五個主要銀行業團體正式致函美國證券交易委員會(SEC),要求撤銷其網絡安全事故披露規定,認為此舉削弱國家安全措施,弊多於利。美國銀行家協會於 5 月 22 日領導該聯盟致信證交會,並質疑將網絡事故公開的基本要求。
重點資訊:
- 五大銀行團體指出,證交會的網絡安全披露規則與本應機密匯報的重要基礎設施保護措施衝突
- 規則要求公開披露如數據洩漏等事故,但銀行指出這反令勒索軟件罪犯得以利用,妨礙應對速度
- 銀行聯盟要求撤除 Form 8-K 申報要求中的 Item 1.05,該要求會通知投資者相關網絡安全事故
行業聯盟針對核心披露機制
該聯盟包括證券業與金融市場協會、銀行政策研究所、美國獨立社區銀行家協會及國際銀行家協會,代表美國成千上萬金融機構。他們的請願目標明確指向證交會 Form 8-K 申報規定內的「Item 1.05」。
Form 8-K 是上市公司向投資者公開重大事件的主要途徑。
網絡安全條文要求公司披露可能對營運或財務狀況有重大影響的事故。銀行團體認為,這種機制披露帶來的負面影響大於透明度的好處。
證交會的網絡安全風險管理規則自 2023 年 7 月公告後生效。公司現時須迅速報告包括數據外洩與系統遭入侵等事故。規例原旨在讓投資者及時了解可能影響投資的網絡風險。
銀行業關注運作及安全問題
銀行代表指出,披露要求和現存保障重要基礎設施的機密通報制度直接衝突。他們認為,過早公開披露會干擾事故應對流程及執法人員調查。規例內的複雜延遲機制亦令必須與自願披露之間的界線變得不清。
聯盟認為,勒索集團現已將公開披露要求作為勒索工具,威脅受害公司必須在限期內妥協付款,增加勒索壓力。這種新趨勢根本性地改變了事故應對動態。
團體亦關注保險及法律責任影響。
過早披露會令保險索賠更複雜,並增加涉及公司的法律風險。凡事一公開,內部應變討論亦更趨謹慎。
市場混亂亦是銀行業另一大憂慮。新規帶來不確定性,使公司難以判定哪些事故要即時公開,而哪些可按現行重大信息規則處理。此等混淆困擾合規公司及試圖解讀披露的投資者。
加密貨幣企業同現壓力
受規定影響的,還有上市加密貨幣公司。Coinbase 本月早前披露,有職員遭賄賂導致用戶數據外洩,現已引發多達七宗訴訟。交易所拒絕 2,000 萬美元贖金要求,但估算事故損失或高達 4 億美元。
Coinbase 個案反映出披露規定如何加劇網絡事故的經濟衝擊。公司必須立即公開資料,導致法律風險倍增,否則有可能更低調解決。
此情況尤其影響處理敏感客戶訊息的科技與金融服務公司。
若證交會接受銀行團體請願,包括 Coinbase 在內的公司將可更靈活決定何時披露網絡事故。現時硬性規定常令公司在未完全掌握事故範圍及影響前被逼公開。
銀行聯盟提建議推替代方案
銀行團體認為,現存披露框架已保障投資者利益,毋須加設網絡安全專屬規定。原有披露重大信息的規則足以涵蓋真正影響公司營運或財政狀況的事件。
他們認為這做法更可兼顧投資者及國家安全。
請願信納入多個自新規生效後出現的監管矛盾及合規混亂例子。銀行團體亦例舉具體事件,以顯示披露要求如何干擾執法及事故應對工作。
金融機構同時指出,他們早已根據其他聯邦機關要求,透過機密渠道向相關金融主管局報告網絡事故。一方面保護敏感基建資訊,另方面確保適當監管。
結語
銀行業對證交會網絡安全披露規的挑戰,反映金融服務監管在透明度與安全性間的張力。銀行認為,強制公開披露帶來的風險大於益處,特別是罪犯有機可乘以此勒索實體。