证监会持牌公司使用外部电子数据储存系统

证监会的事先批准

持牌公司须就存放监管记录的地方向证监会提出申请。通函阐明，如持牌公司未将监管记录复本存放于获批准的地方，则存放监管记录地方的申请审应包括电子数据储存供应商所使用的数据中心。

电子数据储存供应商应为(a)在香港成立的公司或根据《公司条例》注册的非香港公司；以及(b)其数据中心须位于香港（香港电子数据储存供应商）。如电子数据储存供应商并非香港电子数据储存供应商，持牌公司必须取得电子数据储存供应商承诺按照证监会提出的要求提供监管记录和协助。

主管人士

持牌公司应指定至少两名核心职能主管人士随时调阅存放于电子数据储存供应商的监管记录。该两名主管人士须确保当证监会提出要求时，即可让证监会调阅该等记录而不受无故拖延。

(iii) 

其他规定

与任何外包安排一样，证监会要求持牌公司：

• 对电子数据储存供应商进行尽职调查和定期监察服务交付的情况，以确保电子数据储存供应商为适当和可靠（须考虑其操作能力、技术专业知识及财政稳健性）；

• 维持有效的管治程序，并贯彻全面的信息安全政策，以防止未经授权的调阅及披露；

• 评估依赖程度和考虑使用多于一家电子数据储存供应商；

• 制定退出策略，以过渡至替代储存解决方案；以及

• 与电子数据储存供应商签立具有法律约束力的协议，当中订明终止合约和要求有关电子数据储存供应商须协助过渡的条文。

持续通报证监会

持牌公司应在与电子数据储存供应商的服务协议终止、到期、更替或转让之前至少30个历日通知证监会有关过渡安排的建议。

然而，很多时会忽略了当中的细节：不少持牌公司可能在不知情下将数据存放于一家或多家电子数据储存供应商（其可能位于香港或以外），但没有将一套监管记录复本存放于本身的伺服器。例如，持牌公司可能使用云端储存电邮，或在管理时使用网站式的运营或投资组合管理工具。电子数据储存供应商（特别是非香港电子数据储存供应商）有可能不愿意在与持牌公司订立的合同中加入持牌公司所需条款或提供承诺。

持牌公司应检视使用外部电子数据储存系统的情况，以确保符合通函的规定。

若持牌公司的监管记录现只存放在电子数据储存供应商，应立即通知证监会及根据《证券及期货条例》向证监会提出批准申请。

若持牌公司所使用的电子数据储存供应商的任何数据中心已获证监会批准，则持牌公司应在不晚于2020年6月30日，向证监会提供两名指定主管人士的姓名及其他所需的确认。