【美國】參議院法案將強迫公司向SEC提報網路揭露事項
發佈日期:2018年9月19日
作者:Julia Irvine
資料來源:Economia
介紹者:閻書孝研究員
審訂者:何佩諸委員
【作者】 BakerHostetler
【資料來源】 JD Supra
【發佈日期】 2019年 3月 19日
【介紹者】 閻書孝資深研究員
【審訂者】 邱明志委員
【簡介】
在國會山莊對資訊安全及資料隱私日益警覺的氛圍下,參議院新的立法要求公開市場交易的公司,應備妥資料向美國證管會(SEC)揭露董事會是否有資安專家—如果沒有,就要解釋原因。
羅德島選出的民主黨參議員里德(Jack Reed)說,他的法案是要鼓勵公司更透明地揭露有關董事會及高階經理人是否及如何把資安問題,按重要性排列優先順序。該法案—資安揭露法(Cybersecurity Disclosure Act)—得到數個關鍵議員支持,比如民主黨維吉尼亞州參議員華納(Mark Warner),他是參議院網路政策的意見領袖,也是情報特別委員會(the Intelligence Committee)的副主席。該法案也獲得共和黨支持,如緬因州共和黨參議員柯林斯(Susan Collins)、路易斯安那州共和黨參議員甘迺迪(John Kennedy)都簽署了法案並成為共同提案人。
對於資料隱私或整體網路立法,是否能在目前分裂的國會下,獲得參議員的支持還不明朗,特別是2020年總統競選已開跑。雖然目前各州對資料保護要求個別地採取行動,而聯邦政府搶先的行動,對提供一致的國家標準給公司和顧客可能是必要的,然而國會兩黨對此政策方案仍缺乏共識。說到私部門的網路保護,聯邦立法者做得很少,僅呼籲公司投資在保護自己的線上系統。不過額外增加的網路入侵應該可以推動華盛頓有所作為。
在最近參議院銀行委員會有關資本組成及公司治理的聽證會上,委員會的民主黨領袖、俄亥俄州參議員布朗(Sherrod Brown)推薦里德法案,他說該法案可改善透明度並加強揭露。民主黨康乃迪克州眾議員希姆斯(Jim Himes)代表,一如預期地引進眾議院版的里德法案。希姆斯是支持企業的民主黨員,也是眾議院金融服務委員會的成員。
如果該法案在國會有所進展,預期企業界將嚴重反彈,因為它們已經厭煩代理投票提案,以及要求它們對廣泛的環境、社會與政策議題採取行動。某些企業的利害關係人擔心,該法案可能對曾經遭受資料入侵的公司創造起訴理由。就最近公告的法案條文來看,並沒有包含責任保護。
對公開市場交易公司的董事會而言,什麼稱作資安專家呢?里德法案將其認定留給SEC決定。SEC將與美國國家標準暨技術研究院(National Institute of Standards and Technology)合作,發展出定義及實行規範。
縱使私部門設法解決日益增加的線上威脅,但美國最大的企業遊說團體表示,該法案既繁重又無成效。美國商會的執行副總裁Tom Quaadman告訴參議員,SEC已經有資安和整體風險管理的要求了。Quaadman說,要求董事會有資安專家,就是把這項重要責任分派給董事會,以便能更妥當地承擔管理之責。
至少,該項立法提供了行動主義投資人一個容易的方法來攻擊公司,特別是那些董事會沒有網路專家而選擇解釋現存網路保護機制的公司。考量目前圍繞資安議題的白熱化氣氛,大多數公司至少都感覺到有些遵循的壓力,意即要求大多數公司額外增加新的董事會成員—這對股票公開交易公司而言,可不是小事。
里德以軍事術語形容這項議題,他利用時間在公司治理聽證會時,回應外界批評該法為不能承受之重時表示,並非要影響公開發行公司董事會的組成。他說,由於經常發生資訊長無法接觸到執行長,他的法案能夠強迫公司將線上保護列為最優先事項。
【網址連結】
https://www.jdsupra.com/legalnews/senate-bill-would-force-company-cyber-83876/