證券市場(chǎng)網(wǎng)絡(luò)風(fēng)險(xiǎn)的法律規(guī)制研究
——以國際實(shí)踐新發(fā)展為視角

周聖

(廈門大學(xué)法學(xué)院，福建 廈門 361005)

一、問題的提出：網(wǎng)絡(luò)風(fēng)險(xiǎn)——一個(gè)日益加劇的系統(tǒng)性風(fēng)險(xiǎn)

眾所周知，證券市場(chǎng)一直以來都處于網(wǎng)絡(luò)1技術(shù)發(fā)展的前端。當(dāng)下絕大部分的證券交易是通過純粹的電子系統(tǒng)進(jìn)行的，信息技術(shù)的高速發(fā)展在帶來低成本、高效、便捷的同時(shí)，也伴隨著風(fēng)險(xiǎn)產(chǎn)生，并隨著技術(shù)的不斷提升與日俱增。網(wǎng)絡(luò)風(fēng)險(xiǎn)2被廣泛認(rèn)為是當(dāng)今金融市場(chǎng)面臨的最大威脅之一。國際證監(jiān)會(huì)組織(IOSCO)和世界證券交易所聯(lián)合會(huì)(WFE)對(duì)全球46家證券交易所的一份調(diào)查顯示，53%的交易所曾經(jīng)歷過至少一次網(wǎng)絡(luò)攻擊。3與其他報(bào)告相類似，威瑞森(Verizon)數(shù)據(jù)泄露調(diào)查報(bào)告持續(xù)將金融業(yè)列為受網(wǎng)絡(luò)安全事件影響的前三大行業(yè)之一。4預(yù)計(jì)到2021年，網(wǎng)絡(luò)犯罪每年造成的損失將高達(dá)6萬億美元。5

更重要的是，網(wǎng)絡(luò)風(fēng)險(xiǎn)本質(zhì)上是系統(tǒng)性的，網(wǎng)絡(luò)攻擊可能產(chǎn)生影響整個(gè)金融系統(tǒng)乃至更廣泛實(shí)體經(jīng)濟(jì)的重要連鎖反應(yīng)。6原因包括：第一，金融市場(chǎng)使用信息技術(shù)的程度不斷加深；第二，金融市場(chǎng)參與者相互之間的依賴性和關(guān)聯(lián)性不斷增長；第三，網(wǎng)絡(luò)攻擊者及其動(dòng)機(jī)變得更加多樣化，使威脅來源更加難以預(yù)測(cè)。7因此，IOSCO新興風(fēng)險(xiǎn)委員會(huì)和秘書處研究部在其2015～2016年證券市場(chǎng)風(fēng)險(xiǎn)展望中，將網(wǎng)絡(luò)風(fēng)險(xiǎn)確定為一項(xiàng)潛在的重要系統(tǒng)性風(fēng)險(xiǎn)。8

可以預(yù)見的是，網(wǎng)絡(luò)風(fēng)險(xiǎn)對(duì)于證券市場(chǎng)來說將會(huì)變得越來越普遍，這就需要國際社會(huì)加強(qiáng)合作，對(duì)網(wǎng)絡(luò)風(fēng)險(xiǎn)進(jìn)行必要的法律規(guī)制，以維護(hù)證券市場(chǎng)安全、穩(wěn)定、有效的運(yùn)行。

二、證券市場(chǎng)網(wǎng)絡(luò)風(fēng)險(xiǎn)法律規(guī)制動(dòng)態(tài)考察

隨著世界各國對(duì)網(wǎng)絡(luò)風(fēng)險(xiǎn)認(rèn)識(shí)程度的不斷加深，越來越多的國際組織和政府針對(duì)網(wǎng)絡(luò)風(fēng)險(xiǎn)采取了必要的法律規(guī)制措施。從既有實(shí)踐來看，證券市場(chǎng)網(wǎng)絡(luò)風(fēng)險(xiǎn)與其他金融行業(yè)相比并無本質(zhì)區(qū)別，但證券市場(chǎng)網(wǎng)絡(luò)風(fēng)險(xiǎn)規(guī)制手段更為豐富，不僅包括可普遍適用于金融市場(chǎng)各行業(yè)的網(wǎng)絡(luò)風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)、網(wǎng)絡(luò)安全信息共享機(jī)制，還包括上市公司網(wǎng)絡(luò)風(fēng)險(xiǎn)和網(wǎng)絡(luò)安全事件信息披露規(guī)則。

(一)網(wǎng)絡(luò)風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)指南：三大核心標(biāo)準(zhǔn)

根據(jù)金融穩(wěn)定理事會(huì)(FSB)2017年盤點(diǎn)報(bào)告，目前三大核心標(biāo)準(zhǔn)(Core Standards)——《增強(qiáng)關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全框架》(NIST框架)、《金融市場(chǎng)基礎(chǔ)設(shè)施建設(shè)的網(wǎng)絡(luò)恢復(fù)力指南》(CRFMI指南)以及ISO/IEC27000系列標(biāo)準(zhǔn)，是FSB成員適用最廣泛的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)，這也在一定程度上促進(jìn)了金融領(lǐng)域網(wǎng)絡(luò)安全監(jiān)管的一致性。9此外，三大核心標(biāo)準(zhǔn)間不存在規(guī)則沖突，監(jiān)管當(dāng)局和市場(chǎng)參與者可自由選擇。

比較而言，三大核心標(biāo)準(zhǔn)在網(wǎng)絡(luò)風(fēng)險(xiǎn)管理措施上有相似性，但又各有側(cè)重、各具特色。NIST框架和CRFMI指南的獲取和使用是免費(fèi)的，前者為組織機(jī)構(gòu)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理提供框架指引，并且可吸納諸多其他標(biāo)準(zhǔn)，具有極強(qiáng)的可拓展性；后者則是針對(duì)金融市場(chǎng)基礎(chǔ)設(shè)施網(wǎng)絡(luò)風(fēng)險(xiǎn)管理提出基本原則和操作指引，作為金融市場(chǎng)基礎(chǔ)設(shè)施原則(PFMI)的補(bǔ)充。而ISO/IEC27000系列標(biāo)準(zhǔn)的使用并不免費(fèi)，但組織機(jī)構(gòu)可申請(qǐng)ISO認(rèn)證，ISO作為獨(dú)立的第三方，其認(rèn)證結(jié)果是判斷內(nèi)部與外部供應(yīng)商網(wǎng)絡(luò)安全體系的重要依據(jù)。

1.《增強(qiáng)關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全框架》

根據(jù)時(shí)任總統(tǒng)奧巴馬頒布的第13636號(hào)行政命令，美國國家標(biāo)準(zhǔn)與技術(shù)研究所(NIST)于2014年2月12日發(fā)布了《增強(qiáng)關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全框架(1.0版)》，面向關(guān)鍵基礎(chǔ)設(shè)施運(yùn)營商，基于風(fēng)險(xiǎn)建立了一個(gè)行業(yè)標(biāo)準(zhǔn)與最佳實(shí)踐相結(jié)合的非強(qiáng)制性指引框架，以應(yīng)對(duì)不斷升級(jí)的網(wǎng)絡(luò)風(fēng)險(xiǎn)。隨后，NIST公開征求框架實(shí)施意見，并于2016年、2017年連續(xù)舉辦研討會(huì)收集各方反饋信息，發(fā)布兩份新框架草案供公眾討論，最終在2018年4月16日正式發(fā)布《增強(qiáng)關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全框架(1.1版)》(以下簡稱《框架1.1》)。與1.0版相比，新框架在驗(yàn)證和識(shí)別、網(wǎng)絡(luò)安全風(fēng)險(xiǎn)自我評(píng)估、供應(yīng)商網(wǎng)絡(luò)安全管理以及漏洞披露等部分進(jìn)行了改進(jìn)和優(yōu)化。

從內(nèi)容上看，《框架1.1》10主要包含三個(gè)部分，即核心策略(Core)、實(shí)施層級(jí)(Implementation Tiers)和指標(biāo)集(Profile)。

首先，核心策略是一組涵蓋網(wǎng)絡(luò)安全管理程序、預(yù)期目標(biāo)和參考標(biāo)準(zhǔn)的規(guī)劃表，旨在指導(dǎo)機(jī)構(gòu)逐步建立網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理體系。核心策略按照功能、類、子類和參考文件的順序展開，并確立了應(yīng)對(duì)網(wǎng)絡(luò)攻擊的五大功能性程序：識(shí)別、保護(hù)、檢測(cè)、響應(yīng)和恢復(fù)。這與我國專家提出的預(yù)警、保護(hù)、檢測(cè)、響應(yīng)、恢復(fù)、反擊具有相似性。11類是對(duì)五大功能進(jìn)行劃分后的網(wǎng)絡(luò)安全要素，子類則是對(duì)類的進(jìn)一步細(xì)分，并將參考文件，即現(xiàn)有的國際標(biāo)準(zhǔn)、指南和最佳實(shí)踐，與子類一一對(duì)應(yīng)，作為機(jī)構(gòu)在制定、完善其網(wǎng)絡(luò)安全管理程序時(shí)的重要參考。目前，《框架1.1》附錄A將5個(gè)功能細(xì)分為23個(gè)類和108個(gè)子類，每個(gè)子類代表著一個(gè)特定網(wǎng)絡(luò)安全目標(biāo)，機(jī)構(gòu)可通過借鑒羅列在參考文件中的指南和最佳實(shí)踐達(dá)成前述目標(biāo)。

其次，實(shí)施層級(jí)是對(duì)組織機(jī)構(gòu)內(nèi)部網(wǎng)絡(luò)風(fēng)險(xiǎn)管理能力成熟度的分級(jí)標(biāo)準(zhǔn)，由低到高包括部分實(shí)施級(jí)、風(fēng)險(xiǎn)預(yù)知級(jí)、可重復(fù)實(shí)施級(jí)以及自動(dòng)適應(yīng)級(jí)四個(gè)層級(jí)。最后，指標(biāo)集是指組織機(jī)構(gòu)根據(jù)自身業(yè)務(wù)需求、風(fēng)險(xiǎn)容忍度及可利用資源，從《框架1.1》核心策略表中挑選出適應(yīng)自身情況的類和子類，并進(jìn)行合理編排以形成與機(jī)構(gòu)發(fā)展現(xiàn)狀相匹配的風(fēng)險(xiǎn)管理措施，進(jìn)而實(shí)現(xiàn)標(biāo)準(zhǔn)、指南、最佳實(shí)踐與核心策略的一致性。機(jī)構(gòu)分別建立當(dāng)前指標(biāo)集(Current Profile)和目標(biāo)指標(biāo)集(Target Profile)，前者代表著當(dāng)前機(jī)構(gòu)網(wǎng)絡(luò)安全狀況，而后者則是指機(jī)構(gòu)未來預(yù)期想要達(dá)成的網(wǎng)絡(luò)安全目標(biāo)。通過比對(duì)當(dāng)前指標(biāo)集和目標(biāo)指標(biāo)集之間類與子類的區(qū)別，機(jī)構(gòu)能夠直觀發(fā)現(xiàn)兩者間現(xiàn)存差距，并進(jìn)行自我評(píng)估，為不斷完善網(wǎng)絡(luò)安全風(fēng)險(xiǎn)防范程序指引方向。

總體而言，《框架1.1》以業(yè)務(wù)需求為內(nèi)在邏輯指導(dǎo)機(jī)構(gòu)內(nèi)部網(wǎng)絡(luò)安全活動(dòng)的開展，并將網(wǎng)絡(luò)風(fēng)險(xiǎn)視為機(jī)構(gòu)內(nèi)部風(fēng)險(xiǎn)管理程序不可或缺的重要部分。更難能可貴的是，《框架1.1》的適用頗具彈性和可擴(kuò)展性。一方面，框架倡導(dǎo)的網(wǎng)絡(luò)風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)并非是一套適用于全部機(jī)構(gòu)、完全一致的規(guī)則，而是不同機(jī)構(gòu)可根據(jù)各自面臨的各種威脅和漏洞，自主選擇網(wǎng)絡(luò)安全目標(biāo)，采取契合自身實(shí)情的網(wǎng)絡(luò)風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)程序。這就使得各機(jī)構(gòu)，無論規(guī)模幾何、網(wǎng)絡(luò)風(fēng)險(xiǎn)敞口大小或網(wǎng)絡(luò)安全管理復(fù)雜性程度高低，都能運(yùn)用風(fēng)險(xiǎn)管理的基本原則和最佳實(shí)踐以消除或減輕網(wǎng)絡(luò)風(fēng)險(xiǎn)帶來的負(fù)面影響。另一方面，核心策略中的參考文件并非一成不變，可以進(jìn)行不斷擴(kuò)充，以增強(qiáng)框架的現(xiàn)實(shí)可操作性。目前《框架1.1》參考文件中選取了5個(gè)標(biāo)準(zhǔn)化組織、行業(yè)協(xié)會(huì)制定的標(biāo)準(zhǔn)、指南和最佳實(shí)踐，包括美國網(wǎng)絡(luò)安全理事會(huì)(CCS)發(fā)布的關(guān)鍵安全控制點(diǎn)標(biāo)準(zhǔn)(CSC)，美國信息系統(tǒng)審計(jì)與控制協(xié)會(huì)(ISACA)發(fā)布的信息和相關(guān)技術(shù)控制目標(biāo)(COBIT)，國際標(biāo)準(zhǔn)化組織(ISO)發(fā)布的工控信息安全標(biāo)準(zhǔn)ISA62443，ISO和國際電工委員會(huì)(IEC)共同發(fā)布的信息安全管理體系標(biāo)準(zhǔn)ISO/IEC27001:2013，以及NIST發(fā)布的聯(lián)邦政府信息系統(tǒng)和組織安全控制措施系列特別出版物(NIST SP800)。值得一提的是，N I S T下設(shè)的國家卓越網(wǎng)絡(luò)安全中心(NCCoE)于2018年9月7日發(fā)布了NIST SP1800-5最終版，其中針對(duì)信息系統(tǒng)資產(chǎn)管理的最佳實(shí)踐，正是為金融服務(wù)部門相關(guān)領(lǐng)域缺陷提供應(yīng)對(duì)之策。

2.《金融市場(chǎng)基礎(chǔ)設(shè)施建設(shè)的網(wǎng)絡(luò)恢復(fù)力指南》

2016年6月，支付與市場(chǎng)基礎(chǔ)設(shè)施委員會(huì)(CPMI)和IOSCO聯(lián)合發(fā)布CRFMI指南12，旨在增強(qiáng)金融市場(chǎng)基礎(chǔ)設(shè)施(FMI)網(wǎng)絡(luò)恢復(fù)能力?？紤]到網(wǎng)絡(luò)風(fēng)險(xiǎn)動(dòng)態(tài)變化的特征，適用特定固化的措施可能導(dǎo)致指南迅速失效，因此CRFMI指南采取了基于原則的規(guī)制模式。雖然該指南主要針對(duì)金融市場(chǎng)基礎(chǔ)設(shè)施，但相關(guān)部門仍可將其應(yīng)用于其他機(jī)構(gòu)。從內(nèi)容上看，CRFMI指南由5個(gè)風(fēng)險(xiǎn)管理措施和3個(gè)重要程序組成，前者包括治理結(jié)構(gòu)、識(shí)別、保護(hù)、檢測(cè)、響應(yīng)和恢復(fù)，后者包含測(cè)試、環(huán)境感知以及學(xué)習(xí)和發(fā)展。這些措施和程序是建立和完善網(wǎng)絡(luò)恢復(fù)能力框架的重要基礎(chǔ)，應(yīng)統(tǒng)籌兼顧每一項(xiàng)內(nèi)容。具體而言，每項(xiàng)措施都需要循環(huán)經(jīng)歷3個(gè)重要程序，如響應(yīng)措施初步構(gòu)建后，組織機(jī)構(gòu)應(yīng)通過演習(xí)等方式測(cè)試實(shí)際效果，根據(jù)對(duì)內(nèi)外部網(wǎng)絡(luò)風(fēng)險(xiǎn)環(huán)境變化評(píng)估適時(shí)對(duì)其進(jìn)行調(diào)整，同時(shí)不斷總結(jié)實(shí)踐經(jīng)驗(yàn)，學(xué)習(xí)新的信息網(wǎng)絡(luò)技術(shù)以完善具體措施。通過這樣反復(fù)打磨從而使得風(fēng)險(xiǎn)管理機(jī)制更加行之有效。因此，執(zhí)行和遵守指南不是一次性的任務(wù)，而是長期的、不斷升級(jí)的過程。FMI應(yīng)逐步適應(yīng)、發(fā)展和提高其網(wǎng)絡(luò)恢復(fù)能力，增加犯罪者實(shí)施網(wǎng)絡(luò)攻擊的難度，并提高恢復(fù)關(guān)鍵業(yè)務(wù)和從網(wǎng)絡(luò)攻擊中恢復(fù)的能力。

需要特別指出的是，CRFMI指南并沒有制定超出PFMI中規(guī)定的金融市場(chǎng)基礎(chǔ)設(shè)施基本原則，而是對(duì)PFMI部分規(guī)則，諸如原則2(治理結(jié)構(gòu))、原則3(全面的風(fēng)險(xiǎn)管理框架)、原則8(結(jié)算終局性)、原則17(運(yùn)營風(fēng)險(xiǎn))以及原則20(FMI間相互聯(lián)系)等原則的進(jìn)一步補(bǔ)充細(xì)化?？紤]到FMI對(duì)金融市場(chǎng)的兩大系統(tǒng)重要性——結(jié)算終局性13與運(yùn)營穩(wěn)定性，CRFMI指南要求FMI應(yīng)當(dāng)采取迅速且可持續(xù)的行動(dòng)加強(qiáng)網(wǎng)絡(luò)恢復(fù)能力，并提出更高的恢復(fù)時(shí)間目標(biāo)(RTO)，即在遭受嚴(yán)重網(wǎng)絡(luò)攻擊運(yùn)營中斷后2小時(shí)內(nèi)恢復(fù)運(yùn)營，同時(shí)在最遲不超過中斷發(fā)生當(dāng)日完成結(jié)算。該指南還特別指出，鑒于金融系統(tǒng)存在廣泛的相互聯(lián)系和依賴性，整體市場(chǎng)的網(wǎng)絡(luò)恢復(fù)能力不僅取決于單個(gè)FMI，還取決于相互關(guān)聯(lián)的FMI、服務(wù)供應(yīng)商和其他市場(chǎng)參與者的網(wǎng)絡(luò)安全狀況。

3.ISO/IEC27000系列標(biāo)準(zhǔn)

ISO和IEC制定并公布了27000系列信息安全管理系統(tǒng)標(biāo)準(zhǔn)，旨在幫助組織機(jī)構(gòu)保護(hù)其信息資產(chǎn)，包括財(cái)務(wù)信息、知識(shí)產(chǎn)權(quán)、員工信息、客戶信息以及第三方信息等。自20世紀(jì)90年代發(fā)展至今，該系列標(biāo)準(zhǔn)受到跨國公司廣泛采用，其最新版本發(fā)布于2013年，并于2018年2月對(duì)信息安全管理系統(tǒng)概況和術(shù)語部分進(jìn)行了更新。14根據(jù)該系列標(biāo)準(zhǔn)，實(shí)施ISO 27001等標(biāo)準(zhǔn)的公司在通過ISO認(rèn)證機(jī)構(gòu)審核后，即可獲得ISO官方認(rèn)證。

27000系列標(biāo)準(zhǔn)中最重要的兩個(gè)組成部分是I S O/IEC27001和ISO/IEC27002。前者規(guī)定了在組織整體業(yè)務(wù)風(fēng)險(xiǎn)范圍內(nèi)建立、實(shí)施、操作、監(jiān)控、審查、維護(hù)和改進(jìn)正式信息安全管理系統(tǒng)的要求；后者則是建議性的，提供構(gòu)建信息安全管理系統(tǒng)的最佳實(shí)踐，以實(shí)現(xiàn)因信息的保密性、完整性和可用性受到威脅而產(chǎn)生的信息安全控制目標(biāo)。與《框架1.1》相似，ISO/IEC27001的適用同樣具有廣泛性和靈活性，其構(gòu)建的信息安全管理系統(tǒng)(ISMS)是一個(gè)總體框架，涵蓋所有行業(yè)各種規(guī)模的公共和私人組織機(jī)構(gòu)。組織機(jī)構(gòu)可根據(jù)自身面臨的風(fēng)險(xiǎn)，從ISO/IEC27001附錄A中規(guī)定的信息安全目標(biāo)與控制列表中選擇最合適的措施。具體而言，組織機(jī)構(gòu)首先全面評(píng)估其面臨的信息風(fēng)險(xiǎn)，使用ISO/IEC27001明確其控制目標(biāo)，建立和完善ISMS，并利用ISO/IEC27002最佳實(shí)踐采取適當(dāng)?shù)娘L(fēng)險(xiǎn)控制措施。

(二)網(wǎng)絡(luò)安全信息共享機(jī)制

信息共享是網(wǎng)絡(luò)安全法律規(guī)制的核心內(nèi)容之一。通過信息共享，單一組織機(jī)構(gòu)能夠集合在一起，共享網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理的能力、知識(shí)和經(jīng)驗(yàn)，讓組織機(jī)構(gòu)更好地了解網(wǎng)絡(luò)安全狀況，包括網(wǎng)絡(luò)罪犯使用的技術(shù)手段。與此同時(shí)，信息共享機(jī)制的建立讓組織機(jī)構(gòu)能夠效仿其他機(jī)構(gòu)為防止、檢測(cè)、應(yīng)對(duì)和恢復(fù)網(wǎng)絡(luò)攻擊而采取的有效措施，從而使單個(gè)實(shí)體或系統(tǒng)迅速提升對(duì)網(wǎng)絡(luò)威脅的應(yīng)對(duì)能力，以降低整體系統(tǒng)性風(fēng)險(xiǎn)。15此外，監(jiān)管機(jī)構(gòu)也可從信息共享機(jī)制中受益：通過了解市場(chǎng)參與者面臨的網(wǎng)絡(luò)威脅類型、網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理策略和辦法以及市場(chǎng)參與者總體應(yīng)對(duì)水平，確保現(xiàn)行法律法規(guī)和監(jiān)管措施有效性和適當(dāng)性。

從國內(nèi)立法層面來看，美國率先建立了綜合性的網(wǎng)絡(luò)安全信息共享法律體系。2015年10月27日，美國參議院正式通過了《2015網(wǎng)絡(luò)安全信息共享法案》(CISA)16，旨在構(gòu)建一個(gè)自愿性的網(wǎng)絡(luò)安全信息共享平臺(tái)，采取PPP模式17鼓勵(lì)公共和私人實(shí)體、各級(jí)政府以及監(jiān)管機(jī)構(gòu)分享網(wǎng)絡(luò)威脅信息。CISA將共享信息分為網(wǎng)絡(luò)威脅指標(biāo)(CTI)和防御措施(DM)兩類。前者是指那些對(duì)于描述或識(shí)別惡意偵察、破壞安全控制或利用安全漏洞的方法、安全漏洞、惡意網(wǎng)絡(luò)控制、事件造成的實(shí)際或潛在損害、網(wǎng)絡(luò)安全威脅的任何其他屬性等必要的信息18，實(shí)踐中CTI包括域名、互聯(lián)網(wǎng)協(xié)議地址、日志數(shù)據(jù)、惡意軟件、數(shù)據(jù)包、端口、簽名、時(shí)間戳、統(tǒng)一資源定位符等；后者則是指行動(dòng)、設(shè)備、程序、簽名、技術(shù)或其他應(yīng)用在信息系統(tǒng)上的措施，或與儲(chǔ)存、處理或傳遞一個(gè)旨在偵查、保護(hù)或減少網(wǎng)絡(luò)安全威脅或網(wǎng)絡(luò)漏洞的信息系統(tǒng)相關(guān)的信息。19需要指出的是，CISA為信息共享網(wǎng)絡(luò)構(gòu)建掃清了法律障礙，不僅使兩個(gè)及以上私人實(shí)體間旨在促進(jìn)網(wǎng)絡(luò)安全威脅防范、調(diào)查或影響消除的信息互換不會(huì)違反反壟斷規(guī)則20，而且私人實(shí)體為監(jiān)控信息系統(tǒng)采取的行動(dòng)以及分享或獲取CTI信息也享有法律責(zé)任豁免特權(quán)。21

除此之外，部分監(jiān)管機(jī)構(gòu)為減少信息安全事件的發(fā)生，要求金融機(jī)構(gòu)向其披露自身遭受的網(wǎng)絡(luò)攻擊等信息安全事件。例如，根據(jù)加拿大《國家指令21-101市場(chǎng)運(yùn)營》第12.1條(c)款，任何重大系統(tǒng)故障、延遲或安全漏洞應(yīng)向監(jiān)管機(jī)構(gòu)匯報(bào)，并提供故障、延遲或安全漏洞狀態(tài)的最新信息、內(nèi)部審查結(jié)果以及為恢復(fù)服務(wù)采取的措施。又如，根據(jù)美國證券交易委員會(huì)(SEC)2014年11月19日通過的《系統(tǒng)、合規(guī)和完整性規(guī)則》(SCI)，自律監(jiān)管組織(SRO)包括證券交易所、證券業(yè)協(xié)會(huì)、清算機(jī)構(gòu)以及市政債券規(guī)章制定委員會(huì)，應(yīng)通知SEC其發(fā)生的網(wǎng)絡(luò)入侵事件。這種基于風(fēng)險(xiǎn)的監(jiān)管方法，有助于監(jiān)管機(jī)構(gòu)持續(xù)考察受監(jiān)管實(shí)體采取的行動(dòng)是否有效，并可從中總結(jié)經(jīng)驗(yàn)，制定更加有效的監(jiān)管規(guī)則。

對(duì)于金融業(yè)信息共享網(wǎng)絡(luò)建設(shè)，目前大部分行之有效的信息共享倡議是由私人部門發(fā)起。22其中，影響力較大的是金融服務(wù)信息共享和分析中心(FS-ISAC)，其會(huì)員從2004年的68個(gè)激增至2015年的5700個(gè)。FS-ISAC成立于1999年，總部設(shè)于美國，并在英國、新加坡設(shè)有辦事處，旨在建立全球性金融服務(wù)業(yè)網(wǎng)絡(luò)和物理威脅情報(bào)分析與共享平臺(tái)，其任務(wù)是分享適時(shí)的、相關(guān)的、可操作的網(wǎng)絡(luò)和物理安全信息并加以分析。FS-ISAC每月處理數(shù)千個(gè)威脅指標(biāo)，努力減少網(wǎng)絡(luò)犯罪、黑客活動(dòng)和國家活動(dòng)，并與其他行業(yè)機(jī)構(gòu)合作，協(xié)助制定和測(cè)試金融部門的風(fēng)險(xiǎn)管理程序，其共享的信息類型包括：惡意網(wǎng)站，威脅行為人及其目標(biāo)，威脅指標(biāo)，網(wǎng)絡(luò)威脅策略、技術(shù)和程序，開發(fā)目標(biāo)，拒絕服務(wù)攻擊，惡意郵件，軟件弱點(diǎn)以及惡意軟件。

就國際層面的信息共享合作而言，2016年，IOSCO在2002年《關(guān)于協(xié)商、合作和信息交流的多邊諒解備忘錄》(M M o U，曾于2012年修訂)的基礎(chǔ)上，發(fā)布了《關(guān)于加強(qiáng)協(xié)商、合作和信息交流的多邊諒解備忘錄》(EMMoU)，以期進(jìn)一步加強(qiáng)跨境協(xié)助與信息交換。EMMoU首先明確了信息交流的基本原則——“允許范圍內(nèi)的最大協(xié)助”23，即監(jiān)管機(jī)構(gòu)應(yīng)相互提供“允許范圍內(nèi)的最大協(xié)助”，來調(diào)查涉嫌違法行為，以確保遵守和執(zhí)行各自的法律和條例。這里所指的法律和條例幾乎涵蓋證券市場(chǎng)全部領(lǐng)域，也就是說，申請(qǐng)網(wǎng)絡(luò)犯罪協(xié)助與信息共享包含在EMMoU規(guī)則之內(nèi)。與此同時(shí)，EMMoU還擴(kuò)大了信息交換的范圍，使成員可獲取儲(chǔ)存在互聯(lián)網(wǎng)服務(wù)供應(yīng)商以及其他電子通信供應(yīng)商的用戶記錄。可以預(yù)見的是，EMMoU的有效運(yùn)行將會(huì)在一定程度上促進(jìn)證券監(jiān)管機(jī)構(gòu)間跨境執(zhí)法合作和援助，以應(yīng)對(duì)近年來全球化和技術(shù)進(jìn)步帶來的風(fēng)險(xiǎn)和挑戰(zhàn)。

(三)網(wǎng)絡(luò)風(fēng)險(xiǎn)與網(wǎng)絡(luò)安全事件的信息披露規(guī)則

信息披露制度是上市公司監(jiān)管的重要手段。網(wǎng)絡(luò)風(fēng)險(xiǎn)與網(wǎng)絡(luò)安全事件作為可能對(duì)公司運(yùn)營產(chǎn)生重大實(shí)質(zhì)性影響的因素，是投資者作出投資決策不可或缺的基本依據(jù)，上市公司應(yīng)及時(shí)、準(zhǔn)確地予以披露，以消除信息不對(duì)稱帶來的負(fù)面影響。同時(shí)，網(wǎng)絡(luò)風(fēng)險(xiǎn)與網(wǎng)絡(luò)安全事件披露，尤其是強(qiáng)制性的信息披露，對(duì)于提升企業(yè)在網(wǎng)絡(luò)安全上的投資無疑會(huì)起到積極的促進(jìn)作用。如果不存在其他因素的干預(yù)，企業(yè)不會(huì)考慮外部效應(yīng)(如信息泄露對(duì)于公眾的影響)而僅依據(jù)自身成本和收益選擇最佳的投資策略。24因此，監(jiān)管者可以通過強(qiáng)制性的信息披露將外部性內(nèi)化，從而迫使企業(yè)加大對(duì)網(wǎng)絡(luò)安全領(lǐng)域的投資。

SEC下設(shè)公司融資部工作人員于2011年10月13日發(fā)布了一項(xiàng)上市公司關(guān)于網(wǎng)絡(luò)安全風(fēng)險(xiǎn)和事件信息披露的指引(2011年指引)，旨在幫助注冊(cè)上市公司履行《1933年證券法》要求的注冊(cè)聲明以及《1934年證券交易法》要求的定期報(bào)告信息披露義務(wù)。25值得一提的是，盡管2011指引并非一項(xiàng)正式的法律法規(guī)或SEC聲明，但該指引發(fā)布后，許多公司都以風(fēng)險(xiǎn)因素的形式披露了其網(wǎng)絡(luò)安全信息。26

2018年2月26日，SEC《上市公司網(wǎng)絡(luò)安全信息披露委員會(huì)聲明和指引》(2018年指引)27正式生效。與2011年指引相比，2018年指引除升級(jí)成SEC級(jí)規(guī)則外，還新增了“網(wǎng)絡(luò)安全政策和程序的重要性”和“網(wǎng)絡(luò)安全語境下內(nèi)幕交易禁止規(guī)則的適用”兩個(gè)議題。一方面，公司必須建立和保持適當(dāng)有效的披露控制程序，使其能夠準(zhǔn)確、及時(shí)地披露實(shí)質(zhì)性信息，包括與網(wǎng)絡(luò)安全有關(guān)的事件；另一方面，指引提醒公司及其董事、高管，以及根據(jù)證券法一般反欺詐條款適用內(nèi)幕交易禁令的其他公司內(nèi)部人士，他們有義務(wù)避免選擇性披露有關(guān)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)或事件的重大非公開信息。

從內(nèi)容來看，2018年指引由網(wǎng)絡(luò)安全信息披露規(guī)則和政策程序兩部分組成。前者從風(fēng)險(xiǎn)因素、財(cái)務(wù)狀況、經(jīng)營業(yè)績、管理層決策和分析、經(jīng)營描述、法律訴訟、財(cái)務(wù)報(bào)表、董事會(huì)風(fēng)險(xiǎn)監(jiān)督等常規(guī)披露形式對(duì)網(wǎng)絡(luò)安全信息披露作出指引；后者是對(duì)上市公司網(wǎng)絡(luò)安全信息披露的監(jiān)督規(guī)則，包括披露控制和程序、內(nèi)幕交易以及選擇性披露規(guī)則。

從操作層面來看，2018年指引要求公司充分考慮網(wǎng)絡(luò)安全風(fēng)險(xiǎn)和網(wǎng)絡(luò)安全事件是否構(gòu)成實(shí)質(zhì)性信息而應(yīng)予向公眾披露。對(duì)于實(shí)質(zhì)性的判斷，SEC認(rèn)為應(yīng)當(dāng)是一個(gè)理性投資者認(rèn)為該信息對(duì)其作出投資決策起到重要作用或者該信息的披露會(huì)顯著改變理性投資者可獲得信息的總體組合。在確定網(wǎng)絡(luò)安全風(fēng)險(xiǎn)和事件的披露義務(wù)時(shí)，公司應(yīng)權(quán)衡所有已識(shí)別風(fēng)險(xiǎn)的潛在重要性，網(wǎng)絡(luò)安全事件發(fā)生后受損信息的重要性以及對(duì)公司運(yùn)營產(chǎn)生的影響。歸結(jié)起來，網(wǎng)絡(luò)安全風(fēng)險(xiǎn)或事件的重要性取決于：(1)性質(zhì)、程度和規(guī)模，尤其是與公司主要業(yè)務(wù)和經(jīng)營范圍的關(guān)系程度；(2)造成危害的范圍，包括對(duì)公司信譽(yù)、財(cái)務(wù)狀況、客戶關(guān)系的影響以及被訴或被監(jiān)管機(jī)構(gòu)調(diào)查處罰的可能性。另外，2018年指引特別指出，公司不應(yīng)提供過多關(guān)于其網(wǎng)絡(luò)安全系統(tǒng)、相關(guān)網(wǎng)絡(luò)和設(shè)備或潛在的系統(tǒng)漏洞等技術(shù)細(xì)節(jié)，以避免使信息披露成為不法分子破壞公司網(wǎng)絡(luò)安全的“路線圖”；而應(yīng)披露對(duì)投資者決策產(chǎn)生實(shí)質(zhì)影響的信息，包括網(wǎng)絡(luò)安全風(fēng)險(xiǎn)或事件帶來的財(cái)務(wù)影響、法律后果和信譽(yù)減損等。

三、證券市場(chǎng)網(wǎng)絡(luò)風(fēng)險(xiǎn)法律規(guī)制評(píng)析及困境

從功能來看，網(wǎng)絡(luò)風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)、網(wǎng)絡(luò)安全信息共享制度、網(wǎng)絡(luò)風(fēng)險(xiǎn)和網(wǎng)絡(luò)安全事件信息披露規(guī)則三者之間相互聯(lián)系，并從不同維度對(duì)證券市場(chǎng)面臨的網(wǎng)絡(luò)風(fēng)險(xiǎn)進(jìn)行規(guī)制。首先，網(wǎng)絡(luò)風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)從風(fēng)險(xiǎn)管理角度對(duì)證券市場(chǎng)參與主體內(nèi)部網(wǎng)絡(luò)安全框架和程序設(shè)定標(biāo)準(zhǔn)，并可通過最佳實(shí)踐向參與主體提供可資借鑒的操作范本；其次，網(wǎng)絡(luò)安全信息共享不僅可整合跨行業(yè)甚至跨國公私資源，形成合力，在風(fēng)險(xiǎn)發(fā)生時(shí)迅速采取應(yīng)對(duì)措施，而且在網(wǎng)絡(luò)事件處理實(shí)踐中會(huì)不斷形成最佳實(shí)踐并補(bǔ)充到網(wǎng)絡(luò)風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)中去；再次，網(wǎng)絡(luò)風(fēng)險(xiǎn)和網(wǎng)絡(luò)安全事件信息披露通過透明度要求敦促證券市場(chǎng)參與主體重視網(wǎng)絡(luò)風(fēng)險(xiǎn)，加大其對(duì)內(nèi)部網(wǎng)絡(luò)安全體系建設(shè)的投資力度，緩解和消除信息不對(duì)稱帶來的金融風(fēng)險(xiǎn)；最后，網(wǎng)絡(luò)風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)是信息共享和信息披露的基礎(chǔ)，而通過信息共享和信息披露能促進(jìn)網(wǎng)絡(luò)風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)的不斷完善，三者結(jié)合起來形成較為完整的網(wǎng)絡(luò)風(fēng)險(xiǎn)法律規(guī)制體系。

證券市場(chǎng)網(wǎng)絡(luò)風(fēng)險(xiǎn)法律規(guī)制的發(fā)展趨勢(shì)及面臨的困境主要表現(xiàn)為三個(gè)方面：

(一)證券市場(chǎng)網(wǎng)絡(luò)風(fēng)險(xiǎn)法律規(guī)制的趨同化與軟法化

當(dāng)下，證券市場(chǎng)網(wǎng)絡(luò)風(fēng)險(xiǎn)法律規(guī)制在形式與內(nèi)容上呈現(xiàn)出趨同化的發(fā)展趨勢(shì)。從規(guī)制形式來看，信息技術(shù)革新速度快與網(wǎng)絡(luò)風(fēng)險(xiǎn)內(nèi)涵和外延的不確定性是證券市場(chǎng)網(wǎng)絡(luò)風(fēng)險(xiǎn)法律規(guī)制面臨的兩大挑戰(zhàn)。信息技術(shù)快速升級(jí)的同時(shí)，網(wǎng)絡(luò)風(fēng)險(xiǎn)類型隨之不斷變化，法律天然的滯后性使傳統(tǒng)規(guī)制模式難以應(yīng)對(duì)。因此，相比于專門制定并簽訂新的國際條約對(duì)網(wǎng)絡(luò)安全加以規(guī)范，國際社會(huì)傾向于修改、澄清和細(xì)化現(xiàn)有規(guī)則。28如前述CRFMI指南即是對(duì)PFMI的細(xì)化和延伸；又如EMMoU，也是在IOSCO原有信息交換平臺(tái)基礎(chǔ)上進(jìn)行更新升級(jí)，以促進(jìn)跨境信息互換合作。這樣做的好處不言而喻，即可以節(jié)約造法成本，避免規(guī)則間的相互沖突，但同時(shí)也會(huì)導(dǎo)致立法不成體系、規(guī)則碎片化地散落在其他條款中的困境，與網(wǎng)絡(luò)安全對(duì)于金融市場(chǎng)的極端重要性不相匹配。值得一提的是，大多數(shù)現(xiàn)有規(guī)則和指南以金融部門為導(dǎo)向，部分領(lǐng)域存在立法空白。例如24個(gè)FSB成員發(fā)布了針對(duì)金融基礎(chǔ)設(shè)施和銀行的網(wǎng)絡(luò)安全規(guī)則或指引，而僅有7個(gè)成員對(duì)養(yǎng)老基金網(wǎng)絡(luò)安全作出具體規(guī)范。29

從規(guī)制內(nèi)容來看，盡管世界范圍內(nèi)網(wǎng)絡(luò)風(fēng)險(xiǎn)管理指引數(shù)量眾多，尚未形成統(tǒng)一的國際標(biāo)準(zhǔn)，但三大核心標(biāo)準(zhǔn)的形成標(biāo)志著金融市場(chǎng)網(wǎng)絡(luò)風(fēng)險(xiǎn)管理規(guī)則向趨同化的方向發(fā)展。更重要的是，三大核心標(biāo)準(zhǔn)與國際上其他現(xiàn)有網(wǎng)絡(luò)原則和指引30保持一致性，且相互之間在主要議題上有著明顯的相似性。大部分指引都會(huì)涉及治理結(jié)構(gòu)，風(fēng)險(xiǎn)分析與評(píng)估，信息安全，安全控制和安全事件防范，專家和訓(xùn)練，監(jiān)控、測(cè)試或?qū)彶?，安全事件反?yīng)和恢復(fù)，信息共享，對(duì)供應(yīng)商和第三方的管控以及持續(xù)學(xué)習(xí)等議題。可見，國際社會(huì)對(duì)于組織機(jī)構(gòu)網(wǎng)絡(luò)風(fēng)險(xiǎn)規(guī)制框架在一定程度上已形成共識(shí)。

除趨同化態(tài)勢(shì)外，全球范圍內(nèi)證券市場(chǎng)網(wǎng)絡(luò)安全法律規(guī)制呈現(xiàn)出較強(qiáng)的軟化趨勢(shì)，強(qiáng)制性不足是其最顯著的特征。一方面，IOSCO、CPMI等國際金融標(biāo)準(zhǔn)制定機(jī)構(gòu)發(fā)布的相關(guān)指引和原則，屬于國際軟法，不具有法律拘束力，其有效執(zhí)行依賴于各國監(jiān)管機(jī)構(gòu)的轉(zhuǎn)化適用；另一方面，《框架1.1》以及其他現(xiàn)有網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理指南的適用不具有強(qiáng)制性，監(jiān)管機(jī)構(gòu)也未強(qiáng)制要求被監(jiān)管實(shí)體適用特定規(guī)則，組織機(jī)構(gòu)享有充分的自主選擇權(quán)利。這無疑加大了監(jiān)管機(jī)構(gòu)在判斷特定實(shí)體網(wǎng)絡(luò)安全合規(guī)性時(shí)的難度，賦予監(jiān)管機(jī)構(gòu)過大的自由裁量權(quán)，還可能引發(fā)監(jiān)管套利現(xiàn)象。與此同時(shí)，無論是依據(jù)國內(nèi)立法CISA構(gòu)建的信息共享平臺(tái)還是私人實(shí)體主導(dǎo)的FSISAC，均奉行自愿參與的基本原則，軟性規(guī)則成為主流。而在網(wǎng)絡(luò)風(fēng)險(xiǎn)和網(wǎng)絡(luò)安全事件信息披露規(guī)則領(lǐng)域，對(duì)于是否披露、以何種形式披露、披露到何種程度等關(guān)鍵問題的決策權(quán)掌握在上市公司自己手中。雖然監(jiān)管機(jī)構(gòu)仍有權(quán)審查上市公司信息披露情況，但缺少硬法支撐勢(shì)必導(dǎo)致其監(jiān)督執(zhí)行力相對(duì)有限。在缺乏有力監(jiān)督的情況下，通過非強(qiáng)制性的標(biāo)準(zhǔn)以實(shí)現(xiàn)公司自律監(jiān)管無疑是極為困難的。31

(二)網(wǎng)絡(luò)安全信息共享參與主體間的信任困境

幾乎所有的網(wǎng)絡(luò)安全指引都建議組織機(jī)構(gòu)在內(nèi)部和外部建立起信息共享機(jī)制，通過資源整合共同應(yīng)對(duì)網(wǎng)絡(luò)風(fēng)險(xiǎn)帶來的挑戰(zhàn)。目前已有的倡議，諸如FS-ISAC這樣較為成功的信息共享網(wǎng)絡(luò)，大多采取自下而上、會(huì)員制的基本結(jié)構(gòu)，并且需要一個(gè)非常緩慢的構(gòu)建過程。這是因?yàn)樾畔⒐蚕碇贫鹊幕莾?nèi)部所有參與主體之間較高層次的互相信任，可以說主體間信任程度在極大程度上決定了信息共享網(wǎng)絡(luò)的有效性。

以參與主體為視角，可以更直接反映信任機(jī)制的內(nèi)涵。橫向參與者的信任構(gòu)建，即信息共享方之間，包括私人主體間、私人主體與監(jiān)管機(jī)構(gòu)間以及不同國家監(jiān)管機(jī)構(gòu)間信任構(gòu)建；縱向參與者的信任構(gòu)建，則是信息提供方與信息獲取方之間的信任構(gòu)建。現(xiàn)階段，不同參與者之間面臨的信任困境有所不同。具體而言：

1.私人主體間

因各自的規(guī)模、網(wǎng)絡(luò)安全控制能力、信息獲取與處理能力以及網(wǎng)絡(luò)威脅程度不同，私人主體各方利益訴求存在較大差異，而且高頻、高標(biāo)準(zhǔn)、大量的信息共享對(duì)小公司來說無疑是巨大負(fù)擔(dān)。更重要的是，許多私人主體間存在競爭關(guān)系，相互間不信任在所難免，更何況共享的網(wǎng)絡(luò)安全相關(guān)信息可能對(duì)組織機(jī)構(gòu)聲譽(yù)產(chǎn)生重大影響，其他私人主體能否恪守保密義務(wù)并將相關(guān)信息僅用于提升網(wǎng)絡(luò)危機(jī)應(yīng)對(duì)能力就顯得尤為重要。

2.私人主體與監(jiān)管機(jī)構(gòu)

兩者之間本就關(guān)系緊張，私人主體會(huì)出于擔(dān)心特定共享信息成為監(jiān)管機(jī)構(gòu)進(jìn)行處罰的依據(jù)而不愿分享信息或僅分享部分信息，從而降低信息共享機(jī)制的有效性。盡管CISA明確規(guī)定了私人實(shí)體為監(jiān)控信息系統(tǒng)采取的行動(dòng)以及分享或獲取CTI信息享有法律責(zé)任豁免特權(quán)，但這僅排除了組織機(jī)構(gòu)采取網(wǎng)絡(luò)安全行動(dòng)而產(chǎn)生的法律責(zé)任，監(jiān)管機(jī)構(gòu)仍可以將其所分享的信息用作處罰決定的基本證據(jù)材料。

3.不同國家監(jiān)管機(jī)構(gòu)間

網(wǎng)絡(luò)風(fēng)險(xiǎn)全球化要求網(wǎng)絡(luò)安全信息共享也應(yīng)全球化，各國監(jiān)管機(jī)構(gòu)之間的信任成為不可回避的核心議題。其中，各國國內(nèi)網(wǎng)絡(luò)安全信息共享立法的域外性問題會(huì)在相當(dāng)程度上減損各國監(jiān)管機(jī)構(gòu)之間的信任。例如，由于CISA對(duì)于CTI和DM的定義極為寬泛，私人實(shí)體、政府可收集信息的范圍極大，考慮到數(shù)據(jù)信息流動(dòng)本身具有域外性的特征，以及跨國公司業(yè)務(wù)特性，美國政府可在未經(jīng)數(shù)據(jù)來源國同意的基礎(chǔ)上獲得大量他國信息。需要特別指出的是，CISA允許CTI信息的二次傳輸，即當(dāng)某一美國聯(lián)邦政府機(jī)構(gòu)(如SEC)獲取CTI后可能會(huì)將其分享給美國國家安全局或美國聯(lián)邦調(diào)查局。32斯諾登事件的曝光已將信息監(jiān)聽問題推向了輿論的風(fēng)口浪尖，各國政府間關(guān)于信息合作的政治互信達(dá)至冰點(diǎn)狀態(tài)，若國內(nèi)立法的域外性得不到合理限制，無疑會(huì)雪上加霜。相比之下，EMMoU則更加尊重信息來源國的知情同意權(quán)和國內(nèi)法律法規(guī)，在信息共享與國內(nèi)法發(fā)生沖突時(shí)，信息來源國可以拒絕共享該信息，這種彈性合作方式將在一定程度上緩和不同國家監(jiān)管機(jī)構(gòu)間的不信任。

4.被獲取信息方與信息收集方

隱私權(quán)保護(hù)是被獲取信息方與信息收集方之間互信的基礎(chǔ)。隱私權(quán)保護(hù)與網(wǎng)絡(luò)安全之間的博弈在CISA立法過程中體現(xiàn)得淋漓盡致。根據(jù)CISA對(duì)CTI的定義，由于技術(shù)上很難將用戶訪問網(wǎng)站活動(dòng)從分布式拒絕服務(wù)攻擊訪問中剝離出來，無辜用戶的網(wǎng)頁瀏覽活動(dòng)將會(huì)作為DDoS攻擊信息的一部分進(jìn)行分享，甚至那些與釣魚攻擊相關(guān)的通信文本，因其構(gòu)成破壞安全控制而被納入CTI范圍之內(nèi)，這樣勢(shì)必會(huì)對(duì)公民個(gè)人隱私造成嚴(yán)重侵犯。33盡管CISA對(duì)信息共享中隱私權(quán)作出了一定限制，如要求私人實(shí)體審查并移除可識(shí)別特定個(gè)人的CTI34，以及所采取的措施應(yīng)滿足“網(wǎng)絡(luò)安全目的”35，但其實(shí)際作用十分有限。一方面，CISA并不要求CTI中完全剔除可識(shí)別個(gè)人信息，除非“確定地知道”該信息與網(wǎng)絡(luò)威脅無關(guān)，也就是說，私人實(shí)體仍可基于懷疑共享該信息；另一方面，CISA將“網(wǎng)絡(luò)安全目的”定義為“保護(hù)信息系統(tǒng)及系統(tǒng)中儲(chǔ)存、處理或傳輸?shù)男畔⒚馐芫W(wǎng)絡(luò)安全威脅或安全漏洞的影響”36，意味著幾乎所有信息系統(tǒng)的保護(hù)措施都可符合“網(wǎng)絡(luò)安全目的”。以至于CISA正式通過后，仍有許多著名互聯(lián)網(wǎng)企業(yè)公開發(fā)表聯(lián)合聲明反對(duì)該法案，并強(qiáng)調(diào)“客戶信任至上”“安全不應(yīng)以損害隱私為代價(jià)”。37

(三)網(wǎng)絡(luò)風(fēng)險(xiǎn)和網(wǎng)絡(luò)安全事件信息披露規(guī)則完善之挑戰(zhàn)

2011年指引發(fā)布至今已近九年，但對(duì)上市公司網(wǎng)絡(luò)風(fēng)險(xiǎn)和網(wǎng)絡(luò)安全事件有效披露的促進(jìn)作用十分有限，其有效性受到多方質(zhì)疑。根據(jù)2017年對(duì)2168位從事網(wǎng)絡(luò)風(fēng)險(xiǎn)和公司風(fēng)險(xiǎn)管理活動(dòng)員工的調(diào)查報(bào)告，36%的員工反映公司信息資產(chǎn)的重要丟失并未在公司財(cái)務(wù)報(bào)告中未予以披露，僅有43%的人員證實(shí)各自所在公司會(huì)在財(cái)務(wù)報(bào)表上披露信息資產(chǎn)損失。38即便是小幅升級(jí)后的2018年指引，仍飽受批評(píng)，市場(chǎng)認(rèn)為SEC在此議題上作為過于有限。39無論是2011年指引還是2018年指引，均存在披露要求過于寬泛的缺陷，對(duì)于上市公司應(yīng)提供多少信息沒有清晰的說明，實(shí)際作用有限?？梢姡W(wǎng)絡(luò)風(fēng)險(xiǎn)和網(wǎng)絡(luò)安全事件信息披露規(guī)則的完善面臨許多挑戰(zhàn)，包括：

第一，上市公司對(duì)于網(wǎng)絡(luò)風(fēng)險(xiǎn)與網(wǎng)絡(luò)安全事件的信息披露動(dòng)力不足。上市公司出于擔(dān)心信息披露對(duì)自身聲譽(yù)的影響，以及可能帶來的法律訴訟風(fēng)險(xiǎn)，諸如客戶信息泄露事件披露伴隨而來的客戶訴訟和賠償，其主動(dòng)披露的積極性較低。同時(shí)，事先全面了解所有可能面臨的網(wǎng)絡(luò)風(fēng)險(xiǎn)難度較大，在網(wǎng)絡(luò)安全事件發(fā)生時(shí)難以及時(shí)發(fā)現(xiàn)并且依賴于第三方供應(yīng)商監(jiān)測(cè)和應(yīng)對(duì)可能發(fā)生的網(wǎng)絡(luò)事件。如前所述，企業(yè)不會(huì)主動(dòng)將網(wǎng)絡(luò)安全管理措施的外部效應(yīng)納入內(nèi)部投資策略的考慮范疇，使得目前企業(yè)在網(wǎng)絡(luò)安全上的投資水平較低。還有很多企業(yè)并不將網(wǎng)絡(luò)風(fēng)險(xiǎn)視作企業(yè)經(jīng)營風(fēng)險(xiǎn)從而未將其納入管理層風(fēng)險(xiǎn)管控框架。

第二，網(wǎng)絡(luò)安全事件數(shù)據(jù)匱乏。尤其是缺少具有代表性的網(wǎng)絡(luò)安全事件，給監(jiān)管機(jī)構(gòu)和企業(yè)帶來了諸多挑戰(zhàn)。對(duì)監(jiān)管機(jī)構(gòu)來說，幾乎不可能準(zhǔn)確量化網(wǎng)絡(luò)安全事件對(duì)市場(chǎng)造成的具體影響，導(dǎo)致政府難以判斷是否有必要通過積極措施以及采取何種程度的措施來限制網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。同樣，對(duì)企業(yè)來說，由于缺乏數(shù)據(jù)，很難正確評(píng)估網(wǎng)絡(luò)安全風(fēng)險(xiǎn)敞口的預(yù)期成本，從而無法確定網(wǎng)絡(luò)安全投資的最佳水平。

第三，投資者保護(hù)與網(wǎng)絡(luò)安全之間存在內(nèi)在矛盾。一方面，信息披露規(guī)則要求披露的信息應(yīng)更加全面、有效、具體，以消除市場(chǎng)上的信息不對(duì)稱；另一方面，過于詳細(xì)的信息披露，尤其是披露企業(yè)已采取的網(wǎng)絡(luò)安全措施，可能為不法分子進(jìn)行網(wǎng)絡(luò)攻擊提供指引，這就讓企業(yè)陷入一個(gè)兩難境地——將他們置于下一次網(wǎng)絡(luò)攻擊的危險(xiǎn)之中還是違反信息披露規(guī)則。40盡管2018年指引建議上市公司避免過多披露技術(shù)層面細(xì)節(jié)，但應(yīng)當(dāng)披露的部分卻過于寬泛，使指引的實(shí)際可操作性較低。

四、啟示與借鑒

《國家網(wǎng)絡(luò)空間安全戰(zhàn)略》《網(wǎng)絡(luò)空間國際合作戰(zhàn)略》和《網(wǎng)絡(luò)安全法》的出臺(tái)和實(shí)施，標(biāo)志著我國已初步完成網(wǎng)絡(luò)空間法律規(guī)制的頂層設(shè)計(jì)。對(duì)于證券市場(chǎng)網(wǎng)絡(luò)安全，中國人民銀行、中國證監(jiān)會(huì)和中國證券業(yè)協(xié)會(huì)始終保持高度關(guān)注，自2005年《證券公司信息技術(shù)管理規(guī)范》出臺(tái)以來，持續(xù)發(fā)布了許多與網(wǎng)絡(luò)風(fēng)險(xiǎn)規(guī)制相關(guān)的法規(guī)、標(biāo)準(zhǔn)和指引41，以加強(qiáng)對(duì)證券基金行業(yè)的信息安全管理要求。特別是自2012年起，平均每年至少有1個(gè)相關(guān)規(guī)范出臺(tái)，2016～2018年更是發(fā)布了超過5個(gè)推薦性行業(yè)標(biāo)準(zhǔn)及強(qiáng)制性管理要求，證監(jiān)會(huì)對(duì)于行業(yè)信息安全管理監(jiān)管提升到了新高度。盡管如此，針對(duì)證券市場(chǎng)網(wǎng)絡(luò)風(fēng)險(xiǎn)的規(guī)制仍有進(jìn)一步完善的空間，具體來說應(yīng)著重考慮以下三個(gè)方面：

(一)引入最佳實(shí)踐以提升網(wǎng)絡(luò)安全管理標(biāo)準(zhǔn)的可拓展性和靈活性

根據(jù)證券期貨業(yè)信息安全標(biāo)準(zhǔn)規(guī)劃2015年版(以下簡稱2015年規(guī)劃)，全國金融標(biāo)準(zhǔn)化技術(shù)委員會(huì)引入PPDRR模型，包括策略、防護(hù)、檢測(cè)、響應(yīng)和恢復(fù)5個(gè)主要部分，并以風(fēng)險(xiǎn)評(píng)估為指導(dǎo)思想，規(guī)劃構(gòu)建一套適用于證券期貨業(yè)的信息安全標(biāo)準(zhǔn)。這與《框架1.1》等國際主流網(wǎng)絡(luò)安全管理標(biāo)準(zhǔn)具有高度一致性。從2015年規(guī)劃附錄D編制工作規(guī)劃來看，目前已出臺(tái)標(biāo)準(zhǔn)僅有6個(gè)，占總計(jì)劃的五分之一，標(biāo)準(zhǔn)制定仍任重而道遠(yuǎn)?？紤]到在全球范圍內(nèi)已有諸多標(biāo)準(zhǔn)，為避免重復(fù)，借鑒已有標(biāo)準(zhǔn)將比另起爐灶更加有效。在制定《證券期貨業(yè)信息安全管理體系要求》時(shí)，可采用《框架1.1》最佳實(shí)踐模式，在“規(guī)范性引用文件”中將國際上通行有效的標(biāo)準(zhǔn)納入我國網(wǎng)絡(luò)安全管理標(biāo)準(zhǔn)體系，供市場(chǎng)參與者選擇適用。對(duì)于“規(guī)范性引用文件”的選擇，則應(yīng)在中立原則的基礎(chǔ)上進(jìn)行全面分析后再按需采納，避免某一項(xiàng)標(biāo)準(zhǔn)存在缺陷導(dǎo)致的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。42增強(qiáng)標(biāo)準(zhǔn)可拓展性和靈活性，不僅可對(duì)因信息科技技術(shù)更迭帶來的網(wǎng)絡(luò)安全新問題及時(shí)采取應(yīng)對(duì)措施，減輕標(biāo)準(zhǔn)制定滯后性帶來的影響，還能與國際通行標(biāo)準(zhǔn)相接軌，為我國金融機(jī)構(gòu)融入全球市場(chǎng)奠定基礎(chǔ)。

(二)完善以證監(jiān)會(huì)為核心的網(wǎng)絡(luò)安全信息共享制度

2018年12月出臺(tái)的《證券基金經(jīng)營機(jī)構(gòu)信息技術(shù)管理辦法》(以下簡稱《辦法》)已于2019年6月1日正式實(shí)施，該辦法全面覆蓋了證券基金行業(yè)各類經(jīng)營主體，具有強(qiáng)制性的約束力。根據(jù)《辦法》相關(guān)規(guī)定，證券基金經(jīng)營機(jī)構(gòu)應(yīng)履行一系列的網(wǎng)絡(luò)安全信息報(bào)告義務(wù)，內(nèi)容包括新建或更換重要信息系統(tǒng)相關(guān)的資料、年度信息技術(shù)管理專項(xiàng)報(bào)告以及信息安全事件和調(diào)查處理報(bào)告。同時(shí)，信息技術(shù)服務(wù)機(jī)構(gòu)提供信息技術(shù)服務(wù)時(shí)，應(yīng)向證監(jiān)會(huì)定期報(bào)送相關(guān)資料；并在出現(xiàn)可能對(duì)投資者合法權(quán)益或證券期貨市場(chǎng)造成嚴(yán)重影響的事件時(shí)，立即報(bào)告住所地的中國證監(jiān)會(huì)派出機(jī)構(gòu)。此外，根據(jù)《證券期貨業(yè)信息安全事件報(bào)告與調(diào)查處理辦法》，需要履行信息安全事件報(bào)告和調(diào)查處理的主體除證券基金經(jīng)營機(jī)構(gòu)外，還包括承擔(dān)證券期貨市場(chǎng)公共職能的機(jī)構(gòu)、承擔(dān)證券期貨行業(yè)信息技術(shù)公共基礎(chǔ)設(shè)施運(yùn)營的機(jī)構(gòu)等證券期貨市場(chǎng)核心機(jī)構(gòu)及其下屬機(jī)構(gòu)。

可見，我國已初步建立起以證監(jiān)會(huì)為主導(dǎo)的縱向網(wǎng)絡(luò)安全信息報(bào)告制度，但與CISA、FS-ISAC等信息共享機(jī)制相比缺陷明顯：首先，本質(zhì)上我國采取的是一種單向的信息報(bào)告監(jiān)管機(jī)制，而非信息共享，參與主體間的互動(dòng)非常有限，未能整合公私資源；其次，參與實(shí)體有限，《辦法》適用對(duì)象不包括證券期貨交易所等金融基礎(chǔ)設(shè)施；最后，從《辦法》條款來看，除網(wǎng)絡(luò)安全事件外，報(bào)告信息與CISA中DM更為相似，相較于CISA私人實(shí)體與政府間實(shí)時(shí)CTI信息共享要求，在共享信息范圍和時(shí)效上存在不足。

鑒于此，中國人民銀行和證監(jiān)會(huì)應(yīng)在吸納PFMI和CRFMI指南的基礎(chǔ)上盡快出臺(tái)《金融基礎(chǔ)設(shè)施信息技術(shù)管理辦法》，將FMI納入信息共享制度范疇。同時(shí)，進(jìn)行FMI、證券基金經(jīng)營機(jī)構(gòu)、信息技術(shù)服務(wù)機(jī)構(gòu)與證監(jiān)會(huì)之間實(shí)時(shí)CTI信息共享的可行性分析，從而擴(kuò)大信息共享的范圍。對(duì)于私人主體間的信息共享，出于對(duì)個(gè)人隱私權(quán)的保護(hù)以及監(jiān)管難度的考慮，現(xiàn)階段不宜輕易放開。更重要的是，限制私人主體間的信息共享，即信息共享僅由信息收集方儲(chǔ)存與保護(hù)，不僅可以減輕被獲取信息方與信息收集方之間的信任困境，還可有效阻止涉及個(gè)人隱私甚至是國家安全的信息數(shù)據(jù)通過跨國企業(yè)向境外轉(zhuǎn)移。而對(duì)于促進(jìn)參與主體間的互動(dòng)，目前證監(jiān)會(huì)作為網(wǎng)絡(luò)安全信息獲取的終端集成者，可在統(tǒng)籌分析的基礎(chǔ)上，建立證券期貨行業(yè)信息系統(tǒng)應(yīng)急案例庫，向參與者分享網(wǎng)絡(luò)風(fēng)險(xiǎn)管控的最佳實(shí)踐。也就是說，盡管橫向私人主體間的互動(dòng)被阻斷，但證監(jiān)會(huì)仍可通過典型網(wǎng)絡(luò)安全案例使整個(gè)信息共享體系活躍起來。此外，證監(jiān)會(huì)應(yīng)以《網(wǎng)絡(luò)空間國際合作戰(zhàn)略》為指導(dǎo)原則，積極參與國際層面網(wǎng)絡(luò)安全信息共享合作，合理利用EMMoU平臺(tái)，從而減輕網(wǎng)絡(luò)風(fēng)險(xiǎn)對(duì)國內(nèi)證券市場(chǎng)的負(fù)面影響。

(三)盡快填補(bǔ)上市公司網(wǎng)絡(luò)風(fēng)險(xiǎn)和網(wǎng)絡(luò)安全事件信息披露規(guī)則的空白

信息披露規(guī)則完善是我國證券市場(chǎng)注冊(cè)制改革的核心議題之一。目前，上市公司網(wǎng)絡(luò)風(fēng)險(xiǎn)和網(wǎng)絡(luò)安全事件信息披露存在立法空白，有關(guān)部門應(yīng)盡快出臺(tái)相應(yīng)規(guī)則加以規(guī)范。

國際實(shí)踐中，上市公司關(guān)于網(wǎng)絡(luò)安全的信息披露大多采取風(fēng)險(xiǎn)因素的形式，內(nèi)容多以商標(biāo)和信譽(yù)減損、對(duì)商業(yè)的損害程度、數(shù)據(jù)泄露的后果，公司為維持信息技術(shù)系統(tǒng)安全有效的開銷及其對(duì)經(jīng)營業(yè)績的負(fù)面影響，網(wǎng)絡(luò)安全法律法規(guī)變化帶來的潛在負(fù)面影響，以及上市公司為減輕網(wǎng)絡(luò)風(fēng)險(xiǎn)而采取措施的基本信息為主。相比于定量分析，上市公司多采取定性分析的方式進(jìn)行披露。因此，有關(guān)部門在制定相關(guān)規(guī)則指引時(shí)，應(yīng)重點(diǎn)考慮：(1)上市公司面臨網(wǎng)絡(luò)風(fēng)險(xiǎn)的原因；(2)網(wǎng)絡(luò)風(fēng)險(xiǎn)的來源和性質(zhì)以及風(fēng)險(xiǎn)發(fā)生路徑；(3)網(wǎng)絡(luò)事件可能帶來的后果，包括對(duì)上市公司聲譽(yù)和客戶信任的影響、對(duì)利益相關(guān)方和其他第三方的影響、網(wǎng)絡(luò)事件后恢復(fù)成本、上市公司損害賠償訴訟、上市公司內(nèi)部信息披露控制的影響等；(4)減輕網(wǎng)絡(luò)風(fēng)險(xiǎn)的保護(hù)措施和管理策略的適當(dāng)性。

就操作層面而言，深滬交易所應(yīng)針對(duì)特定行業(yè)制定信息披露指引，尤其是網(wǎng)絡(luò)風(fēng)險(xiǎn)敞口較高的行業(yè)，如互聯(lián)網(wǎng)企業(yè)、金融機(jī)構(gòu)等，以填補(bǔ)網(wǎng)絡(luò)風(fēng)險(xiǎn)和網(wǎng)絡(luò)安全事件信息披露規(guī)則空白。在必要時(shí)，再由證監(jiān)會(huì)以出臺(tái)《公開發(fā)行證券的公司信息披露編報(bào)規(guī)則——網(wǎng)絡(luò)風(fēng)險(xiǎn)信息披露特別規(guī)定》的形式，完善并系統(tǒng)化構(gòu)建網(wǎng)絡(luò)風(fēng)險(xiǎn)和網(wǎng)絡(luò)安全事件的信息披露規(guī)則。

[基金項(xiàng)目：2019年度福建省社科規(guī)劃省法學(xué)會(huì)專項(xiàng)“金融科技的勃興與監(jiān)管科技運(yùn)用的法律路徑”(FJ2019TWFB05)]

注釋

1. 本文所指網(wǎng)絡(luò)，英文翻譯為Cyber而非Network。中共中央網(wǎng)絡(luò)安全和信息化委員會(huì)辦公室官方英文翻譯采用的也是Cyberspace的表述。在我國網(wǎng)絡(luò)安全管理相關(guān)標(biāo)準(zhǔn)及法規(guī)中，多采用“信息技術(shù)管理”“信息系統(tǒng)安全管理”的表述。從《網(wǎng)絡(luò)安全法》視閾來看，網(wǎng)絡(luò)安全(Cyber Security)應(yīng)是信息技術(shù)、信息系統(tǒng)安全的上位概念。為與現(xiàn)行標(biāo)準(zhǔn)和法規(guī)保持一致，本文不對(duì)網(wǎng)絡(luò)安全、信息系統(tǒng)安全做詳細(xì)區(qū)分。關(guān)于信息安全、網(wǎng)絡(luò)安全及賽博安全相關(guān)詞匯之間的關(guān)系與區(qū)別，參見謝宗曉. 信息安全、網(wǎng)絡(luò)安全及賽博安全相關(guān)詞匯辨析[J]. 中國標(biāo)準(zhǔn)導(dǎo)報(bào), 2015, (12): 30-32.

2. 盡管國際社會(huì)對(duì)于網(wǎng)絡(luò)風(fēng)險(xiǎn)及其相關(guān)概念的內(nèi)涵和外延仍存在爭議，但部分詞匯定義已形成一定共識(shí)。金融穩(wěn)定理事會(huì)于2018年11月12日發(fā)布了網(wǎng)絡(luò)詞匯表，對(duì)與網(wǎng)絡(luò)相關(guān)的重要詞匯進(jìn)行定義。其中，網(wǎng)絡(luò)風(fēng)險(xiǎn)被定義為網(wǎng)絡(luò)事件發(fā)生概率及其影響的組合。See FSB. Cyber lexicon[EB/OL].(2018-11-12)[2019-08-29]. https://www.fsb.org/wp-content/uploads/P121118-1.pdf.

3. See IOSCO&WFE. Cyber-crime, securities markets and systemic risk[EB/OL]. (2013-07-15)[2019-09-12]. https://www.iosco.org/library/pubdocs/pdf/IOSCOPD460.pdf.

4. See Verizon. 2019 Data breach investigations report[EB/OL]. (2019-08-20)[2019-09-30]. https://enterprise.verizon.com/resources/reports/2019-data-breach-investigations-report.pdf.

5. See Nick Eubanks. The true cost of cybercrime for businesses[EB/OL]. (2017-07-13)[2019-09-23]. https://www.forbes.com/sites/theyec/2017/07/13/the-true-cost-of-cybercrime-forbusinesses/#6c0453c44947.

6. 系統(tǒng)性風(fēng)險(xiǎn)是指金融服務(wù)中斷的風(fēng)險(xiǎn)，即(1)由金融系統(tǒng)的全部或部分受損引起；(2)可能對(duì)實(shí)體經(jīng)濟(jì)產(chǎn)生嚴(yán)重負(fù)面影響。See International Monetary Fund, the Bank for International Settlements, and the Financial Stability Board. Guidance to assess the systemic importance of financial institutions, markets and instruments: initial considerations[EB/OL]. (2009-11-7)[2019-09-27]. https://www.bis.org/publ/othp07.pdf.

7. See CPMI. Cyber resilience in financial market infrastructures [EB/OL]. (2014-11-11)[2019-09-27]. https://www.bis.org/cpmi/publ/d122.pdf.

8. See IOSCO. Securities markets risk outlook 2016[EB/OL]. (2016-03-02)[2019-09-30]. https://www.iosco.org/library/pubdocs/pdf/IOSCOPD527.pdf.

9. See IOSCO. Cyber task force final report[EB/OL]. (2019-6-18)[2019-10-04]. https://www.iosco.org/library/pubdocs/pdf/IOSCOPD633.pdf.

10.See NIST. Framework for improving critical infrastructure cybersecurity version 1.1[EB/OL].(2018-04-16)[2019-10-13]. https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.04162018.pdf.

11. 參見左曉棟, 周亞超. NIST發(fā)布新標(biāo)準(zhǔn)對(duì)工控系統(tǒng)安全影響深遠(yuǎn)[J]. 信息安全與通信保密, 2014, (6): 54-56.

12. See CPMI&IOSCO. Guidance on cyber resilience for financial market infrastructures[EB/OL].(2016-06-29)[2019-10-18]. https://www.bis.org/cpmi/publ/d146.pdf.

13. 結(jié)算終局性是指資產(chǎn)或金融工具不可撤銷和無條件轉(zhuǎn)讓，或金融基礎(chǔ)設(shè)施及其參與者根據(jù)基礎(chǔ)合同條款履行義務(wù)。結(jié)算終局性是信用風(fēng)險(xiǎn)、流動(dòng)性風(fēng)險(xiǎn)、市場(chǎng)風(fēng)險(xiǎn)和法律風(fēng)險(xiǎn)在交易各方之間進(jìn)行分配的基礎(chǔ)。

14. See ISO. ISO/IEC 27000[EB/OL].(2018-02)[2019-11-12]. https://standards.iso.org/ittf/PubliclyAvailableStandards/c073906_ISO_IEC_27000_2018_E.zip.

15. See Zheng D E, LewisJ A. Cyber threat information sharing: recommendations for congress and the administration[EB/OL]. (2015-03-10)[2019-11-10]. https://csisprod.s3.amazonaws.com/s3fspublic/legacy_files/files/publication/150310_cyberthreatinfosharing.pdf.

16. H.R. 2029, 114th Cong., div. N, tit. I §§ 101-111(2015).

17. PPP模式(Public-Private-Partnership),指政府與私人組織之間，為提供某種公共物品和服務(wù)，以特許權(quán)協(xié)議為基礎(chǔ)，彼此之間形成一種伙伴式的合作關(guān)系。

18. H.R. 2029, 114th Cong., div. N, tit. I § 102(6).

19. H.R. 2029, 114th Cong., div. N, tit. I § 102(7).

20. H.R. 2029, 114th Cong., div. N, tit. I § 104(e).

21. H.R. 2029, 114th Cong., div. N, tit. I § 106.

22. See IOSCO. Cyber security in securities markets—an international perspective[EB/OL]. [2016-4-2]. https://www.iosco.org/library/pubdocs/pdf/IOSCOPD528.pdf.

23. 根據(jù)EMMoU第1條第2項(xiàng)，“允許范圍內(nèi)的最大協(xié)助”是指監(jiān)管機(jī)構(gòu)職權(quán)范圍內(nèi)任何形式的協(xié)助，無論這種協(xié)助是否在EMMoU中列明。

24. See Gordon L A, et al. Externalities and the magnitude of cyber security underinvestment by private sector firms: amodification of the Gordon-Loeb model[J]. Journal of Information Security, 2015, 6(1): 25-26.

25. See SEC. CF disclosure guidance: topic no. 2— cybersecurity [EB/OL]. (2011-10-13)[2019-11-25].https:// www.sec.gov/divisions/corpfin/guidance/ cfguidance-topic2.htm.

26. 例如，Willis North America公司在2013年發(fā)布的一份報(bào)告中發(fā)現(xiàn)，《財(cái)富》500強(qiáng)公司中約有88%的上市公司和《財(cái)富》501～1000強(qiáng)公司中約有78%的公司在2012年提交的年度報(bào)告中披露了網(wǎng)絡(luò)安全方面的風(fēng)險(xiǎn)因素。2015年，88%羅素3000標(biāo)的公司在其信息披露報(bào)告中將網(wǎng)絡(luò)安全視為風(fēng)險(xiǎn)。

27. See SEC. Commission statement and guidance on public company cybersecurity disclosures[EB/OL]. (2018-2-26)[2019-12-02]. https://www.federalregister.gov/documents/2018/02/26/2018-03858/commission-statement-and-guidance-on-public-company-cybersecuritydisclosures.

28. See Shackleford S J. Managing cyber attacks in international law, business and relations: in search of cyber peace[M]. Cambridge University Press, 2014: 647.

29. See FSB. Stocktake of publicly released cybersecurity regulations, guidance and supervisory practices[EB/OL].(2017-10-13)[2019-11-13]. https://www.fsb.org/wp-content/uploads/P131017-2.pdf.

30. 除三大核心標(biāo)準(zhǔn)外，重要的網(wǎng)絡(luò)安全相關(guān)指南包括：七國集團(tuán)(G7)發(fā)布的金融部門網(wǎng)絡(luò)安全核心要素，美國信息系統(tǒng)審計(jì)與控制協(xié)會(huì)(ISACA)發(fā)布的信息和相關(guān)技術(shù)控制目標(biāo)(COBIT)，美國聯(lián)邦金融機(jī)構(gòu)審查委員會(huì)(FFIEC)發(fā)布的網(wǎng)絡(luò)安全評(píng)估工具等。

31. See JohnsonK N. Governing financial markets: regulating conflicts[J]. Washington Law Review, 2013, (1): 187-189.

32. See Open Tech. Inst. Omnibus funding bill is a privacy and cybersecurity failure[EB/OL]. (2015-12-16)[2019-12-10]. https://www.newamerica.org/oti/omnibus-funding-bill-is-a-privacy-andcybersecurity-failure/.

33. 參見方婷, 李欲曉. 安全與隱私——美國網(wǎng)絡(luò)安全信息共享的立法博弈分析[J]. 西安交通大學(xué)學(xué)報(bào)(社會(huì)科學(xué)版), 2016, (1): 72.

34. H.R. 2029, 114th Cong., div. N, tit. I § 103(d)(2).

35. H.R. 2029, 114th Cong., div. N, tit. I § 103(d)(3).

36. H.R. 2029, 114th Cong., div. N, tit. I § 102(4).

37. 參見宋國濤. 試析美國網(wǎng)絡(luò)安全信息共享法案[J]. 保密科學(xué)技術(shù), 2016, (6): 29.

38. SeeJackson R J Jr. Statement on commission statement and guidance on public company cybersecurity disclosures[EB/OL].(2018-02-21) [2019-12-15].https://www.sec.gov/news/public-statement/statement-jackson-2018-02-21.

39. See SteinK M. Statement on commission statement and guidance on public company cybersecurity disclosures[EB/OL]. (2018-02-21)[2019-12-26].https://www.sec.gov/news/public-statement/statementstein-2018-02-21#_edn14.

40. See Bronstein J. The balance between informing investors and protecting companies: a look at the division of corporate finance’s recent guidelines on cybersecurity disclosure requirements[J]. North Carolina Journal of Law & Technology, 2012, (13): 259.

41. 這些法規(guī)、標(biāo)準(zhǔn)和指引主要包括：2005年《證券公司信息技術(shù)管理規(guī)范》，2007年《關(guān)于做好證券業(yè)重要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作的通知》，2011年《證券期貨經(jīng)營機(jī)構(gòu)信息系統(tǒng)備份能力標(biāo)準(zhǔn)》，2012年《證券期貨業(yè)信息安全保障管理辦法》《證券期貨業(yè)信息安全事件報(bào)告與調(diào)查處理辦法》《金融行業(yè)信息系統(tǒng)信息安全等級(jí)保護(hù)實(shí)施指引》，2013年《證券期貨業(yè)信息系統(tǒng)運(yùn)維管理規(guī)范》，2014年《證券期貨業(yè)信息系統(tǒng)審計(jì)規(guī)范》，2016年《證券期貨業(yè)信息系統(tǒng)托管基本要求》《證券期貨業(yè)信息系統(tǒng)審計(jì)指南》(第1-7部分)，2018年《證券基金經(jīng)營機(jī)構(gòu)信息技術(shù)管理辦法》《證券期貨業(yè)數(shù)據(jù)分類分級(jí)指引》《證券期貨業(yè)機(jī)構(gòu)內(nèi)部企業(yè)服務(wù)總線實(shí)施規(guī)范》。

42. 參見李琪.從標(biāo)準(zhǔn)化角度看NIST網(wǎng)絡(luò)安全框架[C]//中國標(biāo)準(zhǔn)化協(xié)會(huì). 第十四屆中國標(biāo)準(zhǔn)化論壇論文集.北京:《中國學(xué)術(shù)期刊(光盤版)》電子雜志社, 2017: 787.