企业需了解的新网络安全法规要点 - 《华尔街日报》

美国证券交易委员会执法部门前官员克里斯蒂·利特曼在WSJ Pro网络安全论坛上探讨监管议题。图片来源：华尔街日报保护投资者免受网络安全威胁是美国证券交易委员会的首要任务。过去一年间，该机构针对上市公司、咨询公司、交易所及清算机构等实体发布了一系列旨在强化网络防御的规则与提案。

为解读这些新规，《华尔街日报》记者詹姆斯·兰德尔专访了克里斯蒂·利特曼。她曾任SEC执法部门加密资产与网络部门负责人，于去年离职后加入伟凯律师事务所诉讼团队担任合伙人，专注于监管执法争议案件代理及网络安全事务咨询。

以下为WSJ Pro网络安全论坛访谈内容的节选编辑版。

信息披露制度

**华尔街日报：**SEC近期出台了多项新规，并发布了涵盖发行人、经纪交易商到中央对手方清算所等各领域的网络安全提案。企业需要关注哪些重点？

**利特曼：**需要关注的方面很多。且不仅限于SEC——当前网络安全是整个联邦层面的优先事项，其他监管机构也在同步推进相关规则制定。

但具体到美国证券交易委员会（SEC），主席加里·詹斯勒的首项规则发布于2022年2月。该规则针对投资顾问和投资公司，旨在通过政策和程序要求来规范这些顾问和公司如何管理其网络风险。SEC最近重新开放了对此规则的评议期，鉴于这一进展，我认为短期内不会看到它被正式采纳。

SEC在2022年3月提出了下一项规则。这项规则针对发行人，即上市公司。最引人注目的是要求注册人在确定遭遇重大网络事件后的四个工作日内向投资者披露该事件。因此，并非事件发生后立即披露，而是在注册人确认事件性质后的四天内。

规则中还包含一些关于公司治理的披露要求，我认为人们有必要了解这些内容，因为它要求公司披露其董事会是否具备网络安全专业知识。董事并非随处可见，而具备网络安全经验的董事更是稀缺。因此，这是一个值得关注的领域。

今年3月，SEC又针对经纪交易商、交易所和清算机构等市场实体提出了一项规则。该规则实质上对他们施加了一系列要求，包括定期评估网络风险、实施风险最小化控制措施、系统监控等。还有一个专门针对事件响应的部分，要求他们监控、检测、缓解任何事件，并进行响应和恢复。这实际上侧重于运营韧性。

**华尔街日报：**SEC这一连串的规则制定，您认为其背后试图实现的目标是什么？

**利特曼：**SEC本质上是一个信息披露监管机构。因此当他们针对上市公司提出新规时，终极目标始终是信息披露——只要企业遭遇过安全事件、存在风险隐患或实施了风控措施，公司投资者就有权知情。

当企业被强制要求向投资者披露系统健壮性、风险管理与响应能力、董事会是否具备专业资质时，自然会更加重视网络安全体系中这些环节的建设。

我认为实际效果将促使部分企业升级网络安全系统。

披露标准的分歧

**华尔街日报：**事件报告显然是SEC新规的重点，但其他政府机构也在推进类似要求。这些机构各有不同的报告规则，与SEC提案存在差异。这是否会导致企业面临多重合规体系风险？

**利特曼：**协调统一肯定会有人推动。但由于各机构职能差异，规则自然存在分歧。例如国土安全部肩负着保卫国家安全的重任，这与SEC保护投资者的使命不同。尽管各机构间存在协作，SEC在规则征求意见阶段也会听取其他部门的意见，但现实是SEC关注的网络安全危害与国土安全部的着眼点并不相同。

这不仅仅是国土安全部和证券交易委员会的问题。如果你是一名网络安全专业人士或内部法律顾问，你会明白在网络安全问题上必须时刻保持警惕。你需要面对州检察长、地方州监管机构以及联邦贸易委员会，而每个机构都有不同的目标。

联邦贸易委员会和你所在州的检察长可能更关注消费者保护。你拥有哪些数据？这些数据是否足够私密？是否存在泄露风险导致数据被共享？这些数据是否被不当使用，损害了提供信息者的利益？

这与证券交易委员会的关注点截然不同，后者不聚焦于消费者，而是关注收集数据的公司股东。

根据我的经验，企业通常会试图遵守最严格的监管制度，以期同时满足其他相关标准。在网络安全领域，监管体系如同一张错综复杂的网。

董事会专业能力

**华尔街日报：**在之前的讨论中，我们提到了一些特别具有挑战性的领域，比如治理问题以及确保董事具备适当的专业知识。虽然最终规则尚未确定，但您认为企业应如何提前准备？

**利特曼：**我认为所有企业，如果尚未开始研究这些拟议规则、核查自身系统并确保现行政策程序符合要求，现在就应该行动起来。因为这些规则很可能会以某种形式被采纳实施。

我要指出的另一点是关于聘请专家，或为董事会保留一位具备网络安全专业知识的董事。这个领域的需求远大于供给。如果这成为最终采纳的规则之一，你肯定不想成为那个手忙脚乱争抢具备适当网络安全专长董事的人，因为竞争会非常激烈。

**华尔街日报：**在网络安全事件方面，关于什么构成“重大”事件存在一些疑问。有人认为不同行业的标准似乎不一致。

**利特曼：**当我为客户提供事件咨询时，他们问我的第一个问题总是：“这算重大吗？我们需要报告吗？”法律上对重大性的定义是：“理性投资者是否会认为该信息对投资决策具有重要性”，或类似表述。但在实践中，情况可能有所不同。

从量化角度看，历年法院判决认为，如果信息披露导致股价波动超过5%，就属于量化层面的重大。但当你试图判断重大性时，并不能预知股价会如何波动。

你也可以从业务受影响程度的量化角度评估。但还应该从定性角度分析。我认为美国证交会正是采取这种方式。

因此需要真正审视被泄露信息的性质、泄露范围以及其他可能产生连锁反应的潜在危害。是否会影响供应商关系？是否可能导致更多诉讼或监管审查？这些都是进行重大性分析时应考虑的因素。

出现在2023年6月7日的印刷版中，标题为《企业需要了解的新网络安全法规》。