SFC對保薦人合規科技應用的監管態度與期望

2025年6月，香港證監會（SFC）正式發布《應用合規科技於保薦人盡職審查工作》的通函（編號：25/C02），首次就持牌保薦人（SFC 6/6A牌照持牌人）在IPO項目中使用人工智能（AI）、機器學習及大數據分析工具進行盡職審查，提出具體的監管期望與合規邊界。該通函並非鼓勵保薦人「擁抱科技」，而是在《證券及期貨條例》（第571章）第IX部的法定責任框架下，釐清合規科技（RegTech）應用不得削弱保薦人作為「看門人」的獨立判斷與最終責任。2024年，SFC對三家保薦人機構合共罰款超過1.2億港元，其中兩宗案件直接涉及盡職審查程序缺失，顯示監管機構對保薦人核心責任的執法力度持續升級。在此背景下，保薦人內部合規部門與持牌負責人（RO）必須精準理解SFC對合規科技應用的監管態度，否則科技工具非但無法減輕合規負擔，反而可能成為SFC執法調查中的新增風險點。

合規科技的監管定位：輔助工具而非責任替代

SFC在通函25/C02中明確指出，合規科技應用必須符合《操守準則》第17.1段及《保薦人指引》第7段的規定，即保薦人須確保其盡職審查工作「以合理的技能、小心及勤勉態度進行」。任何科技工具的應用，均不得取代保薦人作為上市申請最終負責人的法定職責。SFC特別強調，保薦人不能僅因使用了自動化工具，便將盡職審查的責任轉嫁予第三方服務供應商。

科技工具的監管分級與合規要求

SFC將合規科技工具分為三類，並對每一類提出不同的監管期望。第一類為數據提取與比對工具，例如自動從公司註冊處、工商登記系統及公開信貸資料庫提取實體結構圖、股權鏈及關連交易數據。SFC要求保薦人必須驗證原始數據來源的完整性與時效性，並保留所有數據提取的審計軌跡，以備SFC現場視察時查核。

第二類為異常交易檢測工具，透過機器學習模型分析銀行流水、供應鏈數據及關聯方交易，識別潛在的財務造假紅旗。SFC在通函中特別提醒，模型訓練數據若存在偏誤（例如僅使用已上市公司數據而忽略民企常見的現金交易模式），可能導致誤報或漏報。保薦人須對模型的假設條件、訓練數據集及誤差率進行獨立評估，並在盡職審查報告中披露。

第三類為自然語言處理（NLP）工具，用於分析合約文件、董事會會議紀錄及監管通訊中的關鍵條款與風險提示。SFC指出，NLP工具對中文合約（尤其是涉及中國內地法律實體的VIE架構文件）的語義理解能力仍有限，保薦人不得完全依賴工具的分析結果，必須由具備相關行業經驗的合規人員進行人工覆核。

監管案例中的科技應用風險

2023年SFC對某中資保薦人的處罰決定（SFC公開紀律行動編號：2023/12）顯示，該保薦人使用第三方提供的自動化盡職審查平台，但未能發現平台數據庫中缺失了目標公司兩家關鍵附屬公司的工商登記信息。該遺漏直接導致保薦人對目標公司集團架構的描述出現重大錯誤，違反了《上市規則》第11.06條的披露要求。SFC最終對該保薦人罰款2,800萬港元，並暫停其處理上市申請的資格六個月。此案例清楚表明，保薦人不能以「系統錯誤」或「供應商責任」作為免責理由。

數據治理與隱私合規的雙重挑戰

合規科技的應用必然涉及大量敏感數據的收集、處理與跨境傳輸。SFC在通函中明確援引《個人資料（私隱）條例》（第486章）的規定，要求保薦人在使用合規科技工具時，須確保數據處理符合私隱專員公署的指引。對於涉及中國內地數據的項目，保薦人還須遵守《中華人民共和國個人信息保護法》（PIPL）及《數據安全法》的相關規定。

跨境數據傳輸的合規結構

保薦人在內地盡職審查項目中，經常需要將目標公司的財務數據、客戶信息及供應商數據傳輸至香港總部進行分析。若使用雲端合規科技平台，數據可能存儲於新加坡或美國的服務器。SFC要求保薦人必須建立清晰的數據分類與傳輸協議，明確哪些數據可以傳輸、傳輸至何處、以及數據存儲的時限。保薦人須在內部合規手冊中載明數據治理政策，並定期進行數據保護影響評估（DPIA）。

2024年SFC與內地監管機構的聯合檢查發現，部分保薦人使用的合規科技平台未經內地網信辦的數據出境安全評估，違反了《數據安全法》第31條的規定。SFC警告，此類違規可能導致保薦人同時面臨香港與內地的雙重處罰，包括SFC根據《證券及期貨條例》第194條施加的罰款及內地監管機構根據《個人信息保護法》第66條處以最高5,000萬元人民幣或上年營業額5%的罰款。

第三方供應商的盡職審查責任

SFC要求保薦人對合規科技供應商進行與其對上市申請人類似的盡職審查，包括供應商的股權結構、管理層背景、數據安全認證（如ISO 27001）、以及其系統的技術審計報告。保薦人須在與供應商的服務協議中明確數據所有權、使用權限、保密義務及違約賠償責任，並保留供應商系統的獨立第三方技術審計報告副本，以備SFC查閱。

合規科技應用的內部控制與審計軌跡

SFC對保薦人使用合規科技工具的最核心要求，是建立完整的內部控制框架與可追溯的審計軌跡。通函25/C02明確指出，保薦人須確保其合規科技應用「可被獨立驗證及重複執行」，即SFC在現場視察時，應能夠完整重現保薦人使用科技工具進行盡職審查的全部過程。

模型驗證與持續監控機制

保薦人須對合規科技工具中的算法模型進行獨立驗證，包括模型的開發文件、測試報告、參數設定及版本變更記錄。SFC要求保薦人建立模型風險管理框架，至少每季度對模型表現進行回測，評估其準確率、召回率及誤報率。若模型表現低於預設的閾值（例如誤報率高於5%），保薦人須立即暫停使用該模型，並啟動補救程序。

2025年SFC對某國際保薦人的現場視察發現，其使用的異常交易檢測模型在過去六個月內誤報率高達12.3%，但保薦人合規部門未能及時發現並調整模型參數。SFC在視察報告中將此列為「重大內部控制缺陷」，要求保薦人限期整改，並在整改完成前不得使用該模型處理任何新上市申請。

人工覆核與最終決策責任

SFC反覆強調，合規科技工具的分析結果僅為「參考信息」，最終的盡職審查結論必須由持牌保薦人的負責人員（RO）及相關合規團隊作出。通函要求保薦人建立「人機協作」的標準操作程序（SOP），明確科技工具輸出結果的覆核流程、例外處理機制及最終簽批權限。所有科技工具生成的警報，若被保薦人判定為「無需跟進」，必須記錄具體的判斷理由及簽批人姓名。

2024年SFC發布的《保薦人盡職審查指引》修訂版（SFC Guideline No. 24/03）進一步要求，保薦人須在盡職審查報告中單獨設立「合規科技應用」章節，詳細披露所使用的科技工具名稱、供應商、應用範圍、局限性及人工覆核結果。此要求與《上市規則》第11.10條對保薦人報告內容的規定相輔相成。

監管展望與保薦人合規策略調整

SFC對保薦人合規科技應用的監管態度，反映其對金融科技發展的一貫立場：鼓勵創新但不容許創新削弱監管有效性。2025年SFC發布的《2025-2028監管路線圖》中明確提出，將對保薦人使用AI及大數據工具進行專項檢查，並計劃在2026年發布更詳細的合規科技應用指引。

合規科技應用的成本效益分析

保薦人機構在決定引入合規科技工具時，必須進行嚴謹的成本效益分析，並將監管合規成本納入考量。引入一套完整的合規科技平台（包括數據提取、異常檢測及NLP分析模塊），前期投入通常介乎500萬至2,000萬港元，每年維護及升級費用約為初始投入的15%至20%。此外，保薦人還需聘請具備數據科學背景的合規人員（年薪約120萬至180萬港元）負責模型的日常監控與驗證。

從監管風險角度看，若保薦人未能建立有效的合規科技治理框架，SFC可能將其視為「內部控制系統存在重大缺陷」，根據《證券及期貨條例》第194條施加罰款，最高可達1,000萬港元或違規所得利潤的三倍（以較高者為準）。更嚴重的後果是，保薦人的牌照可能被暫停或撤銷，直接影響其業務持續性。

行業最佳實踐與SFC的監管期望

SFC在通函中列舉了若干行業最佳實踐，包括：設立獨立的合規科技治理委員會，由合規總監、資訊科技總監及外部技術顧問組成；建立合規科技工具的「白名單」制度，所有工具須經委員會審批後方可使用；定期進行合規科技工具的壓力測試，模擬極端市場情景下的系統表現；以及與監管機構保持開放溝通，主動報告合規科技應用中的重大異常事件。

結語：合規科技應用的五項具體行動要點

保薦人機構應立即採取以下五項行動，以確保合規科技應用符合SFC的監管期望：

1. 在2025年第四季度前完成對現有合規科技工具的全面審計，包括供應商盡職審查、模型驗證報告及數據治理協議，並將審計結果記錄於內部合規手冊中。

2. 建立合規科技應用的標準操作程序（SOP），明確界定科技工具與人工判斷的責任邊界，確保所有警報的處理過程均有完整的審計軌跡。

3. 為所有涉及合規科技應用的持牌人員（包括RO及合規團隊）提供不少於8小時的年度培訓，內容涵蓋模型風險管理、數據私隱合規及SFC最新通函要求。

4. 在每份上市申請的盡職審查報告中，按照SFC Guideline No. 24/03的要求，單獨披露合規科技工具的應用情況、局限性及人工覆核結果。

5. 與合規科技供應商重新談判服務協議，明確數據所有權、跨境傳輸合規責任及違約賠償條款，並要求供應商提供不少於三年的獨立技術審計報告。