致中介人的通函
透過遙距程序與海外個人客戶建立業務關係

2019年6月28日



本通函旨在通知中介人,證券及期貨事務監察委員會(證監會)新增一項在網上與海外個人客戶建立業務關係的可接受的方式,該方式將於2019年7月5日(即《操守準則》1第5.1段的修訂生效後2)起落實。

在透過遙距程序與客戶建立業務關係時,要察覺假冒身分的情況可能較為困難。如客戶不曾為身分識別的目的而現身,中介人通常無法判斷身分證明文件是否屬於該客戶。現今的科技不能完全消除被假冒身分的風險,而電子交易的速度,多個虛假帳戶的開立,以及被盜取身分的使用等因素亦會令被假冒身分的風險增加。

此外,海外銀行用以核實客戶身分的程序或未能夠滿足香港的監管規定。若有關的核實程序是由海外銀行所執行,證監會在進行調查時亦可能會遇到困難。有關透過遙距程序與客戶建立業務關係的新增方式已考慮以上所有風險因素。

在網上與海外個人客戶建立業務關係

自2019年7月5日起,只要中介人完成以下所有步驟,證監會將接受以下述方式來核實海外個人客戶的身分:

1.    身分證明文件的認證

(a) 取覽客戶官方的身分證明文件(簡稱證件,例如生物特徵護照或身分證)內的嵌入式數據,或取得證件上有關部分的電子版副本,包括客戶的高質素的照片。

(b) 運用適當而有效的流程和應用技術,以認證客戶的證件。例如,檢查證件的防偽特徵或利用可靠及獨立的資料來源以核實證件上的數據。如該證件為生物特徵護照,認證程序可能包括掃瞄個人資料頁,使用光學字元閱讀器獲取數據,並將所獲取的數據與儲存於該護照晶片內的客戶個人資料進行核對。

(c) 若有任何第三方人仕被委托進行涉及客戶個人資料的開戶程序,則應事先取得客戶的許可和授權,並須設置適當的保護措施以確保客戶個人資料的安全和保密。

2.    身分的驗證

(a) 運用適當而有效的流程和應用技術3,以取得客戶的生物特徵數據,並將取得之數據與客戶證件內經認證的數據或由其他可靠及獨立來源提供的資料進行對比,以核實客戶的身分。例如,中介人可實時擷取客戶的面部圖像,並使用容貌識別技術,將該圖像與儲存於客戶的生物特徵護照晶片內的照片加以對比。

(b) 實施適當的保障措施(如數據加密和呈現攻擊偵測4),以保護客戶的生物特徵數據和身分驗證過程完整無損,及免受任何潛在的呈現攻擊(包括視頻重放等的生物特徵仿冒)。

3.   客戶協議的簽立

取得由客戶透過電子簽署方式5簽訂的客戶協議6

4.   指定的海外銀行帳戶

(a) 將數額不少於10,000港元的首筆存款或折算為其他貨幣的相同款額,由以客戶名義在受合資格司法管轄區內7的銀行監管機構所監督的銀行開立的銀行帳戶(指定海外銀行帳戶8)成功轉帳9至中介人的銀行帳戶。

證監會在考慮到財務行動特別組織10的相互評核結果後,將會更新合資格司法管轄區的名單(可於證監會網站取覽)。為免生疑問,從該名單剔除某司法管轄區的行動並不具追溯效力,與此同時,儘管客戶的銀行帳戶須在合資格司法管轄區開立,該客戶無須在有關合資格司法管轄區內居住。

(b) 日後就客戶投資帳戶作出的所有存款及提款只能透過指定海外銀行帳戶進行。

5.   備存紀錄

就每名客戶的開戶過程備存適當的紀錄,而該等紀錄可供隨時取覽,以進行合規檢查及作審計用途。

6.   培訓

中介人應確保負責在網上與客戶建立業務關係的人員已接受足夠的培訓,並擁有充足的知識和技能,以施行和監督有關程序。

7.    評估

(a) 在實施系統和相關流程之前及往後至少每年進行一次詳盡的評估,以評核所採用的流程和應用技術的適當性及有效性。

(b) 系統實施前的評估及年度檢視應由合資格的評估員執行,而該等評估員須具備足夠的勝任能力以及擁有相關知識、經驗和資源,以進行有關評估或檢視。證監會期望系統實施前的評估應由獨立評估員執行。

(c) 有關評估及檢視的範圍應至少涵蓋下列方面:

• 考慮到科技的發展,以及當前駭客入侵和仿冒攻擊的精密程度,評定所採用的流程和應用技術對確立客戶的真實身分是否適當而有效;

• 持續監察和檢視程序(包括檢視認證身分證明文件和核實身分的解決方案)是否已適當而有效地實施;

• 所採用的流程和應用技術及其後的所有的變動是否均已適當地實施和完成測試,並對測試結果滿意;及

• 是否已適當地遵循以上第1至6項載述的所有規定。

(d) 對於每次評估及檢視,所編製的評估報告應至少包括以下範疇,並因應相關監管機構作出的要求而提交:

• 有關所採用的流程和應用技術的詳細描述;

• 所施行的工作詳情,包括評估的範圍和方法的說明;

• 一項聲明,以確認所採用的流程和應用技術對確立客戶的真實身分而言是適當和有效,並就此確認提供依據和理由;

• 說明評估及所採用的流程和應用技術中潛在的限制(如有)。例如,就所應用的技術進行的探討應涵蓋:

- 用於研發及測試該應用技術的數據的代表性、質素及族群多樣性

- 應用技術的績效,包括相關參數(如誤識率、拒識率、生物特徵配對時的相似值門檻及呈現攻擊偵測的錯誤率等)

- 在處理擁有不同生理特徵(如年齡、性別及種族)的客戶群時,應用技術的績效有否任何重大差異

• 對所採用的流程和應用技術的改善建議(如有);及

• 管理層對評估員的建議所作出的回應(如有),及實施任何建議措施的進度及時間表(如適用)。

其他注意事項

中介人的高級管理層,包括核心職能主管,就確保實施恰當的流程和應用技術以核實客戶的身分,須承擔首要責任。

除了實施前的評估及年度檢視外,中介人應定期評估所採用的應用技術的績效,以確保與中介人建立了業務關係的客戶的真實身分已獲恰當地確立。如所採用的應用技術變得特別容易受到某類型的攻擊,以致未能以令人滿意的方式核實客戶的真實身分,中介人便應立即停止使用該應用技術與客戶建立業務關係,直至有關問題被完全處理。

中介人在與海外客戶建立業務關係時,應注意當地監管機構的規定11

中介人亦應參考證監會不時發出的其他相關指引,包括關於開立帳戶的《常見問題》,有關文件可於證監會網站(https://www.sfc.hk/web/TC/rules-and-standards/account-opening/)取覽。

如對本通函內容有任何疑問,請致電2231 1188與陳麗明女士聯絡,或聯絡你的個案主任。


證券及期貨事務監察委員會
     中介機構部
     中介機構監察科

SFO/IS/036/2019

1  《證券及期貨事務監察委員會持牌人或註冊人操守準則》。
2
 見今天發出的《致中介人的通函——修訂《操守準則》第5.1段》。
3
   應就採用的應用技術的績效進行仔細評估及測試,可參考國際準則及最佳做法,例如,ISO/IEC 19795 (生物特徵識別性能測試和報告) 及 ISO/IEC 30107 (生物特徵識別呈現攻擊檢測)。
4
   呈現攻擊(Presentation attack)指向獲取生物特徵數據的系統展示假冒的生物特徵樣本,目的是干擾相關的認證程序。 呈現攻擊偵測是指以自動化方式判斷該系統有否遭受呈現攻擊。 “活體偵測"是其中一類判斷呈現攻擊的方法,當中涉及量度和分析解剖學特徵或非自願性或自願性反應,以判斷生物特徵樣本是否取自在獲取樣本當時所出現的活體。
5
   “電子簽署"在《電子交易條例》第2(1)條的定義為與電子紀錄相連的或在邏輯上相聯的數碼形式的任何字母、字樣、數目字或其他符號,而該等字母、字樣、數目字或其他符號是為認證或承認該紀錄的目的而簽立或採用的。
6
   《電子交易條例》第17條規定,在合約成立方面,除非合約各方另有協議,否則要約及承約可全部或部分以電子紀錄形式表達。
7
     截至本通函的發出日期,合資格司法管轄區為16個,分別為澳洲、奧地利、比利時、加拿大、愛爾蘭、以色列、意大利、馬來西亞、挪威、葡萄牙、新加坡、西班牙、瑞典、瑞士、英國及美國。
8
     客戶可指定多於一個銀行帳戶,前提是已透過銀行轉帳完成相同的驗證程序。如屬以客戶名義開立的綜合外幣帳戶,可以任何一種貨幣進行所需的轉帳。如屬以客戶名義開立的不同貨幣的獨立銀行帳戶,每個被指定為指定海外銀行帳戶的帳戶都應進行所需的轉帳。
9
     若中介人沒有取得由收款銀行提供有關發送人的足夠資料,便應向客戶取得令人滿意的證據,以確認有關轉帳是來自客戶的銀行帳戶。
10
    財務行動特別組織持續對每一名成員進行同儕檢視,以評估該組織的建議的落實程度,並就各司法管轄區防止濫用金融體系作非法活動的制度提供詳細說明和分析。
11
    例如,一些海外司法管轄區可能在公民投資海外市場或跨境資金轉移方面設有限制。


按這裡下載文件


最後更新日期 : 2019年6月28日