麻豆传媒

平台营运者應實施適當的措施，以遵從《防止贿赂條例》及廉政公署所發出的有關指引。因此，平台营运者應制订防止贿赂政策及行為守则，當中須包含適用於其董事、职员及代理人的必要誠信規定，及採納《防止贿赂條例》第2(1)條對“利益”的法定定義。就此而言，平台营运者應採用及／或參考廉政公署所發出適用於私人企業的行為守则範本（），当中：

(a)    規定公司的董事及职员不得向任何與該公司有業務往來的人士、公司或機構索取或收受任何利益，但在符合某些條件或獲該公司核准人員允許的情況下接受（但不准索取）利益則除外；及

(b)    禁止董事及职员向另一家公司或機構的任何董事、职员或代理人提供利益，除非提供有關利益不帶有不當影響任何業務往來的動機，且確定擬接受利益者乃獲得其僱主或主事人的許可接受利益。

此外，平台营运者應向其董事、职员及代理人提供適當的培訓，以確保遵從《防止贿赂條例》、监管规定及內部防止贿赂政策和程序。

（主要参考：《虚拟资产交易平台指引》第11.21段）

商业电邮骗案的計劃通常涉及騙徒採用以下的一種或多種手法¹：

• 偽造一个与真正客户联繫人相似的电邮地址以便与平台营运者沟通；

• 冒充客户联繫人并提出看似合理的要求，例如索取户口结单的副本、增加或更改授权签署人、申请开设用户帐户或发出交易指令；及

• 发出资金转移的指示，通常是转帐至骗徒在多家收款银行（有些位於海外）所操控的银行帐户，以尽量提高他们收到款项的机会。

平台营运者應制订及實施有效的政策和程序，以有效地識別和管理商业电邮骗案的風險，向其职员提供有關管理商业电邮骗案風險的培訓和指引，以及確保為有關監控職能分配足夠資源及實施適當的制衡措施。特別是，平台营运者應根據內部規程仔細地檢查用作發出要求的電郵地址，審慎地查核有關要求的真實性，勤勉盡責地對預警跡象進行調查，並及時上報有關問題。平台营运者亦應就以下範疇設有足夠的內部監控措施：

(a) 核實及審查客戶聯絡資料

• 在开户过程中确定客户及其授权代表的真实身分。

• 定期审查和更新正式的纪录，确保客户的联络资料是準确及最新的。

(b) 更改客戶資料

• 当客户要求更改其资料（包括更新授权代表资料）时，应要求客户以书面方式发出指示，并核实要求者的身分及签名式样。

• 使用平台营运者的正式纪录内的联络资料来核实电邮要求，而不是透过该电邮地址或使用其提供的电话号码来核实。在有需要的情况下，考虑安排与客户进行视像会议或直接会面。

• 在接获更改的要求时及在作出有关更改后，将确认通知发送到客户的登记地址、电子邮箱或流动电话。

(c) 处理就交易指令或资金转移发出的电邮要求

• 就金额超过合理门槛的要求实施有效的确认程序。

• 使用其他途径及平台营运者原有纪录内的联络资料来联络客户及核实其要求，而不是直接回覆电邮要求。

• 考虑使用监测工具，以过滤偽造的电邮地址，及侦测未经授权而接达内部网络和系统的情况。

(d) 识别预警跡象

• 若电邮要求有别於客户的惯常做法，应保持警惕，并格外小心处理。如有不合常规的情况（例如向海外银行帐户支付大笔款项，要求即时付款，及银行多次拒绝转帐），应立即跟进。

• 建立稳健的风险文化，鼓励职员匯报及跟进预警跡象。适时地让主管、资讯科技管理人员及合规人员参与制订适当的对策，以处理可疑的电邮指示。

(e) 實施网络保安措施

• 监察黑客攻击风险，并实施适当和有效的资讯科技保安监控措施，包括确保电邮、密码及电脑系统的安全。

平台营运者应：

• 對其投诉處理職能制订充分的管理層监督措施。平台营运者應指派一名核心職能主管監察投诉處理政策和程序的制订及實施情況，以及持續監察投诉處理流程。擁有龐大零售客戶群的平台营运者亦應分配特定資源來處理客戶投诉；
  
  
• 確保投诉處理職能乃由具備適當資格的职员來執行。應由執行合規職能的职员負責就投诉展開調查，而該职员應與投诉所涉及的事項沒有直接關係；

• 以書面形式制订及列明投诉處理政策和程序，從而確保能夠及時且妥善地處理客戶投诉，以及迅速採取合適的補救措施；

• 就投诉處理工作設立預定期限，以確保投诉能夠及時獲得處理，當中包括以下程序的時限：

(a) 在收到投诉後發出確認；

(b) 就投诉回應投诉人的查詢；及

(c) 向投诉人作出最終回覆。

縱然處理投诉所需的時間可能因應投诉的性質而有所不同，但平台营运者應在收到投诉後七日內發出確認，並在兩個月內發出最終回覆；

• 確保向所有相關职员清楚傳達投诉處理政策和程序的内容，並確保這些政策和程序均獲嚴格執行；及

• 為相關职员充分提供有關投诉處理政策和程序的培訓。

答：是，平台营运者應向客戶披露有關投诉處理程序的重要資料，包括在收到投诉後發出確認及發出最終回覆的預定期限。該等資料的用語應清晰易明，讓客戶能夠了解有關流程。

平台营运者應將投诉與一般查詢或意見的表達加以區分來適當地將投诉識別出來，並及時且妥善地處理投诉，不論涉事职员是否已離職，或平台营运者是否已不再從事與該投诉有關的活动。

平台营运者的职员應循內部機制向高級管理層上報任何嚴重及具重大影響的個案，以便迅速作出處理及調查。如有個案涉嫌違反《虚拟资产交易平台指引》及其他监管规定，平台营运者亦应及时向证监会匯报。

平台营运者应：

• 適當地審核每宗投诉所涉及的事項。如某宗投诉亦與其他客戶有關，或引起更廣受關注的事宜，平台营运者應對該等事宜作出調查及補救，即使其他客戶可能沒有向平台营运者作出投诉也不例外。

• 制订指引，說明投诉個案可於何時及在甚麼情況下結案，並應確保向投诉人提供的調解方案是適當、一致及公平的；及

• 在證監會就其所收到針對平台营运者的投诉作出查詢時，透過出示相關文件及紀錄等方式，向證監會證明它們已及時且妥善地處理有關投诉。

平台营运者應維持有效的政策、程序及監控措施，以在進行跨境業務活动時，監察及確保遵守當地的法律及监管规定。此外，若平台营运者的僱員或代理人代其在其他司法管轄區進行業務活动（不論有關人士是否獲證監會發牌），平台营运者相当可能会被证监会视為须对其僱员或代理人的行為负责。如该等人士应為其他有关司法管辖区法例或规例下的持牌人，但并无持有相关牌照，或他们本身作出不当的行為，这可能会构成不遵从《虚拟资产交易平台指引》第11.15段的情况，并可能令人质疑该平台营运者及／或有关个人是否获证监会发牌或继续持牌的适当人选。

在進行任何跨境業務活动前，平台营运者應徹底了解當地的法律及监管规定，徵詢適當的法律及專業意見，以及與相關監管部門商討適用的規定。相當可能受其他司法管轄區的法例或規例監管的活动可包括招攬開立客戶帳戶；簽署帳戶協議或授權書；推銷或銷售虚拟资产；及订立虚拟资产交易。

平台营运者及其控權實體亦應確保它們本身和有關連人士所提供的服務的合法性，以確保它們的活动遵守證監會執行的法例及規例，以及其他司法管轄區的適用規定。特別是，若平台营运者的控權實體或它的其他附屬公司作出不當行為，可能會對平台营运者及集團整體造成不利影響。

（主要参考：《虚拟资产交易平台指引》第11.15段）

数据风险指因平台营运者對數據生命周期（包括數據收集、分類、使用、保留、轉移和處置）管理不足而導致運作受干擾和聲譽或財務受損的風險。平台营运者应：

• 制订穩健的風險管治框架，以便有效地管理数据风险和遵從適用的法律及监管规定。該框架應涵蓋不同方面，其中包括下列範疇：(a)清楚地界定高級管理層在监督数据风险管理方面的責任及問責性；及(b)制订結構完善的規程，以便及時處理並向高級管理層和有關當局（如適當）匯報数据风险事故；

   

• 从可靠的来源收集数据，并採取适当步骤，以确保所收集数据的质素；

   

• 按照数据的敏感程度，将所处理的数据合理地分类，并实施相称的保护措施；

   

• 确保敏感数据只可由获授权人士取览、使用或更改；

   

• 订立數據保留及備份政策，以確保在指定的期限內妥善保管及提供數據，藉此遵從有關备存纪录的监管规定和滿足自身的業務需要；

   

• 实施充足的保障措施，以防止数据在传输时洩露至非拟定人士，及被弃置的数据遭恶意取览或修復；及

   

• （凡在數據生命周期中委聘服務提供者）執行妥善的盡職審查及持續監察，以確保服務提供者有能力保護數據和遵從適用的法律及监管规定。

（主要参考：《虚拟资产交易平台指引》第11.11段）

平台营运者應實施以下措施：

1. 管治

资源和处理能力

1.1 平台营运者在安排职员轉為遙距工作前，應確保具備足夠資源，以便在遙距地點妥善地執行工作。

1.2 平台营运者應制订並維持有效的政策、運作程序及監控措施，以切合不同業務部門和運作職能的职员在遙距地點工作時的需要。平台营运者亦应就被视為高风险或不适合在遥距地点执行的业务或运作职能，确保在办事处内有适当的最低职员数目。有关政策、程序及监控措施应定期及在有需要时进行检讨和作出更新。

1.3 平台营运者應確保，為支援具效率的遙距工作而提供的資訊科技基建、系統、軟件、硬件、網絡處理能力及連接能力是適當及充足的。

监督及监控流程

1.4 平台营运者應制订並維持有效的监督及监控流程，以確保职员即使在遙距工作的環境中，依然符合適用的法律和监管规定以及平台营运者本身的內部政策和程序，方法包括向职员提供適當培訓，讓他們能以遙距方式履行其监督或監控職能。他们亦应具备在遥距工作环境中有效地执行其职务所需的技能和资源，包括取览全部所需纪录和文件。

1.5 在轉至遙距工作安排前，平台营运者应就任何暂时不适用於遥距工作的职员的监控措施，设有充分的替代性监控措施。

1.6 平台营运者应确保在遥距工作环境中执行合规职能的职员制订、維持及執行有效的合規程序，包括有關交易、電子通讯及電話的適當監察系統，以偵測不符合法律及监管规定或平台营运者本身的政策和程序的情況。最易被濫用及發生欺詐活动的業務或運作職能，應受到密切監察。

2. 在办事处以外地方进行交易

2.1 平台营运者在允许职员於辦事處以外地方進行任何交易活动前，應制订並維持有效的政策及程序、監察機制系統和監控措施，以確保該等活动持正操作並符合所有监管规定。

2.2 若职员獲允許於辦事處以外地方就以代理人身分接收的交易指示進行交易活动，有關的政策及程序便應確保遙距工作的职员利用录音电话线接听以代理人身分接收的交易指示。如平台营运者尚未於遙距地點配置電話錄音系統，遙距工作的职员便應即時回電給平台营运者於办事处的电话录音系统，以记录他们接收来电的时间和该交易指示的详情。若平台营运者已採納遙距工作安排並使其成為負責交易的职员的新常態，它便應為那些接收客戶電話交易指示的职员，配備適當的資訊及通讯科技設備，包括電話錄音系統。

2.3 若职员獲允許就客戶交易指示在办事处以外地方进行交易活动，有關政策及程序亦應確保职员可接達所需的交易及所有其他系統，讓他們得以管理整體的交易執行流程，並釐定執行策略和參數，以便盡快地按最佳條件執行客戶的交易指示。

2.4 若职员獲允許在办事处以外地方进行交易活动，以便替公司本身的帳戶與客戶订立背對背交易，有關的政策、程序及監控措施便應確保职员在订立這些背對背交易之前或之時，能夠接達全部所需的系統，讓他們得以及時取覽所需資料，以便釐定將向客戶披露的交易利潤金額。 

2.5 獨立的合規或審計職能應與高級管理層、業務運作、風險管理及其他相關監控職能緊密合作，就在辦事處以外地方進行的交易活动積極地執行合規監察的工作。遙距工作的职员遵循各項有關在办事处以外地方进行交易的合規政策、程序及監控措施的情況，應受到嚴格的檢討流程所規管。

3. 外判及第叁方安排

3.1 平台营运者應制订並維持有效的政策及程序，以確保適當地選擇和委任支援遙距工作安排的主要第三方，及適當地管理和監察它們在遙距工作環境中帶來的所有風險。

4. 资讯保安

4.1 平台营运者在容許职员遙距工作前，應實施適當及有效的數據保密政策、程序及監控措施，以防止及偵測在遙距工作環境中出現的錯誤或遺漏，或有人未經授權而擅自對其數據處理系統及數據（包括所有由平台营运者管有的機密資料，例如客戶的個人及財務資料，以及容易引起價格波動的資料）進行加插、更改、刪除或侵入等活动。平台营运者亦应确保就遥距工作而言，其运作及资料管理系统是安全及受到充分监控的。

4.2 平台营运者應確保职员只有在需要知悉客戶資料及其他機密資料的情況下，才能以遙距方式取覽該等資料，並嚴格執行此一規定。

5. 网络保安

5.1 平台营运者應订立適當的措施以管理及紓減與遙距工作安排相關的网络保安風險，及防止和偵測网络保安威脅。

6. 备存纪录

6.1 平台营运者應實施及維持適當的內部監控措施，以確保當职员可遙距接達其交易或其他系統時，該职员在這些系統內進行的活动會確實被載入系統所產生的紀錄和文件內。

6.2 在容許遙距工作的职员將某些必要的紀錄和文件暫存於其家中，或（就《打击洗钱及恐怖分子资金筹集條例》（第615章）第53ZRR條的目的而言）並非獲批准處所的其他遙距工作地點之前，平台营运者應先制订有效的政策、程序及監控措施，規定职员須在切實可行的情況下盡快將這些紀錄和文件送回獲批准的處所。

7. 通知的责任

7.1 平台营运者應推行有關措施，以便將實施遙距工作安排一事（此舉構成其業務計劃的重大改變）及有關安排的任何重大改變從速通知證監會。

8. 在家工作安排

8.1 平台营运者应為紓减在家工作安排独有的任何额外风险而建立并维持必需和充分的内部监控措施及运作能力。

8.2 平台营运者亦應制订、維持及嚴格執行有關政策、程序及監控措施，藉以確保在家工作的职员只可在需要知悉客戶資料及其他機密資料的情況下取覽該等資料。

8.3 平台营运者應就在家居辦公室環境中將機密資料保密的政策及程序，向在家工作的职员提供特定培訓。

（主要参考：《虚拟资产交易平台指引》第11.11段）

若平台营运者發現任何虛假的网站／交易應用程式試圖仿冒其网站／交易應用程式，或對它們作出未經授權的提述，本會建議平台营运者最低限度應採取以下程序：

(a) 尽快向证监会匯报事件；

(b) 盡快向警方舉報事件；及

(c) 透過有效的途徑警惕廣大投資者注意有關网站及交易應用程式，例如在平台营运者的网站上發出警告以澄清事件。