【宏业金融美国IPO政策指南】随着Gary Gensler（加里·詹斯勒）在2021年4月份开始执掌美国证券交易委员会（SEC），其在多个领域的监管和执法行动，相较以往，已表现得更加积极。

就在过去几个月，SEC就网络安全事件披露的时间和内容对上市公司提起了两项执法行动。这些最近的执法案件进一步表明，SEC将继续关注上市公司如何应对重大网络安全事件并发布公开披露。

美国证券交易委员会主席Gary Gensler

正如赴美上市辅导专业人士认为，SEC最近的执法行动均不包括故意不当行为的指控或对个人的任何指控。相反，在这两起案件中，美国证券交易委员都根据公司涉嫌未能维持足够的披露控制和程序提出指控，并在其中一起案件中以疏忽为基础的欺诈指控作为补充。这些案例反映了SEC持续关注与网络安全事件相关的准确披露和健全的披露控制。

近期执法行动

2021年6月，SEC宣布对房地产结算服务公司-First American Financial Corporation的指控已结案，罪名是该公司存在暴露敏感客户信息的网络安全漏洞而违反披露控制和程序。

根据SEC的命令，2019年5月24日，一名记者告知First American，其共享与所有权和托管交易相关的文档图像的应用程序存在一个漏洞，该漏洞暴露了“超过8亿张可追溯到2003年的所有权和代管文件图像，包括包含敏感个人数据（如社会安全号码和财务信息）的图像。“当晚，该公司向记者发表声明称，First American已获悉设计缺陷，立即采取行动解决问题，并禁止外部访问该应用程序。

在下一个交易日，该公司向SEC提交了一份8-K表格，声明“没有初步迹象表明存在大规模未经授权访问客户信息的行为”，并且该公司已经关闭对报告存在设计缺陷的生产环境的外部访问。

然而，该公司高管并不知情，该公司的信息安全人员在大约五个月前对该应用程序进行手动测试的报告中发现了该漏洞，但未能按照公司的政策进行补救。重要的是，他们也没有向高级管理人员——包括负责发表公开声明的人——通报该报告。由此，该公司被SEC判定违反了保持披露控制和程序的要求，并被责令支付近50万美元的罚款。

在2021年8月，SEC宣布已就总部位于伦敦的教育服务公司Pearson的疏忽欺诈和披露控制指控达成和解。2019年3月，Pearson了解到其服务器上的数百万条学生数据记录已被攻击者使用服务器上未修补的严重漏洞访问和下载。该软件提供商于2018年9月就其软件中的这一严重漏洞以及修复该漏洞的补丁的可用性向Pearson提供了建议。然而，Pearson直到意识到威胁参与者的攻击后才实施该修补程序。

Pearson在确认入侵后没有立即披露。在得知该事件三个月后，Pearson向SEC提交了一份文件，其中包含与网络安全相关的风险因素，说明数据隐私事件或其他故障的假设风险，同样没有披露发生的入侵。

然后，当媒体得知该违规行为并联系该公司时，Pearson发表了一份误导性的公开声明。SEC发现，Pearson在其声明中错误地将入侵行为描述为“未经授权的访问”，事实上，其已经获悉，攻击者实际上删除了数据，并且公司没有披露被破坏的数据包括员工的用户名和散列（或篡改）的密码，以及数百万行的学生数据。在不承认SEC调查结果的情况下，皮尔森同意解决此事并支付100万美元的罚款。

网络安全披露应对策略

鉴于SEC对网络安全执法案件的显著增加，以及SEC对涉及网络安全事件和披露的非故意行为的“0容忍”立场，以下是宏业金融就在美上市公司及拟赴美上市公司在评估网络安全披露的充分性及一般披露控制和程序时，应慎重考虑的一些实际教训和相关准备步骤：

1. 对过去发生过安全入侵和漏洞的公司必须仔细评估重要性，并考虑及时和定期更新风险因素披露，因为SEC已明确表示，如果入侵或漏洞已被识别并被视为重大的事件，则只是表明网络安全入侵或漏洞有关的假设风险因素将是不够的。

正如Pearson指控所证明的那样，披露事件“可能”在实际发生时发生的风险因素将因具有重大误导性而受到美国证券交易委员会的审查。在发现Pearson 的风险因素具有重大误导性时，SEC推断Pearson在意识到入侵后提交的假设风险因素“意味着没有发生‘重大数据隐私或保密违规”，Pearson清楚地意识到该违规行为，并且“未能考虑到有关违约的某些信息应该如何告知风险披露。”

2. 当公司谈论和公布网络安全事件时，他们必须仔细选择自己的措辞，并充分准确地披露各自的事件以及此类事件对公司经营和财务业绩的影响。

在Pearson案中，SEC 发现该公司因未能披露所有已知的入侵特征而存在重大遗漏。具体而言，在提供其认定该公司的媒体声明具有误导性的理由时，SEC发现，除其他问题外，该声明错误地将入侵描述为“未经授权的访问”。SEC进一步调查发现，Pearson已声明它已实施“严格保护”并“发现并修复了漏洞”，可是当服务器通过“关键漏洞”再次被访问时，并且Pearson在得知违规行为后的六个月内事实上没有作出修复。

3. 公司应了解其网络安全披露义务可能产生于实际网络攻击和黑客之外。例如，漏洞本身可能触发披露义务，特别是如果公司选择就该漏洞发表声明。

在 First American案件中，该公司用于共享与所有权和托管交易相关的文档图像的软件应用程序存在一个漏洞，该漏洞暴露了“可追溯到2003 年的超过8亿张所有权和托管文档图像，其中包括包含社会安全号码和财务等敏感个人数据的图像信息。关键点就是，此案不涉及第三方攻击或实际数据泄露。相反，它完全源于公司软件应用程序中现有的弱点。SEC发现，该公司没有设计披露控制措施和程序来确保对所有可用的、与漏洞相关的信息进行分析以进行披露——包括安全人员之前发现了漏洞，但未能对其进行补救。

4. 公司必须有健全的网络安全披露控制，并及时将任何潜在的重大网络安全事件或漏洞通知决策者，以便管理层和董事会能够在了解所有相关事实的情况下做出披露决策——公司所有的信息安全人员应了解这一要求。

在 First American案件上，该公司的高级管理人员一获知，就发布了关于网络安全漏洞的公开声明。然而，美国证券交易委员会的命令发现，该公司的信息安全人员在五个月前对该应用程序的手动测试报告中发现了该漏洞，但未能按照该公司的政策进行修复。他们也没有将报告告知高级管理人员——包括那些负责发表公开声明的人——即使这些信息“与他们对公司对漏洞的披露反应和由此产生的风险的程度的评估有关”。

同样，在Pearson案件中，SEC的调查发现，该公司围绕起草其风险因素披露和有关违规的媒体声明的流程和程序未能将有关违规情况的某些信息告知相关人员，并得出结论认为Pearson“以这种方式未能维持旨在分析或评估此类事件以在公司文件中进行潜在披露的披露控制和程序。”

这两个案例都强调了保持适当设计的披露控制和程序的重要性，以确保管理层和董事会能够分析和评估网络安全事件，以便做出适当和准确的披露决策。

另，本文的内容旨在提供有关网络安全风险披露的一般指南。宏业金融上市辅导专家建议应根据您公司的具体情况而采取应对策略。