致中介人的通函
透过遥距程序与海外个人客户建立业务关系

2019年6月28日



本通函旨在通知中介人,证券及期货事务监察委员会(证监会)新增一项在网上与海外个人客户建立业务关系的可接受的方式,该方式将于2019年7月5日(即《操守准则》1第5.1段的修订生效后2)起落实。

在透过遥距程序与客户建立业务关系时,要察觉假冒身分的情况可能较为困难。如客户不曾为身分识别的目的而现身,中介人通常无法判断身分证明文件是否属于该客户。现今的科技不能完全消除被假冒身分的风险,而电子交易的速度,多个虚假帐户的开立,以及被盗取身分的使用等因素亦会令被假冒身分的风险增加。

此外,海外银行用以核实客户身分的程序或未能够满足香港的监管规定。若有关的核实程序是由海外银行所执行,证监会在进行调查时亦可能会遇到困难。有关透过遥距程序与客户建立业务关系的新增方式已考虑以上所有风险因素。

在网上与海外个人客户建立业务关系

自2019年7月5日起,只要中介人完成以下所有步骤,证监会将接受以下述方式来核实海外个人客户的身分:

1.    身分证明文件的认证

(a) 取览客户官方的身分证明文件(简称证件,例如生物特征护照或身分证)内的嵌入式数据,或取得证件上有关部分的电子版副本,包括客户的高质素的照片。

(b) 运用适当而有效的流程和应用技术,以认证客户的证件。例如,检查证件的防伪特征或利用可靠及独立的资料来源以核实证件上的数据。如该证件为生物特征护照,认证程序可能包括扫瞄个人资料页,使用光学字元阅读器获取数据,并将所获取的数据与储存于该护照晶片内的客户个人资料进行核对。

(c) 若有任何第三方人仕被委托进行涉及客户个人资料的开户程序,则应事先取得客户的许可和授权,并须设置适当的保护措施以确保客户个人资料的安全和保密。

2.    身分的验证

(a) 运用适当而有效的流程和应用技术3,以取得客户的生物特征数据,并将取得之数据与客户证件内经认证的数据或由其他可靠及独立来源提供的资料进行对比,以核实客户的身分。例如,中介人可实时撷取客户的面部图像,并使用容貌识别技术,将该图像与储存于客户的生物特征护照晶片内的照片加以对比。

(b) 实施适当的保障措施(如数据加密和呈现攻击侦测4),以保护客户的生物特征数据和身分验证过程完整无损,及免受任何潜在的呈现攻击(包括视频重放等的生物特征仿冒)。

3.   客户协议的签立

取得由客户透过电子签署方式5签订的客户协议6

4.   指定的海外银行帐户

(a) 将数额不少于10,000港元的首笔存款或折算为其他货币的相同款额,由以客户名义在受合资格司法管辖区内7的银行监管机构所监督的银行开立的银行帐户(指定海外银行帐户8)成功转帐9至中介人的银行帐户。

证监会在考虑到财务行动特别组织10的相互评核结果后,将会更新合资格司法管辖区的名单(可于证监会网站取览)。为免生疑问,从该名单剔除某司法管辖区的行动并不具追溯效力,与此同时,尽管客户的银行帐户须在合资格司法管辖区开立,该客户无须在有关合资格司法管辖区内居住。

(b) 日后就客户投资帐户作出的所有存款及提款只能透过指定海外银行帐户进行。

5.   备存纪录

就每名客户的开户过程备存适当的纪录,而该等纪录可供随时取览,以进行合规检查及作审计用途。

6.   培训

中介人应确保负责在网上与客户建立业务关系的人员已接受足够的培训,并拥有充足的知识和技能,以施行和监督有关程序。

7.    评估

(a) 在实施系统和相关流程之前及往后至少每年进行一次详尽的评估,以评核所采用的流程和应用技术的适当性及有效性。

(b) 系统实施前的评估及年度检视应由合资格的评估员执行,而该等评估员须具备足够的胜任能力以及拥有相关知识、经验和资源,以进行有关评估或检视。证监会期望系统实施前的评估应由独立评估员执行。

(c) 有关评估及检视的范围应至少涵盖下列方面:

• 考虑到科技的发展,以及当前骇客入侵和仿冒攻击的精密程度,评定所采用的流程和应用技术对确立客户的真实身分是否适当而有效;

• 持续监察和检视程序(包括检视认证身分证明文件和核实身分的解决方案)是否已适当而有效地实施;

• 所采用的流程和应用技术及其后的所有的变动是否均已适当地实施和完成测试,并对测试结果满意;及

• 是否已适当地遵循以上第1至6项载述的所有规定。

(d) 对于每次评估及检视,所编制的评估报告应至少包括以下范畴,并因应相关监管机构作出的要求而提交:

• 有关所采用的流程和应用技术的详细描述;

• 所施行的工作详情,包括评估的范围和方法的说明;

• 一项声明,以确认所采用的流程和应用技术对确立客户的真实身分而言是适当和有效,并就此确认提供依据和理由;

• 说明评估及所采用的流程和应用技术中潜在的限制(如有)。例如,就所应用的技术进行的探讨应涵盖:

- 用于研发及测试该应用技术的数据的代表性、质素及族群多样性

- 应用技术的绩效,包括相关参数(如误识率、拒识率、生物特征配对时的相似值门槛及呈现攻击侦测的错误率等)

- 在处理拥有不同生理特征(如年龄、性别及种族)的客户群时,应用技术的绩效有否任何重大差异

• 对所采用的流程和应用技术的改善建议(如有);及

• 管理层对评估员的建议所作出的回应(如有),及实施任何建议措施的进度及时间表(如适用)。

其他注意事项

中介人的高级管理层,包括核心职能主管,就确保实施恰当的流程和应用技术以核实客户的身分,须承担首要责任。

除了实施前的评估及年度检视外,中介人应定期评估所采用的应用技术的绩效,以确保与中介人建立了业务关系的客户的真实身分已获恰当地确立。如所采用的应用技术变得特别容易受到某类型的攻击,以致未能以令人满意的方式核实客户的真实身分,中介人便应立即停止使用该应用技术与客户建立业务关系,直至有关问题被完全处理。

中介人在与海外客户建立业务关系时,应注意当地监管机构的规定11

中介人亦应参考证监会不时发出的其他相关指引,包括关于开立帐户的《常见问题》,有关文件可于证监会网站(https://www.sfc.hk/web/TC/rules-and-standards/account-opening/)取览。

如对本通函内容有任何疑问,请致电2231 1188与陈丽明女士联络,或联络你的个案主任。


证券及期货事务监察委员会
     中介机构部
     中介机构监察科

SFO/IS/036/2019

1  《证券及期货事务监察委员会持牌人或注册人操守准则》。
2
 见今天发出的《致中介人的通函——修订《操守准则》第5.1段》。
3
   应就采用的应用技术的绩效进行仔细评估及测试,可参考国际准则及最佳做法,例如,ISO/IEC 19795 (生物特征识别性能测试和报告) 及 ISO/IEC 30107 (生物特征识别呈现攻击检测)。
4
   呈现攻击(Presentation attack)指向获取生物特征数据的系统展示假冒的生物特征样本,目的是干扰相关的认证程序。 呈现攻击侦测是指以自动化方式判断该系统有否遭受呈现攻击。 “活体侦测"是其中一类判断呈现攻击的方法,当中涉及量度和分析解剖学特征或非自愿性或自愿性反应,以判断生物特征样本是否取自在获取样本当时所出现的活体。
5
   “电子签署"在《电子交易条例》第2(1)条的定义为与电子纪录相连的或在逻辑上相联的数码形式的任何字母、字样、数目字或其他符号,而该等字母、字样、数目字或其他符号是为认证或承认该纪录的目的而签立或采用的。
6
   《电子交易条例》第17条规定,在合约成立方面,除非合约各方另有协议,否则要约及承约可全部或部分以电子纪录形式表达。
7
     截至本通函的发出日期,合资格司法管辖区为16个,分别为澳洲、奥地利、比利时、加拿大、爱尔兰、以色列、意大利、马来西亚、挪威、葡萄牙、新加坡、西班牙、瑞典、瑞士、英国及美国。
8
     客户可指定多于一个银行帐户,前提是已透过银行转帐完成相同的验证程序。如属以客户名义开立的综合外币帐户,可以任何一种货币进行所需的转帐。如属以客户名义开立的不同货币的独立银行帐户,每个被指定为指定海外银行帐户的帐户都应进行所需的转帐。
9
     若中介人没有取得由收款银行提供有关发送人的足够资料,便应向客户取得令人满意的证据,以确认有关转帐是来自客户的银行帐户。
10
    财务行动特别组织持续对每一名成员进行同侪检视,以评估该组织的建议的落实程度,并就各司法管辖区防止滥用金融体系作非法活动的制度提供详细说明和分析。
11
    例如,一些海外司法管辖区可能在公民投资海外市场或跨境资金转移方面设有限制。


按这里下载文件


最后更新日期 : 2019年6月28日