周聖

(廈門大學(xué)法學(xué)院，福建 廈門 361005)

一、問題的提出：網(wǎng)絡(luò)風(fēng)險——一個日益加劇的系統(tǒng)性風(fēng)險

眾所周知，證券市場一直以來都處于網(wǎng)絡(luò)1技術(shù)發(fā)展的前端。當下絕大部分的證券交易是通過純粹的電子系統(tǒng)進行的，信息技術(shù)的高速發(fā)展在帶來低成本、高效、便捷的同時，也伴隨著風(fēng)險產(chǎn)生，并隨著技術(shù)的不斷提升與日俱增。網(wǎng)絡(luò)風(fēng)險2被廣泛認為是當今金融市場面臨的最大威脅之一。國際證監(jiān)會組織(IOSCO)和世界證券交易所聯(lián)合會(WFE)對全球46家證券交易所的一份調(diào)查顯示，53%的交易所曾經(jīng)歷過至少一次網(wǎng)絡(luò)攻擊。3與其他報告相類似，威瑞森(Verizon)數(shù)據(jù)泄露調(diào)查報告持續(xù)將金融業(yè)列為受網(wǎng)絡(luò)安全事件影響的前三大行業(yè)之一。4預(yù)計到2021年，網(wǎng)絡(luò)犯罪每年造成的損失將高達6萬億美元。5

更重要的是，網(wǎng)絡(luò)風(fēng)險本質(zhì)上是系統(tǒng)性的，網(wǎng)絡(luò)攻擊可能產(chǎn)生影響整個金融系統(tǒng)乃至更廣泛實體經(jīng)濟的重要連鎖反應(yīng)。6原因包括：第一，金融市場使用信息技術(shù)的程度不斷加深；第二，金融市場參與者相互之間的依賴性和關(guān)聯(lián)性不斷增長；第三，網(wǎng)絡(luò)攻擊者及其動機變得更加多樣化，使威脅來源更加難以預(yù)測。7因此，IOSCO新興風(fēng)險委員會和秘書處研究部在其2015～2016年證券市場風(fēng)險展望中，將網(wǎng)絡(luò)風(fēng)險確定為一項潛在的重要系統(tǒng)性風(fēng)險。8

可以預(yù)見的是，網(wǎng)絡(luò)風(fēng)險對于證券市場來說將會變得越來越普遍，這就需要國際社會加強合作，對網(wǎng)絡(luò)風(fēng)險進行必要的法律規(guī)制，以維護證券市場安全、穩(wěn)定、有效的運行。

二、證券市場網(wǎng)絡(luò)風(fēng)險法律規(guī)制動態(tài)考察

隨著世界各國對網(wǎng)絡(luò)風(fēng)險認識程度的不斷加深，越來越多的國際組織和政府針對網(wǎng)絡(luò)風(fēng)險采取了必要的法律規(guī)制措施。從既有實踐來看，證券市場網(wǎng)絡(luò)風(fēng)險與其他金融行業(yè)相比并無本質(zhì)區(qū)別，但證券市場網(wǎng)絡(luò)風(fēng)險規(guī)制手段更為豐富，不僅包括可普遍適用于金融市場各行業(yè)的網(wǎng)絡(luò)風(fēng)險管理標準、網(wǎng)絡(luò)安全信息共享機制，還包括上市公司網(wǎng)絡(luò)風(fēng)險和網(wǎng)絡(luò)安全事件信息披露規(guī)則。

(一)網(wǎng)絡(luò)風(fēng)險管理標準指南：三大核心標準

根據(jù)金融穩(wěn)定理事會(FSB)2017年盤點報告，目前三大核心標準(Core Standards)——《增強關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全框架》(NIST框架)、《金融市場基礎(chǔ)設(shè)施建設(shè)的網(wǎng)絡(luò)恢復(fù)力指南》(CRFMI指南)以及ISO/IEC27000系列標準，是FSB成員適用最廣泛的網(wǎng)絡(luò)安全標準，這也在一定程度上促進了金融領(lǐng)域網(wǎng)絡(luò)安全監(jiān)管的一致性。9此外，三大核心標準間不存在規(guī)則沖突，監(jiān)管當局和市場參與者可自由選擇。

比較而言，三大核心標準在網(wǎng)絡(luò)風(fēng)險管理措施上有相似性，但又各有側(cè)重、各具特色。NIST框架和CRFMI指南的獲取和使用是免費的，前者為組織機構(gòu)網(wǎng)絡(luò)安全風(fēng)險管理提供框架指引，并且可吸納諸多其他標準，具有極強的可拓展性；后者則是針對金融市場基礎(chǔ)設(shè)施網(wǎng)絡(luò)風(fēng)險管理提出基本原則和操作指引，作為金融市場基礎(chǔ)設(shè)施原則(PFMI)的補充。而ISO/IEC27000系列標準的使用并不免費，但組織機構(gòu)可申請ISO認證，ISO作為獨立的第三方，其認證結(jié)果是判斷內(nèi)部與外部供應(yīng)商網(wǎng)絡(luò)安全體系的重要依據(jù)。

1.《增強關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全框架》

根據(jù)時任總統(tǒng)奧巴馬頒布的第13636號行政命令，美國國家標準與技術(shù)研究所(NIST)于2014年2月12日發(fā)布了《增強關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全框架(1.0版)》，面向關(guān)鍵基礎(chǔ)設(shè)施運營商，基于風(fēng)險建立了一個行業(yè)標準與最佳實踐相結(jié)合的非強制性指引框架，以應(yīng)對不斷升級的網(wǎng)絡(luò)風(fēng)險。隨后，NIST公開征求框架實施意見，并于2016年、2017年連續(xù)舉辦研討會收集各方反饋信息，發(fā)布兩份新框架草案供公眾討論，最終在2018年4月16日正式發(fā)布《增強關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全框架(1.1版)》(以下簡稱《框架1.1》)。與1.0版相比，新框架在驗證和識別、網(wǎng)絡(luò)安全風(fēng)險自我評估、供應(yīng)商網(wǎng)絡(luò)安全管理以及漏洞披露等部分進行了改進和優(yōu)化。

從內(nèi)容上看，《框架1.1》10主要包含三個部分，即核心策略(Core)、實施層級(Implementation Tiers)和指標集(Profile)。

首先，核心策略是一組涵蓋網(wǎng)絡(luò)安全管理程序、預(yù)期目標和參考標準的規(guī)劃表，旨在指導(dǎo)機構(gòu)逐步建立網(wǎng)絡(luò)安全風(fēng)險管理體系。核心策略按照功能、類、子類和參考文件的順序展開，并確立了應(yīng)對網(wǎng)絡(luò)攻擊的五大功能性程序：識別、保護、檢測、響應(yīng)和恢復(fù)。這與我國專家提出的預(yù)警、保護、檢測、響應(yīng)、恢復(fù)、反擊具有相似性。11類是對五大功能進行劃分后的網(wǎng)絡(luò)安全要素，子類則是對類的進一步細分，并將參考文件，即現(xiàn)有的國際標準、指南和最佳實踐，與子類一一對應(yīng)，作為機構(gòu)在制定、完善其網(wǎng)絡(luò)安全管理程序時的重要參考。目前，《框架1.1》附錄A將5個功能細分為23個類和108個子類，每個子類代表著一個特定網(wǎng)絡(luò)安全目標，機構(gòu)可通過借鑒羅列在參考文件中的指南和最佳實踐達成前述目標。

其次，實施層級是對組織機構(gòu)內(nèi)部網(wǎng)絡(luò)風(fēng)險管理能力成熟度的分級標準，由低到高包括部分實施級、風(fēng)險預(yù)知級、可重復(fù)實施級以及自動適應(yīng)級四個層級。最后，指標集是指組織機構(gòu)根據(jù)自身業(yè)務(wù)需求、風(fēng)險容忍度及可利用資源，從《框架1.1》核心策略表中挑選出適應(yīng)自身情況的類和子類，并進行合理編排以形成與機構(gòu)發(fā)展現(xiàn)狀相匹配的風(fēng)險管理措施，進而實現(xiàn)標準、指南、最佳實踐與核心策略的一致性。機構(gòu)分別建立當前指標集(Current Profile)和目標指標集(Target Profile)，前者代表著當前機構(gòu)網(wǎng)絡(luò)安全狀況，而后者則是指機構(gòu)未來預(yù)期想要達成的網(wǎng)絡(luò)安全目標。通過比對當前指標集和目標指標集之間類與子類的區(qū)別，機構(gòu)能夠直觀發(fā)現(xiàn)兩者間現(xiàn)存差距，并進行自我評估，為不斷完善網(wǎng)絡(luò)安全風(fēng)險防范程序指引方向。

總體而言，《框架1.1》以業(yè)務(wù)需求為內(nèi)在邏輯指導(dǎo)機構(gòu)內(nèi)部網(wǎng)絡(luò)安全活動的開展，并將網(wǎng)絡(luò)風(fēng)險視為機構(gòu)內(nèi)部風(fēng)險管理程序不可或缺的重要部分。更難能可貴的是，《框架1.1》的適用頗具彈性和可擴展性。一方面，框架倡導(dǎo)的網(wǎng)絡(luò)風(fēng)險管理標準并非是一套適用于全部機構(gòu)、完全一致的規(guī)則，而是不同機構(gòu)可根據(jù)各自面臨的各種威脅和漏洞，自主選擇網(wǎng)絡(luò)安全目標，采取契合自身實情的網(wǎng)絡(luò)風(fēng)險管理標準程序。這就使得各機構(gòu)，無論規(guī)模幾何、網(wǎng)絡(luò)風(fēng)險敞口大小或網(wǎng)絡(luò)安全管理復(fù)雜性程度高低，都能運用風(fēng)險管理的基本原則和最佳實踐以消除或減輕網(wǎng)絡(luò)風(fēng)險帶來的負面影響。另一方面，核心策略中的參考文件并非一成不變，可以進行不斷擴充，以增強框架的現(xiàn)實可操作性。目前《框架1.1》參考文件中選取了5個標準化組織、行業(yè)協(xié)會制定的標準、指南和最佳實踐，包括美國網(wǎng)絡(luò)安全理事會(CCS)發(fā)布的關(guān)鍵安全控制點標準(CSC)，美國信息系統(tǒng)審計與控制協(xié)會(ISACA)發(fā)布的信息和相關(guān)技術(shù)控制目標(COBIT)，國際標準化組織(ISO)發(fā)布的工控信息安全標準ISA62443，ISO和國際電工委員會(IEC)共同發(fā)布的信息安全管理體系標準ISO/IEC27001:2013，以及NIST發(fā)布的聯(lián)邦政府信息系統(tǒng)和組織安全控制措施系列特別出版物(NIST SP800)。值得一提的是，N I S T下設(shè)的國家卓越網(wǎng)絡(luò)安全中心(NCCoE)于2018年9月7日發(fā)布了NIST SP1800-5最終版，其中針對信息系統(tǒng)資產(chǎn)管理的最佳實踐，正是為金融服務(wù)部門相關(guān)領(lǐng)域缺陷提供應(yīng)對之策。

2.《金融市場基礎(chǔ)設(shè)施建設(shè)的網(wǎng)絡(luò)恢復(fù)力指南》

2016年6月，支付與市場基礎(chǔ)設(shè)施委員會(CPMI)和IOSCO聯(lián)合發(fā)布CRFMI指南12，旨在增強金融市場基礎(chǔ)設(shè)施(FMI)網(wǎng)絡(luò)恢復(fù)能力?？紤]到網(wǎng)絡(luò)風(fēng)險動態(tài)變化的特征，適用特定固化的措施可能導(dǎo)致指南迅速失效，因此CRFMI指南采取了基于原則的規(guī)制模式。雖然該指南主要針對金融市場基礎(chǔ)設(shè)施，但相關(guān)部門仍可將其應(yīng)用于其他機構(gòu)。從內(nèi)容上看，CRFMI指南由5個風(fēng)險管理措施和3個重要程序組成，前者包括治理結(jié)構(gòu)、識別、保護、檢測、響應(yīng)和恢復(fù)，后者包含測試、環(huán)境感知以及學(xué)習(xí)和發(fā)展。這些措施和程序是建立和完善網(wǎng)絡(luò)恢復(fù)能力框架的重要基礎(chǔ)，應(yīng)統(tǒng)籌兼顧每一項內(nèi)容。具體而言，每項措施都需要循環(huán)經(jīng)歷3個重要程序，如響應(yīng)措施初步構(gòu)建后，組織機構(gòu)應(yīng)通過演習(xí)等方式測試實際效果，根據(jù)對內(nèi)外部網(wǎng)絡(luò)風(fēng)險環(huán)境變化評估適時對其進行調(diào)整，同時不斷總結(jié)實踐經(jīng)驗，學(xué)習(xí)新的信息網(wǎng)絡(luò)技術(shù)以完善具體措施。通過這樣反復(fù)打磨從而使得風(fēng)險管理機制更加行之有效。因此，執(zhí)行和遵守指南不是一次性的任務(wù)，而是長期的、不斷升級的過程。FMI應(yīng)逐步適應(yīng)、發(fā)展和提高其網(wǎng)絡(luò)恢復(fù)能力，增加犯罪者實施網(wǎng)絡(luò)攻擊的難度，并提高恢復(fù)關(guān)鍵業(yè)務(wù)和從網(wǎng)絡(luò)攻擊中恢復(fù)的能力。

需要特別指出的是，CRFMI指南并沒有制定超出PFMI中規(guī)定的金融市場基礎(chǔ)設(shè)施基本原則，而是對PFMI部分規(guī)則，諸如原則2(治理結(jié)構(gòu))、原則3(全面的風(fēng)險管理框架)、原則8(結(jié)算終局性)、原則17(運營風(fēng)險)以及原則20(FMI間相互聯(lián)系)等原則的進一步補充細化?？紤]到FMI對金融市場的兩大系統(tǒng)重要性——結(jié)算終局性13與運營穩(wěn)定性，CRFMI指南要求FMI應(yīng)當采取迅速且可持續(xù)的行動加強網(wǎng)絡(luò)恢復(fù)能力，并提出更高的恢復(fù)時間目標(RTO)，即在遭受嚴重網(wǎng)絡(luò)攻擊運營中斷后2小時內(nèi)恢復(fù)運營，同時在最遲不超過中斷發(fā)生當日完成結(jié)算。該指南還特別指出，鑒于金融系統(tǒng)存在廣泛的相互聯(lián)系和依賴性，整體市場的網(wǎng)絡(luò)恢復(fù)能力不僅取決于單個FMI，還取決于相互關(guān)聯(lián)的FMI、服務(wù)供應(yīng)商和其他市場參與者的網(wǎng)絡(luò)安全狀況。

3.ISO/IEC27000系列標準

ISO和IEC制定并公布了27000系列信息安全管理系統(tǒng)標準，旨在幫助組織機構(gòu)保護其信息資產(chǎn)，包括財務(wù)信息、知識產(chǎn)權(quán)、員工信息、客戶信息以及第三方信息等。自20世紀90年代發(fā)展至今，該系列標準受到跨國公司廣泛采用，其最新版本發(fā)布于2013年，并于2018年2月對信息安全管理系統(tǒng)概況和術(shù)語部分進行了更新。14根據(jù)該系列標準，實施ISO 27001等標準的公司在通過ISO認證機構(gòu)審核后，即可獲得ISO官方認證。

27000系列標準中最重要的兩個組成部分是I S O/IEC27001和ISO/IEC27002。前者規(guī)定了在組織整體業(yè)務(wù)風(fēng)險范圍內(nèi)建立、實施、操作、監(jiān)控、審查、維護和改進正式信息安全管理系統(tǒng)的要求；后者則是建議性的，提供構(gòu)建信息安全管理系統(tǒng)的最佳實踐，以實現(xiàn)因信息的保密性、完整性和可用性受到威脅而產(chǎn)生的信息安全控制目標。與《框架1.1》相似，ISO/IEC27001的適用同樣具有廣泛性和靈活性，其構(gòu)建的信息安全管理系統(tǒng)(ISMS)是一個總體框架，涵蓋所有行業(yè)各種規(guī)模的公共和私人組織機構(gòu)。組織機構(gòu)可根據(jù)自身面臨的風(fēng)險，從ISO/IEC27001附錄A中規(guī)定的信息安全目標與控制列表中選擇最合適的措施。具體而言，組織機構(gòu)首先全面評估其面臨的信息風(fēng)險，使用ISO/IEC27001明確其控制目標，建立和完善ISMS，并利用ISO/IEC27002最佳實踐采取適當?shù)娘L(fēng)險控制措施。

(二)網(wǎng)絡(luò)安全信息共享機制

信息共享是網(wǎng)絡(luò)安全法律規(guī)制的核心內(nèi)容之一。通過信息共享，單一組織機構(gòu)能夠集合在一起，共享網(wǎng)絡(luò)安全風(fēng)險管理的能力、知識和經(jīng)驗，讓組織機構(gòu)更好地了解網(wǎng)絡(luò)安全狀況，包括網(wǎng)絡(luò)罪犯使用的技術(shù)手段。與此同時，信息共享機制的建立讓組織機構(gòu)能夠效仿其他機構(gòu)為防止、檢測、應(yīng)對和恢復(fù)網(wǎng)絡(luò)攻擊而采取的有效措施，從而使單個實體或系統(tǒng)迅速提升對網(wǎng)絡(luò)威脅的應(yīng)對能力，以降低整體系統(tǒng)性風(fēng)險。15此外，監(jiān)管機構(gòu)也可從信息共享機制中受益：通過了解市場參與者面臨的網(wǎng)絡(luò)威脅類型、網(wǎng)絡(luò)安全風(fēng)險管理策略和辦法以及市場參與者總體應(yīng)對水平，確?，F(xiàn)行法律法規(guī)和監(jiān)管措施有效性和適當性。

從國內(nèi)立法層面來看，美國率先建立了綜合性的網(wǎng)絡(luò)安全信息共享法律體系。2015年10月27日，美國參議院正式通過了《2015網(wǎng)絡(luò)安全信息共享法案》(CISA)16，旨在構(gòu)建一個自愿性的網(wǎng)絡(luò)安全信息共享平臺，采取PPP模式17鼓勵公共和私人實體、各級政府以及監(jiān)管機構(gòu)分享網(wǎng)絡(luò)威脅信息。CISA將共享信息分為網(wǎng)絡(luò)威脅指標(CTI)和防御措施(DM)兩類。前者是指那些對于描述或識別惡意偵察、破壞安全控制或利用安全漏洞的方法、安全漏洞、惡意網(wǎng)絡(luò)控制、事件造成的實際或潛在損害、網(wǎng)絡(luò)安全威脅的任何其他屬性等必要的信息18，實踐中CTI包括域名、互聯(lián)網(wǎng)協(xié)議地址、日志數(shù)據(jù)、惡意軟件、數(shù)據(jù)包、端口、簽名、時間戳、統(tǒng)一資源定位符等；后者則是指行動、設(shè)備、程序、簽名、技術(shù)或其他應(yīng)用在信息系統(tǒng)上的措施，或與儲存、處理或傳遞一個旨在偵查、保護或減少網(wǎng)絡(luò)安全威脅或網(wǎng)絡(luò)漏洞的信息系統(tǒng)相關(guān)的信息。19需要指出的是，CISA為信息共享網(wǎng)絡(luò)構(gòu)建掃清了法律障礙，不僅使兩個及以上私人實體間旨在促進網(wǎng)絡(luò)安全威脅防范、調(diào)查或影響消除的信息互換不會違反反壟斷規(guī)則20，而且私人實體為監(jiān)控信息系統(tǒng)采取的行動以及分享或獲取CTI信息也享有法律責(zé)任豁免特權(quán)。21

除此之外，部分監(jiān)管機構(gòu)為減少信息安全事件的發(fā)生，要求金融機構(gòu)向其披露自身遭受的網(wǎng)絡(luò)攻擊等信息安全事件。例如，根據(jù)加拿大《國家指令21-101市場運營》第12.1條(c)款，任何重大系統(tǒng)故障、延遲或安全漏洞應(yīng)向監(jiān)管機構(gòu)匯報，并提供故障、延遲或安全漏洞狀態(tài)的最新信息、內(nèi)部審查結(jié)果以及為恢復(fù)服務(wù)采取的措施。又如，根據(jù)美國證券交易委員會(SEC)2014年11月19日通過的《系統(tǒng)、合規(guī)和完整性規(guī)則》(SCI)，自律監(jiān)管組織(SRO)包括證券交易所、證券業(yè)協(xié)會、清算機構(gòu)以及市政債券規(guī)章制定委員會，應(yīng)通知SEC其發(fā)生的網(wǎng)絡(luò)入侵事件。這種基于風(fēng)險的監(jiān)管方法，有助于監(jiān)管機構(gòu)持續(xù)考察受監(jiān)管實體采取的行動是否有效，并可從中總結(jié)經(jīng)驗，制定更加有效的監(jiān)管規(guī)則。

對于金融業(yè)信息共享網(wǎng)絡(luò)建設(shè)，目前大部分行之有效的信息共享倡議是由私人部門發(fā)起。22其中，影響力較大的是金融服務(wù)信息共享和分析中心(FS-ISAC)，其會員從2004年的68個激增至2015年的5700個。FS-ISAC成立于1999年，總部設(shè)于美國，并在英國、新加坡設(shè)有辦事處，旨在建立全球性金融服務(wù)業(yè)網(wǎng)絡(luò)和物理威脅情報分析與共享平臺，其任務(wù)是分享適時的、相關(guān)的、可操作的網(wǎng)絡(luò)和物理安全信息并加以分析。FS-ISAC每月處理數(shù)千個威脅指標，努力減少網(wǎng)絡(luò)犯罪、黑客活動和國家活動，并與其他行業(yè)機構(gòu)合作，協(xié)助制定和測試金融部門的風(fēng)險管理程序，其共享的信息類型包括：惡意網(wǎng)站，威脅行為人及其目標，威脅指標，網(wǎng)絡(luò)威脅策略、技術(shù)和程序，開發(fā)目標，拒絕服務(wù)攻擊，惡意郵件，軟件弱點以及惡意軟件。

就國際層面的信息共享合作而言，2016年，IOSCO在2002年《關(guān)于協(xié)商、合作和信息交流的多邊諒解備忘錄》(M M o U，曾于2012年修訂)的基礎(chǔ)上，發(fā)布了《關(guān)于加強協(xié)商、合作和信息交流的多邊諒解備忘錄》(EMMoU)，以期進一步加強跨境協(xié)助與信息交換。EMMoU首先明確了信息交流的基本原則——“允許范圍內(nèi)的最大協(xié)助”23，即監(jiān)管機構(gòu)應(yīng)相互提供“允許范圍內(nèi)的最大協(xié)助”，來調(diào)查涉嫌違法行為，以確保遵守和執(zhí)行各自的法律和條例。這里所指的法律和條例幾乎涵蓋證券市場全部領(lǐng)域，也就是說，申請網(wǎng)絡(luò)犯罪協(xié)助與信息共享包含在EMMoU規(guī)則之內(nèi)。與此同時，EMMoU還擴大了信息交換的范圍，使成員可獲取儲存在互聯(lián)網(wǎng)服務(wù)供應(yīng)商以及其他電子通信供應(yīng)商的用戶記錄?？梢灶A(yù)見的是，EMMoU的有效運行將會在一定程度上促進證券監(jiān)管機構(gòu)間跨境執(zhí)法合作和援助，以應(yīng)對近年來全球化和技術(shù)進步帶來的風(fēng)險和挑戰(zhàn)。

(三)網(wǎng)絡(luò)風(fēng)險與網(wǎng)絡(luò)安全事件的信息披露規(guī)則

信息披露制度是上市公司監(jiān)管的重要手段。網(wǎng)絡(luò)風(fēng)險與網(wǎng)絡(luò)安全事件作為可能對公司運營產(chǎn)生重大實質(zhì)性影響的因素，是投資者作出投資決策不可或缺的基本依據(jù)，上市公司應(yīng)及時、準確地予以披露，以消除信息不對稱帶來的負面影響。同時，網(wǎng)絡(luò)風(fēng)險與網(wǎng)絡(luò)安全事件披露，尤其是強制性的信息披露，對于提升企業(yè)在網(wǎng)絡(luò)安全上的投資無疑會起到積極的促進作用。如果不存在其他因素的干預(yù)，企業(yè)不會考慮外部效應(yīng)(如信息泄露對于公眾的影響)而僅依據(jù)自身成本和收益選擇最佳的投資策略。24因此，監(jiān)管者可以通過強制性的信息披露將外部性內(nèi)化，從而迫使企業(yè)加大對網(wǎng)絡(luò)安全領(lǐng)域的投資。

SEC下設(shè)公司融資部工作人員于2011年10月13日發(fā)布了一項上市公司關(guān)于網(wǎng)絡(luò)安全風(fēng)險和事件信息披露的指引(2011年指引)，旨在幫助注冊上市公司履行《1933年證券法》要求的注冊聲明以及《1934年證券交易法》要求的定期報告信息披露義務(wù)。25值得一提的是，盡管2011指引并非一項正式的法律法規(guī)或SEC聲明，但該指引發(fā)布后，許多公司都以風(fēng)險因素的形式披露了其網(wǎng)絡(luò)安全信息。26

2018年2月26日，SEC《上市公司網(wǎng)絡(luò)安全信息披露委員會聲明和指引》(2018年指引)27正式生效。與2011年指引相比，2018年指引除升級成SEC級規(guī)則外，還新增了“網(wǎng)絡(luò)安全政策和程序的重要性”和“網(wǎng)絡(luò)安全語境下內(nèi)幕交易禁止規(guī)則的適用”兩個議題。一方面，公司必須建立和保持適當有效的披露控制程序，使其能夠準確、及時地披露實質(zhì)性信息，包括與網(wǎng)絡(luò)安全有關(guān)的事件；另一方面，指引提醒公司及其董事、高管，以及根據(jù)證券法一般反欺詐條款適用內(nèi)幕交易禁令的其他公司內(nèi)部人士，他們有義務(wù)避免選擇性披露有關(guān)網(wǎng)絡(luò)安全風(fēng)險或事件的重大非公開信息。

從內(nèi)容來看，2018年指引由網(wǎng)絡(luò)安全信息披露規(guī)則和政策程序兩部分組成。前者從風(fēng)險因素、財務(wù)狀況、經(jīng)營業(yè)績、管理層決策和分析、經(jīng)營描述、法律訴訟、財務(wù)報表、董事會風(fēng)險監(jiān)督等常規(guī)披露形式對網(wǎng)絡(luò)安全信息披露作出指引；后者是對上市公司網(wǎng)絡(luò)安全信息披露的監(jiān)督規(guī)則，包括披露控制和程序、內(nèi)幕交易以及選擇性披露規(guī)則。

從操作層面來看，2018年指引要求公司充分考慮網(wǎng)絡(luò)安全風(fēng)險和網(wǎng)絡(luò)安全事件是否構(gòu)成實質(zhì)性信息而應(yīng)予向公眾披露。對于實質(zhì)性的判斷，SEC認為應(yīng)當是一個理性投資者認為該信息對其作出投資決策起到重要作用或者該信息的披露會顯著改變理性投資者可獲得信息的總體組合。在確定網(wǎng)絡(luò)安全風(fēng)險和事件的披露義務(wù)時，公司應(yīng)權(quán)衡所有已識別風(fēng)險的潛在重要性，網(wǎng)絡(luò)安全事件發(fā)生后受損信息的重要性以及對公司運營產(chǎn)生的影響。歸結(jié)起來，網(wǎng)絡(luò)安全風(fēng)險或事件的重要性取決于：(1)性質(zhì)、程度和規(guī)模，尤其是與公司主要業(yè)務(wù)和經(jīng)營范圍的關(guān)系程度；(2)造成危害的范圍，包括對公司信譽、財務(wù)狀況、客戶關(guān)系的影響以及被訴或被監(jiān)管機構(gòu)調(diào)查處罰的可能性。另外，2018年指引特別指出，公司不應(yīng)提供過多關(guān)于其網(wǎng)絡(luò)安全系統(tǒng)、相關(guān)網(wǎng)絡(luò)和設(shè)備或潛在的系統(tǒng)漏洞等技術(shù)細節(jié)，以避免使信息披露成為不法分子破壞公司網(wǎng)絡(luò)安全的“路線圖”；而應(yīng)披露對投資者決策產(chǎn)生實質(zhì)影響的信息，包括網(wǎng)絡(luò)安全風(fēng)險或事件帶來的財務(wù)影響、法律后果和信譽減損等。

三、證券市場網(wǎng)絡(luò)風(fēng)險法律規(guī)制評析及困境

從功能來看，網(wǎng)絡(luò)風(fēng)險管理標準、網(wǎng)絡(luò)安全信息共享制度、網(wǎng)絡(luò)風(fēng)險和網(wǎng)絡(luò)安全事件信息披露規(guī)則三者之間相互聯(lián)系，并從不同維度對證券市場面臨的網(wǎng)絡(luò)風(fēng)險進行規(guī)制。首先，網(wǎng)絡(luò)風(fēng)險管理標準從風(fēng)險管理角度對證券市場參與主體內(nèi)部網(wǎng)絡(luò)安全框架和程序設(shè)定標準，并可通過最佳實踐向參與主體提供可資借鑒的操作范本；其次，網(wǎng)絡(luò)安全信息共享不僅可整合跨行業(yè)甚至跨國公私資源，形成合力，在風(fēng)險發(fā)生時迅速采取應(yīng)對措施，而且在網(wǎng)絡(luò)事件處理實踐中會不斷形成最佳實踐并補充到網(wǎng)絡(luò)風(fēng)險管理標準中去；再次，網(wǎng)絡(luò)風(fēng)險和網(wǎng)絡(luò)安全事件信息披露通過透明度要求敦促證券市場參與主體重視網(wǎng)絡(luò)風(fēng)險，加大其對內(nèi)部網(wǎng)絡(luò)安全體系建設(shè)的投資力度，緩解和消除信息不對稱帶來的金融風(fēng)險；最后，網(wǎng)絡(luò)風(fēng)險管理標準是信息共享和信息披露的基礎(chǔ)，而通過信息共享和信息披露能促進網(wǎng)絡(luò)風(fēng)險管理標準的不斷完善，三者結(jié)合起來形成較為完整的網(wǎng)絡(luò)風(fēng)險法律規(guī)制體系。

證券市場網(wǎng)絡(luò)風(fēng)險法律規(guī)制的發(fā)展趨勢及面臨的困境主要表現(xiàn)為三個方面：

(一)證券市場網(wǎng)絡(luò)風(fēng)險法律規(guī)制的趨同化與軟法化

當下，證券市場網(wǎng)絡(luò)風(fēng)險法律規(guī)制在形式與內(nèi)容上呈現(xiàn)出趨同化的發(fā)展趨勢。從規(guī)制形式來看，信息技術(shù)革新速度快與網(wǎng)絡(luò)風(fēng)險內(nèi)涵和外延的不確定性是證券市場網(wǎng)絡(luò)風(fēng)險法律規(guī)制面臨的兩大挑戰(zhàn)。信息技術(shù)快速升級的同時，網(wǎng)絡(luò)風(fēng)險類型隨之不斷變化，法律天然的滯后性使傳統(tǒng)規(guī)制模式難以應(yīng)對。因此，相比于專門制定并簽訂新的國際條約對網(wǎng)絡(luò)安全加以規(guī)范，國際社會傾向于修改、澄清和細化現(xiàn)有規(guī)則。28如前述CRFMI指南即是對PFMI的細化和延伸；又如EMMoU，也是在IOSCO原有信息交換平臺基礎(chǔ)上進行更新升級，以促進跨境信息互換合作。這樣做的好處不言而喻，即可以節(jié)約造法成本，避免規(guī)則間的相互沖突，但同時也會導(dǎo)致立法不成體系、規(guī)則碎片化地散落在其他條款中的困境，與網(wǎng)絡(luò)安全對于金融市場的極端重要性不相匹配。值得一提的是，大多數(shù)現(xiàn)有規(guī)則和指南以金融部門為導(dǎo)向，部分領(lǐng)域存在立法空白。例如24個FSB成員發(fā)布了針對金融基礎(chǔ)設(shè)施和銀行的網(wǎng)絡(luò)安全規(guī)則或指引，而僅有7個成員對養(yǎng)老基金網(wǎng)絡(luò)安全作出具體規(guī)范。29

從規(guī)制內(nèi)容來看，盡管世界范圍內(nèi)網(wǎng)絡(luò)風(fēng)險管理指引數(shù)量眾多，尚未形成統(tǒng)一的國際標準，但三大核心標準的形成標志著金融市場網(wǎng)絡(luò)風(fēng)險管理規(guī)則向趨同化的方向發(fā)展。更重要的是，三大核心標準與國際上其他現(xiàn)有網(wǎng)絡(luò)原則和指引30保持一致性，且相互之間在主要議題上有著明顯的相似性。大部分指引都會涉及治理結(jié)構(gòu)，風(fēng)險分析與評估，信息安全，安全控制和安全事件防范，專家和訓(xùn)練，監(jiān)控、測試或?qū)彶?，安全事件反?yīng)和恢復(fù)，信息共享，對供應(yīng)商和第三方的管控以及持續(xù)學(xué)習(xí)等議題?？梢姡瑖H社會對于組織機構(gòu)網(wǎng)絡(luò)風(fēng)險規(guī)制框架在一定程度上已形成共識。

除趨同化態(tài)勢外，全球范圍內(nèi)證券市場網(wǎng)絡(luò)安全法律規(guī)制呈現(xiàn)出較強的軟化趨勢，強制性不足是其最顯著的特征。一方面，IOSCO、CPMI等國際金融標準制定機構(gòu)發(fā)布的相關(guān)指引和原則，屬于國際軟法，不具有法律拘束力，其有效執(zhí)行依賴于各國監(jiān)管機構(gòu)的轉(zhuǎn)化適用；另一方面，《框架1.1》以及其他現(xiàn)有網(wǎng)絡(luò)安全風(fēng)險管理指南的適用不具有強制性，監(jiān)管機構(gòu)也未強制要求被監(jiān)管實體適用特定規(guī)則，組織機構(gòu)享有充分的自主選擇權(quán)利。這無疑加大了監(jiān)管機構(gòu)在判斷特定實體網(wǎng)絡(luò)安全合規(guī)性時的難度，賦予監(jiān)管機構(gòu)過大的自由裁量權(quán)，還可能引發(fā)監(jiān)管套利現(xiàn)象。與此同時，無論是依據(jù)國內(nèi)立法CISA構(gòu)建的信息共享平臺還是私人實體主導(dǎo)的FSISAC，均奉行自愿參與的基本原則，軟性規(guī)則成為主流。而在網(wǎng)絡(luò)風(fēng)險和網(wǎng)絡(luò)安全事件信息披露規(guī)則領(lǐng)域，對于是否披露、以何種形式披露、披露到何種程度等關(guān)鍵問題的決策權(quán)掌握在上市公司自己手中。雖然監(jiān)管機構(gòu)仍有權(quán)審查上市公司信息披露情況，但缺少硬法支撐勢必導(dǎo)致其監(jiān)督執(zhí)行力相對有限。在缺乏有力監(jiān)督的情況下，通過非強制性的標準以實現(xiàn)公司自律監(jiān)管無疑是極為困難的。31

(二)網(wǎng)絡(luò)安全信息共享參與主體間的信任困境

幾乎所有的網(wǎng)絡(luò)安全指引都建議組織機構(gòu)在內(nèi)部和外部建立起信息共享機制，通過資源整合共同應(yīng)對網(wǎng)絡(luò)風(fēng)險帶來的挑戰(zhàn)。目前已有的倡議，諸如FS-ISAC這樣較為成功的信息共享網(wǎng)絡(luò)，大多采取自下而上、會員制的基本結(jié)構(gòu)，并且需要一個非常緩慢的構(gòu)建過程。這是因為信息共享制度的基石是內(nèi)部所有參與主體之間較高層次的互相信任，可以說主體間信任程度在極大程度上決定了信息共享網(wǎng)絡(luò)的有效性。

以參與主體為視角，可以更直接反映信任機制的內(nèi)涵。橫向參與者的信任構(gòu)建，即信息共享方之間，包括私人主體間、私人主體與監(jiān)管機構(gòu)間以及不同國家監(jiān)管機構(gòu)間信任構(gòu)建；縱向參與者的信任構(gòu)建，則是信息提供方與信息獲取方之間的信任構(gòu)建?，F(xiàn)階段，不同參與者之間面臨的信任困境有所不同。具體而言：

1.私人主體間

因各自的規(guī)模、網(wǎng)絡(luò)安全控制能力、信息獲取與處理能力以及網(wǎng)絡(luò)威脅程度不同，私人主體各方利益訴求存在較大差異，而且高頻、高標準、大量的信息共享對小公司來說無疑是巨大負擔。更重要的是，許多私人主體間存在競爭關(guān)系，相互間不信任在所難免，更何況共享的網(wǎng)絡(luò)安全相關(guān)信息可能對組織機構(gòu)聲譽產(chǎn)生重大影響，其他私人主體能否恪守保密義務(wù)并將相關(guān)信息僅用于提升網(wǎng)絡(luò)危機應(yīng)對能力就顯得尤為重要。

2.私人主體與監(jiān)管機構(gòu)

兩者之間本就關(guān)系緊張，私人主體會出于擔心特定共享信息成為監(jiān)管機構(gòu)進行處罰的依據(jù)而不愿分享信息或僅分享部分信息，從而降低信息共享機制的有效性。盡管CISA明確規(guī)定了私人實體為監(jiān)控信息系統(tǒng)采取的行動以及分享或獲取CTI信息享有法律責(zé)任豁免特權(quán)，但這僅排除了組織機構(gòu)采取網(wǎng)絡(luò)安全行動而產(chǎn)生的法律責(zé)任，監(jiān)管機構(gòu)仍可以將其所分享的信息用作處罰決定的基本證據(jù)材料。

3.不同國家監(jiān)管機構(gòu)間

網(wǎng)絡(luò)風(fēng)險全球化要求網(wǎng)絡(luò)安全信息共享也應(yīng)全球化，各國監(jiān)管機構(gòu)之間的信任成為不可回避的核心議題。其中，各國國內(nèi)網(wǎng)絡(luò)安全信息共享立法的域外性問題會在相當程度上減損各國監(jiān)管機構(gòu)之間的信任。例如，由于CISA對于CTI和DM的定義極為寬泛，私人實體、政府可收集信息的范圍極大，考慮到數(shù)據(jù)信息流動本身具有域外性的特征，以及跨國公司業(yè)務(wù)特性，美國政府可在未經(jīng)數(shù)據(jù)來源國同意的基礎(chǔ)上獲得大量他國信息。需要特別指出的是，CISA允許CTI信息的二次傳輸，即當某一美國聯(lián)邦政府機構(gòu)(如SEC)獲取CTI后可能會將其分享給美國國家安全局或美國聯(lián)邦調(diào)查局。32斯諾登事件的曝光已將信息監(jiān)聽問題推向了輿論的風(fēng)口浪尖，各國政府間關(guān)于信息合作的政治互信達至冰點狀態(tài)，若國內(nèi)立法的域外性得不到合理限制，無疑會雪上加霜。相比之下，EMMoU則更加尊重信息來源國的知情同意權(quán)和國內(nèi)法律法規(guī)，在信息共享與國內(nèi)法發(fā)生沖突時，信息來源國可以拒絕共享該信息，這種彈性合作方式將在一定程度上緩和不同國家監(jiān)管機構(gòu)間的不信任。

4.被獲取信息方與信息收集方

隱私權(quán)保護是被獲取信息方與信息收集方之間互信的基礎(chǔ)。隱私權(quán)保護與網(wǎng)絡(luò)安全之間的博弈在CISA立法過程中體現(xiàn)得淋漓盡致。根據(jù)CISA對CTI的定義，由于技術(shù)上很難將用戶訪問網(wǎng)站活動從分布式拒絕服務(wù)攻擊訪問中剝離出來，無辜用戶的網(wǎng)頁瀏覽活動將會作為DDoS攻擊信息的一部分進行分享，甚至那些與釣魚攻擊相關(guān)的通信文本，因其構(gòu)成破壞安全控制而被納入CTI范圍之內(nèi)，這樣勢必會對公民個人隱私造成嚴重侵犯。33盡管CISA對信息共享中隱私權(quán)作出了一定限制，如要求私人實體審查并移除可識別特定個人的CTI34，以及所采取的措施應(yīng)滿足“網(wǎng)絡(luò)安全目的”35，但其實際作用十分有限。一方面，CISA并不要求CTI中完全剔除可識別個人信息，除非“確定地知道”該信息與網(wǎng)絡(luò)威脅無關(guān)，也就是說，私人實體仍可基于懷疑共享該信息；另一方面，CISA將“網(wǎng)絡(luò)安全目的”定義為“保護信息系統(tǒng)及系統(tǒng)中儲存、處理或傳輸?shù)男畔⒚馐芫W(wǎng)絡(luò)安全威脅或安全漏洞的影響”36，意味著幾乎所有信息系統(tǒng)的保護措施都可符合“網(wǎng)絡(luò)安全目的”。以至于CISA正式通過后，仍有許多著名互聯(lián)網(wǎng)企業(yè)公開發(fā)表聯(lián)合聲明反對該法案，并強調(diào)“客戶信任至上”“安全不應(yīng)以損害隱私為代價”。37

(三)網(wǎng)絡(luò)風(fēng)險和網(wǎng)絡(luò)安全事件信息披露規(guī)則完善之挑戰(zhàn)

2011年指引發(fā)布至今已近九年，但對上市公司網(wǎng)絡(luò)風(fēng)險和網(wǎng)絡(luò)安全事件有效披露的促進作用十分有限，其有效性受到多方質(zhì)疑。根據(jù)2017年對2168位從事網(wǎng)絡(luò)風(fēng)險和公司風(fēng)險管理活動員工的調(diào)查報告，36%的員工反映公司信息資產(chǎn)的重要丟失并未在公司財務(wù)報告中未予以披露，僅有43%的人員證實各自所在公司會在財務(wù)報表上披露信息資產(chǎn)損失。38即便是小幅升級后的2018年指引，仍飽受批評，市場認為SEC在此議題上作為過于有限。39無論是2011年指引還是2018年指引，均存在披露要求過于寬泛的缺陷，對于上市公司應(yīng)提供多少信息沒有清晰的說明，實際作用有限。可見，網(wǎng)絡(luò)風(fēng)險和網(wǎng)絡(luò)安全事件信息披露規(guī)則的完善面臨許多挑戰(zhàn)，包括：

第一，上市公司對于網(wǎng)絡(luò)風(fēng)險與網(wǎng)絡(luò)安全事件的信息披露動力不足。上市公司出于擔心信息披露對自身聲譽的影響，以及可能帶來的法律訴訟風(fēng)險，諸如客戶信息泄露事件披露伴隨而來的客戶訴訟和賠償，其主動披露的積極性較低。同時，事先全面了解所有可能面臨的網(wǎng)絡(luò)風(fēng)險難度較大，在網(wǎng)絡(luò)安全事件發(fā)生時難以及時發(fā)現(xiàn)并且依賴于第三方供應(yīng)商監(jiān)測和應(yīng)對可能發(fā)生的網(wǎng)絡(luò)事件。如前所述，企業(yè)不會主動將網(wǎng)絡(luò)安全管理措施的外部效應(yīng)納入內(nèi)部投資策略的考慮范疇，使得目前企業(yè)在網(wǎng)絡(luò)安全上的投資水平較低。還有很多企業(yè)并不將網(wǎng)絡(luò)風(fēng)險視作企業(yè)經(jīng)營風(fēng)險從而未將其納入管理層風(fēng)險管控框架。

第二，網(wǎng)絡(luò)安全事件數(shù)據(jù)匱乏。尤其是缺少具有代表性的網(wǎng)絡(luò)安全事件，給監(jiān)管機構(gòu)和企業(yè)帶來了諸多挑戰(zhàn)。對監(jiān)管機構(gòu)來說，幾乎不可能準確量化網(wǎng)絡(luò)安全事件對市場造成的具體影響，導(dǎo)致政府難以判斷是否有必要通過積極措施以及采取何種程度的措施來限制網(wǎng)絡(luò)安全風(fēng)險。同樣，對企業(yè)來說，由于缺乏數(shù)據(jù)，很難正確評估網(wǎng)絡(luò)安全風(fēng)險敞口的預(yù)期成本，從而無法確定網(wǎng)絡(luò)安全投資的最佳水平。

第三，投資者保護與網(wǎng)絡(luò)安全之間存在內(nèi)在矛盾。一方面，信息披露規(guī)則要求披露的信息應(yīng)更加全面、有效、具體，以消除市場上的信息不對稱；另一方面，過于詳細的信息披露，尤其是披露企業(yè)已采取的網(wǎng)絡(luò)安全措施，可能為不法分子進行網(wǎng)絡(luò)攻擊提供指引，這就讓企業(yè)陷入一個兩難境地——將他們置于下一次網(wǎng)絡(luò)攻擊的危險之中還是違反信息披露規(guī)則。40盡管2018年指引建議上市公司避免過多披露技術(shù)層面細節(jié)，但應(yīng)當披露的部分卻過于寬泛，使指引的實際可操作性較低。

四、啟示與借鑒

《國家網(wǎng)絡(luò)空間安全戰(zhàn)略》《網(wǎng)絡(luò)空間國際合作戰(zhàn)略》和《網(wǎng)絡(luò)安全法》的出臺和實施，標志著我國已初步完成網(wǎng)絡(luò)空間法律規(guī)制的頂層設(shè)計。對于證券市場網(wǎng)絡(luò)安全，中國人民銀行、中國證監(jiān)會和中國證券業(yè)協(xié)會始終保持高度關(guān)注，自2005年《證券公司信息技術(shù)管理規(guī)范》出臺以來，持續(xù)發(fā)布了許多與網(wǎng)絡(luò)風(fēng)險規(guī)制相關(guān)的法規(guī)、標準和指引41，以加強對證券基金行業(yè)的信息安全管理要求。特別是自2012年起，平均每年至少有1個相關(guān)規(guī)范出臺，2016～2018年更是發(fā)布了超過5個推薦性行業(yè)標準及強制性管理要求，證監(jiān)會對于行業(yè)信息安全管理監(jiān)管提升到了新高度。盡管如此，針對證券市場網(wǎng)絡(luò)風(fēng)險的規(guī)制仍有進一步完善的空間，具體來說應(yīng)著重考慮以下三個方面：

(一)引入最佳實踐以提升網(wǎng)絡(luò)安全管理標準的可拓展性和靈活性

根據(jù)證券期貨業(yè)信息安全標準規(guī)劃2015年版(以下簡稱2015年規(guī)劃)，全國金融標準化技術(shù)委員會引入PPDRR模型，包括策略、防護、檢測、響應(yīng)和恢復(fù)5個主要部分，并以風(fēng)險評估為指導(dǎo)思想，規(guī)劃構(gòu)建一套適用于證券期貨業(yè)的信息安全標準。這與《框架1.1》等國際主流網(wǎng)絡(luò)安全管理標準具有高度一致性。從2015年規(guī)劃附錄D編制工作規(guī)劃來看，目前已出臺標準僅有6個，占總計劃的五分之一，標準制定仍任重而道遠?？紤]到在全球范圍內(nèi)已有諸多標準，為避免重復(fù)，借鑒已有標準將比另起爐灶更加有效。在制定《證券期貨業(yè)信息安全管理體系要求》時，可采用《框架1.1》最佳實踐模式，在“規(guī)范性引用文件”中將國際上通行有效的標準納入我國網(wǎng)絡(luò)安全管理標準體系，供市場參與者選擇適用。對于“規(guī)范性引用文件”的選擇，則應(yīng)在中立原則的基礎(chǔ)上進行全面分析后再按需采納，避免某一項標準存在缺陷導(dǎo)致的網(wǎng)絡(luò)安全風(fēng)險。42增強標準可拓展性和靈活性，不僅可對因信息科技技術(shù)更迭帶來的網(wǎng)絡(luò)安全新問題及時采取應(yīng)對措施，減輕標準制定滯后性帶來的影響，還能與國際通行標準相接軌，為我國金融機構(gòu)融入全球市場奠定基礎(chǔ)。

(二)完善以證監(jiān)會為核心的網(wǎng)絡(luò)安全信息共享制度

2018年12月出臺的《證券基金經(jīng)營機構(gòu)信息技術(shù)管理辦法》(以下簡稱《辦法》)已于2019年6月1日正式實施，該辦法全面覆蓋了證券基金行業(yè)各類經(jīng)營主體，具有強制性的約束力。根據(jù)《辦法》相關(guān)規(guī)定，證券基金經(jīng)營機構(gòu)應(yīng)履行一系列的網(wǎng)絡(luò)安全信息報告義務(wù)，內(nèi)容包括新建或更換重要信息系統(tǒng)相關(guān)的資料、年度信息技術(shù)管理專項報告以及信息安全事件和調(diào)查處理報告。同時，信息技術(shù)服務(wù)機構(gòu)提供信息技術(shù)服務(wù)時，應(yīng)向證監(jiān)會定期報送相關(guān)資料；并在出現(xiàn)可能對投資者合法權(quán)益或證券期貨市場造成嚴重影響的事件時，立即報告住所地的中國證監(jiān)會派出機構(gòu)。此外，根據(jù)《證券期貨業(yè)信息安全事件報告與調(diào)查處理辦法》，需要履行信息安全事件報告和調(diào)查處理的主體除證券基金經(jīng)營機構(gòu)外，還包括承擔證券期貨市場公共職能的機構(gòu)、承擔證券期貨行業(yè)信息技術(shù)公共基礎(chǔ)設(shè)施運營的機構(gòu)等證券期貨市場核心機構(gòu)及其下屬機構(gòu)。

可見，我國已初步建立起以證監(jiān)會為主導(dǎo)的縱向網(wǎng)絡(luò)安全信息報告制度，但與CISA、FS-ISAC等信息共享機制相比缺陷明顯：首先，本質(zhì)上我國采取的是一種單向的信息報告監(jiān)管機制，而非信息共享，參與主體間的互動非常有限，未能整合公私資源；其次，參與實體有限，《辦法》適用對象不包括證券期貨交易所等金融基礎(chǔ)設(shè)施；最后，從《辦法》條款來看，除網(wǎng)絡(luò)安全事件外，報告信息與CISA中DM更為相似，相較于CISA私人實體與政府間實時CTI信息共享要求，在共享信息范圍和時效上存在不足。

鑒于此，中國人民銀行和證監(jiān)會應(yīng)在吸納PFMI和CRFMI指南的基礎(chǔ)上盡快出臺《金融基礎(chǔ)設(shè)施信息技術(shù)管理辦法》，將FMI納入信息共享制度范疇。同時，進行FMI、證券基金經(jīng)營機構(gòu)、信息技術(shù)服務(wù)機構(gòu)與證監(jiān)會之間實時CTI信息共享的可行性分析，從而擴大信息共享的范圍。對于私人主體間的信息共享，出于對個人隱私權(quán)的保護以及監(jiān)管難度的考慮，現(xiàn)階段不宜輕易放開。更重要的是，限制私人主體間的信息共享，即信息共享僅由信息收集方儲存與保護，不僅可以減輕被獲取信息方與信息收集方之間的信任困境，還可有效阻止涉及個人隱私甚至是國家安全的信息數(shù)據(jù)通過跨國企業(yè)向境外轉(zhuǎn)移。而對于促進參與主體間的互動，目前證監(jiān)會作為網(wǎng)絡(luò)安全信息獲取的終端集成者，可在統(tǒng)籌分析的基礎(chǔ)上，建立證券期貨行業(yè)信息系統(tǒng)應(yīng)急案例庫，向參與者分享網(wǎng)絡(luò)風(fēng)險管控的最佳實踐。也就是說，盡管橫向私人主體間的互動被阻斷，但證監(jiān)會仍可通過典型網(wǎng)絡(luò)安全案例使整個信息共享體系活躍起來。此外，證監(jiān)會應(yīng)以《網(wǎng)絡(luò)空間國際合作戰(zhàn)略》為指導(dǎo)原則，積極參與國際層面網(wǎng)絡(luò)安全信息共享合作，合理利用EMMoU平臺，從而減輕網(wǎng)絡(luò)風(fēng)險對國內(nèi)證券市場的負面影響。

(三)盡快填補上市公司網(wǎng)絡(luò)風(fēng)險和網(wǎng)絡(luò)安全事件信息披露規(guī)則的空白

信息披露規(guī)則完善是我國證券市場注冊制改革的核心議題之一。目前，上市公司網(wǎng)絡(luò)風(fēng)險和網(wǎng)絡(luò)安全事件信息披露存在立法空白，有關(guān)部門應(yīng)盡快出臺相應(yīng)規(guī)則加以規(guī)范。

國際實踐中，上市公司關(guān)于網(wǎng)絡(luò)安全的信息披露大多采取風(fēng)險因素的形式，內(nèi)容多以商標和信譽減損、對商業(yè)的損害程度、數(shù)據(jù)泄露的后果，公司為維持信息技術(shù)系統(tǒng)安全有效的開銷及其對經(jīng)營業(yè)績的負面影響，網(wǎng)絡(luò)安全法律法規(guī)變化帶來的潛在負面影響，以及上市公司為減輕網(wǎng)絡(luò)風(fēng)險而采取措施的基本信息為主。相比于定量分析，上市公司多采取定性分析的方式進行披露。因此，有關(guān)部門在制定相關(guān)規(guī)則指引時，應(yīng)重點考慮：(1)上市公司面臨網(wǎng)絡(luò)風(fēng)險的原因；(2)網(wǎng)絡(luò)風(fēng)險的來源和性質(zhì)以及風(fēng)險發(fā)生路徑；(3)網(wǎng)絡(luò)事件可能帶來的后果，包括對上市公司聲譽和客戶信任的影響、對利益相關(guān)方和其他第三方的影響、網(wǎng)絡(luò)事件后恢復(fù)成本、上市公司損害賠償訴訟、上市公司內(nèi)部信息披露控制的影響等；(4)減輕網(wǎng)絡(luò)風(fēng)險的保護措施和管理策略的適當性。

就操作層面而言，深滬交易所應(yīng)針對特定行業(yè)制定信息披露指引，尤其是網(wǎng)絡(luò)風(fēng)險敞口較高的行業(yè)，如互聯(lián)網(wǎng)企業(yè)、金融機構(gòu)等，以填補網(wǎng)絡(luò)風(fēng)險和網(wǎng)絡(luò)安全事件信息披露規(guī)則空白。在必要時，再由證監(jiān)會以出臺《公開發(fā)行證券的公司信息披露編報規(guī)則——網(wǎng)絡(luò)風(fēng)險信息披露特別規(guī)定》的形式，完善并系統(tǒng)化構(gòu)建網(wǎng)絡(luò)風(fēng)險和網(wǎng)絡(luò)安全事件的信息披露規(guī)則。

[基金項目：2019年度福建省社科規(guī)劃省法學(xué)會專項“金融科技的勃興與監(jiān)管科技運用的法律路徑”(FJ2019TWFB05)]

注釋

1. 本文所指網(wǎng)絡(luò)，英文翻譯為Cyber而非Network。中共中央網(wǎng)絡(luò)安全和信息化委員會辦公室官方英文翻譯采用的也是Cyberspace的表述。在我國網(wǎng)絡(luò)安全管理相關(guān)標準及法規(guī)中，多采用“信息技術(shù)管理”“信息系統(tǒng)安全管理”的表述。從《網(wǎng)絡(luò)安全法》視閾來看，網(wǎng)絡(luò)安全(Cyber Security)應(yīng)是信息技術(shù)、信息系統(tǒng)安全的上位概念。為與現(xiàn)行標準和法規(guī)保持一致，本文不對網(wǎng)絡(luò)安全、信息系統(tǒng)安全做詳細區(qū)分。關(guān)于信息安全、網(wǎng)絡(luò)安全及賽博安全相關(guān)詞匯之間的關(guān)系與區(qū)別，參見謝宗曉. 信息安全、網(wǎng)絡(luò)安全及賽博安全相關(guān)詞匯辨析[J]. 中國標準導(dǎo)報, 2015, (12): 30-32.

2. 盡管國際社會對于網(wǎng)絡(luò)風(fēng)險及其相關(guān)概念的內(nèi)涵和外延仍存在爭議，但部分詞匯定義已形成一定共識。金融穩(wěn)定理事會于2018年11月12日發(fā)布了網(wǎng)絡(luò)詞匯表，對與網(wǎng)絡(luò)相關(guān)的重要詞匯進行定義。其中，網(wǎng)絡(luò)風(fēng)險被定義為網(wǎng)絡(luò)事件發(fā)生概率及其影響的組合。See FSB. Cyber lexicon[EB/OL].(2018-11-12)[2019-08-29]. https://www.fsb.org/wp-content/uploads/P121118-1.pdf.

3. See IOSCO&WFE. Cyber-crime, securities markets and systemic risk[EB/OL]. (2013-07-15)[2019-09-12]. https://www.iosco.org/library/pubdocs/pdf/IOSCOPD460.pdf.

4. See Verizon. 2019 Data breach investigations report[EB/OL]. (2019-08-20)[2019-09-30]. https://enterprise.verizon.com/resources/reports/2019-data-breach-investigations-report.pdf.

5. See Nick Eubanks. The true cost of cybercrime for businesses[EB/OL]. (2017-07-13)[2019-09-23]. https://www.forbes.com/sites/theyec/2017/07/13/the-true-cost-of-cybercrime-forbusinesses/#6c0453c44947.

6. 系統(tǒng)性風(fēng)險是指金融服務(wù)中斷的風(fēng)險，即(1)由金融系統(tǒng)的全部或部分受損引起；(2)可能對實體經(jīng)濟產(chǎn)生嚴重負面影響。See International Monetary Fund, the Bank for International Settlements, and the Financial Stability Board. Guidance to assess the systemic importance of financial institutions, markets and instruments: initial considerations[EB/OL]. (2009-11-7)[2019-09-27]. https://www.bis.org/publ/othp07.pdf.

7. See CPMI. Cyber resilience in financial market infrastructures [EB/OL]. (2014-11-11)[2019-09-27]. https://www.bis.org/cpmi/publ/d122.pdf.

8. See IOSCO. Securities markets risk outlook 2016[EB/OL]. (2016-03-02)[2019-09-30]. https://www.iosco.org/library/pubdocs/pdf/IOSCOPD527.pdf.

9. See IOSCO. Cyber task force final report[EB/OL]. (2019-6-18)[2019-10-04]. https://www.iosco.org/library/pubdocs/pdf/IOSCOPD633.pdf.

10.See NIST. Framework for improving critical infrastructure cybersecurity version 1.1[EB/OL].(2018-04-16)[2019-10-13]. https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.04162018.pdf.

11. 參見左曉棟, 周亞超. NIST發(fā)布新標準對工控系統(tǒng)安全影響深遠[J]. 信息安全與通信保密, 2014, (6): 54-56.

12. See CPMI&IOSCO. Guidance on cyber resilience for financial market infrastructures[EB/OL].(2016-06-29)[2019-10-18]. https://www.bis.org/cpmi/publ/d146.pdf.

13. 結(jié)算終局性是指資產(chǎn)或金融工具不可撤銷和無條件轉(zhuǎn)讓，或金融基礎(chǔ)設(shè)施及其參與者根據(jù)基礎(chǔ)合同條款履行義務(wù)。結(jié)算終局性是信用風(fēng)險、流動性風(fēng)險、市場風(fēng)險和法律風(fēng)險在交易各方之間進行分配的基礎(chǔ)。

14. See ISO. ISO/IEC 27000[EB/OL].(2018-02)[2019-11-12]. https://standards.iso.org/ittf/PubliclyAvailableStandards/c073906_ISO_IEC_27000_2018_E.zip.

15. See Zheng D E, LewisJ A. Cyber threat information sharing: recommendations for congress and the administration[EB/OL]. (2015-03-10)[2019-11-10]. https://csisprod.s3.amazonaws.com/s3fspublic/legacy_files/files/publication/150310_cyberthreatinfosharing.pdf.

16. H.R. 2029, 114th Cong., div. N, tit. I §§ 101-111(2015).

17. PPP模式(Public-Private-Partnership),指政府與私人組織之間，為提供某種公共物品和服務(wù)，以特許權(quán)協(xié)議為基礎(chǔ)，彼此之間形成一種伙伴式的合作關(guān)系。

18. H.R. 2029, 114th Cong., div. N, tit. I § 102(6).

19. H.R. 2029, 114th Cong., div. N, tit. I § 102(7).

20. H.R. 2029, 114th Cong., div. N, tit. I § 104(e).

21. H.R. 2029, 114th Cong., div. N, tit. I § 106.

22. See IOSCO. Cyber security in securities markets—an international perspective[EB/OL]. [2016-4-2]. https://www.iosco.org/library/pubdocs/pdf/IOSCOPD528.pdf.

23. 根據(jù)EMMoU第1條第2項，“允許范圍內(nèi)的最大協(xié)助”是指監(jiān)管機構(gòu)職權(quán)范圍內(nèi)任何形式的協(xié)助，無論這種協(xié)助是否在EMMoU中列明。

24. See Gordon L A, et al. Externalities and the magnitude of cyber security underinvestment by private sector firms: amodification of the Gordon-Loeb model[J]. Journal of Information Security, 2015, 6(1): 25-26.

25. See SEC. CF disclosure guidance: topic no. 2— cybersecurity [EB/OL]. (2011-10-13)[2019-11-25].https:// www.sec.gov/divisions/corpfin/guidance/ cfguidance-topic2.htm.

26. 例如，Willis North America公司在2013年發(fā)布的一份報告中發(fā)現(xiàn)，《財富》500強公司中約有88%的上市公司和《財富》501～1000強公司中約有78%的公司在2012年提交的年度報告中披露了網(wǎng)絡(luò)安全方面的風(fēng)險因素。2015年，88%羅素3000標的公司在其信息披露報告中將網(wǎng)絡(luò)安全視為風(fēng)險。

27. See SEC. Commission statement and guidance on public company cybersecurity disclosures[EB/OL]. (2018-2-26)[2019-12-02]. https://www.federalregister.gov/documents/2018/02/26/2018-03858/commission-statement-and-guidance-on-public-company-cybersecuritydisclosures.

28. See Shackleford S J. Managing cyber attacks in international law, business and relations: in search of cyber peace[M]. Cambridge University Press, 2014: 647.

29. See FSB. Stocktake of publicly released cybersecurity regulations, guidance and supervisory practices[EB/OL].(2017-10-13)[2019-11-13]. https://www.fsb.org/wp-content/uploads/P131017-2.pdf.

30. 除三大核心標準外，重要的網(wǎng)絡(luò)安全相關(guān)指南包括：七國集團(G7)發(fā)布的金融部門網(wǎng)絡(luò)安全核心要素，美國信息系統(tǒng)審計與控制協(xié)會(ISACA)發(fā)布的信息和相關(guān)技術(shù)控制目標(COBIT)，美國聯(lián)邦金融機構(gòu)審查委員會(FFIEC)發(fā)布的網(wǎng)絡(luò)安全評估工具等。

31. See JohnsonK N. Governing financial markets: regulating conflicts[J]. Washington Law Review, 2013, (1): 187-189.

32. See Open Tech. Inst. Omnibus funding bill is a privacy and cybersecurity failure[EB/OL]. (2015-12-16)[2019-12-10]. https://www.newamerica.org/oti/omnibus-funding-bill-is-a-privacy-andcybersecurity-failure/.

33. 參見方婷, 李欲曉. 安全與隱私——美國網(wǎng)絡(luò)安全信息共享的立法博弈分析[J]. 西安交通大學(xué)學(xué)報(社會科學(xué)版), 2016, (1): 72.

34. H.R. 2029, 114th Cong., div. N, tit. I § 103(d)(2).

35. H.R. 2029, 114th Cong., div. N, tit. I § 103(d)(3).

36. H.R. 2029, 114th Cong., div. N, tit. I § 102(4).

37. 參見宋國濤. 試析美國網(wǎng)絡(luò)安全信息共享法案[J]. 保密科學(xué)技術(shù), 2016, (6): 29.

38. SeeJackson R J Jr. Statement on commission statement and guidance on public company cybersecurity disclosures[EB/OL].(2018-02-21) [2019-12-15].https://www.sec.gov/news/public-statement/statement-jackson-2018-02-21.

39. See SteinK M. Statement on commission statement and guidance on public company cybersecurity disclosures[EB/OL]. (2018-02-21)[2019-12-26].https://www.sec.gov/news/public-statement/statementstein-2018-02-21#_edn14.

40. See Bronstein J. The balance between informing investors and protecting companies: a look at the division of corporate finance’s recent guidelines on cybersecurity disclosure requirements[J]. North Carolina Journal of Law & Technology, 2012, (13): 259.

41. 這些法規(guī)、標準和指引主要包括：2005年《證券公司信息技術(shù)管理規(guī)范》，2007年《關(guān)于做好證券業(yè)重要信息系統(tǒng)安全等級保護定級工作的通知》，2011年《證券期貨經(jīng)營機構(gòu)信息系統(tǒng)備份能力標準》，2012年《證券期貨業(yè)信息安全保障管理辦法》《證券期貨業(yè)信息安全事件報告與調(diào)查處理辦法》《金融行業(yè)信息系統(tǒng)信息安全等級保護實施指引》，2013年《證券期貨業(yè)信息系統(tǒng)運維管理規(guī)范》，2014年《證券期貨業(yè)信息系統(tǒng)審計規(guī)范》，2016年《證券期貨業(yè)信息系統(tǒng)托管基本要求》《證券期貨業(yè)信息系統(tǒng)審計指南》(第1-7部分)，2018年《證券基金經(jīng)營機構(gòu)信息技術(shù)管理辦法》《證券期貨業(yè)數(shù)據(jù)分類分級指引》《證券期貨業(yè)機構(gòu)內(nèi)部企業(yè)服務(wù)總線實施規(guī)范》。

42. 參見李琪.從標準化角度看NIST網(wǎng)絡(luò)安全框架[C]//中國標準化協(xié)會. 第十四屆中國標準化論壇論文集.北京:《中國學(xué)術(shù)期刊(光盤版)》電子雜志社, 2017: 787.