引言
2022年3月美国证券交易委员会(Securities and Exchange Commission,下称“SEC”)发布了《网络安全风险管理、策略、治理及事件披露》(Cybersecurity Risk Management, Strategy, Governance, and Incident Disclosure,下称“《SEC网络安全风险披露拟议草案》”)。《SEC网络安全风险披露新规拟议草案》在广泛征求意见后于2023年7月26日宣布正式通过,并于2023年8月4日在联邦公报发布,目前《SEC网络安全风险披露新规》已于2023年9月5日起正式生效。此次新规增加了网络安全事件披露义务,并集中梳理了网络安全风险管理、战略和治理披露,在平衡发行人利益和投资者知情权的基础上,既解决了因自愿性披露网络安全风险管理、战略和治理披露导致的不一致性,也便于投资者及时、全面地了解发行人的网络安全状况。下文中我们将基于对此次新规要件的解读,重点分析《SEC网络安全风险披露新规》将对在美上市的中概股企业产生何种影响,并就中概股企业如何应对新规的披露要求提出建议。
一、《SEC网络安全风险披露新规》要点解读
(一)《SEC网络安全风险披露新规》的适用范围解读
1. 适用主体范围
《SEC网络安全风险披露新规》适用于在美注册并上市的发行人(Domestic Registrants,下称“美国国内发行人”)。美国国内发行人需使用8-K表格披露重大网络安全事件、通过10-K表格每年披露网络安全风险管理、战略和治理情况。
针对美国以外的发行人(Foreign Private Issuers,下称“外国私人发行人”)[1],《SEC网络安全风险披露新规》明确了外国私人发行人应使用6-K表格披露相关重大网络安全事件,使用20-F表格披露网络安全风险管理、战略和治理情况。《SEC网络安全风险披露新规》特别指出外国私人发行人的网络安全事件和风险对投资者资本配置的重要性并不亚于美国国内发行人,6-K表下的披露也并不会对外国私人发行人带来额外的负担[2]。
应当注意的是,在美上市的中概股企业本身不属于美国国内发行人,但作为外国私人发行人,其网络安全事件披露义务受限于6-K表格规定的前置条件,即外国私人发行人仅需在下述情况下披露重大网络安全事件相关信息:(1)相关信息已被公开或根据外国私人发行人住所或注册或组织所在的司法管辖区的法律要求公开(makes or is required to make public under the laws of its jurisdiction of incorporation);或(2)外国私人发行人向其证券上市的证券交易所提交或被要求提交相关信息,且相关信息已经被该证券交易所公开(files, or is required to file under the rules of any stock exchange);或(3)外国私人发行人已向其证券持有人公布或被要求公布(otherwise distributes to its security holders)[3]。因此,即使中概股企业实际发生了重大网络安全事件,如果不属于上述三种情况(例如中国法律未要求公开网络安全事件或证券交易所未公开相关信息),那么一般情况下也无需向SEC披露相关重大网络安全事件。
《SEC网络安全风险披露新规》对于部分特定规模和特殊行业的公司的披露义务也进行了规定。针对公众持股量少于2.5亿美元或年收入少于1亿美元,同时没有公众持股量或公众持股量少于7亿美元的公司(Smaller Reporting Companies,下称“小型公司”),SEC并未豁免小型公司在《SEC网络安全风险披露新规》下的任何披露义务。针对资产证券发行人(Asset-Backed Issuers),由于《SEC网络安全风险披露新规》披露要求的前提是发行人拥有或使用信息系统,考虑到资产证券发行人通常是特殊目的机构,其主营业务仅限于收购、转让或出售资产,而一般情况下不拥有或使用专门的信息系统,因此,资产证券发行人无需依据此次新规披露网络安全风险[4]。同时,《SEC网络安全风险披露新规》提出SEC可能会在未来制定针对资产证券(asset-backed securities)的特殊规则,建议资产证券发行人持续关注网络安全披露规则。
2. 生效时间
《SEC网络安全风险披露新规》已于2023年9月5日正式生效。除小型公司外,所有发行人必须在2023年12月18日开始执行和遵守关于网络安全风险的披露要求(即8-K表和6-K表第1.05项中的事件披露要求),若发行人年度报告的报告期涵盖2023年12月15日或之后,则发行人须在该年度报告中披露风险管理、战略和治理情况(即S-K第106项和20-F表第16K项)。
关于网络安全风险管理、战略和治理情况的披露义务,SEC未对小型公司规定额外的宽限期,因为该信息本质上是关于公司现有网络安全战略、风险管理和治理的事实性信息。但就重大网络安全事件的披露义务,小型公司有额外180天的宽限期,即必须在2024年6月15日开始遵守和执行8-K表第1.05项。
(二)网络安全风险的披露义务
1. 披露文件的形式要求
《SEC网络安全风险披露新规》中列明的披露形式包括以“年报形式”(Disclosure of Cybersecurity Incidents on Current Reports)披露和以“季报形式”(Disclosures about Cybersecurity Incidents in Periodic Reports)披露。对于在最初提交表格时暂未确定或无法获取的信息,所有发行人仍然可以在对表格进行修订时补充,将认为重大的网络安全事件在年报或季报中[5]进行补充披露。需注意的是,发行人在调查网络安全事件的过程中也应考虑是否需要重新核查并更新此前的披露内容。虽然发行人在进行补充披露时无需披露所有新出现的信息,也并无强制性义务对此前已披露的陈述进行更新,但是,若发行人发现以前的披露存在错误或不准确的,或者如果后续发现此前的披露存在矛盾,发行人应当对此前的陈述进行更新,避免引起投资者的误解。
2. 披露义务的触发情形
如前文所述,针对中概股企业,只有在认定出现了重大网络安全事件信息时才会触发《SEC网络安全风险披露新规》下的披露义务。关于网络安全事件的定义,《SEC网络安全风险披露新规》对网络安全事件做了广义解释,即一系列相关的未经授权的事件(a series of related unauthorized occurrences)。关于“相关”的理解,《SEC网络安全风险披露新规》中也做出了进一步的解释,考虑到网络攻击有时会随着时间的推移而复杂化,并不作为独立事件出现[6],具体而言,当公司发现其受到一系列网络入侵和攻击,即使每一例本身并不构成重大影响,但多起事件在整体上可能对公司的网络安全造成重大影响,因而可能触发网络安全事件披露义务。例如,若同一个网络攻击者连续对同一家公司进行了一系列小规模的网络攻击,则这些攻击可能会整体上对公司的网络安全造成重大影响。再如,若多个网络攻击者都利用了相同的漏洞进行一系列的攻击,并共同阻碍了公司的业务[7],此种情况便属于《SEC网络安全风险披露新规》下的网络安全事件。据此,发行人可以从整体的视角评估网络安全事件造成的影响,并且注重事件发生前后各个攻击行为的关联性。此外,提醒企业注意的是,不得通过分解相关风险事件的方式来规避事件的披露。
尽管《SEC网络安全风险披露新规》未明确要求发行人对非重大事件进行持续监控,但我们建议企业内部持续监测信息系统和数据存储安全,并制定相应的内部报告机制,设立负责处理应急事件的部门,并明确其对安全事件负有识别和评估职责:一方面,确保企业能够在第一时间对网络安全事件进行快速识别,另一方面,也能够结合明确的判断标准对事件的影响程度进行高效且准确的评估。企业内相关负责部门可通过多种途径监测、收集漏洞、病毒等网络安全隐患和预警动向,对发生突发事件的可能性及其可能造成的影响进行分析评估[8]。
3. 披露文件的内容要求
《SEC网络安全风险披露新规》要求所有发行人披露网络安全事件的性质、范围和时间的重要方面,以及对发行人的重大影响或可能的重大影响,包括对其财务状况和运营结果的影响(describe the material aspects of the nature, scope, and timing of the incident, and the material impact or reasonably likely material impact on the registrant, including its financial condition and results of operations.)[9]。即披露的要求主要针对网络安全事件的重大方面和重大影响,而无需披露网络安全事件的过多细节。
关于网络安全事件的性质,发行人仅需披露网络安全事件发生的事实即可,既无需披露网络安全系统、相关网络和设备或潜在系统漏洞的具体或技术信息,亦无需披露网络安全事件是否正在发生以及是否发生数据泄露,同时,也无需披露针对网络安全事件计划采取的补救措施或响应计划[10]。《SEC网络安全风险披露新规》对披露信息范围的限缩旨在避免妨碍发行人对事件做出及时的响应或补救。由此可见,此次《SEC网络安全风险披露新规》的修订既保护了投资者的利益,也从实操层面帮助发行人能够在最大程度上保护自身的网络安全。相较于我国《网络数据安全管理条例(征求意见稿)》[11]对发生网络安全事件时的上报内容要求,此次新规的披露内容相对有限。
关于网络安全事件的范围,SEC对信息系统的定义包括发行人拥有或使用的系统,这意味着,当第三方软件发生网络安全风险时,而公司使用的软件正是该第三方所有并提供,那么公司就无法规避网络安全风险的披露义务[12]。SEC考虑到发行人对第三方系统了解的信息相对较少,发行人可根据已获得的信息进行披露。
4. 披露的时间要求
关于网络安全事件的时间,考虑到发行人一般无法在网络安全事件发生的当天立即识别出该事件是否将会对发行人造成重大影响,因此,针对美国国内发行人,《SEC网络安全风险披露新规》要求披露时间为发行人自确定事件为重大影响之日起的四个工作日内(disclosure of material cybersecurity incidents within four business days following determination of materiality),披露时限中的四个工作日的起算点为做出重要性判断之日起,该起算日既非事件发生之日,亦非事件被发行人发现之日。换句话说,如果企业内部发生网络安全事件,企业在第一时间发现,但是经研究后判定不具有重大影响,那么也就无需向SEC进行披露;如网络安全事件已发生,但企业并未立即发现,那么应当在发现后立即进行研判,如经合理判断后认为事件具有重大影响,那么也应当进行披露。而对于外国私人发行人,其必须确定该事件是重大事件,此外还必须满足上文所述提交6-K表的其他标准。《SEC网络安全风险披露新规》未明确说明外国私人发行人披露义务是否也为自确定事件为重大影响之日起的四个工作日内,但SEC说明了对外国私人发行人披露要求的修订事项与美国国内发行人保持一致。
针对美国国内发行人,此次《SEC网络安全风险披露新规》的修订还体现在当涉及对国家安全或公共安全构成重大威胁时,美国国内发行人可以延迟披露。根据第1.05(c)项,如果美国总检察长认定披露对国家安全或公共安全构成重大风险,并书面通知SEC,美国国内发行人可延迟提交8-K表第1.05项,并在总检察长指定的期限内延迟披露,该期限自要求披露之日起不超过30天。在特殊情况下,如果总检察长确定披露继续对国家安全构成重大风险,并将该决定以书面形式通知SEC,则披露的最后额外期限最多可推迟60天[13]。
(三)风险管理、战略和治理情况的披露义务
1. 网络安全风险管理与策略方面
除了上一部分所述的重大网络安全事件的披露义务之外,《SEC网络安全风险披露新规》还要求美国国内发行人和外国私人发行人在其年报中披露网络安全风险管理和策略的相关内容,旨在向投资者披露更加全面的网络安全风险内控措施,为其在做出投资决策时提供进一步参考,并同时尽可能减轻对于公司网络安全风险的内部管控的干扰或影响。具体而言,美国国内发行人和外国私人发行人需分别在10-K表和20-F表的年度报告中披露:(1)公司评估、识别和管理网络安全重大风险的流程(如有);以及(2)是否存在任何对公司的业务战略、运营结果或财务状况产生重大影响或可能产生重大影响的网络安全风险。
通过对比《SEC网络安全风险披露新规》的提案和最终版本可以发现,SEC在上述第(1)点中用“流程”(processes)取代“制度与程序”(policies and procedures),目的就是为了避免公司披露太过具体的运营细节,这主要是出于两方面的考量:一是防止网络安全的攻击者对相关披露加以利用,升级攻击手段、加大网络攻击侵害程度,二是为了将风险管控措施的披露范围进行扩充,而非仅仅包含已经形成明文规定的内部制度,是向投资者全面地描绘出公司整体的网络安全应对策略,帮助投资者了解公司的网络安全管控水平。据此,SEC列举的部分披露维度包括但不限于:
-
公司的网络安全流程是否被纳入到整体风险管理系统或流程中,以及是如何纳入的;
-
公司是否就任何此类流程聘用评估员、顾问、审计师或其他第三方服务提供者;以及
-
就任何使用第三方服务提供商可能造成网络安全威胁而言,公司是否有流程来监督和识别重大风险。
针对公司因业务战略、运营结果或财务状况而产生的重大影响或可能产生重大影响的网络安全风险而言,SEC要求发行人披露是否聘用了与网络安全相关的评估人员、顾问、审计师或其他第三方,主要原因就在于对于投资者来说,了解发行人的内部与外包网络安全能力水平非常重要。许多公司提供网络安全服务时全部或部分依赖于第三方服务提供商,因此投资者在评估公司的网络安全风险状况并做出投资决策时,都需要参考这些信息,以便做出最全面准确的决策。
2. 公司治理方面
美国法要求公司的董事对于公司及其股东负有信用义务(fiduciary duty),该义务的内涵包括了注意义务(duty of care)和忠实义务(duty of loyalty)两方面。美国证券法强调了注意义务中的监督义务(即上市公司董事对于上市公司运营及信息披露的监督),而《SEC网络安全风险披露新规》也在董事的注意义务原则之上提出了新的要求。SEC要求公司必须披露以下事项:(1)董事会对网络安全威胁风险的监督,并在适当的情况下,确定负责监督的董事会下属委员会或小组委员会,并描述董事会或该委员会获悉该等风险的流程;以及(2)管理层在评估和管理公司网络安全威胁的重大风险方面的作用。
针对上述第(2)点,《SEC网络安全风险披露新规》简化了披露维度,包括:负责评估和管理此类风险的管理职位或委员会,以及这些人员或成员的相关专业知识(必要时可提供详细信息,说明该专业知识的性质);该等人员或委员会获悉并监控网络安全事件的预防、检测、缓解和补救的流程;以及该等人员或委员会是否向董事会或董事会下属委员会或小组委员会报告有关该等风险。SEC移除了对于公司网络安全治理架构以及网络安全管理和员工培训情况的确定性、强制性披露,以便在向投资人披露信息充分的前提下确保公司能够搭建符合自身业务情况的组织架构,最大程度上减少对于公司运营的干涉。
二、《SEC网络安全风险披露新规》下企业如何应对网络安全风险的披露要求
(一)企业如何应对美国SEC的披露要求
1. 识别是否发生重大网络安全风险
针对中概股企业而言,《SEC网络安全风险披露新规》明确了发行人只有在认定出现了重大网络安全事件信息时才会触发披露义务。《SEC网络安全风险披露新规》在描述披露要求时采用了“性质”“范围”“时间”等较为概括的词汇,以及对“重大影响”进行了原则性的解释,还补充了“不包括”的排除性说明。因此,企业在判断网络安全事件是否为“重大”这一判断标准上具有一定的自主权。
《SEC网络安全风险披露新规》中界定的网络安全事件主要指未经授权的事件。我国目前暂未对网络安全事件形成统一定义,通常散见于各类法规或标准当中。如根据《国家网络安全事件应急预案》对网络安全事件的定义,网络安全事件是指由于人为原因、软硬件缺陷或故障、自然灾害等,对网络和信息系统或者其中的数据造成危害,对社会造成负面影响的事件,可分为有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他事件。
同上所述,我国目前也未对网络安全事件的等级形成统一的划分标准。以《国家网络安全事件应急预案》为例,网络安全事件分为四级,包括特别重大网络安全事件、重大网络安全事件、较大网络安全事件、一般网络安全事件。级别划分的依据主要包括对公司业务处理能力造成的影响,对国家安全和社会稳定构成威胁的严重程度,以及其他对国家安全、社会秩序、经济建设和公众利益造成的影响程度。关于网络安全事件的判断标准,《SEC网络安全风险披露新规》主要是以对发行人造成影响为衡量标准,而我国立法则更加偏重于对国家安全造成的影响。因此,企业不仅需要考虑网络安全事件对于公司本身造成的影响,还需要结合我国法律法规要求,针对是否会对国家安全等宏观因素产生影响进行评估,进而综合判断是否根据《SEC网络安全风险披露新规》进行披露。
需要提醒企业注意的是,企业不仅要关注内部的网络安全情况,还应当关注外部第三方发生的安全事件是否会影响或者可能影响发行人的数据安全。建议中概股企业按照中国法律规定对第三方系统进行审计和监督,并提前对第三方合作方的数据安全风险进行评估判断。具体而言,公司应对第三方的数据处理活动进行监督,若发现第三方违反法律法规要求或双方约定处理数据的,公司应立即要求第三方停止相关行为,采取有效补救措施(如更改口令、回收权限、断开网络连接等)控制或消除面临的安全风险;必要时应终止与第三方的业务合作关系,并要求第三方及时删除从公司获得的数据。
如企业认为可能发生网络安全事件的,则建议企业内部及时对下述事项进行记录并确认:事件类别和级别;该事件的影响范围,包括影响的组织范围、业务范围、信息系统范围、已被泄露、窃取、删除或损坏的信息/数据类型及数量;涉及的第三方信息;潜在的法律、声誉和财务风险;事件的潜在原因。
2. 识别是否构成《SEC网络安全风险披露新规》下的披露义务
如上所述,中概股企业的重大网络安全事件披露义务受限于6-K表格规定的前置条件,即基于所在国法律要求公开,或者其证券交易所要求公开或者已经被证券交易所公开。鉴于此,企业应关注在何种情形时满足我国法律法规项下网络安全事件的公开义务。
首先,根据我国法律法规要求,如企业发生网络安全事件并触发向我国监管部门履行报告义务时,企业应当向监管部门报告。《网络安全法》《数据安全法》[14]均规定了网络运营者/数据/个人信息处理者发生数据/个人信息安全事件时,应当立即采取处置措施,按照规定向有关主管部门报告(如需则应向用户进行通知),其他法律法规中也对网络安全事件的报告义务进行了规定[15]。但此处向监管部门报告的义务并不等同于公开网络安全事件。
其次,根据《个人信息保护法》《数据安全法》的要求,发生或者可能发生个人信息泄露、篡改、丢失的,个人信息处理者应当立即采取补救措施,并通知履行个人信息保护职责的部门和个人。如中概股企业采取措施能够有效避免信息泄露、篡改、丢失造成危害的,可以不通知个人,但是监管部门认为可能造成危害的,有权要求企业通知个人。但同样地,虽然有通知用户的义务并不一定意味着必须向社会公开披露网络安全事件。
值得注意的是,根据《网络安全法》,发生网络安全事件,国家应当立即启动网络安全事件应急预案,对网络安全事件进行调查和评估,要求网络运营者采取技术措施和其他必要措施,消除安全隐患,防止危害扩大,并及时向社会发布与公众有关的警示信息。《公共互联网网络安全突发事件应急预案》规定,企业应当及时向社会公众通告突发事件的情况,宣传避免或减轻危害的措施、公布咨询电话、引导社会舆论;同时,未经工业和信息化部网络安全应急办公室同意,各相关单位不得擅自向社会发布突发事件的相关信息。据此,如需发布突发事件相关信息,需经监管部门同意。
综上,发生网络安全事件时,企业的义务主要包括上报监管、通知信息主体、根据监管要求向社会发布。其中,上报监管和通知信息主体,不一定构成《SEC网络安全风险披露新规》下披露重大网络安全事件相关信息的前提条件,而根据监管要求向社会发布,则较大可能属于需要根据《SEC网络安全风险披露新规》披露重大网络安全事件相关信息的情况。
因此,一旦发生安全事件,建议企业首先进行内部调查,对安全事件的产生原因、受影响的信息主体量级等问题进行评估,并确定应对方案,根据应对方案评估是否可通过适当的公开渠道(例如,大众媒介、公司网站和/或其他社交媒体渠道)通知个人信息主体,并按照监管部门的要求及时向社会发布与公众有关的警示信息,据此确定是否应适用《SEC网络安全风险披露新规》。
3. 如何准备披露文件
我们建议发行人就网络安全事件制定内部制度和应急响应预案,明确安全事件的应急响应机制,并在发现网络安全事件时,能够第一时间启动应急响应措施,在事件调查阶段能针对事件的影响范围进行研判并记录在案。结合我们的项目经验,目前已有企业形成了供外部报告使用的《向监管机构报告的文件模板》以及供内部存档使用的《数据安全事件应急响应记录和总结分析报告模板》,在模板中已经包含了网络安全事件性质、范围和时间等重要因素的记录和分析,为识别网络安全事件以及决定是否需要进行报告或公开提供了依据。
尽管《SEC网络安全风险披露新规》之下企业无需披露网络安全系统、相关网络和设备或潜在系统漏洞的具体或技术信息,但是考虑到在准备披露文件时,发行人在描述网络安全事件造成的或者可能造成的重大影响过程中,可能还是需要体现网络安全事件的部分细节信息,比如发生的数据泄露事件的规模导致企业面临被诉的法律风险等,从而判断何为重大影响。我们建议,企业在准备披露文件时应侧重事件所造成的影响,发行人在判断时不能仅局限于财务状况和运营结果的损失,还应当考虑影响公司运营的其他因素,包括但不限于对公司声誉造成的损害、对消费者造成的不利影响、导致供应商关系的破坏、对公司竞争力的折损、是否会产生诉讼的潜在风险、是否会引发监管机构的执法、是否可能因处理网络安全事件产生额外的支出、以及因网络安全事件受到影响的个人信息主体的数量、或者数据的量级等因素[16]。此外,企业应当考虑受网络安全事件影响的个人信息主体的类别,当受影响的个人信息主体主要为外部用户时,例如包括未成年人等特殊人群时,对公司造成的影响可能较大。但前述因素仅供企业在判断事件影响时参考,针对用户量级、儿童个人信息等较为敏感的问题,建议企业审慎考虑披露口径。
(二)企业如何应对中国监管部门的披露要求
由于《SEC网络安全风险披露新规》要求企业以表格形式向SEC、投资人披露网络安全相关内容,因此需要考虑数据出境问题。如前所述,《SEC网络安全风险披露新规》下需要披露的事件的范围十分有限,无需就网络安全事件所涉及的内部部门、业务范围或业务种类,以及数据范围进行披露。因此,《SEC网络安全风险披露新规》要求的披露内容构成我国关于核心数据、重要数据、个人信息等数据的可能性较低,但依然建议结合实际情况进行具体判断,建议企业留意数据出境相关要求并聘请专业人员评估数据出境方面的风险,如企业符合中国数据出境相关法律法规要求的情形,则需根据法律法规要求选择数据出境合规路径并履行相关义务。此外,根据《个人信息保护法》的规定,非经中华人民共和国主管机关批准,个人信息处理者不得向外国司法或者执法机构提供存储于中华人民共和国境内的个人信息。鉴于SEC属于外国执法机构,具有执法权,因此如企业向其披露的信息中包含有个人信息,应当经过中国主管机关的批准。
此外,根据《境内企业境外发行证券和上市管理试行办法》第七条第一款的规定,境外发行上市的境内企业应当遵守国家保密法律制度,采取必要措施落实保密责任,不得泄露国家秘密和国家机关工作秘密。《关于加强境内企业境外发行证券和上市相关保密和档案管理工作的规定》也对境外发行上市的境内企业提出了相应的国家秘密和国家机关工作秘密的保密义务和公开披露的备案要求。因此,倘若SEC要求中概股企业披露与网信办等其他相关监管部门的谈话、邮件往来、未公开文件等内容,此类敏感内容可能会被有关业务主管部门认定为属于国家机关工作秘密,则企业在披露前需要履行相应的报批和备案义务。
结合我们的项目经验,伴随着《SEC网络安全风险披露新规》的正式生效,网信部门逐渐开始关注企业在《SEC网络安全风险披露新规》下的披露情况,已有企业近期被网信部门要求就《SEC网络安全风险披露新规》下如何披露网络安全事件进行汇报。在此,我们提醒中概股企业注意,如果企业发生网络安全事件,且正处于监管部门调查期间,企业应当注意未经上级确认或者未获得监管部门的批准,不得擅自生成、传播或者向社会公布网络安全事件的结果,不得与其他同事、外部人士或公众分发电子邮件、微信或其他消息。如面临监管部门要求就披露情况进行汇报时,企业可以书面汇报的形式将拟向SEC披露的内容进行逐一列明,将披露结果完整的呈现给监管部门。
三、《SEC网络安全风险披露新规》下企业如何进行网络安全风险管理、战略与治理
鉴于SEC对于企业在年报中的公司评估、识别和管理网络安全重大风险的流程以及对于外部第三方服务提供方的聘用等信息的披露要求,企业亟需制定充分的网络安全风险管理制度和策略并实际落地执行相关制度和策略。具体而言,企业可以从以下三个方面着手:
(一)制定网络安全风险管理战略
1. 网络安全风险评估
面对网络安全风险的识别和评估这一任务,企业应当尽早开始进行网络安全风险评估工作。网络安全风险评估工作包含了对网络数据安全进行风险识别、风险分析和风险评价。网络安全评估是网络风险量化的必经步骤,只有通过系统化的评估才能形成量化的数据,而量化的数据则是判断对公司的业务战略、运营结果或财务状况产生重大影响或可能产生重大影响的网络安全风险的最为客观、可靠的依据。
企业可以根据实际的业务运营情况从以下三种网络安全风险评估方法中选择合适的方法:(1)将企业的网络安全控制制度和规范与网络安全和监管框架中的相关要求进行比较,用来比较的监管框架可以包括美国国家标准与技术研究院(NIST)、ISO/IEC、国家网信部门、中国电子技术标准化研究院、国家信息技术安全研究中心等监管和权威机构所制定的相关规则与标准;(2)通过相关人员访谈、安全管理制度等文档核查、网络安全环境与平台安全技术核查、使用技术工具进行测试等手段,识别主要网络安全威胁、系统和网络中的漏洞,制定基础设施和数据资产的全面清单,并根据攻击概率、漏洞严重性、现有网络安全技术的弱点、资产价值以及数据泄露和业务中断等安全事件的影响程度判断风险等级,并提出风险缓释措施;(3)收集潜在的网络安全威胁和关键资产的信息,立足于现实的攻击者的技术与思维过程,发现现存漏洞并对其加以利用,监控企业内部的网络环境,并制定网络安全保护策略。
选定切合企业实际情况的评估方法后,企业可以参考以下的网络安全风险评估步骤自行或委托第三方专业服务机构开展评估工作:
(1)开展网络安全风险评估首先应当确定评估对象、范围和边界,明确评估涉及的数据资产、数据处理活动、业务和信息系统、相关人员和内外部组织等。
(2)识别潜在的外部入侵痕迹及访问权限漏洞;将潜在网络安全威胁、具体漏洞、主要目标资产、安全事件后果等信息告知所有企业内部相关部门和人员,以便各方做好应对准备。
(3)在识别潜在网络安全风险后,分析风险发生的可能性,以及网络安全风险和漏洞的可发现性、可恢复性和可利用性,评估潜在网络安全风险对企业的相关网络系统和数据资产的安全性、完整性和可用性带来的负面影响。
(4)根据风险发生的可能性和对企业的影响两个维度综合确定网络风险等级,并以此决定企业的应对策略,如部署安全控制组件和其他措施以降低可能性和影响。
(5)通过网络安全日志等形式记录所有的已识别网络安全风险详情并进行妥善保存和定期更新,记录的内容包括但不限于风险详情、现有的安全控制措施、风险响应计划、风险处置时间、风险应对的具体负责人员等。
2. 供应链管理
美国国家标准与技术研究院(NIST)与我国信息安全标准化技术委员会均发布了供应链网络安全管理的相关指南和标准,企业可以借鉴相关指引制定内部的供应链管理制度和策略,以应对SEC对于企业识别和评估第三方服务提供商相关网络安全威胁的要求。具体而言,企业可以从以下几个方面开展供应链管理:
(1)全面梳理供应商背景与信息,包括其资质、信用、支付能力、管理状况、地理分布、合作历史、是否曾发生安全事件等,同时审视公司现有的供应商管理策略。
(2)识别对企业主要业务功能有直接影响或企业运营所依赖的技术与服务,发现潜在的网络安全威胁因素。
(3)综合考虑网络安全威胁的可能性与影响,进行网络安全风险分析与等级划定。
(4)根据上述确定的风险等级制定和施行相应的风险处置策略,包括风险规避、风险转移、风险降低。
(5)制定和落实完善的安全风控措施,包括但不限于进行账户访问权限控制、信息传输加密、保证供应链的可追溯性、建立供应链管理制度并设置相关管理机构和负责人、定期对供应链组织相关安全培训、定期开展安全审计等。
3. 安全事件响应
面对愈演愈烈的网络安全攻击,企业应当将网络安全事件应急响应计划与应急响应活动相结合,以全面提高整体应急能力。
安全事件应急响应计划的主要内容一般包括:团队组成和职责分工、安全事件响应流程和标准的操作指南/手册、安全事件响应策略和措施、安全事件及响应的相关日志记录、安全漏洞的识别和修复方法、被攻击系统的恢复方法和时间要求、内部紧急联系人信息等。在制定安全事件应急响应计划时,企业可参考相关指南对企业可能面临的网络安全事件进行分类分级,对症下药。在形成一套完善的安全事件应急响应计划后,企业还应进行安全事件应急演练以验证计划的可行性和有效性。
在发生网络安全事件后,企业应有条不紊地开展下列应急响应活动:
(1)快速检测和识别安全事件,包括使用安全监测系统或告警系统实时监测网络和系统的安全状态,进行系统漏洞扫描和安全评估,建立安全事件应急组织/部门,对安全事件进行及时响应和处理,包括根据法律法规要求向监管部门报告,通知信息主体等。
(2)根据不同类型和级别的网络安全事件,采取离线/隔离处理、系统恢复、攻击行为证据保存等响应措施。
(3)在完成响应和应急处理之后,应总结经验与教训,对安全事件进行影响评估,对安全事件响应计划进行更新与调整,并加强员工网络安全教育与培训,全面提高网络安全抗风险能力。
(二)强化公司治理
针对SEC提出的公司治理的要求,企业需要在网络安全风险管控方面建立健全公司治理架构,具体可参考以下措施:
(1)类比上市公司需设立提名委员会、薪酬委员会和审计委员会的一般性治理需要,企业可以考虑设置相应的专门委员会,以体现董事会和管理层对于网络安全风险管控方面的密切监督;此外,该专项委员会中还应聘请网络安全风控领域的专家或具有足够专业领域知识的人技术人员,确保委员会的专业性。
(2)企业应自行或聘请专业人员对董事及管理层进行《SEC网络安全风险披露新规》以及网络安全风控与管理领域的专业知识培训。
(3)建立网络安全事件上报和通报制度,加强董事会和管理层对于网络安全风险管理和安全事件处理全流程的掌控力,增强董事对于重大网络安全事件的判断力和相关披露的监督能力。
(4)在网络安全风险评估、网络安全事件的响应和处置、网络安全管理制度与流程的搭建和落地、重大网络安全事件的披露等各个重要环节聘请经验丰富的专业服务团队,如网络安全技术专家、网络安全合规顾问等,确保企业网络安全合规的全面性和有效性。
四、结语
综合上述分析,对于在美上市的中概股企业,建议通过了解《SEC网络安全风险披露新规》中对网络安全事件以及网络安全风险管理、战略与治理的披露要求,审视企业内部数据及网络合规治理工作的计划和开展情况。对于可能触发网络安全事件披露义务的中概股企业,建议关注《SEC网络安全风险披露新规》的执法情况以及在美上市企业的披露实践,重点关注是否已触发《SEC网络安全风险披露新规》下的披露义务。如涉及,在向SEC进行披露之前,可能会面临我国监管部门(如网信部门)就其披露情况组织的约谈或者汇报的要求,企业可参考本文中的建议如实向监管部门进行汇报。此外,也建议企业注意把握披露内容的颗粒程度和侧重点,对于可能涉及的网络技术信息、用户个人信息、重要数据等应当进行审慎判断。
注释:
[1] 外国私人发行人是指,除任何美国以外的发行公司,但以下除外:(1)其50%以上的记录在案的流通的有表决权证券由美国居民持有;且(2)符合以下任一条件:(i)其大多数执行官或董事为美国公民或居民;(ii)其50%以上的资产位于美国;或(iii)其业务主要在美国管理。
[2] 《SEC网络安全风险披露新规》第87页。
[3] 《SEC网络安全风险披露新规》第86页-表格6-K一般指引第B章“被要求提供的信息和文件”(General Instruction B. Information and Documentation Required to be Furnished)。
[4] 《SEC网络安全风险披露新规》第90-91页。
[5] 《SEC网络安全风险披露新规》第50-51页。
[6] 《SEC网络安全风险披露新规》第53页。
[7] 《SEC网络安全风险披露新规》第53页。
[8] 参见《公共互联网网络安全突发事件应急预案》第4.2条。
[9] 《SEC网络安全风险披露新规》第29页。
[10] 《SEC网络安全风险披露新规》第30页。
[11] 《网络数据安全管理条例(征求意见稿)》第十一条 发生重要数据或者十万人以上个人信息泄露、毁损、丢失等数据安全事件时,数据处理者应当在发生安全事件的八小时内向设区的市级网信部门和有关主管部门报告事件基本信息,包括的内容包括涉及的数据数量、类型、可能的影响、已经或拟采取的处置措施等;并在事件处置完毕后五个工作日内向设区的市级网信部门和有关主管部门报告包括事件原因、危害后果、责任处理、改进措施等情况的调查评估报告。
[12] 《SEC网络安全风险披露新规》第30页。
[13] 《SEC网络安全风险披露新规》第34页。
[14] 《网络安全法》第二十五条,网络运营者应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。第五十五条 发生网络安全事件,应当立即启动网络安全事件应急预案,对网络安全事件进行调查和评估,要求网络运营者采取技术措施和其他必要措施,消除安全隐患,防止危害扩大,并及时向社会发布与公众有关的警示信息。《数据安全法》第二十九条,开展数据处理活动应当加强风险监测,发现数据安全缺陷、漏洞等风险时,应当立即采取补救措施;发生数据安全事件时,应当立即采取处置措施,按照规定及时告知用户并向有关主管部门报告。
[15] 《网络数据安全管理条例(征求意见稿)》第十一条,如公司涉及处理重要数据或者十万人以上个人信息的,在发生安全事件时,应当注意履行向监管部门报告的义务。《国家网络安全事件应急预案》第4.1条关于事件报告,网络安全事件发生后,事发单位应立即启动应急预案,实施处置并及时报送信息。对于初判为特别重大、重大网络安全事件的,立即报告国家网络安全应急办公室。《工业和信息化领域数据安全管理办法(试行)》第二十七条,工业和信息化领域数据处理者应当及时将可能造成较大及以上安全事件的风险向本地区行业监管部门报告。《计算机信息系统安全保护条例(2011修订)》第十四条,对计算机信息系统中发生的案件,有关使用单位应当在24小时内向当地县级以上人民政府公安机关报告。《公共互联网网络安全突发事件应急预案》第4.1条关于事件监测,如当企业发生公共互联网网络突发事件后,事发单位应立即向电信主管部门报告。
[16] 《SEC网络安全风险披露新规》第29-30页。