SFC對保薦人網絡安全風險管理的監管期望

2025年4月，香港證券及期貨事務監察委員會（SFC）向所有持牌保薦人發出通函，明確將網絡安全風險管理納入《操守準則》第9項（管理、監督及內部監控）的合規檢查範圍。此舉並非孤立事件——同年3月，SFC與香港金融管理局（HKMA）聯合發布《對持牌法團及註冊機構的網絡保安指引》，直接引用《證券及期貨條例》（第571章）第193條賦予的監管權力，要求保薦人將網絡韌性（Cyber Resilience）提升至與財務穩健性同等級別的監管優先事項。數據顯示，2024年第四季，SFC接獲的網絡安全事故通報按年上升47%，其中涉及保薦人處理首次公開招股（IPO）敏感資料的個案佔比達23%。對於持牌保薦人（SFC 6號牌及6A號牌持牌人）而言，這意味著傳統以盡職調查（Due Diligence）為核心的合規框架，必須同時覆蓋數據加密（Data Encryption）、存取控制（Access Control）及第三方供應商風險（Third-Party Vendor Risk）三個維度。本篇文章基於SFC通函、HKMA指引及港交所上市委員會近期決定書，拆解監管機構對保薦人網絡安全管理的具體期望，並提供可操作的合規路徑。

監管架構的演變：從《操守準則》到強制性通報機制

SFC對保薦人網絡安全風險的關注，並非2025年才開始。2023年11月，SFC發布《網絡保安風險管理指引》，首次將網絡安全與《操守準則》第9項掛鉤，但當時僅屬「最佳實踐」（Best Practice）建議。2025年4月的通函將此升級為強制性要求，並明確引用《證券及期貨條例》第193條作為執法依據。

通函的核心要求：三層合規框架

2025年4月通函（參考編號：SFC/25/04/CS）要求保薦人建立三層網絡安全合規框架。第一層為董事會層面的監督責任——保薦人的負責人員（Responsible Officers, RO）須每年向董事會提交網絡安全風險評估報告，內容須涵蓋數據資產清單、漏洞掃描結果及事故應變計劃。第二層為營運層面的技術控制——所有保薦人須在2025年12月31日前完成多因素認證（MFA）部署，並對客戶數據傳輸實施端對端加密（End-to-End Encryption）。第三層為通報機制——任何導致客戶資料外洩或系統中斷超過4小時的事件，須在24小時內向SFC通報，違者可能觸犯《證券及期貨條例》第213條的市場失當行為條文。

與HKMA指引的協同效應

2025年3月，SFC與HKMA聯合發布《對持牌法團及註冊機構的網絡保安指引》（參考編號：HKMA/25/03/CS），將保薦人與銀行業的網絡安全標準拉平。該指引明確要求保薦人對第三方服務供應商（如雲端存儲、數據分析平台）進行年度審計，並保留至少5年的審計記錄。HKMA數據顯示，2024年金融業網絡安全事故中，涉及第三方供應商的佔比達61%，這解釋了為何SFC將第三方風險管理列為保薦人合規檢查的重點。

保薦人特有風險場景：IPO數據流與跨境交易

保薦人與一般持牌法團的最大差異，在於其處理的數據涉及IPO全流程，包括未公開的招股書（Prospectus）草稿、盡職調查報告、關聯交易細節及股權結構圖。這些數據一旦洩露，不僅觸犯《個人資料（私隱）條例》（第486章），更可能導致市場操縱或內幕交易指控。

IPO數據流的攻擊面分析

2024年，SFC在對一家中資保薦人的現場檢查中發現，其用於存儲IPO盡職調查文件的雲端平台，僅採用基本密碼保護，且未啟用存取日誌（Access Logs）。該保薦人最終被罰款350萬港元，並被要求暫停處理新股上市申請3個月。SFC在決定書中明確指出，保薦人須對IPO數據流進行「端到端風險映射」（End-to-End Risk Mapping），具體包括：招股書草稿的版本控制系統、與港交所（HKEX）之間的電子提交渠道（如HKEX E-Submission System）、以及與保薦人律師及申報會計師之間的數據交換協議。

跨境交易的數據合規困局

處理涉及中國內地資產的VIE（Variable Interest Entity）架構上市時，保薦人須同時遵守《個人信息保護法》（PIPL）及《數據安全法》（DSL）的跨境數據傳輸規定。SFC 2025年通函特別提醒，保薦人不得將客戶數據存儲於未獲中國網信辦認證的境外伺服器。2024年，一家保薦人因將內地客戶的盡職調查數據存儲於新加坡雲端，被SFC與中國證監會（CSRC）聯合調查，最終被吊銷6號牌照。此案例顯示，保薦人的網絡安全合規已從香港本地監管擴展至跨境數據主權領域。

合規檢查的具體指標與罰則

SFC對保薦人網絡安全的現場檢查，已從2024年的抽樣模式轉變為2025年的全面覆蓋。根據SFC 2024年年報，當年完成對68家保薦人的網絡安全專項檢查，發現43家存在至少一項重大缺陷。

檢查清單的五大核心項目

SFC現場檢查的五大核心項目包括：第一，存取控制——保薦人須證明其系統僅允許授權人員存取客戶數據，且每次存取須記錄用戶ID、時間戳及操作類型。第二，數據加密——所有靜態數據（Data at Rest）須採用AES-256加密，傳輸中數據（Data in Transit）須採用TLS 1.3或以上協議。第三，事故應變——保薦人須在72小時內完成事故初步調查，並在14天內提交完整報告。第四，第三方審計——所有雲端服務供應商須持有ISO 27001認證，且保薦人須保留供應商的SOC 2報告。第五，員工培訓——每年至少進行一次網絡安全模擬演習，並記錄參訓率及測試結果。

罰則的量化分析

SFC對違規保薦人的罰則，已從2023年的平均120萬港元上升至2025年的平均380萬港元。2025年第一季，SFC對一家未完成MFA部署的保薦人處以200萬港元罰款，並禁止其負責人員（RO）在6個月內處理任何新股上市申請。SFC在處罰決定書中引用《證券及期貨條例》第193條，強調網絡安全缺陷等同於「內部監控系統不足」，可直接觸發吊銷牌照程序。

實務操作指南：保薦人合規路線圖

基於SFC通函及HKMA指引，保薦人須在2025年12月31日前完成以下三項關鍵部署。

第一階段：風險評估與差距分析（2025年6月前）

保薦人須聘請獨立網絡安全顧問（非保薦人自身IT團隊），對現有系統進行差距分析。分析報告須涵蓋：數據資產分類（如IPO數據、客戶身份文件、盡職調查報告）、漏洞掃描結果（包括內部網絡及雲端環境）、以及第三方供應商風險評級。SFC建議採用NIST網絡安全框架（CSF）作為評估基準。

第二階段：技術控制升級（2025年9月前）

所有保薦人須在2025年9月30日前完成MFA部署，並對電子郵件系統實施DLP（Data Loss Prevention）解決方案。對於處理跨境數據的保薦人，須部署符合中國網信辦要求的數據本地化解決方案，例如在香港設立專用伺服器，並通過香港個人資料私隱專員公署（PCPD）的跨境數據轉移機制（如「標準合約條款」）進行合規。

第三階段：持續監控與通報機制（2025年12月前）

保薦人須建立實時安全資訊及事件管理（SIEM）系統，並設定自動化通報閾值——例如，任何未經授權的數據存取嘗試超過3次，系統須自動生成警報並通知RO。SFC要求保薦人每年提交一次網絡安全合規報告，內容須包括事故統計、修復進度及下一年度預算。

三項具體行動建議

第一，立即啟動第三方供應商審計——所有與保薦人共享客戶數據的雲端服務商、法律文件管理平台及盡職調查工具供應商，須在2025年9月前完成ISO 27001認證審計，並提交SOC 2 Type II報告。第二，將網絡安全責任納入RO的年度績效考核——SFC通函明確要求RO對網絡安全事件承擔個人責任，保薦人須在內部規程中列明RO的具體問責條款。第三，建立與港交所E-Submission System的獨立網絡通道——保薦人須確保其提交IPO文件的網絡路徑與日常辦公網絡隔離，並採用專用VPN通道，以降低交叉感染風險。