美國證交會

SEC Rule 17a-4(f)(2)(i) 含有證券商須遵守的電子記錄保存技術相關規定。SEC Rule 18a-6(e)(2)(i) 的類似規定則適用於未註冊為證券商 (SBS 實體) 的證券類交換交易商 (SBSD)、證券類交換交易主要參與者 (MSBSP)。

WORM 規定和稽核追蹤替代方案異動

2023 年 1 月，證交會修改了先前的「一次寫入，多次讀取」(WORM) 格式規定，並新增「稽核追蹤」為維護及保留電子記錄的替代選項。受管制實體可依以下兩種規定維護及保留電子記錄：

WORM 規定：以無法重新寫入且無法清除的格式維護及保留電子記錄，或是

稽核追蹤規定：使用電子記錄保存系統來維護及保留電子記錄，原始記錄如遭修改或刪除，系統會重新建立一筆資料。

如需進一步瞭解這項變更，請參閱美國證交會《最終規則》的「證券交易商、證券類交換交易商和證券類交換交易主要參與者須遵守的電子記錄保留規定」。

Google Cloud 如何協助客戶遵循 WORM 規定

Google Cloud 與 Cohasset Associates, Inc. 共同執行評估，協助客戶確認 Google Cloud Storage 是否符合 WORM 規定。

Cohasset 證實，妥善設定的 Google Cloud Storage 與鎖定模式的資料保留政策功能搭配使用時，符合 WORM 規定。請注意，Cohasset 的評估作業無法代替稽核追蹤替代方案。

已不需提供的項目：電子儲存媒介的聲明/認證

2023 年 1 月起，美國證交會不再要求證券商、電子儲存媒介提供者，或其他第三方提供聲明 (認證書)，證明電子儲存媒介符合 WORM 規定，因此 Google Cloud 往後不會提供這類文件。

如要進一步瞭解這項異動，請參閱美國證交會《最終規則》的「證券交易商、證券類交換交易商和證券類交換交易主要參與者須遵守的電子記錄保留規定」

請注意，SEC Rule 18a-6 不含 SBS 實體須遵守的聲明要求。此外，現已廢除的聲明規定不同於 SEC Rule 17a-4(i)(1)(ii)(A) 和 18a-6(f)(1)(ii)(A) 的第三方證明 (Third Party Undertaking) 規定。

SEC Rule 17a-4(i)(1)(ii)(A) 規定為證券商準備或維護監管記錄 (無論紙本或電子格式) 的第三方，須向美國證交會提供書面證明。

2023 年 1 月起，美國證交會專為 Google Cloud 等雲端服務供應商推出第三方證明的替代方案「替代證明」。在此之前只有「傳統證明」一個版本。

傳統證明：第三方必須同意相關主管機關審查記錄與其他重要事項，並向相關主管機關即時提供能真實、正確且完整重現這些記錄的現有紙本文件。

替代證明：這項方案特別考量了雲端服務供應商為受監管實體保留電子記錄的方式，可代替「傳統證明」。

SEC Rule 18a-6(f)(1)(ii)(A) 中有 SBS 實體須遵守的類似規定。

Google Cloud 如何幫助客戶遵守「替代證明」規定

為了幫助客戶遵守「替代證明」規定，Google 可根據 SEC Rule 17a-4(i) 或 18a-6(f) 提供 Google Cloud 與 Google Workspace 補充協議。我們的銷售團隊或 Google Cloud 代表可協助您取得這類文件。客戶必須提供註冊者名稱與註冊者號碼。客戶簽署「補充協議」後，Google 即可簽署「替代證明」並提供給客戶，以便他們提交給相關主管機關。

如需進一步瞭解如何向相關主管機關提交「替代證明」，請參考以下資源：

美國證交會《專員提供的指引：證券商聲言、聲明、證明與報告的填寫方式》

美國證交會《專員聲明事項：專為 SBS 實體提供的聲言、聲明、申請與報告提交須知》

如需進一步瞭解替代證明，請參閱美國證交會《最終規定》第 56 頁的「證券交易商、證券類交換交易商和證券類交換交易主要參與者須遵守的電子記錄保留規定」。如需瞭解證券交易商與 SBS 實體「替代證明」的確切定義，請分別參閱《最終規定》的第 137 頁與第 145 頁。

「傳統證明」、「替代證明」和「指定第三方證明」的差異

「傳統證明」和「替代證明」與 SEC Rule 17a-4(f)(3)(v)(A) 及 18a-6(e)(3)(v)(A) 所述的「指定第三方證明」不同。「指定第三方」或「D3P」是為指受監管實體採用的第三方，職責是保留電子記錄給相關主管機關審查。D3P 並非 Google Cloud 提供的服務。如有需要，受監管實體可向獨立供應商採購 D3P 服務和 D3P 證明服務。

技術變革改變了美國證券市場，因此美國證交會採用 Regulation SCI 來因應這些變革帶來的風險。為了強化市場的技術基礎架構，Regulation SCI 規定某些自我規範組織、另類交易系統、計畫處理者以及豁免清算機構必須採取下列行動：

1. 確保自家系統具備足夠的容量、完整性、彈性、可用性和安全性來維持營運

2. 測試持續營運能力和災難復原計畫

3. 針對系統的服務中斷、法規遵循問題和入侵事件進行修正，並在發生這些情況時，通知美國證交會和受影響者，並且

4. 定期檢查系統

做為外部服務供應商，Google Cloud 已根據相關規範提供對應資訊與白皮書，說明我們如何協助客戶遵循 Regulation SCI 規定。

《沙賓法案》是美國法律，旨在提升公司揭露資料的準確度和可靠性。根據 SOX 規定，《沙賓法案》第 404 節要求所有美國上市公司公開說明管理階層如何負責建立和維護適當的內部控管結構，包括財務報表控管機制、他們評估財務報表的內部控管成效後所做的結論。

SOX 義務涵蓋建立及監控內部控管機制，包括由第三方 (例如：雲端服務供應商) 維護的控管機制。 凡是透過 Google Cloud 或 Google Workspace 處理會計或財務資訊的機構，都必須自行判斷使用特定 Google Cloud 或 Google Workspace 服務時，是否可善盡 SOX 義務。

如需進一步瞭解 Google Cloud 或 Google Workspace，可在服務機構控管 (SOC) 1 Type 2 報告中，找到 Google 對 Google Cloud 和 Google Workspace 系統與管理機制的說明，以及獨立稽核單位提供的下列評估：受稽核機構的說明準確度、管理機制是否適合用於達成指定目標，以及管理機制實現目標的效力。您可以透過 Google Cloud 和 Google Workspace 的法規遵循報告管理員，索取 SOC 1 Type 2 報告。