注：本文未经金阁顿授权禁止转载，否则将视为侵权，我们将采取法律措施维护权益。

在上一篇文章中，我们已为大家系统介绍了新加坡数字代币服务提供商（DTSP）监管新规的出台背景、牌照准入标准以及申请费用等核心内容。本期我们将继续为大家解析MAS对DTSP牌照申请的审核流程、申请DTSP牌照所需资料清单及持牌人需履行的持续合规义务，为有意申请的企业提供全面参考与实操指引。

一、MAS对DTSP牌照申请的审核流程

1.初步审核和信息补充请求

MAS对DTSP牌照申请的审核流程始于指派案件官员并按要求完整提交所有信息和文件后。根据MAS收到的申请数量，MAS可能不会在收到申请后立即进行案件分配。案件分配完成后，案件官员将联系申请人，告知其后续必要步骤，其中可能包括首次会议。

案件官员将检查申请人提交的完整文件，这通常构成申请人将收到的首轮信息请求。案件官员还将对申请人的商业模式进行初步审核。在整个审核过程中，可能会有多轮信息和说明请求，具体取决于申请人提交回复的完整性。

申请人应始终确保申请符合DTSP牌照的准入标准，并包含申请DTSP牌照要求的必要信息，然后再提交申请。如果提交的材料被评估为严重不完整或存在重大缺陷，MAS保留拒绝申请的权利。申请人还应始终安排一名联系人跟进这些信息请求，并及时提供充分的回复。如果联系人有任何变更，申请人应及时通知MAS。

至关重要的是，申请人应主动、完整地向案件官员披露所有重要信息，不得有任何隐瞒。如果发现申请人故意混淆、隐瞒或延迟向MAS披露信息，且无正当理由，则将被视为存在重大缺陷。MAS提醒申请人必须采取合理谨慎的措施，确保向MAS提供的信息和文件不包含虚假或误导性内容。违反《2022年金融服务和市场法》（简称“FSM法”）第176(1)或176(3)条的个人可能构成犯罪，一经定罪，可处以罚款或监禁。

MAS通常会为申请人设定回复信息请求的截止日期。如果申请人未能在规定时间内回复，MAS将视为申请撤回。如果申请人需要更多时间准备回复，应提前告知案件官员。

申请人还必须在提供充分、全面的回复所需的时间与仓促回复以期加快审核速度之间取得平衡。未能提供令人满意且全面的回复将被视为申请存在缺陷，导致申请无法获得有利的审批。

2.面试

案件官员通常会安排与申请人的关键管理人员和/或合规官进行面试。申请人的所有代表都应认真对待与案件官员的互动。面试的目的是让申请人解释其计划如何管理业务和风险，以符合监管要求。顾问、外部法律顾问和其他第三方不得参加面试。这是因为即使申请人将任何职能外包，其仍有责任履行其监管义务。

若发生下列情形之一，案件官员可能据此合理判断申请人无法妥善履行其作为持牌实体的义务，包括但不限于：

● 无正当理由缺席面试；

● 面试期间无法清晰地回答问题；或

● 辱骂案件官员。

如果在面试后、申请结果公布前，申请内容发生重大变更，案件官员可能会安排与申请人进行额外面试。此类变更的例子包括申请人关键人员任命的任何变更，或申请人业务模式的任何变更。

3.MAS审核

案件官员将从“已获监管机构监督”的视角，对申请进行全面评估。申请者应以未来持牌者的标准自我要求，未展现此态度将导致评估为潜在重大缺陷，从而导致申请被拒绝。

4.暂缓审查的情形

如果申请提交后，申请中提供的信息有任何变更，应立即通知MAS。如果申请发生重大/重大变更，建议申请人考虑撤回申请，并在变更完成后重新申请，因为申请在此之前无法进行审核。

如果申请人发生重大公司重组、关键管理人员发生重大变动，或在审核过程中的任何时候，业务模式/活动发生重大变化，MAS有权将任何被评估为准备不足的申请暂缓六个月。虽然这些重大变动可能是申请人无法预见的，但暂缓期可以将资源从这些不完整的申请中转移出去，以确保对队列中所有其他准备就绪的申请人公平。【注：关于暂缓的申请，关键管理人员的重大变动主要指与首席执行官、首席财务官、首席风险官和首席合规官等关键高管职位相关的变动。然而，申请人还应评估并强调是否存在其他应根据其业务模式的关键性和汇报关系的重要性而被视为关键管理人员的职位变动。】

在此暂缓期间，申请人有责任确保及时解决/完成所有必要的变更，并在暂停期结束时向新加坡金融管理局（MAS）提供相关文件以供评估。默认暂缓期为六个月，不可延长。如果重大变更未在暂停期内完成，申请将被评估为未充分准备好接受审查，申请人应考虑撤回申请。

5.撤回申请

申请人有权随时撤回其申请。经新加坡金融管理局（MAS）审查后，如果申请人的根本问题无法在合理的时间内得到充分解决，或其申请被评估为存在重大缺陷，也可能被建议撤回申请。申请人应注意，如果案件官员做出了这样的评估，则案件官员将认定其他处于类似情况的申请人未获得批准。

MAS已采取强有力的控制措施，以确保案件官员进行公正、客观和可验证的评估。每份申请及其支持文件均由案件官员、主管人员以及审核和审批机构组成的团队进行严格审核。因此，申请人应认真对待审核流程及其结果。

如果申请人打算重新提交申请，则需要确保在提交申请之前已充分解决所有问题和缺陷。如果在未解决新加坡金融管理局（MAS）先前提出的问题的情况下重新提交申请，则可能导致申请被拒绝。

二、DTSP牌照申请所需资料

经评估符合准入标准的DTSP牌照申请人，需要了解DTSP牌照申请所需的信息。申请人应确保其完全符合准入标准，并确保申请材料完整、无错误和不一致之处，并附上必要证明文件。

1.拟议商业计划书所需信息

特别是，申请人拟议商业计划书应包含以下信息：

申请人应清晰描述其商业模式和计划，并以拟议管理团队的专业经验和专业知识为支撑，商业计划书应说明其遵守FSM法及其相关附属法规的情况，并包含以下信息：

● 服务所在司法管辖区，包括申请人已获准在当地经营，并接受其遵守相关国际公认标准（例如金融稳定理事会、国际证券事务监察委员会组织和金融行动特别工作组制定的标准）的监管的证据，这些标准由其提供数字代币服务的司法管辖区内的所有相关监管机构进行监管；

● 目标客户概况；

● 拟议产品和服务，申请人应明确说明其对交易流程每个阶段将开展哪种（些）数字代币服务的评估。如果申请人打算提供多种数字代币服务，则应针对每种数字代币服务分别进行评估；

● 尽管申请人在新加坡运营、成立或注册，但不打算在新加坡开展数字代币服务业务的原因；

● 详细的资金流计划和渠道，包括交易和/或流程图，如果存在多种产品或服务，或多种交易和/或流程，则应为每种流程提供一个图表，图表应：

o 描述一笔典型交易的始末，从申请人接受的资金来源（例如银行转账、现金、银行卡）开始，直到完全履行对客户的义务；

o 说明客户与申请人之间的互动以及资金流向；

o 注明时间表，包括与第三方的服务水平协议以及适用的支付和结算周期；

o 重点介绍其使用创新技术（例如使用或提供数字代币、分布式账本技术）或以不同于市场常见方式交付产品或服务的方式；

o 涵盖所有相关第三方（例如其他数字代币服务提供商、银行合作伙伴、中介机构和其他代理商），并展示他们在流程中的角色；

● 实施计划，包括业务/产品发布的预期时间表，以及将在其运营中发挥关键作用的系统、流程和第三方；

● 数字代币服务是否与申请人提供的任何其他产品或服务相关或捆绑销售；

● 简要描述申请人目前开展或计划开展的受新加坡金融管理局 (MAS) 监管的任何其他活动（例如财务咨询、证券交易等）；

● 简要描述申请人目前开展或计划开展的任何豁免和不受监管的活动；

● 对于属于全球数字代币服务集团的申请人，应说明：

o 申请人在集团内的角色，包括其将获得和/或向集团内关联公司（如有）提供的职能或服务，如有，申请人应提供其在新加坡运营的其他关联公司资源水平（包括员工人数和投入时间）的估计；

o 确认其所有实体均已获得充分许可/注册，并提供每个实体的许可/注册详情，申请人应提供其许可证/注册证明的副本，或监管机构网站上的许可/注册状态信息，申请人应披露其任何实体是否曾涉及任何监管执法行动/调查；

● 对其计划支持或提供的所有数字代币及数字代币服务（例如交易平台、托管）进行全面风险评估，包括其代币上市治理流程，申请人应提供其支持的数字代币的完整列表，并表明其对代币在新加坡金融管理局 (MAS) 监管框架下的性质评估（例如，是证券型代币还是支付型代币）；

● 提供其消费者访问措施和商业行为措施的信息，以维护对新加坡客户数字代币的访问和操作控制，包括每日对客户账户进行核对并向客户提供月度账户报表，风险管理控制（控制客户资产的流动），以及向客户披露信息。

2.法律意见

申请人须就其拟定商业模式所提供的受监管数字代币服务，提供由信誉良好的律师事务所出具的法律意见，法律意见应包含（但不限于）以下内容：

● 清晰简明地概述申请人的商业模式，以及申请人拟提供的每项服务和产品（包括资产/资金流向以及每项服务/产品所涉及的各方，如适用）；

● 评估拟定服务或产品是否属于FSM法规定的受监管数字代币服务，评估应包括对每项受监管数字代币服务是否适用于每项拟定服务或产品的详细全面分析，评估还应考虑所有相关法律法规、通知、指南、通函和常见问题解答；

● 如果任何拟定服务或产品被评估为可豁免或排除在监管范围之外，则需详细说明相关豁免或排除条款的适用情况；

● 声明该法律意见书将提交给新加坡金融管理局（MAS）审阅。

新牌照申请的法律意见

申请DTSP牌照的新申请人需随申请提交一家信誉良好的律师事务所出具的法律意见。法律意见书应清晰简明地概述申请人的商业模式，并评估申请人拟提供的服务和/或产品是否属于FSM法规定的受监管的数字代币服务。

在任何情况下，如果初步法律意见书不明确，MAS保留要求第二份法律意见书的权利。

3.合规、风险管理、系统和控制所需信息

（1）技术风险管理

申请人应制定其技术风险评估和管理框架，并采取措施保护客户数据、交易和系统，这些措施应与所提供的金融服务以及支持此类服务的技术的风险和复杂程度相称。申请人应参考《技术风险管理通知》[FSM-N30]、《网络卫生通知》[FSM-N31]以及《风险管理实践指南——技术风险》，以获取有关IT风险管理原则和监管期望的指导。

（2）合规与审计

申请人应提供与拟议业务模式性质相符的以下信息和文件：

● 反洗钱/反恐怖融资政策和程序，证明其符合新加坡金融管理局（MAS）通知FSM-N27以及相关的定向金融制裁要求，这应包括评估和维护对代理商和第三方合作伙伴（本地和海外）监管的框架；

● 企业范围的洗钱/恐怖主义融资/扩散融资风险评估（EWRA），申请人还应在EWRA中纳入逃税风险评估；

● 反洗钱/反恐怖融资治理、升级和报告安排，这应包括独资经营者、合伙人、经理或董事、首席执行官及其他高级管理人员参与监督和解决持牌人业务过程中可能出现的反洗钱/反恐怖融资问题的详细信息；

● 合规管理安排的实施计划，包括已实施的流程和将要使用的系统；

● 合规官的姓名和简历（CV），包括任何正式合规认证的详细信息，例如ACAMS、IBF认证；

● 合规职能的人员安排和报告路线（如果尚未作为组织结构图的一部分提供），这应包括所有外包合规职能的详细信息，包括外包提供商和团队所在地、申请人与外包提供商（例如供应商、母公司）的关系、外包提供商的许可/注册状态以及监督安排；

● 内部和外部审计安排。

4.股权结构图

● 申请人应提供完整的股权结构图（直至最终控制人，控制人为自然人）。

● 如果申请人没有任何20%的控股控制人，则申请人必须提供书面确认。

5.外部审计师的独立评估

获得原则上批准（IPA）后，申请人须委任一位合格的独立外部审计师，对其在技术和网络安全风险方面的政策、程序和控制措施进行独立评估。【此要求作为IPA条件列明】

A. 技术与网络安全风险：（申请人获得原则性批准后必须提交）

（1）被任命进行技术与网络安全风险独立评估的外部审计师的标准

申请人任命的进行独立评估的外部审计师应符合以下标准：

①外部审计师及其主要项目合伙人/项目负责人的资格、资历和业绩记录，最低要求为：

a.外部审计师应为根据《2004年会计师法》获批准或视为获批准为会计公司、会计师事务所或会计有限责任合伙企业的公司、事务所或有限责任合伙企业；

b.外部审计师及其主要项目合伙人/项目负责人（项目负责人应具有足够的资历，并在技术和网络安全风险（技术风险）领域拥有丰富的经验和专业知识，申请人有责任确保其委任一名具备适当资格的独立外部审计师，对其技术风险政策、程序和控制措施进行独立评估）必须：

● 至少根据新加坡金融管理局（MAS）规定对受MAS监管或授权的金融机构进行过一份法定审计的报告；或

● 至少一次对受MAS监管或授权的金融机构进行技术和网络安全风险领域的独立审查/评估；

②独立性，最低要求：

a.外部审计师应独立于申请人、其集团或集团公司；

b.在为申请人提供独立评估服务时，外部审计师必须确保在聘用结束前，其与申请人、其集团或集团公司的持续业务关系中不存在任何利益冲突。

（2）评估范围

以下列出了独立外部审计师需要评估的技术和网络安全风险领域，这些领域将作为原则性批准 (IPA) 的条件。

I.网络卫生（Cyber Hygiene）

a.考虑申请人拟定的商业模式、产品、服务、资金流和交付渠道：

i.识别与新加坡金融管理局 (MAS) 通知FSM-N31网络卫生中规定的相关监管要求之间的任何差距；以及

ii.重点指出需要改进以降低网络卫生风险的任何领域。

II.数据泄露防护（Data Loss Prevention）

a.审查和评估申请人拟定的以下领域数据泄露防护的IPPC：

i.在数据传输与存储过程中对敏感数据（包括客户数据）的保护；

ii.检测和防止未经授权访问或泄露（包括通信、传输和存储）敏感数据（包括客户信息）；以及

iii.托管钱包的加密密钥保护；

b.考虑申请人拟定的商业模式、产品、服务、资金流和交付渠道：

i.识别与适用技术风险管理监管要求之间的任何差距，包括但不限于新加坡金融管理局 (MAS) 通知FSM-N30关于技术风险管理的通知和《技术风险管理指南》第11条；以及

ii.重点指出为降低其拟定商业模式带来的技术风险而需要改进的任何领域。

III.渗透测试（Penetration Testing）

a.审查并评估申请人拟定的渗透测试系统IPPC，包括：

i.渗透测试的频率，该频率应根据系统关键性以及系统面临的网络风险等因素确定，对于可直接从互联网访问的系统，申请人应至少每年进行一次渗透测试，以验证安全控制措施的充分性，或在系统发生重大变更或更新时进行；以及

ii.服务水平协议（SLA），用于纠正与相关风险水平相符的渗透测试结果；

b.审查并评估过去12个月内对申请人拟定的在线金融服务进行的渗透测试是否相关且足以识别关键安全漏洞；

c.结合申请人拟定的业务模式、产品、服务、资金流和交付渠道：

i.识别与适用的技术风险管理监管要求（包括但不限于《技术风险管理指南》第13.2条）存在的任何差距；以及

ii.重点介绍其拟议商业模式带来的技术风险，并指出需要改进的地方。

IV.数字钱包和智能合约（Digital Wallet and Smart Contracts）

a.审查申请人拟议的IPPC，并评估拟议的IPPC是否包含与申请人拟议商业模式、产品、服务、资金流和交付渠道相匹配的以下控制措施：

i.在其拟议系统和智能合约（如适用）的整个系统开发生命周期中，遵守安全设计原则（包括适当的访问控制、全面的测试、定期更新至稳定版本、静态和动态代码分析）；

ii.智能合约的开发，包括通过安全开发、DevSecOps和测试确保智能合约免受网络威胁和漏洞侵害的控制措施，以防止未经授权的访问、数据泄露和利用安全漏洞；

iii.确保关键系统高可用性的控制措施，以及系统恢复和业务恢复优先级（包括根本原因和影响分析），以确保此类系统的快速恢复策略；

iv.采用多方计算和门限签名方案等技术来保障托管钱包的安全；

v.在托管钱包系统与其他信息系统/互联网之间实施网络隔离，以防止未经授权的连接；以及

vi.隔离托管钱包的加密密钥组件，以确保任何个人或系统在任何时候都无法访问完整的密钥（即遵循“永不单独”的原则，要求至少两名授权人员协调和批准密钥管理操作）。

三、DTSP牌照持牌人的持续要求

持牌人须持续遵守《2022年金融服务和市场法》及其他相关法规规定的所有适用要求。持牌人应制定流程、系统、政策和程序，以确保履行所有持续义务，包括在必要时向新加坡金融管理局 (MAS) 提交申请和通知。以下是部分要求的简要摘要，但是此列表并非详尽无遗，持牌人应随时关注监管动态，并可参考MAS官网获取最新要求。

1.反洗钱和打击恐怖主义融资（AML/CFT）要求

持牌人必须遵守《金融服务和市场条例》（包括定向金融制裁法规）、《2002年恐怖主义（制止融资）法》、《1992年腐败、贩毒和其他严重犯罪（没收利益）法》、《关于防止洗钱和打击恐怖主义融资的通知》[FSM-N27]以及《关于报告可疑活动和欺诈事件的通知》[FSM-N28]中规定的反洗钱和打击恐怖主义融资要求。持牌人还应参考《FSM-N27通知指南》，以获取有关其反洗钱和打击恐怖主义融资要求的指导。

2.定期申报

持牌人必须根据FSM条例，就其数字代币活动定期提交监管申报，相关要求载于《监管申报表提交通知》[FSM-N29]：

https://www.mas.gov.sg/regulation/notices/fsm-n29-regulatory-returns。

3.网络卫生

持牌人必须遵守《网络卫生通知》[FSM-N31]：

https://www.mas.gov.sg/regulation/notices/fsm-n31-cyber-hygiene中规定的网络卫生要求，并采取适当的保护措施来保护客户信息。

4.技术风险管理

持牌人必须遵守《技术风险管理通知》[FSM-N30]：

https://www.mas.gov.sg/regulation/notices/fsm-n30-trm，并参阅《风险管理实践指南-技术风险》，以获取有关技术风险管理要求的指导。

5.商业行为

持牌人必须遵守FSM法、FSM条例和《业务行为通知》[FSM-N32]（https://www.mas.gov.sg/regulation/notices/fsm-n32-conduct）中的商业行为要求。这些义务包括记录交易、开具收据、显示汇率和费用以及告知正常营业时间。

持牌人还必须确保遵守所有禁止和限制规定，包括禁止的商业活动。

6.信息披露与沟通

持牌人必须准确陈述其牌照范围，并在适用其业务的情况下，提供《信息披露与沟通通知》[FSM-N33]：

https://www.mas.gov.sg/regulation/notices/fsm-n33-disclosures-and-communications中规定的信息披露。

持牌人还应确保客户及时收到任何重大信息披露变更的更新信息。

7.年度审计要求

持牌人必须每年任命一名审计师，对其账目和交易进行审计，并检查其是否遵守相关法规和要求。

持牌人必须确保审计师以表格3的形式向新加坡金融管理局（MAS）提交报告，表格3可从MAS官网获取：

https://www.mas.gov.sg/regulation/forms-and-templates/form-3---audit-report-for-dtsp

如果您想了解关于新加坡数字代币服务牌照的内容，您可以查看：

【新加坡数字代币服务牌照】（一）新加坡加密货币监管框架及监管政策（含加密货币税收政策）

【新加坡数字代币服务牌照】(二)数字支付代币（DPT）服务及牌照申请

【新加坡数字代币服务牌照】(三）2025新加坡加密货币监管前景和趋势 

如果您计划在新加坡注册公司、设立家族办公室、配置保险、设立信托、申请金融牌照、支付牌照，或探索其他资产管理与财富规划服务，您可以扫描下方二维码咨询金阁顿专业顾问团队。金阁顿(GolddenGroup)成立于花园城市新加坡，专业服务高净值家族和专业金融机构。主打业务有新加坡家族办公室/家族基金设立，私募基金（VCC及子基金）备案，PPLI，境外资产管理，新加坡移民，和境外保单，是您新加坡一站式的家族管家。金阁顿，为您的下一代继续服务。