致持牌法团的通函 - 外间电子数据储存的使用

2019年10月31日



  1. 证券及期货事务监察委员会(证监会)观察到使用外间电子数据储存(包括公共及私有云端储存)的情况日益普遍。金融机构采用这些储存服务是因为其在可扩展性、可用性及节省成本等方面带来的好处。


    A.  引言

  2. 持牌法团须根据《证券及期货条例》(第571章)或《打击洗钱及恐怖分子资金筹集条例》(第615章)确保所须备存的纪录或文件(监管纪录)得以保存及完整无缺。

  3. 根据《证券及期货条例》第130条,持牌法团在未得证监会事先书面批准下,不得将任何处所用作存放关乎它获发牌进行的受规管活动的纪录或文件。在使用外间电子数据储存供应商来存放监管纪录时,持牌法团应继续全面遵从现行监管规定1。持牌法团应确保证监会在行使监管权力2时,其对可阅读形式3的监管纪录的取览权不受限制或不会遭到削弱,及该等监管纪录没有被删除或篡改。若在由证监会或律政司提起的法律程序中须出示监管纪录,则该等纪录的真确性4、完整性和可靠性以及其能否迅速被取览至关重要。

  4. 为了让持牌法团在存放监管纪录方面享有更大的灵活性,以及厘清它们在电子数据方面的一般责任,本通函:

    (a) 载有关于持牌法团将其监管纪录存放于电子数据储存供应商(而非其他根据《证券及期货条例》第130条获批准的处所内)的规定,及阐释有关纪录备存的批准规定;

    (b) 阐释持牌法团在使用电子数据储存供应商以电子方式存放或处理资料时须遵循的监管标准。

    B.  本通函的涵盖范围5

  5. 就本通函而言,电子数据储存供应商6包括以下各项的外间供应商:

    (a) 公共及私有云端服务;

    (b) 设于传统数据中心的数据储存伺服器或装置;

    (c) 电子资料的其他虚拟储存形式;及

    (d) 某些科技服务,而(i)在使用这些服务期间会产生资料,且资料会储存于有关科技服务供应商或其他数据储存供应商,及(ii)该等科技服务供应商可将所产生和储存的资料检索出来7。

  6. 本通函C及D部的规定不适用于以下情况:

    (a) 持牌法团将监管纪录存放于电子数据储存供应商,同时亦将一整套相同的监管纪录存放于由该持牌法团所使用并根据《证券及期货条例》第130条获批准的香港处所,例如当云端储存只用于数据备份或确保数据可用性的用途;或

    (b) 持牌法团使用运算服务,但没有将任何监管纪录存放于电子数据储存供应商,例如当云端运算服务只用作运算及分析用途,而监管纪录是被存放于该持牌法团的处所内。


    C.  有关将监管纪录只存放于电子数据储存供应商时适用的规定

  7. 若持牌法团希望将任何监管纪录只存放于电子数据储存供应商8,便应确保遵从以下规定:

    (a) 该电子数据储存供应商(i)是在香港成立为法团的公司或根据《公司条例》(第622章)注册的非香港公司9,而在这两种情况下均由在香港进行营运的人员担当职员,及(ii)藉位于香港的数据中心向持牌法团提供数据储存(香港电子数据储存供应商)。此外,只存放于该电子数据储存供应商的持牌法团的监管纪录将会在法律或法规所规定须存放有关监管纪录的整个期间内,时刻存放于该数据中心10

    (b) 作为另一选择,若该电子数据储存供应商并非第7(a)段所界定的香港电子数据储存供应商,持牌法团必须取得该电子数据储存供应商有关按证监会可能提出的要求而提供监管纪录和协助的承诺(大致上以本通函附录1所载范本的形式)(有关承诺)。

    (c) 持牌法团应只将监管纪录存放于适当和可靠的电子数据储存供应商,及已顾及到该电子数据储存供应商的操作能力、技术专业知识及财政稳健性。

    (d) 持牌法团应确保其只存放于某电子数据储存供应商的所有监管纪录,全部可应证监会要求在没有不当延误的情况下被取览,及可从该持牌法团就这个目的而根据《证券及期货条例》第130条获批准的香港处所以可阅读形式重现。

    (e) 该持牌法团应确保,(i)若其储存于电子数据储存供应商的监管纪录曾被取览(包括阅读、编写及修改),其能够就此提供以可阅读形式显示的详细稽查线索资料11,及(ii)稽查线索完整记录持牌法团对任何储存于电子数据储存供应商的监管纪录的取览。稽查线索资料应在持牌法团须存放监管纪录的期间内一直存放。持牌法团应被限制只能以唯读方式取览稽查线索资料,并且应确保每名曾取览监管纪录的用户都能够从稽查线索中被独特地识别出来。

    (f) 不论持牌法团使用哪一家电子数据储存供应商,及其使用的电子数据储存供应商在何处设置储存资料的硬件,持牌法团应顾及所有在任何有关司法管辖区12的相关政治及法律13问题,确保证监会在履行职能或行使权力时对监管纪录的有效取览,不会因监管纪录的存放方式而被削弱或不当地延误。

    (g) 持牌法团应指定至少两名在香港为核心职能主管的人士,他们不但需具备相关认识、专业知识及授权,以便随时取览存放于电子数据储存供应商的所有监管纪录,而且能确保证监会在行使法定权力时一旦提出要求,便可在没有不当延误的情况下有效地取览该等纪录。核心职能主管或获其转授有关职能者必须管有所有数码证书、钥匙、密码和保安编码器,以确保能够完全取览存放于电子数据储存供应商的所有监管纪录。核心职能主管将负责确保资讯保安,以防止监管纪录在未经授权下被取览、窜改或销毁。核心职能主管或获其转授有关职能者必须向证监会提供一切所需的协助,以令证监会可确保并及时获得对该公司存放于电子数据储存供应商的所有监管纪录的取览,并且制定所有必需的政策、程序及内部监控措施,确保证监会可于提出要求时在没有不当延误的情况下完全取览所有监管纪录。持牌法团及指定核心职能主管应确保该指定核心职能主管的上述责任在所有时间都能够及将会获得履行。

    (h) 持牌法团应根据《证券及期货条例》第130条就用作存放监管纪录的处所取得批准。见下文D部。


    D. 批准将处所用作存放监管纪录

  8. 在将监管纪录只存放于某电子数据储存供应商之前,符合上述所有规定的持牌法团应:

    (a) 根据《证券及期货条例》第130条为电子数据储存供应商将会用来存放持牌法团监管纪录的数据中心获得批准而提出申请;

    (b) 提供持牌法团的香港主要营业地点的处所的详细资料,而其存放于电子数据储存供应商的所有监管纪录,全部可应证监会要求在没有不当延误的情况下于该处所被完全取览。

    (c) 提供持牌法团于香港的各个分行办事处的详细资料,而其存放于电子数据储存供应商的监管纪录可于该处所被取览。

    上文(b)及(c)所指的主要营业地点及分行办事处亦应是根据《证券及期货条例》第130条获批准或将会获批准的处所。

    持牌法团必须令证监会信纳该等处所适合用作存放监管纪录的用途。  

  9. 持牌法团根据《证券及期货条例》第130条提出的批准申请应附有:

    (a) 若符合第7(a)段的规定:

    (i) 持牌法团就符合第7(a)段的规定所作的确认(有关确认);及
    (ii) 持牌法团致电子数据储存供应商的通知(有关通知)(大致上以本通函附录2所载范本的形式)的副本,以授权和要求电子数据储存供应商向证监会提供持牌法团的纪录,并由电子数据储存供应商加签,作为电子数据储存供应商承认有关授权和要求的证据(有关加签);及

    (b) 若不符合第7(a)段的规定:

    (i) 持牌法团致电子数据储存供应商的有关通知的副本;及
    (ii) 电子数据储存供应商的有关承诺。

    所给予的批准可能受证监会认为在有关情况下属合理的条件规限 14

  10. 持牌法团应在与电子数据储存供应商的服务协议终止、届满、更替或转让之前至少30个历日将建议的过渡安排通知证监会。持牌法团应确保电子数据储存供应商在终止、更替或转让服务协议前,会给予其足够的通知,以便持牌法团能够符合这项规定。


    E. 使用外间数据储存或处理服务的持牌法团的一般责任

  11. 持牌法团应注意其在《适用于证券及期货事务监察委员会持牌人或注册人的管理、监督及内部监控指引》下的责任,即(a)设立有效的政策及程序,以适当地管理公司及其客户就客户数据和与公司业务运作有关的资料(有关资料)而承受的风险,及(b)实施资料管理监控措施,以侦测及防止未经授权而取览、插入、更改或删除有关资料。为妥善管理网络和其他运作风险,使用外间数据储存或处理服务的持牌法团应实施本E部的以下监控措施,不论监管记录是否只存放在电子数据储存供应商内。

  12. 持牌法团应对电子数据储存供应商及与其提供数据储存服务的基础设施、人员及程序有关的监控措施,进行适当的初步尽职审查,以及定期监察电子数据储存供应商的服务交付,初步尽职审查与定期监察需与电子数据储存供应商的服务的关键程度、重要性、规模及范围相称。有关的尽职审查应涵盖:

    (a) 电子数据储存供应商的内部管治,以保护持牌法团的监管纪录(当监管纪录是存放在电子数据储存供应商内的情况下),以及可能包括评估储存设备的实体保安、寄存的类别(即是否为专用或共用硬件)、网络基础设施的保安、资讯科技系统及应用系统、身分及取览的管理、网络风险管理、资讯保安、数据遗失及违规通知、鉴证能力、灾难恢复及业务持续运作程序;及

    (b) 由电子数据储存供应商就储存持牌法团的监管纪录而作出的任何分包安排,特别是关于网络风险管理及资讯保安。

  13. 持牌法团应维持有效的管治程序,以(a)购置、部署及使用作阅读、编写或修改有关资料用途的软件应用程式或服务,及(b)适当地确保持牌法团的有关资料的保安、真实性、可靠性、完整性和保密性,以及其能够适时提供有关资料。

  14. 持牌法团应实施全面的资讯保安政策,以防止未经授权的披露。该政策应包含适当的数据分类框架、不同数据分类级别的说明、为识别数据敏感度而编制的角色和责任清单,及相应的监控措施。持牌法团亦应采取适当的措施,确保电子数据储存供应商能够保护属于机密的有关资料,以防止在蓄意或不慎的情况下披露予未经授权的第三方或被他们所误用。为保护其属于机密的有关资料,持牌法团应在数据静止及传递时将其加密,或制订有效的程序和机制,保障其保密性及安全性。当有关资料被加密时,持牌法团须实施适当的密码匙管理监控措施,持续管有加密及解密匙,并且在证监会行使法定权力期间,要求持牌法团交出任何电子纪录时,确保证监会可于提出要求时在没有不当延误的情况下取览密码匙。

  15. 持牌法团应实施适当的政策、程序及监控措施,以管理用户的取览权,确保有关资料只可由获授权的人员就恰当的目的而作出更改,及免受损害或窜改。一般来说,应禁止不同用户之间共用系统验证码(例如密码),以确保每名曾取览监管纪录的用户都能够被独特地识别出来。

  16. 若持牌法团只是将有关资料的一部分存放在电子数据储存供应商内(不论是否因数据敏感顾虑或其他原因),持牌法团便应制定监控措施,防止有关资料在未经妥善授权的情况下迁移至电子数据储存供应商。

  17. 使用电子数据储存供应商的服务(特别是公共云端)的持牌法团需注意,该等服务的运作及它们在网络威胁方面的风险承担可能有别于在该持牌法团的处所内的运算环境,特别是关于资料保密性、完整性及复原能力,以及资料及保安监控措施的实施。公共云端供应商及用户一般就科技保安及监控措施共同分担责任,而这做法可能较传统的外判模式复杂。不论科技是如何部署的,持牌法团应确保它们清晰界定、明确了解并妥善管理其与电子数据储存供应商之间的责任分配,例如保安设定的配置、工作负载保护及凭证管理。此外,持牌法团可考虑使用保安自动化功能,及由电子数据储存供应商提供的保安服务和工具,以维持一致的保安水平。若有关服务或工具使用加密技术,持牌法团须持续管有上文第14段所述的加密及解密匙。

  18. 若持牌法团使用其他形式的虚拟储存,所实施的监控措施就其更高的复杂程度及保安风险(相对非虚拟环境)而言应属适当。

  19. 若持牌法团在进行其受规管活动时使用外间数据储存或处理服务,则应评估其对服务供应商提供及时和持续不断的服务的依赖程度,以及假如服务中断可能会对持牌法团及其客户带来的运作影响。持牌法团应制订适当的应变计划,确保其在运作方面的抵御能力,以及规定电子数据储存供应商须披露有关数据遗失、违反保安规定,或可能对持牌法团的受规管活动构成重大影响的运作失误的情况。

  20. 持牌法团应制定退出策略,确保可终止外间数据储存或处理服务,而不会对任何运作(对受规管活动的进行至关重要)的持续性造成重大干扰,包括在服务供应商无力偿债的情况下。若监管纪录只储存于电子数据储存供应商内,该策略应清楚地述明,过渡至替代储存解决方案会如何执行(可能包括其他电子数据储存供应商),以及在过渡期间如何确保证监会凭借行使其监管权力而取览监管纪录的权力不会被削弱。退出策略应定期进行检讨及更新(如适用)。

  21. 持牌法团应与电子数据储存供应商制订具有法律约束力的协议,当中订明合约终止条文。合约条文可能包含要求有关电子数据储存供应商须协助过渡至新电子数据储存供应商,或容许将数据移回该持牌法团的处所内储存,以及在适用的情况下,厘清数据及知识产权于合约终止后的拥有权。

  22. 若一家主要电子数据储存供应商向大量金融公司提供数据服务,便可能会产生集中风险,因为当其服务受到重大干扰时,可能会对市场造成影响。持牌法团应视乎其营运规模及其使用电子数据储存供应商的数据储存或处理服务的规模,考虑是否适合使用多于一家电子数据储存供应商,或设立其他安排以确保在运作方面的抵御能力。

     

    F. 遵从《证券及期货条例》第130条

  23. 持牌法团应检视其使用外间电子数据储存的情况,以确保符合《证券及期货条例》第130条(包括就上文第8段所述的批准提出申请)及本通函所载的监管期望。

  24. 若持牌法团的监管纪录在本通函日期前只存放在电子数据储存供应商内,持牌法团应:

    - 没有不当延误地通知证监会中介机构部发牌科;及
    - 就《证券及期货条例》第130条的批准提出申请。

  25. 若持牌法团将监管纪录只存放于电子数据储存供应商的任何数据中心,而该数据中心在本通函日期前已根据《证券及期货条例》第130条获得批准,则持牌法团应:

    - 没有不当延误地向证监会发牌科提供第7(g)段所述的两名核心职能主管的姓名,及有关持牌法团存放在电子数据储存供应商的所有监管纪录全部可应证监会要求于持牌法团的主要营业地点被取览的确认;
    - 在不迟于2020年6月30日前,向证监会发牌科提供第9(a)段所要求的有关确认、有关通知及有关加签的副本,以及有关本通函的其他规定获得遵从的确认。

如对本通函的内容有任何疑问,请致电2231 1767与薛慕贤女士聯络。

证券及期货事务监察委员会
中介机构部
中介机构监察科

连附件


SFO/IS/048/2019 

1 例如《证券及期货(备存纪录)规则》(第571O章)、《证券及期货事务监察委员会持牌人或注册人操守准则》第3项一般原则和第4.3段,及《适用于证券及期货事务监察委员会持牌人或注册人的管理、监督及内部监控指引》(特别是有关“资料管理”的第IV章)。
2
例如,证监会根据《证券及期货条例》第VIII部有权要求交出任何载有调查相关资料的纪录或文件,或要求任何在手令指明的处所内并被合理地相信因在该处所进行的业务而受雇的人交出任何纪录或文件。
3 《证券及期货条例》第189条。
4 指纪录本身的真确性(例如有证据显示纪录是在所述明的时间建立),而不是纪录所载的任何资料的真确性。
5 本通函不适用于实物监管纪录的储存,或已被存放于根据《证券及期货条例》第130条获批准的香港处所的实物监管纪录的电子副本。
6 电子数据储存供应商不包括只执行市场推广或客户服务职能而不存放或无法取览持牌法团任何监管纪录的代理人。
7 持牌法团若拟将监管纪录只存放于科技服务供应商,便应只委聘能够将所产生和储存的资料检索出来的科技服务供应商。
8  即持牌法团没有同时将一整套相同的监管纪录存放于根据《证券及期货条例》第130条获批准并由该持牌法团使用的香港处所。
9 见《公司条例》(第622章)第16部,特别是第776及777条。
10 这并不妨碍持牌法团在香港以外地方备存一套相同的监管纪录。
11 稽查线索或数据取览纪录应(至少)包括时间戳记、受影响档案、事件类型、用户登入名称及用户位置(如IP地址)的资料。
12 例如该司法管辖区是否国际证券事务监察委员会组织《关于谘询、合作及信息交流的多边谅解备忘录》的签署方。
13 例如与保障个人资料有关的法律问题。尤其是,持牌法团在于电子数据储存供应商储存或处理资料时,亦应确保其遵守《个人资料(私隐)条例》(第486章)。
14 《证券及期货条例》第403条。


按这里下载文件

附录文件:
附录1 - 承诺 (pdf 版本)
附录1 - 承诺 (word 版本)
附录2 - 通知 (pdf 版本)
附录2 - 通知 (word 版本)


最后更新日期 : 2019年10月31日