致持牌法團的通函 - 外間電子數據儲存的使用

2019年10月31日



  1. 證券及期貨事務監察委員會(證監會)觀察到使用外間電子數據儲存(包括公共及私有雲端儲存)的情況日益普遍。金融機構採用這些儲存服務是因為其在可擴展性、可用性及節省成本等方面帶來的好處。


    A.  引言

  2. 持牌法團須根據《證券及期貨條例》(第571章)或《打擊洗錢及恐怖分子資金籌集條例》(第615章)確保所須備存的紀錄或文件(監管紀錄)得以保存及完整無缺。

  3. 根據《證券及期貨條例》第130條,持牌法團在未得證監會事先書面批准下,不得將任何處所用作存放關乎它獲發牌進行的受規管活動的紀錄或文件。在使用外間電子數據儲存供應商來存放監管紀錄時,持牌法團應繼續全面遵從現行監管規定1。持牌法團應確保證監會在行使監管權力2時,其對可閱讀形式3的監管紀錄的取覽權不受限制或不會遭到削弱,及該等監管紀錄沒有被刪除或篡改。若在由證監會或律政司提起的法律程序中須出示監管紀錄,則該等紀錄的真確性4、完整性和可靠性以及其能否迅速被取覽至關重要。

  4. 為了讓持牌法團在存放監管紀錄方面享有更大的靈活性,以及釐清它們在電子數據方面的一般責任,本通函:

    (a) 載有關於持牌法團將其監管紀錄存放於電子數據儲存供應商(而非其他根據《證券及期貨條例》第130條獲批准的處所內)的規定,及闡釋有關紀錄備存的批准規定;

    (b) 闡釋持牌法團在使用電子數據儲存供應商以電子方式存放或處理資料時須遵循的監管標準。

    B.  本通函的涵蓋範圍5

  5. 就本通函而言,電子數據儲存供應商6包括以下各項的外間供應商:

    (a) 公共及私有雲端服務;

    (b) 設於傳統數據中心的數據儲存伺服器或裝置;

    (c) 電子資料的其他虛擬儲存形式;及

    (d) 某些科技服務,而(i)在使用這些服務期間會產生資料,且資料會儲存於有關科技服務供應商或其他數據儲存供應商,及(ii)該等科技服務供應商可將所產生和儲存的資料檢索出來7。

  6. 本通函C及D部的規定不適用於以下情況:

    (a) 持牌法團將監管紀錄存放於電子數據儲存供應商,同時亦將一整套相同的監管紀錄存放於由該持牌法團所使用並根據《證券及期貨條例》第130條獲批准的香港處所,例如當雲端儲存只用於數據備份或確保數據可用性的用途;或

    (b) 持牌法團使用運算服務,但沒有將任何監管紀錄存放於電子數據儲存供應商,例如當雲端運算服務只用作運算及分析用途,而監管紀錄是被存放於該持牌法團的處所內。


    C.  有關將監管紀錄只存放於電子數據儲存供應商時適用的規定

  7. 若持牌法團希望將任何監管紀錄只存放於電子數據儲存供應商8,便應確保遵從以下規定:

    (a) 該電子數據儲存供應商(i)是在香港成立為法團的公司或根據《公司條例》(第622章)註冊的非香港公司9,而在這兩種情況下均由在香港進行營運的人員擔當職員,及(ii)藉位於香港的數據中心向持牌法團提供數據儲存(香港電子數據儲存供應商)。此外,只存放於該電子數據儲存供應商的持牌法團的監管紀錄將會在法律或法規所規定須存放有關監管紀錄的整個期間內,時刻存放於該數據中心10

    (b) 作為另一選擇,若該電子數據儲存供應商並非第7(a)段所界定的香港電子數據儲存供應商,持牌法團必須取得該電子數據儲存供應商有關按證監會可能提出的要求而提供監管紀錄和協助的承諾(大致上以本通函附錄1所載範本的形式)(有關承諾)。

    (c) 持牌法團應只將監管紀錄存放於適當和可靠的電子數據儲存供應商,及已顧及到該電子數據儲存供應商的操作能力、技術專業知識及財政穩健性。

    (d) 持牌法團應確保其只存放於某電子數據儲存供應商的所有監管紀錄,全部可應證監會要求在沒有不當延誤的情況下被取覽,及可從該持牌法團就這個目的而根據《證券及期貨條例》第130條獲批准的香港處所以可閱讀形式重現。

    (e) 該持牌法團應確保,(i)若其儲存於電子數據儲存供應商的監管紀錄曾被取覽(包括閱讀、編寫及修改),其能夠就此提供以可閱讀形式顯示的詳細稽查線索資料11,及(ii)稽查線索完整記錄持牌法團對任何儲存於電子數據儲存供應商的監管紀錄的取覽。稽查線索資料應在持牌法團須存放監管紀錄的期間內一直存放。持牌法團應被限制只能以唯讀方式取覽稽查線索資料,並且應確保每名曾取覽監管紀錄的用戶都能夠從稽查線索中被獨特地識別出來。

    (f) 不論持牌法團使用哪一家電子數據儲存供應商,及其使用的電子數據儲存供應商在何處設置儲存資料的硬件,持牌法團應顧及所有在任何有關司法管轄區12的相關政治及法律13問題,確保證監會在履行職能或行使權力時對監管紀錄的有效取覽,不會因監管紀錄的存放方式而被削弱或不當地延誤。

    (g) 持牌法團應指定至少兩名在香港為核心職能主管的人士,他們不但需具備相關認識、專業知識及授權,以便隨時取覽存放於電子數據儲存供應商的所有監管紀錄,而且能確保證監會在行使法定權力時一旦提出要求,便可在沒有不當延誤的情況下有效地取覽該等紀錄。核心職能主管或獲其轉授有關職能者必須管有所有數碼證書、鑰匙、密碼和保安編碼器,以確保能夠完全取覽存放於電子數據儲存供應商的所有監管紀錄。核心職能主管將負責確保資訊保安,以防止監管紀錄在未經授權下被取覽、竄改或銷毀。核心職能主管或獲其轉授有關職能者必須向證監會提供一切所需的協助,以令證監會可確保並及時獲得對該公司存放於電子數據儲存供應商的所有監管紀錄的取覽,並且制定所有必需的政策、程序及內部監控措施,確保證監會可於提出要求時在沒有不當延誤的情況下完全取覽所有監管紀錄。持牌法團及指定核心職能主管應確保該指定核心職能主管的上述責任在所有時間都能夠及將會獲得履行。

    (h) 持牌法團應根據《證券及期貨條例》第130條就用作存放監管紀錄的處所取得批准。見下文D部。


    D. 批准將處所用作存放監管紀錄

  8. 在將監管紀錄只存放於某電子數據儲存供應商之前,符合上述所有規定的持牌法團應:

    (a) 根據《證券及期貨條例》第130條為電子數據儲存供應商將會用來存放持牌法團監管紀錄的數據中心獲得批准而提出申請;

    (b) 提供持牌法團的香港主要營業地點的處所的詳細資料,而其存放於電子數據儲存供應商的所有監管紀錄,全部可應證監會要求在沒有不當延誤的情況下於該處所被完全取覽。

    (c) 提供持牌法團於香港的各個分行辦事處的詳細資料,而其存放於電子數據儲存供應商的監管紀錄可於該處所被取覽。

    上文(b)及(c)所指的主要營業地點及分行辦事處亦應是根據《證券及期貨條例》第130條獲批准或將會獲批准的處所。

    持牌法團必須令證監會信納該等處所適合用作存放監管紀錄的用途。  

  9. 持牌法團根據《證券及期貨條例》第130條提出的批准申請應附有:

    (a) 若符合第7(a)段的規定:

    (i) 持牌法團就符合第7(a)段的規定所作的確認(有關確認);及
    (ii) 持牌法團致電子數據儲存供應商的通知(有關通知)(大致上以本通函附錄2所載範本的形式)的副本,以授權和要求電子數據儲存供應商向證監會提供持牌法團的紀錄,並由電子數據儲存供應商加簽,作為電子數據儲存供應商承認有關授權和要求的證據(有關加簽);及

    (b) 若不符合第7(a)段的規定:

    (i) 持牌法團致電子數據儲存供應商的有關通知的副本;及
    (ii) 電子數據儲存供應商的有關承諾。

    所給予的批准可能受證監會認為在有關情況下屬合理的條件規限 14

  10. 持牌法團應在與電子數據儲存供應商的服務協議終止、屆滿、更替或轉讓之前至少30個曆日將建議的過渡安排通知證監會。持牌法團應確保電子數據儲存供應商在終止、更替或轉讓服務協議前,會給予其足夠的通知,以便持牌法團能夠符合這項規定。


    E. 使用外間數據儲存或處理服務的持牌法團的一般責任

  11. 持牌法團應注意其在《適用於證券及期貨事務監察委員會持牌人或註冊人的管理、監督及內部監控指引》下的責任,即(a)設立有效的政策及程序,以適當地管理公司及其客戶就客戶數據和與公司業務運作有關的資料(有關資料)而承受的風險,及(b)實施資料管理監控措施,以偵測及防止未經授權而取覽、插入、更改或刪除有關資料。為妥善管理網絡和其他運作風險,使用外間數據儲存或處理服務的持牌法團應實施本E部的以下監控措施,不論監管記錄是否只存放在電子數據儲存供應商內。

  12. 持牌法團應對電子數據儲存供應商及與其提供數據儲存服務的基礎設施、人員及程序有關的監控措施,進行適當的初步盡職審查,以及定期監察電子數據儲存供應商的服務交付,初步盡職審查與定期監察需與電子數據儲存供應商的服務的關鍵程度、重要性、規模及範圍相稱。有關的盡職審查應涵蓋:

    (a) 電子數據儲存供應商的內部管治,以保護持牌法團的監管紀錄(當監管紀錄是存放在電子數據儲存供應商內的情況下),以及可能包括評估儲存設備的實體保安、寄存的類別(即是否為專用或共用硬件)、網絡基礎設施的保安、資訊科技系統及應用系統、身分及取覽的管理、網絡風險管理、資訊保安、數據遺失及違規通知、鑑證能力、災難恢復及業務持續運作程序;及

    (b) 由電子數據儲存供應商就儲存持牌法團的監管紀錄而作出的任何分包安排,特別是關於網絡風險管理及資訊保安。

  13. 持牌法團應維持有效的管治程序,以(a)購置、部署及使用作閱讀、編寫或修改有關資料用途的軟件應用程式或服務,及(b)適當地確保持牌法團的有關資料的保安、真實性、可靠性、完整性和保密性,以及其能夠適時提供有關資料。

  14. 持牌法團應實施全面的資訊保安政策,以防止未經授權的披露。該政策應包含適當的數據分類框架、不同數據分類級別的說明、為識別數據敏感度而編製的角色和責任清單,及相應的監控措施。持牌法團亦應採取適當的措施,確保電子數據儲存供應商能夠保護屬於機密的有關資料,以防止在蓄意或不慎的情況下披露予未經授權的第三方或被他們所誤用。為保護其屬於機密的有關資料,持牌法團應在數據靜止及傳遞時將其加密,或制訂有效的程序和機制,保障其保密性及安全性。當有關資料被加密時,持牌法團須實施適當的密碼匙管理監控措施,持續管有加密及解密匙,並且在證監會行使法定權力期間,要求持牌法團交出任何電子紀錄時,確保證監會可於提出要求時在沒有不當延誤的情況下取覽密碼匙。

  15. 持牌法團應實施適當的政策、程序及監控措施,以管理用戶的取覽權,確保有關資料只可由獲授權的人員就恰當的目的而作出更改,及免受損害或竄改。一般來說,應禁止不同用戶之間共用系統驗證碼(例如密碼),以確保每名曾取覽監管紀錄的用戶都能夠被獨特地識別出來。

  16. 若持牌法團只是將有關資料的一部分存放在電子數據儲存供應商內(不論是否因數據敏感顧慮或其他原因),持牌法團便應制定監控措施,防止有關資料在未經妥善授權的情況下遷移至電子數據儲存供應商。

  17. 使用電子數據儲存供應商的服務(特別是公共雲端)的持牌法團需注意,該等服務的運作及它們在網絡威脅方面的風險承擔可能有別於在該持牌法團的處所內的運算環境,特別是關於資料保密性、完整性及復原能力,以及資料及保安監控措施的實施。公共雲端供應商及用戶一般就科技保安及監控措施共同分擔責任,而這做法可能較傳統的外判模式複雜。不論科技是如何部署的,持牌法團應確保它們清晰界定、明確了解並妥善管理其與電子數據儲存供應商之間的責任分配,例如保安設定的配置、工作負載保護及憑證管理。此外,持牌法團可考慮使用保安自動化功能,及由電子數據儲存供應商提供的保安服務和工具,以維持一致的保安水平。若有關服務或工具使用加密技術,持牌法團須持續管有上文第14段所述的加密及解密匙。

  18. 若持牌法團使用其他形式的虛擬儲存,所實施的監控措施就其更高的複雜程度及保安風險(相對非虛擬環境)而言應屬適當。

  19. 若持牌法團在進行其受規管活動時使用外間數據儲存或處理服務,則應評估其對服務供應商提供及時和持續不斷的服務的依賴程度,以及假如服務中斷可能會對持牌法團及其客戶帶來的運作影響。持牌法團應制訂適當的應變計劃,確保其在運作方面的抵禦能力,以及規定電子數據儲存供應商須披露有關數據遺失、違反保安規定,或可能對持牌法團的受規管活動構成重大影響的運作失誤的情況。

  20. 持牌法團應制定退出策略,確保可終止外間數據儲存或處理服務,而不會對任何運作(對受規管活動的進行至關重要)的持續性造成重大干擾,包括在服務供應商無力償債的情況下。若監管紀錄只儲存於電子數據儲存供應商內,該策略應清楚地述明,過渡至替代儲存解決方案會如何執行(可能包括其他電子數據儲存供應商),以及在過渡期間如何確保證監會憑藉行使其監管權力而取覽監管紀錄的權力不會被削弱。退出策略應定期進行檢討及更新(如適用)。

  21. 持牌法團應與電子數據儲存供應商制訂具有法律約束力的協議,當中訂明合約終止條文。合約條文可能包含要求有關電子數據儲存供應商須協助過渡至新電子數據儲存供應商,或容許將數據移回該持牌法團的處所內儲存,以及在適用的情況下,釐清數據及知識產權於合約終止後的擁有權。

  22. 若一家主要電子數據儲存供應商向大量金融公司提供數據服務,便可能會產生集中風險,因為當其服務受到重大干擾時,可能會對市場造成影響。持牌法團應視乎其營運規模及其使用電子數據儲存供應商的數據儲存或處理服務的規模,考慮是否適合使用多於一家電子數據儲存供應商,或設立其他安排以確保在運作方面的抵禦能力。

     

    F. 遵從《證券及期貨條例》第130條

  23. 持牌法團應檢視其使用外間電子數據儲存的情況,以確保符合《證券及期貨條例》第130條(包括就上文第8段所述的批准提出申請)及本通函所載的監管期望。

  24. 若持牌法團的監管紀錄在本通函日期前只存放在電子數據儲存供應商內,持牌法團應:

    - 沒有不當延誤地通知證監會中介機構部發牌科;及
    - 就《證券及期貨條例》第130條的批准提出申請。

  25. 若持牌法團將監管紀錄只存放於電子數據儲存供應商的任何數據中心,而該數據中心在本通函日期前已根據《證券及期貨條例》第130條獲得批准,則持牌法團應:

    - 沒有不當延誤地向證監會發牌科提供第7(g)段所述的兩名核心職能主管的姓名,及有關持牌法團存放在電子數據儲存供應商的所有監管紀錄全部可應證監會要求於持牌法團的主要營業地點被取覽的確認;
    - 在不遲於2020年6月30日前,向證監會發牌科提供第9(a)段所要求的有關確認、有關通知及有關加簽的副本,以及有關本通函的其他規定獲得遵從的確認。

如對本通函的內容有任何疑問,請致電2231 1767與薛慕賢女士聯絡。

證券及期貨事務監察委員會
中介機構部
中介機構監察科

連附件


SFO/IS/048/2019 

1 例如《證券及期貨(備存紀錄)規則》(第571O章)、《證券及期貨事務監察委員會持牌人或註冊人操守準則》第3項一般原則和第4.3段,及《適用於證券及期貨事務監察委員會持牌人或註冊人的管理、監督及內部監控指引》(特別是有關“資料管理”的第IV章)。
2
例如,證監會根據《證券及期貨條例》第VIII部有權要求交出任何載有調查相關資料的紀錄或文件,或要求任何在手令指明的處所內並被合理地相信因在該處所進行的業務而受僱的人交出任何紀錄或文件。
3 《證券及期貨條例》第189條。
4 指紀錄本身的真確性(例如有證據顯示紀錄是在所述明的時間建立),而不是紀錄所載的任何資料的真確性。
5 本通函不適用於實物監管紀錄的儲存,或已被存放於根據《證券及期貨條例》第130條獲批准的香港處所的實物監管紀錄的電子副本。
6 電子數據儲存供應商不包括只執行市場推廣或客戶服務職能而不存放或無法取覽持牌法團任何監管紀錄的代理人。
7 持牌法團若擬將監管紀錄只存放於科技服務供應商,便應只委聘能夠將所產生和儲存的資料檢索出來的科技服務供應商。
8  即持牌法團沒有同時將一整套相同的監管紀錄存放於根據《證券及期貨條例》第130條獲批准並由該持牌法團使用的香港處所。
9 見《公司條例》(第622章)第16部,特別是第776及777條。
10 這並不妨礙持牌法團在香港以外地方備存一套相同的監管紀錄。
11 稽查線索或數據取覽紀錄應(至少)包括時間戳記、受影響檔案、事件類型、用戶登入名稱及用戶位置(如IP地址)的資料。
12 例如該司法管轄區是否國際證券事務監察委員會組織《關於諮詢、合作及信息交流的多邊諒解備忘錄》的簽署方。
13 例如與保障個人資料有關的法律問題。尤其是,持牌法團在於電子數據儲存供應商儲存或處理資料時,亦應確保其遵守《個人資料(私隱)條例》(第486章)。
14 《證券及期貨條例》第403條。


按這裡下載文件

附錄文件:
附錄1 - 承諾 (pdf 版本)
附錄1 - 承諾 (word 版本)
附錄2 - 通知 (pdf 版本)
附錄2 - 通知 (word 版本)


最後更新日期 : 2019年10月31日