解读《MiCA》：仅称“我们在欧盟设有办事处”还不够：监管机构真正想看到的是什么

《MiCA解码》是Bitcoin.com News推出的每周系列专栏，共12期，由LegalBison的联合创始人兼董事总经理Aaron Glauberman、Viktor Juskin和Sabir Alijev共同撰写。LegalBison为加密货币和金融科技公司提供MiCA牌照申请、CASP和VASP申请以及欧洲及全球范围内的监管架构规划等咨询服务。

本周文章由 LegalBison 律师 Krystian Lapka 撰写。Krystian 专精于跨境公司及商业交易，同时擅长民法与普通法交汇领域的战略风险管理。

---

大多数首次申请CASP许可的创始人，至少在理论上都明白MiCA要求必须在欧盟境内拥有实质性存在。但他们往往低估了监管机构对“实质性”的定义标准。

典型的初创期架构在纸面上看似合理：在有利的欧盟司法管辖区设有注册办事处，治理文件中指定了董事，ICT系统采用云托管或由集团全球基础设施管理，实收资本存入新开设的银行账户。 从内部来看，这确实像是一家欧盟公司。但在国家主管当局眼中，这可能只是一个附带董事的“信箱公司”。

本文梳理了《MiCA》在人员、技术及财务韧性方面实质性要求的具体内涵，并阐释了监管机构为何将每个类别视为功能性测试而非单纯的文件核查。 所有这些举措背后的核心关切是一致的：防范“信箱公司”——即仅在有利司法管辖区名义上存在，却缺乏实质性经济活动、人力资本或运营能力的实体。

误区：存在即实质

这一监管逻辑早于MiCA。在具有里程碑意义的卡德伯里·施韦普斯案（Case C-196/04）中，欧盟法院确立了“设立自由”不得被用于建立缺乏真实经济活动的“完全人为安排”。MiCA将这一原则直接编纂进了加密资产监管框架。

《MiCA》第59(2)条规定，获授权的加密资产服务提供商（CASPs）必须在其开展至少部分加密资产服务的成员国设有注册办事处，必须在欧盟境内设有实际管理地点，且必须至少有一名董事居住在欧盟境内。该条款虽简短，但其背后的要求却相当严苛。

尽管欧洲证券和市场管理局（ESMA）关于加密资产服务提供商（CASPs）授权的监管简报不具约束力，但它明确指出了各国监管机构（NCAs）在实践中应如何解读这些要求。法律条文与监管预期之间的差距，正是许多申请遭遇阻碍之处。

人员配置：谁在实际运营该实体

《金融科技监管条例》（MiCA）规定的最低门槛是至少有一名欧盟居民董事。而监管指引则提高了这一标准。 ESMA的简报要求至少由两名高级管理人员共同监督日常运营。其理由很简单：仅有一名高管会造成集中风险，并削弱了有效治理结构所需的内部制衡。两名职责明确且职责重叠的高管是预期中的基本标准。

仅具备居住资格尚不足够。指导意见指出，若管理机构成员未居住在国家监管机构（NCA）的管辖范围内，该人员应能在监管机构要求下于两个工作日内出席现场会议。 对于那些在运营层面重视与监管机构物理距离的司法管辖区而言，这实际上限制了董事在距离其本国管辖区多远的地方仍能有效履职。 时间投入同样受到高度重视。 欧洲证券和市场管理局（ESMA）在其《关于CASP授权的监管简报》中阐明的立场是，执行管理委员会成员通常应将100%的专业时间投入到CASP角色中。“身兼数职”——即同一人员在多个实体中担任高管职务——仅在有限的情况下才被允许。一位在CASP与另一家集团公司之间分心的高管，在适任性评估中很可能受到审查。

汇报关系与个人资历同样重要。管理层必须证明战略和运营控制权掌握在欧盟实体内部，而非由位于第三国的母公司实际决策并自上而下发布指令。 从监管角度看，其高管实质上充当非欧盟总部执行代理人的欧盟子公司，并非具备真正欧盟管理层的实体。

反洗钱（AML）维度进一步强化了这一观点。负责提交可疑交易报告的人员（MLRO）必须在实体所在地实际驻守，在该实体内拥有实质性权限，并能与当地金融情报机构直接沟通。这一要求反映了更广泛的全球趋势：金融行动特别工作组（FATF）和经合组织（OECD）的《加密资产报告框架》（CARF）遵循相同的逻辑，将实质性与透明度要求延伸至欧盟以外。

MiCA的人員要求與CARF並非互不相關的進展；它們反映了在「受監管加密實體內部架構應如何構建」這一問題上，國際標準的趨同。第68(1)條規定的集體適任標準要求管理層在個人和集體層面均具備適當的知識、技能和經驗。 正如本系列前文所述，该标准涵盖传统金融市场监管、分布式账本技术（DLT）基础设施与网络安全，以及组织治理。上述每个领域都需在决策层中得到体现。 一个完全由加密原生背景人员组成、缺乏受监管金融服务经验的团队，或一个拥有深厚传统金融经验却无力评估链上风险的团队，都存在结构性缺陷，这些缺陷将在评估过程中暴露出来。

技术：控制，而非仅是托管

《DORA》（欧盟法规 2022/2554）直接适用于加密资产服务提供商（CASPs），并为信息通信技术（ICT）韧性要求确立了框架。监管机构对技术提出的问题并非企业使用何种基础设施，而是由谁掌控该基础设施。

根据当前监管实践，由AWS、Azure或类似供应商托管的云基础设施是可接受的。问题在于，当在欧盟获得授权的实体对其所依赖的系统缺乏实质性的管理控制权时，就会产生问题。 如果加密密钥管理由母公司的全球IT团队负责，如果客户数据的访问权限由欧盟境外管理，或者如果灾难恢复计划取决于第三国总部的批准，那么欧盟实体就无法证明其具有真正的运营独立性。

欧洲证券和市场管理局（ESMA）在其咨询文件中表明的立场是：欧盟管理团队必须对与CASP运营相关的ICT基础设施拥有实际控制权。根据第68(7)条要求制定的业务连续性政策和灾难恢复计划，必须由欧盟实体自主拥有并能够执行，而非依赖于在危机中可能响应也可能不响应的全球职能部门。

实践检验标准明确：如果母公司的全球IT团队一夜之间无法联系，欧盟实体能否继续运营、访问客户资金并向客户返还资产？如果答案是否定的，或者必须大幅升级至非欧盟人员才能实现，则实质性问题尚未解决。

GDPR合规与数据治理要求构建在DORA框架之上。数据处理安排、控制者与处理者关系以及数据驻留考量，均构成监管机构审查的技术架构组成部分。

金融：真正有效的资本

第67条规定了最低审慎保障措施。资本分级按服务类别划分：

最低资本额仅为起点，而非上限。审慎保障措施必须达到永久最低资本额与上一年度固定管理费用的四分之一两者中的较高值。 随着加密资产服务提供商（CASP）规模扩大及固定管理费用增加，这一第二项要求将成为决定性约束。当管理费用超过初始实收资本的四倍时，该机构必须过渡到基于管理费用的框架。 这一转折点的到来往往比许多运营商预期的要快，监管机构期望的是主动监控而非被动调整。 一个值得注意的结构性要点：资本必须存入一家正规信贷机构的账户中。 电子货币机构（EMI）或支付服务提供商的账户不符合这一要求。作为加密货币企业建立银行关系需要时间，且无法保证成功。 在正式提交申请前尽早启动这一流程并非可选项。这是影响整个授权时间表的顺序限制。 关于固定间接费用计算所用财务报表必须经过国家监管机构正式审计或验证的要求，增加了额外的行政负担。新注册实体在预测其首十二个月的间接费用时，必须将这些预测纳入授权申请中，并明确记录计算方法。

外包与实质性门槛

第73条允许云服务提供商（CASP）将运营职能外包给第三方。但前提是外包不得导致获授权实体的实质性空心化。责任仍由云服务提供商承担；授权并不意味着责任的转移。

欧洲证券和市场管理局（ESMA）关于CASP授权的监管简报指出，可归因于欧盟境外职能的总成本占比，是判断外包是否过度的实用指标。若某CASP的大部分运营支出流向非欧盟服务提供商（即使这些提供商运营良好且信誉良好），则可能面临质疑：该欧盟实体是否具备足够的内部能力，以符合真正服务提供商的资格，而非仅仅作为中间渠道。

监管机构所作的区分在于：一类是外包特定职能但保留控制权的CASP；另一类则是将所有实质性业务外包、仅保留法律形式的CASP。后者实为空壳，无论申请材料中如何描述该安排。

管辖权差异：法律相同，实践不同

《加密资产市场法规》（MiCA）在所有欧盟成员国均直接适用。实质性要求虽统一，但监管实践却不尽相同。 塞浦路斯通过塞浦路斯证券交易委员会（CySEC）明确要求，加密资产服务提供商（CASP）董事会多数成员必须为塞浦路斯实际居民。对于由两名执行董事和两名非执行董事组成的董事会，这意味着至少需有三名塞浦路斯居民董事。 这一要求超出了《MiCA》文本的规定，反映了在统一的欧盟框架之上叠加的国家反洗钱指令。爱沙尼亚的情况则有所不同。在由金融情报局管理的旧版虚拟资产服务提供商（VASP）注册制度下，爱沙尼亚曾是欧洲最易获得牌照的司法管辖区之一。向《MiCA》的过渡将监管责任转移至爱沙尼亚金融监管与处置局，该机构在审查和持续监督方面采取了不同的制度方法。

波兰的立法状况（本系列前文已作探讨）已形成结构性缺口：国内《MiCA》实施法尚未颁布，导致波兰金融监管局（KNF）尚未被正式指定为主管机构，而虚拟资产服务提供商（VASP）持有人也缺乏可行的国内虚拟资产服务提供商（CASP）申请途径。

这些差异并非法律漏洞或行政怪癖，而是反映了这样一个现实：统一的法律框架在运作时仍需通过各国的监管文化、人员配置限制及制度沿革来体现。选择CASP授权管辖区，实质上就是选择监管机构，并需面对由此带来的所有实际影响。

“实质性经营”的实质要求

综合来看，MiCA 下的实质性要求体现的是一种监管哲学，而非单纯的核对清单。监管机构希望确保，一旦出现问题，其能够采取切实有效的补救措施。 这意味着高管层必须在物理上可接触，且根据欧盟法律承担法律责任。这意味着信息通信技术（ICT）系统应由欧盟实体掌控，而不依赖于非欧盟授权链。这意味着资本必须真正可用，且规模需与实际运营风险相匹配。

同时，这还意味着欧盟实体在治理层面应拥有实际决策权，而非仅执行来自外部的指令。将此视为单纯的文件准备工作的企业，往往会发现流程比预期更为艰难。而那些先建立实质运营基础、再据此进行文件记录的企业，通常会发现流程更为顺畅。申请本身并不会创造组织架构，它所描述的应是已经基本存在的组织。

来源：

• 欧洲证券和市场管理局（ESMA）关于云服务提供商（CASP）授权的监管简报
• 欧洲证券和市场管理局（ESMA）《MiCA咨询文件》（第二批）
• 马耳他金融服务管理局（MFSA）《MiCA规则手册》

本文基于LegalBison于2026年5月进行的一项研究。本文内容仅供参考，不构成法律建议。