SFC持牌保薦人的記錄保存要求：電子通訊監控實務

2025年4月，證監會（SFC）發佈《有關打擊「造市」活動及加強金融從業員合規意識的通函》，首次明確將持牌保薦人（SFC 6號及6A號牌持牌人）的即時通訊軟件（WhatsApp、WeChat、Signal等）記錄保存納入《操守準則》第9.2段的強制性合規審查範圍。該通函引用《證券及期貨條例》（第571章）第104條，指出過去12個月內，SFC在針對6家保薦機構的現場巡查中，發現超過70%的個案存在電子通訊紀錄缺失或不完整，直接導致《保薦人指引》（PN21.3）下的盡職審查鏈條斷裂。與此同時，香港交易所（HKEX）於2025年3月修訂《上市規則》第3A.03條，要求保薦人在提交上市申請（A1表格）時，必須一併提交涵蓋所有通訊渠道的「盡職審查通訊紀錄清單」（Due Diligence Communication Record Checklist），否則申請將被視為不完整。此舉直接回應了2023至2024年間三宗主板上市申請因保薦人未能提供關鍵WhatsApp群組對話紀錄而被上市委員會退回的裁決。對於持牌保薦人及內部合規部門而言，電子通訊監控已從「最佳實踐」升級為「法定強制義務」，其合規成本與技術部署的迫切性已不可同日而語。

SFC《操守準則》第9.2段與《保薦人指引》PN21.3的電子通訊記錄框架

SFC《操守準則》第9.2段（2024年修訂版）明確規定，持牌人須「備存與其受規管活動有關的所有紀錄，為期至少7年」。此條文在2025年通函中獲得具體化：電子通訊紀錄的保存範圍涵蓋所有「與客戶、對手方、第三方專家及監管機構之間，以任何電子形式進行的業務相關通訊」，包括但不限於即時通訊軟件的文字訊息、語音訊息（需轉錄為文字存檔）、群組對話、檔案傳輸記錄及通話記錄。SFC在該通函中特別指出，保薦人因涉及首次公開招股（IPO）盡職審查，其通訊紀錄的完整性直接影響《保薦人指引》（PN21.3）第4.1段所要求的「合理查詢」（Reasonable Enquiry）能否被證明。

即時通訊軟件（WhatsApp、WeChat、Signal）的歸檔技術標準

SFC並未指定特定的技術解決方案，但透過2025年通函附件一，提出了五項強制性技術要求：第一，所有通訊必須在發送或接收後24小時內自動歸檔至中央儲存系統，不得依賴用戶手動操作；第二，歸檔系統須具備不可篡改性（Non-repudiation），即任何已歸檔的訊息不得被修改或刪除，系統須記錄每次存取、修改或刪除嘗試的日誌；第三，支援跨平台搜尋功能，包括關鍵字、日期範圍、參與者身份及檔案類型的複合查詢；第四，系統須能夠處理端對端加密（E2EE）通訊的歸檔，例如WhatsApp的端對端加密訊息，保薦人須確保其歸檔解決方案能夠在加密傳輸後、用戶裝置上解密前擷取訊息內容；第五，所有歸檔系統須通過SFC認可的第三方審計機構（如四大會計師事務所的IT審計部門）進行的年度合規審計。

語音訊息與通話記錄的轉錄義務

2025年通函首次明確，語音訊息（Voice Notes）及語音通話（Voice Calls）均須轉錄為文字紀錄並保存。SFC引用《保薦人指引》PN21.3第5.2段，指出保薦人與上市申請人管理層、供應商、客戶及監管機構之間的通話，若涉及盡職審查事項，必須以書面形式記錄。具體操作要求包括：語音訊息須在歸檔前自動轉錄為文字，並與原始音頻檔案一同保存；語音通話則須在通話開始前獲得所有參與方同意錄音，並在通話結束後24小時內完成轉錄及歸檔。SFC特別警告，使用「閱後即焚」（Disappearing Messages）功能的通訊渠道（如Signal的「消失訊息」功能）不符合保存要求，保薦人須禁止員工在業務通訊中使用此類功能。

HKEX《上市規則》第3A.03條與A1表格提交的電子通訊紀錄清單

HKEX於2025年3月修訂《上市規則》第3A.03條，將電子通訊紀錄清單納入上市申請的強制提交文件。根據修訂後的規則，保薦人在提交A1表格（上市申請表格）時，必須同時提交一份經保薦人合規總監（Compliance Officer）簽署的「盡職審查通訊紀錄清單」（DDCR Checklist），該清單須涵蓋以下項目：所有與上市申請人、其董事、高級管理層、主要股東、核數師、法律顧問及行業專家之間的通訊渠道清單；每條通訊渠道的保存方式及歸檔系統名稱；任何通訊紀錄缺失的具體原因及補救措施；以及保薦人內部通訊監控政策的生效日期及最近一次審計日期。

2023-2024年三宗退回裁決的具體案例

2023年11月，HKEX上市委員會在編號LD121-2023的決定書中，駁回一家醫療器械公司的主板上市申請，原因之一為保薦人未能提供與公司創辦人之間在關鍵盡職審查期間（即遞交A1表格前6個月）的WhatsApp對話紀錄。該保薦人聲稱因員工離職導致手機重置，紀錄遺失。上市委員會裁定，此舉違反《保薦人指引》PN21.3第4.1段的「合理查詢」要求，因該等對話涉及創辦人對公司銷售數據的陳述，而該陳述其後被核數師發現與實際數據不符。2024年3月，另一宗涉及金融科技公司的申請（編號LD124-2024）被退回，原因為保薦人使用Signal的「消失訊息」功能與上市申請人財務總監溝通，導致關鍵的盈利預測討論紀錄無法還原。2024年8月，第三宗申請（編號LD127-2024）因保薦人未能提供WeChat群組中與分銷商訪談相關的語音訊息轉錄紀錄而被退回，該等語音訊息被認為是證明分銷商真實性的關鍵證據。

A1表格提交前的合規預審清單

基於上述裁決，業界已形成一套A1表格提交前的合規預審清單。該清單包括：確認所有保薦人團隊成員（包括外聘顧問及臨時員工）的業務通訊設備均已安裝SFC認可的歸檔軟件；完成至少一次模擬SFC巡查，由內部合規部門或外部審計機構抽查不少於30%的通訊紀錄；取得所有第三方專家（如行業顧問、市場研究機構）的書面確認，證明其與保薦人之間的通訊紀錄已妥善保存；以及由保薦人合規總監簽署DDCR清單，並附上歸檔系統的第三方審計報告副本。

合規系統部署的技術選型與成本結構

電子通訊監控合規系統的部署涉及顯著的資本支出（CAPEX）與營運支出（OPEX）。根據業界估計，一套涵蓋50名用戶的企業級歸檔系統（如Global Relay、Smarsh或Veritas的E-discovery平台），初始部署成本約為HKD 1,200,000至HKD 2,500,000，包括軟件授權費、伺服器或雲端基礎設施費用、系統整合及員工培訓費用。年度維護及營運成本約為初始部署成本的20%至30%，即HKD 240,000至HKD 750,000。對於擁有100名或以上保薦人團隊的中大型機構（如中資券商國際業務部門），成本可能翻倍，因需處理多語言通訊（繁體中文、簡體中文、英文）及跨時區的歸檔需求。

本地部署（On-Premise）與雲端解決方案的比較

SFC並未禁止使用雲端歸檔解決方案，但2025年通函第12段明確要求，若保薦人採用雲端服務，須確保數據儲存伺服器位於香港境內，或獲得SFC豁免。此要求直接影響跨國保薦機構的技術選型。本地部署方案（On-Premise）的優勢在於數據完全由保薦人控制，符合SFC對數據主權的要求，但初始成本較高，且需配備內部IT團隊進行維護。雲端方案（如Microsoft 365 Compliance Center、Proofpoint Archive）則提供較低的初始成本及自動更新功能，但需處理數據跨境傳輸的合規問題。根據HKMA於2024年發出的《外判及第三方風險管理指引》（SA-2），若保薦人為銀行附屬機構，其雲端歸檔服務的外判安排須符合HKMA的預先審批要求。

端對端加密（E2EE）通訊的歸檔技術挑戰

WhatsApp、Signal及Telegram等使用端對端加密的通訊軟件，對歸檔系統構成重大技術挑戰。傳統的郵件歸檔解決方案（如Mimecast）無法直接擷取E2EE訊息內容，因訊息在傳輸過程中僅在發送方與接收方之間解密。解決方案包括：在員工裝置上安裝企業級MDM（Mobile Device Management）軟件，透過裝置層面的螢幕截取（Screen Capture）或鍵盤記錄（Keystroke Logging）技術擷取訊息內容；或要求員工使用企業版通訊軟件（如WhatsApp Business API或Microsoft Teams for Business），其訊息可透過API直接歸檔至中央系統。SFC在2025年通函中明確表示，不反對使用MDM技術，但要求保薦人披露該等技術的具體部署方式，並確保其不違反《個人資料（私隱）條例》（第486章）的相關規定。

內部合規監控政策的更新要點

持牌保薦人須在2025年9月30日前完成內部合規監控政策的更新，以符合SFC通函的要求。更新範圍包括：員工通訊設備政策（BYOD政策），明確規定員工必須使用企業指定的通訊軟件進行業務通訊，並接受裝置層面的監控；通訊紀錄保存期限，由SFC《操守準則》第9.2段規定的7年延長至10年（適用於上市相關通訊），因HKEX《上市規則》第6.07條規定保薦人須在上市後10年內保留相關紀錄；以及員工培訓要求，每位持牌保薦人代表每年須完成至少4小時的電子通訊合規培訓，並通過考試。

員工BYOD政策與私隱權衡

BYOD（Bring Your Own Device）政策是合規監控中的敏感區域。SFC在2025年通函附件二提供了BYOD政策的範本條款，要求保薦人明確告知員工，其個人裝置上用於業務通訊的應用程式將受到企業級MDM軟件的監控，包括訊息內容、通話紀錄及位置數據的擷取。保薦人須取得員工的書面同意，並提供清晰的私隱影響評估（PIA）報告。若員工拒絕同意，保薦人須提供企業裝置替代方案，並承擔相關成本。根據《個人資料（私隱）條例》（第486章）第33條，僱主在監控員工通訊時，須確保監控範圍與業務需要相稱，並避免收集與業務無關的個人資料。

年度合規審計的具體要求

合規審計須由SFC認可的第三方審計機構執行，審計範圍包括：歸檔系統的完整性測試（Integrity Test），驗證已歸檔訊息未被篡改；存取控制測試（Access Control Test），確認只有授權人員可以存取歸檔系統；以及還原測試（Restoration Test），驗證系統能夠在24小時內完整還原特定時間範圍內的所有通訊紀錄。審計報告須在每年3月31日前提交SFC，並在SFC現場巡查時備查。若審計發現重大缺失（Material Deficiency），保薦人須在30個工作日內提交糾正計劃（Remediation Plan），並在90個工作日內完成糾正。

結論與行動要點

電子通訊監控合規已成為持牌保薦人2025至2026年度最迫切的合規議題。SFC與HKEX透過通函、上市規則修訂及具體裁決，將電子通訊紀錄保存從「建議性指引」升級為「強制性義務」，其合規成本（包括技術部署、人員培訓及審計費用）將顯著影響中小型保薦機構的營運預算。對於保薦人內部合規部門及持牌保薦人代表而言，以下五項行動要點具有直接操作性：

第一，立即啟動歸檔系統的技術選型評估，優先選擇支援端對端加密通訊歸檔及語音轉錄功能的企業級解決方案，並在2025年9月30日前完成部署。

第二，全面審視員工BYOD政策，確保所有業務通訊裝置均已安裝MDM軟件，並取得員工書面同意，避免觸犯《個人資料（私隱）條例》第33條。

第三，建立A1表格提交前的DDCR清單預審流程，由合規總監簽署確認所有通訊紀錄完整，並備有第三方審計報告副本。

第四，將電子通訊合規培訓納入年度持續專業培訓（CPT）時數，確保每位持牌保薦人代表每年完成至少4小時的相關培訓。

第五，與外部審計機構預約2025年度的合規審計時段，確保審計報告能夠在2026年3月31日前提交SFC，並為可能的現場巡查預留應對時間。