有关建议降低和纾减与互联网交易相关黑客入侵风险.PDF

有關建議降低及紓減與互聯網交易相關的黑客入侵風險 的諮詢總結 2017 年 10 月 目錄 摘要 1 接獲的意見及我們的回應 2 I. 諮詢問題 2 II. 特定的基本規定 5 執行時限 11 未來路向 11 附錄A ─對《證券及期貨事務監察委員會持牌人或註冊人操守準 則》的修訂 附錄B ─ 《降低及紓減與互聯網交易相關的黑客入侵風險指引》 附錄C ─ 回應者名單 摘要 1. 2017 年5 月8 日，證券及期貨事務監察委員會（證監會）發出一份《有關建議降低及紓減 與互聯網交易相關的黑客入侵風險的諮詢文件》（ 《諮詢文件》），邀請公眾就(a) 對《證 券及期貨事務監察委員會持牌人或註冊人操守準則》（ 《操守準則》）的建議修訂及(b) 建 議新訂的《降低及紓減與互聯網交易相關的黑客入侵風險指引》（ 《指引》）（統稱有關 建議）發表意見。 2. 於在2017 年7 月7 日結束的諮詢期內，證監會共接獲36 份來自各個業界組織 、專業團 體、消費者委員會、經紀行、律師事務所、服務提供者及個別人士的書面意見 。 1 3. 證監會已對回應作出詳細考慮，並在諮詢外部網絡保安專家後修訂有關建議。本文件載述 證監會對有關建議的總結及就接獲的意見所作出的回應。 《諮詢文件》內的主要建議已獲 得廣泛支持。鑑於 《諮詢文件》所載述的理由及考慮到有關建議獲得大多數的支持，證監 會認為只需要作出少許修改或澄清，便能處理以下的關注事項。 (a) 數名回應者指出，由於建議的監控措施是為較小型互聯網經紀行而設計的基本入行規 定，它們可能並不適用於使用非常精密的系統及監控措施的較大型互聯網經紀行。 某些回應者亦提議《指引》應減少規範性的條文，並讓互聯網經紀行採納以風險為本 的方針，決定哪些監控措施是與他們的網絡保安風險相稱。 我們維持原有的意見，即這些基本規定對所有互聯網經紀行（特別是較小型互聯網經 紀行）來說都是必要的，以降低及紓減黑客入侵風險。儘管如此，我們注意到也許可 以採取不同的途徑以達到整體的目標。就此而言，我們在與本總結文件一併發出的有 關 《指引》的常見問題（常見問題）內，指明在特定情況下無須嚴格遵守一項監控措 施（詳情請參見下文分段(b) ）。 另外，我們同意 《指引》應屬通用性質，使內容不易因科技的發展而變得過時。因 此，某些建議的監控措施已作出輕微修訂以提供更大的靈活性。除了一些隨著時間變 遷仍持續有效的說明例子外，我們已刪除 《指引》內的其他例子。然而，我們已在常 見問題中列舉實例，就實施 《指引》提供更多的指導。 (b) 某些回應者提議，隨著在客戶登入互聯網交易帳戶的程序實施雙重認證，客戶應能在 每次登入系統時選擇不收取即時通知。儘管我們仍然認為發出通知是有效的偵測性監 控措施並應被納入《指引》內 ，但我們認同若互聯網經紀行能通知客戶不尋常的登入 情況（例如某客戶似乎並非透過其慣常使用的裝置登入），則未必需要嚴格遵守每次 登入系統時收取即時通知的規定。 有見及此 ，我們已在常見問題內載述互聯網經紀行在哪些特定情況下可讓客戶