保薦人如何建立有效的客戶盡職審查信息共享機制

2025年6月，香港證監會（SFC）在《打擊洗錢及恐怖分子資金籌集通訊》第20期中，明確點出保薦人在集體投資計劃（CIS）及複雜企業架構中的客戶盡職審查（CDD）信息共享機制存在系統性缺陷。該通函引述SFC於2024年對12宗上市申請的審查結果，發現其中8宗（66.7%）的保薦人團隊在CDD信息傳遞上出現斷層，導致最終未能識別最終實益擁有人（UBO），或未能釐清資金來源的合規路徑。與此同時，港交所（HKEX）於2025年4月修訂的《上市規則》第21項應用指引（PN21），強化了保薦人對「關連交易」及「重大收購」中交易對手方的CDD責任，要求保薦人必須建立可審計的信息共享管道。對於持牌保薦人（SFC 6/6A類別）而言，信息共享機制已不再是「最佳實踐」的選項，而是監管合規的強制性基建。本文從監管要求、機制設計及實務障礙三個維度，拆解保薦人如何構建有效的CDD信息共享框架。

監管基礎：SFC與HKEX對信息共享的具體要求

SFC在《打擊洗錢及恐怖分子資金籌集指引》（2023年版）第4.11至4.14條中，明確要求保薦人必須在集團層面建立「客戶盡職審查信息的獲取、儲存及共享系統」。該指引特別強調，當保薦人涉及多個法律實體（如香港保薦人主體、BVI附屬公司及PRC關聯方）時，信息共享機制必須覆蓋所有相關實體，並確保數據傳遞的即時性與完整性。

SFC通函第20期：信息斷層的具體案例

SFC在2025年6月的通函中，披露了一個典型案例：某保薦人在處理一家開曼群島註冊、業務位於PRC的上市申請時，其香港團隊未能從PRC關聯方獲取最終股東的完整身份證明文件，導致上市委員會（Listing Committee）在審議階段要求補充CDD材料，最終延遲上市時間表達14個星期。該案例直接引用SFC《反洗錢條例》（AMLO）第5A條，指出保薦人未能履行「持續監察」的責任。SFC的結論是：信息共享機制的缺失，等同於CDD程序的不完整。

HKEX PN21：交易對手方的CDD責任

HKEX於2025年4月修訂的PN21，將CDD信息共享的要求擴展至「關連交易」及「重大收購」的審查流程。根據PN21第3.2條，保薦人必須在盡職審查報告中，明確記錄所有交易對手方的CDD信息來源，並說明信息共享的具體管道。若保薦人依賴第三方（如PRC律師或BVI註冊代理人）提供的CDD數據，必須在報告中披露該第三方的資質及信息驗證方法。PN21同時要求，保薦人內部必須設有「信息共享協調人」（Information Sharing Coordinator），負責確保所有相關團隊（包括香港、PRC及離岸實體）在指定時間內完成CDD數據的同步。

機制設計：三層信息共享架構

基於上述監管要求，保薦人應建立一個分層的信息共享機制，涵蓋「集團層面」、「項目層面」及「技術層面」。以下從實務操作角度拆解每一層的核心元素。

集團層面：統一CDD政策與數據標準

保薦人集團必須制定一份統一的CDD政策文件，該文件應明確信息共享的範圍、頻率及責任歸屬。根據SFC指引第4.16條，集團層面的政策必須涵蓋以下要素：第一，所有法律實體（包括香港、BVI、Cayman及PRC附屬公司）必須採用相同的CDD數據分類標準（如客戶類型、風險評級、UBO識別門檻）；第二，集團必須設立中央CDD數據庫（Central CDD Repository），該數據庫應具備實時同步功能，確保任何實體更新的CDD信息能即時反映至所有相關節點；第三，集團層面需指定一名合規總監（Compliance Officer）負責監督信息共享機制的運作，並每年向SFC提交合規報告。

項目層面：項目信息共享協議（PISA）

針對每一個上市申請項目，保薦人應與所有參與方（包括PRC律師、離岸註冊代理人、審計師及內部團隊）簽訂一份「項目信息共享協議」（Project Information Sharing Agreement, PISA）。該協議應明確：第一，信息共享的時限（如CDD數據必須在項目啟動後10個工作日內完成首次同步）；第二，信息共享的格式（如統一使用SFC指定的CDD模板）；第三，信息共享的責任鏈（如PRC律師負責提供UBO的PRC身份證明，BVI代理人負責提供離岸實體的董事登記冊）。PISA應作為盡職審查工作底稿的一部分，供SFC或HKEX隨時查閱。

技術層面：加密數據管道與審計軌跡

技術層面是信息共享機制的執行基礎。保薦人應部署一套端到端加密的數據共享平台，該平台需具備以下功能：第一，實時數據同步（Real-time Data Sync），確保所有相關實體能在同一時間看到最新的CDD信息；第二，訪問控制（Access Control），根據團隊成員的職責設定不同的數據讀取及編輯權限；第三，審計軌跡（Audit Trail），記錄每一次數據訪問、修改及共享的具體時間、操作人員及內容變化。SFC在2024年的一項技術審查中，明確指出使用未加密的電郵或即時通訊工具（如WhatsApp或WeChat）傳遞CDD信息，將被視為「不合規的信息共享行為」，可能觸發紀律處分。

實務障礙與應對策略

信息共享機制的執行並非沒有障礙。以下是保薦人在實務中最常遇到的三個問題，以及對應的合規策略。

跨境數據傳輸的合規風險

當保薦人涉及PRC實體時，PRC《個人信息保護法》（PIPL）及《數據安全法》（DSL）對個人信息及重要數據的跨境傳輸設有嚴格限制。根據PIPL第38條，向境外提供個人信息必須通過國家網信辦（CAC）的安全評估或取得個人同意。保薦人若直接將PRC客戶的CDD數據傳輸至香港服務器，可能觸犯PRC數據出境規定。應對策略是：在PRC境內設立一個「數據緩衝區」（Data Buffer Zone），即在PRC實體內完成CDD數據的初步處理及存儲，僅將脫敏後的摘要信息（如UBO的識別編號而非完整身份證明）傳輸至香港中央數據庫。此做法需獲得PRC律師的書面合規意見，並在PISA中明確數據處理的具體流程。

第三方依賴的責任歸屬

保薦人經常依賴第三方（如PRC律師、離岸註冊代理人或審計師）提供CDD信息。然而，根據SFC指引第6.8條，保薦人不能將CDD責任完全轉嫁給第三方。即使第三方提供了完整的CDD報告，保薦人仍需對信息的準確性及完整性承擔最終責任。實務中，保薦人應對第三方進行「盡職審查的盡職審查」（Due Diligence on Due Diligence），即要求第三方提供其CDD程序的詳細描述，並隨機抽樣驗證其數據來源。此外，保薦人應在PISA中明確第三方的賠償責任條款，確保在第三方信息錯誤導致監管處罰時，保薦人可追索損失。

內部團隊的信息孤島

大型保薦機構內部，不同團隊（如香港IPO團隊、PRC盡職審查團隊及合規團隊）之間經常存在信息孤島，導致CDD數據無法及時共享。SFC在2025年的通函中特別批評了此類情況，指出某保薦人的香港團隊在上市申請提交前，仍未從PRC團隊獲取最終股東的資金來源證明。應對策略是：第一，在項目啟動時即召開「信息共享啟動會議」，明確各團隊的信息交付時間表；第二，使用項目管理工具（如Jira或Asana）設置CDD數據的完成度檢查點，並由合規團隊定期審核；第三，將信息共享的及時性納入團隊績效考核指標（KPI），對延遲交付的團隊實施內部警告。

行動建議

基於上述分析，持牌保薦人應立即採取以下行動以確保合規：第一，在2025年第三季度前完成集團層面CDD政策的更新，明確信息共享的範圍、標準及責任歸屬，並將政策文件提交至SFC備案。第二，為每一個新上市申請項目簽訂PISA，確保所有參與方的信息共享責任在合約層面得到明確界定。第三，部署端到端加密的數據共享平台，並在2025年底前完成內部審計軌跡系統的測試與上線。第四，針對涉及PRC數據的項目，聘請PRC數據合規律師出具書面意見，確保跨境數據傳輸符合PIPL及DSL的要求。第五，建立季度性的信息共享機制內部審核制度，由合規總監直接向董事會報告審核結果，並將審核記錄保存至少7年以備SFC查閱。