SPAC 不应忽视网络安全风险
新冠疫情使全球数码化转型的进程加快并成为焦点;人工智能(AI)、区块链、物联网和虚拟现实等突破性技术也正在重新塑造我们的未来。与此同时,新经济和新技术带来新的安全、隐私和道德上的挑战。毕马威网络安全服务主管说:“网络黑客始终能够完成入侵,企业不得不接受此现实。关键在于要减少其入侵的时长,以及发现黑客入侵行为所需的时间。”对于 SPAC(特殊目的公司)以及SPAC 的发起人来说,虽然自身的网络安全风险较低,但在de-SPAC 过程中必须积极识别、分析和管理此风险。我们特别邀请金融保险领域的资深人士、Lockton 大中华区金融险负责人 Melody Qian 为大家介绍,美国证券交易委员会(SEC)网络安全风险披露新规及如何在 de-SPAC 过程中管理网络安全风险。
以下是她与我们的分享:
SEC 新规要求企业披露
2023 年 7 月 26 日,SEC 通过旨在加强和规范与网络安全相关的讯息披露修正案。修正案要求上市公司如发生重大网络安全事件,必须使用 8-K 表格予以及时披露,并须在 10-K 年表格中披露公司有关网络安全风险的风险管理和治理的具体讯息。
而美国以外的发行人(即“Foreign Private Issuers”/“外国私人发行人”)则需在 20-F 年报表格中,披露与美国国内公司同样的有关网络安全风险管理和治理方面的讯息;不过,在使用6-K 表格公告重大网络安全风险事件时,则要适用外国私人发行人注册地或所在地的法律是否有相同披露要求为前置条件。
“无论企业因火灾引致财产损毁,亦或网络安全事件导致数百万数据或档案遗失,都可能对投资人产生实质性的影响。网络安全威胁和重大安全事件对上市公司、投资人和市场参与者构成持续的风险。”
SEC 主席表示,“无论企业因火灾引致财产损毁,亦或网络安全事件导致数百万数据或档案遗失,都可能对投资人产生实质性的影响。网络安全威胁和重大安全事件对上市公司、投资人和市场参与者构成持续的风险。”
SolarWinds 及CISO 遭起诉
2020年12月,美国政府机构与企业遭遇有史以来最大的网络安全威胁,其核心源于网络监控产品 SolarWinds Orion 平台的安全漏洞被利用,黑客间接入侵锁定的目标对象。最终包括美国五角大楼、国务院、国土安全部、财政部、商务部等多个政府部门确认遭黑客入侵。
2023 年 10 月 23 日,SEC 对 SolarWinds 及其首席讯息安全官(CISO)提出诉讼,指控SolarWinds 于2018 年10 月的公开上市至2020 年12 月的公告文件中夸大公司网络安全措施、低估或隐瞒已知的安全漏洞和安全风险,行为构成欺诈。
另外,SEC 根据 SolarWinds 公司内部沟通文件进一步指控CISO 未能及时处理并解决网络安全风险隐患,包括漏洞未及时修补、远程接入存在安全隐患、关键系统与资料的存取权限不合理等,要求 CISO 在网络安全事件中承担个人责任。这也是 SEC 第一次因网络安全缺陷导致公司内控失败、无法保护其关键资产起诉公司同CISO。
SPAC 发起人往往由于规模有限,对目标公司的评估通常专注于业务模式和财务状况,容易把数据安全和网络安全置于次要地位,甚至不闻不问。其实网络安全风险早已成为企业合并或上市过程中不可忽略的环节。2016 年 7 月雅虎(Yahoo!)与美国通讯巨头Verizon 达成48 亿美元的合并协议并对外公布,而 2017 年雅虎先后两次披露公司于2013 年8 月因黑客攻击造成总共30亿用户资料的泄露。最终Verizon 把收购价由 48 亿美元重新谈判至44.8 亿美元。
在 de-SPAC 过程中,假如完成合并后的新公司在上市交易后未披露已知或应知的网络安全缺陷,甚至重大网络安全事件,新公司和/或其管理层以及SPAC 的董事将面临监管调查/诉讼或民事诉讼的风险。因此SPAC 发起人须在de-SPAC 过程中积极管理网络安全风险,包括:
对目标公司尽调覆盖数据和网安记录及管理
针对数据资产价值占比较高或网络安全对企业营运重要性较高的目标企业,SPAC 发起人必须在常规法律的尽职调查中覆盖数据合规和网络安全的内容,包括但不限于:评价企业拥有的数据资产及相应的保护措施,了解企业数据和网络安全保护的工具、技术和流程,审查企业在网络安全方面的实践,如企业响应计划、漏洞评估、渗透测试等。另外,发起人还应进一步对目标公司询问有关可疑或已知的漏洞利用、数据泄露或网络安全事件。
助目标公司理解并重视网安风险披露
目标公司由私人企业转为上市公司时,对于上市后的持续合规责任可能相对陌生。当上市地为美国时,目标公司还需特别留意本土发行人和外国发行人在法律适用上的差异,包括 SEC 网络安全风险披露新规。此外,当目标公司掌握大量数据资产时,还要特别留意各个国家对数据和私隐保障的法例适用,譬如欧盟《通用数据保障条例》(GDPR)同样适用于向欧盟境内个人提供商品或服务的境外企业。
保险的风险转嫁:董责险vs 网络安全险
通常 SPAC 都会通过购买董责险(D&O)来保障公司董事及管理人员履行其职责时面临的个人法律责任风险,包括于 de-SPAC 过程中对目标公司的尽职调查不够充分或对股东的披露存在误导。SPAC 发起人在购买 D&O 时应确保网络风险没有被剔除,并把保障董事或管理人员因网络相关的讯息披露或安全事件而面临的管理责任调查或诉讼。
另外,目标公司可通过购买网络安全保险(cyber)作为风险转嫁的手段,保障目标公司的第一方财务损失,如赎金、利润损失、数据或系统恢复费用、法证调查费用等;以及对目标公司及相关人员违反数据保护或监管的调查或诉讼。
本文首发于香港《信报》