港证监：新增在网上与海外个人客户建立业务关系的可接受方式，自2019年7月5日起落实

智通财经APP获悉，香港证监会今日(6月28日)发出一封通函，通知中介人，港证监新增一项在网上与海外个人客户建立业务关系的可接受的方式，该方式将于2019年7月5日(即《操守准则》第5.1段的修订生效后)起落实。

该通函具体内容如下：

本通函旨在通知中介人，证券及期货事务监察委员会(证监会)新增一项在网上与海外个人客户建立业务关系的可接受的方式，该方式将于2019年7月5日(即《操守准则》第5.1段的修订生效后)起落实。

在透过遥距程序与客户建立业务关系时，要察觉假冒身份的情况可能较为困难。如客户不曾为身份识别的目的而现身，中介人通常无法判断身份证明文件是否属于该客户。现今的科技不能完全消除被假冒身份的风险，而电子交易的速度，多个虚假帐户的开立，以及被盗取身份的使用等因素亦会令被假冒身份的风险增加。

此外，海外银行用以核实客户身份的程序或未能够满足香港的监管规定。若有关的核实程序是由海外银行所执行，证监会在进行调查时亦可能会遇到困难。有关透过遥距程序与客户建立业务关系的新增方式已考虑以上所有风险因素。

在网上与海外个人客户建立业务关系

自2019年7月5日起，只要中介人完成以下所有步骤，证监会将接受以下述方式来核实海外个人客户的身份：

1. 身份证明文件的认证

(a) 取览客户官方的身份证明文件(简称证件，例如生物特征护照或身份证)内的嵌入式数据，或取得证件上有关部分的电子版副本，包括客户的高质素的照片。

(b) 运用适当而有效的流程和应用技术，以认证客户的证件。例如，检查证件的防伪特征或利用可靠及独立的资料来源以核实证件上的数据。如该证件为生物特征护照，认证程序可能包括扫瞄个人资料页，使用光学字元阅读器获取数据，并将所获取的数据与储存于该护照晶片内的客户个人资料进行核对。

(c) 若有任何第三方人士被委托进行涉及客户个人资料的开户程序，则应事先取得客户的许可和授权，并须设置适当的保护措施以确保客户个人资料的安全和保密。

2. 身份的验证

(a) 运用适当而有效的流程和应用技术，以取得客户的生物特征数据，并将取得之数据与客户证件内经认证的数据或由其他可靠及独立来源提供的资料进行对比，以核实客户的身份。例如，中介人可实时撷取客户的面部图像，并使用容貌识别技术，将该图像与储存于客户的生物特征护照晶片内的照片加以对比。

(b) 实施适当的保障措施(如数据加密和呈现攻击侦测)，以保护客户的生物特征数据和身份验证过程完整无损，及免受任何潜在的呈现攻击(包括视频重放等的生物特征仿冒)。

3. 客户协议的签立

取得由客户透过电子签署方式签订的客户协议。

4. 指定的海外银行帐户

(a) 将数额不少于10,000港元的首笔存款或折算为其他货币的相同款额，由以客户名义在受合资格司法管辖区内的银行监管机构所监督的银行开立的银行帐户(指定海外银行帐户)成功转帐至中介人的银行帐户。

证监会在考虑到财务行动特别组织的相互评核结果后，将会更新合资格司法管辖区的名单(可于证监会网站取览)。为免生疑问，从该名单剔除某司法管辖区的行动并不具追溯效力，与此同时，尽管客户的银行帐户须在合资格司法管辖区开立，该客户无须在有关合资格司法管辖区内居住。

(b) 日后就客户投资帐户作出的所有存款及提款只能透过指定海外银行帐户进行。

5. 备存纪录

就每名客户的开户过程备存适当的纪录，而该等纪录可供随时取览，以进行合规检查及作审计用途。

6. 培训

中介人应确保负责在网上与客户建立业务关系的人员已接受足够的培训，并拥有充足的知识和技能，以施行和监督有关程序。

7. 评估

(a) 在实施系统和相关流程之前及往后至少每年进行一次详尽的评估，以评核所采用的流程和应用技术的适当性及有效性。

(b) 系统实施前的评估及年度检视应由合资格的评估员执行，而该等评估员须具备足够的胜任能力以及拥有相关知识、经验和资源，以进行有关评估或检视。证监会期望系统实施前的评估应由独立评估员执行。

(c) 有关评估及检视的范围应至少涵盖下列方面：

• 考虑到科技的发展，以及当前骇客入侵和仿冒攻击的精密程度，评定所采用的流程和应用技术对确立客户的真实身份是否适当而有效;

• 持续监察和检视程序(包括检视认证身份证明文件和核实身份的解决方案)是否已适当而有效地实施;

• 所采用的流程和应用技术及其后的所有的变动是否均已适当地实施和完成测试，并对测试结果满意;及

• 是否已适当地遵循以上第1至6项载述的所有规定。

(d) 对于每次评估及检视，所编制的评估报告应至少包括以下范畴，并因应相关监管机构作出的要求而提交：

• 有关所采用的流程和应用技术的详细描述;

• 所施行的工作详情，包括评估的范围和方法的说明;

• 一项声明，以确认所采用的流程和应用技术对确立客户的真实身份而言是适当和有效，并就此确认提供依据和理由;

• 说明评估及所采用的流程和应用技术中潜在的限制(如有)。例如，就所应用的技术进行的探讨应涵盖：

- 用于研发及测试该应用技术的数据的代表性、质素及族群多样性

- 应用技术的绩效，包括相关参数(如误识率、拒识率、生物特征配对时的相似值门槛及呈现攻击侦测的错误率等)

- 在处理拥有不同生理特征(如年龄、性别及种族)的客户群时，应用技术的绩效有否任何重大差异

• 对所采用的流程和应用技术的改善建议(如有);及

• 管理层对评估员的建议所作出的回应(如有)，及实施任何建议措施的进度及时间表(如适用)。

其他注意事项

中介人的高级管理层，包括核心职能主管，就确保实施恰当的流程和应用技术以核实客户的身份，须承担首要责任。

除了实施前的评估及年度检视外，中介人应定期评估所采用的应用技术的绩效，以确保与中介人建立了业务关系的客户的真实身份已获恰当地确立。如所采用的应用技术变得特别容易受到某类型的攻击，以致未能以令人满意的方式核实客户的真实身份，中介人便应立即停止使用该应用技术与客户建立业务关系，直至有关问题被完全处理。

中介人在与海外客户建立业务关系时，应注意当地监管机构的规定。

中介人亦应参考证监会不时发出的其他相关指引，包括关于开立帐户的《常见问题》，有关文件可于证监会网站(https://www.sfc.hk/web/TC/rules-and-standards/account-opening/)取览。

如对本通函内容有任何疑问，请致电2231 1188与陈丽明女士联络，或联络你的个案主任。

证券及期货事务监察委员会

中介机构部

中介机构监察科