美国证券交易委员会(SEC)投票公布一项新规定,加强上市公司发生数据泄露事件时的披露机制,包括披露方式,以及需要在多快时间内披露等。
根据SEC提议中的措施,公司必须在当前的报告文件,包括8-K表格中详细说明何时遇到了风险,以及采取了什么策略来应对和管理风险。
调整后的规则还要求公司对于信息安全风险对公司财务状况的可能影响进行分析。目前,这些调整正在征求公众意见。SEC表示,这将帮助投资者更高效地评估信息安全风险,并为此做好准备。
SEC以三比一的投票结果发布了这一调整方案。近期,关于信息安全问题对市场和投资者的潜在影响,监管机构的担忧正日益加剧。而在多家美国公司遭到高调的信息安全攻击之后,拜登政府也在加大对这方面问题的关注。
SEC主席加里·詹斯勒(Gary Gensler)周三表示:“我们网络的互联互通,对预测式数据分析的使用,以及对数据的渴望只会越来越明显。这将把我们的金融帐户、投资和私人信息置于风险中。”“这些信息以往被封闭在公司内部,而投资者想要更多地了解,股票发行人是如何管理这些日益严重的风险的。”
SEC表示,周三公布的新规定还要求定期报告情况,帮助投资者了解已披露的重大信息安全事件的更完整信息。
SEC长期以来一直警告企业,对信息安全攻击的披露不应仅限于对营收或资产的量化影响,企业还应该考虑理性投资者在做出投资决策时可能考虑的各方面定性因素。
不过,也有SEC委员对方案持不同意见。共和党委员海斯特·皮尔斯(Hester Peirce)认为,这些举措超出了SEC的使命。她表示:“这些方案将我们塑造为美国的信息安全指挥中心,但国会并没有赋予我们这个角色。”
美国商会的汤姆·夸德曼(Tom Quaadman)则表示,他欢迎SEC对信息安全风险管理的关注,但呼吁SEC与美国政府其他信息安全专家交流,“确保政策是支持性的,不会重复。”“作为信息披露监管机构,SEC应该注意不要妨碍国家安全的优先事项,并将重点放在强有力的协调上。”
