Выбрать страницу
Законодательство Гонконга
Декабрь 2019
Циркуляр SFC об использовании лицензированными корпорациями внешних электронных систем хранения данных

Циркуляр SFC об использовании лицензированными корпорациями внешних электронных систем хранения данных

Циркуляр SFC об использовании лицензированными корпорациями внешних электронных систем хранения данных

Соответствие лицензированных корпораций установленным законом обязательствам по ведению документации

31 октября 2019 года Комиссия по ценным бумагам и фьючерсам (SFC) опубликовала циркуляр об использовании лицензированными корпорациями внешних электронных систем хранения данных[i] (циркуляр), направленный на предоставление лицензированным корпорациям большей маневренности в отношении того, как они соблюдают установленные законом обязательства по ведению документации в соответствии с Законом о ценных бумагах и фьючерсах (SFO) и Законом о борьбе с отмыванием денежных средств и финансированием терроризма (AMLO). В соответствии с определением записи и документы, которые необходимо сохранять, называются «нормативными документами».

Лицензированные корпорации должны обеспечивать сохранность и целостность нормативных документов, а также их подлинность, надежность и доступность, если они требуются в ходе судебного разбирательства, инициированного SFC или Министерством юстиции. Раздел 130 SFO также требует, чтобы лицензированные корпорации получали предварительное письменное одобрение SFC на использование любого хранилища нормативных документов, связанных с регулируемой деятельностью, для которой им была выдана лицензия.

В циркуляре отмечается, что лицензированные корпорации должны соблюдать установленные законом требования по ведению документации, когда они пользуются услугами внешних поставщиков электронных систем хранения данных (EDSP) для хранения нормативных документов. Примеры установленных законом обязательств включают в себя, без ограничения, следующие:

  1. Правила о ценных бумагах и фьючерсах (ведение документации) (глава 571O);
  2. Параграф 4.3 Кодекса поведения лиц, лицензированных или зарегистрированных в SFC; а также
  3. Руководство по управлению, надзору и внутреннему контролю для лиц, лицензированных или зарегистрированных в SFC, в частности, Раздел IV «Управление информацией».

В циркуляре разъясняются требования одобрения, когда лицензированные корпорации хранят нормативные документы у EDSP, а не в хранилищах, утвержденных согласно разделу 130 SFO, а также излагаются требования, которые применяются в тех случаях, когда записи хранятся у EDSP, а нормативная документация, которая применяется, когда информация хранится или обрабатывается в электронном виде с использованием EDSP.

Сфера действия циркуляра об использовании лицензированными корпорациями внешних электронных систем хранения данных

В соответствии с циркуляром для внешних поставщиков электронных систем хранения данных, к внешним поставщикам относятся:

  1. общественные и частные облачные службы;
  2. серверы или устройства для хранения данных в обычных центрах сбора данных;
  3. другие формы виртуального хранения электронной информации; а также
  4. технологические услуги, посредством которых (i) информация генерируется в ходе использования услуг и хранится у такого рода поставщиков технологических услуг или других поставщиков хранения данных, и (ii) информация, сгенерированная и сохраненная, может быть извлечена данными поставщиками технологических услуг,

Однако, требования разделов C и D циркуляра (по хранению нормативных документов исключительно с помощью EDSP и по одобрению мест хранения нормативных документов) не распространяются на:

  1. лицензированные корпорации, которые хранят нормативные записи у EDSP, если одновременно хранят полный комплект идентичных нормативных документов в местах, используемых лицензированной корпорацией в Гонконге, которые были одобрены в соответствии с разделом 130 SFO (например, когда облачное хранилище данных используется для целей резервного копирования данных); или
  2. лицензированные корпорации, которые использует вычислительные услуги без хранения нормативных документов у EDSP (например, когда облачные вычислительные услуги используются только для вычислений и аналитики, в то время как нормативные документы хранятся в хранилищах лицензированной корпорации).

Требования к нормативным документам, хранящимся исключительно у внешнего поставщика систем хранения данных

Если лицензированная корпорация хранит свои нормативные документы исключительно с помощью EDSP, то есть она не хранит одновременно свои нормативные документы в помещениях, используемых ею в Гонконге, в циркуляре требуется следующее:

  1. EDSP должен быть либо зарегистрирован в Гонконге, либо за его пределами, но в соответствии с Законом о компаниях Гонконга. Кроме того, EDSP должен иметь квалифицированный персонал, работающий в центре обработки данных, расположенном в Гонконге (EDSP Гонконга), а нормативные документы лицензированной корпорации должны храниться в данном центре;
  2. альтернативно, если EDSP не является EDSP Гонконга, лицензированная корпорация должна получить от EDSP обязательство, шаблон которого указан в Приложении 1 к циркуляру, чтобы предоставлять помощь и нормативные документы по запросу SFC;
  3. лицензированная корпорация должна гарантировать, что EDSP является подходящим и надежным, учитывая его операционные возможности, технические знания и финансовую устойчивость;
  4. лицензированная корпорация должна обеспечить быстрый и полный доступ ко всем ее нормативным документам по запросу SFC, а также их воспроизведение в разборчивой форме из одобренного хранилища в Гонконге;
  5. лицензированная корпорация должна также обеспечить, чтобы:
    1. могла быть предоставлена подробная и полная информация аудита в разборчивой форме, касающаяся любого доступа, включая доступ лицензированной корпорации к нормативным документам (включая чтение, запись и изменение), хранящимся у EDSP;
    2. информация для проведения аудита хранилась в течение периода, необходимого для хранения нормативных документов;
    3. доступ лицензированной корпорации к информации для проведения аудита был ограничен только чтением; а также
    4. каждый пользователь, получивший доступ к нормативным документам, мог быть идентифицирован в информации для проведения аудита;
  6. лицензированная корпорация должна обеспечить хранение нормативных записей без нарушений, а также, чтобы такое хранение не приводило к необоснованным задержкам в фактическом доступе SFC к нормативным документам с учётом всех связанных политических и правовых вопросов в соответствующей юрисдикции. Данное требование применяется независимо от того, где находится оборудование EDSP для хранения информации; а также
  7. лицензированные корпорации должны назначить как минимум двух сотрудников, которые станут менеджерами, ответственными за основные функции (MIC) в Гонконге, и которые (i) обладают знаниями, опытом и полномочиями (включая все необходимые цифровые сертификаты, ключи, пароли и токены) для доступа ко всем нормативным документам, хранящимся у EDSP, и (ii) смогут гарантировать фактический доступ по требованию и без необоснованной задержки SFC к данным документам. MIC будут нести ответственность за:
    1. обеспечение информационной безопасности для предотвращения несанкционированного доступа, фальсификации или уничтожения нормативных документов;
    2. предоставление всей необходимой помощи SFC для обеспечения безопасности и быстрого получения доступа ко всем нормативным документам компании, хранящимся у EDSP, и
    3. внедрение всех необходимых стратегий, процедур и систем внутреннего контроля для обеспечения полного доступа SFC ко всем нормативным документам по требованию и без необоснованной задержки. Лицензированная корпорация и назначенные MIC также должны обеспечивать, чтобы вышеуказанные обязанности назначенных MIC были всегда выполнимы; а также
  8. лицензированная корпорация должна получить одобрение на помещение, используемое для хранения нормативных документов в соответствии с разделом 130 SFO.

Одобрение SFC хранилищ нормативной документации

Прежде чем использовать услуги хранения нормативных документов исключительно у EDSP, лицензированная корпорация должна:

  1. подать заявку на одобрение центра по хранению данных, используемого EDSP, в котором будут храниться нормативные документы лицензированной корпорации;
  2. предоставить подробную информацию о помещениях, являющихся основным местом деятельности, лицензированной корпорации в Гонконге, где все хранящиеся в EDSP нормативные документы полностью доступны по требованию SFC без необоснованной задержки; а также
  3. предоставить подробную информацию о каждом филиале лицензированной корпорации в Гонконге, нормативные документы которых хранятся у EDSP и могут быть предоставлены по запросу.

Как основное место деятельности, так и филиалы, указанные в пунктах (2) и (3) выше, должны быть помещениями, которые SFC одобрила в соответствии с разделом 130 SFO.

Для подачи заявки на получение одобрения SFC, лицензированная корпорация должна подавать ее вместе с:

  1. Если EDSP является гонконгской компанией, и нормативные документы хранятся там на постоянной основе:
    1. соответствующим подтверждением от лицензированной корпорации (подтверждение); а также
    2. копией уведомления от лицензированной корпорации к EDSP (уведомление), шаблон которого указан в Приложении 2 к циркуляру, разрешающей и требующей от EDSP предоставлять документацию лицензированной корпорации в SFC, подписанной в том числе EDSP в качестве доказательства признания EDSP данного разрешения и требования (двойная подпись); а также
  2. Если EDSP не является гонконгской компанией:
    1. копией уведомления от лицензированной корпорации к EDSP, и
    2. обязательством EDSP предоставлять помощь и нормативные документы по запросу SFC, шаблон которого указан в Приложении 2 к циркуляру.

SFC может предоставить одобрение при соблюдении условий, которые она посчитает разумными в конкретных обстоятельствах. Лицензированная корпорация должна уведомить EDSP и SFC о предлагаемом соглашении перехода не менее чем за 30 календарных дней до расторжения, истечения срока действия, замены старого контракта новым или переуступки соглашения об обслуживании с EDSP.

Общие обязательства лицензированных корпораций, использующих внешние электронные системы хранения данных или услуги по их обработке

Лицензированные корпорации обязаны в соответствии с Руководством по управлению, надзору и внутреннему контролю для лиц, лицензированных или зарегистрированных в SFC, (i) внедрить эффективные стратегии и процедуры для надлежащего управления рисками, которым компания и ее клиенты подвергаются в отношении клиентских данных и информации, относящихся к бизнес-деятельности компании (соответствующая информация), и (ii) внедрить системы по управлению информацией для обнаружения и предотвращения несанкционированного доступа, внесения дополнений, изменения или удаления соответствующей информации.

Циркуляр требует от лицензированных корпораций, использующих внешние электронные системы хранения данных или услуги по их обработке, внедрить следующие меры контроля для надлежащего управления кибер и операционными рисками, независимо от того, хранится ли нормативная документация у EDSP исключительно или нет:

  1. Лицензированные корпорации должны изначально проводить процедуры дью-дилидженс в отношении EDSP и его средств контроля, связанных с инфраструктурой, персоналом и процессами предоставления услуг хранения данных, а также регулярно контролировать их. Процедуры дью-дилидженс должны охватывать:
    1. любые субподрядные соглашения EDSP о хранении нормативных документов лицензированной корпорации, особенно в отношении киберрисков и информационной безопасности; а также
    2. внутреннее управление EDSP в защите нормативных документов лицензированной корпорации, которые могут включать оценку (1) физической безопасности хранилищ, (2) типа хостинга (отдельного или совместно используемого оборудования), (3) безопасности сетевой инфраструктуры, (4) IT-системы и приложений, (5) управления идентификацией и доступом, (6) управления киберрисками, (7) информационной безопасности, (8) уведомлений о потере информации и случаях нарушений, (9) возможности судебной экспертизы, (10) аварийного восстановления данных и (11) процессов обеспечения непрерывности бизнес-деятельности.
  2. Лицензированная корпорация должна поддерживать эффективный процесс управления для (i) приобретения, установки и использования программных приложений или услуг, которые считывают, записывают или изменяют соответствующую информацию, и (ii) обеспечения безопасности, подлинности, надежности, целостности, конфиденциальности и своевременности соответствующей информации в соответствующих случаях.
  3. Лицензированная корпорация должна внедрить стратегию информационной безопасности для предотвращения несанкционированного раскрытия информации, которая должна включать: (i) структуру классификации данных, (ii) описание различных уровней классификации данных, (iii) список функций и обязанностей для определения чувствительности данных и соответствующих мер контроля; (iv) определенные шаги для защиты EDSP конфиденциальности соответствующей информации; (v) процедуры для обеспечения конфиденциальности и безопасности соответствующей информации посредством надлежащего управления шифрованием, и (vi) внедрение надлежащего контроля управления ключами, поддержка хранения ключей шифрования и дешифрования, а также обеспечение доступа к ключам для SFC по требованию.
  4. Лицензированная корпорация должна обеспечить изменение соответствующей информации только уполномоченным персоналом для надлежащих целей, и чтобы каждый пользователь, получивший доступ к нормативным документам, мог быть идентифицирован; также следует убедиться, что любой переход соответствующей информации разрешен надлежащим образом.
  5. Лицензированная корпорация должна обеспечить соответствующее распределение обязанностей, таких как настройка параметров безопасности, защита нагруженности рабочего процесса и управление учетными данными, между лицензированной корпорацией и EDSP было четко определено, хорошо понято и надлежащим образом регулировалось лицензированной корпорацией. Следует помнить о том, как работа данных служб и их подверженность киберугрозам может отличаться от вычислительных услуг в помещениях лицензированной корпорации. Если лицензированная корпорация использует шифрование, оно также должно соответствовать требованиям, изложенным в подпункте (3) выше.
  6. Учитывая повышенную сложность и риски безопасности по сравнению с невиртуальной средой, лицензированные корпорации, использующие другие формы виртуального хранения данных, должны внедрять соответствующие меры контроля; лицензированные корпорации, использующие внешнее электронные системы хранения данных в ведении своей регулируемой деятельности, должны разработать соответствующий план действий в чрезвычайных ситуациях для обеспечения операционной устойчивости и требовать от EDSP раскрывать информацию о потере данных, нарушениях безопасности или сбоях в работе.
  7. Лицензированная корпорация должна иметь такую стратегию выхода, чтобы гарантировать, что использование внешних систем хранения данных может быть прекращено без существенного нарушения непрерывности любых операций, критически важных для осуществления регулируемой деятельности; если нормативные документы хранятся исключительно у EDSP, должно быть указано, как будет выполняться альтернативное хранение данных, в то время как доступ SFC к нормативным документам не будет затронут в течение переходного периода. В обоих случаях стратегия выхода должна регулярно пересматриваться и обновляться по мере необходимости.
  8. Лицензированная корпорация должна иметь юридически обязывающее соглашение об обслуживании с EDSP, в котором излагаются положения, касающиеся расторжения договора, например, требование к EDSP помочь в переходе на новый EDSP, позволяя перенос данных обратно в хранилище на территории лицензированной корпорации, а также разграничение прав собственности на данные и интеллектуальную собственность после расторжения контракта.
  9. SFC отмечает, что значительный ущерб для основных EDSP повлияет на весь рынок и что в зависимости от масштабов деятельности лицензированной корпорации и степени использования внешних систем хранения данных или их обработки EDSP, лицензированная корпорация должна рассмотреть вопрос о том, будет ли целесообразно использовать более одного EDSP или необходимо создать альтернативные механизмы для обеспечения операционной устойчивости.

Соответствие разделу 130 SFO

Лицензированные корпорации, использующие внешние электронные системы хранения данных, должны соответствовать требованиям, изложенным в разделе 130 SFO, согласно которому необходимо предварительное письменное одобрение SFC, прежде чем использовать какое-либо помещение для хранения записей или документов.

Если нормативные документы любой лицензированной корпорации хранятся исключительно у EDSP до 31 октября 2019 года, лицензированная корпорация должна:

  1. незамедлительно уведомить об этом Департамент лицензирования SFC, а именно отдел по вопросам посредников; а также
  2. подать заявку на получение одобрения согласно разделу 130 SFO.

Если какой-либо центр обработки данных EDSP, используемый лицензированной корпорацией исключительно для хранения нормативных документов, уже был одобрен в соответствии с разделом 130 SFO до 31 октября 2019 года, лицензированная корпорация должна предоставить в Департамент лицензирования SFC:

  • имена двух MIC и подтверждение того, что все нормативные документы полностью доступны по требованию и без необоснованной задержки SFC в будущих событиях; а также
  • не позднее 30 июня 2020 года — подтверждение, копию уведомления и двойную подпись, а также подтверждение того, что другие требования циркуляра были соблюдены.

[i] SFC. “Circular to Licensed Corporations – Use of external electronic data storage”. 31 October 2019. At: https://www.sfc.hk/edistributionWeb/gateway/EN/circular/intermediaries/supervision/doc?refNo=19EC59

Данная новостная рассылка предоставляется исключительно в информационных целях.

Содержание данной статьи не является юридической консультацией и не может рассматриваться в качестве подробной рекомендации.
Передача или получение этой информации не подразумевают и не являются фактом установления законных взаимоотношений между Charltons и пользователем либо наблюдателем.
Charltons не несет ответственности за какие-либо информационные материалы третьей стороны, доступ к которым может быть получен через сайт.

Если Вы не желаете получать новостную рассылку, пожалуйста, сообщите об этом по электронной почте: unsubscribe@charltonslaw.com

Лучшая юридическая бутик-компания по сопровождению сделок 2020 года
по версии Asian Legal Business Awards

ADDRESS

Dominion Centre,12th Floor
43-59 Queen’s Road East
Hong Kong

Тел: + (852) 2905 7888
Факс + (852) 2854 9596
www.charltonslaw.ru

Charltons — Законодательство Гонконга — 462 — 04 Декабрь 2019