作者:汉坤律师事务所 段志超 | 蔡克蒙 | 徐紫寰

2022年3月SEC发布了《网络安全风险管理、策略、治理及事件披露》(Cybersecurity Risk Management, Strategy, Governance, and Incident Disclosure,下称“《披露规则》”)草案,并在广泛征求意见后于2023年7月26日宣布正式通过了《披露规则》,旨在通过“一致、可比较且有助于决策”的披露方式保障投资者有效获取在美上市企业的网络安全情况相关信息。该规定将适用于包括中概股在内的在美上市企业。《披露规则》已于2023年8月4日在联邦公报发布,并将于发布的三十天后,即2023年9月5日起生效。

本文将对《披露规则》的适用范围、生效和执行情况、核心披露义务进行介绍;同时将立足于中国现行数据保护立法,比较《披露规则》与中国网络安全风险治理的差异,并就《披露规则》对中国企业赴美上市的影响进行简要分析。

一、《披露规则》的背景及适用范围

在网络安全威胁和安全事件层出不穷且日益复杂的大背景下,美国证券交易委员会(Securities and Exchange Commission,下称“SEC”)基于对类似网络安全事件对上市企业经济活动产生影响的担忧,在2018年发布了《关于上市公司网络安全信息披露的声明和指导意见》(Commission Statement and Guidance on Public Company Cybersecurity Disclosures),要求在美上市企业公开披露网络安全风险相关信息,然而此文件并无强制效力,实践中上市企业对相关披露要求的落实情况良莠不齐。

《披露规则》在此背景下出台,其适用于全部在美上市的本土注册企业(domestic registrants,下称“美国国内发行人”)。美国国内发行人需通过表格8-K及时披露重大网络安全事件、通过表格10-K每年披露网络安全风险管理、战略和治理情况。

针对外国私人投资者(Foreign Private Issuers,下称“FPIs”)[1],《披露规则》提出了类似的披露要求。对于年度网络安全风险管理、战略和治理情况的披露,《披露规则》对FPIs的要求与美国国内发行人一致,但FPIs需要使用表格20-F履行披露义务。对于重大网络安全事件,FPIs如在外国司法辖区公布重大网络安全事件、或向证券交易所或证券持有人披露或公布重大网络安全事件,则FPIs需要使用表格6-K披露相关重大网络安全事件。

二、《披露规则》的生效与执行

针对不同披露义务,《披露规则》规定的具体的执行日期如下:

三、《披露规则》的核心披露要求

《披露规则》确立了美国上市企业的两项新披露义务:(1)重大网络安全事件的及时披露义务;(2)网络安全风险管理、战略和治理的年度披露义务。此外,SEC还在《披露规则》中要求美国国内发行人通过“内嵌式可扩展商业报告语言”(Inline eXtensible Business Reporting Language)对此次新披露的信息进行标记,以便于投资者和其他市场参与者更高效地获取信息并对信息进行分析和比较。

(一)及时网络安全事件披露

01

披露义务的触发情景

a. 强制披露义务限于“重大”网络安全事件

根据《披露规则》,美国国内发行人与FPIs的及时网络安全事件披露义务均以事件“重大”为前提,且SEC并未对“重大”的判断依据做出量化、具体的统一规范,因此企业在实践中具有一定的自由裁量权。SEC在其发布的公告(下称“SEC公告”)中提出不能机械、纯量化地做出判断,而是需要客观评估全部定量和定性的因素。此外,SEC强调企业应从“理性投资者”的视角出发去判断网络安全事件的“重大”程度,具体可纳入考量的因素包括但不限于[3]

  • 对公司财务状况的影响;

  • 对公司运营的影响;

  • 对公司声誉、客户或供应商关系的损害;

  • 对公司竞争力的损害;

  • 引发诉讼或监管机构执法的可能性(此处的“监管机构”同时包括美国或外国监管机构)。

另外,《披露规则》对“网络安全事件”这一概念作出了广义解释:除单次发生的事件外,“一系列相关的未经授权的事件”也应被合并看作一项网络安全事件[4],且企业应根据系列事件的整体影响评估其“重大”程度。例如,SEC公告中指出,若多个行为者利用同一漏洞发动一系列相关攻击,且这些攻击共同对公司业务造成重大妨碍,那么其将构成《披露规则》定义的“重大网络安全事件”。[5]这从侧面说明,单纯的系统漏洞或未造成重大危害的小规模网络攻击本身并不会触发强制披露义务。相较而言,我国立法[6]并未根据影响程度设置网络安全事件上报的门槛。理论上,一旦发生网络安全事件企业就应依法履行监管报告的义务;如涉及个人信息,则还应通知相关受影响的个人,除非个人信息处理者采取措施能够有效避免信息泄露、篡改、丢失造成的危害。

b. FPIs的披露义务的范围相较美国国内发行人更小

SEC通过《披露规则》在适用于FPIs的表格6-K中增加了“重大网络安全事件”作为披露事项,并规定了和美国国内发行人相同的披露内容。但与美国国内发行人需披露所有“重大网络安全事件”不同,FPIs仅需在下述情况下提供“重大网络安全事件”相关信息[7]

  • 相关信息已被公开或根据FPIs住所或注册或组织所在司法管辖区的法律被要求公开;或

  • FPIs向其证券上市的证券交易所提交或被要求提交相关信息,且相关信息已经被该证券交易所公开;或

  • FPIs已向其证券持有人公布或被要求公布。

因此,根据前述针对FPIs的披露要求,在美上市中概股公司的网络安全事件披露义务将受限于表格6-K规定的前置条件。实践中,即使重大网络安全事件已经发生,如果中概股公司未公开相关网络安全事件信息,也未根据中国法律被要求公开相关网络安全事件,则一般情况下中概股公司似乎并无披露相关重大网络安全事件的强制义务。

02

披露内容重“影响”轻“细节”

根据《披露规则》,重大网络安全事件的披露内容应包括以下内容:性质、范围、事件发生时间,以及事件对企业已经造成的影响或合理预计可能造成的影响。对此,SEC公告明确指出,披露内容的重点在于事件的影响而非事件的具体事实细节,例如企业可能需要在描述事件“重大”程度时介绍事件对企业财务状况和运营的影响。特别地,《披露规则》并不要求企业披露下述内容[8]

  • 网络安全事件的补救状态;

  • 事件是否正在持续;

  • 数据是否被泄露;

  • 事件响应计划;

  • 企业网络安全系统、相关网络和设备的技术信息或其他具体信息;

  • 潜在系统漏洞的技术信息或其他具体信息。

相较于中国立法对网络安全事件的监管报告和个人告知要求,《披露规则》保护投资者知情权的立法初衷决定了其要求的披露内容相对有限,且其针对事件影响的描述要求仅从企业自身角度出发,并未将对国家、公共利益、个人的影响纳入披露范围。

03

披露时间要求相对灵活

《披露规则》对于重大网络安全事件的披露时间要求相对灵活,并未设置具体的时限。美国国内发行人应当在其判断遭遇的网络安全事件为重大事件后的四个工作日内完成披露;FPIs则应在重大网络安全事件被公开后立即通过表格6-K提交相关信息。

(二)年度网络安全风险管理、战略与治理情况披露

除及时披露义务外,《披露规则》还分别在美国国内发行人和FPIs的年报披露义务中增加了关于网络安全风险管理、战略与治理情况的内容要求。总体而言,此项披露义务旨在向投资人和相关市场参与者展示上市企业网络安全内部管理和治理的宏观概况,而并不要求企业披露具体的内部管理策略和运营细节。美国国内发行人和FPIs在此项义务下需披露的内容一致,具体要求如下:

四、对中国企业赴美上市的影响

如前文所述,赴美上市的中概股企业触发网络安全事件披露义务的情景相对有限,且SEC公告明确规定企业无需披露具体的网络安全技术细节、漏洞信息、安全事件的进展、补救情况等较为敏感的信息;在年报中,企业也仅需披露宏观网络安全风险的管理、策略和治理情况,不涉及向SEC提交或公布具体制度文件或底稿。因此,我们认为中概股企业履行《披露规则》,原则上不会违反我国关于国家秘密、重要数据、个人信息、网络安全漏洞信息出境限制等方面的规定。

  • 中概股企业作为FPIs原则上仅需要在“相关信息已被公开或根据FPIs住所或注册或组织所在司法管辖区的法律被要求公开”[10]披露“重大网络安全事件信息”。我国《网络安全法》《个人信息保护法》《国家网络安全事件应急预案》《公共互联网网络安全突发事件应急预案》等法律法规虽然要求企业在发生网络安全事件后即时上报监管部门,且并未将网络安全事件的“重大”或“严重”设置为上报触发门槛,但上述法律并未要求企业公开披露“网络安全事件”(除非涉及个人信息安全事件需要通知个人,但通知个人并不一定需要公开披露个人信息安全事件信息),反而是对企业向社会公布网络安全事件信息作出一定限制。例如,工信部公布的《公共互联网网络安全突发事件应急预案》规定企业应“注重信息发布。及时向社会公众通告突发事件情况,宣传避免或减轻危害的措施,公布咨询电话,引导社会舆论。未经部应急办同意,各相关单位不得擅自向社会发布突发事件相关信息。”如果依据我国法律无需公布相关网络安全事件,则中概股企业一般并无强制披露相关网络安全事件的义务。

  • 即使中概股企业触发了披露“重大网络安全事件信息”的义务,《披露规则》要求披露的内容并不包括网络系统配置信息、核心软硬件设计信息、网络拓扑、具体网络安全防护措施等网络安全技术细节、漏洞信息、安全事件的进展、补救情况等较为敏感的信息,亦不包括可能被归为“重要数据”的信息。因此,我们认为中概股企业按照《披露规则》要求披露“重大网络安全事件信息”并不会违反我国关于国家秘密、重要数据、个人信息等数据出境方面的法规。

  • 《披露规则》虽然要求FPIs在年报中披露关于网络安全风险管理、战略与治理情况,此项披露义务旨在向投资人和相关市场参与者展示上市企业网络安全内部管理和治理的宏观概况,而并不要求企业披露具体的内部管理策略和运营细节,也不涉及网络系统配置信息、核心软硬件设计信息、网络拓扑、具体网络安全防护措施等网络安全技术细节或网络安全供应链信息等可能构成重要数据的信息,因此我们认为中概股企业按照《披露规则》要求披露网络安全内部管理和治理情况并不会违反我国关于国家秘密、重要数据、个人信息等数据出境方面的法规。

  • 不过值得关注的是,根据SEC企业发布《披露规则》草案时的公告[11],FPIs在年报中披露既往网络安全事件造成的重大影响时,可能需要介绍遭受监管执法的情况。对于中概股企业而言,若计划通过年报披露未公开的监管谈话、调查情况或其他被监管机构明确禁止对外披露的信息,那么此类信息可能构成国家机关的工作秘密,有关企业应按照《关于加强境内企业境外发行证券和上市相关保密和档案管理工作的规定》,报有审批权限的主管部门批准,并报同级保密行政管理部门备案。

《披露规则》中普遍使用非穷尽列举和原则性的方式阐述企业的披露义务,这为SEC在实践中预留了较大执法空间。目前《披露规则》尚未正式生效执行,因此SEC于实践中的执法尺度仍有待考察,建议紧密关注2023年年底在美上市企业的披露实践及SEC的相关执法动态。

敬请注意,本文中涉及境外的内容,系我们根据境外当地公开可查的法律法规、案例、文件、文章和报道,及我们的实践经验编写,不代表我们有资质就该等资料进行审查或者发表意见,本文章不构成我们的任何法律意见。

注释

[1] 根据17 CFR 230.405.,FPIs是指除任何美国以外的发行公司,但以下除外:(1)其50%以上的记录在案的流通的有表决权证券由美国居民持有;(2)符合以下任一条件:(i)其大多数执行官或董事为美国公民或居民;(ii)其50%以上的资产位于美国;或(iii)其业务主要在美国管理。

[2] 根据S-K条例第10项,构成“小企业”(Smaller Reporting Companies)是公众持股量少于2.5亿美元,或年收入少于1亿美元的同时没有公众持股量或公众持股量少于7亿美元。

[3] Release Nos. 33-11216; 34-97989; File No. S7-09-22,第29-30页。

[4] 根据《披露规则》,新S-K规则和表20-F将“网络安全事件”定义为:在公司信息系统上发生的或通过公司信息系统进行的、危及注册公司信息系统或其中任何信息的保密性、完整性或可用性的未经授权的事件,或一系列相关的未经授权的事件。

[5] SEC公告第47页中提到:“草案公告中解释称,如当威胁行为者对同一家公司进行许多较小但持续相关的网络攻击,且这些攻击汇集在一起后变得“重大”时,就可能会触发此(披露)要求。”

[6] 《网络产品安全漏洞管理规定》第7条规定:“网络产品提供者应当履行下列网络产品安全漏洞管理义务,确保其产品安全漏洞得到及时修补和合理发布,并指导支持产品用户采取防范措施:(二)应当在2日内向工业和信息化部网络安全威胁和漏洞信息共享平台报送相关漏洞信息。”《个人信息保护法》第57条规定:“发生或者可能发生个人信息泄露、篡改、丢失的,个人信息处理者应当立即采取补救措施,并通知履行个人信息保护职责的部门和个人。”《网络安全法》第42条规定:“网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。”《数据安全法》第29条规定:“发生数据安全事件时,应当立即采取处置措施,按照规定及时告知用户并向有关主管部门报告。”

[7] 表格6-K一般指引第B章“被要求提供的信息和文件”(General Instruction B. Information and Documentation Required to be Furnished)。

[8] SEC公告第29-31页。

[9] Release Nos. 33-11038; 34-94382; IC-34529; File No. S7-09-22,第37页指出“投资者可能希望了解网络安全风险和以往的网络安全事件对公司财务表现或地位的影响,从而了解这些风险和事件如何影响他们的投资回报率。例如,曾经遭遇网络安全事件的公司可能计划向消费者提供赔偿,或者预计会因此遭受监管罚款或法律判决。”

[10] 其余两项条件“FPIs向其证券上市的证券交易所提交或被要求提交相关信息,且相关信息已经被该证券交易所公开”;或“FPIs已向其证券持有人公布或被要求公布”的触发条件相对更为有限。

[11] 正式稿的公告并未明确提及需要披露监管执法的情况。

本文作者

段志超

+86 10 8516 4123

kevin.duan@hankunlaw.com

业务领域

知识产权诉讼、数据合规、知识产权交易

蔡克蒙

+86 10 8516 4289

kemeng.cai@hankunlaw.com

业务领域

数据保护、私募股权和风险投资、外商直接投资、一般公司事务、兼并和收购

徐紫寰 | 汉坤律师事务所

声明:本文来自汉坤律师事务所,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。