SEC發布新指導規則，上市公司必須披露更多有關網路安全風險的信息

【獵雲網（微信號：ilieyun）】2月23日報道（編譯：田小雪）

近日，美國證券交易委員會（即U.S. Securities and Exchange Commission，以下簡稱SEC）正式頒布了全新指導規則，要求各家上市公司在披露有關網路安全風險問題時向社會大眾公布更多具體信息，並且要在這個問題上更加具有先見性，盡最大努力在攻擊事件或泄露事件發生之前準確預料到相關情景。此次聲明在2011年頒布的指導原則的基礎之上進行了進一步拓展，與此同時也針對相關人士給出了警告，命令他們不得在提前知曉某些尚未公開的網路安全問題的情況下進行股票交易。

此次新規定得到了委員會五位成員的一致投票通過，其中兩位民主派委員還表示，接下來需要針對這個問題採取更多措施。作為一個沒有明確黨派歸屬的組織機構，SEC的五位成員中不得有超過三位成員隸屬於同一黨派。

通過這一次頒布的全新指導原則，SEC計劃利用它來闡述自己的觀點和立場，並且對聯邦安全法律和SEC監管規章進行詳細解釋。具體說來，SEC在全新指導原則中明確規定，各家公司務必要在最大程度上制定相關政策以便快速評估網路安全風險以及向大眾公布這些風險的合適時機。不僅如此，SEC還規定公司高層管理人員、董事會成員和其他公司內部人士在掌握公眾尚未知曉的網路安全風險的情況下不得進行股票交易。

其實，早在2011年，SEC的企業財務部門就已經首次頒布了關於披露網路安全風險和突發事件的指導原則。在當時，這一舉措可以說是非常及時、非常必要，畢竟那時候還沒有任何專門針對網路安全披露問題進行明確規定和管理的制度與原則。

然而，在過去的七年時間中，網路安全漏洞問題已經越來越常見了，所以SEC不得不針對當時的指導原則進行補充和擴展。

用SEC的話說：「考慮到網路安全事件出現的頻率、嚴重性和成本問題，委員會認為上市公司務必要採取相關措施來警告投資人，以一種符合當下發展情況的形式，告知他們相關的網路安全風險和突發事件，這一點是至關重要的。其中，尤其是那些已經存在網路安全風險但尚未受到網路黑客攻擊的公司。」

雖然這一次SEC的全新指導原則中沒有提到具體的突發事件，但它是在美國信用評級機構Equifax大規模泄露事件過去之後的五個月問世的。作為美國徵信巨頭，Equifax泄露了大約1.45億用戶的數據信息，頓時引起絕大多數美國民眾的恐慌。而且，由於事發之後過了太久才告知民眾，美國信用局也受到了批評與譴責。另外，根據相關報道，美國司法部門也開始針對該公司高層管理人員在提前知曉這一泄露事件的情況下進行大規模股權交易的行為進行了調查。

SEC補充道，即便各家公司不是必須要對外披露可能危及網路安全措施的敏感信息，但也不得利用內部調查或執法調查為借口來向公眾隱瞞實情。

全新指導原則指出：「我們也意識到，或許與相關執法部門合作還是非常必要的。而且，對一項網路安全事件的持續調查，可能會影響當事方向公眾披露內容的含量和範圍。然而，光靠持續、冗長的內部調查或外部調查，也是無法避免網路安全事件的對外披露的。」

在一份與全新指導原則同時問世的聲明當中，SEC主席Jay Clayton表示：「我認為，讓民眾知道我們委員會對於這些問題的態度和立場，是非常重要的。因為這樣不僅能夠敦促各家公司更加詳細、更加清楚地對外披露網路安全風險問題和突發事件，更是能夠幫助投資人掌握到更加完整、更加全面的數據信息。」

但是，委員會中的兩位民主黨派人士表示，這一次全新的指導原則仍然存在缺陷，涉及的方面不是非常廣。SEC委員Kara Stein在一項聲明中表示：「現階段，不少上市公司針對網路安全風險問題對外披露的信息仍然較為淺顯、浮於表面。所以，對於SEC這一次採取的有限措施，我個人還是非常失望的。」

她寫道：「實際上，我們本來可以幫助各家公司制定更具意義的信息披露指導原則，為投資人提供更多幫助。然而，很可惜，這一次新出的指導原則只是在2011年的指導原則的基礎之上進行了小範圍改動。在我看來，除了頒布全新的指導原則，我們委員會還可以考慮頒布更多其他規則，要求各家公司進一步重視網路安全政策的制定問題和程序問題，並且將相關的努力切實落實到位。」

除了Stein，SEC中的另外一位民主黨派人士Robert J. Jackson表示：「對於這一次新出的指導原則，我個人是有一點不情願的。但好在，這也算是勇敢地跨出了第一步，給那些試圖利用科學技術來威脅國家經濟的人一個下馬威。當然，如果從本質上來說，這一次的指導原則還是重複了七年前制定的老式指導原則。總之，經濟學家也都希望接下來能夠看到更多與這一問題相關的行動措施。」

剩下兩位共和黨派委員Michael Piwowar和Hester Peirce，則沒有針對全新指導原則給出單獨的評論和聲明。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！