平台營運者應實施適當的措施，以遵從《防止賄賂條例》及廉政公署所發出的有關指引。因此，平台營運者應制訂防止賄賂政策及行為守則，當中須包含適用於其董事、職員及代理人的必要誠信規定，及採納《防止賄賂條例》第2(1)條對“利益”的法定定義。就此而言，平台營運者應採用及／或參考廉政公署所發出適用於私人企業的行為守則範本（https://cpas.icac.hk/ZH/Info/Lib_List?cate_id=3&id=2365），當中：

(a)    規定公司的董事及職員不得向任何與該公司有業務往來的人士、公司或機構索取或收受任何利益，但在符合某些條件或獲該公司核准人員允許的情況下接受（但不准索取）利益則除外；及

(b)    禁止董事及職員向另一家公司或機構的任何董事、職員或代理人提供利益，除非提供有關利益不帶有不當影響任何業務往來的動機，且確定擬接受利益者乃獲得其僱主或主事人的許可接受利益。

此外，平台營運者應向其董事、職員及代理人提供適當的培訓，以確保遵從《防止賄賂條例》、監管規定及內部防止賄賂政策和程序。

（主要參考：《虛擬資產交易平台指引》第11.21段）

商業電郵騙案的計劃通常涉及騙徒採用以下的一種或多種手法¹：

• 偽造一個與真正客戶聯繫人相似的電郵地址以便與平台營運者溝通；

• 冒充客戶聯繫人並提出看似合理的要求，例如索取戶口結單的副本、增加或更改授權簽署人、申請開設用戶帳戶或發出交易指令；及

• 發出資金轉移的指示，通常是轉帳至騙徒在多家收款銀行（有些位於海外）所操控的銀行帳戶，以盡量提高他們收到款項的機會。

平台營運者應制訂及實施有效的政策和程序，以有效地識別和管理商業電郵騙案的風險，向其職員提供有關管理商業電郵騙案風險的培訓和指引，以及確保為有關監控職能分配足夠資源及實施適當的制衡措施。特別是，平台營運者應根據內部規程仔細地檢查用作發出要求的電郵地址，審慎地查核有關要求的真實性，勤勉盡責地對預警跡象進行調查，並及時上報有關問題。平台營運者亦應就以下範疇設有足夠的內部監控措施：

(a) 核實及審查客戶聯絡資料

• 在開戶過程中確定客戶及其授權代表的真實身分。

• 定期審查和更新正式的紀錄，確保客戶的聯絡資料是準確及最新的。

(b) 更改客戶資料

• 當客戶要求更改其資料（包括更新授權代表資料）時，應要求客戶以書面方式發出指示，並核實要求者的身分及簽名式樣。

• 使用平台營運者的正式紀錄內的聯絡資料來核實電郵要求，而不是透過該電郵地址或使用其提供的電話號碼來核實。在有需要的情況下，考慮安排與客戶進行視像會議或直接會面。

• 在接獲更改的要求時及在作出有關更改後，將確認通知發送到客戶的登記地址、電子郵箱或流動電話。

(c) 處理就交易指令或資金轉移發出的電郵要求

• 就金額超過合理門檻的要求實施有效的確認程序。

• 使用其他途徑及平台營運者原有紀錄內的聯絡資料來聯絡客戶及核實其要求，而不是直接回覆電郵要求。

• 考慮使用監測工具，以過濾偽造的電郵地址，及偵測未經授權而接達內部網絡和系統的情況。

(d) 識別預警跡象

• 若電郵要求有別於客戶的慣常做法，應保持警惕，並格外小心處理。如有不合常規的情況（例如向海外銀行帳戶支付大筆款項，要求即時付款，及銀行多次拒絕轉帳），應立即跟進。

• 建立穩健的風險文化，鼓勵職員匯報及跟進預警跡象。適時地讓主管、資訊科技管理人員及合規人員參與制訂適當的對策，以處理可疑的電郵指示。

(e) 實施網絡保安措施

• 監察黑客攻擊風險，並實施適當和有效的資訊科技保安監控措施，包括確保電郵、密碼及電腦系統的安全。

平台營運者應：

• 對其投訴處理職能制訂充分的管理層監督措施。平台營運者應指派一名核心職能主管監察投訴處理政策和程序的制訂及實施情況，以及持續監察投訴處理流程。擁有龐大零售客戶群的平台營運者亦應分配特定資源來處理客戶投訴；
  
  
• 確保投訴處理職能乃由具備適當資格的職員來執行。應由執行合規職能的職員負責就投訴展開調查，而該職員應與投訴所涉及的事項沒有直接關係；

• 以書面形式制訂及列明投訴處理政策和程序，從而確保能夠及時且妥善地處理客戶投訴，以及迅速採取合適的補救措施；

• 就投訴處理工作設立預定期限，以確保投訴能夠及時獲得處理，當中包括以下程序的時限：

(a) 在收到投訴後發出確認；

(b) 就投訴回應投訴人的查詢；及

(c) 向投訴人作出最終回覆。

縱然處理投訴所需的時間可能因應投訴的性質而有所不同，但平台營運者應在收到投訴後七日內發出確認，並在兩個月內發出最終回覆；

• 確保向所有相關職員清楚傳達投訴處理政策和程序的内容，並確保這些政策和程序均獲嚴格執行；及

• 為相關職員充分提供有關投訴處理政策和程序的培訓。

答：是，平台營運者應向客戶披露有關投訴處理程序的重要資料，包括在收到投訴後發出確認及發出最終回覆的預定期限。該等資料的用語應清晰易明，讓客戶能夠了解有關流程。

平台營運者應將投訴與一般查詢或意見的表達加以區分來適當地將投訴識別出來，並及時且妥善地處理投訴，不論涉事職員是否已離職，或平台營運者是否已不再從事與該投訴有關的活動。

平台營運者的職員應循內部機制向高級管理層上報任何嚴重及具重大影響的個案，以便迅速作出處理及調查。如有個案涉嫌違反《虛擬資產交易平台指引》及其他監管規定，平台營運者亦應及時向證監會匯報。

平台營運者應：

• 適當地審核每宗投訴所涉及的事項。如某宗投訴亦與其他客戶有關，或引起更廣受關注的事宜，平台營運者應對該等事宜作出調查及補救，即使其他客戶可能沒有向平台營運者作出投訴也不例外。

• 制訂指引，說明投訴個案可於何時及在甚麼情況下結案，並應確保向投訴人提供的調解方案是適當、一致及公平的；及

• 在證監會就其所收到針對平台營運者的投訴作出查詢時，透過出示相關文件及紀錄等方式，向證監會證明它們已及時且妥善地處理有關投訴。

平台營運者應維持有效的政策、程序及監控措施，以在進行跨境業務活動時，監察及確保遵守當地的法律及監管規定。此外，若平台營運者的僱員或代理人代其在其他司法管轄區進行業務活動（不論有關人士是否獲證監會發牌），平台營運者相當可能會被證監會視為須對其僱員或代理人的行為負責。如該等人士應為其他有關司法管轄區法例或規例下的持牌人，但並無持有相關牌照，或他們本身作出不當的行為，這可能會構成不遵從《虛擬資產交易平台指引》第11.15段的情況，並可能令人質疑該平台營運者及／或有關個人是否獲證監會發牌或繼續持牌的適當人選。

在進行任何跨境業務活動前，平台營運者應徹底了解當地的法律及監管規定，徵詢適當的法律及專業意見，以及與相關監管部門商討適用的規定。相當可能受其他司法管轄區的法例或規例監管的活動可包括招攬開立客戶帳戶；簽署帳戶協議或授權書；推銷或銷售虛擬資產；及訂立虛擬資產交易。

平台營運者及其控權實體亦應確保它們本身和有關連人士所提供的服務的合法性，以確保它們的活動遵守證監會執行的法例及規例，以及其他司法管轄區的適用規定。特別是，若平台營運者的控權實體或它的其他附屬公司作出不當行為，可能會對平台營運者及集團整體造成不利影響。

（主要參考：《虛擬資產交易平台指引》第11.15段）

數據風險指因平台營運者對數據生命周期（包括數據收集、分類、使用、保留、轉移和處置）管理不足而導致運作受干擾和聲譽或財務受損的風險。平台營運者應：

• 制訂穩健的風險管治框架，以便有效地管理數據風險和遵從適用的法律及監管規定。該框架應涵蓋不同方面，其中包括下列範疇：(a)清楚地界定高級管理層在監督數據風險管理方面的責任及問責性；及(b)制訂結構完善的規程，以便及時處理並向高級管理層和有關當局（如適當）匯報數據風險事故；

   

• 從可靠的來源收集數據，並採取適當步驟，以確保所收集數據的質素；

   

• 按照數據的敏感程度，將所處理的數據合理地分類，並實施相稱的保護措施；

   

• 確保敏感數據只可由獲授權人士取覽、使用或更改；

   

• 訂立數據保留及備份政策，以確保在指定的期限內妥善保管及提供數據，藉此遵從有關備存紀錄的監管規定和滿足自身的業務需要；

   

• 實施充足的保障措施，以防止數據在傳輸時洩露至非擬定人士，及被棄置的數據遭惡意取覽或修復；及

   

• （凡在數據生命周期中委聘服務提供者）執行妥善的盡職審查及持續監察，以確保服務提供者有能力保護數據和遵從適用的法律及監管規定。

（主要參考：《虛擬資產交易平台指引》第11.11段）

平台營運者應實施以下措施：

1. 管治

資源和處理能力

1.1 平台營運者在安排職員轉為遙距工作前，應確保具備足夠資源，以便在遙距地點妥善地執行工作。

1.2 平台營運者應制訂並維持有效的政策、運作程序及監控措施，以切合不同業務部門和運作職能的職員在遙距地點工作時的需要。平台營運者亦應就被視為高風險或不適合在遙距地點執行的業務或運作職能，確保在辦事處內有適當的最低職員數目。有關政策、程序及監控措施應定期及在有需要時進行檢討和作出更新。

1.3 平台營運者應確保，為支援具效率的遙距工作而提供的資訊科技基建、系統、軟件、硬件、網絡處理能力及連接能力是適當及充足的。

監督及監控流程

1.4 平台營運者應制訂並維持有效的監督及監控流程，以確保職員即使在遙距工作的環境中，依然符合適用的法律和監管規定以及平台營運者本身的內部政策和程序，方法包括向職員提供適當培訓，讓他們能以遙距方式履行其監督或監控職能。他們亦應具備在遙距工作環境中有效地執行其職務所需的技能和資源，包括取覽全部所需紀錄和文件。

1.5 在轉至遙距工作安排前，平台營運者應就任何暫時不適用於遙距工作的職員的監控措施，設有充分的替代性監控措施。

1.6 平台營運者應確保在遙距工作環境中執行合規職能的職員制訂、維持及執行有效的合規程序，包括有關交易、電子通訊及電話的適當監察系統，以偵測不符合法律及監管規定或平台營運者本身的政策和程序的情況。最易被濫用及發生欺詐活動的業務或運作職能，應受到密切監察。

2. 在辦事處以外地方進行交易

2.1 平台營運者在允許職員於辦事處以外地方進行任何交易活動前，應制訂並維持有效的政策及程序、監察機制系統和監控措施，以確保該等活動持正操作並符合所有監管規定。

2.2 若職員獲允許於辦事處以外地方就以代理人身分接收的交易指示進行交易活動，有關的政策及程序便應確保遙距工作的職員利用錄音電話線接聽以代理人身分接收的交易指示。如平台營運者尚未於遙距地點配置電話錄音系統，遙距工作的職員便應即時回電給平台營運者於辦事處的電話錄音系統，以記錄他們接收來電的時間和該交易指示的詳情。若平台營運者已採納遙距工作安排並使其成為負責交易的職員的新常態，它便應為那些接收客戶電話交易指示的職員，配備適當的資訊及通訊科技設備，包括電話錄音系統。

2.3 若職員獲允許就客戶交易指示在辦事處以外地方進行交易活動，有關政策及程序亦應確保職員可接達所需的交易及所有其他系統，讓他們得以管理整體的交易執行流程，並釐定執行策略和參數，以便盡快地按最佳條件執行客戶的交易指示。

2.4 若職員獲允許在辦事處以外地方進行交易活動，以便替公司本身的帳戶與客戶訂立背對背交易，有關的政策、程序及監控措施便應確保職員在訂立這些背對背交易之前或之時，能夠接達全部所需的系統，讓他們得以及時取覽所需資料，以便釐定將向客戶披露的交易利潤金額。 

2.5 獨立的合規或審計職能應與高級管理層、業務運作、風險管理及其他相關監控職能緊密合作，就在辦事處以外地方進行的交易活動積極地執行合規監察的工作。遙距工作的職員遵循各項有關在辦事處以外地方進行交易的合規政策、程序及監控措施的情況，應受到嚴格的檢討流程所規管。

3. 外判及第三方安排

3.1 平台營運者應制訂並維持有效的政策及程序，以確保適當地選擇和委任支援遙距工作安排的主要第三方，及適當地管理和監察它們在遙距工作環境中帶來的所有風險。

4. 資訊保安

4.1 平台營運者在容許職員遙距工作前，應實施適當及有效的數據保密政策、程序及監控措施，以防止及偵測在遙距工作環境中出現的錯誤或遺漏，或有人未經授權而擅自對其數據處理系統及數據（包括所有由平台營運者管有的機密資料，例如客戶的個人及財務資料，以及容易引起價格波動的資料）進行加插、更改、刪除或侵入等活動。平台營運者亦應確保就遙距工作而言，其運作及資料管理系統是安全及受到充分監控的。

4.2 平台營運者應確保職員只有在需要知悉客戶資料及其他機密資料的情況下，才能以遙距方式取覽該等資料，並嚴格執行此一規定。

5. 網絡保安

5.1 平台營運者應訂立適當的措施以管理及紓減與遙距工作安排相關的網絡保安風險，及防止和偵測網絡保安威脅。

6. 備存紀錄

6.1 平台營運者應實施及維持適當的內部監控措施，以確保當職員可遙距接達其交易或其他系統時，該職員在這些系統內進行的活動會確實被載入系統所產生的紀錄和文件內。

6.2 在容許遙距工作的職員將某些必要的紀錄和文件暫存於其家中，或（就《打擊洗錢及恐怖分子資金籌集條例》（第615章）第53ZRR條的目的而言）並非獲批准處所的其他遙距工作地點之前，平台營運者應先制訂有效的政策、程序及監控措施，規定職員須在切實可行的情況下盡快將這些紀錄和文件送回獲批准的處所。

7. 通知的責任

7.1 平台營運者應推行有關措施，以便將實施遙距工作安排一事（此舉構成其業務計劃的重大改變）及有關安排的任何重大改變從速通知證監會。

8. 在家工作安排

8.1 平台營運者應為紓減在家工作安排獨有的任何額外風險而建立並維持必需和充分的內部監控措施及運作能力。

8.2 平台營運者亦應制訂、維持及嚴格執行有關政策、程序及監控措施，藉以確保在家工作的職員只可在需要知悉客戶資料及其他機密資料的情況下取覽該等資料。

8.3 平台營運者應就在家居辦公室環境中將機密資料保密的政策及程序，向在家工作的職員提供特定培訓。

（主要參考：《虛擬資產交易平台指引》第11.11段）

若平台營運者發現任何虛假的網站／交易應用程式試圖仿冒其網站／交易應用程式，或對它們作出未經授權的提述，本會建議平台營運者最低限度應採取以下程序：

(a) 盡快向證監會匯報事件；

(b) 盡快向警方舉報事件；及

(c) 透過有效的途徑警惕廣大投資者注意有關網站及交易應用程式，例如在平台營運者的網站上發出警告以澄清事件。