作者:钱一心 Melody Qian – 诺德保险经纪有限公司大中华区高级副总裁 – 全球专业及金融风险部负责人
新冠疫情使全球数字化转型的进程加快并称为焦点;人工智能、区块链、物联网和虚拟现实等突破性技术也正在重新塑造我们的未来。与此同时,新经济和新技术也带来新的安全、隐私和道德上的挑战。毕马威网络安全服务主管说:网络黑客始终能够完成入侵,企业不得不接受此现实。关键在于要减少其入侵的时长,以及发现黑客入侵行为所需的时间。对于SPAC以及SPAC的发起人来讲,虽然自身的网络安全风险较低,但在de-SPAC过程中也必须积极识别、分析和管理此风险。
SEC新规要求企业披露
2023年7月26日,美国证券交易委员会(SEC)通过旨在加强和规范与网络安全相关的讯息披露修正案。修正案要求上巿公司如发生重大网络安全事件,必须使用8-K表格予以及时披露,并须在10-K年表格中披露公司有关网络安全风险的风险管理和治理的具体讯息。
而美国以外的发行人(即”Foreign Private Issuers”/”外国私人发行人”)则需在20-F年报表格中,披露与美国国内公司同样的有关网络安全风险管理和治理方面的讯息:不过,在使用6-K表格公告重大网络安全风险事件时,则要适用外国私人发行人注册地或所在地的法律是否有相同披露要求为前置条件。
SEC主席表示:”无论企业因火灾引致财产损毁,抑或网络安全事件导致数百万数据或档案遗失,都可能对投资人产生实质性的影响。网络安全威胁和重大安全事件对上巿公司、投资人和巿场参与者构成持续的风险。”
SolarWinds及CISO遭起诉
2020年12月,美国政府机构与企业遭遇有史以来最大的网络安全威胁,其核心源于网络监控产品SolarWinds Orion平台的安全漏洞被利用,黑客间接入侵锁定的目标对象。最终包括美国五角大楼、国务院、国土安全部、财政部、商务部等多个政府部门确认遭黑客入侵。
2023年10 月23日,SEC对SolarWinds及其首席信息安全官(CISO)提出诉讼,指控SolarWinds于2018年10月的公开上巿至2020年12月的公告文件中夸大公司网络安全措施、低估或隐暪已知的安全漏洞和安全风险,行为构成欺诈。
另外,SEC根据SolarWinds公司内部沟通文件进一步指控CISO未能及时处理并解决网络安全风险隐患,包括漏洞未及时修补、远程接入存在安全隐患、关键系统与数据的访问权限不合理等,要求CISO在网络安全事件中承担个人责任。这也是SEC第一次因网络安全缺陷导致公司内控失败、无法保护其关键资产而起诉公司及CISO。
SPAC发起人往往由于规模有限,对目标公司的评估通常专注于业务模式和财务状况,容易把数据安全和网络安全置于次要地位,甚至不闻不问。其实网络安全风险早已成为企业合并或上巿过程中不可忽略的环节。2016年7月雅虎(Yahoo!)与美国通讯巨头Verizon达成48亿美元的合并协议并对外公布,而2017年雅虎先后两次披露公司于2013年8月因黑客攻击造成总共30亿用户数据的泄露。最终Verizon把收购价由48亿美元重新谈判至44.8亿美元。
在de-SPAC过程中,假如完成合并后的新公司在上巿交易后未披露已知或应知的网络安全缺陷,甚至重大网络安全事件,新公司和/或其管理层以及SPAC的董事将面临监管调查/诉讼或民事诉讼的风险。因此SPAC发起人须在de-SPAC过程中积极管理网络安全风险,包括:
- 对目标公司尽调覆盖数据和网安记录及管理
针对数据资产价值占比较高或网络安全对企业营运重要性较高的目标企业,SPAC发起人必须在常规法律的尽职调查中覆盖数据合规和网络安全的内容,包括但不限于:评价企业拥有的数据资产及相应的保护措施,了解企业数据和网络安全保护的工具、技术和流程,审查企业在网络安全方面的实践,如企业响应计划、漏洞评估、渗透测试等。另外,发起人还应进一步对目标公司询问有关可疑或已知的漏洞利用、数据泄漏或网络安全事件。
- 对目标公司尽调覆盖数据和网安记录及管理
- 助目标公司理解并重视网安风险披露
目标公司由私人企业转为上巿公司时,对于上巿后的持续合规责任可能相对陌生。当上巿地为美国时,目标公司还需特别留意本土发行人和外国发行人在法律适用上的差异,包括SEC网络安全风险披露新规。此外,当目标公司掌握大量数据资产时,还要特别留意各个国家对数据和私隐保障的法例适用,譬如欧盟《通用数据保障条例》(GDPR)同样适用于向欧盟境内个人提供商品或服务的境外企业。
- 助目标公司理解并重视网安风险披露
- 保险的风险转嫁:董责险vs网络安全险
通常SPAC都会通过购买董责险(D&O)来保障公司董事及管理人员履行其职责时面临的个人法律责任风险,包括于de-SPAC过程中对目标公司的尽职调查不够充分或对股东的披露存在误导。SPAC发起人在购买D&O时应确保网络风险没有被剔除,并应保障董事或管理人员因网络相关的讯息披露或安全事件而面临的管理责任调查或诉讼。
- 保险的风险转嫁:董责险vs网络安全险
另外,目标公司可通过购买网络安全保险(cyber)作为风险转嫁的手段,保障目标公司的第一方财务损失,如赎金、利润损失、数据或系统恢复费用、法证调查费用等;以及对目标公司及相关人员违反数据保护或监管的调查或诉讼。
原文访问刊于2024年5月20日香港信报 – 理财投资专栏