如何让「稳定币支付公司」在新加坡合法合规运营：一份创始人可落地清单

撰文：杨琪律师

稳定币正在被越来越多企业用于结算、跨境收付、资金管理与 B2B 支付。但在新加坡，「用稳定币做支付」 往往不是单纯的产品问题，而是一个典型的 监管边界 + AML/CFT 反洗钱 + 科技风险管理 的综合工程。

这篇文章用 「创业者能执行」 的方式，把核心路径讲清楚：你先把业务模型讲明白，再把牌照与合规体系搭起来，就能大幅降低踩线风险与后续整改成本。

提示：本文为一般性信息分享，不构成法律意见。最终合规结论取决于你的交易流程、客户类型、资金 / 代币流转与控制方式。

一、先做最重要的一步：把你的业务 「画出来」

在讨论具体实施步骤之前，请业务负责人先写一页纸的 资金 / 代币流转图（Flow），至少回答这些问题：

你的客户是谁：个人 / 商户 / 某类领域业务或行业企业？

你是否 持有或控制 客户的稳定币（托管、私钥控制、多签权限）？

你是否做 法币↔稳定币 或 稳定币↔稳定币 的兑换？

你是否 促成转账（A 转给 B、商户收款、企业付款）？

客户在新加坡还是海外？你是否 「在新加坡提供服务给海外客户」？

你是 稳定币发行人 还是仅使用第三方稳定币（比如 USDC/USDT 等）？

这一页 Flow 决定你会触发哪些监管活动，也决定你需要什么合规体系。

二、牌照判断：多数稳定币支付会落在 PSA 框架内（可能还涉及 FSMA）

在新加坡，稳定币支付业务通常会涉及《支付服务法》（PSA）下的监管范围，尤其是与 数字支付代币（DPT）服务相关的活动（如转移、兑换、托管等）。另外，如果你从新加坡向海外客户提供数字代币服务，还可能触发 FSMA 下的相关要求。

常见业务模型与 「可能的监管触发点」

商户收款 + 稳定币结算 / 清算：往往会触发 DPT 相关服务；若涉及收单、转账、跨境汇款等，也可能叠加其他 PSA 支付服务类型。

钱包 / 托管（你能动客户币）：通常会被视为高风险触发点之一（尤其是你掌控私钥或转移权限）。

OTC / 兑换 / 撮合：一般会触发 DPT 相关服务。

发行自己的稳定币：如何触发列入 「发行人监管框架」 的讨论，合规强度显著更高。

实务建议：别从 「我想申请哪种牌照」 出发，而要从 「我做了哪些受监管活动」 出发。监管判断永远看交易实质。

三、如果你要发行稳定币：先决定是否要走 「MAS 监管稳定币」 路径

如果你不仅使用现有稳定币，而是打算 发行自己的稳定币，合规路线会完全不同。通常你需要对标更严格的要求（例如储备资产、赎回机制、信息披露、审计与运营风险控制等）。

结论很简单：

不发行：重点是 「DPT / 支付服务提供者」 的合规体系（尤其 AML 与科技风险）。

要发行：你需要按照发行人框架把 「储备、赎回、审计、披露、治理」 做成机构级。

四、合规支柱 1：反洗钱 AML/CFT（必须像金融机构一样做）

在稳定币 / 数字代币相关业务中，** 反洗钱与反恐融资（AML/CFT）** 是监管最先看的部分。

你至少要具备以下 「可落地」 的体系：

1）公司层面的风险评估（EWRA）

产品风险、客户风险、地区风险、渠道风险

哪些客户必须加强尽调（EDD）？哪些必须拒绝？

2）客户尽调（KYC/CDD/EDD）

身份识别与验证、受益所有人识别（如企业客户）

制裁与 PEP 筛查（政治公众人物）

高风险触发规则（例如匿名性、复杂结构、敏感地区等）

3）交易监控与可疑交易处理（STR 流程）

监控规则 / 场景（例如频繁拆分、快速进出、异常地址关联等）

案件管理与升级机制：谁调查、谁审批、怎么留证据链

员工培训与年度复核 / 独立审查

4）链上分析 / 钱包风险评分（强烈建议尽早上）

是否 「法律强制」 取决于业务模型，但从实操角度，链上资金追踪与地址风险评估越来越接近 「行业标配」，尤其是你服务高风险行业、做跨境、或提供托管 / 转移功能时。

五、合规支柱 2：营销合规 —— 别把自己做成 「面向大众的加密广告」

在新加坡，数字代币相关服务的宣传推广有明确监管关注点。很多团队不是死在产品上，而是死在 「推广方式」 上：大规模面向公众的营销、夸大收益、弱化风险、引导大众参与等，都非常敏感。

更稳的打法通常是：

B2B 优先（商户、企业、机构）

渠道更 「专业化」：行业会议、闭门会、合作伙伴转介、定向内容营销

清晰风险披露：不 「轻描淡写」、不 「稳赚」、不 「保本」

一句话：你可以增长，但不能用 「投机型叙事」 去拉新。

六、合规支柱 3：科技风险、托管安全与外包管理（TRM + Outsourcing）

稳定币支付公司是 「金融 + 软件」 的结合体。监管会看你是否具备机构级的科技风险治理能力，尤其是：

1）钱包与密钥管理（Custody / Key Management）

权限分离、审批机制、多签 / 分层授权

全链路日志与可审计性

关键操作的 「二人复核 / 多方授权」

2）网络安全与事件响应

漏洞管理、渗透测试、补丁与配置管理

事件响应预案与演练（tabletop exercise）

备份、恢复、业务连续性（BCP）

3）供应商 / 外包管理（特别重要）你很可能会外包给云服务、KYC 厂商、链上分析工具、钱包基础设施等。监管会看：

供应商尽调与风险评估

合同条款（审计权、数据保护、分包限制、退出机制）

关键供应商的备选方案与应急预案

七、合规支柱 4：个人数据保护（PDPA）

只要你做 KYC、收集客户信息、交易信息、设备信息，就会涉及新加坡 PDPA 相关义务。建议从两个 「低成本高收益」 的动作开始：

指定 DPO（数据保护负责人）并建立对外联系渠道

做一份数据地图：收集什么、用途是什么、存在哪里、与谁共享、保留多久

八、创始人版行动计划：Day 0 → Day 90

Day 0–15：先把边界讲清楚

画清楚资金 / 代币流转图（Flow）

明确你是否托管、是否兑换、是否转移、客户在 SG 还是海外

初步完成 「触发哪些受监管活动」 的判断

Day 15–45：把合规骨架搭起来

AML/CFT：风险评估、CDD/EDD、监控与 STR 流程

科技风险：钱包 / 密钥、安全基线、事件响应

外包管理：供应商尽调 + 合同条款 + 退出预案

PDPA：DPO、隐私政策、数据保留与访问控制

Day 45–90：把合规做成 「可运营」

上线筛查与监控工具、建立案件管理与留痕

完成员工培训、合规报告机制、内部检查机制

整理牌照 / 合规准备包（治理结构、制度、架构、流程、证据链）

结语：合规不是 「成本」，而是你能否做大做久的门槛

稳定币支付可以很快，但合规必须更快。把监管边界、AML 与科技风险三件事做扎实，你的业务会更容易拿到机构合作、更容易通过尽调，也更容易在关键时刻 「扛得住检查」。