五家主要銀行業團體正式要求美國證券交易委員會(SEC)撤銷其網路安全事件揭露規則,認為該規定削弱了國家安全努力,產生的問題多於解決的。美國銀行家協會於5月22日代表聯盟發函,質疑公開揭露網路事件的規定基礎。
需要注意的重點:
- 五大銀行團體認為 SEC 的網安揭露規則和為保護關鍵基礎設施而設的保密通報存在衝突
- 該規則要求資料外洩等事件應儘速公開,但銀行業表示,這反而幫助勒索軟體集團並損害應變成效
- 銀行聯盟希望撤除 Form 8-K 報告規定中的 Item 1.05,該條款涉及網路安全事件通知投資人
業界聯盟鎖定核心揭露機制
聯盟成員包括證券業與金融市場協會、銀行政策研究所、美國獨立社區銀行家協會、國際銀行家協會等,代表美國數千家金融機構。這些團體針對 SEC Form 8-K 報告規範中的「Item 1.05」提出撤銷訴求。
Form 8-K 是上市公司就重大事件對投資人公開通報的主要工具。
網路安全條款要求公司揭露可能對營運或財務狀況造成重大影響的事件。銀行團體認為,該機制造成的傷害大於透明帶來的益處。
SEC 的《網路風險管理條例》於 2023 年 7 月發布生效,規範公司需快速揭露資料外洩及系統入侵等網安事件,旨在讓投資人及時掌握影響投資的資安風險資訊。
銀行提出作業及安全疑慮
銀行代表表示,現行揭露要求與原本保護重要基礎設施的保密通報制度相牴觸,強制提前公開資訊會干擾事件應變和執法調查。該規則本身繁複的延遲通報機制,導致企業無法分辨強制與自願揭露的界線。
銀行聯盟指出,勒索軟體集團已將強制揭露規定當作勒索受害公司的工具,威脅啟動時限以逼迫受害者更快付贖金,這種趨勢改變了傳統的網安事件應變模式。
業界同時擔心保險及法律責任問題。
提前揭露會讓保險理賠更複雜,也增加公司法律風險。員工如果知道應變對話可能成為公開紀錄,內部溝通也將更為保守。
市場混淆是銀行業另一大疑慮。該規則讓企業難以判斷哪些事件必須即時公開,哪些可以比照現行重大資訊進行通報,這種模糊也影響公司合規與投資人判讀。
加密公司同樣面臨揭露壓力
上市加密貨幣公司已感受到這些新規帶來的壓力。Coinbase 本月透露有駭客服事件,導致資料外洩及至少七宗訴訟。該交易所拒絕 2,000 萬美元勒索,但估計損失高達 4 億美元。
Coinbase 案例突顯強制揭露可能加劇資安事件的財務衝擊。必須立刻對外公開事件時,公司法律風險激增,不同於可低調處理的案例,對處理敏感客戶資料的科技及金融公司影響尤深。
若 SEC 同意銀行業請願,Coinbase 等公司公開揭露網安事件的時機將更有彈性。目前的強制時程常迫使公司在尚未全面掌握情況前就公告。
銀行業聯盟提替代機制
銀行業認為現有揭露框架已能保障投資人權益,無需再設專門網路安全規定。原有重大資訊舉報要求,仍能涵蓋真正影響公司營運或財務的重大網安事件。
他們相信這樣的做法才更有利投資人及國家安全。
請願文件也附上新規實施以來產生監管衝突及參與者混淆的實際案例,銀行團體整理出揭露規範干擾執法及事件應變的具體事例。
金融機構同時強調依其他聯邦機關已有相關法規義務,通報必須透過保密管道,以保障基礎架構資訊的機密,同時允許適當監督。
結語
銀行業對 SEC 網路安全揭露規則的挑戰,凸顯金融監管在透明與安全間的緊張關係。請願認為強制公開揭露帶來的風險大於收益,尤其當犯罪集團將此機制作為勒索工具。