性风险
运营风险
网络安全风险
第三方外包风险
法律与合规风险
反洗钱风险

Q80：是否必须设立独立的合规职能（Compliance Function）？

答复：
必须设立，并必须满足：

✔ 合规职能需向董事会报告
✔ 合规政策需符合 MiCA + 法国 AML 规则
✔ 必须每年发布合规报告
✔ 合规经理必须独立于 CEO/产品/市场团队

AMF 对合规人员的独立性要求非常严格。

Q81：法国 CASP 是否需要设立审计委员会？

答复：
大型 CASP 建议设立，小型不强制。

如果申请：

交易平台
托管服务
自营交易
放行 / 承销

则 AMF 会更倾向于要求设立 Audit Committee。

Q82：公司是否必须聘请法国会计师与审计师？

答复：
必须聘请法国本地会计师（Expert Comptable），并提交：

年度财报
税务申报
内控审查报告

对于中大型 CASP，AMF 会要求：

法国注册审计师（Commissaire aux Comptes）
每年进行审计（Financial Audit）
对托管业务进行专项审计

Q83：法国是否允许使用集团总部的合规模板或政策？

答复：
部分可接受，但必须满足：

法国本地化要求
符合 MiCA 全量规则
AML/CFT必须符合 TRACFIN 标准
所有政策必须翻译成法语或英语

不能直接复制“母公司合规模板”。

Q84：法国是否要求提交组织结构图（Org Chart）？

答复：
必须提交，并必须包含：

董事会
管理层
RO / MLRO
合规部门
风险管理部门
内控部门
技术部门
运营部门

还需展示：

汇报链条
职责划分
独立性保证

Q85：公司是否必须设立合规委员会（Compliance Committee）？

答复：
对于中型以上 CASP，AMF 强烈建议设立。

委员会职责包括：

监管变更的跟踪
重大风险事件审查
内部政策更新
合规文化建设

Q86：法国是否允许将风险管理、合规、内控外包？

答复：
部分可外包：

✔ 风险模型设计 → 可外包
✔ 合规文件撰写 → 可外包
✔ 第三方 KYC 工具 → 可外包

❌ 责任岗位不可外包：

RO
MLRO
Risk Manager
Compliance Officer

职责不可转移，责任永远在公司内部。

Q87：法国监管是否要求公司进行职能隔离（Segregation of Duty）？

答复：
是，必须满足：

前台（业务） ≠ 中台（风险） ≠ 后台（合规）
技术团队 ≠ 内控团队
自营交易团队 ≠ 合规团队

违反隔离 → 审查失败。

Q88：法国是否要求关键政策均须经董事会批准？

答复：
是，必须经董事会批准的政策包括：

AML 政策
风险管理政策
内控政策
冷/热钱包管理政策
外包政策
数据保护政策
业务连续性计划（BCP）

Q89：法国是否要求提交数据治理（Data Governance）政策？

答复：
必须提交，且必须包括：

数据分类与权限
加密资产交易数据存储
GDPR 个人数据保护
员工访问权限控制
审计追踪（Audit Trail）

法国监管对数据保护非常重视。

Q90：是否必须设立内部审计（Internal Audit）职能？

答复：
中大型 CASP → 必须
小型 CASP → 可外包

内部审计必须至少每年执行：

合规政策有效性测试
AML 流程审查
风险管理执行情况
客户资产分离情况

Q91：法国 CASP 是否必须提交资金预测（Financial Projection）？

答复：
必须提交至少 3 年预测，包括：

收入
成本
EBITDA
自有资金变化
人力成本预测
技术系统成本
监管成本

预测的合理性是关键审查点。

Q92：法国是否检查财务稳定性（Financial Soundness）？

答复：
是，AMF 会审查：

公司是否具备可持续盈利模型
是否依赖高风险收入（例如代币发行）
资金消耗速度是否过快
是否需要额外融资

若财务不可持续 → 不予授权。

Q93：法国是否要求提交“最差情景”财务分析（Worst-case Analysis）？

答复：
是，必须包含：

市场暴跌
交易量下降
用户资产流失
监管处罚场景
网络攻击

并说明：

公司如何维持运营
是否需要增资

Q94：法国是否要求提交“客户资产隔离（Segregation）政策”？

答复：
是，必须解释：

客户资产如何分账户管理
公司资产与客户资产如何隔离
如何防止破产时客户资产受影响
如何每日执行对账

AMF 会进行模拟监管测试。

Q95：客户资产是否必须托管在法国银行？

答复：
对于 法币资产（Fiat）：
✔ 必须托管于法国或欧盟授权的银行 / EMI

对于 加密资产：
✔ 可自托管
✔ 可使用第三方托管
❌ 但必须符合冷存储比例要求

Q96：法国是否要求 CASP 定期进行资产对账（Reconciliation）？

答复：
必须每日对账，包括：

热钱包余额
冷钱包余额
客户明细账
区块链确认数据
法币银行账户余额

每月提交内部报告。

Q97：法国是否允许公司开展“客户资金池”模式？

答复：
❌ 不允许。

客户资产必须：

分账户管理
可单独识别
可随时提取
不得挪用
不得用于公司经营

Q98：公司破产时客户资产如何处理？

必须遵循 MiCA 要求：

客户资产具有“破产隔离性”
客户对资产拥有优先权
破产管理人必须遵循隔离政策
客户资产不得被用于偿还债务

Q99：法国是否对 CASP 的保险保障（Insurance Coverage）有要求？

答复：
建议但不强制。

强烈建议购买：

专业责任保险（Professional Indemnity Insurance）
网络安全保险（Cyber Security Insurance）
资产失窃保险（Custody Insurance）
董事与高管责任险（D&O Insurance）

托管类服务 → AMF 更倾向强制要求。

Q100：法国是否有“资本充足率”要求？

答复：
有，根据 MiCA：

自有资金必须 ≥ 最低资本金要求
若业务增长，资金需动态调整
AMF 可要求公司增资

公司必须随时提交最新财务报告以证明资本满足要求。

Q101：法国 CASP 是否需要每季度提交财务报告？

答复：
是，AMF 要求：

季度财报
自有资金报告
流动性报告
交易量报告
客户资产规模报告

Q102：法国是否要求提交“外包政策（Outsourcing Policy）”？

答复：
必须提交，包括：

外包供应商名单
外包风险评估
外包监控机制
数据安全控制
应急替代方案

AMF 对外包透明度要求非常高。

Q103：法国 CASP 是否必须满足 GDPR（数据保护法）？

答复：
必须遵守 GDPR + 法国 CNIL 规定。

公司必须提交：

数据处理规则
隐私政策
数据加密方案
数据删除流程

如违反 GDPR → 可被罚款数百万欧元。

Q104：法国是否允许公司将部分运营外包海外？

答复：
可以，但需满足：

外包地点必须在欧盟或低风险国家
必须提交外包风险评估
必须保证 AMF 能访问数据
不得外包关键岗位

不建议外包至：

❌ 中国内地
❌ 印度
❌ 非洲部分国家

因数据访问与监管问题。

Q105：法国是否要求提交 BCP / DRP（业务连续性 + 灾备计划）？

答复：
必须提交，并须包含：

灾难场景模拟
系统切换流程
数据备份地点（必须在欧盟）
恢复时间目标（RTO）
恢复点目标（RPO）

AMF 会测试灾备能力的真实性。

Q106：法国是否要求提交“利益冲突管理政策”？

答复：
必须提交，且必须包含：

公司与客户之间冲突
股东与公司之间冲突
自营交易 vs 客户交易冲突
董事与管理层冲突
风险缓解措施

Q107：法国监管是否要求设立举报制度（Whistleblowing System）？

答复：
中大型 CASP → 必须
小型 CASP → 建议

必须保证：

举报人匿名
调查内部执行
可报告合规、风险、欺诈问题

Q108：法国 CASP 是否可以使用母公司 IT 系统？

答复：
可以，但需满足：

系统必须可被 AMF 检查
数据必须在欧盟可访问
必须确保母公司无权违背法国要求
必须遵守外包规则

如果母公司在美国 → 需额外提交数据保护说明。

Q109：法国 CASP 是否必须设立董事会风险委员会？

答复：
托管类、交易平台类 CASP → 强烈建议设立
其他类别 → 按规模决定

职责：

审查风险框架
批准风险限额
审查重大事件
向董事会报告风险状况

Q110：资本金是否可作为运营费用消耗？消耗后需要补充吗？

答复：
资本金可以用于运营，但必须：

随时保持 ≥ MiCA 最低资本
如低于要求 → 必须立即补足

AMF 会监控公司的资金状况，并可能要求：

增资
限制业务扩张
强化风险管理

第五章｜申请流程、材料清单、审批时间、RFI 补件（Q111–Q150）

本文由仁港永胜（香港）有限公司拟定，并由唐生提供专业讲解。

本章所有内容均为法国 AMF + ACPR 最新（2025）审查标准
分类精确、适合项目内部使用 + 实战提交。

Q111：法国 MiCA CASP 的完整申请流程是什么？

法国申请流程分为 8 大阶段（仁港永胜流程版）：

阶段 1｜项目预审（Pre-filing / Orientation Meeting）

与 AMF 进行非正式咨询
提前确认业务模式
讨论关键人员设定
明确申请类别与难点

法国是必须做 Pre-filing 的国家（强烈建议，不做几乎必失败）

阶段 2｜递交正式申请（Formal Filing）

必须提交：

申请表
商业计划书
组织架构
技术说明
AML 政策
关键人员资料
资本金证明
客户资产政策
外包政策

AMF 收到后会发出 “受理通知”。

阶段 3｜AMF/ACPR 文件完整性检查（Completeness Check）

期间 AMF 会：

检查资料是否齐全
检查逻辑是否一致
检查文件是否自洽

若文件质量不达标 → 直接退件。

阶段 4｜第一轮监管补件 RFI（Regulator’s Request for Information）

典型为 60–120 条补件问题。

分类如下：

AML/CFT
技术系统
托管钱包安全
Risk Framework
外包安排
董事与关键人员能力
客户资产隔离
市场操作风险
投诉处理机制

阶段 5｜第二轮 RFI（通常 30–60 条）

范围较窄，聚焦：

AML
技术系统
风险管理
治理结构

阶段 6｜高管面谈（Management Interview / Fit & Proper Test）

参加人员：

CEO
RO
MLRO
CTO
Risk Manager

典型面谈时间：1–2 小时。

面谈强度：
⭐ 法国 > 奥地利 > 马耳他
（法国问题最细、最深）

阶段 7｜AMF 内部合规会议（Internal Committee Review）

AMF 会内部讨论：

风险是否可控
治理是否充分
人员是否胜任
技术是否合规

如通过 → 进入最终批准阶段。

阶段 8｜批准与登记（Authorization & Registration）

收到授权信后公司：

可于法国运营
可申请 MiCA 护照
必须持续遵守合规义务

Q112：法国 CASP 申请平均需要多少时间？

取决于业务类型：

业务类型	审批时间
投资建议/传送指令（轻型）	3–5 个月
托管（Custody）	5–8 个月
交易平台（CEX / OTC）	8–12 个月
自营交易 + 托管平台	12–18 个月

法国审批速度 ≈
快于德国 BaFin、慢于马耳他 MFSA。

Q113：申请 MiCA CASP 需要缴纳政府费用吗？

是的，但费用较低（法国属于监管成本低国家）：

申请手续费：约 €3,000–€5,000
年度监管费：€4,000–€12,000
（依业务规模而定）

附注：
最大成本来自“合规、系统、人员工资”，而非政府费用。

Q114：提交申请材料必须使用法语吗？

不要求必须用法语，可使用英语。

但 AMF 可能在以下情况下要求法语版本：

面向客户的文件
客户投诉策略
客户风险提示文案
隐私政策（GDPR）

官方提交可为英语，但内容必须简明专业。

Q115：法国 MiCA CASP 申请必备文件有哪些？（Master Checklist 版）

以下为 仁港永胜“法国 AMF 专用 Master Checklist（精简示例）”：

一、实体与治理相关文件

公司注册证明
组织架构图
董事会章程
董事会成员资料
关键岗位履历（RO/MLRO/CTO等）
Fit & Proper 审查材料
股权结构图（穿透至自然人）

二、业务模式（Business Model）

业务介绍
服务类别映射（8 类 CASP）
交易流程图
收益模型
客户资产流程说明
市场风险说明

三、风险管理框架（Risk Framework）

风险矩阵
风险限额机制
风险监测模型
年度风险评估报告
风险治理结构

四、AML / CFT（法国 TRACFIN 格式）

AML 政策
CDD / EDD 流程
客户风险评级模型
交易监控（包括 on-chain 分析工具）
STR/SAR 报告流程
制裁筛查（OFAC/EU）

法国 AML 要求与德国并列最严格。

五、IT 技术（Technical Documentation）

IT 架构图
热/冷钱包模型图
多签结构
网络安全政策
BCP/DRP（灾备计划）
数据备份机制（须 EU 内）
技术外包协议

六、客户资产安全与托管（Custody）

客户资产隔离策略
每日对账流程
私钥管理政策
冷存储策略
内外部审计机制

七、财务文件（Financials）

资本金证明
银行账户证明
三年财务预测
运营预算
审计师聘用证明（如适用）

八、法律文件

合规声明
披露文件
客户协议（Terms & Conditions）
费用披露（Fee Schedule）

Q116：法国 AMF 提交材料的终极标准是什么？

一致性 + 可执行性 + 无矛盾性

AMF 会检查：

文件是否自洽
政策写的是否能真正执行
流程是否符合法国 AML 要求
人员是否能胜任
关键岗位描述是否真实
技术与流程是否匹配

一句话总结：
AMF 不相信“纸面合规”，必须能实际执行。

Q117：哪些文件是最容易导致退件的？

根据 47 个失败案例统计：

AML 政策（与法国 TRACFIN 不匹配）
风险管理政策太空泛
技术文件缺乏系统逻辑（尤其冷热钱包）
董事会成员经验不足
RO/MLRO 不在法国
外包文档缺少监管访问条款
客户资产隔离不清晰
资本金来源不明确
第三方技术托管文档不足
数据治理不符合 GDPR

Q118：AMF 对申请材料中的“业务模式描述”有什么要求？

业务模式必须包含：

交易流程
资产流动图
钱包逻辑
客户行为分析
使用场景
产品风险
收费模式

且必须说明：

哪些环节由公司负责
哪些环节外包
哪些环节使用自动化

AMF 最讨厌模糊描述。

Q119：法国 CASP 申请是否需要提供客户旅程图（Customer Journey）？

必须提供（法国监管独有要求之一）。

客户旅程图必须解释：

KYC 触发点
AML 检查点
资金流向
交易指令流程
投诉处理流程
风险提示触发点

法国监管风格强调消费者保护。

Q120：法国是否要求提交“交易生命周期说明”？（Trade Lifecycle）

是，必须包含：

指令发起
风险检查
交易执行
资金结算
资产入账
对账流程
记录保存
客户通知

AMF 对 CEX 平台尤为关注此部分。

Q121：AMF 第一轮 RFI（补件）通常包含哪些问题？

以下为 AMF 补件核心八大类（仁港永胜统计版）：

1. AML / CFT（最多问题）

风险模型如何建立？
是否使用 Chainalysis、Elliptic？
客户资产转账何时触发 EDD？
交易行为监控规则有哪些？
STR 报告流程？

2. 技术系统（法国最严格）

私钥如何管理？
冷钱包比例多少？
多签机制如何设计？
是否有硬件签名？
BCP/DRP 是否可现场验证？

3. 客户资产隔离

如何防止资产挪用？
重建钱包时流程？

4. 外包管理

哪些外包是关键？
是否保证监管访问权？

5. 人员配置

每人每周工作小时？
是否真实履职？

6. 风险管理

风险矩阵如何维护？
是否有实时预警？

7. 数据治理

GDPR 合规机制？
用户数据是否出 EU？

8. 收入模型

收费结构对客户是否透明？

Q122：AMF 第二轮 RFI 会问什么？（更深、更细、更专业）

第二轮 RFI 通常聚焦 3 大部分：

（1）AML 深度问答

风险评分算法逻辑
高风险国家客群处理
链上监控案例分析
最近 10 个可疑行为举例

（2）技术系统问答

钱包迁移方案
灾备切换演练记录
是否支持 MPC？
签名设备采购合同

（3）治理结构问答

董事如何监督 RO？
RO 如何监督 MLRO？
董事会会议频率？

Q123：AMF 是否会进行现场检查（On-site Inspection）？

对于 CEX / 托管类 CASP：

✔ 可进行现场检查（抽查）
✔ 检查技术系统
✔ 检查交易日志
✔ 检查 AML 系统
✔ 检查冷钱包

法国是欧盟少数对申请人 可进行实地审查 的国家。

Q124：申请失败最常见的原因有哪些？

根据仁港永胜实务整理：

❌ 原因 1：RO/MLRO 不具备法国履职能力

（最常失败点）

❌ 原因 2：AML 文件过于模板化

法国对 AML 要求极高。

❌ 原因 3：技术文件逻辑不清

尤其钱包安全、密钥管理。

❌ 原因 4：外包文件缺乏“监管访问权”

法国要求供应商必须接受监管检查。

❌ 原因 5：治理结构不足

例如 CEO = RO = MLRO → 100% 被拒。

❌ 原因 6：资本金来源不清晰

AMF 对资金来源非常敏感。

❌ 原因 7：商业模式违反 MiCA

尤其“收益承诺、P2P 投资回报”等。

Q125：法国是否允许在 RFI 回答中提交“补充文件”？

允许，也很常见。

典型补充文件包括：

更新版 AML 政策
更新版 IT 架构
钱包管理 SOP
风险矩阵（Excel）
客户对账流程图
指令处理流程图（Flowchart）

仁港永胜通常为客户编写定制 RFI 对答 SOP。

Q126：提交 RFI 回答的通常期限是多少？

法国 AMF 一般给予：

10–20 个工作日

可申请延长，但必须说明理由：

技术供应商需准备材料
董事需参与会议讨论
AML 模型需更新

延长期限通常为：

额外 10–20 天

Q127：AMF 是否允许“滚动补件”？

允许，但风险较高。
滚动补件意味着：

一次提交不够完整
导致再次 RFI
审批延长

建议：
RFI 回答必须一次性完整提交。

Q128：是否必须在法国聘请法律顾问？

强烈建议（尤其托管/交易平台）。

法国法律环境复杂，包括：

MiCA 法规
金融法典（Code Monétaire et Financier）
数据保护法（GDPR + CNIL）
消费者保护法

律师可提供：

法律意见书
客户协议审查
政策合规性确认
RFI 法律解释支持

Q129：AMF 是否会要求第三方独立评估报告？

可能要求：

IT 安全评估
渗透测试（Penetration Test）
合规政策审计
风险管理内部审计

尤其当涉及：

托管
大型交易平台
高频交易技术

Q130：法国是否要求 CASP 提交“外包尽调包（Vendor Due Diligence Pack）”？

是的，必须提交：

外包清单
风险评估
合同复本
数据保护协议
监管访问权条款
供应商的信息安全政策

外包 DD 是法国审查最严格的部分之一。

Q131：法国是否允许使用海外技术供应商？

允许，但必须满足：

明确监管访问权
数据必须可在 EU 区域访问
GDPR 合规
中高风险供应商需额外尽调

美国供应商可能存在 数据出境风险，需加倍解释。

Q132：法国 MiCA CASP 必须提交哪些 IT 安全相关材料？

包括：

访问控制政策
加密管理政策
日志与审计政策
漏洞管理 SOP
网络分段说明
渗透测试报告
灾备环境设计
冷钱包安全策略

法国对技术文档要求接近银行级别。

Q133：法国是否要求“交易监控系统（Trade Surveillance System）”？

是的，必须提供：

市场操纵监控
异常交易提醒
价格偏离监控
过度集中风险监控
套利行为监控

特别针对：
提供交易平台服务的 CASP

Q134：AMF 在审核 CASP 时，是否会查看“链上监控工具”？

是，监管重点：

是否使用 Chainalysis / Elliptic
是否对高风险地址自动屏蔽
是否存档链上风险报告
是否做地址风险评分

AML 与链上监控是法国的核心审查点。

Q135：AMF 是否审查“客户教育与风险披露”？

是，法国是欧盟最重视投资者保护的国家之一。

必须披露：

加密资产风险
波动性
流动性风险
平台故障风险
法律风险

并确保客户：

阅读并确认
在开户前被教育

Q136：法国 CASP 是否必须提供客户投诉渠道？

必须提供至少以下渠道：

电子邮件
电话
网站在线客服
邮寄地址

并且必须：

7 天内确认收到
15–30 天内解决

AMF 随时可抽查投诉记录。

Q137：法国是否要求 CASP 在官网公开披露某些信息？

是的，必须包括：

客户协议
风险披露
费用表
公司信息
董事信息
投诉流程
隐私政策

AMF 强调透明度。

Q138：申请 CASP 是否需要提交“内幕信息管理政策”？

如果公司：

从事自营交易
或经营交易平台

则必须提交：

Insider List
MNPI 使用政策
黑名单管理政策

这是法国与 MiFID 类似的要求。

Q139：法国是否要求运营商提供压力测试结果？

是，必须提供：

极端市场情景
流动性冲击场景
客户提现挤兑场景
技术系统故障场景

并解释：

如何保持稳定运营
如何保护客户资产

Q140：法国是否需要定期向 AMF 报告“交易量数据”？

是，必须提交：

每月总交易量
客户数量
客户资产规模
高频交易占比

AMF 用于监测系统性风险。

Q141：申请 CASP 是否必须提交“冲突管理框架（Conflict of Interest Framework）”？

必须提交，特别是当：

公司同时经营平台与做市业务
公司同时开展投资建议与交易服务

必须展示：

信息隔离墙
黑名单
决策审批机制

Q142：法国 CASP 是否必须进行客户风险评估？

是：

客户必须评级（低/中/高）
高风险客户必须执行 EDD
CEX 需对“异常行为”进行额外监控

Q143：法国是否要求用流程图展示完整 AML 体系？

是，AMF 特别喜欢：

入金流程图
KYC 流程图
交易监控流程图
STR 上报流程图

越清晰越容易过审。

Q144：是否必须提交“资产负债管理（ALM）政策”？

若未持法币资产 → 不强制
若持有客户欧元 → 必须提交

ALM 需解释：

流动性期限结构
风险限额
汇率风险控制

Q145：法国是否允许使用离岸团队处理后台运营？

允许，但条件包括：

数据访问必须在欧盟
AML 不能外包
关键岗位不能外包
外包团队必须接受监管检查
必须提供英文协议

不建议将后台放在印度、中国等地。

Q146：法国是否接受完全远程办公团队？

❌ 不接受。

必须满足：

管理层在法国
合规人员在法国
AML 人员在法国
技术人员部分在法国

部分岗位可远程，但关键岗位必须在法国。

Q147：申请过程中公司是否可以运营业务？

不可以。
法国对无牌经营处罚非常严厉：

罚款
刑责
禁止未来申请

建议：
申请前不要运营任何涉及客户资产与交易的业务。

Q148：客户协议（Terms & Conditions）必须包含哪些内容？

必须包括：

风险披露
费用结构
冻结账户机制
投诉处理机制
客户资产保护机制
AML 义务
合同终止机制
数据隐私条款

AMF 会逐条审查合同。

Q149：法国是否要求提交“治理年度计划（Governance Calendar）”？

是，必须包括：

董事会会议计划
合规委员会会议计划
风险委员会会议计划
内部审计安排
培训计划

法国风格：治理必须可量化。

Q150：申请 CASP 被拒后是否可以重新申请？会有记录吗？

可以重新申请，但：

必须解释改善措施
原因会永久留档
再申请难度显著提升

AMF 对“第二次申请失败者”的容忍度极低。

第六章｜合规要求（AML / TRF / 运营风险 / 内控）Q151–Q180（法国版）

本文由仁港永胜（香港）有限公司拟定，并由唐生提供专业讲解。

Q151：法国 CASP 在 AML / CFT 上受哪几部法律与机构监管？

答复：
法国加密资产服务商在 AML / CFT 层面同时受以下约束：

欧盟 MiCA + AMLD（反洗钱指令）框架
法国《货币与金融法典》（Code Monétaire et Financier）
TRACFIN（法国金融情报机构）指引
ACPR 反洗钱与内部控制细则
制裁与冻结资产相关法令（欧盟制裁、联合国制裁、法国本国制裁）

实务含义：
法国 CASP 在 AML 上的要求，整体水平接近银行 + 支付机构，不再是“轻监管互联网企业”思路。

Q152：法国 CASP 必须制定哪些核心合规政策？（最低清单）

答复：
至少需要形成以下 书面政策（Policies & Procedures），并提交给 AMF/ACPR：

《反洗钱与反恐融资政策》（AML/CFT Policy）
《客户尽职调查与客户识别程序》（CDD/EDD Procedure）
《制裁名单与黑名单筛查政策》
《可疑交易识别与 STR/SAR 报告程序》
《交易监控与链上监控政策》
《运营风险管理政策》
《内部控制框架与合规监督政策》
《外包风险管理政策》
《数据保护与隐私合规政策》（GDPR/CNIL）
《客户投诉与投资者保护政策》
《行为守则与利益冲突管理政策》

所有政策必须“可执行”——不是简单的模板，而是贴合项目实际业务。

Q153：法国 AML 政策和“普通模板型 AML 文件”有什么本质区别？

答复：
“普通模板型 AML 文件”通常具有以下问题：

使用通用措辞，未结合具体业务场景
未涉及法国 TRACFIN 报告要求
未引用法国本地法律条款
未提及链上分析工具、虚拟资产特有风险
EDD 场景设置过少或过于笼统

而法国合规标准要求：

必须清晰界定：业务模式 × 风险点 × 控制措施
必须覆盖 虚拟资产特有风险（Mixer、DeFi、P2P OTC、隐私币等）
必须详述 TRACFIN 上报流程（具体到角色、时间、内部系统记录）
必须结合 MiCA + 法国本地法 + FATF 立场
必须包含 案例 / 场景 / 流程图

一句话：
法国不接受“写给监管看的”AML模板，必须是“能真正在公司执行的操作手册”。

Q154：法国 CASP 客户 KYC 的最低要求是什么？（自然人）

答复：
自然人客户 KYC 必须包括：

基本身份信息：姓名、国籍、生日、证件号码、地址
证件验证：护照 / 身份证扫描 + 活体检测 / 视频核验
地址验证：水电账单 / 银行对账单 / 政府信函等
资金来源（Source of Funds）基本说明（高风险客户必须写明）
职业与收入情况
风险提示确认
客户风险评级（低/中/高）

对于高风险客户，必须执行 加强尽职调查（EDD）：

更多资金来源证明
更多背景资料
管理层批准

Q155：对企业客户（法人实体）的 KYC 需要做到什么程度？

答复：
企业客户的 KYC（KYB – Know Your Business）必须涵盖：

公司注册证明（如 Kbis、登记证）
公司章程（Articles of Association）
董事名单
控股结构图（穿透至最终自然人 UBO）
UBO 身份证件 + 无犯罪记录（如可取得）
公司银行资料（用于验证经营正常性）
公司业务性质、主要客户群、主要市场
年营业额区间、资金来源说明

高风险企业（例如位于高风险国家、加密相关中介机构）必须：

要求更多资金与交易证明
要求管理层批准
提高交易监控频率

Q156：法国 CASP 是否必须对所有客户进行风险评级？

答复：
是的，风险评级是法国 AML 的核心要求之一。

典型模型包括：

客户类型（自然人 / 法人）
国籍 / 注册地
行业
交易金额与频率
使用产品类别（CEX、OTC、DeFi 接入）
使用的资产类别（是否涉及隐私币、Mixer、跨链桥）

结论：
风险评级模型必须形成文档，并在系统中实际落地，不是纸面设计。

Q157：法国监管对于“高风险国家 / 地区客户”的态度是什么？

答复：
必须参考：

FATF 高风险与黑灰名单
欧盟高风险第三国清单
法国 TRACFIN 补充指引

对高风险国家客户：

必须执行 EDD
必须增强交易监控
可能需要股东 / 管理层批准
必须有更低的限额 / 更高的监控频率

某些司法管辖区（如被 EU 制裁或严重高风险）可能 直接禁止开户。

Q158：法国 CASP 是否必须使用链上分析工具（如 Chainalysis / Elliptic）？

答复：
法律未强制指定具体工具，但从监管实践看：

对于 托管 / CEX / 大型 OTC 业务，不使用链上分析工具几乎无法通过审查
工具可包括：Chainalysis、Elliptic、Scorechain 等
监管期望：
- 对地址进行风险评分
- 识别 Mixer、暗网、制裁地址
- 形成可追溯的链上风险报告

结论：
对于中大型项目来说，链上分析工具已经是“监管期望中的必选项”而非选配。

Q159：法国 CASP 必须向 TRACFIN 进行 STR/可疑交易报告吗？

答复：
是的，所有符合条件的可疑交易，必须向 TRACFIN 报告。

要求包括：

内部识别可疑行为
MLRO 审阅并决策是否上报
形成书面 / 系统记录
按 TRACFIN 规定格式提交 STR/SAR
保存记录至少 5 年以上

注意：
不报可疑交易的责任 重于“报错一些正常交易”。监管宁愿你多报，但绝不接受“完全没有报告”。

Q160：法国 CASP 如何识别需要上报 TRACFIN 的可疑交易？

答复：
必须建立一套“可疑情景与规则库”，例如：

与制裁名单地址交易
与高风险交易所反复互转
高频大额入金后迅速转出
资金来源与客户身份明显不匹配
多账户交叉洗钱行为
高频使用 Mixer、隐私币、跨链桥
与高风险司法辖区频繁资金往来

这些必须写入：

《交易监控规则手册》
AML 系统规则引擎中

Q161：法国 CASP 的交易监控（Transaction Monitoring）必须做到什么程度？

答复：
至少包括：

实时监控大额交易
模式识别（Pattern Recognition）
异常行为检测
规则引擎（Rule-based）+ 行为建模（Behavior-based）结合
可视化报表与警报系统
明确告警级别与处理流程

核心要求：监控系统不能是“被动查询”，而是“主动预警 + 记录”。

Q162：法国是否允许完全人工 AML 审查，而不用自动系统？

答复：
理论上对于小型、客群单一、交易量低的 CASP，可以采用较高程度人工审查；但：

只要涉及 CEX / OTC / 大量日常交易
或预期客户数 > 1000
→ 监管期望必然是：自动监控系统 + 人工复核

法国的实际监管口径是：
任何规模稍大的 CASP，不使用交易监控系统基本过不了。

Q163：法国 CASP 是否可以对“小额交易 / 小额钱包”做简化尽职调查（SDD）？

答复：
可以，但必须满足：

单笔金额较小
累计金额具有合理阈值
无高风险国家 / 行业 / 资产
无异常行为
客户背景低风险

且必须在政策中 明确设定 SDD 使用条件 + 限额 + 监控机制。
监管会检查公司是否“滥用 SDD”。

Q164：法国 CASP 在制裁筛查方面需要做到什么程度？

答复：
制裁筛查（Sanctions Screening）必须覆盖：

客户身份（KYC 时）
向 / 从的地址（链上地址）
银行账户信息
交易对手信息
日常批量筛查 + 每日名单更新

名单包括：

欧盟制裁名单
联合国制裁
法国本地补充名单
OFAC（虽然欧盟不强制，但原则上建议参考）

实务：
法国监管期望 CASP 至少能证明：
“我们不会与任何受制裁方产生直接或间接关系”。

Q165：法国 CASP 的“记录保存”要求是什么？

答复：
MiCA + 法国本地法要求：

KYC 文件：保存至少 5 年～10 年
交易记录：至少 5 年（很多机构保存 10 年）
AML 调查记录：至少 5 年
STR 报告：至少 5 年
合规培训记录：至少 5 年

所有记录必须：

可供 AMF / TRACFIN 检查
不可任意删除
满足 GDPR 要求（尤其是客户有权查阅）

Q166：法国 CASP 是否必须设立单独的“合规部（Compliance Department）”？

答复：
视公司规模而定：

小型项目：可以设立“合规 & 风控 & AML 组合部门”，但需保证职能清晰
中大型项目（托管 / 交易平台）：必须设立独立合规部，由 Compliance Officer 领导

合规部的职责包括：

监管沟通协调
内部政策更新
持续合规监控
员工培训
内部审查与报告

Q167：法国 CASP 的合规年度计划（Compliance Plan）需要包含什么内容？

答复：
合规年度计划至少包括：

监管变更跟踪计划
内部政策更新计划
内部合规测试时间表
内部审计与外部审查安排
合规培训时间表与主题
高风险业务专项审查（如 OTC、大额转账）
对新产品、新业务的合规预审

法国 AMF 更希望看到：
“合规不是一次性的牌照申请项目，而是一个年度循环体系”。

Q168：法国 CASP 在运营风险管理方面，监管关注哪些重点？

答复：
运营风险包括但不限于：

人员错误（输入错误、误操作、疏忽）
系统故障（系统崩溃、数据丢失）
欺诈（内部 / 外部）
第三方服务商故障
外包供应商失误
网络攻击
物理安全事件

监管要求公司：

识别风险
设定风险容忍度
设计控制措施
定期执行压力测试与模拟演练

Q169：法国是否要求 CASP 实施“内部控制三道防线模型”？

答复：
是，法国与欧盟银行监管一致，期待 CASP 参照“三道防线”：

第一道防线：业务与运营团队
- 日常操作
- 自身负责初级控制
第二道防线：风险管理 & 合规
- 独立检查
- 风险监控
- 制度制定
第三道防线：内部审计（Internal Audit）
- 定期进行综合评估
- 出具报告给董事会

AMF 非常希望在文件中看到“三道防线”的结构与职责分工。

Q170：法国 CASP 是否必须设立“内部审计职能”？可以外包吗？

答复：

小型 CASP：内部审计可以外包
中大型 CASP：建议设立内部审计部门或至少指派“内部审计负责人”

外包内部审计时，必须保证：

审计机构具备专业资质
与公司无重大利益冲突
报告直接提交给董事会

Q171：法国 CASP 的内部控制报告（Internal Control Report）需要涵盖哪些内容？

答复：
典型内部控制报告应包括：

对 AML 执行情况的评估
对风险管理框架有效性的评估
对合规政策执行情况的评估
重大风险事件记录与整改情况
BCP/DRP 测试结果
外包管理情况
数据保护 / GDPR 执行情况
对内部控制改进建议

这类报告通常由内部审计或合规部门编制，每年向董事会汇报。

Q172：法国是否要求对新产品 / 新业务进行“合规预审（Compliance Review）”？

答复：
是，这是监管非常重视的一点。

如推出以下业务：

Launchpad / IEO
新类型 RWA
新链接入
NFT 市场
DeFi 接入或跨链桥集成

都必须先进行 合规影响评估（Compliance Impact Assessment），并形成：

书面风险分析
控制措施更新
政策修订记录

Q173：法国 CASP 是否必须进行“员工合规培训”？频率是多少？

答复：
必须进行，且监管有明确期望：

新员工入职时强制 AML / 合规培训
每年至少 1 次 AML / CFT 培训
对关键岗位（RO、MLRO、前台人员）需进行强化培训
培训需有：签到记录、培训材料、测验结果

监管抽查时，常问：
“请提供过去 12 个月 AML 培训记录。”

Q174：法国 CASP 是否需要设立“举报机制（Whistleblowing Channel）”？

答复：
对于中大型 CASP，强烈建议。法国监管文化强调：

员工可以匿名反馈问题
涉及：洗钱、欺诈、利益冲突、系统操控等问题
举报记录必须保密
举报处理需有明确流程

这是展示 “合规文化真实存在” 的重要环节。

Q175：法国 CASP 是否必须建立“客户投诉处理机制”？监管如何看待？

答复：
必须建立，并且 AMF 会重点审查：

投诉渠道是否明确（官网、邮件、电话）
投诉处理时限是否合理（如 7 日内确认、30 日内答复）
是否记录每一宗投诉及处理结果
是否对投诉进行分类分析（系统问题 / 员工问题 / 流程问题等）
是否将投诉统计定期汇报给董事会

投诉记录是监管衡量“客户保护机制是否有效”的重要指标。

Q176：法国 CASP 是否需要设立“产品适当性 / 适合性评估（Suitability/Appropriateness）”？

答复：
如果 CASP 提供：

投资建议
组合管理
复杂衍生产品
杠杆产品

则必须建立 适当性评估体系（Suitability Test）：

测试客户的知识与经验
测试风险承受能力
测试投资目标
根据测试结果限制可购买产品范围

France 在投资者保护上对标 MiFID 体系。

Q177：法国 CASP 的“冲突管理（Conflict of Interest）”必须具体到什么程度？

答复：
冲突管理政策必须：

列明可能产生冲突的情景
- 自营 vs 客户
- 不同客户之间
- 董事 / 股东 vs 公司
明确控制手段：
- 信息隔离
- 审批机制
- 禁止某些交易
- 独立价格来源

在实际检查中，监管会问：
“如果贵司的做市部门和平台运营部门在某个问题上意见不一致，谁说了算？如何避免损害客户利益？”

Q178：法国 CASP 是否需要进行“年度合规自评（Compliance Self-Assessment）”？

答复：
是，这是最佳实践，监管亦高度期望：

自我评估 MiCA 条款执行情况
自评 AML/CFT 的有效性
自评 IT 安全控制
自评外包管理
制定下一年度整改计划

通常由 RO + 合规部门 + 风险管理部门联合完成，提交给董事会审阅。

Q179：法国 CASP 未按要求履行合规与内控义务，会面临什么后果？

答复：
可能面对：

监管整改指令
行政罚款（金额视情况而定，可达数十万欧元）
暂停部分业务
撤销 CASP 授权
对个人（董事、RO、MLRO）实施个人责任制裁
将案件移交检察机关，追究刑事责任（如涉嫌协助洗钱）

特别提醒：
在法国，合规失职不是“小问题”，而是足以毁掉整个牌照与管理层职业生涯的重大风险。

Q180：法国监管对“合规文化（Compliance Culture）”的看法是什么？如何在文件中体现？

答复：
监管非常强调“合规不是一个部门，而是一种文化”，评估时会关注：

高层是否在文件中明确“将合规作为公司核心价值之一”
董事会是否定期审查合规报告
是否为合规给足预算与资源
是否以“合规为中心”设计产品与流程，而不是“先做业务再补合规”
是否记录合规建议被采纳或被否决的原因

在申请材料中，可通过以下方式体现：

CEO / 董事会的合规承诺声明
合规在组织架构中的位置（是否直接向董事会汇报）
对违规零容忍的政策
合规决策被写入会议纪要
对员工的持续培训与考核

一句话：
法国监管希望看到的，是一个“业务服从合规、合规服务业务”的动态平衡，而绝不是“合规装点门面”。

第七章｜技术系统要求（IT、钱包、密钥、网络安全、灾备）Q181–Q200（法国版）

本文由仁港永胜（香港）有限公司拟定，并由唐生提供专业讲解。

Q181：法国监管对 CASP 的技术系统（IT System）审查整体思路是什么？

答复：
法国 AMF / ACPR 的技术审查遵循三个核心原则：

系统必须安全（Security by Design）
- 私钥管理
- 访问控制
- 网络隔离
- 加密机制
- 多层保护
- 防火墙与入侵检测
系统必须可持续运行（Operational Resilience）
- 容灾能力
- BCP/DRP
- 交易系统冗余
- 数据实时备份
系统必须可监管（Auditability）
- 日志完整
- 证据留存
- 可审计、可追溯
- 数据可在 EU 区域存取

一句话总结：
法国监管审查 IT 的强度 ≈ 中等规模金融机构。

Q182：CASP 是否必须提交 IT 架构图与数据流图？

答复：
是的，属于必备文件之一。
AMF 期待看到：

系统模块拆分
前端 / 中台 / 后台结构
钱包模块（MPC、多签、HSM）
API 网关
数据存储位置与加密方式
风险控制模块
监控与日志系统
外部服务接口（如 KYC、链上分析、托管服务商）

数据流图必须清晰展示：

客户请求流向
数据处理路径
钱包调用流程
AML 触发点
日志记录点

图越清晰越容易过审。

Q183：法国监管对“热钱包 / 冷钱包比例”有没有明确要求？

答复：
没有明确百分比，但监管期望如下：

大部分资产存储在冷钱包（Cold Storage）
热钱包仅用于日常提款流动性
需设定“每日热钱包上限”
必须有自动补币和风控监控机制
冷钱包应采用：
- 多签
- HSM
- MPC
- 离线环境

业内常规做法（法国监管最容易接受）：
热钱包 ≤ 2%–5%
冷钱包 ≥ 95% 以上

Q184：私钥管理必须采用多签、多方计算（MPC）或 HSM 吗？

答复：
法国监管并未强制技术路线，但要求：

必须具备物理隔离
必须具备权限分离
必须具备操作双人复核（4-eyes）
必须具备审计追踪
必须避免“单点故障（SPOF）”

常见可接受方案：

MPC（多方计算）
HSM（硬件安全模块）
多签（Multi-Signature）
HSM + 多签（最安全方案）

如果采用“单人控制全体私钥”，100% 申请失败。

Q185：法国监管是否要求提供钱包恢复机制（Key Recovery）？

答复：
必须提供，并且必须包括：

主密钥恢复流程
门限恢复（Threshold Recovery）
多人协作机制
恢复审计记录
紧急恢复时间要求
冷备份位置
恢复过程中的风险控制措施（如暂停提款）

监管关注：
“恢复能力是否可执行、是否安全、是否避免滥用行为”。

Q186：CASP 是否必须提供“内部钱包与客户钱包分离”？

答复：
是的，属于 MiCA 强制要求。

必须明确：

客户资产不属于 CASP 公司资产
客户资产必须单独管理
不得与运营资产混同
必须有独立地址 / 独立账簿
必须能随时计算每个客户的余额

监管特别关注：
是否可防止公司破产时资产被挪用。

Q187：法国监管对“提款流程”有哪些强制要求？

提款流程必须具备多层控制：

自动风险扫描：
- 地址是否高风险
- 是否触发 AML 警报
- 是否与 Mixer、暗网等相关
- 是否涉及制裁地址
额度管理：
- 单日限额
- 单笔限额
- 高风险客户需人工复核
双人复核（4-eyes）：
- 至少一个复核人员
- 一般需 RO/AML 部门参与高额提款
延迟机制（Cooling-off Period）：
- 防止内部操作或黑客攻击

最重要的是：必须“可审计”与“可自动化”。

Q188：法国 CASP 必须提供哪些网络安全措施？

答复：
至少包括：

入侵检测系统 IDS / IPS
DDoS 防护
API 网关限制
WAF（Web 应用防火墙）
定期渗透测试（Pen Testing）
补丁管理流程
多因素认证（MFA）
最小权限原则（Least Privilege）
员工终端安全策略（EDR）
定期代码审计

监管核心关注：
“系统被攻击时是否能保护客户资产不受损失”。

Q189：法国是否要求进行渗透测试（Penetration Test）？频率如何？

答复：
必须进行。

要求如下：

由第三方网络安全公司执行
每年至少一次
涵盖：
- Web
- API
- 钱包模块
- 后台系统
- 内部网络
必须提交渗透测试报告给 AMF（如被要求）

平台运营者（CEX）甚至需要：
季度安全检测 + 实时安全监控

Q190：CASP 是否必须采用“日志系统（Audit Log）”记录所有操作？

答复：
是的，MiCA 明确要求“可追溯性（Traceability）”。

日志必须记录：

用户行为
内部员工操作
钱包调用
风险事件
安全事件
API 调用
系统变更

日志保存期限：
至少 5 年（法国多数机构保存 10 年）

Q191：法国是否要求交易系统的高可用性（High Availability, HA）？

答复：
强烈要求，尤其是平台业务。

要求包括：

冗余架构
无单点故障
云 + 本地混合部署（可选）
自动容灾切换
数据库主备同步
故障自动恢复

监管会问：
“如果您的主系统宕机，客户资产与订单是否会丢失？”

Q192：法国监管是否要求对系统进行压力测试（Stress Test）？

答复：
是的，必须提供书面结果。

压力测试应包括：

极端市场情况：
- 大幅波动
- 交易量暴增
- 多账户同时提款
技术压力测试：
- API 暴增
- 后端负载测试
资产冻结 / 恢复演练

Q193：CASP 是否必须提供“交易生命周期（Trade Lifecycle）”说明？

答复：
必须提供。
内容包括：

指令接收
合规检查
交易匹配
结算
入账
对账
日志记录
通知客户

AMF 会检查该流程是否与平台实际逻辑一致。

Q194：法国监管对“异常交易监控（Market Surveillance）”有何要求？

特别针对交易平台（CEX）：

必须监控：

价格操纵
虚假挂单
自成交（Wash Trading）
大额账户操纵行为
高频交易（HFT）
庄家行为

监控系统必须：

具备告警阈值
可生成报告
可供监管抽查

Q195：法国 CASP 是否可以将技术系统托管 / 外包？

可以外包，但必须满足严格条件：

供应商必须允许监管访问（Regulator Access）
数据必须在欧盟可访问
外包协议必须涵盖：
- SLA
- 安全要求
- 审计权限
- 数据处理条款（GDPR）
不得外包关键决策性功能（如 AML 审批）

Q196：法国是否允许使用海外云（AWS / Azure / GCP）？

允许，但需满足：

数据在欧盟区域可访问
加密与解密控制权在 CASP 手中
需提交安全评估报告
云供应商必须签署：
- DPA（数据处理协议）
- 监管访问条款
- 灾备承诺

法国监管最关注：
“云服务是否带来数据出境或监管不可控风险”。

Q197：法国是否允许将钱包托管外包给第三方公司？

允许，但需满足：

钱包托管商必须是 MiCA 监管范围内的持牌方
必须有监管访问权
必须提交尽调包（Due Diligence Pack）
必须说明“为何外包更安全”
客户协议必须披露托管方信息

特别说明：
若托管外包严重依赖第三方，监管会提高资本金要求。

Q198：系统开发能否外包至海外（如印度、中国）？

可以，但必须：

不涉及敏感数据
不涉及私钥
不涉及用户身份信息
有明确安全协议
有 NDA 与访问控制
开发环境隔离
代码审计与安全测试必须在 EU 完成

监管担忧：

数据泄漏
后门程序
无法监管

因而外包软件开发需谨慎设计。

Q199：法国是否要求制定 BCP（业务持续计划）与 DRP（灾难恢复计划）？

答复：
是的，是必备文件。

内容包括：

灾难级别分类
恢复时间目标（RTO）
恢复点目标（RPO）
冷备与热备系统
关键岗位替代机制
紧急通讯手册
客户通知机制

监管特别关注：
“如果系统被攻击 / 停摆，公司能否在 2–4 小时内恢复关键服务？”

Q200：法国监管是否会进行“技术系统现场审查（On-site IT Inspection）”？

答复：
是的，尤其涉及以下场景：

托管服务（Custody）
中大型 CEX
使用外包钱包服务
使用复杂链上架构
涉及高风险客户群

审查内容包括：

钱包管理流程
私钥生成与存储
冷钱包访问流程演示
日志系统与审计记录
灾备切换演示
API 流量监控
渗透测试报告

法国在技术审查这一块，严格程度可与德国 BaFin 并列欧洲前二。

第八章｜资金与资本金要求（Capital / Liquidity / Safeguarding）Q201–Q230（法国版）

本文由仁港永胜（香港）有限公司拟定，并由唐生提供专业讲解。

Q201：法国 CASP 在 MiCA 下的最低资本金要求是多少？

MiCA 对 CASP 的资本金采取 按业务类别划分的固定资本要求。
法国 AMF 100% 按 MiCA 原文执行，标准如下：

CASP 服务类别	最低资本金要求
接收与传送指令	€50,000
执行指令	€50,000
投资建议	€50,000
经营交易平台（CEX/OTC）	€150,000
托管（Custody）	€125,000
自营交易 / 做市	€150,000
承销 / 放行	€150,000
资产组合管理	€125,000

Q202：法国 AMF 是否可能要求高于 MiCA 最低资本金？

答复：会。
法国 AMF 会根据以下因素提高要求：

客户规模（预计 > 50,000 用户）
平台类型（托管 + CEX）
高风险业务（做市 / 跨链桥 / 隐私币）
使用外包托管
技术复杂度

提高幅度通常为：
1.5–3 倍（常见）
例如：
托管服务最低 €125,000，但法国通常要求 €250,000–€400,000。

Q203：资本金必须一次性缴足吗？可以分期缴付吗？

答复：
必须 一次性全额缴足，并存放在法国或欧盟银行账户。

监管不接受：

分期缴付
可撤回存款
通过贷款筹资资本金

资本金必须来自 真实可验证的资金来源。

Q204：资本金来源是否需要解释？如何审查？

答复：需要，非常严格。

监管要求提交：

资金来源证明（银行流水、收入证明、股东公司分红等）
资金合法性解释
股东背景与财富来源（SoW – Source of Wealth）
股东的税务合规情况
如为企业股东：财务报表、缴税证明

法国监管特别关注：

“是否存在隐性融资、黑箱资金、加密资产套现、关联方循环注资”。

Q205：资本金可以来自加密资产吗？

答复：不可以。

资本金必须由：

法币
可验证的银行账户
合法收入来源

加密资产无法用于缴纳注册资本，也不得先卖币再用作资本（除非能彻底证明交易来源与税务记录）。

Q206：注册资本必须存放在法国银行吗？

答复：不强制，但优先级如下：

法国本地银行（最佳）
欧盟任意国家持牌银行（可接受）
英国银行（部分可接受）

不接受：

离岸银行
EMI（电子货币机构）账户
第三方托管账户

法国银行开户难度大，但成功率高于德国。

Q207：资本金是否可以在牌照获批前动用？

答复：不可以。

监管要求：

资本金必须“可用，不可动用（Ring-fenced）”
仅在牌照获批后，用于公司运营、系统建设等

资本金不得提前用于：

员工薪资
外包系统费用
股东提款

如提前动用 → 直接退件。

Q208：CASP 是否必须提交“三年财务预测（Financial Projections）”？

答复：必须提交，并且必须合理。

需要提交：

三年损益表（P&L）
三年资产负债表
三年现金流预测
客户增长假设
费用模型（人员、系统、合规、托管等）
收入模型（交易费、托管费、做市收入等）

法国监管不接受：

非现实性预测（如一年 50 倍增长）
未解释增长逻辑
无数据支持的“市场乐观预期”

Q209：CASP 是否必须保持“持续资本要求（Ongoing Capital Requirement）”？

答复：
必须维持资本金 ≥ 法规最低要求。

同时，MiCA 要求：

资本金不得低于过去 12 个月固定支出的 1/4。

例如：

年支出 €1,200,000
→ 持续资本金要求至少 €300,000

这是监管计算“公司是否能存活”的关键指标。

Q210：CASP 是否需要维持流动性储备金？（Liquidity Buffer）

答复：
是的，必须维持：

足够覆盖运营成本
足够覆盖客户提款
足够覆盖技术故障恢复

法国监管常见要求：
最低 3–6 个月的运营支出作为流动性储备。

Q211：客户资产必须与公司自有资产严格隔离吗？如何操作？

答复：必须严格隔离（Safeguarding）。

具体包括：

单独的客户资产账户
明确账簿记录（客户与公司独立）
每日对账（Daily Reconciliation）
热/冷钱包独立地址
不得将客户资产用于公司融资或运营
客户资产必须“可随时提现”

如客户资产与运营资产混同 → MiCA 违反＋法国刑责风险。

Q212：法国监管是否要求设置“客户资产保障金（Safeguarding Fund）”？

MiCA 未强制要求，但法国 AMF 可以在以下情形要求增加保障金：

交易平台日均交易量较大
托管资产规模巨大
执行业务风险高
历史出现过内部资产管理问题
外包钱包方案较复杂

保障金一般为：
€100,000–€500,000（按监管评估）

Q213：公司破产时，客户资产如何保护？监管要求是什么？

监管要求 CASP 实现：

客户资产不进入破产财产（Bankruptcy Remote）
客户资产可独立追回
客户记录必须完整
托管账户必须有外部审计
保留每日对账报告

AMF 会检查：
“如果公司破产，客户能否在 24–48 小时内被识别并返还资产？”

Q214：法国 CASP 是否必须进行“每日对账（Daily Reconciliation）”？

答复：必须。

对账必须包括：

交易数量
钱包资产余额
客户余额
平台内部账户
手续费账户
热钱包与冷钱包余额差异

监管会抽查对账记录。

Q215：对账必须使用自动化系统吗？

监管没有强制，但期望：

客户数少于 1000 → 人工可接受
客户数多于 1000 → 必须自动化对账
CEX → 必须自动化 + 每日生成对账报告

手工 Excel 对账常被 AMF 批评为“高风险、不可审计”。

Q216：法国是否要求对客户资产进行外部审计？

答复：
是的，至少每年一次。
审计内容包括：

冷钱包余额
热钱包余额
私钥管理
对账系统
客户资产隔离
风险控制

平台型 CASP 需要季度内部审查 + 年度外部审计。

Q217：CASP 是否必须购买职业责任保险？（Professional Indemnity Insurance）

MiCA 无强制，但法国监管默认期望：

尤其涉及：

托管
执行
交易平台
做市

保险额度通常：
€1,000,000–€5,000,000

Q218：法国监管是否允许 CASP 借入资金运营？

可以借入资金，但 不能用于资本金。

借款可用于：

系统开发
营销
人员费用

但必须提交：

借款协议
资金用途说明
借款不会影响资本结构的说明

资本金必须完全是股权注资。

Q219：是否可以使用第三方托管（如 Fireblocks、BitGo）？监管是否接受？

可以使用，但条件包括：

托管商必须是：
- MiCA 监管对象
- 或在美国等地受监管（需额外解释）
必须提交尽职调查报告（Vendor Due Diligence）
必须提交托管架构图
必须披露托管商风险
必须确保数据在 EU 可访问

监管非常关注：
“如果托管商倒闭，公司能否迅速恢复资产管理？”

Q220：法国是否要求“客户资金存放第三方银行账户（Safeguarding Account）”？

答复：
是，涉及法币资金的 CASP 必须：

客户欧元资金存放于托管银行（Safeguarding Bank）
禁止使用 EMI 或第三方支付机构存放客户资金
必须每日对账
必须确保客户资金独立于公司资产

法国监管偏银行体系，因此对法币资产监管极严。

Q221：是否必须向客户披露“费用结构（Fee Schedule）”？

答复：必须，且必须透明、逐条披露。

必须包括：

交易费
提现费
网络费
做市费（如适用）
托管费
不活跃账户费

AMF 要确保“客户不会被隐藏费用伤害”。

Q222：法国是否要求提交“客户退出与资产返还流程”？

答复：必须提交。

内容包括：

客户发起退出申请
身份验证
AML 检查
资产返还流程
冷钱包划转流程
手续费说明
记录与报告机制

监管会问：
“客户能否在 24 小时内安全提走资产？”

Q223：是否必须建立“资金流向图（Fund Flow Diagram）”？

必须，且内容应包括：

法币充值流程
加密资产充值流程
法币提现流程
加密资产提现流程
钱包流向
对账点
AML 检查点

这是法国监管最常要求的技术 + 财务文件之一。

Q224：法国 CASP 是否必须提交“资产负债管理（ALM）政策”？

如果 CASP 持有法币资产：必须提交。
内容包括：

流动性风险
利率风险
汇率风险
融资风险
资产到期结构
公司运营现金流预测

ALM 对交易所、做市业务尤为重要。

Q225：CASP 是否必须准备“流动性应急计划（Liquidity Contingency Plan）”？

答复：必须，尤其针对托管 / CEX。

内容包括：

大额提款潮应对措施
资产重组机制
紧急增资渠道
备用流动性来源
提款排序机制
监管通知流程

法国监管担心“挤兑风险”。

Q226：法国监管是否对做市商（Market Maker）增加额外资本金要求？

答复：会。

原因：

做市业务涉及市场波动风险
订单深度维护责任
自营交易可能亏损
与客户利益冲突风险

AMF 通常要求：

额外 €100,000–€300,000 风险资本金

Q227：法国是否禁止 CASP 使用客户资产为公司融资？

答复：严格禁止。

禁止行为包括：

客户资产出借
客户资产抵押
客户资产为公司融资
客户资产用于做市

违反者面临：

刑事责任
牌照撤销
董事禁职

Q228：CASP 是否可以向客户提供收益产品（如 Earn / Staking）？

可以，但监管要求：

必须按 MiCA 分类
必须披露所有风险
客户同意书必须透明
对非托管 Staking（non-custodial）要求较低
托管型 Staking 要求：
- 私钥安全
- 资产隔离
- 退出机制

如果收益结构接近“投资产品”，AMF 可能要求额外监管。

Q229：法国 CASP 是否需要提交年度财务报表？需要审计吗？

答复：必须提交，并且必须经审计。

包括：

资产负债表
损益表
现金流量表
所有附注
审计师意见

托管类 CASP 必须提交 客户资产审计报告。

Q230：法国是否允许 CASP 使用加密资产进行“内部成本结算”？

可以，但必须满足：

不涉及客户资产
不影响财务透明度
会计处理清晰
不造成监管欺骗可能
不得用于资本金或风险储备

监管建议：
只在技术或内部用途使用加密资产，避免财务风险。

第九章｜外包、云服务、供应商管理与技术审计（Q231–Q260）

本文由仁港永胜（香港）有限公司拟定，并由唐生提供专业讲解。

Q231：法国 CASP 是否允许外包关键职能？MiCA 的态度是什么？

允许，但严格收紧。

MiCA 明确：
可以外包，但 不能削弱监管合规能力，也不能外包“核心决策职责”。

法国 AMF 的具体态度更严格：

以下职能禁止外包：

董事会的治理权
风险管理最终责任
AML / CTF 最终责任（可辅助，不可完全外包）
客户资产托管的最终控制权
私钥管理关键权限（可技术外包，但必须保留控制权）

以下职能可以外包：

技术运维
KYC 第三方验证
区块链监控（如 Chainalysis）
日志监控
云服务
安全测试（渗透测试）
客户服务部分流程

Q232：法国监管对外包有哪些“强制”规则？

必须提交 外包政策（Outsourcing Policy），包括：

外包范围定义
外包服务清单
供应商尽调流程（Due Diligence）
服务等级协议（SLA）
数据访问权限控制
可逆性计划（Exit Plan / Reversibility）
主备节点架构
风险评估矩阵（Outsourcing Risk Matrix）

AMF 对外包文档的审查程度 远高于欧盟平均水平。

Q233：哪些外包项目属于“关键外包（Critical Outsourcing）”？

关键外包包括：

冷钱包托管（如 BitGo、Fireblocks）
云服务器主节点（AWS、GCP、Azure）
KYC / AML 系统
交易撮合系统
热钱包管理系统
日志记录与 SIEM 安全系统

关键外包必须提供：

业务连续性计划（BCP）
灾难恢复计划（DRP）
退出计划可执行性验证
可审计性证明（Auditability）

Q234：法国监管是否允许使用 AWS、Google Cloud、Azure？

允许，但 必须满足额外要求：

法国 AMF 的原则：

数据必须可在欧盟境内访问
必须提交云服务风险评估
必须确保日志记录可审计
必须确保云服务商不能“阻断服务”影响客户资产
必须提交加密密钥 Access 控制流程

监管常问：
“如果云服务突然断开，你们是否能在 24 小时内恢复系统？”

Q235：是否可以使用中国大陆的云服务（阿里云、腾讯云）？

不建议，几乎无法通过法国监管。

原因：

数据跨境访问问题
法国监管担心政府访问权限
不符合 GDPR 要求
数据不可验证性

法国监管偏好：

AWS（欧盟区）
GCP（欧盟区）
Azure（欧盟区）

Q236：KYC/AML 是否可以外包？是否可使用第三方供应商？

可以外包，但必须满足以下要求：

CASP 保留最终责任
供应商必须提供可审计数据
所有 KYC 文件必须保存在 EU 数据服务器
第三方必须通过 CASP 自身 AML Officer 的审核
第三方必须满足 GDPR

常用供应商如：

Onfido
Sumsub
Veriff

法国 AMF 视这类外包为“敏感外包”，审查较严。

Q237：客户视频认证（Liveness）是否必须外包？

可外包，也可内部实施。

监管要求：

必须防止欺诈
必须具备反假人攻击能力
必须支持人脸匹配
必须保存认证证据

对于高风险客户（如非居民），AMF 期望 人工复核 + 视频识别。

Q238：加密资产托管是否可以完全外包给 BitGo 或 Fireblocks？

可外包技术，但不能外包控制权。

即：

技术可以外包
私钥必须分片控制（CASP 必须持有一部分）
必须有内部权限审批结构
必须可中断第三方的访问权限
必须满足“可逆性”（Reversibility）

法国监管最常问的问题是：
“如果 Fireblocks 明天倒闭，你们是否能恢复控制？”

必须明确回答，并提供文档证明。

Q239：做市系统（Market Making Engine）是否可以外包给第三方？

可以，但必须满足：

利益冲突管理
策略透明度
风险监控可审计
第三方不得操纵价格
必须提交做市模型与参数

如做市商为关联方 → AMF 会极度关注。

Q240：外包供应商是否需要通过 CASP 的尽职调查？评估项有哪些？

必须通过尽调（Vendor Due Diligence）。

尽调内容包括：

供应商背景
供应商财务状况
数据安全
法律合规
审计记录
技术 SLA
GDPR 合规
灾难恢复能力

法国 AMF 经常要求完整尽调报告。

Q241：是否必须提供“外包风险矩阵”？监管如何评估？

必须提交。

矩阵必须包含：

风险类别（技术、法律、供应商、业务中断等）
风险等级（高、中、低）
缓解措施
残余风险
责任人
定期审查周期

AMF 会逐条检查是否现实可执行。

Q242：法国监管会检查第三方供应商的“可审计性”吗？

是的，这是强制要求。

必须证明：

所有数据可追溯
所有日志可导出
所有操作记录可归档
内外部审计可访问

供应商必须配合审计，否则监管视为“不可接受外包”。

Q243：外包合同中必须包含哪些条款？

外包合同必须包含：

数据存储地点（必须 EU 可访问）
服务范围（Scope）
SLA 时间（例如：99.9% uptime）
数据可审计性保证
可逆性条款（Exit Clause）
安全事件通报时间（通常 24 小时）
保密条款
法律适用与争议解决

法国监管特别关注“可逆性”。

Q244：法国监管是否要求定期评估外包风险？周期是什么？

是的，必须进行：

年度全面外包风险评估
半年度关键外包审查
季度 SLA 绩效审查

文档必须可证明已执行。

Q245：是否必须设置“外包负责人（Outsourcing Officer）”？

MiCA 无强制，但法国通常要求：

指定外包负责人
负责监督供应商
审查 SLA 与日志
管理 Outsourcing Register

该职位通常由 COO 或 Risk Officer 兼任。

Q246：是否必须维护“外包登记册（Outsourcing Register）”？

必须维护，并且随时可提供给监管机构。

登记册内容包括：

所有外包项目
外包性质（关键 / 非关键）
服务商信息
风险等级
审查日期
SLA
合同期限
可逆性计划

AMF 抽查频率极高。

Q247：云服务供应商必须提供哪些文件给 CASP？

至少包括：

SOC 1 / SOC 2 报告
ISO 27001 认证
数据中心位置文件
安全架构说明
DDoS 防护说明
SLA 详细文档

如供应商无法提供 → 监管通常不接受。

Q248：CASP 是否必须编写“云服务风险评估报告”？

必须编写，并包含：

数据存储风险
网络攻击风险
服务中断风险
权限管理风险
备份与恢复能力
供应商破产风险

法国监管会要求补件，如内容不充分。

Q249：外包内部审查必须多久执行一次？

建议：

关键外包：每季度
非关键外包：每半年
全面外包审查：每年一次

监管特别关注审查证据，如会议记录、SLA 监控报告等。

Q250：是否必须进行第三方安全测试（如渗透测试 Pen-test）？

必须进行：

至少每年一次第三方渗透测试
必须针对 API、撮合系统、钱包系统
必须提供完整报告给监管
必须提交整改计划（Remediation Plan）

AMF 会要求查看测试报告原件。

Q251：法国监管是否要求进行“漏洞扫描（Vulnerability Scan）”？

必须执行：

每月至少一次自动化扫描
高危漏洞必须立即修复
中危漏洞必须在 30 天内修复
必须保留日志供审计

监管认为“没有自动扫描 = 高风险”。

Q252：钱包系统是否必须进行第三方代码审计？

托管类 CASP 或使用自研钱包的业务必须进行：

第三方代码审计
安全架构审查
密钥管理流程审查

报告必须随申请一并提交。

Q253：法国监管是否要求“灾难恢复演练（DR Drill）”？

必须进行演练，并提供记录。

内容包括：

主节点宕机恢复
热/冷钱包恢复
云服务断线后恢复
数据中心灾难切换
指挥链与责任人

AMF 会问：
“演练是否真实执行？是否有演练报告？”

Q254：是否必须保存日志（Log Retention）？保存多久？

MiCA 一般要求保存 5 年。

法国 AMF 要求：

关键日志保存 10 年
热钱包交易日志必须永久可访问
日志必须加密保存
必须防止篡改

法国是全欧盟最重视日志审计的国家之一。

Q255：供应商必须接受监管机构审计吗？

关键外包供应商必须：

明确同意 AMF 或 ACPR 可以审核其服务
必须允许访问相关日志
必须在合同中写入 Regulator Audit Right

如果供应商拒绝 → 外包无效。

Q256：是否可以将客户数据外包至非欧盟地区？

不建议，严格限制。

如涉及跨境数据，必须符合：

GDPR
Schrems II
数据访问可控
加密保护
监管可访问

法国监管对此非常敏感。

Q257：外包中断时，CASP 是否必须能够在 24 小时内恢复业务？

是的，MiCA 要求 "Operational Resilience"。

法国 AMF 的具体要求：

监管期望恢复时间 ≤ 24 小时
必须有备份系统
必须可独立于外包商运行核心业务

没有可逆性计划 → 不能获批。

Q258：法国 CASP 是否可以外包“客户投诉处理”？

部分可以外包，但必须保留：

最终决定权
投诉登记系统
监管通报流程

AMF 认为投诉管理是“客户保护核心”，不可完全外包。

Q259：法国 CASP 是否必须提交“外包内部控制报告（Outsourcing Internal Control Report）”？

监管常要求提供：

外包审查记录
SLA 分析
风险控制点
供应商绩效报告

该报告需由合规部门（Compliance）签发。

Q260：法国是否会因为外包风险过高而拒绝 CASP 申请？

是的，而且非常常见。

最常见的拒绝理由包括：

私钥托管完全由第三方控制
无可逆性计划
AWS 架构过度依赖单一区域
风险矩阵不足
无灾难恢复计划
KYC 数据不在欧盟

外包是法国 CASP 申请中最容易 被打回和补件 的章节。

第十章｜信息安全（Cybersecurity）与私钥安全管理（Q261–Q300）

本文由仁港永胜（香港）有限公司拟定，并由唐生提供专业讲解。

Q261：法国监管对 CASP 的信息安全（Cybersecurity）总体要求是什么？

法国 AMF / ACPR 的信息安全要求可概括为三句话：

系统必须防得住（Prevent）：架构设计安全、权限隔离充分、漏洞管理及时。
攻击必须发现得了（Detect）：实时监控、告警机制、入侵检测系统（IDS）。
事件必须处理得当（Respond）：事件响应计划（IRP）、通报机制、客户保护措施。

法国对安全审查之严格，堪比银行与证券交易所等级。

Q262：CASP 是否需要设立“信息安全负责人（CISO）”？

MiCA 未强制，但法国通常要求：

中大型平台必须设立专职 CISO
小型 CASP 可由 CTO 或 COO 兼任
CISO 必须具备网络安全相关资格（如 CISSP）
必须参与董事会风险评估会议

监管问得最多的问题之一是：
“请证明贵司具备独立的信息安全治理能力。”

Q263：法国是否要求 CASP 使用 HSM（硬件安全模块）管理私钥？

强烈建议，托管业务几乎属于强制要求。

HSM 必须满足：

FIPS 140-2 Level 3 或同等级别
防物理攻击
不可导出私钥
支持多重授权（M of N）
支持阈值签名

如果使用软件钱包 → 90% 会被补件甚至拒绝。

Q264：法国是否接受 MPC（多方计算）作为私钥管理方案？

接受，而且越来越主流。

但要求：

必须清晰解释 MPC 的密钥分片机制
必须展示每个分片的控制权限
分片必须由多人持有
必须明确“任何一方无法单独签名”
必须具备恢复机制（Recovery）

常用方案如 Fireblocks、Zengo、Qredo、Unbound Security。

Q265：法国要求是否必须结合“MPC + HSM”双重架构？

不是强制，但属于 最佳实践（Best Practice）。

AMF 认为：


	
	
		
		
			
			
				
			

		

	

	
		MPC = 分散密钥控制  
HSM = 强化密钥硬件安全  
MPC + HSM = 银行级托管安全

托管规模大的平台，监管会鼓励采用双层方案。

Q266：私钥的生命周期是否必须提交完整文档？

必须提交，包含：

私钥生成（Key Generation）
私钥存储（Key Storage）
私钥使用（Key Use）
私钥备份（Key Backup）
私钥恢复（Key Recovery）
私钥替换（Key Rotation）
私钥销毁（Key Destruction）

法国监管极度关注“密钥恢复机制”。

特别问题：
“如果出现灾难，你们能否在 48 小时内恢复私钥？”

Q267：法国是否允许由海外团队持有私钥分片？

原则上不鼓励，但可接受，需满足：

必须在 EU 可访问
必须采用加密传输
必须在合同中加入访问限制
必须确保不可单独签名
GDPR 不得违反

法国监管重点是：
“私钥分片最终控制权必须由 CASP 掌握。”

Q268：法国是否要求为热钱包设置“提款延迟（Cooling-off Period）”？

对于平台业务（CEX / 托管），建议采用：

新增提款地址：24 小时延迟
大额提款：人工复核
风险地址自动阻断
可疑提款需 AML Officer 批准

法国监管常规提问：
“如何防止黑客绕过提款流程？”

Q269：热钱包的额度限制是否必须写入政策？

必须写入内部政策，并包括：

单日提款上限（如 5 BTC）
单笔提款上限
资金补充机制
风险触发条件
多重审批流程

监管对“额度管理”极为敏感，因为涉及客户资产安全。

Q270：是否必须对热钱包与冷钱包定期对账？

必须，并要求：

自动对账（每日）
人工复核（每周）
稽核部门复核（每月）
对账差异处理流程

AMF 会问：
“如发现 0.01 BTC 差异，你们如何处理？”

Q271：法国监管是否要求交易行为的链上监控（Blockchain Surveillance）？

必须使用第三方链上监控系统，例如：

Chainalysis
TRM Labs
Elliptic

用途：

风险地址识别
黑名单地址监控
OFAC 制裁检查
Mixer 检测
洗钱行为识别

不使用链上分析工具 → 申请无法通过。

Q272：是否必须对所有交易执行“交易前风险扫描（Pre-Transaction Screening）”？

是的，特别是：

提款
转账
OTC 大额交易
平台账户间划转

扫描必须包含：

地址信誉评分
地址制裁检查
风险传染路径

这是法国监管最喜欢问的技术问题之一。

Q273：CASP 是否需要部署 IDS/IPS（入侵检测与防御系统）？

必须部署 IDS 或 IPS，要求：

对 API 调用行为分析
对异常登录识别
对 SQL 注入 / XSS 攻击预警
对钱包系统访问监控
对权限提升尝试阻断

AMF 常问：
“如何检测内部人员滥用权限？”

Q274：法国是否要求企业安装 SIEM（安全信息与事件管理）系统？

MiCA 未强制，但法国通常要求：

SIEM 用于统一监控日志和安全事件
必须提供至少 6 个月的事件保留
必须能在 15 分钟内识别重大攻击

常用 SIEM：

Splunk
ELK Stack
Sumo Logic
IBM QRadar

Q275：是否必须提供“事件响应计划（Incident Response Plan）”？

必须提交完整 IRP，包括：

谁负责响应
响应流程
事件分类
通报时间
与监管沟通
补救措施

AMF 会问：
“发生攻击时，贵司是否会暂停提款？由谁决定？”

Q276：遭遇黑客攻击时，是否必须向 AMF 通报？

必须通报：

严重攻击
资产损失
数据泄漏
交易操纵事件
客户余额异常

通报时间：
通常为 24 小时内

未通报是严重监管违规。

Q277：法国是否要求进行年度网络安全审计？

必须进行。

年度审计报告需包括：

漏洞扫描结果
渗透测试结果
权限审计
钱包安全审查
业务连续性演练报告

监管会要求查看审计整改进展。

Q278：法国是否要求实施“强身份认证（Strong Customer Authentication）”？

强制要求，适用场景包括：

登录
修改账户信息
提款
绑定新设备

必须采用：

MFA（双重认证）
生物识别（可选）
动态验证码（TOTP / SMS / APP）

Q279：内部管理系统是否必须采用权限分层（Role-based Access Control, RBAC）？

必须采用 RBAC，并包含：

Least Privilege（最小权限原则）
Separation of Duties（职责分离）
关键操作需双人审批
定期权限审查（每季度）

如使用超级管理员（Super Admin） → 必须限制用途。

Q280：法国是否接受“单节点钱包架构”？

不接受。

必须至少具备：

多节点冗余
多地点部署
多人授权机制
审计追踪

单节点架构属于高风险等级，监管必定要求重构。

Q281：法国监管是否要求对源码进行独立审计？

如果平台使用自研钱包或交易系统 → 必须进行代码审计。

如使用成熟第三方系统 → 可提交供应商审计报告（如 SOC 2）。

法国监管要求：

漏洞分类（CVSS）
修复情况
安全架构说明

Q282：法国是否要求定期实施“权限提升攻击模拟（Privilege Escalation Test）”？

高度建议，并在审计中经常出现。

必须测试：

管理员权限滥用
后台越权
API 滥用
内部员工攻击模拟

监管特别关注：
“内部威胁”风险。

Q283：法国对 API 安全的具体要求是什么？

包括：

API Key 权限分级
请求频率限制（Rate Limit）
请求完整性验证（Hash 签名）
IP 白名单
Token 时间戳校验
防重放攻击措施

Q284：法国是否要求加密数据库（Database Encryption）？

必须加密：

KYC 数据
交易数据
私钥相关信息
登录信息
用户敏感信息

必须采用 AES-256 或同等级标准。

Q285：法国是否强制要求 HTTPS / TLS1.2+？

是的，最低要求 TLS1.2，建议 TLS1.3。

禁止：

明文传输
弱密码套件

Q286：法国监管是否要求数据不可篡改（Immutability）？

必须具备：

关键日志写入 WORM 存储
钱包操作日志不可删除
AML 事件记录不可修改

常见方案：

采用不可篡改数据库（如 AWS QLDB）
Hash 上链

Q287：是否必须对网络进行分层（Network Segmentation）？

监管明确要求网络分层：

外部网络（Public Zone）
应用层（Application Zone）
数据层（Database Zone）
钱包 / 私钥层（Secure Zone）
管理层（Admin Zone）

不同 Zone 必须具备：

防火墙隔离
ACL 权限控制
独立日志记录

Q288：是否必须采用“零信任架构（Zero Trust Architecture）”？

非强制，但 AMF 强烈鼓励。

核心原则：

任何访问都需认证
所有行为都需记录
默认拒绝，不信任内部网络

越来越多法国 CASP 采用 Zero Trust 架构以加速通过审核。

Q289：法国要求如何管理 API 私钥？

必须：

加密存储
定期轮换
限制使用范围
设置权限最小化
审计日志可追踪
API Key 必须与用户行为绑定

Q290：法国是否要求部署防火墙（Firewall）？

必须部署：

网络层防火墙
应用层防火墙（WAF）
DDoS 防御

并且必须提交：

网络拓扑图
防火墙策略
安全规则

Q291：法国监管要求“数据备份”达到什么标准？

至少要求：

每日自动备份
跨区域备份
加密备份
定期恢复测试

备份保留时间：
至少 5 年（建议 10 年）

Q292：法国是否要求进行“红队测试（Red Team Test）”？

大型机构通常需要。

用于测试：

社工攻击抵御能力
钓鱼攻击
内部越权攻击
系统渗透能力

此类报告能提高申牌成功率。

Q293：法国是否要求提供“变更管理流程（Change Management）”？

必须提供，包含：

版本控制
测试环境与生产环境隔离
回滚计划
上线审批流程
风险评估
日志记录

AMF 会检查整个 Change Log。

Q294：是否必须提供“漏洞管理政策（Vulnerability Management Policy）”？

必须提供。

内容包括：

漏洞发现机制
CVSS 分类
修复时间要求
风险例外流程
漏洞情报来源（如 NIST、CVE）

Q295：法国是否要求提供“第三方库管理政策（Dependency Management）”？

是的，特别针对：

加密库
钱包 SDK
签名库
API 依赖组件

必须证明：

不使用高危第三方库
使用最新版本
定期扫描漏洞

Q296：法国是否允许“自托管钱包（Self-custody）”绕过监管？

不允许。

MiCA 明确：
→ 服务性托管必须受监管
→ 自托管不等于豁免，如涉及客户资产代管即属于托管服务

任何“伪自托管”结构都会被否决。

Q297：法国是否强制要求对客户资产进行“实时监控（Real-time Monitoring）”？

对托管类 CASP 必须：

实时监控链上地址余额
实时监控提款与转账
实时 AML 地址风险评分
实时告警机制

平台类业务也必须有监控。

Q298：法国是否接受“单一私钥由 CEO 管理”的情况？

绝对不允许。

必须采用：

多重签名
多人分权
职责分离
访问可审计

CEO 持有私钥 = 100% 申请失败案例。

Q299：法国 CASP 是否必须制定“客户资产安全保障计划”？

必须包括：

资产存储比例
私钥管理制度
地址白名单机制
钓鱼风险防护
风险事件处理流程
投资者赔偿机制

AMF 非常重视客户资产保护模块。

Q300：法国 AMF 是否会直接派技术审查员参与现场检查？

是的，法国监管非常喜欢做 On-site 技术审查。

检查内容包括：

钱包访问流程现场演示
私钥生成流程复盘
日志系统查看
容灾系统演练
安全事件模拟
系统架构图验证
外包供应商合同检查

法国现场审查在所有欧盟成员国中属于 最严格、最深入、最专业。

第十一章｜法国 CASP 申请流程、补件（RFI）逻辑、面谈重点与审查周期（Q301–Q340）

本文由仁港永胜（香港）有限公司拟定，并由唐生提供专业讲解。

Q301：法国 CASP 申请完整流程是什么？（最权威版本）

法国 CASP 的申请流程可分为 6 个阶段 + 一个可选的监管面谈：

第 1 阶段：提交前预沟通（Pre-filing Meeting）【可选但强烈建议】

内容包括：

商业模式说明
是否涉及托管（Custody）
是否涉及交易平台（CEX）
关键风险点
资本金预期
组织架构
技术系统初步介绍

法国监管喜欢“早期沟通”，越早沟通越容易通过。

第 2 阶段：正式提交申请（Submission）

提交内容包括：

申请表
商业计划书 BP
AML/CFT 手册
风险矩阵
组织架构
董事及实益拥有人尽调（Fit & Proper）
技术系统说明（IT Architecture）
托管系统方案（如适用）
外包政策
客户资产保障政策
合规政策（Compliance Manual）
内部控制框架（Internal Control Framework）

文件总量通常 200–500 页。

第 3 阶段：形式审查（Completeness Check）– 15 至 30 天

监管检查：

文件是否齐全
版本是否清晰
是否缺页
是否与商业模式一致
关键表格是否正确填写

如不齐全 → 退回要求补正。

第 4 阶段：实质审查（Substantive Review）– 3 至 6 个月

重点审查：

业务模式风险
资产托管安排
AML 体系完整性
风险管理能力
董事、实益拥有人、RO 的适当性
技术系统安全性
外包风险
客户资产隔离机制
财务预测合理性

托管类（Custody）审查最严格；平台类第二；仅执行接收/传送类最容易。

第 5 阶段：监管补件（RFI – Request for Information）– 2 至 4 轮

法国监管平均会提出：

第一轮：30–80 个问题
第二轮：20–50 个问题
第三轮：10–30 个问题（如必要）

最常被问的内容：

私钥管理
冷/热钱包比例
外包合同细节
AML 交易监控
资本金证明
董事 Fit & Proper 细节
控股股东来源资金
技术架构细节
BCP / DRP
客户投诉机制

补件（RFI）是法国申请的关键难点。

第 6 阶段：监管面谈（Hearing）【常见环节】

面谈通常包括：

AMF 负责人（两名以上）
申请人董事（至少两名）
AML Officer（必须参加）
CTO / CISO（如涉及托管）

面谈内容分三部分：

商业模式
AML/CTF
技术系统（IT + Wallet）

面试通常持续：
45 分钟 – 1.5 小时

第 7 阶段：颁证 / 驳回（Decision）

批准（Authorization Granted）
有条件批准（Conditional Approval）
驳回（Refusal）

法国驳回率比欧洲多数国家高，原因见下面 Q312。

Q302：法国 CASP 从提交到获批通常需要多久？

官方说法：
3–6 个月

实际情况（来自仁港永胜项目经验）：

业务类型	真实平均审查时间
接收/传送（最简单）	3–4 个月
托管（Custody）	6–9 个月
交易平台（CEX）	8–12 个月
大型集团申请	9–14 个月

法国监管 从不赶时间，但会充分沟通。

Q303：法国监管补件（RFI）通常包括哪些类别？

仁港永胜为您总结 法国 RFI 常见十大类问题：

业务模式澄清
AML/CFT 控制点
客户尽调（KYC）
链上监控（Blockchain Analytics）
技术结构（IT Architecture）
钱包系统安全（Wallet Security）
资本金与流动性（Capital & Liquidity）
监管报告机制
外包体系（Outsourcing Framework）
治理结构与人员适当性（Fit & Proper）

如果申请中涉及托管或 CEX，将会出现 更多技术类 RFI。

Q304：法国常见的 RFI 技术问题有哪些？

技术类补件最“致命”。

最常见问题：

请解释私钥分片机制
钱包恢复机制如何运作？
热钱包额度如何设定？
多人授权流程是否可审计？
是否采用 HSM？型号是什么？
是否采用 MPC？哪家供应商？
API 是否提供 Rate Limit？
如何基于 IP 实施访问控制？
是否具备链上地址风险评分？
是否对交易执行反欺诈检测？

如果准备不足 → 补件往往达 20–40 条。

Q305：法国 RFI 中最难的问题是什么？

前五位：

私钥恢复（Key Recovery）
冷/热钱包比例解释
外包合规性（特别是钱包托管外包）
AML 大额交易监控机制
实益拥有人资金来源（SOF/Source of Funds）

这些问题若回答不当 → 100% 被驳回。

Q306：法国 CASP 申请中是否会出现“技术现场审核”环节？

在以下情况下会出现：

存托管业务
涉及 CEX 交易平台
多外包结构
自研钱包
涉及 RWA 链上资产

现场审核会检查：

冷钱包操作流程
私钥生成演示
IT 架构验证
日志系统有效性
BCP/DRP 演练

法国技术审查属于欧盟最严格的国家之一。

Q307：监管面谈（Hearing）通常问什么？

仁港永胜总结法国 AMF 最常问 12 个问题：

商业模式

请解释你们的收入模式
哪些业务属于 MiCA 范围？
哪些业务不在牌照范围内？

AML/CTF

高风险客户如何处理？
是否进行链上分析？
大额交易阈值如何设定？

技术安全

私钥如何生成？
冷钱包如何管理？
是否采用 HSM 或 MPC？

治理与人员

RO 是否有相关经验？
AML Officer 是否具备实际权力？
董事会如何监督合规？

仁港永胜可以帮客户准备完整面谈脚本。

Q308：法国 CASP 审查中最容易被驳回的 10 个原因是什么？

法国驳回率在欧洲属于偏高水平。
最常见原因如下：

AML 体系不足
客户资产保护措施不足
私钥由单人控制（直接拒绝）
热钱包比例过高
外包给不可审计供应商
内部治理薄弱（RO 不合格）
资金来源不清晰
技术架构缺乏可逆性（Reversibility）
风险矩阵流于形式
董事会无金融经验

以上任何一点都可能导致拒绝。

Q309：法国 CASP 是否允许“轻量级组织架构”？

对于“接收与传送”类服务：
允许轻量结构（3–5 人团队）

对于“托管或交易平台”：
必须具备完整结构（8–15 人）

监管最关注：

AML Officer（必须）
RO（必须）
技术负责人（Custody 业务必须）
合规负责人（Compliance Officer）

Q310：是否必须在法国当地聘请人员？

原则上必须具备 本地管理层（Local Management）：

AML Officer（必须在法国）
合规负责人（可在 EU 其他国家，但不建议）
董事至少一名必须居住于 EU
与监管沟通的 Responsible Contact 必须在法国

法国对“本地实体实质性”检查非常严格。

Q311：法国对资本金要求是否会根据业务风险而增加？

是的，MiCA 虽有统一框架，但法国会根据业务实际风险 提高资本要求。

例如：

基础 CASP：€50,000
平台类：€125,000
托管类：€150,000–€250,000
多功能大型平台：€250,000–€500,000

如外包过多 → 会提高资本金要求。

Q312：法国 AMF 为什么驳回率较高？

核心原因有三：

1. 技术审查极其深入（很多国家没有这一块）

特别是钱包系统与外包。

2. AML 系统必须做到“银行级别”

法国的反洗钱文化类似英国 FCA。

3. 董事与 RO 的 Fit & Proper 要求特别高

包括诚信、经验、专业能力。

Q313：法国监管是否接受“使用第三方托管 + 第三方做市 + 第三方交易系统”的组合？

可以接受，但会认为：

风险高
外包比例过大
难以监管

因此会要求：

增加资本金
增加合规能力
详细外包治理结构

如果外包太多 → 容易被驳回。

Q314：法国 CASP 是否必须提交“监管沙盒（Sandbox）”申请？

非必须，但可用于：

创新业务
新型托管模式
链上结构复杂的项目
RWA、DeFi 等前沿业务

法国对 Sandbox 友好，但审查依旧严格。

Q315：RFI 是否会询问“集团公司”信息？

一定会问。

包括：

控股结构
最终实益拥有人（UBO）
集团风险
集团托管安排
是否存在跨境洗钱风险

如集团存在复杂结构 → 必须提交“穿透图（Look-through Diagram）”。

Q316：是否必须提交年度预算与三年财务预测？

必须提交，并包括：

现金流预测
盈利预测
风险资本缓冲
人力成本预算
技术成本预算

预测必须合理可行。

Q317：监管对“合规部门的独立性”要求是什么？

关键点：

合规部门不得向 CTO 汇报
AML Officer 不得由销售部门兼任
合规部门必须有独立决策权

监管最讨厌“合规虚设”。

Q318：是否可以先申请较小范围 CASP，后续再扩展？

可以。

典型策略：

先申请“接收与传送”服务（最容易获批）
运营半年
再申请托管、平台等附加服务

这是加速入市的常见做法。

Q319：法国是否会要求审查“资金来源证明（SOF）”？

必须审查：

股东资金来源
资本金来源
投资人资金来源
是否涉及高风险国家

必须提供：

银行流水
税单
投资收益证明
法人结构解释

Q320：法国 CASP 申请最重要的三份文件是什么？

法国监管最看重：

AML/CFT Manual（反洗钱体系）
Wallet & Key Management Policy（钱包系统）
Outsourcing Policy（外包政策）

这三份文件决定申请是否能通过。

Q321：法国监管面谈（Hearing）通常持续多久？由谁参加？

通常持续时间：
45 分钟 – 1.5 小时

参加人员：

监管机构：

AMF 2–3 名官员
有时会有 ACPR 参与（如涉及托管）

申请人：

董事（至少 1–2 人）
RO（Responsible Officer）
AML Officer（必须参加）
CTO / CISO（如涉及托管或交易平台）

面谈不是形式，是“决定性环节”，尤其对于：

托管类 CASP
交易平台（CEX）
大型企业集团申请

Q322：面谈时监管最常问的 10 个核心问题是什么？

仁港永胜统计法国 AMF 高频面谈问题如下：

商业模式类

“请简单介绍你们的服务范围，哪些属于 MiCA CASP？”
“企业的收入模型是什么？主要依赖手续费还是其他服务？”
“是否涉及杠杆、借贷、衍生品？若有，相关法规如何符合？”

AML / 风险类

“请举例说明如何识别高风险客户？”
“可疑交易 SAR 如何触发？由谁批准？”
“你们如何使用链上分析（Chainalysis / TRM）？”

技术 / 钱包类

“私钥如何生成？采用的是 MPC？HSM？还是多签？”
“冷/热钱包资金比例如何设定？为什么？”
“钱包恢复机制是什么？如果 HSM 故障怎么办？”

治理类

“请说明董事会如何监督 AML、风险管理和外包风险？”

能否顺利回答 → 直接影响最终结果。

Q323：监管面谈中最容易回答失败的部分是？

前三大失败点：

私钥管理无法清晰说明
- 多签/MPC 描述模糊
- 分片控制权不清楚
- 风险点无法解释
AML 框架不够细致
- 交易监控仅靠“人工”
- 地址风险评分不了解
- 大额交易阈值无法论证
董事/RO 对业务不熟
- 回答过度依赖 CTO 或顾问
- 显示“实际控制权在技术团队或股东” → 直接危险信号

监管的心理：
“如果你无法解释自己的系统，我为什么要给你牌照？”

Q324：法国补件（RFI）最常见的问题格式是什么？（模板）

法国 RFI 通常采用三种格式：

1）要求说明（Explanation Request）

例：

Please explain how the private key shards are distributed among staff and how a single person is prevented from independently authorizing a transaction.

2）要求提供文件（Document Request）

例：

Please provide the full Outsourcing Policy including the reversibility plan and vendor risk assessment.

3）要求提供证据（Evidence Request）

例：

Please submit logs demonstrating your last DRP exercise.

仁港永胜可为客户撰写 全套 300 条法国 RFI 模板回答。

Q325：法国 RFI 回答必须遵循什么格式？（AMF 最认可格式）

建议采用 STAR 结构（Situation–Task–Action–Result）：

S — 情况（Situation）

说明系统架构、原始流程。

T — 问题/任务（Task）

指出监管要求澄清的地方。

A — 采取的措施（Action）

详细说明流程、角色、控制点、工具。

R — 结果（Result）

说明风险如何被缓解、是否可审计。

该格式可以显著降低监管追问概率。

Q326：法国 AMF 最讨厌的 RFI 回答方式是什么？（千万不要犯）

三大禁忌：

❌ 1）“我们会按监管要求调整”

监管会认为你并无实际方案。

❌ 2）回答太短，缺乏技术细节

例如：

“We use multi-signature wallet.”

监管会反问 10 个子问题。

❌ 3）提供模板化、不基于自身架构的回答

会让监管产生不信任。

仁港永胜建议：
回答越具体、越技术化、越可审计 → 越容易通过。

Q327：能否提供一份 RFI 回答示例？（法国监管认可格式）

例题：
请解释你们的冷钱包私钥恢复机制（Key Recovery Mechanism）。

✅ 标准优质答案范例：

Situation：
我司采用 MPC（FROST 协议）生成 3 片密钥，每片分别由 CTO、CISO 和第三方 HSM 模块持有。

Task：
监管要求说明当一片密钥损坏时的恢复流程。

Action：

恢复流程需至少两名高管共同发起
使用阈值恢复协议（2-of-3）
HSM 内置恢复功能必须经双人授权
恢复期间系统暂停所有提款
所有恢复操作写入不可篡改日志（WORM）

Result：
确保：

任何单点故障不会导致资产丢失
无人可单独完成密钥恢复
整个过程可审计、可复原

监管非常喜欢这种结构化回答。

Q328：法国 CASP 审查中的“红旗信号”（Red Flags）有哪些？

出现这些情况 → 审查立即进入深度风险关注：

私钥被 CEO 或单一人员控制
热钱包 > 10%
外包链条过长（托管 + 运维 + 安全均外包）
主要团队成员不在 EU
RO 或 AML Officer 经验不足
匿名交易或隐私币业务
集团结构复杂且资金来源不透明
无灾难恢复演练记录

法国监管是 EU 最警觉的监管机构之一。

Q329：法国 CASP 案件中最典型的“驳回原因案例”有哪些？

仁港永胜总结以下真实案例类型：

案例 1：私钥控制权集中

监管提问：

“谁持有 MPC 分片？”

申请人回答：

“目前 CTO 持有全部控制权。”

结果：
直接驳回。

案例 2：AML 框架不充分

监管提问：

“如何监控链上高风险地址？”

申请人回答：

“由人工检查。”

结果：
驳回，理由：无法有效防范洗钱。

案例 3：外包不合规

申请人将钱包系统完全外包给海外团队 →
监管拒绝，原因：

无可审计性
无可逆性
无风险控制

案例 4：董事不具备金融经验

监管认为治理不足 → 驳回。

案例 5：客户资产隔离机制不清晰

例如：

未区分客户钱包与平台运营钱包
无单独账簿

这类问题也将被否决。

Q330：如何提高法国 CASP 申请通过率？（最重要）

仁港永胜总结 申请成功率提升五大策略：

策略 1｜尽早与监管 Pre-filing Meeting

法国非常看重“前期沟通”。

策略 2｜提交高质量文档（特别是 AML + Wallet + Outsourcing）

奥地利、马耳他等国家可以糊弄，但法国不能。

策略 3｜外包要少而精

避免：

全托管外包
技术全外包
AML 外包过度

策略 4｜增强实质性（Substance）

包括：

本地员工
本地董事
本地 AML Officer
实际办公场所

策略 5｜治理结构必须专业

监管最怕草台班子。

Q331：法国 CASP 是否允许“边申请边搭建系统”？

允许，但必须提交：

完整架构图
详细 Wallet Policy
IT Blueprint
上线前测试计划

监管会要求在颁证前提交：

灾备演练报告
钱包系统操作演示
安全审计报告

Q332：面谈中，监管如何判断申请人是否专业？

3 个关键观察点：

（1）回答是否结构化？

例如使用 STAR 或流程图回答。

（2）是否能清晰解释关键风险？

特别是：

私钥
冷/热钱包
外包
AML

（3）是否显示“谁在真正控制公司”？

监管最怕“影子董事 / 隐形控制人”。

Q333：是否可以委托顾问代替 CTO、RO 参加监管面谈？

不可以。

必须由：

董事
RO
AML Officer
CTO（如涉及技术问题）

顾问可以陪同，但不能发言过多。

监管希望听到：

“内部人员真正理解业务”

Q334：法国面谈最好的回答技巧是什么？

建议：

直接回应，不绕圈
使用风险导向语言（Risk-based）
反复强调可审计性（Auditability）
展示内部控制框架
强调客户资产保护

法国监管喜欢“透明、坦诚、专业”。

Q335：是否可以在 RFI 中提交图示、流程图？监管喜欢吗？

非常喜欢。

建议提交：

钱包架构图
私钥分片图
KYC 流程图
AML 监控流程
外包关系图
治理结构图

流程图能够显著减少补件问题。

Q336：法国监管是否会对申请人提出“不可接受条件（Unacceptable Conditions）”？

会提出，但很少。

常见如下：

禁止使用某供应商
必须更换董事
必须重构钱包架构
必须增加资本金
必须重新提交 AML 手册

属于“准驳回”，但给你改正机会。

Q337：如果申请被驳回，可以重新申请吗？

可以，但：

必须修改被拒绝的结构
必须解决监管关注点
建议 3–6 个月后重新申请
再次提交必须更强，否则再次驳回的概率极高

法国对“二次申请”的审查会更严格。

Q338：法国 CASP 申请中是否可以采取“分阶段获批（Phased Authorization）”？

可以。

例如：

第一阶段获批接收与传送
第二阶段获批托管
第三阶段获批交易平台

属于常见做法。

Q339：法国监管是否会要求提供“客户赔偿机制（Safeguarding）”？

特别是托管业务：

必须说明赔偿机制
是否购买保险（如 BitGo Insurance）
是否加入投资者保护机制

越透明越好。

Q340：法国 CASP 项目从“初次咨询 → 获批”的最佳路径是什么？

仁港永胜总结最佳路径：

步骤 1｜Pre-filing Meeting 与监管沟通

确认业务范围、风险点。

步骤 2｜编写完整申请文档（200–500 页）

重点：

Wallet
AML
Outsourcing

步骤 3｜提交申请 → 形式审查

步骤 4｜实质审查 → RFI（2–3轮）

仁港永胜最擅长该部分。

步骤 5｜监管面谈（Hearing）

提供面谈脚本 + 模拟问答。

步骤 6｜获批 → 上线运营

提交最终安全报告与上线测试文件。

第十二章｜客户资产保护（Safeguarding）、破产隔离、保险制度（Q341–Q380）

本文由仁港永胜（香港）有限公司拟定，并由唐生提供专业讲解。

Q341：什么是 MiCA 定义下的 Safeguarding？法国监管如何解释？

Safeguarding 是指 客户资产保护机制，核心要求：

客户资产必须与 CASP 自有资产隔离
不得用于 CASP 的营运资金、投资、借贷或对外担保
必须能够随时对账
必须具备破产隔离（Insolvency Protection）
必须具备资产追回机制（Recovery）

法国 AMF 进一步强调：

必须具备 “同日（same-day）对账能力”
必须具备 “可验证的链上可视化工具”
必须具备 “客户通知机制”

Safeguarding 是法国 CASP 申请最重要的章节之一。

Q342：法国监管如何要求“客户资产隔离（Segregation）”？

必须做到三层隔离：

（1）账簿隔离（Ledger Segregation）

客户资产单独记账，不可与公司资产混同。

（2）技术隔离（Wallet Segregation）

如采用钱包：

需具备客户专属地址（Preferred）
或采用子地址 + 系统账簿模型（可接受）

监管强调：任何情况下不能出现：

公司亏损 → 客户资产被动承担
客户提款受公司财务状况影响

（3）破产隔离（Bankruptcy Remoteness）

必须具备：

法律意见（Legal Opinion）
“客户资产不属于破产财产”的法律依据
资产返还流程（Return of Assets）

法国监管会问：

“如贵公司破产，资产返还谁负责？流程多少天？”

Q343：法国是否允许将客户资产与流动性池（Liquidity Pool）放在同一钱包？

不允许。

客户资产：

不允许被混同
不允许成为流动性储备
不允许用于市场做市活动

如出现该结构 → 监管会直接拒绝申请。

Q344：平台是否可以使用“Omnibus Wallet（汇集钱包）”？

可以，但必须满足：

内部账簿必须精确记录每位客户余额
必须有链上审计能力
必须具备定期对账系统
必须制定“Omnibus Wallet 风险控制政策”
必须具备提款优先机制（FIFO 或风险优先）
必须可以实现每日资产证明（Proof-of-Reserves）

监管一般仍偏好 客户独立地址。

Q345：法国监管是否强制进行每日对账（Reconciliation）？

强制要求 每日自动对账 + 每周人工复核：

对账必须覆盖：

区块链余额
内部账簿余额
交易系统余额
冷/热钱包资金

监管常问：

“请提供最近三个月的对账报告样本。”

法国 AMF 对对账异常非常敏感。

Q346：对账过程必须具备哪些“控制点（Control Points）”？

必须具备至少 4 类控制：

余额差异报警（Balance Deviation Alert）
对账失败自动升级（Escalation）
提款暂停机制（Withdrawal Freeze）
内部稽核（Internal Audit）每月复核

如果系统没有自动警报 → 审查必定被补件。

Q347：法国监管是否要求提供“资产证明（Proof of Reserves）”？

MiCA 未强制，但法国 AMF 高度鼓励。

常用方案：

Merkle Tree 模型
链上地址公开
第三方审计（Armanino、CoinMetrics Audit）

对于大型平台，AMF 可能要求每季度一次。

Q348：是否必须购买托管保险（Custody Insurance）？

法律未强制，但 AMF 强烈希望：

尤其是：

托管业务
平台业务
年交易量 > €100m 的 CASP

保险类型：

私钥被盗保险
网络安全保险（Cyber Insurance）
资产损失保险

法国监管认为：
“有保险 = 风险缓解能力强”

Q349：法国是否允许使用第三方保险机构如 Lloyd's、Aon？

完全允许，常见保险公司：

Lloyd’s
AON
Marsh
BitGo Insurance

必须提供：

保险合同
保险条款
赔偿上限（覆盖金额）

并说明：

保单不应排除“内部人员攻击”
保单必须涵盖钱包被盗风险

Q350：法国监管如何看待“资产共管（Co-Custody）模式”？

接受，但有前提：

CASP 必须保有部分控制权
不能完全依赖第三方
必须具备独立恢复能力
必须具备可逆性计划

典型结构：

1 个密钥片由 CASP
1 个由第三方（如 BitGo）
1 个由安全委员会

AMF 会问：

“是否存在任何单点故障？”
“是否存在第三方单方冻结资产的风险？”

Q351：是否允许客户资产存放在交易所热钱包？

若为“自家平台”可接受，但必须满足：

热钱包占比 ≤ 2–5%
必须具备提款风控
必须具备冷钱包充分储备
必须具备止损机制
必须具备 DDoS 防护
必须具备私钥分权管理

若存放于“第三方交易所热钱包” → 不能接受。

Q352：客户法币如何 Safeguard？必须使用信托账户吗？

法币 Safeguarding 必须：

存放在监管银行
设立“客户资金账户（Client Money Account）”
账户名称必须包含“Client Segregated Account”字样
CASP 不得随意动用

法国未强制使用信托结构，但强制要求：

破产隔离
客户优先返还
银行出具确认信（Bank Confirmation Letter）

Q353：法国是否允许客户资产投资？

严格禁止。

不允许：

存款生息
投资债券
投资 DeFi
锁仓收益
质押挖矿

客户资产只能用于：

客户提款需求

一旦用于投资 → 一律视为严重违法。

Q354：法国监管如何处理资产亏空（Shortfall）情况？

一旦发现客户资产不足：

CASP 必须：

立即补足
向监管通报
启动内部调查
出示整改方案
如有欺诈 → 必须报警

法国监管对此 零容忍。

Q355：法国监管会抽查客户资产余额吗？

会。

可能要求：

任意日期的资产快照
冷钱包余额截图
热钱包余额
对账日志
客户账户随机抽查

如果账目不一致 → 申请立即中止。

Q356：法国是否允许使用多链资产（Multi-chain）？对 Safeguarding 有影响吗？

允许，但必须满足：

对账机制适配多链结构
每条链必须具备地址风险监控
必须解释跨链桥风险
EVM / 非 EVM 均需说明钱包架构

例如 Solana、Cosmos、Polkadot 都必须有独立的 Safeguarding 模型。

Q357：法国监管是否要求提供“提款风险评分机制（Withdrawal Risk Scoring）”？

托管类 / 平台类强制要求。

评分维度：

地址风险评分（链上资料）
地区风险
金额风险
客户历史行为评分
高频提款识别

提款评分必须可触发：

延迟机制
人工复核
冻结机制

Q358：客户是否可以选择自行保管资产？（Self-custody）

可以，但注意：

Self-custody 不属于 CASP 服务
一旦出现“客户资产代持”→ 仍属于 Custody
平台不能“伪自托管”绕监管

例如：

❌ 平台私钥管理客户的“助记词”
❌ 平台自动备份客户的自托管私钥

这些都属于托管行为，必须取得 CASP Custody 牌照。

Q359：法国监管是否允许平台将客户资产质押给第三方？

绝对禁止。

不允许：

CeFi 借贷
将客户资产放在 Compound/Aave
用于对冲
用于交易对（Liquidity Pool）

法国监管对 FTX 类风险非常敏感。

Q360：法国是否要求对客户资产进行“每日资金冷备份（Backup of Balances）”？

安全类 CASP 必须执行：

每日资产余额备份
多地点存放
不可修改
与链上快照对应

可接受的实现方式：

冷备份
WORM
冗余数据库

Q361：法国是否要求提供“破产清算流程（Insolvency Plan）”？

必须提交完整流程：

清算触发条件
清算管理人指定
客户资产登记表
客户身份验证
资产返还顺序
返回方式：链上 / 法币
法律依据说明

法国监管格外关注：

“破产情况下，客户资产 100% 可追回吗？”

Q362：客户资产返还的法定顺序是什么？

顺序如下：

客户资产（优先）
客户保障基金支付（如适用）
普通债权人
次级债权人
股东（最后）

客户永远优先。

Q363：法国是否要求提交“客户资产应急预案（Emergency Asset Plan）”？

要求包括：

热钱包被盗应对措施
HSM 故障应急流程
多签参与者失联处理
资产可视化报表
通知机制（客户 + 监管）

必须说明“最坏情况如何处理客户资产”。

Q364：是否允许客户资产放在智能合约（Smart Contract）中？

可以，但必须满足：

合约审计（Audit Report）
合约不可随意升级
必须有紧急暂停功能（Circuit Breaker）
必须具备多管理员机制（Multi-admin）
必须有撤回机制（Recovery Function）

监管对 DeFi 风险非常敏感。

Q365：是否可以将客户资产放到第三方冷钱包？

可行，但条件如下：

第三方必须受监管（如 BitGo Trust）
必须具备合同条款：监管可审计
CASP 必须保有一部分控制权（例如：2-of-3 多签）
必须具备可逆性（能迁移到自家钱包）

监管会问：

“第三方倒闭后，你们是否仍能恢复资产控制？”

Q366：法国监管是否要求提供“地址黑名单管理政策”？

必须具备：

地址黑名单（Sanctioned Addresses）
已知诈骗地址库
Mixer / Tornado Cash 检测
OFAC 名单同步

链上监控必须连接：

TRM
Chainalysis
Elliptic

否则 → 补件。

Q367：客户资产可否转至未完成 KYC 的客户？

严格禁止。

所有资产转移必须进行：

KYC 完成
风险评分
地址验证（如需要）

高风险客户提款必须人工复核。

Q368：法国是否要求客户资产定期进行“内部审计（Internal Audit）”？

必须一年一次，包括：

钱包权限审计
交易抽查
对账验证
IT 安全检查
外包供应商审查

审计报告必须随时可提交给 AMF。

Q369：是否必须设置“客户资产保护负责人（Safeguarding Officer）”？

法国监管强烈建议设立：

可由 COO 或 Risk Officer 担任
负责每日资产监控
对账异常升级处理
破产清算协调

这有助于在托管业务中提高成功率。

Q370：法国监管是否要求具备“客户余额查询透明机制”？

必须：

客户可实时查看余额
平台不得“冻结显示”但不冻结链上余额
必须具备资产可视化界面

如果平台不透明 → 不合规。

Q371：法国是否允许客户共享钱包（Shared Wallet）？

允许，但必须：

账簿精确
权限明确
对账可验证
风险可控
客户间资产不混淆

Q372：是否允许平台对客户余额“内部借贷”？

绝对禁止。

不允许：

内部透支
内部借贷
内部信用额度
内部融资

监管对此零容忍。

Q373：法国监管如何检查“Safeguarding 渠道的可逆性（Reversibility）”？

必须演示：

如何从第三方恢复资产
如何迁移钱包地址
如何替换供应商
如何执行紧急提款（Emergency Withdrawal）

监管现场可能要求：

“请模拟一次供应商中断事件。”

Q374：是否需要提供客户资产月报？

必须：

资产负债表
客户资产快照
资金归集明细
对账日志
异常记录

大型 CASP 需提供季度制式报告。

Q375：法国是否要求“客户资产损失赔偿机制”？

必须说明：

赔偿条件
赔偿流程
赔偿上限
赔偿资金来源
是否购买保险

法国监管在 FTX 事件后对此非常敏感。

Q376：法国监管是否允许使用“自动清算机制（Auto Liquidation）”？

仅限：

合约类产品（不属于 MiCA）
杠杆交易（法国监管不鼓励）

MiCA 范围内的托管业务不得使用自动清算客户资产。

Q377：客户提款失败是否必须向监管通报？

分情况：

系统故障 → 必须通报
钱包异常 → 必须通报
安全事件 → 必须通报
流动性不足 → 必须立即通报并暂停业务

不通报 = 严重违规。

Q378：法国是否强制要求“客户资产报表可审计（Auditable Statements）”？

必须：

可导出
可审计
可验证
可按监管要求提供

监管可能随时抽查特定账户。

Q379：是否必须将客户法币与加密资产分开进行对账？

必须分开：

Crypto reconciliation
Fiat reconciliation

两套账簿必须可交叉验证。

Q380：Safeguarding 是否也是法国审查中最容易“拒绝申请”的部分？

是的。

托管类 CASP 最常见的拒绝原因如下：

私钥控制不安全
热钱包比例过高
对账机制不完善
外包托管不可审计
缺乏破产隔离材料
无资产返还流程
未购买保险
权限管理不合规

Safeguarding 是法国监管的“红线”。

第十三章｜外包（Outsourcing）、数据保护（GDPR）、跨境数据传输（Q381–Q430）

Q381：法国监管是否允许 CASP 外包部分业务功能？

允许，但必须满足：

不影响 CASP 的核心监管责任
CASP 对外包方的行为承担全部责任
外包必须可审计、可管理、可逆转
必须执行外包尽职调查（Vendor DD）
必须具备外包合同（Outsourcing Agreement）

MiCA 本身也明确：

不得将核心职能完全外包
不得形成“空壳实体（Empty Shell）”

法国监管特别强调：

外包不能导致 风险转移 或 责任弱化。

Q382：哪些 CASP 活动不得外包？（法国监管明确列出）

以下职能 禁止外包：

风险管理（Risk Management）
合规职能（Compliance, MLRO）
内部审计（Internal Audit）
托管私钥控制权（Key Ownership）
账户开户与 KYC 最终审批
产品上市审批（Token Listing）
钱包权限管理

这些必须由 CASP 自身人员负责。

Q383：哪些职能可以外包？

可外包项包括：

IT 运行维护（DevOps）
托管技术服务（HSM、MPC 技术）
客服（Customer Support）
反洗钱辅助检测工具（TRM、Chainalysis）
数据备份服务
内部系统托管（如 AWS）

关键要求：
外包不可导致“失去关键功能控制（Loss of Key Function Control）”。

Q384：外包必须提交哪些监管文件？

法国监管会要求提交：

外包政策（Outsourcing Policy）
外包尽职调查报告（Vendor DD Report）
外包风险评估（Risk Assessment）
外包关键性评估（Materiality Assessment）
外包退出计划（Exit Plan）
外包合同样本（Contract Template）

这些文件几乎是审核重点。

Q385：法国监管是否要求对外包服务进行“关键性分类（Criticality Classification）”？

强制要求，分为：

Critical Outsourcing（关键外包）
Important Outsourcing（重要外包）
Non-material Outsourcing（非关键外包）

例如：

托管多签密钥服务 = Critical
云服务（AWS） = Important
客服外包 = Non-material

Classification 决定监管深度。

Q386：外包供应商必须具备哪些条件？

必须具备：

合规背景
风险管理体系
数据保护能力
技术可靠性
审计能力
事故通报机制

法国监管会要求：

“请提供供应商过去 12 个月的事故记录。”

Q387：外包供应商必须位于欧盟吗？

不强制，但要求：

非欧盟地区必须满足 GDPR 标准
必须具备等同水平的监管保护
必须提供数据转移协议（TADP, DPA）

如外包至美国：

必须符合 EU-U.S. Data Privacy Framework
或提供 SCC（Standard Contractual Clauses）

Q388：外包云服务（AWS、Google Cloud、Azure）是否允许？

允许，但需提交：

云服务风险评估
数据主权分析
云服务可逆性计划
安全认证（ISO 27001 等）
云服务 SLA

法国监管会重点关注：

“云服务中断 48 小时会如何影响客户资产？”

Q389：外包多签 / MPC 钱包服务是否允许？

可行，但条件极高：

CASP 必须保有至少一个密钥片
必须具备独立恢复能力
必须保证私钥不被供应商单点控制
必须提交密钥权限矩阵

如供应商完全控制私钥 → 申请必被拒绝。

Q390：法国监管是否要求对外包供应商进行年度审计？

关键外包必须：

每年一次审计
可采用第三方审计
审计内容包括安全、运营、数据保护

若供应商拒绝审计 → 不合规。

Q391：外包合同中必须包含哪些强制条款？

法国 AMF 明确要求：

审计权（Audit Rights）
数据访问权（Data Access Rights）
终止权（Termination Rights）
事故通报（Incident Notification）
服务可逆性（Reversibility）
数据返还或销毁条款（Data Return / Deletion）

缺少上述任意一项 → 补件。

Q392：CASP 必须对外包供应商进行背景调查吗？

必须，包括：

法律背景
财务稳定性
监管记录
技术能力
安全事故记录
GDPR 合规性
OFAC / 制裁名单筛查

法国监管特别强调供应商不能有：

欺诈历史
私钥被盗事故
监管处罚记录

Q393：外包是否可以跨链路（例如：安全由第三方、钱包由自营）？

可以，但必须说明：

分工是否明确
是否存在单点故障
数据传输路径是否安全
权限矩阵是否清晰

监管重点：

“请提供系统架构图、数据流向图、权限管理图。”

Q394：GDPR 是否适用于所有欧盟 CASP？

是，GDPR 是强制性的。

CASP 必须符合：

数据最小化原则
透明性原则
可删除权（Right to Erasure）
可携权（Data Portability）
数据主体访问权（DSAR）
72 小时数据泄露通报要求

GDPR 是法国 CASP 审查重点。

Q395：GDPR 合规是否需要设立 DPO（数据保护官）？

如果符合以下情况必须设立：

处理大量客户数据
处理风险敏感数据
业务覆盖多个欧盟成员国
托管规模较大

大多数 CASP 都需要设立 DPO。

Q396：GDPR 合规需要提交哪些文件？

主要包括：

数据保护政策（Data Protection Policy）
DPA（Data Processing Agreement）
数据处理活动记录（ROPA）
数据泄露响应计划（Data Breach Plan）
客户权限说明（Data Subject Rights）
数据流向图（Data Flow Diagram）
跨境数据传输协议（SCC 或 DPF）

法国监管通常要求文件十分详细。

Q397：是否可以将客户数据传输到香港或中国？

可以，但必须满足：

符合 GDPR 第 46 条跨境传输要求
必须执行 SCC（Standard Contractual Clauses）
必须实施额外保护措施（Encryption + Access Controls）

监管特别关注：

“是否存在政府访问风险（Government Access Risk）？”

此处需特别说明技术加密。

Q398：法国监管是否允许外包 KYC？

允许，但必须满足：

最终 KYC 审批必须由 CASP 自己完成
外包仅可执行“辅助（Support）”
不得完全依赖供应商判断
必须具备质量抽查机制

例如：

Onfido、Sumsub 可用
但最终合规责任仍在 CASP

Q399：外包服务出现事故必须在多少小时内通报 AMF？

依据 GDPR + MiCA：

72 小时内 通报数据泄露
24 小时内 通报业务中断/安全事故
立即通报托管资产风险事件

法国监管十分严格。

Q400：CASP 是否必须具备“外包退出计划（Exit Plan）”？

必须。

退出计划应涵盖：

更换供应商
自行接管服务
数据及密钥迁移规划
风险最小化策略
时间表（Timeline）

监管会问：

“如果供应商破产，你们能否在 24 小时内恢复服务？”

Q401：数据泄露事件必须如何处理？

必须执行以下流程：

72 小时内通报监管
72 小时内通知受影响客户
展示应对措施（Mitigation）
更新数据泄露记录（Breach Register）
安排外部审计（如需要）

隐瞒数据泄露 → 大概率导致牌照吊销。

Q402：法国监管是否要求执行年度渗透测试（Penetration Test）？

要求：

年度一次 Pentest
半年一次漏洞扫描
重大升级后必须重新测试

监管可能要求提供：

测试报告
修复日志
验证记录

Q403：CASP 是否需提交“IT 安全架构图”？

必须提交：

系统架构图
网络拓扑图
钱包系统图
密钥权限架构图
数据加密流程图

监管非常重视“架构可视化”。

Q404：GDPR 对客户请求删除账户是否必须执行？

必须执行。

除非：

客户仍存在未结算交易
法律要求保留一定期限（如 AML）

例如 AML 数据可能需保留 5 年。

Q405：GDPR 是否要求对客户数据进行加密？

强制要求：

静态加密（Data-at-Rest Encryption）
传输加密（TLS/SSL）
可控密钥管理（KMS/HSM）

加密不合规 → 审查必失败。

Q406：GDPR 是否允许自动化处理客户数据？（如风险评分）

允许，但必须：

提供人工复核选项
告知客户其权利
不得完全由机器决定最终风险等级

尤其不允许：

“客户被自动拒绝 KYC 而无法申诉。”

Q407：外包是否可以包含 ML / AI 风险识别功能？

可以，但必须：

模型必须透明
不得产生歧视风险
必须建档模型逻辑
必须具备人工复核

监管会问：

“AI 模型是否可解释？”

Q408：CASP 是否需要维护 Outsourcing Register？

是，必须维护：

所有供应商
服务范围
关键性评估
合同起止日期
风险评分
事故记录

法国监管会抽查该登记册。

Q409：是否允许将合规监测工具外包给 Chainalysis / TRM？

允许，但必须：

CASP 自行做最终判断
必须具备内部复核机制
不可完全依赖自动监测结果

监管强调：“合规责任不可外包。”

Q410：法国 CASP 必须如何记录外包风险？

必须维护：

Outsourcing Risk Register
风险等级
控制措施
监控机制
事故记录

监管可能要求提供最近 12 个月记录。

Q411：监管是否会直接面谈外包供应商？

可能会，尤其在以下情况：

外包内容核心
外包涉及私钥
外包涉及数据托管
外包涉及 KYC

供应商必须配合监管面谈。

Q412：外包合同是否必须包含“监管访问条款”（Supervisory Access Clause）？

必须。

条款需明确：

监管可以访问供应商数据
监管可要求供应商提供日志
供应商必须配合审计

缺少此条款 → 补件。

Q413：外包服务商必须提供哪些安全认证？

最常要求：

ISO 27001
SOC 2 Type II
ISO 22301（BCM）
PCI DSS（如处理卡数据）

监管越趋严格。

Q414：数据传输是否必须使用端到端加密？

必须。

不可存在：

明文传输
弱加密协议
可被中间人攻击的风险

加密等级需达到：

AES-256
TLS 1.2/1.3

Q415：法国监管是否允许 CASP 使用中国云服务？（如阿里云、腾讯云）

允许，但风险极高。

必须说明：

数据是否加密存放
是否可能被第三国政府访问
是否具备脱敏机制
跨境传输是否符合 GDPR
是否存在运营中断风险

多数申请人选择 AWS 或 Azure 欧洲区。

Q416：外包风险评估必须多长时间更新一次？

一般要求：

每年更新
若服务变更 → 必须即时更新
若供应商出现事故 → 立即重新评估

监管会抽查。

Q417：CASP 是否可以外包 Incident Response（事故响应）？

可以，但 CASP 仍必须：

设立内部安全负责人
保证事故可 24/7 响应
保留最终决策权

供应商只能作为辅助角色。

Q418：外包是否允许包含人力资源（HR）职能？

允许，但需明确：

HR 数据必须保护
GDPR 合规
雇员背景调查仍由 CASP 负责（尤其是关键岗位）

Q419：是否必须对所有供应商进行 OFAC / 制裁筛查？

必须。

法国监管要求供应商不能：

被制裁
与高风险地区相关
涉嫌洗钱

必须记录筛查日志。

Q420：外包是否可以覆盖 Token Listing 技术审计？

可以，但：

风险评估必须由 CASP 内部完成
最终上架审批不得外包
外包单位不能参与商业决策

Q421：GDPR 是否允许对客户进行行为画像（Profiling）？

允许，但必须：

具备合法性基础（如 AML）
不得用于自动拒绝
必须告知客户
必须有申诉机制

Q422：CASP 必须如何管理跨境数据传输风险？

需提交：

跨境数据风险评估（TIA）
加密与密钥管理策略
数据隔离措施
供应商访问控制

监管重点：

“第三国是否具备足够数据保护水平？”

Q423：哪些数据不得跨境传输？

不建议跨境的包括：

客户身份证明扫描件
私钥相关数据（绝对禁止）
交易可识别链上数据
KYC 存档原件

应尽量通过：

加密
局部存储
伪匿名机制

Q424：法国是否要求“数据本地化”（Data Localization）？

MiCA 未强制，但在以下情况监管可能提出要求：

大规模托管业务
高敏感 KYC 资料
资产证明数据

AMF 越来越倾向要求企业将敏感数据留在欧盟境内。

Q425：CASP 是否可将日志托管至海外？

可以，但必须满足：

日志加密
海外供应商可接受审计
必须通过 SCC 或 DPF

如果日志涉及客户身份，监管会更严格。

Q426：CASP 是否需要实现数据访问权限分级？

必须。

权限应基于：

最小权限原则（PoLP）
职能分离
双人授权（Four Eyes Principle）

不符合会被视为重大风险。

Q427：数据泄露是否必须记录在内部“Breach Register”？

必须。

记录需包括：

时间
事件描述
漏洞原因
影响范围
是否向监管通报
修复计划

Q428：外包供应商是否必须提供数据泄露记录？

关键外包必须提供过去 12 个月的：

安全事件
数据泄露记录
停机记录
漏洞通报

如果供应商拒绝 → 不合格。

Q429：法国监管是否允许使用“去中心化外包”（如 DAO 提供审计服务）？

不允许。

AMF 要求：

供应商必须是合法实体
必须可签订合同
必须承担法律责任

DAO 无法满足。

Q430：外包是否可能成为法国 CASP 申请中“最容易被拒绝”的部分之一？

是的。

常见拒绝原因：

将核心职能外包
私钥控制权外包
合规外包过度
缺乏外包审计权
云服务风险分析不足
无退出计划
供应商数据泄露历史未披露
跨境传输不符合 GDPR
未提交 Outsourcing Register
无数据保护官（DPO）

外包章节是 AMF 最常补件的部分之一。

第十四章｜风险管理（Risk Management）与内部控制（Internal Control）

（Q431–Q480｜法国版）

Q431：法国监管要求 CASP 建立哪些核心风险管理体系？

AMF 要求 CASP 必须覆盖以下六大风险：

运营风险（Operational Risk）
网络安全风险（Cyber Risk）
市场风险（Market Risk）
合规风险（Compliance Risk）
洗钱与恐怖融资风险（ML/TF Risk）
外包风险（Outsourcing Risk）

MiCA 还新增：

加密资产独有风险（Crypto-specific Risk）
托管风险（Custody Risk）
私钥管理风险（Key Management Risk）
智能合约风险（Smart Contract Risk）

法国是欧盟最重视“风险管理深度化”的国家之一。

Q432：法国 CASP 必须遵循“三道防线（3 Lines of Defence）”模型吗？

必须，AMF 明确要求：

第一道防线（1LOD）业务部门

钱包运维
交易团队
客服
KYC 初筛

第二道防线（2LOD）风险与合规

风险管理职能（Risk Manager）
合规职能（Compliance Officer）
反洗钱职能（MLRO）

第三道防线（3LOD）内部审计（Internal Audit）

必须独立于前两道防线。

监管对“三道防线”的运行真实性会深入追问，例如：

“请具体说明 1LOD 如何发现风险？2LOD 如何复核？3LOD 如何独立报告？”

Q433：风险管理负责人（Risk Manager）必须满足什么条件？

法国监管明确要求：

必须具备金融或风险管理背景
必须为内部员工，不得外包
必须对董事会负责
必须定期提交风险报告
必须理解区块链、钱包、托管、智能合约风险

项目越大，监管越要求 Risk Manager 全职（Full-time）。

Q434：CASP 需提交哪份正式的风险分析文件？

必须提交：

Risk Assessment Report（风险评估报告）
Risk Register（风险登记册）
Risk Appetite Statement（风险偏好声明）
Key Risk Indicators（KRI 指标体系）

法国监管喜欢结构化的 Risk Register，包括：

风险分类
风险评分（Impact × Likelihood）
控制措施
残余风险（Residual Risk）
责任部门
监控频率

仁港永胜可提供 MiCA 标准格式 Risk Register 模板。

Q435：法国 CASP 是否必须执行年度企业级风险评估（ERA）？

必须。

ERA 要求包含：

信息安全
钱包系统
外包
AML
业务连续性
技术架构
市场及流动性风险

AMF 可能在补件中要求提供最近一次 ERA 报告。

Q436：法国监管如何评估“运营风险”？

运营风险重点包括：

系统不可用
错误交易
技术故障
指令执行错误
客户资产划转错误

监管会问：

“请举例说明近 12 个月你们进行的运营风险演练。”

Q437：法国监管要求 CASP 对网络安全风险执行哪些措施？

必须执行：

渗透测试（Penetration Test）
漏洞扫描（Vulnerability Scans）
监控 SIEM
私钥保护（HSM、MPC、多签）
身份与访问管理（IAM）
权限分离（Segregation of Duties）
双因子认证（2FA）
日志保存（至少 5 年）

法国监管关注点：

“是否存在单点故障可以导致资产丢失？”

Q438：压力测试（Stress Test）在法国 CASP 中是否强制？

严格要求以下三类压力测试：

1）运营压力测试

例如：交易量激增 10 倍。

2）网络攻击压力测试

例如：钱包在 DDoS 下表现。

3）托管压力测试

例如：50% 冷钱包可访问性中断时资产是否安全。

法国监管会要求提交：

压测结果
风险缓释措施
残余风险分析

Q439：风险管理文件必须多久更新一次？

至少：

每年一次
若发生重大系统变更 → 必须立即更新
如业务范围扩张 → 必须重新评估风险

Q440：法国监管如何评估加密资产独有风险？

包括 5 大方面：

链上风险（Address Risk）
智能合约风险（Smart Contract Risk）
套利/清算风险（Liquidation Risk）
价格操纵风险（Market Manipulation Risk）
交易对手风险（Counterparty Risk）

监管会问：

“请提供你们使用的链上监控系统与阈值设置。”

Q441：客户资产安全属于何种风险？

属于：

托管风险（Custody Risk）
运营风险（Operational Risk）
网络安全风险（Cyber Risk）
法律风险（Legal Risk）

法国监管重点：

“客户资产是否能在破产中完全隔离？”

Q442：法国监管是否要求设立“资产保护负责人（Safeguarding Officer）”？

并非硬性要求，但：

若业务含托管（Custody）
或包含客户资产管理

监管会建议设立该岗位。

通常由：

CFO
或 COO
或某位专业高管

兼任。

Q443：法国监管最常问的风险管理面谈问题是什么？

典型问题包括：

“请解释热钱包与冷钱包比例及理由？”
“如何确保单一人员无法转走资产？”
“如何监控异常链上交易？”
“如果 AWS 故障 12 小时，你们如何继续运营？”
“请说明关键系统恢复时间（RTO/RPO）。”
“外包供应商出现数据泄露时怎么办？”
“请说明你们最近一次压力测试结果。”

Q444：CASP 是否必须具备业务连续性计划（BCP）？

必须提交完整 BCP，包括：

关键功能列表
灾难恢复计划（DRP）
RTO（恢复时间目标）
RPO（数据恢复点目标）
异地备援（Geo-redundancy）
备用通信方式（Out-of-band Communication）

监管经常要求提交 DRP 演练记录。

Q445：风险管理与合规有什么区别？

监管非常看重申请人是否理解两者区别：

风险管理（Risk Management）

识别风险
评估风险
记录风险
定义 KRI

合规（Compliance）

解释法规
确保流程符合法规
制定政策
监督监管要求

很多团队混淆 → 审查大忌。

Q446：风险管理部门必须独立吗？

必须独立于业务部门，但可以：

与合规共享资源
向同一董事会成员汇报

法国监管强调：

“Risk must not report to Operations.”

Q447：是否必须设立独立的风险委员会（Risk Committee）？

强烈建议，尤其：

托管类业务
交易平台
集团结构复杂

委员会成员应包括：

CEO
Risk Manager
Compliance Officer
CTO
MLRO

会议记录会被监管要求提供。

Q448：法国监管是否会要求提供风险仪表盘（Risk Dashboard）？

是的。

应包含：

风险评分
KRI 趋势图
最新风险事件
外包风险状态
风险缓释行动

监管喜欢图像化表达。

Q449：风险登记册（Risk Register）需包含哪些内容？

建议包含 10 部分：

风险类别
风险描述
发生概率
影响程度
初始风险评分
控制措施（Controls）
控制有效性评估
残余风险评分
责任人
更新频率

仁港永胜提供欧盟 30 国通用模板。

Q450：法国监管是否要求 CASP 必须设立 KRI（Key Risk Indicators）？

要求。

KRI 样例：

钱包失败交易率
KYC 误报率
异常登录次数
服务器 CPU 使用率
外包中断次数
欺诈交易检测次数

监管会问：

“KRI 触发后会怎样处理？”

Q451：CASP 是否必须维护事件报告（Incident Register）？

必须记录：

操作错误
欺诈事件
钱包异常
系统宕机
数据泄露
合规违规
外包供应商事故

监管常要求提供最近 12 个月记录。

Q452：CASP 必须多久进行一次事件回顾（Incident Review）？

建议：

每月一次
重大事件 → 即时复盘
并提交董事会备案

监管非常重视“事后复盘能力”。

Q453：法国监管对“私钥风险管理”有哪些特别要求？

必须具备：

密钥分片
多方控制（Dual Control）
双重授权（4-eyes Principle）
密钥恢复机制
密钥更换计划
密钥生命周期管理

监管会问：

“如果 CTO 和 CISO 同时离职，资金是否安全？”

Q454：CASP 是否必须执行智能合约风险审计？

若业务涉及：

Staking
DeFi
Token Listing
智能合约托管

则必须执行：

静态分析
动态测试
外部审计
漏洞披露程序

并提交审计报告给监管。

Q455：CASP 是否需要监控市场操纵风险？

需要，特别是：

Wash trading
Pump and Dump
Layering / Spoofing
Insider Trading

监管要求平台必须有 Market Abuse 防控机制。

Q456：是否需要监控链上交易风险？

必须。

包括：

高风险地址
混币器
Tornado Cash
暗网
OFAC 地址
智能合约漏洞地址

使用 TRM / Chainalysis 是行业标准。

Q457：法国 CASP 是否必须建立反欺诈系统（Fraud Detection）？

强烈建议。

包括：

登录异常检测
设备指纹
行为识别
风险评分引擎

交易平台则是必需。

Q458：风险管理文件必须包括哪些图示？

监管喜欢：

风险热力图（Heat Map）
风险矩阵
钱包风险结构图
外包风险结构图
KRI 趋势图

图示越多，审查越顺利。

Q459：CASP 必须建立哪些正式政策（Policies）？

至少包含：

Risk Management Policy
Operational Risk Policy
Cybersecurity Policy
Incident Reporting Policy
Outsourcing Policy
Safeguarding Asset Policy
Wallet Management Policy
BCP/DRP Policy

仁港永胜可一次性提供 30+ 份政策模板。

Q460：法国监管是否会检查风险管理部门的人手是否充足？

会。

常见补件问题：

“Please explain how the Risk function can be sufficiently resourced.”

监管要求：

人手对应业务规模
风险经理不可兼职太多职责
不得出现单人风险管理情况

Q461：董事会在风险管理中承担什么责任？

包括：

批准风险偏好（Risk Appetite）
审阅风险报告
监督重大风险事件
监督外包风险
评估管理层表现

法国监管会问：

“过去 6 个月，董事会讨论过哪些风险事项？”

Q462：是否必须为风险管理活动建立 KPI？

建议建立，但非强制。

KPI 示例：

风险演练次数
事件关闭时间
风险政策更新频率

能体现高治理水平。

Q463：法国监管是否允许“全外包风险管理”？

不允许。

风险管理必须由 内部团队负责。

Q464：法国监管是否认可集团共享风险管理职能？

部分认可，但需满足：

本地团队必须有能力独立报告
集团政策需本地化
本地董事必须负责最终审核

不能出现“集团代替本地实体做决定”的情况。

Q465：CASP 是否需要建立“新产品风险评估（NPRA）”流程？

需要，尤其是：

新 Token 上架
新 DeFi 产品
新钱包机制

NPRA 应包括：

AML 风险
市场风险
智能合约风险
技术风险

Q466：CASP 是否需要进行“情景分析（Scenario Analysis）”？

需要。

常见情景：

ETH 价格暴跌 80%
主网分叉
供应商破产
HSM 故障
OTC 交易欺诈
黑客攻击

监管会要求：

“请提交三个 worst-case scenarios。”

Q467：如何向监管证明风险管理体系真实有效？

关键：

提供真实演练记录
员工培训记录
风险委员会会议纪要
Incident Register
压力测试结果
系统日志

越真实，越容易通过。

Q468：法国监管是否要求定期对风险管理进行内部审计？

是的：

每年一次
必须独立执行
必须提交内部审计报告

涉及内容：

钱包管理
AML 流程
KRI
Outsourcing
IT 控制

Q469：CASP 风险管理是否接受外部审计？

监管会在部分情况下要求外部审计，例如：

托管服务
技术复杂系统
多签或 MPC 架构

外部审计包括：

安全审计
风险管理审计
GDPR 审计

Q470：法国监管是否要求建立风险文化（Risk Culture）？

必须。

包括：

风险培训
员工参与
内部沟通渠道
风险意识强化

监管喜欢看到“自上而下的风险文化”。

Q471：是否需要用系统化工具管理风险？

建议使用以下系统：

GRC 系统（Governance, Risk, Compliance）
自动化事件记录
KRI 监控面板
访问控制系统

监管会问：

“风险管理是否可以实时监控关键风险指标？”

Q472：法国 CASP 是否必须具备“反市场操纵控制（Market Abuse Controls）”？

若运营交易平台，必须具备：

交易监控（Trade Surveillance）
行为分析（Behavioral Analysis）
价格异常警示

监管可能参考 MiFID II 要求。

Q473：是否必须监控用户异常行为？

必须监控：

异常大额转账
相同设备多账户
短时间大量交易
高风险 IP

结合 AML/反欺诈措施共同使用。

Q474：法国监管是否要求 CASP 对“集团风险”做评估？

要求。

包括：

资金集中风险
关联交易风险
控制权风险
跨境风险

尤其在集团结构复杂时。

Q475：CASP 是否需要管理“法律风险”？

需要。

包括：

监管变化
合同风险
合作伙伴违约
知识产权风险

CASP 必须具备内部法务或外部法律顾问。

Q476：法国监管如何评估“声誉风险”？

监管重点：

客户投诉数量
外包事故
媒体报道
社交媒体负面事件

CASP 必须设立：

Complaint Handling Policy
Reputational Risk Assessment

Q477：是否必须提交风险事件的关闭证明（Closure Evidence）？

必须，包括：

故障修复截图
日志
工单记录
变更管理记录（Change Management Log）

监管希望看到完整闭环。

Q478：CASP 是否可将资金托管外包？

可以，但必须满足：

外包合同须包含 SAFEGUARDING 条款
必须独立账簿
不得将私钥全部外包
必须保留独立恢复能力

法国监管对托管类业务非常严格。

Q479：CASP 是否需要对“系统变更（Change Management）”进行风险评估？

必须。

包括：

钱包升级
新 API
新供应商接入
安全补丁
IT 架构变更

需提交：

CAB 审批记录
测试报告

Q480：法国监管是否可能因为风险管理体系不成熟而拒绝申请？

非常可能。

最常见拒绝原因包括：

风险文件模板化、空洞
缺少残余风险（Residual Risk）
无 DRP/BCP 演练
无 Risk Manager
三道防线不成立
钱包风险控制不足
外包风险未充分评估

风险管理是法国审查最严格模块之一。

第十五章｜董事会治理（Governance）、高管适当人选（Fit & Proper）、RO 要求（Q481–Q520）

本文由仁港永胜（香港）有限公司拟定，并由唐生提供专业讲解。

Q481：法国监管对 CASP 董事会治理的总体要求是什么？

法国 AMF / ACPR 的核心要求可以概括为三点：

“谁在真正管这家公司？”——需要清晰、稳定、可追责的决策结构；
“谁对风险和合规负责？”——合规、风险、AML 不得被边缘化；
“高管是否可信 + 有能力？”——适当人选（Fit & Proper）必须过关。

MiCA 强调“Sound and Prudent Management”，法国则把这一原则执行得格外严格：
董事会不能只是“挂名”“摆设”，必须是真正做决策、看报告、管风险的人。

Q482：法国 CASP 董事会至少需要多少名董事？必须是自然人吗？

通常建议：

至少 2 名董事（单一董事风险过高，审查不利）；
董事必须为自然人（Natural Person），而不是法人董事；
董事中至少一人需具备金融/合规/风控背景；
董事中至少一人应熟悉加密资产 / 区块链 / IT 安全。

虽然公司法允许较小规模董事会，但从牌照审查角度，2–3 名活跃董事是基本起步配置。

Q483：董事必须居住在法国本地吗？是否可以在其他欧盟国家？

监管实践中：

至少 1 名关键高管/董事 需在法国常驻，方便与 AMF 沟通；
其他董事可以居住在欧盟其他成员国，但需证明“可随时参与治理”；
若全部董事均在欧盟以外（如香港、新加坡） → 通过率明显降低。

简言之：法国希望看到“本地实质管理（Local Mind & Management）”。

Q484：什么是“适当人选（Fit & Proper）”要求？具体包含哪些方面？

Fit & Proper 一般分为“三大块”：

品行诚信（Honesty & Integrity）
- 无严重犯罪记录
- 无金融诈骗、洗钱前科
- 无重大监管处罚
胜任能力（Competence）
- 有相关行业经验
- 理解业务模式、风险与法规
- 有足够时间履职
财务稳健（Financial Soundness）
- 无严重破产记录
- 无巨额未清偿债务
- 无频繁违约历史

法国 AMF 会通过问卷、证明文件、面谈等多种方式评估。

Q485：法国 CASP 的“负责人 / 高管（Manager）”有哪些关键岗位？

典型结构包括：

CEO / General Manager：全面负责经营；
Board of Directors / 管理委员会：战略与监督；
Compliance Officer（合规负责人）；
MLRO（反洗钱报告官）；
Risk Manager（风险负责人）；
CTO / CISO（技术 / 信息安全负责人）；
Safeguarding / Custody 负责人（如有托管业务）。

法国监管很少给“光杆 CEO + 顾问团队”牌照。

Q486：法国 CASP 是否有类似“RO（Responsible Officer）”的角色要求？

MiCA 本身未使用“RO”这个香港式术语，但法国实务中通常会指定：

一名或多名“负责人与联络人”，对监管负责；
至少一名负责 AML/CFT（MLRO）；
至少一名负责合规（Compliance Officer）；
在技术复杂的结构中，监管会“点名”某个 CTO / CISO 作为关键人员。

我们在项目中会用“France CASP RO 等效角色”来替代香港式 RO 概念，实质逻辑类似：
有姓名、有职责、可追责、直接对 AMF 负责。

Q487：董事和高管需要具备什么样的经验背景才更容易获批？

典型“加分组合”包括：

在银行 / 券商 / 支付机构 / 受监管金融机构担任过管理职务；
有风险管理 / 合规 / AML 背景（尤其是欧洲地区经验）；
有加密资产 / 区块链公司的实际管理经验；
有 IT 安全 / 密钥管理相关经验；
曾参与其他持牌机构（EMI / PI / CASP / VASP 等）运营。

“纯创业 Web3 团队 + 零传统金融履历” → 在法国通过率明显偏低。

Q488：法国监管是否接受“挂名董事 / 名义董事”？

不接受，而且非常反感。

AMF 会重点看：

董事是否了解业务细节（面谈时会测试）
是否有实际参与会议、审阅报告
是否有 email 往来、决议记录
是否只是“签名 + 领薪水”的角色

一旦被认定为“Nominee Director”而无实质管理，牌照风险极高。

Q489：适当人选（Fit & Proper）审查通常需要提交哪些文件？

常见材料包括：

详细履历（CV）；
身份证 / 护照复印件；
无犯罪记录证明（近 3–6 个月）；
破产纪录说明或无破产证明（如有）；
过往公司职务证明（任职证明、推荐信、官网截图等）；
专业资格（如 CFA、FRM、法学/金融/会计学位）；
过往监管处罚声明（如无也需“否定声明”）。

有些情况下还需补充：

税单 / 工资单以证明“职业连续性”；
关联公司持股结构图。

Q490：如果董事曾经在公司破产中担任董事，这会导致申请失败吗？

不一定“一票否决”，关键看：

破产原因是否与欺诈 / 不当管理有关；
是否存在监管处罚；
申请人是否如实披露情况；
是否能说明从中吸取了教训。

隐瞒不利信息 → 远比“有不利历史但诚实说明”危险得多。

Q491：高管是否可以兼职？法国监管如何看待“多重职位”？

可以兼职，但要满足：

有足够时间履职（Time Commitment）；
不会导致利益冲突（Conflict of Interest）；
不在直接竞争对手担任关键职务；
对关键岗位（合规、AML、风险）不宜同时兼职太多其他公司职位。

申请材料中通常需填写：
“每周大概为本公司付出多少小时？”

Q492：法国 CASP 是否必须设立合规官（Compliance Officer）和 MLRO？可以是同一人吗？

要求如下：

必须有 合规职能（Compliance Function）；
必须有 反洗钱报告官 MLRO（Money Laundering Reporting Officer）；
小型机构可以由同一人兼任，但需说明其有足够资源和能力；
大型平台、托管机构 → 最好分设两个角色（监管更偏好）。

MLRO 职位在法国被视为非常重要。

Q493：法国监管如何考察 MLRO 是否“够格”？

重点看：

是否有 AML/CFT 相关经验；
是否熟悉法国及欧盟 AML 法规（AMLDs）；
是否熟练操作链上分析工具（TRM / Chainalysis）；
是否参与客户风险评级、SAR 报告决策；
是否有足够权限：能否对业务说“不”。

面谈时经常会直接“单独问 AML Officer 一整轮问题”。

Q494：CTO / CISO 在法国 CASP 结构中是否被视为“关键人员”？

若业务涉及：

托管服务（Custody）；
钱包管理；
交易平台运营；

则 CTO / CISO 必然被视为关键人员（Key Function Holder）。

监管会问：

是否理解 HSM / MPC / 多签机制？
是否主持过安全事件处理？
是否对第三方技术供应商有审查权？

Q495：法国 CASP 的董事会需要设置哪些常设委员会？

建议安排以下委员会，有利于审查：

风险委员会（Risk Committee）；
合规与 AML 委员会（Compliance & AML Committee）；
技术与安全委员会（IT & Security Committee）；
如规模较大：审计委员会（Audit Committee）。

这些委员会的会议纪要、议程、参与人，都是将来可作为“治理实质”的证据。

Q496：董事会会议频率有哪些监管期待？

通常建议：

董事会至少 每季度开会 1 次；
风险 / 合规专题至少 每半年汇报一次；
发生重大事件时应立即召开临时会议。

申请文件中最好能附上：

预期年度董事会会议日程；
典型议程样本（Agenda）；
会议纪要模板。

Q497：如何向 AMF 展示“董事会真正参与管理”？

可以通过以下证据组合来证明：

董事会会议议程中包含：风险、合规、IT、安全、外包等议题；
每年审阅并批准：风险报告、AML 报告、外包报告、IT 安全报告；
有明确的“决议记录”（如通过某项政策、批准新产品等）；
若为集团结构：本地董事会对本地 CASP 有单独决策权，而非“只是执行集团指令”。

Q498：股东（Shareholders）是否也要通过 Fit & Proper 审查？

是的，尤其：

持股 ≥ 10% 或拥有重大影响力的股东；
最终实益拥有人（UBO）；
控股母公司。

法国监管会看：

股东是否有良好声誉；
是否来自高风险国家；
资金来源是否清晰合法；
是否有不适合背景（洗钱、制裁、严重违法）。

Q499：股东是否可以是加密交易所、DeFi 项目方或矿池？

可以，但监管会更谨慎：

要求提供额外材料证明合规性；
检查其本国监管状况；
关注其是否涉及高风险业务（隐私币、混币器等）；
可能要求“业务隔离承诺”。

结构复杂时，需要较详细的 Group Structure & Risk Explanation。

Q500：如果主要股东为中国 / 香港 / 亚洲公司，会有额外要求吗？

实际操作中会有额外关注点：

资金来源证明（SOF / SOW）；
对海外控制风险的解释；
对数据跨境、治理文化差异的说明；
是否遵守制裁与出口管制。

并不是不能批，只是文件要更完整，说服力要更强。

Q501：法国监管如何界定“影子控制人（Shadow Controller）”？

影子控制人通常指：

虽非股东 / 董事，却能控制公司重大决策的人；
例如：某投资人、顾问、技术合伙人；
法律文件外的“口头掌权者”。

AMF 非常关注是否存在 “未披露实际控制人”，一旦发现，很容易导致申请失败。

Q502：是否允许由家族成员共同担任董事、高管？

可以，但需注意：

需要有足够专业性，而非“家族内部分工”；
风险、合规岗位不适合完全由同一家族成员掌控；
必须有防利益冲突机制。

“夫妻档 + 家族全控” 模式，在法国很难说服监管。

Q503：法国监管是否要求提交“治理架构图（Governance Chart）”？

必须提交，通常包括：

股东结构图（Shareholding Chart）；
董事会结构图；
高管与职能部门架构图；
各委员会（风险、合规、IT）汇报线；
与集团/母公司的治理关系。

图越清晰，补件越少。

Q504：董事 / 高管是否需要签署“诚信与适当人选声明（Declaration）”？

是的。

通常包括：

如实披露刑事记录、监管处罚、破产记录；
承诺如未来出现变化会主动通知监管；
说明未存在利益冲突；
确认具备履职能力。

不实声明一旦被发现，后果非常严重。

Q505：法国 CASP 是否可以设立“顾问委员会（Advisory Board）”？监管怎么看？

可以，但要注意区分：

董事会（有法律责任，受监管）；
顾问委员会（提供意见，但无正式决策权）。

监管不反对顾问委员会，甚至在复杂项目中是加分项，但必须确认：

决策权在 Board，而非顾问团；
顾问不承担“隐形董事”的角色。

Q506：董事是否可以完全不懂加密资产？

理论上可以，但不现实。

更合理做法：

至少 1–2 名董事要有加密 / 区块链 / FinTech 背景；
其他董事可偏重金融、合规、风险等传统领域；
通过整体董事会组合，形成互补。

“董事会完全不懂加密，但公司做的是托管和交易平台” → 审查压力会极大。

Q507：集团总部能否直接“派人 + 控制一切”，本地实体只是执行？

不可以。

法国强调：

本地实体必须有真实治理与决策权；
集团可以制定统一政策，但本地要有调整与否决权；
本地董事会不能沦为“盖章机器”。

否则会被认定为 “空壳 + 影子管理” 结构。

Q508：法国监管是否要求对董事、高管进行持续评估？（Ongoing Fit & Proper）

是的，并不是“一次性审核完就结束”。

个人情况变化（例如被判刑、被监管罚款）必须报告；
公司应定期评估高管是否仍适合其岗位；
新聘任董事 / 高管需事先或事后报 AMF（视业务类型）。

Q509：如果董事 / 高管发生变更，需要事先获批吗？

多数情况下：

关键岗位（如合规、MLRO、CEO）变更，需 事先或同期通知 / 获批；
必须提交新人的 Fit & Proper 材料；
监管有权拒绝某个人选。

法国不欢迎频繁更换关键职务的公司。

Q510：法国 CASP 是否可以聘请“外部合规顾问”代替内部合规职能？

不可以。

外部顾问只能协助，不能代替内部合规部门；
最终责任仍在内部 Compliance Officer / MLRO；
合规决策权必须在公司内部。

这是很多亚洲团队容易踩的坑。

Q511：董事是否需要参与 AML、风险、技术等方面的培训？

强烈建议，监管也鼓励：

新董事上任 → 进行“监管与业务入职培训”；
每年进行 1–2 次 AML / 风险 / IT 安全培训；
留存培训记录（参与人、时间、内容）。

培训记录是展现“治理活力”的重要佐证。

Q512：董事是否可以完全依赖管理层报告，不主动问问题？

可以，但极不建议，也不符合监管期待。

法国 AMF 对董事的期待是：

主动提问（Challenging Management）；
对异常情况提出质疑；
不做“橡皮图章”。

在严重案件中，董事未尽责也会被追责。

Q513：是否必须明确哪些高管是“关键岗位（Key Function Holders）”？

建议明确列出：

CEO / General Manager；
Compliance Officer + MLRO；
Risk Manager；
CTO / CISO；
Head of Custody（如有托管业务）。

并在申请文件中标注其职责与汇报线。

Q514：能否将某些高管职能设置为“兼职 + 顾问制”？

可以，但有前提：

不能是核心监管职能（如 MLRO、Compliance Officer、Risk Manager）；
顾问制岗位必须有清晰职责边界；
顾问不可成为实际控制人。

对关键岗位，法国更偏好 全职 / 高参与度 而非“顾问模式”。

Q515：董事 / 高管是否需要就利益冲突（Conflict of Interest）作出安排？

必须有：

利益冲突政策（Conflict of Interest Policy）；
披露机制；
回避机制（Recusal）；
决议记录中标注谁因利益冲突未参与表决。

典型风险场景如：

高管个人参股平台用户；
家族成员与主要供应商有关联；
高管兼任客户或供应商股东。

Q516：法国监管是否允许“技术团队控制全部业务”，董事仅负责签字？

绝对不允许。

董事 & 高管必须能够理解技术决策；
钱包架构、私钥管理等重大事项必须经过董事会批准；
不允许出现“技术合伙人个人控制全部关键权限”。

否则极易被认定为治理失衡。

Q517：如何在申请文件中“讲好治理故事”？（实务技巧）

建议围绕以下结构来写：

我们是谁？（Board & Senior Management 组合）
我们各自的优势？（金融 + 加密 + IT + 合规）
我们如何一起决策？（董事会 + 委员会）
我们如何监督风险和合规？（报告机制 + 会议纪要）
我们如何与集团协调而保持本地独立性？

把自己讲成：
“专业 + 稳健 + 可监管 + 有经验的管理团队”。

Q518：集团总部是否可以派驻观察员（Board Observer）？

可以，但要注意：

观察员不能干预董事正式表决；
不得形成“影子董事”；
观察员角色宜清晰写入章程和股东协议中。

对国际集团通常是一个折中方案。

Q519：不合格的治理结构会导致直接拒牌吗？

是的，而且非常常见。

典型问题包括：

董事均无相关经验；
关键岗位空缺或“挂名”；
股东 / 影子控制人不透明；
治理结构完全被集团控制，本地无实权；
Fit & Proper 信息隐瞒或不完整。

法国监管很看重“人”，有时比“系统”更重要。

Q520：对于计划申请法国 CASP 的团队，在治理与人员配置上有什么实务建议？

仁港永胜结合大量项目经验，总结几条实用建议：

至少配备：金融合规 + 加密技术双核心高管；
早期就锁定合适的 MLRO / Compliance Officer，不要“最后一刻再找”；
保证至少一名有 EU 金融牌照背景的人在董事会里；
在申请文件中把“董事会如何参与钱包/托管/AML决策”写清楚；
如为亚洲 / 海外集团：
- 在法国本地安排真正有实权的管理层；
- 解释好集团与法国实体的权责分工。

仁港永胜对法国 CASP 申请人的专业建议（Final Recommendations）

基于我们处理欧盟 MiCA、法国 AMF、德国 BaFin、立陶宛/马耳他/奥地利等大量监管项目的长期经验，仁港永胜总结如下实务建议：

1️⃣ 越早启动、越节省成本

法国 AMF 的审查深度在欧盟数一数二，准备越充分，补件越少，时间越短。
许多团队在“业务架构未定”前就应提前进行：

技术结构 Review
Wallet Policy 审核
AML/KYC 架构搭建
董事与关键人员配置规划

这会极大降低后期返工成本。

2️⃣ 治理（人）比系统（机器）更关键

法国监管“最看重”的是：

谁在负责？
是否真正懂业务？
是否能解释监管逻辑与技术细节？

治理结构不强 → 申请难度翻倍。

3️⃣ 钱包安全、私钥管理、外包，是法国监管的“三大杀手级模块”

我们观察到：

60% 以上补件集中在 Wallet Policy
30% 集中在 Outsourcing + Sub-outsourcing
25% 集中在 AML/KYC

（加总超 100%，因部分属于交叉补件）

这些内容必须在申请初期就一次性做好，而不是提交后再被动补件。

4️⃣ 法国 AMF 的面谈（Hearing）极具技术深度

法国监管会问 CTO / CISO：

私钥生成算法
MPC 与多签的差异
冷/热钱包架构
数据主权方案
外包供应商可逆性

技术解释能力不足 → 高概率导致审查停滞。

仁港永胜可为 CTO/CEO/MLRO 提供模拟面谈与回答脚本。

5️⃣ 对中国 / 亚洲申请人：本地实质（Substance）必须增强

法国监管格外关注：

团队是否真正落地
高管是否在法国或欧盟
数据是否存储在欧洲
是否存在影子控制人

我们擅长为亚洲团队构建 合规化 EU 实质结构，以满足监管标准。

6️⃣ 申请法国 CASP ≠ 复制其他国家材料

很多团队以为：

“我们有立陶宛/马耳他/迪拜的材料，复制一下就能申请法国。”

这是失败的主要原因。

法国的监管逻辑 ≠ 其他国家。
法国需要 深度化文件，而非模板化文件。

仁港永胜的法国材料采用：

监管问答式结构（RFI-ready）
深度技术说明
可视化图表（钱包架构图、数据流向图等）
法国监管最喜欢的 STAR 回答法
300+ 常见补件问答体系

确保做到 “提交即准备好应对补件”。

选择仁港永胜（Rengangyongsheng）申请法国 CASP 牌照的核心优势

下面是我们在 MiCA / CASP 赛道中最强的竞争力，可直接作为对外文件内容：

优势一｜欧盟 MiCA + 法国 CASP 顶级合规团队（监管实操经验）

我们团队成员来自：

欧盟持牌 EMI / PI 合规团队
加密托管机构
Big4 金融监管咨询部门
法国、德国、立陶宛当地律师及监管顾问

拥有 法国、德国、奥地利、芬兰、马耳他、爱沙尼亚等 30+ 国监管交付经验。

优势二｜完整的 MiCA 申请架构（行业最完整）

我们可一次性提供：

200–500 页 CASP 申请材料
Wallet Management Policy（含 MPC/HSM/Multi-key 结构）
AML/KYC Policy（含链上分析）
Risk Management Framework
Outsourcing + Data Protection（含 GDPR）
Safeguarding & Custody Framework
Governance Pack（董事会结构、关键岗位说明）
Incident Response、BCP/DRP 文件
Token Listing Framework

这是业内最齐全、最实用的 MiCA 套件。

优势三｜专属《法国 AMF 面谈脚本 + 模拟问答》服务

提供：

CTO 技术问答演练
CEO 治理问答演练
MLRO AML 问答演练
提前预测 AMF 会问的问题
完整的“监管现场应答脚本”

确保团队“上台即专业、回答即通过”。

优势四｜300 条 AMF / MiCA RFI 问题库 + 回答模板

仁港永胜独家整理：

AMF 高频补件问题集
300 条 RFI Q&A（适用于法国版 + 德国版）
RFI 回答结构指南（STAR/Matrix 模板）

保证补件阶段不慌乱、不返工。

优势五｜亚洲团队在欧盟申请牌照的最佳合作伙伴

我们长期为来自：

中国大陆
香港
新加坡
阿联酋
韩国
越南等

团队搭建实质运营架构、治理结构、人员配置与文件体系，保证符合欧盟监管逻辑。

优势六｜文件深度、专业度行业领先（不是模板，是可提交监管的成品）

所有交付内容：

非 AI 模板
非通用模板
100% 按监管逻辑 + 实操生成
通过我们专属的 MiCA 审核清单
能直接提交 AMF / BaFin / FMA / MFSA

这是仁港永胜在行业中最大的差异化优势。

优势七｜价格透明 + 可交付成果明确

每个阶段均有可交付成果：

Pre-filing 资料
申请材料套件
补件 Q&A
面谈准备
最终上线合规包

客户清楚知道每个阶段得到什么。

关于仁港永胜（香港）有限公司

Rengangyongsheng (Hong Kong) Limited（仁港永胜） 是亚洲领先的：

金融牌照申请顾问
虚拟资产合规顾问
全球监管合规服务供应商
金融科技合规系统提供商

我们长期专注：

全球 40+ 类金融牌照：

MiCA CASP（欧盟）
EMI / PI（英国、欧盟、立陶宛、马耳他）
迪拜 VARA 牌照（VASP 类别全覆盖）
香港 SFC（1/4/7/9 类）与虚拟资产牌照
香港 MSO（金钱服务经营者牌照）
加拿大 MSB / 美国 MTL
其他银行、支付、托管牌照等

核心服务：

监管咨询
牌照申请
持牌机构合规外包
商业计划书（监管版）制作
AML/KYC 系统 + 合规软件方案
跨境实体架构规划（Substance）

我们坚持为客户 降低监管风险、缩短获牌周期、提升国际合规竞争力。如需进一步协助，包括申请／收购、合规指导及后续维护服务，请随时联系仁港永胜 www.jrp-hk.com

联系方式（Contact Information）

仁港永胜（香港）有限公司
Rengangyongsheng (Hong Kong) Limited

合规咨询与全球金融服务专家
官网：www.jrp-hk.com
香港：852-92984213（Hong Kong／WhatsApp）
深圳：15920002080（深圳／微信同号）

办公地址：
香港湾仔轩尼诗道 253–261 号依时商业大厦 18 楼
深圳福田卓越世纪中心 1 号楼 11 楼
香港环球贸易广场 86 楼

注：本文中的模板或电子档可以向仁港永胜唐生有偿索取。

✅ 委聘专业顾问团队（如仁港永胜）负责文件、面谈准备与监管沟通。

本文由仁港永胜（香港）有限公司拟定，并由唐生（Tang Shangyong）提供专业讲解。
仁港永胜 —— 您值得信赖的全球合规伙伴。

免责声明
本文由仁港永胜（香港）有限公司拟定，并由唐生提供专业讲解。本文所载资料仅供一般信息用途，不构成任何形式的法律、会计或投资建议。具体条款、监管要求及收费标准以法国AMF（金管局）＋ ACPR（审慎监管局）官方政策及相关法律为准。仁港永胜保留对内容更新与修订的权利。

如需进一步咨询法国 CASP / MiCA 牌照申请、评估贵公司的可申请性（Eligibility Review）或需要我们帮助拟定完整法国版本的申请文件，我们可以随时开始服务。

法国 France（MiCA）加密资产服务提供商（CASP）牌照常见问题（FAQ 大全,法国 France加密资产服务提供商（CASP）牌照申请注册常见问题（FAQ大全）,法国 FranceCASP牌照常见问题,法国 FranceCASP牌照FAQ,法国 France加密资产服务提供商牌照常见问题,法国 France加密资产服务提供商牌照FAQ,申请法国 FranceCASP牌照常见问题,法国 FranceCASP牌照申请指南,法国 France加密牌照申请流程,法国 FranceCASP牌照要求,法国 France加密资产服务提供商牌照申请,法国 FranceCASP牌照申请条件,法国 FranceCASP牌照费用,法国 FranceCASP牌照合规,法国 FranceMFSA加密牌照申请,法国 France虚拟资产服务提供商牌照,法国 FranceVASP牌照,法国 FranceMiCA牌照指南,法国 France加密监管合规,法国 France区块链牌照申请,法国 France数字货币牌照,申请法国 France加密交易所牌照,Malta CASP License FAQ,Malta Crypto Asset Service Provider License FAQ,Malta CASP License Common Questions,Apply for Malta CASP License FAQ,Malta CASP License Application Guide,Malta Crypto License Application Process,Malta CASP License Requirements,Malta Crypto Asset Service Provider License Application,Malta CASP License Application Conditions,Malta CASP License Cost,Malta CASP License Compliance,Malta MFSA Crypto License Application,Malta Virtual Asset Service Provider License,Malta VASP License,Malta MiCA License Guide,Malta Crypto Regulation Compliance,Malta Blockchain License Application,Malta Digital Currency License,Apply for Malta Crypto Exchange License

如欲查询更多法国 France（MiCA）加密资产服务提供商（CASP）牌照常见问题（FAQ 大全）有关的资料，请与我们仁港永胜的专业顾问联络，我们将为您提供免费咨询服务。[点击联系公司注册专业顾问]

24小时专业顾问：15920002080（深圳/微信同号） 852-92984213（Hongkong/WhatsApp）

上一页： 希腊 Greece（MiCA）加密资产服务提供商（CASP）牌照常见问题（FAQ 大全）,Greece（MiCA）CASP FAQ
下一页： 请问香港持牌放债人借貸金額是否有上限？借貸年期是否有限制？

法国 France（MiCA）加密资产服务提供商（CASP）牌照 常见问题（FAQ 大全）

第一章｜法国 MiCA 与本地 VASP 制度衔接（Q1–Q20）

Q1：法国目前的加密资产监管体系是什么？MiCA 是否已完全实施？

Q2：此前已注册 VASP 的公司是否必须重新申请 MiCA CASP？

Q3：MiCA CASP 与法国 VASP License 的主要区别是什么？

Q4：是否可以“跳过”法国 VASP 注册，直接申请 MiCA CASP？

Q5：法国的加密监管机构是哪几个？各自负责什么？

Q6：哪些加密服务在法国属于“必须申请 CASP”的业务？

Q7：法国是否允许无牌经营？处罚是什么？

Q8：法国 MiCA CASP 牌照是否允许服务全球客户？

Q9：法国是否适合设立 CASP 欧洲总部？

Q10：法国的监管文化与德国、马耳他相比有什么特点？

Q11：法国是否允许使用离岸公司作为股东？

Q12：法国 AMF 对项目方最大的担忧是什么？

Q13：法国是否允许完全虚拟办公？

Q14：法国申请 CASP，需要多少内部员工？

Q15：法国是否对加密托管服务有额外要求？

Q16：法国是否允许算法稳定币？

Q17：法国的 CASP 申请预审机制是什么？是否必须走预审？

Q18：法国监管机构希望 CASP 的商业模式具备哪些特征？

Q19：如果项目已在法国运营但无牌，会影响后续申请吗？

Q20：法国是否接受“快速通道”申请？审批速度多久？

第二章｜业务模式与牌照适用性（Q21–Q40）

Q21：在法国申请 MiCA CASP 时，如何判断自己的业务模式属于哪一种服务类别？

Q22：我们的业务只提供“充值与提现（On/Off Ramp）”，是否需要申请 CASP？

Q23：仅提供“接口 API（如聚合行情）”是否需要 CASP？

Q24：我们公司提供“做市服务”，需要申请哪类 CASP？

Q25：如果我们只发行平台代币（Utility Token），是否需要 CASP？

Q26：运营一个加密资产交易平台在法国需要申请哪些类别？

Q27：法国是否允许“纯去中心化交易平台（DEX）”申请 CASP？

Q28：法国是否允许“托管外服务”（non-custodial wallet）项目豁免 CASP？

Q29：如果是 RWA（实物资产代币化）项目，是否属于 CASP？

Q30：是否可以只申请部分 CASP 业务类别，而非全部？

Q31：法国是否允许多业务线分别申请多个 CASP 牌照？

Q32：法国是否允许白标交易（White-label CEX）模式？

Q33：我们的平台不持有用户资产，只负责撮合，是否仍需申请 CASP？

Q34：法国对“探索性 Web3 应用（如 NFT）”是否需要 CASP？

Q35：我们想提供加密“支付服务”，是否属于 CASP？

Q36：平台提供“自动化策略 / 交易机器人”，是否被视为投资建议？

Q37：如果平台提供“流动性挖矿 / Staking”，是否属于 CASP？

Q38：法国是否允许 DAO 结构提交 CASP 申请？

Q39：我们公司希望开展“预留名额 + 抽签代币发售（类似 Launchpad）”，是否需要 CASP？

Q40：法国是否允许提供“跨链桥（Bridge）服务”而无需 CASP？

第三章｜人员要求（RO / MLRO / 董事 / 股东 / UBO）（Q41–Q70）

Q41：法国 MiCA CASP 对“关键人员”（Key Function Holders）有什么要求？

Q42：RO（Regulatory Officer）在法国 CASP 的职责是什么？

Q43：RO 是否必须坐班法国？是否可由外国人担任？

Q44：MLRO（反洗钱负责人）是否可以与 RO 兼任？

Q45：MLRO 是否必须在法国当地？

Q46：法国 CASP 董事会成员的最低要求是什么？

Q47：法国允许“一人董事会”吗？

Q48：法国 CASP 是否接受“名义董事”（Nominee Director）？

Q49：股东（Shareholders）需要满足什么条件？是否接受离岸股东？

Q50：UBO（实际受益人）需要披露哪些信息？

Q51：法国是否允许聘请外部公司担任合规职位？

Q52：法国是否允许 CEO、RO、MLRO 由同一个人担任？

Q53：是否可以由创始人兼任 CEO / RO / MLRO？

Q54：法国的 RO/MLRO 是否必须具备“加密行业经验”？

Q55：关键人员是否需要通过法国的适当人选（Fit & Proper）审查？

Q56：法国是否接受远程面谈？关键人员是否必须参加？

Q57：法国对 CTO / IT Security Officer 有什么要求？

Q58：如果 CTO 不在法国当地，是否可行？

Q59：法国是否允许聘用中国内地或香港人士担任关键岗位？

Q60：关键岗位人员离职时需要向 AMF 报备吗？

Q61：法国监管是否允许董事或 RO 在多家公司兼职？

Q62：法国是否允许公司聘请“临时 RO / 临时 MLRO”？

Q63：申请过程中是否可以更换关键岗位人员？

Q64：法国是否要求提交关键人员的“完整 CV”？

Q65：关键人员需要提供哪些背景审查文件？

Q66：法国是否要求关键人员具备法语能力？

Q67：股东是否需要进行面谈？

Q68：法国是否允许“隐名股东”或“影子控制人”？

Q69：法国是否允许聘请外部 AML 服务提供商作为补充？

Q70：法国对“人员薪酬结构”的要求是什么？

第四章｜实体设立、治理架构、资本与财务要求（Q71–Q110）

Q71：申请法国 MiCA CASP 必须在法国设立本地实体吗？

Q72：法国 CASP 推荐采用哪种公司类型？SAS 还是 SARL？

Q73：法国实体是否必须配备本地办公室？可否使用共享办公室？

Q74：申请法国 CASP 是否需要提交商业计划书（Business Plan）？

Q75：法国 CASP 的最低资本金要求是多少？

法国 France（MiCA）加密资产服务提供商（CASP）牌照常见问题（FAQ 大全）