中華公司治理協會|TCGA
NEWS
網絡安全風險時代的公司董事責任

網絡安全風險時代的公司董事責任
【作者】Carolina Citolino
【資料來源】The Regulatory Review 
【發佈日期】2025年 10月 22日
【介紹者】閻書孝研究員
【審訂者】邱明志委員
【簡介】    

網路安全已成為關鍵的經營風險,它可以危及公司運作或甚至是繼續生存的能力,為確保這些風險受到適當監督,從而帶給公司董事會越來越大的壓力。然而,公司依賴諸如雲端與AI系統的技術日深,若重要營運受到網路攻擊而中斷,使得它們比以往任何時候更容易遭受災難性損失。

紐約大學Norma Z. Paige法學教授Jennifer Arlen在最近一篇文章裡提議,當公司董事在知情下同意公司發表關於網路安全的重大誤導性聲明時,他們可以且應該根據州法律的監督職務來面對應有責任。Arlen主張,此類誤導性的網路安全資訊揭露可能構成「關鍵任務」的法律風險,因為公司網路安全缺失可能對其客戶造成嚴重傷害。她特別指出股東代位訴訟的新途徑,並在數位威脅時代對董事監督重新建構同時期的理解。

德拉瓦衡平法院(The Delaware Court of Chancery)在一樁In re Caremark International Inc.案件的衍生性訴訟(Derivative Litigation)判決,確立了董事若未能合理監督公司遵循事宜,則可能承擔法律責任。此後,其他州研究德拉瓦的作法,並採行類似的董事監督與責任標準。

一如Arlen指出,德拉瓦採行Caremark信條,透過要求董事會層級的監督以強化董事誘因,阻卻公司不當行為。她解釋說,根據該信條,董事不僅要為監督公司遵守法律負起責任,還要確保具備完善制度以偵測和預防違法,並持續監督這些制度。她也指出,當董事面對紅旗警示時,他們必須確保公司迅速調查並採取行動阻止任何已確認的不當行為。

然而Arlen強調,單單地依據不足的網路安全時,根據Caremark信條所提出的股東訴訟持續以失敗告終。她解釋說,法院在此背景下拒絕適用Caremark信條對於責任的認定,原因有二。首先,縱使董事會或許不完全瞭解缺陷或安全漏洞,相當微不足道的網路安全監督卻可以保護董事免責。第二,光是網路安全不足並不違反美國法律,因為大多數產業的公司通常不受法律要求遵守特定的網路安全標準。因此,儘管網路安全不佳可能引發巨大的經營風險,Arlen指出,它常常不足以為Caremark案件的索賠提供充足的基礎。

Arlen解釋,德拉瓦衡平法院對具有指標性案件Construction Industry Laborers Pension Fund v. Bingle的判決,說明董事如何可逃脫Caremark的責任。該訴訟是由股東―已知的衍生原告(亦即代位訴訟之原告)所提出的,他們控告不是為自己而是代表公司,他們無法指出董事違反其監督責任,因為他們已經建立至少一個最低限度的網路安全計畫。她補充說,雖然法院承認網路安全對於涉案公司SolarWinds是這起任務的關鍵風險,但法院發現原告指控董事會本身知道SolarWinds網路安全實務的缺陷並未令人信服。

在認出Caremark案對於董事僅加諸狹窄且特定的監督責任,Arlen提出重新規劃的Caremark責任架構。根據她的方法,若公司對於其網路安全保護發布了重大誤導性聲明,並且董事未能確保這些聲明的正確性,在某些狀況下董事可能違反其職責。

Arlen的提案是要解決網路安全產生對公司重要任務法律風險的環境。Arlen描述適用此責任的具體條件:公司向公私部門客戶發布關於其網路安全品質的重大誤導性聲明;這些客戶必須依賴對公司網路安全品質的信心,而因為安全漏洞及後續發展透露出公司不實陳述的綜合效應,這份信心破碎了;董事故意不履行與這些揭露相關的監督職務;以及公司因誤導性聲明而蒙受的損失。

重要的是,Arlen強調此類誤導性聲明或許本身就違法—禁止公司在網路安全品質上對消費者說謊,或者對聯邦機構做出不實陳述。一如她的解釋,構成違法不只是有缺陷的網路安全計畫,還有提出錯誤或誤導性的聲明。她還進一步主張,此類報導不實讓公司暴露於嚴重風險,包括監理執法、訴訟,以及大量客戶流失,這一切都會造成「公司重傷」。

Arlen建議依她的方法,如果原告聚焦的不是公司網路安全計畫自身的缺失,而是董事是否未能監督公司的遵循,則針對SolarWinds董事的案件可能有不一樣的結果。如果原告令人信服地指控董事會知情且未能預防讓客戶信心破碎的誤導性揭露,他們或許已經推翻法院的駁回判決,並根據Caremark案的判例向董事問責。

雖然Arlen重點放在網路安全,她建議其提出的架構可以更廣泛地應用於其他關鍵任務領域。例如,董事因未能監督關於產品安全的重大誤導性揭露,可能也會面對Caremark案例的法律責任,尤其當缺陷產品對廣大消費者造成傷害或致命的風險。

藉由重新架構Caremark責任來涵蓋網路安全揭露的監督,Arlen延伸了通常施加在董事身上的監督責任,並且將焦點從營運失利轉移到揭露失敗。她主張,她的提案不只激勵公司落實相關措施以保護其產品,也會使得公司網路安全實務符合其公開聲明。Arlen總結,她對Caremark責任的應用會透過推動公司精準地在最關鍵時刻加強網路安全,從而提升市場效率。

【網址連結】
https://www.theregreview.org/2025/10/22/citolino-corporate-director-liability-in-the-era-of-cybersecurity-risks/
 

BACK PAGE
TOP