作者:彭昭(智次方创始人、云和资本联合创始合伙人)
物女皇:线已划明
这是我的第404篇专栏文章。
2月6日,中国人民银行联合国家发改委、工信部、公安部、市场监管总局、金融监管总局、中国证监会和国家外汇局,八部门联合发布《关于进一步防范和处置虚拟货币等相关风险的通知》(银发〔2026〕42号)。同日,证监会同步发布《关于境内资产境外发行资产支持证券代币的监管指引》。
两份文件一禁一管,组合落地,标志着中国对数字资产的监管逻辑从过去的严厉整治转向了精准拆弹与合规利用并举的新阶段。
必须先明确,42号文的直接监管对象是虚拟货币和现实世界资产代币化(RWA)业务,不是AIoT行业,也不是做设备联网和数据采集的技术公司。
重点在于,42号文明确不得在境内开展现实世界资产代币化活动,以及提供与现实世界资产代币化相关的托管、清算结算、中介、信息技术服务等,均属于非法金融活动,应当严格禁止。
信息技术服务机构被明确写进了条文,这在此前的监管文件中没有如此清晰的表述。对于广泛提供资产运营数据服务的AIoT企业来说,理解这份文件划下的边界,不仅是未雨绸缪,更是当务之急。
在逐条解读之前,一个关键的定性判断需要建立起来:42号文首次将现实世界资产代币化RWA纳入监管范畴,同时叠加证监会发布的《监管指引》,为一直以来处于灰色地带的RWA业务提供了展业框架。
换言之,这不是一份简单的禁令,而是一套分类施策的监管体系。
总体而言,RWA代币化监管采取的是境内严禁、境外严管的原则。监管层正式承认了RWA作为一种业务形态的存在,且决定为它划定游戏规则,而不是一刀切地否定。准确理解这个底层逻辑,才不会在过度恐慌和盲目乐观之间摇摆。
从数字化到代币化:那条看不见的红线
AIoT企业日常所做的事情,本质上是资产数字化,通过传感器、通信模组和云平台,让物理资产的状态变得可感知、可采集、可分析。42号文所规范的则是另一件事:资产代币化。
根据42号文的定义,现实世界资产代币化是指使用加密技术及分布式账本或类似技术,将资产的所有权、收益权等转化为代币(通证)或者具有代币(通证)特性的其他权益、债券凭证,并进行发行和交易的活动。
这个定义值得仔细拆解。
它所描述的行为包含几个关键要素:使用加密技术和分布式账本,将权益转化为代币,并且进行发行和交易。普通的设备数据上云、运营报表生成、甚至基于物联网数据的资产管理系统,都不落入这个定义的范畴,但这并不意味着AIoT企业可以高枕无忧。
问题出在中间地带。
如果AIoT平台为资产生成运营评分和收益预测模型,或者整合多维数据为资产提供估值参考,将资产运营数据与第三方金融服务场景打通…这些功能在纯粹的设备管理语境中都是合法的技术服务,但如果它们的输出被下游客户用于42号文所界定的代币化活动,作为数据源头和技术底座的AIoT企业,就很难主张自己与此毫无关联。
42号文对这个问题给出了两层回答。
在境内开展现实世界资产代币化活动,以及提供有关中介、信息技术服务等…应予以禁止;经业务主管部门依法依规同意,依托特定金融基础设施开展的相关业务活动除外。这意味着境内的未经批准活动被全面禁止,但经过主管部门同意且依托特定金融基础设施的活动,被排除在禁止范围之外。42号文的逻辑不是封禁RWA,而是RWA必须在监管认可的框架内运作。
与此同时,对于境外的RWA活动,证监会配套发布的《监管指引》专门针对以境内资产在境外发行资产支持证券代币的场景制定了备案规则。根据《监管指引》,实际控制基础资产的境内主体应当向中国证监会备案,提交备案报告及境外全套发行资料等材料。整体制度设计是备案制,这比审批制要宽松得多,说明监管层对于境内资产出海做资产证券化代币的态度是谨慎开放的。
技术服务入网:没有人是局外人
42号文最值得技术行业关注的地方,不仅是它给RWA下了定义,而是它对不同类型的市场参与者分别设定了差异化的合规义务,构建了一张覆盖全链条的责任网络。这张网的设计精度远超过去的监管文件。
先看对虚拟货币业务和RWA业务的区分处理。42号文第六条对金融机构的要求非常明确:对虚拟货币相关业务,一律不得提供账户开立、资金划转、清算结算等服务;但对RWA业务,限制条件是未经同意的,也就是说,如果是经过备案审批的合规RWA业务,金融机构提供托管、清算结算等服务是被允许的。
这个区分至关重要。它意味着虚拟货币在监管眼中是绝对禁区,而RWA则是有条件开放、严格管控的领域。两者的法律后果完全不同。
对于技术机构,42号文的要求同样体现了这种分层逻辑。金融机构、中介机构、信息技术服务机构等各类境内机构不得为未经同意的RWA代币化业务以及相关金融产品提供服务;互联网企业不得为RWA代币化业务提供网络经营场所、商业展示、营销宣传、付费导流等服务。
请注意这里的措辞:对技术机构和中介机构的禁令指向的是未经同意的RWA业务,对互联网平台的限制则更为绝对,不得提供展示和导流等服务。
那么,为合规的跨境RWA业务提供技术服务呢?42号文也给出了明确回答。为以境内权益为基础直接或间接赴境外开展的RWA代币化业务提供服务的中介机构、信息技术服务机构,应当严格遵守法律法规,强化业务和风险管控,同时将有关业务开展情况向相关管理部门报批或报备。
这条规定极为关键,它不是在禁止技术机构参与RWA,而是为技术机构参与合规跨境RWA业务设定了明确的义务框架:要建立合规内控制度,要强化风险管控,要向管理部门报批或报备。
这一规定有效堵死了部分机构试图通过RWA在境内进行变相非法集资等活动的路径,同时也为合规展业留出了空间。这张责任网络的设计逻辑,用一个词概括就是断链:切断非法活动在每一个环节上获取资源的可能性。从资金流转到信息传播,从中介撮合到技术支撑,每一个节点上都有了明确的义务人。
技术服务是这条链上的关键一环:没有数据采集和处理能力,代币化就缺乏底层数据支撑;没有平台和系统,发行和交易就缺乏运行环境。因此,技术机构被纳入责任网络,从监管逻辑上说是顺理成章的。
数据跨境:被低估的合规暗礁
42号文和《监管指引》在多处反复出现几个关键词:网络数据安全、跨境风险传导、跨境监管协作。这些表述指向一个非常具体的监管关切,当境内物理资产的数据被用于境外的金融化场景时,数据的跨境流动本身就可能成为风险传导的载体。
《监管指引》第二条的措辞非常直接:境内资产境外发行资产支持证券代币,应当严格遵守跨境投资、外汇管理、网络和数据安全等法律、行政法规和有关政策规定,履行前述相关监管部门要求的核准、备案或安全审查等程序。
《监管指引》第七条进一步明确,证监会加强与境外证券监督管理机构跨境监管合作和信息共享,防范境内资产境外发行资产支持证券代币业务风险。这些条款与《数据安全法》《个人信息保护法》以及近年来不断完善的数据出境安全评估制度之间,已经形成了事实上的制度联动。
这对AIoT企业意味着什么?
AIoT平台每天在处理不同的数据:设备运行状态、使用频次、能耗曲线、地理位置、维保记录…这些在设备管理场景中是再普通不过的运营数据。但同样一批数据,如果被放进资产估值模型、被用来计算投资回报率、被作为代币化发行的底层数据支撑,它的性质和敏感度就会发生根本改变。
例如,一组光伏电站的发电量数据,在运维报表里是运营信息,在RWA发行文件里就变成了决定投资者收益预期的核心参数。数据本身没有变,但它所处的使用场景变了,法律评价也随之改变。
企业在开展RWA项目时,要高度重视数据跨境传输和底层资产确权等合规问题。根据《数据安全法》和《个人信息保护法》等相关法律法规,企业必须确保资产相关数据和权益转移的合法性,需对数据进行分类分级,明确哪些数据属于敏感数据。这些要求不仅适用于直接参与RWA的企业,对于作为数据上游的AIoT企业同样具有参考意义。
因此,42号文对AIoT行业的提醒不仅在于RWA本身,更在于一个更基本的问题:我们是否清楚地知道自己采集的数据在被谁使用、用于什么目的、是否存在跨境传输?这个问题之前也存在,但42号文赋予了它新的紧迫性。当监管明确将技术服务纳入合规义务范围后,对数据流向不了解、对客户用途不过问,不再是一个可以被接受的状态。
写在最后
两份文件的出台,首次在监管层面将非法虚拟货币和现实世界资产代币化进行了切割,在政策逻辑上从全面禁止转向疏堵结合。
AIoT企业做设备联网、做数据采集、做运营管理,这些业务本身完全不在42号文的监管范围内。但如果AIoT产品的功能与代币化存在任何技术上的交叉,如果AIoT设备的数据输出可能流入金融化场景,如果客户中有人正在探索RWA相关业务,那么就与42号文所涉及的领域直接相关。
技术中立是一个工程学概念,不是法律上的免责理由。当监管明确将技术服务写入条文、将合规义务扩展到全链条参与者的时候,最聪明的做法是主动厘清自己的边界,提前就把合规的功课做好。
