原创作者:邵嘉碘律师
最近两年,问加密支付的客户越来越多。
有做跨境电商收款的,有做稳定币结算的,有做 U 卡的,有做商户收单的,有做 Web3 钱包内置支付的,也有传统支付公司想把原来的法币收付款业务,慢慢接到稳定币、交易所账户或者链上结算网络里。
大部分人一上来都会问同一个问题:
“邵律师,我们应该先拿哪个牌照?”
这个问题当然重要。做支付业务,不管是传统支付还是加密支付,都不可能绕开牌照。美国 MSB(Money Services Business,货币服务业务登记,严格说是联邦层面的注册登记而不是传统意义上的牌照)、州 MTL(Money Transmitter License,货币传输牌照)、香港 MSO(Money Service Operator,金钱服务经营者)、新加坡 MPI(Major Payment Institution,主要支付机构牌照)、DPT(Digital Payment Token,数字支付代币)服务许可、欧洲 MiCA 下的 CASP(Crypto\-Asset Service Provider,加密资产服务提供商),这些都可能成为项目必须面对的监管入口。
但实务里我越来越强烈地感受到一件事:
牌照只是第一件事,第二件事才真正决定项目能不能跑起来。
这第二件事,不是找银行,不是找通道,也不是赶紧上线 App。
而是设计一套能被银行、支付机构、交易所、链上风控服务商、监管机构以及项目内部团队共同理解和执行的业务闭环。
牌照是入场券,闭环才是运营能力。
加密支付项目最常见的误区,是以为牌照可以解决一切
很多项目方对牌照有一种近乎朴素的信仰。完成美国 MSB 登记,就觉得可以面向全球客户做稳定币收付款;拿到香港 MSO,就觉得可以顺手把 USDT、USDC 接进来;看到某个国家 VASP 申请成本低,就以为可以用它承接所有加密支付业务;听说某地 EMI 或 PI 可以做电子货币和支付,就觉得它也自然可以覆盖链上稳定币结算。
这种理解很危险。
牌照解决的是“你有没有资格站到牌桌边”的问题,不解决“你具体能不能做这门业务”的问题。
同样叫支付,业务差异可能非常大。
你是帮客户做法币汇款,还是帮客户完成稳定币兑换?你是提供商户收款工具,还是做跨境结算网络?你是只提供技术接口,还是实际经手客户资金?你是只展示第三方页面,还是参与报价、撮合、清算、结算?你是让客户自己把币转给商户,还是平台代收、代付、代兑?
每一个细节的变化,都会导致牌照、反洗钱、制裁合规、客户资金保护、合同责任和税务风险发生变化。
比如香港 MSO 本身主要对应金钱兑换和汇款服务,并不当然覆盖虚拟资产交易、兑换、托管或稳定币相关活动;美国 MSB 登记也不等于完成美国所有州层面的货币传输牌照要求;欧洲 MiCA 下的 CASP 监管,也不能简单替代传统支付、电子货币或银行账户合作所涉及的监管安排。
所以,加密支付项目最危险的状态,不是没有牌照,而是拿了一个牌照之后,以为自己什么都能做。
有些牌照确实可以让项目获得监管身份,有些牌照也确实有利于开户、融资、商务合作和对外宣传。但牌照本身不会自动帮你回答银行和合作方最关心的问题:客户是谁?钱从哪里来?币从哪里来?交易目的是什么?最终结算给谁?平台在中间到底扮演什么角色?
如果这些问题回答不清楚,牌照越多,反而越容易暴露业务设计的混乱。
第二件事不是找银行,而是把业务链路说清楚
很多项目方会说,牌照之后第二件事当然是找银行。
这话只说对了一半。
银行当然重要。没有银行账户,没有法币入金,没有商户结算账户,很多支付业务根本跑不起来。但问题是,银行不是凭感觉接项目,银行要看的是你这套业务能不能解释清楚、能不能持续风控、出了问题能不能追责。
如果业务链路本身没有设计好,找再多银行也只是重复碰壁。
真正应该先做的,是把业务链路拆开。
第一层,是客户链路。
项目到底服务谁?是个人用户,还是企业客户?是跨境电商、游戏商户、广告联盟、自由职业者,还是 Web3 项目方?客户来自哪些国家和地区?有没有美国人、欧盟居民、中国大陆用户?有没有高风险地区用户?有没有受制裁、赌博、诈骗、成人内容、地下钱庄、虚假贸易等高风险行业?
客户是谁,决定了 KYC(Know Your Customer,了解你的客户)的深度,也决定了业务的风险底色。
第二层,是资金链路。
法币从哪里进来,进入谁的账户,是客户资金、商户结算款,还是平台自有资金?平台是否持有客户资金?是否形成资金池?是否进行代收代付?是否涉及跨境汇兑?是否需要通过银行、EMI、支付机构、收单机构、汇款机构或其他持牌主体完成资金转移?
资金流不清楚,银行不会放心。
第三层,是币流链路。
稳定币从哪里来?是客户自己链上转入,还是平台帮助客户购买?平台是否报价?是否撮合?是否托管?是否经手私钥?是否控制链上地址?是否使用第三方交易所、OTC、流动性提供方或托管机构?
在加密支付里,币流比资金流更容易被忽视。但监管和合作方现在都在问同一个问题:这枚币为什么可以收?这笔链上交易有没有污染?地址有没有接触过混币器、诈骗地址、暗网市场、赌博平台或制裁名单?
第四层,是结算链路。
商户到底收到什么?收到法币,还是稳定币?如果商户收到法币,中间谁完成了加密资产到法币的兑换?如果商户收到稳定币,商户自己是否具备接收和处理稳定币的能力?如果客户付款和商户收款币种不一致,中间汇率、滑点、手续费、退款和拒付由谁承担?
这一层如果不清楚,纠纷会非常多。
第五层,是责任链路。
客户资金或账户被冻了怎么办?商户被投诉怎么办?链上地址被 KYT(Know Your Transaction,链上交易监测)标记为高风险怎么办?交易完成后发现资金来源可疑怎么办?监管或执法机关来函要求冻结、披露、协查,谁来处理?第三方通道中断,谁承担对客户和商户的责任?
支付业务不怕复杂,怕的是复杂之后没有责任边界。
为什么很多项目不是死在牌照,而是死在闭环
这几年我看过不少加密支付项目,最后真正卡住的地方,往往不是“有没有一个牌照”。
更多时候,是项目方拿着一个看起来还不错的监管身份、一个看起来也能跑的产品、一个看起来已经接好的技术通道,但一到银行开户、通道尽调、合作方审核、投资人尽调或者监管沟通环节,整个故事就讲不下去了。
这些尽调不会停留在“你有没有牌照”这个层面,而会继续往下拆。
如果项目说自己只是技术服务商,合作方通常会进一步看:客户的资金和稳定币是否经过平台控制的账户或钱包,平台是否参与交易路径选择,是否决定交易放行,是否承担到账承诺,是否对商户作出结算承诺。
如果项目说自己不做兑换,合作方通常会继续看:客户付款资产与商户收款资产是否一致,中间是否发生币币兑换、币法兑换或汇率转换,报价由谁提供,价差由谁取得,滑点和退款由谁承担。
如果项目说自己只是连接第三方持牌机构,尽调也不会到此结束。合作方会继续看:客户关系到底建立在谁名下,KYC 和 KYT 由谁完成,交易资料由谁保存,异常交易由谁处理,第三方服务失败时由谁向客户和商户负责。
如果项目使用交易所、OTC、流动性提供方或托管机构完成某些环节,还会继续涉及企业账户用途、交易背景材料、订单和发票留存、链上地址筛查、商户真实性审核、制裁名单筛查等一系列问题。
这就是很多项目的真实困境。
PPT 上写的是 PayFi(Payment Finance,支付金融)、Crypto Payment(加密支付)、Stablecoin Settlement(稳定币结算)、Global Merchant Acquiring(全球商户收单),听起来很先进。但一进入尽调,问题会变得非常具体:每一笔钱、每一枚币、每一个客户、每一个商户,能不能解释?
支付业务从来不是“把价值从 A 搬到 B”这么简单。真正的支付业务,是在每一次价值转移之前,先回答清楚:为什么可以转、谁有权转、风险由谁承担、出了问题找谁。
这就是闭环的重要性。
加密支付的合规闭环,至少要回答七个问题
一套能跑起来的加密支付闭环,至少要回答七个问题。谁是客户?谁是商户?谁在收钱?谁在收币?谁在兑换?谁在托管?谁承担 AML(Anti\-Money Laundering,反洗钱)、制裁筛查、退款、冻结、拒付、误转、链上资产污染和监管问询责任?
这七个问题看似简单,但足以把大部分加密支付项目问出原形。
比如,一个项目说自己只是做“稳定币支付聚合”。那就要继续看:聚合的是什么?是聚合支付通道,还是聚合兑换流动性?客户在你这里下单,还是直接跳转第三方?你有没有参与报价?有没有控制交易路径?有没有接收客户资产?有没有向商户承诺到账时间和到账金额?
再比如,一个项目说自己不碰客户资金。那就要看实际链路:客户是不是把钱打到平台控制的账户?客户是不是把稳定币转到平台控制的钱包?平台是否有权决定释放、冻结、退回或转付?如果有,这就不是一句“不碰资金”可以解释过去的。
再比如,一个项目说自己使用第三方持牌机构完成兑换和结算。那也要看:第三方是谁?第三方牌照覆盖哪些地区和业务?客户关系在谁名下?KYC 谁做?交易资料谁保存?异常交易谁上报?客户投诉谁处理?第三方页面和平台页面之间有没有清晰的责任切割和风险提示?
加密支付不是单点合规,而是链路合规。
单独看,项目可能有牌照、有银行、有技术、有协议、有 KYT 工具。但如果这些东西没有被放进同一套业务闭环里,就会出现一个很尴尬的局面:每个零件看起来都有,但车就是跑不稳。
律师真正要做的,不是只帮客户找一个便宜牌照
很多项目早期找律师,最喜欢问的是:“哪里牌照最便宜?哪里最快?哪里监管最松?”
这个问题可以问,但不能只问这个。
便宜的牌照未必能支撑真实业务,最快的路径未必能撑过银行尽调,监管看起来宽松的地方也未必能获得主流合作方认可。更现实的是,加密支付项目往往不是一个牌照就能解决,而是不同主体、不同牌照、不同合作方、不同业务边界组合出来的结果。
律师在这里的价值,不只是告诉项目方去哪里申请牌照,而是帮项目方把业务拆成监管能理解、合作方能接受、团队能执行的结构。
具体来说,要做的事情至少包括:
设计主体架构,明确哪个主体负责客户签约,哪个主体负责技术服务,哪个主体负责支付服务,哪个主体对接交易所、银行或流动性提供方。
设计牌照路径,判断哪些业务必须自持牌照,哪些业务可以通过持牌合作方完成,哪些业务现阶段不能做,哪些业务可以作为未来升级预留。
设计资金流和币流,把每一笔法币和稳定币的进出路径画清楚,避免业务实际已经构成代收代付、无牌汇款、无牌兑换、无牌托管或无牌虚拟资产服务,但项目方自己还以为只是“技术服务”。
设计 KYC、KYT、AML 和制裁筛查规则,让一线运营团队知道哪些客户可以进,哪些客户要增强尽调,哪些交易必须拦截,哪些情形需要冻结、拒绝、上报或终止服务。
设计合同体系,把用户协议、商户协议、通道协议、流动性协议、风险披露、第三方服务声明、异常交易处理规则和免责边界做成一套,而不是随便从网上拼几份模板。
设计对外表达,让官网、白皮书、App 页面、销售话术、商务 PPT 和实际业务保持一致。很多项目不是死在业务本身,而是死在“对外说得太满,内部做不到,监管一看就有问题”。
好的加密支付合规方案,不是把项目管死,而是让项目知道哪些地方可以做,哪些地方不能做,哪些地方现在不能做但以后可以预留。
牌照之后,项目要从“能不能做”进入“怎么做才不翻车”
加密支付未来一定会继续发展。
稳定币正在进入更主流的支付和结算场景,银行、支付机构、发卡组织、交易所、钱包、商户服务商都在重新评估自己的位置。对项目方来说,这当然是机会。但机会越大,监管和合作方的要求也会越具体。
过去很多人做加密业务,喜欢讲概念、讲流量、讲技术、讲全球化。现在不一样了。现在银行会看你的资金流,监管会看你的牌照边界,合作方会看你的责任划分,投资人会看你的可持续合规成本,客户会问出了问题谁负责。
所以,做加密支付,第一件事当然是牌照。
但第二件事,绝对不是急着找银行,也不是急着接通道,更不是急着上线。
第二件事,是把整个业务做成一个闭环。
这个闭环至少要做到:业务说得清楚,链路画得出来,风险识别得到,责任分得明白,合同接得上,团队执行得了,合作方看得懂,监管问起来答得出。
如果做不到这一点,牌照只是墙上的证书。如果做得到这一点,牌照才会真正变成业务的起点。
加密支付项目真正的竞争力,不是谁先拿到一个便宜牌照,而是谁先把牌照、银行、通道、链上风控、客户准入、合同责任和运营纪律拼成一套可以长期运转的系统。
