擁抱監管之政策詳讀篇
虛擬資產在香港是否屬於投資產品、以及虛擬資產管理公司如何受監管一度是香港投資界的關注話題。
隨着香港證監會的公告書發佈,這一問題被正式賦予了答案:
虛擬資產在香港屬於投資產品,但經營虛擬資產期貨合約可能屬違法,虛擬資產管理公司同樣需要受到證監會監管,持牌公司經營此類產品必須符合SFC規定的嚴格條件。
系列閱讀:
·準備上考場了麼? --詳解SFC立場書 I & II
·備考必讀 --詳解SFC立場書 III & IV
·幣圈資管早知道 | 公告書附錄詳讀:V & VI
·幣圈資管早知道 | 公告書附錄詳讀:VII & VIII
今日學習:IX. 交易平臺及網絡安全 以及 X.利益衝突
**
IX :交易平臺及網絡安全
**
平臺營運者應有效管理及充分監督平臺(包括其交易系統及託管基礎設施)的設計、 開發、應用及運作。平臺營運者應就平臺的運作訂立並實施書面的內部政策及程序, 以確保下列事項:
·平臺營運者的關鍵人員應具備必要的專業資格、管理和技術經驗,以確保適當 及持續提供由平臺營運者所供應的虛擬資產交易服務。平臺營運者應識別關鍵人員(例如平臺的創辦人或首席開發員),並制定計劃以減低相關的關鍵人員風險;
·平臺營運者應至少有一名負責人員負責交易平臺的整體管理及監督;
·應在交易、風險及合規部門共同提供意見下訂有正式的管治程序;
·應設有清楚界定的彙報途徑,將監督和彙報職責指派予合適的職員執行;
·應設有管理監控措施及監督管制措施,用以管理與其客戶使用交易系統相關的風險
平臺營運者應進行定期檢視,以確保這些內部政策及程序能配合不斷變化的市況及監管發展,並從速對任何已識別的不足之處作出糾正。
平臺營運者應爲平臺的設計、開發、應用及運作調配具備足夠資格的職員、專才、技術設備及財政資源。
平臺營運者應確保其有聯繫實體遵循本條款及條件內此部分的規定。
作爲發牌條件所規定的年度檢視工作的一部分,平臺營運者應安排具備合適資格的獨立專業人士定期進行技術審查(至少每年一次),從而使其本身及其有聯繫實體已充分遵循本條款及條件內此部分的規定。
平臺營運者應以適當技能、小心審慎和勤勉盡責的態度揀選及委任獨立的專業人士,並應考慮他們在檢視虛擬資產相關技術方面的經驗和過往紀錄。
平臺營運者在識別出任何違規行爲時,應採取及應確保其有聯繫實體採取及時的糾正措施。
平臺穩健性:
平臺營運者應確保平臺的穩健性,將其系統的可靠性、安全性及容量維持在高水平, 並設有適當的應變措施。
系統可靠性:
平臺營運者應就係統升級及維護訂有書面標準運作程序。標準運作程序需包含:
·通訊方式,以及如何處理仍在掛盤且有待執行的交易指示;
·有關在系統停機後及在恢復持續交易前有多少時間輸入、更改或取消交易指示的資料
·適用於在預期及計劃之外,並對有序市場構成影響的系統故障的程序
平臺營運者應確保其交易系統及對系統的所有改動(例如實施新的系統或將現有系統 升級)在應用前均經過測試,並定期進行檢視,以確保系統及所有改動的可靠性。具體來說,平臺營運者在應用交易系統及其系統改動前應至少進行以下事項:
·由高級管理人員檢視及簽署確認測試結果
·系統及數據的完整備份
·制訂應變計劃,以在交易系統的新版本出現任何重大及無法復原的錯誤時,回滾至先前的版本
·平臺營運者應就交易系統的所有改動備存清晰的審計線索
如平臺營運者計劃中斷系統以進行升級和測試其系統,且有關係統中斷可能對客戶構成影響,平臺營運者便應在切實可行的情況下儘早通知其客戶。
系統安全性:
平臺營運者應採取充足、最新及適當的保安監控措施,以保護平臺免被濫用。保安監 控措施至少應包括:
·藉着可靠的驗證方式及技術以確保只有獲授權的人士方可進入平臺:
·只准許其職員在有需要的情況下取覽有關在平臺上發出的交易指示及已執行的交易買賣資料,使平臺妥善及有效率地運作,並時刻讓高級管理人員知悉每名有關職員的身份(列出職位及部門)及其可查閱的資料 + 需要查閱有關資料的理由 + 資料是否有變動及變動理由。
·備份一份充足的記錄供查閱,記錄有權進入平臺的職員身份和職務,查閱的資料,查閱時間,有關查詢的任何授權以及獲取資料的理由。
·設有足夠及有效的系統和監控措施,以防範和偵測其職員有否泄漏或濫 用他們有權查閱在平臺上所發出的交易指示及/或在該平臺上執行的交易資料。
·依照行業最佳辦法及國際標準設立的最新數據加密及安全轉移技術,以保 障儲存在平臺上及在內部與外間網絡之間的傳遞的資料的保密性及完整性
·最新的安全工具以檢測、預防及阻止任何潛在入侵、違反安全規定及網絡攻擊的情況。
·充足的內部程序及爲平臺營運者的職員提供的培訓,及向其客戶提供定期的警示及教材,以提高他們對網絡安全的重要性的意識,及需嚴格遵循與系統有關的安全規定。
平臺營運者應確保其平臺設有有效的監控措施,使其在有需要時可:
·防止出現“胖手指”錯誤的情況,例如在爲買賣盤價格及數量輸入限價或上下限量;(“胖手指”是在瞬息萬變的電子金融市場中,交易員必須以迅速的動作進行操作,高強度的工作加上巨大的壓力使得他有可能出現按錯鍵盤的現象,其僱主也將因此損失慘重。)
·及時阻止平臺接納客戶的交易指示,例如由黑客發出可疑的欺詐交易;
·取消任何未執行的交易指示
平臺營運者在推出交易平臺和其後定期對現有服務進行任何重大的改進前,應進行嚴格及獨立的網絡保安評估。網絡保安評估的範圍應至少涵蓋:
·應用程序的安全(桌面端/WEB端/APP應用程序)
·錢包安全
·物理實地安全
·網絡及系統安全(包括滲透測試)
系統容量
平臺營運者應確保:
·定期審查平臺的容量使用情況,並訂有適當的容量規劃。在進行容量規劃時,平臺營運者應決定所需的備用容量水平及就此備存有關記錄;
·對平臺的容量定期進行壓力測試,以確定在不同的模擬市場下的系統表現,並以文件載明壓力測試的結果及爲解決壓力測試所發現的問題而採取的任何行動;
·平臺的容量足以處理在營業額及市場成交量方面任何可預見的增長;
·設有應急安排,並已將有關詳情告知客戶:
·當平臺的容量超限時能處理客戶的交易指令
·向客戶說明可用以執行交易指令的其他途徑
應急措施
平臺營運者應制定一份書面應急計劃,以處理與平臺有關的緊急情況及中斷事故,包括在系統復原後檢查及確保數據的完整性,及確保交易在系統恢復運作後可以公平和有序的方式進行。
應急計劃至少應包括:
·適當的應急設施,使平臺營運者可在緊急情況下繼續提供其交易服務或有關執行交易指示的其他安排;
·確保業務記錄、客戶及交易數據庫、服務器及證明文件均在安全的離線位置存有備份。在辦公室以外地方的儲存一般須設有妥善的安保措施;
·有經過培訓的員工處理客戶及監管當局的查詢;
平臺營運者應確保後備設施及應變計劃至少每年進行一次有關可行性及充足性方面的檢討、更新及測試。
如出現重大延誤或故障,平臺營運者應及時:
·根據應急計劃糾正有關情況
·在切實可行的情況下儘快通知客戶有關情況,及他們將會如何處理客戶有待執行的交易指示及存取指示
·在切實可行的情況下儘快向證監會作出彙報
**
X :利益衝突
**
平臺營運者應避免並應確保其有聯繫實體避免在與客戶或替客戶進行的交易中 佔有任何重大利益,或因有某項關係導致出現實際或潛在的利益衝突。
若平臺營運者或其有聯繫實體無法避免在任何實際或潛在的利益衝突情況中行事,應向客戶作出適當的披露,並採取一切合理步驟以管理有關衝突,及確保客戶獲得公平對待。
平臺營運者不應參與自營交易。“自營交易”指爲以下賬戶進行的交易活動:
·以主要受益人進行交易的平臺運營者賬戶
·本身與平臺營運者屬同一公司集團的公司,並以主要受益人身份進行買賣的任何賬戶
·平臺營運者或本身爲平臺營運者屬同一公司集團的公司的任何擁有權益的賬戶
平臺營運者不應參與自營的莊家活動。
僱員的交易
平臺營運者應設有用來管理限制僱員就虛擬資產進行交易的政策,並以書面方式將有關政 策傳達給僱員,以消除、避免、管理或披露因這些交易而可能產生的實際或潛在利益衝突:
·僱員一詞包括平臺營運者或其有聯繫實體的董事(非執行董事除外)
·關聯賬戶一詞指僱員的未成年子女的賬戶及僱員持有任何權益的賬戶
若平臺營運者或有聯繫實體的僱員獲准在自己的賬戶和關聯賬戶內進行虛擬資產交易:
·書面政策應指明僱員可在哪些情況下於自己的賬戶和關聯賬戶內進行虛擬資產交易(特別是掌握非公開消息的僱員應被禁止買賣相關虛擬資產)
·若這些賬戶是在平臺營運者的交易平臺上開立:
·僱員應按規定識別有關賬戶,並就此向平臺營運者的高級管理人員作出彙報
·僱員應按規定通過平臺營運者進行交易
·在僱員自己的賬戶和關聯賬戶內進行的交易應被彙報予平臺營運者的高級管理人員,並由高級管理人員密切監察這些交易,而高級管理人員不應在有關交易中擁有任何實益或其他權益,及應維持程序以監督違規行爲,並確保平臺營運者對這些交易或買賣指示的處理不損害平臺營運者其他客戶的利益
·任何在僱員自己的賬戶和關聯賬戶內進行的交易應在平臺營運者的記錄內被分開記錄及清楚地識別出來
若平臺營運者或其有聯繫實體的僱員獲准透過另一個交易平臺在其自己的帳戶或關聯賬戶內進行交易,平臺營運者及僱員應安排向平臺營運者的高級管理人員提供交易確認和賬單副本。
平臺營運者應設有程序,確保其僱員進行虛擬資產交易不會“優先”於客戶或與客戶進行的交易。
有關程序也應確保平臺營運者及其有聯繫實體的僱員不會基於其他可對虛擬資產的價格造成重大影響的非公開資料來進行該等虛擬資產的交易,直至有關資料被公開爲止。