五大銀行業協會正式請求美國證券交易委員會(SEC)撤銷網路安全事件揭露規則,主張該規定削弱了國家安全努力,帶來的問題多於益處。美國銀行家協會於5月22日發送聯合信函,質疑對網路事件強制公開的基礎。
你需要知道的重點:
- 五大銀行團體認為,SEC的網路安全揭露規則與保護關鍵基礎設施的機密通報機制相衝突
- 該規則要求涉及資料外洩等事件時需快速公開披露,但銀行認為這有利於勒索軟體犯罪分子,並妨礙事件應對
- 銀行聯盟要求將Form 8-K報告中的Item 1.05刪除,即對網路安全事件通知投資者的要求
產業聯盟聚焦核心揭露機制
聯盟成員包括證券業及金融市場協會、銀行政策研究所、美國獨立社區銀行家協會、國際銀行家協會等,代表全美數千家金融機構。他們的請願書明確針對SEC Form 8-K報告中的「Item 1.05」條款。
Form 8-K 是上市公司對外通報重大事件的重要工具。
網路安全條款要求公司揭露足以對營運或財務狀況產生實質影響的事件。銀行團體認為,這一機制帶來的危害,大於透明帶來的好處。
SEC的網路安全風險管理新規於2023年7月實施。企業如今必須快速披露包括資料外洩、系統入侵等網安事件。新法規旨在即時向投資人提供可能影響投資決策的網安風險資訊。
銀行業擔憂營運及安全
銀行業代表主張披露要求與現有機密通報系統直接衝突,這些系統原本用以保護關鍵基礎建設。他們認為,過早公開事件資訊會影響事故應變及執法調查。規則中複雜的延遲機制,也加劇了強制與自願揭露義務間的混淆。
銀行聯盟認為,勒索犯罪團體已經將公共揭露義務當作敲詐工具,威脅受害者索賠,逼使企業加快支付贖金。這一發展徹底改變了網安事件應變的生態。
他們同時關切保險與法律責任問題。
過早公開信息常使保險理賠複雜化,增加被害公司的法律風險。內部溝通時,員工也因擔憂對話成為公共紀錄而變得謹慎。
市場混亂同樣是銀行業者憂慮的問題。規則導致哪些事件需即時公開、哪些可採既有通報模式出現混淆,影響企業法遵與投資人解讀。
加密貨幣公司也面臨揭露壓力
上市加密貨幣公司也切身體會這些披露規則的影響。Coinbase本月初坦承駭客收買客服取得用戶資料,導致至少遭七起訴訟。Coinbase雖拒絕支付兩千萬美元贖金,但預估損失可能高達四億美元。
Coinbase事件說明了揭露義務會加劇網路事件的財務衝擊。一旦公司須立刻公開事故,法律風險也隨之上升,否則或許能較平穩處理。
這還特別影響處理敏感客戶資訊的科技與金融服務企業。
若銀行業請願獲准,Coinbase等公司將有更多彈性安排網安資訊揭露時機。目前的嚴格時限常導致企業在未掌握完整事件前就須公開資訊。
銀行業團體提出替代方案
銀行團體認為,現行揭露規則(在無需特定網路安全條文的情況下)已能保障投資人利益。既有重大信息通報機制仍涵蓋重大網安事件,足以反映對公司績效及財務狀況具重要影響的事項。
他們認為此方式更能兼顧投資人與國家安全需求。
請願書還列舉實際案例,說明新規上路後的監管衝突及業者困惑。銀行團體整合各種具體事件,顯示揭露要求干擾執法辦案和應變處理。
金融機構也指出,他們已依法向其他聯邦監管機構保密通報網安事件,這些機制旨在保護基礎建設資訊,同時確保適當監督。
結語
銀行業挑戰SEC網路安全揭露規則,反映金融監管在透明與安全拉鋸下的矛盾。請願主張強制公開揭露創造的風險大於收益,特別是當犯罪集團將其視為勒索工具時。