Circular 大致要求的也是傳統的儲存資訊時要注意的confidentiality, integrity, availability等等。其中最辣的是如果持牌公司有regulatory records是只存放在外部Storage (包括cloud storage),而自己server沒有備份的話,便需要向external storage provider (EDSP)拿一份undertaking (即是類似承諾書)。 SFC可以直接向EDSP提出要求,凍結該持牌公司儲存的資料,在資料無法被更改或刪除的情況下, SFC再跟持牌公司討論如何把資料呈上SFC。這要求不限於持牌公司直接僱用的雲端服務,更延伸至持牌公司如果利用外國母公司僱用的雲端服務,也在管轄範圍內。
原本SFC發出新的要求或法規時大多會做業界和公眾諮詢,但是今次以circular的形式發出,沒有諮詢業界,在中環引起一場不小的風波。
其實所有監管機構都有他自己的管轄範圍,例如SFC是執行 securities and futures ordinance的,管的是他自己發牌的持牌人公司(Licensed Corporation),包括證券商和基金公司等等。理論上他對於其他類型公司,例如雲端服務公司是沒有管轄權限的(Regulatory remit)(除非你無牌做證券生意)。
現在大部份公司都有outsource一部份的後勤工序或IT出去其他公司,甚至海外。亦有很多國際券商是利用母公司的infrastructure。絕大部份國際監管機構都留意到這個趨勢,並發出相關規定和指引,責成持牌人用合約條文和定期review管束這些external service provider。監管機構可以要求持牌人和Service provider的合約有什麼條款,亦可以要求持牌人每年要review Service provider 的audit report等等,但是從來沒有直接監管Service provider的權限和理據。SFC明白這一點,於是想出叫Service provider簽undertaking去承諾在SFC要求時合作。
Circular 一出業界已經有強烈反對聲音,除了有些券商成功逼迫規模比較小的雲端服務公司簽undertaking之外,Google和Amazon已經明確表示不會簽,其他本地的雲端服務商也非常有保留。再者,由券商的母公司直接appoint 的海外Service provider跟香港的持牌券商沒有合約關係,根本是不可能的任務。這其實也可以理解,身為雲端服務供應商,如果今日香港的SFC逼你簽undertaking在提供服務給香港持牌人時要遵從某一些規定,難道明天歐洲的European commission又走來叫你簽,甚至監管銀行、保險公司的監管機構也來找你的話,要manage 的regulatory exposure是所有客戶種類相加,實在是沒完沒了。這個topic由金融界燒到資訊科技界,兜了個大圈從我做IT的朋友口中再聽一次,果然是鬧得熱烘烘。
最新的消息還是金融業界、雲端供應商業界和SFC繼續周旋中。欲知結果如何,留待下回分解。
延伸閱讀:
Blockchain / DLT 在金融業的應用
FATCA 和 Volcker - 背景﹑內容和對金融業的影響和挑戰
Investor relations 和 Computershare工作性質
Ibank求職/ 轉工/ 薪金大揭祕
Compliance 行業前景系列
HKMA金管局面試經驗分享
金融冷知識﹕為甚麼有些貨幣在香港兌換利率較好,而其他的是當地找換比較好?
想看更多? - Like 大投行小人物 Facebook專頁
No comments:
Post a Comment