美国数字货币牌照BitLicence中文版（全文翻译）

翻译：Misha Yang

Part 200. 虚拟货币

目录

200.1 介绍 2

200.2 定义 2

200.3 许可证 3

200.4 申请 3

200.5 申请费 5

200.6 主管人的行动 5

200.7 合规 6

200.8 资金要求 6

200.9 保管和保护客户财产 6

200.10 重大业务改变 7

200.11 控制权改变；兼并与收购 7

200.12 账本和记录 8

200.13 检查 8

200.14 报告和财务披露 9

200.15 反洗钱项目 9

200.16 网络安全项目 11

200.17 业务连续性和灾难修复 12

200.18 广告和推广 13

200.19 客户保护 13

200.20 投诉 14

200.21 过渡期间 15

200.22 可分割性 15

200.1 介绍

本部分包含了和虚拟货币业务相关的行为。

200.2 定义

就本规定而言，下列定义适用：

(a). 关联方：指任何一个主体直接或间接控制，被控制或被共同控制的另一个主体

(b). 网络安全事件：指任何成功或不成功的非法访问、扰乱、滥用持证人电子系统或存储在这些系统上信息的的行为或尝试

(c). Department：指纽约州金融服务部

(d). 兑换行为：指任何把法币或其他价值物转换或交换成虚拟货币，把虚拟货币转换成法币或其他价值物，或把一种虚拟货币转换或交换成另外一种虚拟货币

(e). 法币：指政府发行的通过政府命令、规章或法律而被指定为该国法定货币的货币

(f). 持证人：指任何根据本规定被主管人准予许可证的主体

(g). 纽约：指纽约州

(h). 纽约州居民：指任何在纽约州居住，位于，有办公地或进行商业活动的主体

(i). 主体：指一个个人，合伙，公司，组织，合股组织，信托或其他以任何形式组成的主体

(j). 预付卡：指一种电子支付手段：（i）可以在某一商户或共享姓名、标价、标志的一组关联商户或可以在多个不相关联的商户或服务提供商处使用；（ii）以某一特定数量的法币发行定价；（iii）若适用，可以且仅可以法币充值；（iv）发行和/或充值的基础是购买或交付未来的产品或服务；（v）出示时可以兑现；以及（vi）若适用，可以且仅能以法币赎回

(k). 高管：指某一主体的执行人员，包括但不限于，首席执行、财务、运营、合规人员，主席，法务，管理合伙人，普通合伙人，控制合伙人，受托人（视情况而定）

(l). 主要股东：指任何直接或间接拥有，控制或持有某一主体超过10%的有投票权的股票 或是拥有、控制或持有有这一权利的主体的超过10%的有投票权的股票，

(m). 主要受益人：指任何有权收益某一信托超过10%的主体

(n). 合格保管人：指一个经主管人事前批准的银行，信托公司，国家性银行，储蓄银行，储蓄和贷款组织，联邦储蓄组织，信贷机构或在纽约州内的联邦信贷机构。在适用范围内，本条所用短语的定义与Banking Law一致

(o). 传递：指通过第三方将虚拟货币有一个主体转移到另一个主体，包括从一个主体的账户或存储地转移到另一个账户或存储地

(p). 虚拟货币：指任何种类的作为交换媒介的电子单位或抑制电子存储价值的形式。虚拟货币应被广泛理解为包括有如下特征的电子单位（i）有集中地存放地或管理员；（ii）没有集中存放地或管理员；或（iii）可以通过计算或制造而创造或获得。虚拟货币不应当被理解为包含下列：

(1) 具备下列特征的电子单位（i）仅被用于在线游戏平台（ii）在该游戏平台外没有市场或应用（iii）不能被转换或赎回成法币或虚拟货币；以及（iv）可能或可能不能兑换成现实世界中的产品、服务、折扣或购买物

(2) 作为发行人和/或指定商户客户联合或奖励计划一部分的可以用于兑换产品、服务、折扣或购买物的电子单位， 或可以兑换成另一客户联合或奖励计划的电子单位，但是不能被转换或赎回成法币或虚拟货币；或

(3) 作为预付卡一部分的电子单位

(q). 虚拟货币业务活动 指下述任何涉及到纽约州或纽约州居民的活动：

(1) 接受用于传递的虚拟货币，或传递虚拟货币，除了该交易是以非金融目的而进行且不牵涉到超过名义金额的虚拟货币的转移

(2) 代表他人存储，持有，维持存管或控制虚拟货币

(3) 将买卖虚拟货币作为一种客户业务

(4) 为客户业务提供兑换服务；或

(5) 控制，执行或发行虚拟货币。

开发或发布软件本身不构成虚拟货币业务活动。

200.3 许可证

(a). 许可证要求。任何人在没有从本文中列出的负责处获得执照，不得有从事虚拟货币业务的行为。受许可人不得行使Banking Law Section 100中的 受托责任

(b). 禁止未获得许可证的代理。任何许可证获得者禁止将虚拟货币经营业务委托给没有许可证的代理。

(c). 许可证要求的豁免。下列主体可以免除本文提到的许可证要求：

(1) 根据New York Banking Law设立且已经被主管人批准进行虚拟货币业务的单位

(2) 仅仅利用虚拟货币来买卖商品或服务，或者用于投资的商户或消费者

200.4 申请

(a). 本规定中提到的许可证申请，必须为书面，在宣誓下进行，其形式必须经由主管人批准，同时要包含下列信息：

(1) 申请人准确的名字，包括以业务命名的，组织形式，设立时间，设立地的管辖归属

(2) 申请人所有附属机构的名单，以及用以说明申请人和各附属机构直接关系的组织结构图

(3) 包含个人申请人，或单位申请人的董事，高管，主要股东，主要受益人（视实际情况而定）身份信息的表单；表单内容应包括：上述个人的姓名，住址和通信地址，个人经历，经验，资格，同时还需随附该个人同意将信息公开给Department的同意书

(4) 一份由独立调查机构出具的，为主管人所接受的对个人申请人，或单位申请人的董事，高管，主要股东，主要受益人（视实际情况而定）的背景审查报告

(5) 针对各个人申请人，或单位申请人的董事，高管，主要股东，主要受益人（视实际情况而定）以及受雇于申请人但可以接触到客户资金的所有个人，不论该资金是法币还是虚拟货币形式，（i）一套完整的指纹，或一份证明指纹已被第三方供应商（被主管人认可的）在何日交至State Division of Criminal Justice Services 和Federal Bureau of Investigation； （ii）若适用，相关主管人要求的处理费；以及（iii）两张不大于2*2英寸的证明像

(6) 申请人和其管理层的组织结构图，包括高管或高层，显示出其权利层次以及职责分配

(7) 一份申请人及其高管，主要股东，主要受益人（视实际情况而定）的当前财务报表，以及一份申请人下一年度运营的预计资产负债表和收益表

(8) 一份包含申请人设想的，当下和历史业务的描述，包括已经或打算提供的产品和服务的细节，所有相关网站地址，申请人的相关业务的管辖地，主要业务所在地，主要市场，预计的用户群，具体的营销对象，以及任何在纽约的实体运营地址

(9) 银行开户的安排细节

(10) 所有本规定所要求的或有关的书面政策、程序

(11) 一份公证过的陈述，列出所有申请人或其董事，高管，主要股东，主要受益人（视实际情况而定）在任何政府机关，法院，仲裁庭所面临或有危险面临的民事、刑事案件，诉讼和程序，包括当事人姓名，案件性质，案件状态

(12) 被主管机关所接受的一份New York State Department of Taxation and Finance 出具的、说明申请人遵循了纽约州税法责任的认证表

(13) 若适用，一份申请人、其董事、职员或客户为受益人的保险单

(14) 一份解释虚拟货币兑换法币价值计算方法论的说明； 以及

(15) 其他任何主管人所要求的信息

(b). 作为本申请的一部分，申请人需证明其将在获得许可证时满足本规定的所有要求

(c). 虽然有上述（b）的规定，但是主管人可以根据其自由裁量权且在与Financial Services Law以及本规定的立法目的一致的基础上，授予申请人有条件的许可证

(1) 一个有条件的许可证可以发给未在获得许可证时满足所有要求的申请人

(2) 有条件的许可证的持有人可能收到更高程度的审查，包括但不限于检查的范围和频率

(3) 除非主管人取消这种有条件的状态，或者为有条件的许可证延期，否则有条件的许可证将在颁证两年后过期

i). 主管人可以根据其自由裁量权且在与Financial Services Law以及本规定的立法目的一致的基础上：

(A). 为有条件的许可证延期；或

(B). 取消有条件许可证的有条件状态

(4) 有条件的许可证可以依据本规定200.6条被终止或撤销

(5) 有条件的许可证可以基于主管人的自由裁量权设定任何合理的条件

(6) 主管人可以移除任何有条件许可证的条件

(7) 在衡量是否颁发有条件许可证，或是否为有条件许可证延期或取消有条件的状态，或是否设定或移除某项具体条件时，主管人可以考虑任何相关因素。相关因素包括但不限于：

i). 申请人或许可证持有人业务的本质和范围

ii). 申请人或许可证持有人预计的业务量

iii). 申请人或许可证持有人的业务给客户、虚拟货币市场、金融市场、普通大众所带来的风险的本质和范围

iv). 申请人或许可证持有人所采取的限制、减轻其业务风险的措施

v). 申请人或许可证持有人是否已在FinCEN注册

vi). 申请人或许可证持有人是否已在任何政府机关或金融业或其他商业活动的自律组织内获得执照、注册、或其他方式的授权

vii). 申请人或许可证持有人在金融服务或其他业务上的经验

viii). 许可证持有人作为主管人颁发的有条件执照的持证人的历史

(d). 主管人可以允许本规定下的申请或其他本规定要求的材料以电子方式提交

200.5 申请费

作为申请获得本规定中的许可证的一部分，申请人必须提交初审费5000美元，以覆盖处理申请、审阅申请材料、调查财政状况和责任、金融和商业经验以及申请人品德和合适性的费用。若申请被否决或撤销，该项费用不会被返还。每一许可证持有人将会被要求向Department支付处理与许可证有关的额外申请的费用。

200.6 主管人的行动

(a). 概述。在申请人依据本规定递交申请、支付必须费用并证明申请人将有能力遵循本规定所列的有关许可证的要求时，主管人将会调查财政状况和责任、金融和商业经验以及申请人品德和合适性。若主管人认定，申请人的相关特征可以证明其将会在本规定的立法目的范围内，诚实、公平、公证、仔细、有效并且将以一种需要社区群体的信任的方式开展虚拟业务，则主管人将以书面形式通知申请人其申请已获得批准，并向申请人颁发虚拟货币业务经营许可证，改正可能受到本规定条款或其他主管人认为合适的条件的限制；否则，主管人将拒绝申请。

(b). 批准或拒绝申请。主管人应在收到完整的申请材料90日内批准或拒绝申请。主管人酌情合理延长该90天期限以使得本规定的要求得以满足。根据本规定颁发的许可证直到被申请人交回，或被终止、撤销过期之前，均有效。

(c). 终止或撤销许可证。主管人可以下列理由终止或撤销已颁发的许可证:任何可以拒绝发原证的理由、违反本规定的行为、其他合理原因或持证人未能在终局判决30日内或暂缓执行过期或结束30日后，支付州内或州外任何法院的判决；但是，若判决因法院要求、法律规定或其他原因而暂缓执行，则（因持证人未能支付判决而导致的）终止或撤销许可证程序，不得在该暂缓执行期间内及其之后30日内开始。“合理原因”指持证人违反或很可能违反其合同义务或财务业务或参与到不合法、不诚实、过失或不公正的给大众造成伤害的行为

(d). 听证。任何依据本规定颁发的许可证不得未经听证被撤销或终止。主管人将给持证人不少于十天的书面通知，通知听证会的时间地点，通知将以挂号信方式送至持证人的主要业务地。主管人任何终止或撤销许可证的决定均须陈述理由，并送达至持证人在Department处登记的主要业务地

(e). 初步禁令。当主管人认为有利于公共利益时，其可申请初步禁令以限制持证人继续开展违反本规定、Financial Services Law、Banking Law、Insurance Law的活动

(f). 权力保留。本条款不应被理解为是对主管人在Financial Services Law、Banking Law、Insurance Law下权力的限制，包括调查可能的违法、违规行为，给予处罚或对违法违规的主体采取行动。

200.7 合规

(a). 概述。各持证人均需遵守所有使用的联邦、州法律、法规。

(b). 合规专员。各持证人均需指派一名或多名合格的员工负责协调和监测本规定和其他所有联邦、州法律法规的合规情况

(c). 合规制度。各持证人均需保持并执行书面合规政策，包括与反欺诈、反洗钱、网络安全、隐私和信息安全和其他本规定要求的政策，这些政策须经持证人的董事会或其同等主体审阅并批准

200.8 资金要求

(a). 各持证人均需在所有时候维持数额和形式充分的资金，该资金数额和形式须由主管人认定为足以确保持证人财务完整和承担持证人相应的运营风险。在确定持证人所需维持的最低资本数额要求时，主管人将考虑诸多因素，包括但不限于：

(1) 持证人的总资产构成，包括各资产的仓位，规模，流动性，风险和价格波动

(2) 持证人的总负责构成，包括债务规模和还付期限

(3) 实际和预期的虚拟货币业务量

(4) 持证人是否已经在Financial Services Law, Banking Law 或Insurance Law下获得主管人的经营许可或被监管，或是否是受这些法律管辖的金融产品或服务提供者，且该状态是否良好存续

(5) 持证人的杠杆化规模

(6) 持证人的流动资金情况

(7) 持证人通过信托账户或保证金给予客户的财务保护

(8) 持证人将服务的主体类型；以及

(9) 持证人将提供的产品或服务

(b). 各持证人将以主管人接受的百分比，以现金、虚拟货币或高品质、高流动性、投资级别的资产维持本章节规定的资金要求

200.9 保管和保护客户财产

(a). 各持证人将维持保证金或客户为受益人的美元信托账户以保护持证人的客户；保证金和信托账户的形式和金额将以主管人所接受的为准。若持证人依据本章规定维持一个信托账户，则该信托账户必须有合格保管人来管理

(b). 若持证人代表他人存储、持有、保管或控制虚拟货币，则该持证人需持有同样种类且等值的虚拟货币

(c). 各持证人禁止出卖、转移、分配、出借、抵押、质押或以其他任何方式使用或为资产设定负担，包括持证人代表他人存储、持有、维持、保管或控制的虚拟货币，除非该他人对这些数字货币指定的出卖、转移或分配。

200.10 重大业务改变

(a). 若持证人计划或打算引入或提供一种全新产品、服务、活动或以其他方式对现有的产品、服务或活动造成涉及到纽约或纽约州居民的重大改变，持证人必须获得主管人的事前书面同意。

(b). 一种“全新产品、服务、活动”或者“重大改变”在下列情形下可能发生：

(1) 所提出的新产品、服务或活动，或提出的改变可能产生关于这些新产品、服务或活动的合法性、合规性的问题

(2) 所提出的新产品、服务或活动，或其他提出的改变可能造成对企业运营安全的顾虑；或

(3) 对现有产品、服务或活动的改变将可能导致该产品、服务或活动与其许可证申请上所列的描述显著不同

(c). 持证人需提交一份书面计划，描述所提出的新产品、服务或活动，或者所提出的重大改变，包括一份对其业务运营、合规政策、持证人业务整体影响的详细描述，以及其他任何主管人可能需要提供的信息

(d). 若持证人对所提出的新产品、服务或活动或所提出的改变的重大性有任何疑问，持证人可以在引入或提供新产品、服务或活动或作出改变之前向Department寻求澄清

200.11 控制权改变；兼并与收购

(a). 控制权改变。未经主管人事前书面同意，不得有可能导致持证人控制权发生变更的行为

(1) 在任何控制权的改变之前，与取得持证人控制权的一方均需向主管人提交在形式和内容上被主管人所接受的书面申请，包含但不限于申请人及申请人或其董事，高管，主要股东，主要受益人（视实际情况而定）的详细信息

(2) 针对本章节，“控制”指直接或间接能指导或促使持证人管理和政策方向的占有，不论这种占有是通过拥有持证人的股票，或者是拥有有这一权利的他人的股票，或是其他形式。如果一个主体直接或间接地拥有，控制或有持证人超过10%的有投票权的股票 或是拥有、控制或持有有这一权利的主体的超过10%的有投票权的股票，则推定为“控制”。在上述主体内担任董事或高管不被推定为“控制”

(3) 主管人可以依申请认定是否有“控制”的情况。这一认定应当在申请后30日内或主管人规定的更长时间段内作出。基于本章节而递交的诚信的申请可以在直至主管人开始处理该申请时免除申请人本章节项下的责任。在通知和听证后，主管人可以依据本章规定撤销或修改其认定。在作出认定时，主管人可以考虑下列因素：

i). 他人购买普通股是否仅有投资目的，而非要获得对持证人的控制权

ii). 他人是否可以指导或促使公司的管理或政策的方向

iii). 他人提出的董事是否与持证人管理层、董事会提出的候选人不一致

iv). 他人是否可以寻求或接受持证人董事会的代表

v). 他人是否可以索要或加入到索要持证人股东需批准事项的代理投票权中

vi). 其他可以反映他人将要或不会对持证人控制的因素

(4) 主管人将在接受到其认为完整的申请后120天内作出是否批准控制权改变的申请。该120天可以在有充分理由的情况下由主管人延长，延长至使得本章节所规定的要求和条件得以满足的合理期限。

(5) 在考量是否批准某一提出的控制权改变时，主管人除其他因素外，将考虑公众利益和公众需求、对公众的便利性

(b). 兼并与收购。未经主管人事前书面同意，不得有可能导致持证人全部或大部分资产被兼并或收购的行为。

(1) 在任何这种兼并或收购之前，根据情况，兼并方或收购方需向主管人提交一份包含有该兼并收购书面计划的申请。该计划需要有主管人同意的形式和内容，且需要说明被兼并的实体，存续的实体，或收购持证人全部或大部分财产的实体，且需要说明交易条款和执行方式。

(2) 主管人需在收到包含有书面计划且被其认定为完整的申请后120天批准或否决某一提出的兼并或收购。该120天可以在有充分理由的情况下由主管人延长，延长至使得本章节所规定的要求和条件得以满足的合理期限。

(3) 在考量是否批准某一提出的兼并或收购时，主管人除其他因素外，将考虑公众利益和公众需求、对公众的便利性

200.12 账本和记录

(a). 各持证人需要制作、保留、保存所有与其虚拟货币业务服务有关的原始形式或原本文件格式的账本和记录至少七年，起算时间为该类文件产生之时，保存状态需要使得主管人可以判定持证人是否在遵循相关法律法规。各持证人维持的账本和记录需要，但不限于：

(1) 针对每一笔交易，其数额、日期、准确的交易时间，支付指令，收入和支出的总手续费和由持证人直接或代表持证人的扣款，姓名，账号，（i）作为交易方的持证人客户或账户持有人的实际地址；和（ii）根据现实情况，其他与交易有关的各方的实际地址

(2) 一个包含有所有资产、负债、权益归属、收入、支出的总账本

(3) 银行流水单和对账单

(4) 任何提供给客户或对家的账单或评估单

(5) 董事会或其同等机关的会议记录

(6) 证明遵循了相应州和联邦反洗钱法律法规的记录，包括客户识别与文件验证，连接客户与其各自账户和余额的记录，列举违规事项的记录

(7) 与调查客户投诉、交易错误解决或可能违法违规的事实有关的交流和文件

(8) 所有其他根据本章节需要保存的记录；和

(9) 所有其他主管人可能需要的记录

(b). 若被要求，各持证人须立即向Department提供所有设备、账本、记录、文件和其他申请人或其关联方掌握的信息，不论其位置。

(c). 对未完成或非活跃虚拟货币账户或交易的记录需要保存至少五年，起算时间为该虚拟货币被Abandoned Property Law 认定为被遗弃财产之日起。

200.13 检查

(a). 各持证人需要允许并协助主管人在其认为必要或合适的时间检查持证人，但主管人至少每两年需要认定，但不限于，下列事项：

(1) 持证人的财政状况

(2) 开展业务的安全可靠性

(3) 管理层的政策

(4) 持证人是否遵循法律法规；以及

(5) 其他主管人可以认定的事项，包括但不限于，持证人在纽约州州外的行为，若该行为在主管人看来可能影响到持证人的虚拟货币业务活动

(b). 各持证人需随时允许并协助主管人检查持证人所有的账本、记录、账户、文件和其他信息

(c). 各持证人需允许并协助主管进行判定持证人是否有违法违规行为而展开的特别调查，同时在必要程度内允许并协助主管人检查所有相关设备、账本、账户、文件和其他信息

(d). 在认定持证人的财政状况、其业务的安全可靠性或其是否遵循法律法规时，持证人需在主管人认为必要或合适的时间时，允许并协助主管人检查持证人的关联方

200.14 报告和财务披露

(a). 各持证人需要在其财政季度结束后45日内向主管人提交其季度财务报表，报表形式需要符合主管人规定，同时要包括，但不限于，下列信息：

(1) 持证人财务状况表，包括资产负债表，收益表，综合收益表，权益归属变化表，现金流表，净流动资产表

(2) 一份满足本章节其他财务要求的表

(3) 财务预测和战略性商业计划

(4) 账户表格，包括各账户描述；以及

(5) 一份关于持证人在本章节下允许的投资的报告

(b). 各持证人需要提交经审计的年度财务报表，以及一份由第三方注册会计师出具的意见和认证以证明持证人内控结构的有效性。所有年度财务报表应包括：

(1) 一份陈述，包含管理层在准备持证人年度财务报表，建立和维护充足的内控和财务汇报的程序，遵循法律法规中的责任

(2) 一份持证人管理层针对其财务报表所涵盖财政年度的法律合规性评估

(3) 一份持证人高管或董事证明财务报表真实性和准确性的证明

(c). 任何针对持证人或其董事、主要股东、高管和主要受益人（视情况而定）的任何犯罪行为或破产程序，各持证人将在该行为或程序开始后立即书面通知主管人

(d). 各持证人将书面通知主管人任何关于其根据本规定200.4章或本章提交给Department的，用法币计算虚拟货币价值的方法论的变化

(e). 各持证人均需在发现与受许可行为有关的违法违规行为时，立即报告主管人

(f). 各持证人需在主管人可能提出的其他时间内向主管人以其要求的形式提供额外报告

200.15 反洗钱项目

(a). 所有本章节中提到的美元标价均需要以Department提供的方法来确定以法币定价的虚拟货币的价值

(b). 各持证人需开展一个初步风险审查，包括和持证人的活动、服务、客户、对家、地理位置有关的法律、合规、金融、名誉风险，且需要建立、维持、执行一个基于此的反洗钱项目。持证人需开展额外的年度评估，或根据风险变化而频率更高的评估，且需要对反洗钱项目及时修订反映该变化

(c). 反洗钱项目最起码需要：

(1) 提供一套包含了为满足各反洗钱法律法规而制定的内控、政策和程序

(2) 提供独立的检测以检测由持证人合格的内部人员或外部人员所执行的反洗钱项目的遵守和有效性，该内部人员不得设计、安装、维持或运营反洗钱项目或指引该反洗钱项目运营的政策和程序，检测发现需要至少每年总结成书面报告向主管人提交

(3) 指定一个或多个合格的个人负责协调和监测日常反洗钱项目的遵守

(4) 持续为合适的工作人员提供培训，以确保其可以全面理解反洗钱要求，使得其可以鉴别出需要报告和依本规定需保留记录的交易

(d). 反洗钱项目需要包含一个书面的由持证人董事会或其同等机关审阅和批准过的反洗钱政策

(e). 作为反洗钱项目的一部分，各持证人需要对下列行为保存记录并作出报告

(1) 虚拟货币交易记录。各持证人均需保存关于虚拟货币交易所涉及的支付、收入、交换、兑换、购买、销售、转移或传递中的：

i). 持证人客户或账户持有人，以及各交易方（在实际的限度内）的身份、地址

ii). 交易价值，包括用以购买、销售或转移的面值

iii). 支付方式

iv). 交易发起和完成日期

v). 一段对交易的描述

(2) 交易报告。当持证人牵涉到一笔或一系列不受联邦法报告要求的虚拟货币交易中时，持证人应以主管人规定的方式在24小时内通知Department， 包括由一主体所进行的累计总额超过$10,000的虚拟货币的支付、收入、交换、兑换、购买、销售、转移或传递

(3) 检测可疑行为。各持证人均需检测可能预示着洗钱、避税、或其他违法行为的交易

i). 各持证人需要依据联邦法律法规的要求上报可以行为报告（SARs）

ii). 在联邦法下不受可以行为报告要求的各持证人需要以主管人规定的方式，将可能预示着违法违规行为的交易于发现之日起30日内上报给主管人。持续的可疑行为需要持续地审阅，该报告需要在上一份描述该可以行为的报告上报之后120日内上报。

(f). 任何持证人不得设计或辅助设计规避本章节报告要求的交易

(g). 当某行为可能混淆或掩盖一个客户或对家的身份时，任何持证人不得参与、辅助或在知情时允许虚拟货币的转移或传递。但是，本章节不应理解为要求持证人公开客户或对家的虚拟货币流动情况

(h). 作为反洗钱项目的一部分，各持证人需要维护一个客户识别项目

(1) 账户持有人的身份和验证。当开户或与客户建立服务关系时，各持证人必须要至少在合理和现实限度内验证客户的身份，记录可以验证身份的信息，包括姓名，地址，和其他辨识性信息，同时要对照财政部Office of Foreign Asset Control (“OFAC”)的特别指定人员列表（“SDNs”）。根据额外因素，可能会需要高级尽职调查，例如针对高风险客户、高交易量账户或曾被上报过可疑行为的账户。

(2) 涉及到外国主体的高级尽职调查。持证人维持非美国主体或非美国持证人的账户时，需要建立起高级尽职调查的政策、程序和控制手段，以检测洗钱，包括根据该账户的外国业务本质、业务类型和目的以及所在管辖区的反洗钱和监管制度而评估风险。

(3) 禁止外国空壳主体的账户。持证人禁止与在任何国家都没有实际存在的主体有任何关系

(4) 大额交易身份验证。各持证人对发起超过$3,000的账户必须进行身份验证。

(i). 各持证人需证明其有基于风险等级的政策、程序和实践用以在现实情况的最大限度内合乎OFAC的规章要求

(j). 各持证人须有合适的政策和程序以阻隔或拒绝违反联邦或州法律法规的，特定的或不被允许的交易

(k). 根据200.15(c)(3)被持证人指定的一个或多个个人，将负责反洗钱项目的日常运营，并至少：

(1) 关注反洗钱法律法规的变动，包括阿OFAC和SDN的更新，并相应更新反洗钱项目

(2) 维护本章节所规定的记录

(3) 在上报前审阅依据本章节需要上报的材料

(4) 依情况将事项反映给董事会、高管层或其他管理机关和外部律师

(5) 提供至少每年期的阶段性报告给董事会、高管层或其他合适的管理层

(6) 确保遵守相关的培训要求

200.16 网络安全项目

(a). 概述。各持证人需建立并维持一个有效的网络安全项目以保证持证人电子系统的可用性和功能性，同时保护这些系统和其他存储在这些系统内的敏感数据被不法访问、使用和篡改。网络安全项目应设计成具备以下五大核心功能：

(1) 至少要通过识别存储在持证人系统上的信息、这些信息的敏感度和这些信息由谁以何种方式在接触来识别内部和外部的网络风险

(2) 通过防御性基础设施和政策及程序的执行来保护持证人的电子系统和和其他存储在这些系统内的信息免受不法访问、使用和其恶意行为

(3) 检测系统入侵、数据泄露、越权访问系统或信息、恶意软件和其他网络安全事件

(4) 回应检测到的网络安全事件以减小任何负面影响；及

(5) 从网络安全事件中恢复并重建正常的运营和服务

(b). 政策。各持证要执行一个书面的网络安全政策，该政策要列明持证人保护电子系统和存储在其上的客户及对家的数据的方针和程序，该政策须经持证人董事会或其同等机关至少每年批准。网络安全政策要强调以下方面：

(1) 信息安全

(2) 数据管理和分类

(3) 访问控制

(4) 商业连续性和灾难恢复计划及资源

(5) 容量和性能计划

(6) 系统操作和可用性问题

(7) 系统和网络安全性

(8) 系统和应用程序开发和质量保证

(9) 物理安全和环境控制

(10) 客户数据安全

(11) 供应商和第三方服务提供商管理

(12) 监测和执行对持证人不直接控制的核心协议的修改，若适用；以及

(13) 事故回应

(c). 首席信息安全官。各持证人需指派一名合格的员工担任持证人的首席信息安全官（”CISO”）来负责监控和实践持证人的网络安全项目并执行其网络安全政策

(d). 汇报。各持证人至少每年需向Department提交由CISO准备的并已呈现给持证人董事会或其同等机关的报告，以评估持证人电子系统的可用性、功能性和完整性，鉴别持证人的相关网络风险，评估持证人的网络安全项目，提出修正其项目中不足的方案。

(e). 审计。各持证人的网络安全项目需至少包含下述审计功能。

(1) 渗透测试。各持证人需至少每年进行电子系统的渗透测试，至少每季度进行这些系统的漏洞评估

(2) 审计跟踪。各持证人需有审计跟踪系统以

i). 追踪和保存可以使得所有金融交易和记账得以完整准确的重现的数据

ii). 保护作为审计线索的存储的和保存的数据的完整真实性，以防修改或篡改

iii). 保护防修改或篡改的硬件的完整性，包括限制电子和物理访问，记录使得事件重现的物理访问

iv). 登录系统事件，至少包括系统或授权用户对审计跟踪系统的访问和修改，以及系统上的所有系统管理员功能；和

v). 依据本规定记录保存要求，保存作为审计跟踪一部分的记录的数据

(f). 申请安全性。各持证人的网络安全项目需至少包含书面程序，指导和合理制定的标准以确保各申请的安全性。所有这些程序、指导和标准需要至少每年被持证人的CISO审阅、评估和更新

(g). 人员和情报。各持证人需要：

(1) 雇佣足够的网络安全人员来管理持证人的网络安全风险及执行200.16(a)(1)-(5)中的网络安全核心功能

(2) 提供并要求网络安全员工参加常规的网络安全更新和训练

(3) 要求网络安全员工采取措施对变化着的网络安全问题和应对措施有所掌握

200.17 业务连续性和灾难修复

(a). 各持证人需建立并维持一份合理设计的业务连续性和灾难修复（”BCDR”）书面计划，以确保持证人业务在突发事件或其他对持证人正常业务造成破坏的活动时的可用性和功能性。BCDR计划最起码需要：

(1) 鉴别文件，数据，设备，基础设施，员工和持续运营持证人业务的合适性

(2) 指定负责执行BCDR计划各方面的人员

(3) 包含一份突发事件或其他对持证人正常业务造成破坏的活动时关键主体之间交流的佳话，包括员工，对家，监管层，数据和通信提供者，灾难恢复专家，和其他对文件和数据恢复以及重启运营所必要的人员

(4) 包括对备份设备、系统和基础设施以及替补人员和资源的安排步骤，一时的数据和文件得以及时恢复，被打断的正常业务活动得以合理范围内迅速恢复进行

(5) 包括对持证人运营和离线存储信息必要的文件和数据的备份或复制，该备份或复制需要有足够频率；及

(6) 鉴别对继续持证人业务必要的第三方

(b). 各持证人需要向所有相关员工发送一份BCDR计划及其任何修改，同时在不止一处更易访问的外场保存BCDR计划

(c). 各持证人需向所有负责执行BCDR计划的员工提供关于其角色和职责的相关培训

(d). 各持证人需立即告知主管人任何可能影响其监管下的义务或严重影响持证人、对家或市场的突发事件或其他对持证人正常业务造成破坏的活动

(e). BCDR计划需要至少每年被合格的独立内部人员或合格第三方检测，并相应修正。

200.18 广告和推广

(a). 各参与虚拟货币业务的持证人在未包含其姓名和“被纽约州Department of Financial Services批准进行虚拟货币业务活动”的图例情况下，不得对其产品、服务或活动面向纽约或纽约州居民打广告

(b). 各持证人对其广告和推广材料需要自其创造之日起保存至少七年，供主管人检查，包括但不限于纸媒，网络媒体（包括网站），收音机和电视广告，路演材料，简报和宣传册。各持证人需保存纸质版，网络广告和推广关键变化的网页截图，其广告和推广材料的音频视频节选，若适用。

(c). 在所有广告和推广材料中，各持证人需要遵守联邦和州法律法规的披露要求

(d). 在所有广告和推广材料中，各持证人和其他任何代表其的个人或单位，不得直接或暗示地作出任何虚假、带有误导性或欺骗性的表述或省略。

200.19 客户保护

(a). 重大风险披露。作为与客户建立关系的部分，在与客户或代表客户进行初次交易前，各持证人需以清楚、明确、可读的英语或其他客户主要使用的语言，披露所有与产品、服务和活动有关的重大风险，最起码要包括：

(1) 虚拟货币不是法定货币，没有政府支持，账户和余额不受Federal Deposit Insurance Corporation 和Securities Investor Protection Corporation保护

(2) 州、联邦和国际立法和监管的变化或行动可能对虚拟货币的使用，转移，交换和价值产生消极影响

(3) 虚拟货币交易可能不可逆，因此由于欺诈和意外而产生的交易损失可能也无法恢复

(4) 一些虚拟货币交易被认为记录在一个公开账本上，这未必和客户发起交易的日期和时间一致

(5) 虚拟货币的价值可能来源于市场参与者愿意以法币交换虚拟货币的持续意愿，这可能导致一旦某种虚拟货币的市场消失，该种虚拟货币价值的永久和完全灭失

(6) 没有保障一个现在接受虚拟货币作为支付手段的主体未来依然会接受

(7) 虚拟货币相较于法币的价格波动性和不可预测性可能导致短时间段内的巨大损失

(8) 虚拟货币的本质可能导致更多的欺诈和网络攻击风险

(9) 虚拟货币的本质意味着持证人所经历的任何技术困难都可能阻碍客户取得或使用其虚拟货币；及

(10) 任何由持证人维持的客户为受益人的债券或信托账户可能不足以覆盖客户的全部损失

(b). 概括性条款披露。当为新客户开户及与该客户或代表该客户进行初次交易之前，各持证人需要以清楚、明确、可读的英语或其他客户主要使用的语言，披露所有与其虚拟货币产品、服务和活动有关的条款，根据情况，最起码要包括以下方面：

(1) 客户在未授权虚拟货币交易中的责任

(2) 客户止付已授权的虚拟货币转移，及发起该止付指令的程序

(3) 在何种情况下，持证人可以在没有法院或政府指令的情况下，向第三方披露客户的账户信息

(4) 客户从持证人处获取定期账单和估值的权利

(5) 客户获得收据、交易票据或其他交易证据的权利

(6) 客户获得持证人变更规则或政策事前通知的权利

(7) 其他客户在开户时享有的惯常性披露

(c). 交易条款披露。在每项与或代表客户的虚拟货币交易前，各持证人需要向每位客户提供一份以清楚、明确、可读的英语或其他客户主要使用的语言的书面披露，包括交易条款和条件，根据情况，至少涵盖以下方面：

(1) 交易金额

(2) 由客户承担的任何费用、支出和收费，包括相应的兑换费率

(3) 虚拟货币交易的类型和性质

(4) 若适用，一个关于交易一旦开始不得撤销的警告；以及

(5) 其他根据交易性质惯常性给予客户的披露

(d). 披露承认。各持证人需确保本规定的所有披露已被客户收到。

(e). 收据。交易完成时，各持证人需向客户提供一份包含下列信息的收据：

(1) 持证人姓名和联系方式，包括持证人设立的用以答疑和接受投诉的电话号码

(2) 交易的类型，价值，日期和准确时间

(3) 收取的费用

(4) 兑换费率，若适用

(5) 持证人未交付或延迟交付的责任说明

(6) 持证人的退款政策；以及

(7) 其他主管人可能要求的额外信息

(f). 各持证人经Department要求，需要向其提供持证人在200.19(e) 下被要求向客户提供的收据

(g). 欺诈预防。持证人禁止参与欺诈活动。此外，各持证人需采取合理措施监测和预防欺诈，包括建立并维护一份书面的反欺诈政策。反欺诈政策应至少包含：

(1) 辨认和评估欺诈相关的风险领域

(2) 抵御监测到的风险的程序和控制措施

(3) 风险监测中的责任分配；以及

(4) 阶段性评估程序和反欺诈程序、控制和监测机制的修正

200.20 投诉

(a). 各持证人需要建立并维持可以公正及时解决投诉的书面政策和程序。

(b). 各持证人必须以清除明显的方式，在其网站上、实体地和其他主管人可能规定的地方，做下列披露：

(1) 持证人用以接收投诉的通信地址，电子邮件地址，电话号码

(2) 声明投诉人也可以将投诉到Department

(3) Department的通信地址，网站和电话号码；以及

(4) 其他主管人可能要求的信息

(c). 各持证人需要在其投诉政策或程序发生变化7日之内向主管人报告

200.21 过渡期间

已经从事虚拟货币业务活动的主体必须在本规定生效45日内依本规定申请许可证。直到其收到主管人通知其申请被拒绝之前，申请人将被视为遵循本规定的许可证要求；若申请被拒绝，申请人须立即停止在纽约州的运营及与纽约州居民的业务。任何未在本规定生效45日内依本规定提交许可证申请的参与虚拟货币业务活动的主体，将被认定为未经许可开展虚拟货币业务活动。

200.22 可分割性

若本规定中任何一条或其适用到某一主体或情形时被有裁量权的法院认定为无效，则该判决不影响或损害本规定其他条款或适用到其他主体或情形时的有效性。

翻译邮箱：[email protected]