赴美上市与网络、数据安全 | 时任美国SEC的领导层对上市公司网络安全披露的观点
编者按
这是一个新开设的系列,旨在作为研究赴美上市的中国公司在网络、数据安全方面可能遇到的两国监管不同乃至于冲突方面问题的研究笔记:
今天这篇研究笔记关注时任美国SEC领导层在2018年对关于网络安全风险披露的观点和意见。
恰逢昨日,国家互联网信息办公室发布了《关于下架“滴滴出行”App的通报》【关于下架“滴滴出行”App的通报】,其中披露——“滴滴出行”App存在严重违法违规收集使用个人信息问题。
接下来在美国上市的滴滴,要应对的是如何向SEC披露此次“重大”的网络安全风险。
进一步推演,如果滴滴向SEC披露正在进行中的网络安全审查(特别是其中的细节,按照SEC的要求),这时候国家互联网信息办公室会如何处理?特别是《数据安全法》第36条的规定。
如果滴滴不向SEC披露,或者披露达不到SEC满意的程度,这时候SEC会如何处理?
此外,美国目前已经出现投资者针对滴滴的集体诉讼,其核心即认为滴滴此前的风险披露不充分。
这些都在考验滴滴的智慧。
时任美国SEC主席Jay Clayton2018年年底的演讲
我想谈的第三个风险是网络安全。网络安全是我们机构从多个角度来看待的问题。
从发行人披露的角度来看,重要的是让投资者充分了解影响他们所投资的公司的重大网络安全风险和事件。今年早些时候,委员会发布了解释性指导意见,以协助上市公司准备这些类型的披露。[39] 该指导意见还强调了披露控制和程序的重要性,使上市公司能够准确和及时地披露重大网络安全事件,以及防止公司内部人员在公司披露重大网络事件前进行交易的政策。
从市场监督的角度来看,我们在对市场参与者,包括经纪商、投资顾问和关键市场基础设施公用事业的审查中继续优先考虑网络安全。例如,在评估公司如何为网络安全威胁做好准备,保护客户信息,以及检测潜在的身份盗窃的红旗时,我们关注的领域包括风险治理、访问控制、数据丢失预防、供应商管理和培训等。鉴于我们市场的相互关联性,我们将继续与其他联邦金融监管机构和国际社会的同行们紧密合作。
······
最后,从投资者教育的角度来看,我们的投资者教育和宣传办公室一直在努力让投资者了解网络安全卫生和网络欺诈的红旗,以防止投资者首先成为受害者。这些只是我们正在关注的一些领域,我期待着与今天杰出的小组成员进一步讨论这些问题。
【链接:https://www.sec.gov/news/speech/speech-clayton-120618】
2018年2月SEC发布关于网络安全披露的声明和指南
时任美国SEC主席Jay Clayton在上文提到的“解释性指南”即是指2018年2月SEC发布的“关于网络安全披露的声明和指南”【Commission Statement and Guidance on Public Company Cybersecurity Disclosures, Release No. 33-10459 (Feb. 21, 2018) [83 FR 8166]】。关于该“解释性指南”的内容的分析,公号君留待之后的文章开展。
在这篇文章之中,读者只需要记住,该“解释性指南”体现了SEC对网络安全披露的高度重视。但即便如此,在当时还有是两位SEC委员表达了对该“解释性指南”的不满。他们认为该“解释性指南”远远不够,SEC应当要求更多。以下是他们主要观点的编译。
时任SEC委员Robert J. Jackson Jr.的观点
我勉强支持今天的指导意见,希望它只是朝着击败那些利用技术威胁我们经济的人迈出的第一步。该指导意见基本上重申了多年来工作人员对这个问题的看法。但各方面的经济学家都认为,需要做的事情还很多。正如白宫自己的经济顾问委员会在周五指出的那样。
外部因素的存在将导致企业在网络安全方面的理性投资不足。如果听之任之,企业将通过对私人成本和收益的分析来选择其最佳投资水平,而不考虑外部因素。鉴于这种市场失灵,监管机构可以设计一个惩罚和激励方案,旨在使企业将外部因素内部化,从而帮助将网络安全投资水平提高到社会最优水平。例如,某些强制性的披露要求以前被证明可以激励企业采取更好的网络安全措施(见,例如,Gordon等人,2015年,他们对薄弱的网络安全导致的外部性进行了分析)。
美国证券交易委员会2011年指南的有效性经常受到质疑。有人担心,由于对 "重要性"定义的另一种解释,公司对事件的报告不足(Gordon等人,2006年,2015年)。还有人担心,披露要求过于笼统,没有明确说明要披露多少信息,因此"无法解决披露法所针对的信息不对称问题"(Ferraro 2014)。例如,根据2017年对2168名在公司中同时参与网络风险和企业风险管理活动的个人的调查,36%的调查参与者表示,信息资产的重大损失不需要在公司的财务报表上披露。同时,43%的受访者表示,他们公司会在财务报表上披露财产厂房和设备的损失(Ponemon 2017b)。根据这些研究,更全面和强制性的披露指导,如通过立法认可(Ferraro 2014)或由SEC认可(Gregory 2014),可能有助于克服这些问题。
* * * *
缺乏网络安全事件的代表性数据集给企业和政策制定者带来了一系列的挑战。对于政策制定者来说,这使得他们几乎不可能准确衡量网络安全事件给美国经济带来的成本,并确定是否需要政府更积极的参与来限制网络安全风险。同样,对于企业来说,数据的缺乏使其难以正确评估网络安全风险的预期成本,并确定网络安全的最佳投资水平。此外,当负面信息因激励原因而被低报时,代理人可能会错误地认为负面信息/事件根本不存在(见Scherbina,2008)。在发生不良网络事件的情况下,报告不足可能会导致不太成熟的管理者认为风险不大,从而对网络安全投资不足。网络安全专业人员推测,不太成熟的小公司因为这个原因而对网络安全投资不足。
【链接:https://www.sec.gov/news/public-statement/statement-jackson-2018-02-21】
时任SEC委员Kara M. Stein的观点
昨天,委员会试图解决一个日益重要的问题。上市公司应如何向其投资者介绍其网络安全风险和事件?
不可否认的是,发生在公共和私营部门的备受瞩目的数据损失和安全漏洞表明,没有任何公司或组织可以免于网络攻击。不幸的是,人们只需要回顾一下过去的八年,就可以看到一个又一个关于这些攻击的例子。2010年,一场复杂的网络攻击影响了美国和世界各地近2500家公司的75000多个计算机系统。[2]2014年,黑客闯入一家大型好莱坞工作室的计算机系统,窃取机密文件并将这些文件和其他个人信息暴露给潜在的网络犯罪分子。[3] 而在去年,我们了解到,一家上市公司的重大网络安全漏洞可能已经潜在地影响到美国一半的人口。[4]当漏洞的规模被公开披露后,该公司的股价暴跌,市值损失超过50亿美元。
不幸的是,网络攻击的风险和成本似乎正在增长。而这种攻击的后果可能会产生破坏性的和长期的附带影响。网络犯罪分子只会变得更加狡猾和复杂。据估计,到2021年,网络犯罪将使企业平均每年损失约6万亿美元。[6] 在全球范围内,网络犯罪的平均成本在过去五年中增加了62%。[7] 此外,非故意数据损失的成本——网络攻击中最昂贵的部分——仅在过去三年中就增加了近10%。[8] 毫不奇怪,上市公司、投资者和其他市场参与者越来越将对抗和减轻网络风险视为一个主要优先事项。
那么,委员会做了什么回应?2011年,委员会的公司财务部的工作人员试图从披露角度解决网络风险问题。工作人员发布了披露指南,讨论了上市公司应如何在现有的披露框架内披露网络风险及其相关影响[9]。
不幸的是,尽管工作人员尽了最大努力来制定指导意见,以引起对投资者的有力披露,但有意义的披露仍然是难以实现的。事实上,2014年的一项研究指出,工作人员的指导意见"导致了一系列的披露,很少为投资者提供有区别的或可操作的信息。"[10] 同年,委员会主办了一次圆桌会议,以讨论包括上市公司在内的各种市场参与者所面临的网络安全问题。[11] 正如一位与会者在圆桌会议上指出的那样,上市公司的披露应该让投资者了解公司的特定风险,以更好地确定公司的风险状况与其他公司的风险状况有何不同。[12] 然而,其他圆桌会议的与会者指出,上市公司对网络安全风险和事件的披露远远不够有力,相反,大部分是由模板语言组成,未能为投资者提供有意义的信息。[13] 就在几个月前,美国证券交易委员会的投资者咨询委员会指出,上市公司对网络安全风险和事件的披露并没有改善。[14] 尽管近年来上市公司受到的网络攻击的数量和复杂性以及造成的损失确实有所增加,但情况还是如此。国会议员也多次呼吁委员会做更多的工作来帮助上市公司、投资者和其他市场参与者解决网络危机。
因此,当主席将网络安全列入委员会的议程时,我非常支持。不幸的是,我对委员会的有限行动感到失望。
昨天,委员会发布了解释性指南,以协助上市公司准备关于网络安全风险和事件的披露。该指南提醒公司,他们在准备向委员会提交的文件时应考虑网络安全风险和事件,因为联邦证券法要求他们披露有关重大网络安全风险和事件的信息。正如本指导意见所描述的,可能需要在上市公司现有的报告义务范围内进行披露,如公司的风险因素、管理层的讨论和分析或财务报表。该指南还提醒公司保持全面的政策和程序的重要性,包括有效的披露控制和程序,以解决网络安全风险和事件。此外,它提醒公司内部人员,在拥有关于网络安全事件的非公开信息时进行证券交易可能违反联邦证券法。
可以肯定的是,这些都是有价值的提醒,把它们提高到委员会的层面,表明了七年前的工作人员指导意见根本没有的意义。然而,问题是,这些提醒中有许多是工作人员在2011年就提出的。如果我们的工作人员已经提供了关于网络相关披露的指导,那么问题是,鉴于七年来的洞察力和经验,作为委员会,我们应该做些什么来增加价值。实际上,我们是否应该重新发布工作人员的指导意见,以使其得到委员会的认可?公司、他们的总法律顾问和他们的董事会是否会因为委员会的新认可而突然注意到他们与网络有关的披露义务?或者,律师事务所是否会简单地制作大量的客户提示,重申他们过去几年的提示?
这些问题只说明了问题的一部分。更重要的问题是,这个改头换面的指南是否真的能帮助公司向投资者提供有关网络安全风险和事件的全面、具体和有意义的披露。我担心它不会。
我只想强调几个例子,说明我们在披露方面本可以实现的目标。
——我们本可以研究工作人员自2011年发布指南以来所学到的东西,并提供利用这些发现的新指南。毕竟,公司财务部的工作人员每年都会审查数百家上市公司的文件。工作人员每年还审查数以百计的股东提案,其中许多提案越来越多地要求公司提供更有效的网络相关披露。
——我们本可以讨论自2011年以来用于网络攻击的各种技术进步,以及这种进步如何影响公司对公司特定风险的披露。
——我们本可以考虑一些主要评论者的建议,包括学术界和从业人员。例如,我们本可以考虑投资者咨询委员会小组委员会最近提出的一些初步建议,[16] 并讨论披露以下内容对投资者的价值:
公司与网络安全风险有关的协议,或为尽量减少网络安全风险所做的努力,以及公司应对网络安全事件的能力和采取的任何措施。
某一网络安全事件是否有可能发生或复发;或
公司如何优先处理网络安全风险、事件和防御。
——我们本可以讨论关于公司董事会的任何成员是否具有网络安全事务或风险的经验、教育、专业知识或熟悉程度的披露对投资者的价值。如果没有,为什么公司认为董事会层面的资源对于公司充分管理其网络安全风险是不必要的。
这个列表还在继续。实际上,我们本可以帮助公司为投资者制定更有意义的披露。相反,昨天的指导意见只对2011年的工作人员指导意见做了些许修改。
有人会说,委员会在指导意见的背景下,在不参与正式规则制定的情况下,能做的事情是有限的。我同意。我认为,委员会必须注意它或其工作人员提出的可能等同于制定规则的指导意见。
这就是为什么,正如我之前所说的,委员会必须做更多的工作。[18] 正如我们从2011年工作人员的指导意见中听到的那样,仅有指导意见显然是不够的。这让人更加困惑的是,委员会或多或少地重新发布了该指导意见。简单地说,自工作人员指导意见发布以来的七年里,尽管网络攻击及其相关成本急剧增加,但公司的信息披露却几乎没有任何变化。在我看来,这有力地表明,仅靠指导是不够的。
然而,委员会无视发行人、投资者、市场参与者和国会议员关于做更多工作的请求。而我们本可以做得更多。比如说:
我们本可以就改进董事会与网络风险和威胁有关的风险管理框架的拟议规则征求通知和意见。目前,有太多的公司没有将网络安全视为一种商业风险,因此,没有将其纳入董事会监督的风险管理框架中。这些拟议的规则可以解决目前在向投资者披露的性质、时间和范围方面的不足。
我们本可以就委员会是否应制定保护投资者个人身份信息的最低标准,以及是否应要求经纪商、投资顾问和转让代理等关键市场参与者制定此类标准,寻求通知和意见。
我们本可以征求对拟议规则的通知和意见,这些规则将要求上市公司在网络攻击后的适当时间内向投资者提供通知(例如,8-K表的当前报告),并提供对投资者有用的披露,而不损害公司的竞争。
我们本可以就委员会是否应该发布更具纲领性的规则,并要求上市公司制定和实施与网络安全相关的政策和程序,而不仅仅是披露,征求通知和意见。
我认识到,在我们当前的数字时代,这些问题很复杂。但这不能成为我们不参与的理由。我们应该继续下去,通过通知和评论规则的制定,让投资者、市场参与者和上市公司参与进来,以获得他们的最佳想法[20]。
总之,很难不同意委员会强调披露网络安全风险和事件的重要性。因此,我支持委员会的指导意见,但并非毫无保留。虽然它可能有可能为公司和投资者提供增量利益,但该指导意见并没有充分推进——即使是在披露指导方面。更有甚者,它可能为投资者提供一种错误的安慰,认为我们委员会已经做了一些比我们更多的事情。
归根结底,委员会在网络安全风险和事件方面所采取的措施应该只是其第一步。我们可以而且应该做的还有很多。我希望我们能够为了投资者、上市公司和我们的资本市场的利益而相应地进行。(笔者注:关于脚注的翻译因篇幅原因就不提供了)
【链接:https://www.sec.gov/news/public-statement/statement-stein-2018-02-21】
新一届政府的SEC领导层会怎么做?
从上面各委员的观点可以看出,2018年美国SEC虽然通过了期待已久的解释性指南——其指示上市公司,如果网络风险"属于使公司投资具有投机性或风险性的重要因素",则应予以披露——但当时一些委员明确表示,他们认为指导意见是远远不够的。
现在的问题是现任政府任命的SEC新的领导层会如何做?2021年4月14日,参议院确认Gary Gensler为美国SEC主席。此后不久,Gensler主席宣布了一个积极的春季议程,重点是关于气候变化风险、董事会多样性和劳动力多样性的新公司披露。
尽管目前还不能确定美国SEC的拟议规则将包括哪些内容,但在其议程公告中,美国SEC对其打算提出的规则进行了简要描述。证监会的摘要指出,"其[公司财务部]正在考虑建议委员会提出规则修正案,以加强发行人对网络安全风险治理的披露"。换句话说,前任委员就2018解释性指南所提出的关切,很可能会在新一任SEC中通过制定具有强制力的规则来解决,届时,赴美上市的中国公司将面临非常严格的网络安全披露要求。
域外数据安全和个人信息保护领域的权威文件,DPO社群的全文翻译:
DPO线下沙龙的实录见:
自动驾驶系列文章:
数据安全法系列文章:
个人数据与域外国家安全审查系列文章
围绕着TIKTOK和WECHAT的总统令,本公号发表了以下文章:
第29条工作组/EDPB关于GDPR的指导意见的翻译:
关于美国出口管制制度,本公号发表过系列文章:
供应链安全文章:
数据跨境流动政策、法律、实践的系列文章:
传染病疫情防控与个人信息保护系列文章
人脸识别系列文章:
关于欧盟技术主权相关举措的翻译和分析:
关于数据与竞争政策的翻译和分析:
数据安全法系列文件:
中国个人信息保护立法系列文章:
健康医疗大数据系列文章:
网联汽车数据的系列文章:
人工智能安全和监管的系列文章:
关于中美与国家安全相关的审查机制的系列文章: