新法速递 | 美国证券交易委员会发布上市公司网络安全信息披露新规
点击关注“数据与电商研究室”
编者按
2023年7月26日,美国证券交易委员会(Securities and Exchange Commission,SEC)通过了《网络安全风险管理、策略、治理及事件披露》(以下称《规则》),明确了上市公司对于重大网络安全事件以及网络安全风险管理、策略及治理信息的强制性披露要求。
此前,SEC于2018年2月发布了《关于上市公司网络安全信息披露的声明和指导意见》(以下称《指导意见》),为上市公司披露网络安全信息提供了操作指引,但该《指导意见》并不具备强制力,上市公司实操中披露的内容、时间存在较大差异,仍需通过有强制力的规则予以规范和统一。基于此,SEC于2022年3月发布了《规则》草案,在《指导意见》的基础上,明确了公司对于网络安全风险管理、策略及治理信息的披露要求,并特别强化了重大网络安全事件的披露要求。
最终通过的《规则》对草案内容进行了部分调整,适当减轻了重大网络安全事件的披露要求,更为强调披露安全事件带来的影响而非事件本身。《规则》预计于2023年12月或在《联邦公报》公布30日后生效(以靠前的期限为准)。
我们重点梳理了美股上市企业在《规则》下的网络安全信息披露义务,以期为赴美上市企业提供合规参考和可行建议。
一、重大网络安全事件披露义务
根据美国证券交易规则,上市公司负有信息披露义务,且在披露信息时应当向美国证券交易委员会提交统一格式的文件,包括S-1(招股书)或F-1(外国发行人的招股书),10-K(年报)、10-Q(季报)、8-K(对重大事件的临时报告)等。
根据《规则》,重大网络安全事件相关信息应通过8-K表进行披露,具体披露要求如下:
01 披露范围:重大网络安全事件
值得关注的是,《规则》并未对重大网络安全事件进行明确界定,而仅界定了网络安全事件的概念,将是否构成“重大”事件交由上市公司自行判断。
具体而言,网络安全事件是指未经授权,发生于上市公司信息系统上或通过上市公司信息系统实施的,危及上市公司信息系统或其中的任何信息的保密性、完整性或可用性的事件。至于“重大”的判断标准,根据SEC在《指导意见》中的解释,当该安全事件信息对于一个理性投资者而言,构成作出投资决策所需的重要信息或者将显著改变上市公司已公开信息显示的经营情况时,该安全事件即构成重大安全事件。简而言之,若该网络安全事件一经披露,将足以影响投资者对于上市公司经营情况的整体认识和投资决策时,该事件即可构成重大网络安全事件。
结合上述规定,我们理解,重大网络安全事件披露义务的触发,需由上市公司自行完成两步判断:(1)公司是否发生网络安全事件;(2)该事件是否构成应当即时披露的重大网络安全事件。而由于公司需自行把握“重大”的判断标准,我们建议,相关美股上市企业可参考8-K项下其他重大事件(如重要协议的签署、修改、终止、破产、收购或出售大量资产、退市等)的严重程度,充分考量网络安全事件对于公司业务运行、客户声誉、财务业绩以及引发诉讼或监管调查的情况,综合判断网络安全事件是否达到“重大”程度。
当然,出于审慎考虑,我们也建议相关企业与券商和律师充分沟通,适时把握判断标准,及时履行相关事件的披露义务,避免因信息披露不到位而引发证券违法风险。
02 披露内容:侧重于描述重大网络安全事件的影响
在此前的草案中,SEC对重大网络安全事件提出了较为严格的披露要求:除发生的事件、性质、范围等基本信息外,上市公司需详细地披露可能涉及泄露的数据信息及其所采取的安全事件应对措施。然而,这种严格且细致的披露要求又引发了新的安全隐患,因为对安全事件应对措施的细化披露很可能为网络攻击提反制攻击的路径参考。
由此,为了避免因过于严格的披露要求引发新的信息系统安全风险,维护上市公司及其投资者权益,最终通过的《规则》对披露内容的范围进行了限缩。根据《规则》,上市公司无需对重大网络安全事件本身的细节进行披露,而应当重点描述该事件可能带来的影响。具体而言,上市公司应当披露的信息包括:
1)重大网络安全事件的性质、范围和发生时间等信息的重大方面;
2)重大网络安全事件对于公司财务状况和经营活动的重大影响或合理可能的重大影响。
此外,《规则》进一步明确,遭受攻击的上市公司不应披露其安全事件响应计划的技术细节,以及其网络安全系统、相关网络和设备以及潜在系统漏洞的具体信息,以免因披露而引发新的网络安全事件。
03 披露义务的履行要求
根据《规则》,SEC对上市公司履行重大网络安全事件披露义务的时间、方式等提出了明确的要求,具体如下:
1)披露方式:向SEC提交载明重大网络安全事件信息的8-K表;
2)披露时间:上市公司确定自身发生重大安全事件后的4个工作日内提交。在特殊情况下,若美国司法部长认为立即披露会对国家安全或公共安全构成重大风险,上市公司可在司法部长指定的延迟期限进行披露。
针对上述披露要求,《规则》进一步明确:
1)上市公司对于网络安全事件的重大性判断必须在发现该事件后立即作出,不得无故拖延;
2)若应当披露的信息在规定期限内尚未确定或难以取得的,上市公司应在提交的8-K表中加附声明,并应在确定或取得相关信息后的4个工作日内,提交一份包含该等信息的8-K表修订文件。
二、其他网络安全信息披露义务
除通过8-K表披露重大网络安全事件信息外,《规则》还针对网络安全风险管理、策略、治理以及网络安全威胁等信息提出了披露要求,具体如下表所示:
(点击可查看大图)
与重大网络安全事件需“一旦发生,立即披露”的严格要求不同,SEC对于网络安全风险管理、策略、治理及网络安全威胁信息等要求提出了年度报送的要求。值得关注的是,SEC在《指导意见》中特别提到,上市公司应当建立并落实信息披露控制措施和披露程序,确保相关措施和程序足以充分识别、评估和分析网络安全事件,并应当就上述措施和程序的有效性进行披露。
因此,我们建议,美股上市公司有必要尽快建立网络安全信息披露控制措施和披露程序。如明确公司将如何有效评估相关网络安全事件是否属于重大网络安全事件,以及公司内部对于重大网络安全事件及其他网络安全信息披露的工作程序,如8-K、10-K等表单的编制流程、负责人/负责部门、报送SEC的程序等
此外,值得关注的是,上述披露要求对于注册地不在美国境内的外国发行人同样有效,但又有所区别。具体而言,外国发行人除应当通过8-K表披露重大网络安全事件外,还应当在6-K表(半年报)和20-F表(年报)中参照上述要求对上述网络安全风险管理、战略和治理信息进行披露,披露的频率略高于注册于美国的发行人。
三、未披露或未及时披露网络安全信息的法律责任
在行政及刑事责任方面,根据美国《1934年证券交易法》第32条规定,个人在上市披露文件中对重大事实进行虚假陈述的,可被处以最高100万美元罚款或被判处最高10年的有期徒刑;上市公司及其他主体实施此类行为的,将被处以最高250万美元的罚款。
在民事责任方面,根据美国《1993年证券法》第11条(a)款,生效的证券发行注册登记文件,其任何部分一旦包含有对重大事实的不真实陈述,或者遗漏了按规定应当报告或者为使该申报文件不致引起误解的重大事实,任何获得这种证券的人都可以向具有管辖权的法院提起诉讼,除非其在获得证券时就已经知道该不实陈述或重大遗漏存在。
结合上述规定,我们理解,若美股上市公司未按照规定披露网络安全信息,尤其是重大网络安全事件等重大事实的,其相关负责人及公司均将面临高额的行政罚款,个人还可能面临刑事责任。此外,公司还可能面临来自外部投资者的集体诉讼,一但败诉,公司甚至可能面临高达数亿美元的民事赔偿责任。
四、小结与提示
滴滴事件结束后,境内企业的美股上市之路已经重启。在2023年7月26日,中国证监会发布了首例境内境外发行证券和上市备案表,可以看出有多家企业已经提交了在美股的上市申请。在全球各国均高度强调国家安全、网络安全以及数据安全的背景下,网络和数据安全信息核查和披露已成为美股上市企业在面临境内外监管均应积极面对必答题。
尽管《规则》目前尚未生效,我们仍建议有关企业关注该《规则》的披露要求,适时开展网络和数据安全风险自查及合规梳理,确定自身是否落入有关披露义务范围。特别是已上市或即将上市企业,在与律师和券商沟通后,应积极准备有关的内控措施,以便于在涉及重大网络安全事件时,能够尽快按照《规则》要求,识别出是否需要履行披露义务以及如何应对,以规避虚假陈述的违法风险。
本文首发自公众号:数据与电商研究室
如需转发,请注明信息来自数据与电商研究室,如有意见建议或合作,请邮件CPdatalaw@zhonglun.com.
往 期 精 彩
往期文章
本期作者:唐静思
本期编辑:王梦迪 陈雨婕 唐静思
长按二维码一键关注
期待您的“赞”和“分享”