持幣即需實名？香港穩定幣 KYC 義務的真實邊界

（來源：吳説）

作者｜BlockSec

最近關於香港穩定幣監管的討論愈發熱烈。 網絡上出現了不少解讀，認為 「穩定幣持有者都需要實名認證（KYC）」，這引發了廣泛爭議：

「鏈上轉賬都要 KYC，還怎麼去中心化？」  

「監管是不是太保守，不利於金融創新？」

這些聲音不無道理，但是否真的準確反映了香港金管局（HKMA）的監管意圖？我們深入研讀了兩份關鍵文件——《穩定幣發行人監督指引》和《反洗錢與反恐融資指引》后，得出了一個更具技術細節和法律邊界的答案：

???? 不是所有持幣人都要 KYC，前提是發行商能證明其風控機制足夠有效。

本文將從客户 vs 非客户、Primary vs Secondary Market 的劃分出發，梳理穩定幣 KYC 的適用邏輯，闡明監管的真正底線，並提供對項目方和合規團隊都適用的判斷框架。

誰是客户，誰不是客户？

首先我們要明確：在 HKMA 的監管框架中，「穩定幣持有者」 並不等同於 「穩定幣發行商的客户」。

根據《反洗錢與反恐融資指引》第 4 章的定義，只有當用户直接向發行商請求發行或贖回穩定幣，或者建立了業務關係時，纔會被視為 「客户」（customer stablecoin holder），這部分人需要嚴格執行 KYC/KYB 流程。

而在鏈上接收、轉賬、交易穩定幣，但從未直接與發行商交互的用户（例如通過 DEX 買入或錢包之間轉賬獲得穩定幣的用户），則被歸類為 「非客户穩定幣持有人」（non-customer stablecoin holders），原則上不需要 KYC。

如下圖所示，只有在 Primary Market 中的機構用户才被視為客户（customer），而 Secondary Market 中的參與方並不是 HKMA 監管框架中定義的客户。

然而，這並不意味着他們就完全脱離了監管視野。指引第 5 章明確指出：發行商對所有流通中的穩定幣都負有持續監控的義務，包括客户和非客户所持有的部分。

KYC 不是唯一方式，但它是監管底線

許多引發誤解的解讀，往往忽略了 HKMA 設置的一個重要前提：

???? 「非客户穩定幣持有人可以不做 KYC，但前提是發行人必須建立起有效的鏈上風控機制，並能向監管機構證明其足以防範洗錢和恐怖融資風險。」

換句話説，KYC 不是唯一的手段，但它是最后的底線。  

如果發行人採用了諸如區塊鏈分析工具、地址黑名單、交易風險評分、錢包畫像與凍結機制 (5.10) 等方式來監控幣的流向和用途，並且能夠讓 HKMA「滿意」（to the HKMA’s satisfaction - 5.11），那麼這些技術性風控措施可以作為替代，不必強制對所有持幣人逐一 KYC。

但如果做不到這一點，或者這些措施在實際中被證明不足以防範風險，那監管預期就會自動回退到最保守選項——對所有持幣人執行身份識別，不論其是否為客户。這里需要注意，即使需要對持幣人做 KYC，穩定幣發行商可以將進行 KYC 的流程交給 VASP 和可信第三方進行。

對於發行商，是一道 「二選一」 的選擇題

對穩定幣發行商來説，這其實是一個 「二選一」 的合規抉擇：

 • 要麼建立一整套覆蓋全鏈的風險監控系統，包括實時地址畫像、可疑交易識別、黑名單攔截、凍結機制與 STR 報送流程；

 • 要麼接受一個更直接但代價高昂的方案：對所有持幣人做 KYC，哪怕他們只是在鏈上收到了一筆穩定幣。

從監管角度看，這種設計其實並不保守，而是將技術能力與監管義務掛鉤：你可以不實名每一位用户，但你必須有本事控制風險。否則，就得回到最原始的辦法——做 KYC。

這也是本文希望釐清的重點：  

「穩定幣持有人是否需要 KYC」：不是一個可以一刀切的問題，而是取決於發行商的風控能力是否值得信任。

結語：監管明確了，技術該交卷了

穩定幣的監管不是在封鎖技術，而是在設立一條清晰的紅線：  

你可以選擇技術方案去替代實名，但你不能迴避風險控制的責任。

對發行商來説，最關鍵的問題不是 「要不要做 KYC」，而是——有沒有能力讓 HKMA 相信你可以不做。

在 「同樣活動、同樣風險、同樣監管」 的原則下，穩定幣作為一種準支付工具，正走向與傳統金融相同的合規要求。對 Web3 項目而言，這不是終點，而是新的起點：監管明確了，技術該交卷了。

最后給出一個速覽表，方便對監管要求進行快速查詢。