Cách để「Công ty thanh toán bằng stablecoin」 hoạt động hợp pháp và tuân thủ quy định tại Singapore: Một danh sách kiểm tra thực tế dành cho nhà sáng lập

Viết bài: Luật sư Dương Quỳ

Stablecoin đang ngày càng được nhiều doanh nghiệp sử dụng để thanh toán, chuyển tiền xuyên biên giới, quản lý vốn và thanh toán B2B. Nhưng tại Singapore, 「sử dụng stablecoin để thanh toán」 thường không chỉ là vấn đề sản phẩm đơn thuần, mà còn là một dự án tổng hợp về giới hạn quản lý + AML/CFT chống rửa tiền + quản lý rủi ro công nghệ.

Bài viết này theo cách 「doanh nhân có thể thực thi」, trình bày rõ ràng các con đường cốt lõi: trước tiên bạn phải làm rõ mô hình kinh doanh, sau đó xây dựng hệ thống giấy phép và tuân thủ, từ đó giảm thiểu rủi ro vi phạm pháp luật và chi phí chỉnh sửa sau này.

Lưu ý: Bài viết này mang tính chia sẻ thông tin chung, không cấu thành ý kiến pháp lý. Kết luận cuối cùng về tuân thủ phụ thuộc vào quy trình giao dịch, loại khách hàng, luồng vốn / token và phương thức kiểm soát.

一、先做最重要的一步：把你的业务 「画出来」

Trước khi bàn về các bước thực thi cụ thể, hãy để người phụ trách kinh doanh viết một trang sơ đồ luồng vốn / token (Flow), ít nhất trả lời các câu hỏi sau:

Khách hàng của bạn là ai: cá nhân / thương nhân / doanh nghiệp trong lĩnh vực hoặc ngành nghề nào?

Bạn có giữ hoặc kiểm soát stablecoin của khách hàng không (ủy thác, kiểm soát khóa riêng, quyền đa ký)?

Bạn có thực hiện đổi tiền pháp định ↔ stablecoin hoặc stablecoin ↔ stablecoin không?

Bạn có thúc đẩy chuyển khoản (A chuyển cho B, thu tiền từ thương nhân, thanh toán doanh nghiệp) không?

Khách hàng ở Singapore hay ở nước ngoài? Bạn có 「cung cấp dịch vụ tại Singapore cho khách hàng quốc tế」 không?

Bạn là nhà phát hành stablecoin hay chỉ sử dụng stablecoin của bên thứ ba (ví dụ USDC/USDT) thôi?

Trang sơ đồ luồng này quyết định bạn sẽ kích hoạt các hoạt động quản lý nào, cũng như hệ thống tuân thủ cần thiết.

二、牌照判断：多数稳定币支付会落在 PSA 框架内（可能还涉及 FSMA）

Tại Singapore, hoạt động thanh toán bằng stablecoin thường nằm trong phạm vi quản lý của 「Luật Dịch vụ Thanh toán」 (PSA), đặc biệt liên quan đến các hoạt động dịch vụ Token thanh toán số (DPT) như chuyển tiền, đổi tiền, ủy thác giữ hộ. Ngoài ra, nếu bạn cung cấp dịch vụ token số từ Singapore ra nước ngoài, còn có thể kích hoạt các yêu cầu liên quan theo FSMA.

Các mô hình kinh doanh phổ biến và 「các điểm có thể kích hoạt quản lý」

Thu tiền từ thương nhân + thanh toán / thanh toán bằng stablecoin: thường sẽ kích hoạt dịch vụ liên quan đến DPT; nếu liên quan đến chấp nhận thanh toán, chuyển khoản, chuyển tiền xuyên biên giới, còn có thể cộng thêm các loại dịch vụ thanh toán PSA khác.

Ví / Ủy thác giữ hộ (bạn kiểm soát token của khách hàng): thường được xem là một trong các điểm rủi ro cao (đặc biệt khi bạn kiểm soát khóa riêng hoặc quyền chuyển tiền).

OTC / Đổi tiền / Giao dịch ghép nối: thường kích hoạt dịch vụ liên quan đến DPT.

Phát hành stablecoin của riêng bạn: cách kích hoạt để đưa vào 「khung quản lý nhà phát hành」, mức độ tuân thủ cao hơn rõ rệt.

Lời khuyên thực tế: đừng bắt đầu từ 「tôi muốn xin loại giấy phép nào」, mà hãy bắt đầu từ 「tôi đã thực hiện những hoạt động nào cần quản lý」. Phán đoán của quản lý luôn dựa trên bản chất giao dịch.

三、如果你要发行稳定币：先决定是否要走 「MAS 监管稳定币」 路径

Nếu bạn không chỉ dùng stablecoin hiện có, mà còn dự định phát hành stablecoin của riêng mình, lộ trình tuân thủ sẽ hoàn toàn khác. Thường bạn cần đáp ứng các yêu cầu nghiêm ngặt hơn (ví dụ dự trữ tài sản, cơ chế mua lại, công bố thông tin, kiểm toán và kiểm soát rủi ro vận hành).

Kết luận rất đơn giản:

Không phát hành: trọng tâm là hệ thống tuân thủ 「DPT / nhà cung cấp dịch vụ thanh toán」 (đặc biệt AML và rủi ro công nghệ).

Phát hành: bạn cần xây dựng theo khung nhà phát hành để 「dự trữ, mua lại, kiểm toán, công bố, quản trị」 trở thành cấp tổ chức.

四、合规支柱 1：反洗钱 AML/CFT（必须像金融机构一样做）

Trong các hoạt động liên quan đến stablecoin / token số, chống rửa tiền và chống tài trợ khủng bố (AML/CFT) là phần được quản lý xem xét đầu tiên.

Bạn ít nhất cần có hệ thống 「triển khai thực tế」 sau:

1）Đánh giá rủi ro cấp công ty (EWRA)

Rủi ro sản phẩm, rủi ro khách hàng, rủi ro khu vực, rủi ro kênh phân phối

Khách hàng nào cần thẩm định kỹ hơn (EDD)? Khách nào cần từ chối?

2）Thẩm định khách hàng (KYC/CDD/EDD)

Nhận diện và xác minh danh tính, nhận diện người hưởng lợi cuối cùng (ví dụ khách hàng doanh nghiệp)

Kiểm tra trừng phạt và PEP (nhân vật công chúng chính trị)

Quy tắc kích hoạt rủi ro cao (ví dụ ẩn danh, cấu trúc phức tạp, khu vực nhạy cảm)

3）Giám sát giao dịch và xử lý giao dịch đáng ngờ (quy trình STR)

Quy tắc / kịch bản giám sát (ví dụ phân chia nhỏ nhiều lần, vào ra nhanh, liên kết địa chỉ bất thường)

Quản lý vụ việc và cơ chế nâng cấp: ai điều tra, ai phê duyệt, cách lưu chứng cứ

Đào tạo nhân viên và kiểm tra định kỳ / đánh giá độc lập

4）Phân tích trên chuỗi / điểm rủi ro ví (khuyến nghị mạnh mẽ nên làm sớm)

Việc 「bắt buộc pháp lý」 phụ thuộc vào mô hình kinh doanh, nhưng từ góc độ thực hành, theo dõi dòng tiền trên chuỗi và đánh giá rủi ro địa chỉ ngày càng trở thành 「tiêu chuẩn ngành」, đặc biệt khi bạn phục vụ ngành rủi ro cao, làm xuyên biên giới hoặc cung cấp chức năng ủy thác / chuyển tiền.

五、合规支柱 2：营销合规 —— 别把自己做成 「面向大众的加密广告」

Tại Singapore, việc quảng bá dịch vụ token số có các điểm quản lý rõ ràng. Nhiều nhóm không chết vì sản phẩm, mà chết vì 「cách quảng bá」: marketing quy mô lớn hướng tới công chúng, phóng đại lợi nhuận, giảm nhẹ rủi ro, hướng dẫn cộng đồng tham gia, đều rất nhạy cảm.

Cách tiếp cận an toàn hơn thường là:

Ưu tiên B2B (thương nhân, doanh nghiệp, tổ chức)

Kênh phân phối 「chuyên nghiệp」 hơn: hội nghị ngành, họp kín, giới thiệu qua đối tác, marketing nội dung hướng mục tiêu

Công bố rõ ràng rủi ro: không 「tường thuật nhẹ nhàng」, không 「lời hứa chắc chắn sinh lời」, không 「bảo đảm vốn」

Tóm lại: bạn có thể tăng trưởng, nhưng không thể dùng 「câu chuyện đầu cơ」 để thu hút khách hàng mới.

六、合规支柱 3：科技风险、托管安全与外包管理（TRM + Outsourcing）

Các công ty thanh toán bằng stablecoin là sự kết hợp giữa 「tài chính + phần mềm」. Quản lý sẽ xem bạn có khả năng kiểm soát rủi ro công nghệ cấp tổ chức hay không, đặc biệt là:

1）Quản lý ví và khóa riêng (Custody / Key Management)

Phân quyền, cơ chế phê duyệt, đa ký / phân cấp ủy quyền

Ghi nhật ký toàn bộ chuỗi và khả năng kiểm tra

Hai người kiểm tra / ủy quyền nhiều bên cho các thao tác quan trọng

2）An ninh mạng và phản ứng sự cố

Quản lý lỗ hổng, kiểm tra xâm nhập, cập nhật vá lỗi và cấu hình

Kế hoạch phản ứng sự cố và diễn tập (tabletop exercise)

Sao lưu, khôi phục, liên tục kinh doanh (BCP)

3）Quản lý nhà cung cấp / thuê ngoài (đặc biệt quan trọng) Bạn có thể thuê ngoài các dịch vụ như đám mây, nhà cung cấp KYC, công cụ phân tích chuỗi, hạ tầng ví. Quản lý sẽ xem xét:

Thẩm định nhà cung cấp và đánh giá rủi ro

Điều khoản hợp đồng (quyền kiểm toán, bảo vệ dữ liệu, hạn chế phân bổ, cơ chế thoái lui)

Các phương án dự phòng và kế hoạch ứng phó khẩn cấp của nhà cung cấp chính

七、合规支柱 4：个人数据保护（PDPA）

Chỉ cần bạn thực hiện KYC, thu thập thông tin khách hàng, giao dịch, thiết bị, sẽ liên quan đến nghĩa vụ theo PDPA Singapore. Nên bắt đầu từ hai 「hành động tiết kiệm chi phí, mang lại lợi ích cao」:

Chỉ định DPO (người phụ trách bảo vệ dữ liệu) và xây dựng kênh liên lạc ra bên ngoài

Lập bản đồ dữ liệu: thu thập gì, mục đích sử dụng, lưu trữ ở đâu, chia sẻ với ai, giữ bao lâu

八、创始人版行动计划：Day 0 → Day 90

Day 0–15：Trước tiên làm rõ giới hạn

Vẽ sơ đồ luồng vốn / token (Flow)

Xác định bạn có ủy thác, đổi, chuyển tiền không, khách hàng ở SG hay nước ngoài

Ban đầu hoàn thành 「xác định các hoạt động cần quản lý」.

Day 15–45：Xây dựng khung tuân thủ

AML/CFT: đánh giá rủi ro, CDD/EDD, quy trình giám sát và STR

Rủi ro công nghệ: ví / khóa, tiêu chuẩn an toàn, phản ứng sự cố

Quản lý thuê ngoài: thẩm định nhà cung cấp + hợp đồng + kế hoạch thoái lui

PDPA: DPO, chính sách quyền riêng tư, lưu trữ dữ liệu và kiểm soát truy cập

Day 45–90：Biến tuân thủ thành 「hoạt động vận hành」

Triển khai công cụ kiểm tra và giám sát, xây dựng hệ thống quản lý vụ việc và lưu trữ chứng cứ

Hoàn thành đào tạo nhân viên, cơ chế báo cáo tuân thủ, kiểm tra nội bộ

Chuẩn bị giấy phép / bộ tài liệu tuân thủ (cơ cấu quản trị, chính sách, kiến trúc, quy trình, chuỗi chứng cứ)

Kết luận: Tuân thủ không phải 「chi phí」, mà là rào cản để bạn có thể mở rộng và duy trì lâu dài

Thanh toán bằng stablecoin có thể nhanh chóng, nhưng tuân thủ phải nhanh hơn. Làm vững các giới hạn quản lý, AML và rủi ro công nghệ, doanh nghiệp của bạn sẽ dễ dàng hợp tác với tổ chức hơn, dễ vượt qua kiểm tra, và dễ dàng 「ứng phó khi bị kiểm tra」 vào thời điểm then chốt.