五個主要銀行業團體已正式要求美國證券交易委員會(SEC)撤銷網絡安全事故披露規則,認為有關法規削弱國家安全力度,產生的問題比解決的更多。美國銀行家協會於5月22日聯同多個行業組織發信,質疑針對網絡事故公開披露的合規基礎。
重點內容:
- 五個銀行團體指證監會的網絡安全披露規則,與保障關鍵基建的機密舉報制度衝突
- 有關規則要求事故(如數據外洩)需即時公開,但銀行業界認為這會助長勒索罪犯、阻礙應對工作
- 銀行業要求將8-K表格中的Item 1.05從披露規定中移除,該條為投資者通報網絡事故之用
行業聯盟針對披露核心機制
參與請願的包括證券業與金融市場協會、銀行政策研究所、美國獨立社區銀行家協會,以及國際銀行家協會,代表全美數千家金融機構。請願書鎖定SEC的8-K表格之「Item 1.05」條款。
8-K表格是上市公司重大事件公告給投資者的主要工具。
網絡安全條文要求公司披露對業務營運或財務狀況有重大影響的事故。銀行業界認為這套機制帶來的傷害多於透明。
SEC的網絡安全風險管理規則於2023年7月發布後正式生效,要求公司必須即時披露包括數據外洩、系統被入侵等事故,目的是讓投資者及時掌握可能影響投資的網絡威脅資訊。
銀行業對營運與安全表憂慮
銀行代表指披露要求與現有機密通報機制直接衝突,這些措施原用作保障關鍵基礎設施。業界認為過早公開事故會干擾事故應變程序及執法調查。而規則中複雜的延遲披露機制會令強制與自願披露責任變得混亂。
銀行業聯盟認為,勒索罪犯已把公開披露要求武器化,作為勒索手段,迫使受害公司更快交付贖金。這發展已大大改變網絡事故應變方式。
同時,保險及法律責任亦引起銀行業關注。
太早披露會令保險索償更複雜,並令受影響公司法律風險上升。員工知道其事故應對討論隨時公諸於世後,內部溝通亦會變得審慎。
法規帶來的市場混亂亦是銀行業重要憂慮之一。舊有披露機制與新法規重疊,無法確定哪些事故需即時公告,哪些可按已有的重大資訊機制處理,不論企業還是投資者都難以判斷該怎樣解讀有關披露。
加密企業同受披露壓力
上市加密貨幣公司已見證規定對業務帶來的負面效應。Coinbase於本月初披露,有黑客賄賂客服取得用戶數據,導致至少七宗訴訟。該交易所拒絕支付二千萬美元贖金,但估計今次事件損失或達四億美元。
Coinbase事件反映,披露要求往往會進一步放大網絡事故的財務衝擊。當企業須即時公開事故,而非低調處理時,法律風險就會倍增。
這一情形尤其影響手持敏感客戶數據的科技及金融服務公司。
若證監會允許撤銷有關規則,Coinbase等企業就可有更大披露彈性。現行規則硬性時限常逼使企業在未全面掌握事故範圍或影響前,就必須披露。
銀行聯盟建議替代方案
銀行業界建議以現有披露制度保護投資者利益,毋須額外強制網絡安全規則。按既有「重大資訊」規定,一旦有大型事故真正影響公司營運或財務狀況亦必須彙報。
他們認為這個方法更能兼顧投資者及國家安全考慮。
請願書附有自規則實施以來的監管矛盾及行業混亂個案,銀行業舉出具體例子,說明規則如何妨礙執法調查與事故應對。
金融機構亦指出,按目前聯邦監管要求,銀行已要透過機密渠道向金融監管部門通報網絡事故,既保障重要基建資訊,又確保監管合規。
結語
銀行業對SEC網絡安全信息披露規則的挑戰,反映金融界在透明與安全之間的普遍矛盾。他們認為強制公開披露事故,尤其被罪犯利用,利少於弊。