近日,美国证券交易委员会(即U.S. Securities and Exchange Commission,以下简称SEC)正式颁布了全新指导规则,要求各家上市公司在披露有关网络安全风险问题时向社会大众公布更多具体信息,并且要在这个问题上更加具有先见性,尽最大努力在攻击事件或泄露事件发生之前准确预料到相关情景。此次声明在2011年颁布的指导原则的基础之上进行了进一步拓展,与此同时也针对相关人士给出了警告,命令他们不得在提前知晓某些尚未公开的网络安全问题的情况下进行股票交易。
此次新规定得到了委员会五位成员的一致投票通过,其中两位民主派委员还表示,接下来需要针对这个问题采取更多措施。作为一个没有明确党派归属的组织机构,SEC的五位成员中不得有超过三位成员隶属于同一党派。
通过这一次颁布的全新指导原则,SEC计划利用它来阐述自己的观点和立场,并且对联邦安全法律和SEC监管规章进行详细解释。具体说来,SEC在全新指导原则中明确规定,各家公司务必要在最大程度上制定相关政策以便快速评估网络安全风险以及向大众公布这些风险的合适时机。不仅如此,SEC还规定公司高层管理人员、董事会成员和其他公司内部人士在掌握公众尚未知晓的网络安全风险的情况下不得进行股票交易。
其实,早在2011年,SEC的企业财务部门就已经首次颁布了关于披露网络安全风险和突发事件的指导原则。在当时,这一举措可以说是非常及时、非常必要,毕竟那时候还没有任何专门针对网络安全披露问题进行明确规定和管理的制度与原则。
然而,在过去的七年时间中,网络安全漏洞问题已经越来越常见了,所以SEC不得不针对当时的指导原则进行补充和扩展。
用SEC的话说:“考虑到网络安全事件出现的频率、严重性和成本问题,委员会认为上市公司务必要采取相关措施来警告投资人,以一种符合当下发展情况的形式,告知他们相关的网络安全风险和突发事件,这一点是至关重要的。其中,尤其是那些已经存在网络安全风险但尚未受到网络黑客攻击的公司。”
虽然这一次SEC的全新指导原则中没有提到具体的突发事件,但它是在美国信用评级机构Equifax大规模泄露事件过去之后的五个月问世的。作为美国征信巨头,Equifax泄露了大约1.45亿用户的数据信息,顿时引起绝大多数美国民众的恐慌。而且,由于事发之后过了太久才告知民众,美国信用局也受到了批评与谴责。另外,根据相关报道,美国司法部门也开始针对该公司高层管理人员在提前知晓这一泄露事件的情况下进行大规模股权交易的行为进行了调查。
SEC补充道,即便各家公司不是必须要对外披露可能危及网络安全措施的敏感信息,但也不得利用内部调查或执法调查为借口来向公众隐瞒实情。
全新指导原则指出:“我们也意识到,或许与相关执法部门合作还是非常必要的。而且,对一项网络安全事件的持续调查,可能会影响当事方向公众披露内容的含量和范围。然而,光靠持续、冗长的内部调查或外部调查,也是无法避免网络安全事件的对外披露的。”
在一份与全新指导原则同时问世的声明当中,SEC主席Jay Clayton表示:“我认为,让民众知道我们委员会对于这些问题的态度和立场,是非常重要的。因为这样不仅能够敦促各家公司更加详细、更加清楚地对外披露网络安全风险问题和突发事件,更是能够帮助投资人掌握到更加完整、更加全面的数据信息。”
但是,委员会中的两位民主党派人士表示,这一次全新的指导原则仍然存在缺陷,涉及的方面不是非常广。SEC委员Kara Stein在一项声明中表示:“现阶段,不少上市公司针对网络安全风险问题对外披露的信息仍然较为浅显、浮于表面。所以,对于SEC这一次采取的有限措施,我个人还是非常失望的。”
她写道:“实际上,我们本来可以帮助各家公司制定更具意义的信息披露指导原则,为投资人提供更多帮助。然而,很可惜,这一次新出的指导原则只是在2011年的指导原则的基础之上进行了小范围改动。在我看来,除了颁布全新的指导原则,我们委员会还可以考虑颁布更多其他规则,要求各家公司进一步重视网络安全政策的制定问题和程序问题,并且将相关的努力切实落实到位。”
除了Stein,SEC中的另外一位民主党派人士Robert J. Jackson表示:“对于这一次新出的指导原则,我个人是有一点不情愿的。但好在,这也算是勇敢地跨出了第一步,给那些试图利用科学技术来威胁国家经济的人一个下马威。当然,如果从本质上来说,这一次的指导原则还是重复了七年前制定的老式指导原则。总之,经济学家也都希望接下来能够看到更多与这一问题相关的行动措施。”
剩下两位共和党派委员Michael Piwowar和Hester Peirce,则没有针对全新指导原则给出单独的评论和声明。
声明:本文来自猎云网,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。