美國證管會委員Jackson視網絡威脅為公司治理問題
發佈日期:2018年9月19日
作者:Julia Irvine
資料來源:Economia
介紹者:閻書孝研究員
審訂者:何佩諸委員
【作者】 Cydney S. Posner
【資料來源】 Lexology
【發佈日期】 2018年 3月19 日
【介紹者】 閻書孝研究員
【審訂者】 何佩諸委員
【簡介】
3月15日在杜蘭大學公司法學院(Tulane Corporate Law Institute)的致詞中,美國證管會(SEC)委員Robert Jackson討論到他稱之為今日公司治理最迫切的問題:網路威脅增高。Jackson報告說,根據Identity Theft Resource Center的統計,在2016年,就有超過1000起資料入侵事件,總計耗費1000億美元的成本。他稱這個問題已然是公司最重大的議題:根據一份最近的研究所示,近三分之二的高階經理人承認,網絡威脅是其公司未來前五大風險之一。這顯示,它是多麼快速地成為董事會層級的議題。
但是究竟如何解決這個問題呢?Jackson認為,網絡威脅不再只是監理問題而已,主要是科技問題。網絡犯罪是企業層級的風險,需要的是跨領域的方法,還要資深領導層級及董事會方面留意投入足夠的時間與人才才行。簡言之,網絡威脅就是公司治理的問題。公司要完善處理,就是要在董事會與「長」字輩中有熟稔此問題的專家、擬定與投資人和公眾溝通的策略,以及最重要的是,要取得公司法律顧問周全的建議,因為顧問可以對公司營運在重要領域處於不確定的時期及不確定的訴訟之際,提供指導。
Jackson接著提出有三個領域需要注意,而且這需與SEC新提出的網絡安全指引併行,它們分別是揭露、內線交易,以及控制與程序。關於揭露,他同意SEC指引的發布,但指出他認為需要更多而有所保留。特別是他倡議在重大網絡事件發生時,要依循8-K揭露要求。Jackson擔心在指引中所要求的判斷類型,在未予揭露的部分常有錯誤,易讓投資人無法瞭解狀況,也讓公司處於風險當中。在2017年Jackson與他的員工所做的研究中,遭遇資料入侵的公司有97%並未以8-K格式申報,雖然他承認未必所有入侵都是重大事件。
Jackson擔心,實證研究已經顯示,網絡事件的資訊不對稱仍然存在。一個原因是與證券法規無關的其他規範,通常要求的是公司對消費者提出通知。此外,學術研究也發現,「網絡攻擊的受害公司,股價會有負面而顯著的影響」,還有一個研究發現「當交易者知道有網絡入侵而且尚未被揭露時,就是套利的機會」。Jackson主張,法律顧問要鼓勵其董事會對此議題透明,並且指出董事會在此類事件中是暴露在訴訟風險之下的。
一如Law360所報導的,上週在機構投資人公會(Council of Institutional Investors)的大會致詞上,SEC的主席Jay Clayton觀察到,當考慮對諸如8-K要求這類特別訂定的規範時,SEC總是想到揭露規範到底是過度?還是不足?要對所有面臨網絡風險的公開發行公司實施一體適用的要求,是很大的挑戰,因為哪些細節構成重大事件依公司而有所不同。如果想制定一個8-K要求之類的明文規範,那問題關鍵就在於「是否為重大情事」。但這真的是視情況而定了,依產業別及公司別而異。Clayton補充說,或許有的時候,公司要盡快告知大眾有關網絡攻擊或與執法單位合作的責任,可能與申報對股東揭露的要求有所衝突。他表示SEC會密切監督指引的落實。
關於內線交易,Jackson認為當網絡入侵報告伴隨內線交易報告時,這是一個警訊。因為不管是否特定內部人在交易前就知悉有入侵事件,內部人也許已藉此獲利,這就非常令人擔心。他用以下兩點做出回應:首先,董事會應該確保高階經理人盡早且經常與其同仁分享關鍵資訊,如此高階管理團隊的任一成員都能得知關於網絡入侵事件的重大、非公開資訊,且團隊的所有成員都要避免進行交易。第二,他建議檢視內線交易法,以確保公司能處理利用入侵事件的非公開資訊而獲利的交易者,縱使該交易者並非公司內部人。他更特別擔心,以財務為動機入侵的駭客,會在投資大眾發現他們做了哪些事之前,先試圖從交易牟利。
關於網絡安全有關的控制與程序,Jackson的認知是,發展有效的系統對大多數公司都是「重大挑戰」。他提出目前問題就是,最瞭解網路威脅的科技專家,基本上與參與擬訂控制與程序的律師和企業界人士是不同的兩種人。根據一份最近的調查指出,S&P 500公司有70%的高階經理人認為他們的資訊部門是網絡風險管理最主要的負責單位,相比之下,認為是「長」字輩或董事會該負責的,只有37%。同一份調查也指出,特別是在大型、成長中的公司,這個責任通常會散在組織各處,產生了讓關鍵資訊可能無法傳達給最需要它的決策者這樣的風險。他主張,法律顧問是協助公司建立內部報告結構的關鍵人物,他們可以協助董事會與管理階層更能預期、評估,甚至在有需要時對外揭露下一次的重大網絡攻擊。但是處理這個問題,「代表」(ambassadors)一職是必要的。Jackson提醒在場的律師,就算先前他們已經擔任過代表,甚至可能曾坐在電腦前,使用過微軟文書處理以外的程式,但情況已不一樣了:當沙賓法案通過後,律師被迫要有跨領域、跨文化的能力,去探究那些複雜、驚人但重要的會計紀律。
其他的證管會委員與員工也強調,企業需要發展出要求資訊科技與企業界人士投入的控制系統。在2017年檢視指引時,身為公司財務長的William Hinman就建議,因為初期也許難以決定攻擊的重大性,因此資訊科技與企業人士應儘速合作,共同考慮事件的衝擊性,並注意了解對企業的意涵。SEC的委員Kara Stein最近在史丹佛大學的演講中也表達類似的觀點。她問,現在外界都同意網絡安全的重要性,為何公司在健全網絡安全架構的落實上,以及對資料外洩風險提供有意義的揭露上,還是沒有做得更多。其中一個可能的原因是,公司傾向視網絡威脅為科技問題,而非更適當地視之為企業風險。然而,當網絡安全僅被視為是「資訊科技」問題,那就只會是公司科技長的責任而已。通常,這會導致無法將網絡安全整合納入企業的風險管理架構裡。不可否認地,有些公司會關注到網絡威脅,並且視其為潛在經濟威脅。但是公司需要做得更多,而不只是認知到這個問題。他們需要傾聽股東的意見,並且看待網絡威脅是企業風險。
【網址連結】
https://www.lexology.com/library/detail.aspx?g=5b8e4301-139a-4e14-af5d-0e4bd24a8c55?