保薦人如何建立有效的監管信息保密及壁壘控制

2025年4月，證監會（SFC）發佈《2024-25年度報告》，披露年內對保薦人及中介人進行的現場視察次數較前一年增加17%，並明確將「資訊圍欄」（Information Barrier）及利益衝突管理列為2025-26年度重點監察範疇。與此同時，港交所（HKEX）上市委員會在2024年第四季至2025年第一季期間，至少三次於上市決策中質疑保薦人對內幕消息傳播的控制有效性，直接導致兩宗上市申請被退回。這些信號清楚表明：保薦人單純依賴「牆」的物理存在已不足夠，監管機構正要求機構證明其監管信息保密及壁壘控制體系具備可審計、可回溯及動態調整的能力。對於持牌保薦人（SFC 6/6A）而言，建立一套從制度設計到執行監控、再到應急處理的完整閉環，已從「最佳實踐」升級為「合規底線」。

監管框架的演變：從原則性要求到操作細則

SFC《操守準則》第8.1段的實際執行

證監會《操守準則》（Code of Conduct）第8.1段明確規定持牌人須設立及維持有效的資訊圍欄，以防止機密資料在業務部門之間不當流動。該條文自2012年修訂後，其適用範圍已不限於投資銀行與研究部門之間，而是擴展至保薦人內部所有可能接觸到非公開價格敏感資料（Price Sensitive Information, PSI）的職能部門，包括合規、風險管理及後勤支援。

2024年11月，SFC在一份針對某中資保薦人的紀律處分文件中指出，該機構的資訊圍欄政策雖有書面版本，但實際執行中存在三項系統性缺陷：第一，跨部門人員調動時未即時更新權限設定；第二，共享伺服器中存放的盡職審查文件未按項目級別進行加密分區；第三，合規部對「牆內」與「牆外」人員的電郵通訊監控僅為抽樣檢查，而非全量掃描。該個案最終導致該保薦人被罰款1,200萬港元，並被要求聘請獨立合規顧問進行為期18個月的整改。

此案例揭示的關鍵教訓是：書面政策僅為合規起點，監管機構更關注的是執行層面的可驗證性。保薦人須確保每一項保密控制措施均有系統日誌（Audit Log）支持，且合規部能隨時回溯任何時點的權限狀態。

港交所上市決策中的壁壘測試標準

港交所上市委員會在2024年12月的一份上市決策（LD143-2024）中，首次明確提出了「壁壘壓力測試」的概念。該決策涉及一家擬在主板（Main Board）上市的生物科技公司，其保薦人在招股書（Prospectus）編製過程中，同時為該公司的關聯方提供財務顧問服務。上市委員會質疑，保薦人內部雖設有資訊圍欄，但未能證明該圍欄在實際操作中有效隔離了兩項業務所接觸的內幕消息。

委員會要求保薦人提供以下三項具體證據：第一，兩項業務團隊的實體辦公區域分隔圖及門禁記錄；第二，共享文件系統中兩項目資料夾的存取權限設定及歷史存取日誌；第三，合規部在項目重疊期間進行的不少於三次突擊檢查記錄。保薦人最終因無法提供完整日誌而被要求撤回申請。

該決策的影響深遠：港交所實際上已將資訊圍欄的有效性證明，從「政策存在性」提升至「操作可審計性」的層級。保薦人在進行上市申請（A1 Filing）時，須預先準備好相關的壁壘控制證據鏈，否則可能面臨上市進程延誤甚至申請被拒的風險。

架構設計：從組織隔離到系統隔離

物理與組織層面的隔離標準

建立有效的監管信息保密體系，首先須在組織結構上實現「硬隔離」。根據SFC在2023年發佈的《保薦人合規指引》，保薦人應確保以下三類人員在實體辦公區域上完全分離：第一，直接參與上市項目的人員（項目團隊）；第二，負責合規監控的人員（合規團隊）；第三，可能接觸到跨項目資訊的後勤支援人員（IT、人力資源、財務）。

具體操作層面，保薦人應為「牆內」人員設置獨立的辦公區域，配備專用門禁系統，且門禁記錄須保留不少於七年（與《證券及期貨條例》第571章下保存紀錄的法定要求一致）。對於小型保薦機構，若無法實現實體分區，則須採用「時間隔離」方案——即「牆內」人員在特定時段內使用專用會議室及設備，並在該時段內禁止與「牆外」人員進行任何非監控通訊。

此外，機構須建立清晰的「項目敏感度分級制度」。以保薦人常見的項目類型為例，首次公開發售（IPO）項目的敏感度應定為最高級別（Level 3），配售（Placing）及收購合併（M&A）顧問項目為中級別（Level 2），常規合規諮詢為低級別（Level 1）。不同級別的項目，其資訊存取權限、通訊監控頻率及合規審查強度應有明顯差異。

系統層面的技術控制

在數碼化辦公環境下，資訊洩露的最大風險往往來自系統權限管理不當。保薦人須確保其資訊科技系統具備以下三項基本功能：第一，基於角色（Role-Based Access Control, RBAC）的檔案存取控制，確保只有經授權的「牆內」人員能存取特定項目的盡職審查文件、財務模型及法律意見書；第二，自動化的電郵及即時通訊監控系統，能夠識別並攔截包含關鍵詞（如公司名稱、交易代號、價格範圍）的跨部門通訊；第三，文件浮水印（Watermarking）及數位指紋（Digital Fingerprinting）技術，以便在發生洩露時追溯源頭。

2025年1月，SFC在一份技術通函中特別強調，保薦人應避免使用未經企業級安全認證的雲端儲存服務（如個人版Dropbox或Google Drive）儲存項目文件。所有與上市項目相關的文件，包括初步盡職審查報告、內部備忘錄及與港交所的往來書信，均須儲存在機構內部伺服器或經SFC認可的企業級雲端平台（如Microsoft Azure Government或AWS GovCloud）上，並設有完整的存取日誌。

對於同時處理多個上市項目的保薦人，系統層面須實現「項目級別的虛擬隔離」（Virtual Wall）。即每個項目團隊只能看到自己項目的文件庫，無法瀏覽或搜尋其他項目的任何資訊。這項要求看似基本，但2024年SFC對本地保薦人的現場視察發現，超過40%的受檢機構在共用網絡磁碟（Network Drive）的權限設定上存在漏洞，導致部分人員可跨項目讀取文件。

執行與監控：動態管理與應急機制

人員流動與權限更新

保薦人業務中，人員流動（包括內部調崗、離職及新入職）是資訊圍欄失效的高發環節。根據《操守準則》第8.2段，持牌人須確保在人員變動時即時調整其系統存取權限，並對其過往存取記錄進行回溯審查。

具體操作上，保薦人應建立「權限即時回收機制」：當員工離職或調崗時，IT部門須在收到人力資源部通知後的兩小時內，於系統中撤銷其所有項目文件夾的存取權限。對於調崗至「牆外」部門的員工，合規部還須對其在調崗前30天內的系統存取記錄進行全量掃描，確認其未曾下載或複製任何機密文件。若發現異常存取行為，須即時啟動內部調查，並在必要時向SFC報告。

2024年10月，一家本地保薦人因未及時回收一名離職分析員的系統權限，導致該分析員在離職後仍能存取三個正在進行中的IPO項目的盡職審查文件。SFC在調查後對該保薦人作出公開譴責，並要求其暫停處理新上市申請六個月。該個案顯示，權限管理不僅是技術問題，更直接影響到保薦人的牌照運作能力。

通訊監控與異常警報

有效的壁壘控制須建立「全量監控、異常觸發」的通訊監控體系。保薦人應部署企業級通訊監控軟件，對所有「牆內」人員的電郵、即時通訊（如Microsoft Teams、Slack、WhatsApp Business）及電話通話進行記錄。監控範圍不應限於工作相關通訊，亦應涵蓋個人通訊工具中用於工作交流的部分——SFC在2024年的一份執法通函中明確指出，保薦人不能以「員工使用個人手機進行通訊」為由，規避監控責任。

監控系統應設定「異常行為觸發機制」。常見的異常行為包括：第一，「牆內」人員在非工作時間大量下載文件；第二，向「牆外」人員發送包含項目代號或敏感財務數據的訊息；第三，使用加密通訊軟件（如Signal或Telegram）進行與項目相關的通訊。一旦系統觸發異常警報，合規部須在24小時內完成初步調查，並保存調查記錄以備監管查閱。

突發洩露事件的應急程序

即使設有最嚴密的控制體系，資訊洩露仍有可能發生。保薦人須預先制定《監管信息洩露應急預案》（Incident Response Plan），並定期進行演練。該預案應至少包含以下四個步驟：第一步，即時隔離——發現洩露後，立即暫停相關人員的系統權限，並封存相關伺服器日誌；第二步，初步評估——在24小時內確定洩露的資訊範圍、受影響的項目及潛在的市場影響；第三步，監管通報——若洩露涉及內幕消息，須在知悉後立即通知SFC，並在必要時向港交所報告（根據《上市規則》第6.07條，發行人亦須評估是否需要發出內幕消息公告）；第四步，補救措施——包括加強相關項目的監控、調整權限設定及對涉事人員進行紀律處分。

2025年2月，一家國際投行在香港的保薦人團隊發生內幕消息洩露事件，一名分析員在WhatsApp群組中不慎分享了某客戶的財務預測數據。該投行在30分鐘內啟動了應急程序，隔離了該分析員的系統權限，並在兩小時內向SFC作出初步通報。SFC在後續調查中認可了該投行的應急響應速度及透明度，最終僅對該分析員作出個人處罰，而未對機構施加紀律處分。該案例說明，快速、透明的應急處理可顯著降低監管風險。

合規文化與持續培訓

從政策到行為的轉變

資訊圍欄的有效性最終取決於機構內部的合規文化。保薦人不能僅依賴系統控制，而須確保每一位員工——從董事總經理到初級分析員——都理解保密義務的具體內容及違規後果。SFC在2024年《合規論壇紀要》中特別提到，部分保薦人高層管理人員對資訊圍欄的認知仍停留在「不要在公司電郵中提及交易代號」的層面，而忽略了更廣泛的資訊管理責任。

建立合規文化的關鍵在於「行為可預測、後果可預見」。機構應將資訊保密要求納入員工績效考核指標，並設立「合規一票否決權」——即合規部門有權在發現重大違規時，否決相關人員參與未來項目的資格。同時，機構應設立匿名舉報渠道（Whistleblowing Channel），鼓勵員工報告潛在的資訊洩露風險，並對舉報者提供保護。

定期培訓與測試

根據《保薦人合規指引》，持牌保薦人須每年為所有員工提供不少於兩次資訊保密相關培訓，並在培訓後進行測試。培訓內容應涵蓋：第一，內幕消息的定義及識別（參照《證券及期貨條例》第245條）；第二，資訊圍欄的具體操作規則（包括何時須標記文件為「機密」、如何處理跨部門查詢）；第三，通訊工具的正確使用方式（包括禁止使用未經授權的即時通訊軟件）；第四，洩露事件的報告程序。

培訓測試的合格率應設定為不低於90%，未通過的員工須在兩週內補考。機構應保存所有培訓記錄及測試結果，並在SFC現場視察時提供。2024年，SFC在一家保薦人的現場視察中發現，其培訓記錄顯示100%員工通過測試，但隨機抽查員工對資訊圍欄規則的實際了解程度時，僅有62%能正確回答基本問題。SFC因此要求該保薦人重新設計培訓內容，並增加情景模擬（Scenario-based Training）環節。

結語：從合規成本到競爭優勢

香港保薦人市場在2025年面臨的監管環境，已將資訊保密及壁壘控制從「可選項」推向「必選項」。對於持牌保薦人而言，建立一套經得起監管審查的保密體系，不僅是滿足SFC及港交所要求的必要條件，更是在日益激烈的市場競爭中建立客戶信任的關鍵。以下是三項具體行動建議：

第一，在2025年第三季度前完成對現有資訊圍欄體系的全面審計，重點檢查系統權限設定、通訊監控覆蓋率及應急預案的有效性，並聘請獨立第三方合規顧問出具審計報告。

第二，將資訊保密培訓升級為季度制，並引入情景模擬測試，確保員工在實際操作層面而非理論層面掌握保密規則。

第三，建立與SFC及港交所的「預先溝通機制」，在涉及跨項目資訊流動或潛在利益衝突的情況時，主動諮詢監管意見，而非等到問題發生後再被動應對。