返回首頁
網站導覽
聯絡我們
會員登入
協會簡介
關於協會
歷任理事長
理監事名單
什麼是公司治理
新聞專區
最新時事
專家觀點
公司治理簡訊
電子報
出版品專區
判決選粹
公益出版品
出版品
卓越董事進修學院
公開課程
到府課程
證書班
研討會
董監聯誼會
評量專區
董事會績效評估
公司治理制度評量
認證
公司治理制度評鑑
公司治理制度輔導
授證公司
常見問題
會員中心
會員註冊與登入
入會說明與權益
忘記密碼
團體會員介紹
NEWS
最新時事
專家觀點
公司治理簡訊
電子報
美國對資訊外洩的揭露要求仍然隱晦不明
發佈日期:2018年9月19日
作者:Julia Irvine
資料來源:Economia
介紹者:閻書孝研究員
審訂者:何佩諸委員
【作者】 Edward Normandin與Matthew Repetto
【資料來源】 Directors and Boards
【發佈日期】 2019年 3月 13日
【介紹者】 閻書孝資深研究員
【審訂者】 何佩諸委員
【簡介】
去年4月,美國證交所(SEC)對歐特巴(Altaba)公司開罰3500萬美元,因為他們未揭露2014年資訊大幅外洩,誤導了投資人。
開罰歐特巴(前身是雅虎)時間點,距離SEC發佈新的資安揭露指引後,只有數個月而已。
雖然這是SEC首次採取此類的執法行動,但在2018年指引發佈、SEC增加了對資安相關評論的頻率後,此顯示SEC對資安揭露提高了注意,並要求公司對資訊外洩作適當而立即的揭露。
然而,要做這些揭露決定,對董事和經理人相當困難,並且應該要審慎地處理,因為它可能牽涉到營運、財務及法律相關事宜。
當美國公開發行公司遭受網路攻擊時,董事與經理人就有責任要確保公司有採取適當的步驟來調查、評估與補救外洩事件。不久前,美國其實還沒有明確的資安揭露要求,這導致了公司在揭露上的責任不明。
比如當家得寶(Home Depot)、EMC及哈特蘭支付系統(Heartland Payment Systems)遭到網路攻擊時,每家公司都選擇填報一份通知投資人的標準文件表格單(Form 8-K)作事件的報告,但是其他像目標百貨(Target)、歐特巴及Michael’s Stores就沒有這麼做。
若缺乏明確的揭露要求,則揭露責任的評估就會按既有的揭露原則,亦即視該資訊或事件是否為「重大的」。
如果該資訊很可能被理性的投資人視為會明顯改變整體可取得的各種資訊,那麼它就是「重大的」。對重大性的判斷,是因公司而異的,而公開發行公司必須評估許多質化與量化的因素,才能決定何為自身的重大性。一旦重大性決定了,則董事和經理人的責任就是要確保公司能適當揭露有關資安漏洞的重大資訊。
在這個過程中,董事與經理人應該注意下述的考量點:
蒐集所有相關資訊,並做出明智的重大性判斷。決定資訊外洩的「重大性」需要董事與經理人都能獲悉所有攸關的資訊。公司方面最積極的是會落實揭露控制與程序,這會提供董事會及高階經理人關於事件對公司營運衝擊的資訊,可能也會有決定重大性的內部協議。
當手握攸關性的資訊時,管理階層可以開始檢視他們認為評估重大性所需的質化與量化因素。在這個脈絡下,會納入考量的因素有:
會受到危害的資料或資訊對公司的重要性;
所有受到危害的資料,其性質、範圍與可能的影響程度;
該事件對公司營運可能造成的衝擊;
該事件可能造成傷害的範圍(財務、法律、名譽以及關係);
以及監理行動(比如聯邦貿易委員會、衛生及公共服務部、聯邦通訊委員會、SEC、州檢察長或外國政府)或訴訟(民事訴訟、集體訴訟)的可能性。
要即時揭露但不要過早。發生資訊外洩的揭露不能少了重大性的判斷,因此公開發行公司不需要急著立即編製Form 8-K式報告或公布新聞稿。然而,公司應該儘速組成回應團隊,蒐集事件相關事實,使管理階層可以對重大性作立即的初步評估,並據以揭露。一個讓投資人缺乏充足資訊來思考的過早揭露,並且之後證實是重大的錯誤,那是非常具殺傷力的。另一方面,若延遲初步揭露,直到內外部調查都完成之時,從SEC及股東的角度來看,又有可能太晚了。
對先前揭露的事項要提供有意義更新。在適當的內外部調查時,被鎖定的目標公開發行公司會瞭解到更多關於外流、被偷及被取用資料和資訊的性質及重要性,還有資料外洩的程度與範圍,以及其對公司營運、財務績效、顧客和供應商關係等的現有及潛在衝擊。
這些新資訊可能本身就是重大的,也或許顯示了過早揭露是不正確的或是可能產生誤導。在某些狀況,證券法規要求,當從後來的事件來看,這類揭露造成誤導的話,就有責任要立即改正並更新之前揭露的事項。按其更新資訊的性質,也許要填Form 8-K進行揭露。另外的狀況是可能將揭露延後到下一期(如Form 10-Q或10-K)填報就可以了。其他的更新或許要包含相關改善措施,比如公司如何處理資料外洩以及所有執法行動或監理調查的現況。
與政府主管機關及非美國主管機關的監理調查及行動要合作。一間公開發行公司的事件回應計畫,基本上會需要在他們進行資訊外洩的初期評估後,告知適當的執法行動或其他的政府主管機關。重要的是,與所有的調查合作,並討論協調出一個公開聲明,再提供給新聞媒體或向SEC申報。公司也許要在維持調查保密性及揭露責任之間,取得利益的平衡。
應該注意的是,SEC已經提醒說,進行中的內部或外部調查,不能作為重大資安事件免除或延遲揭露的藉口。
另外,以表單10-Q and 10-K提供更健全的資安風險揭露。理想上,公開發行公司要在資訊外洩或事件的發生之前,就要積極於其資安風險的揭露。這包括在Form 10-K上要有一個以上、客製化專屬公司的風險因素,並在Form 10-Q和 Form 10-K其他的部分來處理資安風險,諸如對營運的討論、管理面的討論,以及對財務狀況和營運結果之分析、揭露的控制與程序,以及公司治理的部分。
外洩事件的發生將會迫使公司更新及強化現行、未來的揭露,以示對最近的資安事件,還有該事件及所有未來事件可能的財務及營運影響負責,並表現公司在營運與財務上回應的意願。
資安風險與事件揭露,一般來說還在初期發展階段,而揭露上的最佳實務,還需要一些時間才能發展完整。在此同時,有關資訊外洩,美國公開發行董事與經理人,應該先與適當的內外部人士議合,並仔細評估其重大性後,才對如何及何時向SEC申報揭露,作出困難而敏感的決定。
【網址連結】
https://www.directorsandboards.com/news/disclosure-requirements-cybersecurity-breaches-are-murky
BACK PAGE
TOP