在為該通函的目的揀選核心職能主管時,主要應考慮該人在機構和其公司集團內是否已獲得授權,以落實及確保履行核心職能主管的主要責任,即確保證券及期貨事務監察委員會(證監會)一旦提出要求,便可在沒有不當延誤的情況下,有效地取覽持牌法團的電子監管紀錄。該通函第7(g)段所訂明的認識和專業知識準則,顯示證監會期望被揀選的核心職能主管應對電子監管紀錄如何存放於外間電子數據儲存供應商(電子數據儲存供應商)具備基本了解,以便落實履行核心職能主管的責任。為該通函的目的而物色的核心職能主管,無須具備深入的技術知識或專業知識。
A. 核心職能主管
問1 :
在物色致持牌法團有關外間電子數據儲存的使用的通函(該通函)中所指的核心職能主管時,應以甚麼為準則?
問2 :
持牌法團如無法為該通函的目的而委任兩名在香港的核心職能主管,可怎樣做?
證監會明白,有些持牌法團可能無法為該通函的目的找到兩名通常居於香港的核心職能主管。在該等情況下,持牌法團應就其情況與證監會討論。證監會可按個別情況,同意只須為該通函的目的提供一名通常居於香港的核心職能主管或負責人員的姓名,前提是該持牌法團能令證監會信納其將制定有效的安排,以確保通常居於香港並獲核心職能主管或負責人員轉授有關職能者具備足夠的相關授權、認識和專業知識,以在核心職能主管或負責人員不能親自執行其職能和責任時,履行有關職責。
證監會期望,在本會同意只須為該通函的目的而委任一名通常居於香港的核心職能主管的情況下,該核心職能主管通常是負責整體管理監督職能的核心職能主管,除非持牌法團令證監會信納另一名核心職能主管更適合擔當這個角色1,並具備履行該通函所載的職責的相關授權、認識和專業知職。
除非持牌法團令證監會信納,通常居於香港的核心職能主管無一具備履行該通函所載的核心職能主管職責的相關授權、認識和專業知職,否則證監會不會考慮同意委任通常居於香港的負責人員履行有關職責。
問3 :
該通函第7(g)段所指的管有所有數碼證書、鑰匙、密碼和保安編碼器,是甚麼意思?
該通函第7(g)段所載、有關每名核心職能主管必須管有所有數碼證書、鑰匙、密碼和保安編碼器的規定,並非一定是指實際上管有這些項目。與上文就問題1的回應所列的考慮因素及政策理據相符,核心職能主管應信納其本身具備履行核心職能主管職責的相關授權和能力,包括管有或取得履行該通函所載的核心職能主管職能的所有相關數碼證書、鑰匙、密碼和保安編碼器。核心職能主管應制定程序,以確保核心職能主管和任何獲其轉授有關職能者能夠在全面遵從持牌法團的內部數據安全政策或限制,以及任何其他適用的法律或法規的情況下,履行該通函所載的全部責任。
B. 電子數據儲存供應商的承諾
問4 :
何時需要獲取電子數據儲存供應商的承諾?如沒有電子數據儲存供應商的承諾,有哪些可接受的替代選擇?
獲取電子數據儲存供應商的承諾這項規定,僅適用於持牌法團只將電子監管紀錄存放於某個非香港電子數據儲存供應商的情況。持牌法團如同時將一整套相同的電子監管紀錄存放於根據《證券及期貨條例》第130條獲批准並由該持牌法團使用的香港處所,便無須取得電子數據儲存供應商的承諾。同樣地,持牌法團如只將電子監管紀錄存放於某家香港電子數據儲存供應商,便無須取得電子數據儲存供應商的承諾;持牌法團可提供該通函第9(a)段所指由該香港電子數據儲存供應商加簽的通知。
該通函列明證監會對有關使用電子數據儲存供應商的期望,以及其評估電子數據儲存供應商的處所是否適合存放電子監管紀錄的方式。此外,在符合下文問題10所載的條件的情況下,證監會將接受由為該通函目的委任的兩名核心職能主管各自作出的承諾,或在獲得證監會同意的情況下,由一名核心職能主管或負責人員作出的承諾,形式大致上如本常見問題附錄12所載的範本(核心職能主管/負責人員的承諾),以代替電子數據儲存供應商的有關承諾。
持牌法團亦可與證監會聯絡,提出建議或討論可符合證監會的監管目標和規定的其他替代選擇。
C. 將電子監管紀錄存放於聯屬公司
問5 :
該通函是否適用於持牌法團只將電子監管紀錄存放於同一集團內的非香港公司的情況?
在草擬該通函時,並沒有針對處理持牌法團只將電子監管紀錄存放於其非香港聯屬公司的情境。然而,一些持牌法團其後向證監會表示,它們早已將電子監管紀錄只存放於位於香港以外地方的聯屬公司,但沒有事先就該等處所向證監會申請《證券及期貨條例》第130條下的批准。本常見問題適用於該等情況,使持牌法團可以只將電子監管紀錄存放於位於香港境內或以外地方的聯屬公司。
持牌法團如選擇將存放其電子監管紀錄的工作轉授或外判予聯屬公司,無論這些聯屬公司是否位於香港,持牌法團都應妥善管理與轉授或外判安排相關的風險。持牌法團應注意,根據證監會在使用外判方面的一貫立場,持牌法團可向另一實體(例如聯屬公司)轉授權力以進行某些活動或職能,但不能將其監管責任轉授他人。此外,持牌法團如使用其聯屬公司委聘的電子數據儲存供應商以電子形式存放或處理資料,應遵從該通函E部(第21段除外)訂明的所有一般責任。
另外,如本常見問題所澄清,該通函第7(d)至(h)及第8段將同等地適用於只將電子監管紀錄存放於其聯屬公司的持牌法團,不論該聯屬公司於何地註冊成立,及該紀錄的存放是否獲進一步外判予電子數據儲存供應商。在這種情況下,該通函相關段落所提述的“電子數據儲存供應商",亦應包括持牌法團的聯屬公司。
問6 :
如持牌法團已經將電子監管紀錄只存放於位於香港以外地方的聯屬公司,應怎樣做?
按照證監會在發出該通函前的做法,本會不會根據《證券及期貨條例》第130條批准將監管紀錄存放於位於香港以外地方的處所。如某持牌法團已經根據其與非香港聯屬公司的安排,將電子監管紀錄只存放於該聯屬公司,不論該聯屬公司是否已委聘任何電子數據儲存供應商存放持牌法團的電子監管紀錄,該持牌法團都應立即聯絡證監會以討論其情況,並就該非香港聯屬公司的處所,或該聯屬公司或其所委聘的電子數據儲存供應商(視屬何種情況而定)用作存放電子監管紀錄的數據中心或其他處所尋求《證券及期貨條例》第130條的批准。如該持牌法團與超過一家非香港聯屬公司訂有安排,便須就每家聯屬公司申請批准。有關申請應附有大致上以本常見問題附錄12所載範本的形式作出的核心職能主管/負責人員的承諾,及須符合下文問題10所載的條件。
有關根據《證券及期貨條例》第130條提出申請的進一步詳情,請參閱關於營業及存放紀錄的處所的常見問題3。
持牌法團應注意,根據《證券及期貨條例》第130(3)條,在未得證監會事先書面批准下,不得將任何處所用作存放關乎它獲發牌進行的受規管活動的紀錄或文件。
每項申請將會按個別情況進行評估。
問7 :
持牌法團可否申請《證券及期貨條例》第130條的批准,以將電子監管紀錄只存放於其聯屬公司(不論有關聯屬公司是在香港或其他地方註冊成立)?
可以。持牌法團應聯絡證監會討論其情況。就第130條的批准而作出的每項申請都會按個別情況進行評估。
持牌法團應注意,實物監管紀錄仍須存放於獲批准的香港處所。
問8 :
持牌法團如已成功取得證監會根據《證券及期貨條例》第130條批准其聯屬公司或由該等聯屬公司委聘的電子數據儲存供應商的處所(包括數據中心)用作存放電子監管紀錄,若這些相同的聯屬公司或電子數據儲存供應商使用額外或不同的數據中心或其他處所(統稱為新處所)來存放持牌法團的電子監管紀錄,則持牌法團是否需要再次向證監會申請第130條的批准?
在上述情況下,如該等新處所位於香港以外地方,則無需另行取得批准。無論電子監管紀錄存放於何處,持牌法團都有責任確保自己時刻遵從相關規定。此外,執行上文問題6所指的核心職能主管/負責人員的承諾的人士,亦有責任在使用位於香港以外地方的任何新處所前,確保自己能夠履行對證監會的承諾。然而,持牌法團應在切實可行的範圍內盡快在下文問題10所提述的取覽地圖上作出更新。
相反,如新處所位於香港,便應申請根據《證券及期貨條例》第130條的特定批准。
如持牌法團擬作出以下安排,亦須取得新批准:
- 使用不同或額外的聯屬公司;或
- 直接委聘不同或額外的電子數據儲存供應商,
以存放其電子監管紀錄,不論有關聯屬公司或電子數據儲存供應商在哪裏註冊成立。
D. 核心職能主管/負責人員的承諾
問9 :
尋求《證券及期貨條例》第130條的批准,將處所用作存放其電子監管紀錄的持牌法團,可在甚麼情況下使用核心職能主管/負責人員的承諾?
核心職能主管/負責人員的承諾可於以下情況使用:
- 如持牌法團將其電子監管紀錄只存放於香港電子數據儲存供應商,便可用來代替該通函第9(a)段所指由香港電子數據儲存供應商加簽的通知;
- 如持牌法團將其電子監管紀錄只存放於非香港電子數據儲存供應商,便可用來代替電子數據儲存供應商的承諾;
- 如持牌法團將電子監管紀錄只存放於其非香港聯屬公司,不論該等聯屬公司是否委聘任何電子數據儲存供應商存放該持牌法團的電子監管紀錄;或
- 如持牌法團將電子監管紀錄只存放於其本地(即香港)聯屬公司,而有關聯屬公司亦使用電子數據儲存供應商或其他非香港聯屬公司存放該持牌法團的電子監管紀錄。
為免生疑問,上述第(3)及(4)項所指受聘於聯屬公司以存放持牌法團的電子監管紀錄的電子數據儲存供應商,可同時指香港及非香港電子數據儲存供應商。
問10 :
如要就上文問題9所述的情境,在根據第130條提出的申請中使用核心職能主管/負責人員的承諾,須符合甚麼條件?
以下為接納核心職能主管/負責人員的承諾的條件:
- 該核心職能主管/負責人員的承諾須由根據該通函第7(g)段委任的兩名核心職能主管各自作出,或在獲得證監會同意的情況下,由如上文就問題2的回應所指的一名通常居於香港的核心職能主管或負責人員作出;
- 持牌法團須備存一份概述電子監管紀錄只儲存於聯屬公司及/或電子數據儲存供應商的情況的文件(取覽地圖)。取覽地圖應籠統地顯示只儲存於各聯屬公司或電子數據儲存供應商的電子監管紀錄的種類,以及儲存電子監管紀錄的數據中心或其他處所的實體地點,即司法管轄區或(如該持牌法團可取得有關資料)地址;
- 持牌法團須確保取覽地圖準確,反映現況,及可按證監會的要求在兩個營業日內提供以作檢視;
- 持牌法團須確保其在運作上的抵禦能力,並每日就電子監管紀錄進行備份,以確保備存一套完整、足以說明以下項目的最新紀錄:
(a)客戶交易;
(b)未平倉客戶持倉4;及
(c)由持牌法團或其有聯繫實體持有的客戶資產。
日常備份應以安全及可靠的方式備存,並在切實可行的範圍內使用加密程式及於持牌法團處所以外的地方儲存。持牌法團應定期進行測試,以核實備份復原程序是否有效,從而確保在有需要時可盡快提供維持業務持續運作的備份數據;及 - 持牌法團須確保其可隨時(包括在存放該等監管紀錄的電子數據儲存供應商或其聯屬公司出現任何運作或財務上的問題時)取覽足以說明由其或其有聯繫實體持有的未平倉客戶持倉及客戶資產的最新監管紀錄。取覽的詳情應載於取覽地圖內。持牌法團如為交易所參與者、結算所參與者,或交易所參與者或結算所參與者的客戶,以及最少有一名並非其聯屬公司的客戶,則該持牌法團應在切實可行的範圍內,將因在認可證券市場或認可期貨市場上執行交易而產生的,或於認可結算所持有的該等客戶所有未平倉持倉的紀錄,連同其或其有聯繫實體持有的該等客戶的客戶資產紀錄存放於香港,以確保在存放該等監管紀錄的實體出現任何運作或財務上的問題時,仍能及時地交收客戶交易及盡快執行客戶指示。
如核心職能主管或負責人員在向證監會提供核心職能主管/負責人員的承諾後的任何時間,無法再履行其條款,則該核心職能主管或負責人員(或持牌法團)須立即通知證監會,而持牌法團亦須立即提供證監會信納的新核心職能主管/負責人員的承諾。
為免生疑問,持牌法團如為該通函的目的委任另一名核心職能主管或負責人員,代替已作出承諾的核心職能主管或負責人員,便應在切實可行的範圍內盡快安排接任的核心職能主管或負責人員簽署及向證監會提供核心職能主管/負責人員的承諾。
E. 稽查線索
問11 :
證監會可否釐清須根據該通函第7(e)段備存的稽查線索內應包括的資料類別?
在制定備存稽查線索的政策以遵從該通函第7(e)段的規定時,主要應考慮稽查線索內的資料是否能讓持牌法團及證監會合理地容易識別出每名負責建立、修改或刪除電子監管紀錄的用戶。稽查線索應確保每名該等用戶都能夠被獨特地識別出來。
該通函及本回應並不會減少或免除持牌法團在任何其他法律或監管規定下的備存紀錄責任。因此,持牌法團如現時已為展示其遵從任何其他適用的法律或監管規定而備存稽查線索,便應確保其能夠按證監會的要求提供有關稽查線索,並在切實可行的情況下備存包含讀取紀錄的稽查線索。
F. 實施時間表
問12 : 持牌法團預計何時需要實施這些規定?
如任何持牌法團在本常見問題的日期前,只將電子監管紀錄存放於某電子數據儲存供應商或聯屬公司,但沒有事先就相關處所獲取證監會根據《證券及期貨條例》第130條授出的書面批准,則該持牌法團應:
- 沒有不當延誤地通知證監會中介機構部發牌科;及
- 在切實可行的情況下,盡快申請《證券及期貨條例》第130條下的批准。
最後更新日期: 2020年12月10日