美国SEC就4项网络安全相关拟议规则公开征求意见

2023年3月15日，美国证监会（SEC）提出4项网络安全拟议规则，包括拟议发布新的网络安全风险管理规则、修订Reg SCI规则（技术系统合规运行）、修订S-P规则（客户信息数据管理）以及重新开放注册投资顾问和基金网络安全风险管理规则的意见征询。其中，前3项拟议规则如果正式实施，将帮助美国证监会解决证券市场的技术缺陷，并加强对美国重要证券市场公司核心技术的控制力度。

一

S-P规则全称为Regulation S-P: Privacy of Consumer Financial Information and Safeguarding Personal Information，意为“消费者个人信息及金融信息的隐私保护”。根据1999年11月通过的the Gramm-Leach-Bliley Act（GLBA，又称“金融服务现代化法案”）第504节要求，金融机构必须向客户提供有关其隐私政策和做法的通知，并且不得向非关联第三方披露有关消费者的非公开个人信息，除非该机构向客户发布通知且消费者未选择不拒绝披露（即默认不披露，需要用户手动同意）。

GLBA废除了1933年实行的Glass-Steagall Act（又称“1933年银行法”），放开了商业银行和投资银行在展业过程中的沟通方式，引入了金融隐私规则和保障规则，规定金融机构如何使用客户信息以及必须告知客户有关共享其信息的内容，并由此推动S-P规则的落地。目前S-P规则在消费者信息保护方面的“隐私和退出通知”“披露过程限制”“特殊情况披露”和“信息保障程序”提出要求，其中“信息保障程序”也是此次SEC拟新增的内容。

“信息保障程序”的主要目的仍是加强对客户信息的保护，其中包括要求经纪交易商，投资公司，注册投资顾问和中介商等资本市场受监管主体（下称“受监管机构”）向受特定类型数据泄露影响的个人发布通知，提醒其可能面临身份盗用或其他伤害的风险。具体要求：

①确保客户记录和信息的安全性和机密性；

②防止对客户记录和信息的安全性或完整性的任何预期威胁或危害；

③防止未经授权访问或使用可能对任何客户造成重大伤害或不便的客户记录或信息。

拟议规则文件中，SEC讨论了S-P规则增加“信息保障程序”带来的各方面内容及影响，其中突发事件发生后的客户通知程序相关内容比较具有参考意义：

突发事件发生后的客户通知程序。网络安全事件可能在不同场景下发生，例如网络攻击者异地登录客户账户、客户在未知情况下不当处理自身信息或者客户信息在内的数据丢失或被盗。无论采取什么方式，网络安全事件都可能会泄露客户的非公开信息，对客户造成不良影响或者经经济损失。为了防止网络安全事件对客户信息造成的不良影响，SEC将要求受监管机构合理设计响应程序，检测、响应和恢复未经客户授权的访问和信息使用，标准的响应程序应当至少包括：

受监管机构在事前安全评估上需要定期评估和修正安全评估程序，确保其合理的功能设计，通过识别攻击类型及源头、攻击者获取的权限、产生的违规操作、系统及相关资产的受影响情况、客户数据泄露或丢失情况等，以此厘清突发事件的时间线和识别其他异常活动。

此外，安全评估还需要识别可能被非法访问或使用的客户信息系统、客户信息类型以及受影响的客户群体，以及事件日期、估计受影响范围等报告所需的其他详细信息，并采取必要的合理措施防止事件进一步恶化，准确的信息和群体定位有助于受监管机构快速做出是否有必要通知客户的相关决策。

评估过程中，足够充分的收集信息还可以帮助受监管机构了解事件背景，增强对网络安全事件的技术认知，有助于指导制定响应程序中的缓解控制措施，有助于识别和评估可从补救中受益的现有漏洞，以防止此类漏洞在未来被利用。

具体来看，受监管机构在事中影响控制上需要定期评估和修正控制，确保其合理的功能设计，采取行动防止非法活动带来进一步的损害，或者直接消除非法活动带来的不良影响。

缓解和控制程序应当因网络安全事件类型有所差异，可以采用隔离受感染的系统、强化对攻击活动监测、更改系统管理员密码、轮换私钥、禁用默认用户账户和密码等，在确保已经完全监测不同访问方式并充分控制攻击活动后，受监管机构还应当尽量处理好攻击事件的人为因素，例如删除恶意代码、重新加载被篡改过的系统等。

在不同情况下，缓解和控制程序还可能需要考虑到补救所有受感染的IT环境（例如云、运营技术、交换机、主机和网络系统）、重置受感染帐户密码，监测攻击方对反制手段的反应等。由于事中的响应阶段可能涉及做出决定何时关闭或断开系统连接等复杂的判断和决策，因此受监管机构需要在书面政策和程序中制定一个响应框架，帮助机构在受攻击的高压期间改善事件响应的准确和有效程度。

尽管受监管机构及时通知客户发生网络安全事件有助于客户监控资金动向、及时止损，但大量通知不仅会影响客户的正确判断，也会过分损害受监管机构的声誉，相反的，如果给予受监管机构过度自由的衡量权力，出于利益考虑，受监管机构难免会减少通知次数，则会降低客户对网络安全事件的应对补救能力。因此，受监管机构“是否向客户发送通知”应当取决于“‘敏感客户信息’的定义”“‘重大伤害’的定义”“受影响个体的识别”“时间要求”“通知模板”等内容。

是否发送通知方面。SEC要求，只有在受监管机构在“合理充分”的调查后认为对客户敏感信息不会造成影响的，可以不发送事件通知提醒客户，但支撑调查结论的证据需要留档记录。

“敏感客户信息”的定义。SEC官方将“单独或与任何其他信息结合使用后，相关个人会面临重大伤害或不便风险的信息”定义为“敏感客户信息”，具体来看，这些信息可能包括姓名、地址、身份证号码、账户、账户密码、电子邮件地址、联系方式、生日、家庭成员、财务状况等个人或财务信息，以及与客户账户相关的交易信息、投资组合信息、账户余额、持仓信息等敏感信息。

“重大伤害”的定义。根据文件，“重大伤害”指的是任何可能导致客户资产的损失、损害或丧失的事件或情况，包括非法访问、使用、修改、公开或破坏客户资产的情况，例如网络攻击、数据泄露、盗窃、欺诈、内部失误、员工犯罪等。上述事件可能导致客户资产的丧失、降值、冻结或转移，给客户带来经济损失。

受影响的客户。SEC要求受监管机构在网络安全事件发生时能够定位受影响的客户范围。首先，受监管机构需要确保客户身份的准确性和真实性，包括对客户的身份和资料进行严格的核实和验证，要求客户提供有效的身份证明文件、银行账户信息等。其次，受监管机构需要确保客户账户的安全性和保密性，包括使用安全的网络和系统、加密和访问控制技术、强密码和多因素身份验证等，防止非法访问和使用。第三，受监管机构需要建立和维护完善的客户信息和交易记录，以便能够及时识别和定位受到影响的个体，包括记录客户的交易、投资组合、账户余额、持仓等信息，并及时更新和审核这些信息。

时间要求。SEC主要在响应速度和记录保留时间上提出要求，受监管机构发现网络安全事件后，应及时向其监管机构和客户报告，其中重大网络安全事件应当在发现后立即向监管机构报告和通知客户，非重大网络安全事件可以在72小时内进行报告和通知。此外，受监管应该按照监管要求保留与安全事件相关的记录和信息，应当保留所有重大网络安全事件相关记录和信息，达到监管机构规定的保留时间（由于美国各州法律不同，拟议规则并未详细规定，但应当确保相关记录和信息的可追溯性、可审计性和可验证性，以便在必要时进行调查、追踪、纠正和改进，保存形式包括电子记录、备份文件、日志记录、审计报告、安全评估等等），其他安全事件相关记录和信息应当至少保留6个月的相关记录和信息。

通知模板。SEC要求受监管机构建立和实施通知模板，并包含以下内容：

1. 清晰地描述事件或情况的性质、影响范围和可能的后果。

2. 受监管机构采取的措施和计划，以最大程度地减少客户资产的损失和不便。

3. 客户保护自己的资产和信息安全的建议措施。

4. 受监管机构和相关监管机构的联系信息，以便客户和监管机构能够及时联系并获得进一步的支持和指导。

二

Reg SCI规则全称为Regulation Systems Compliance and Integrity，意为“系统合规性和完整性监管”。2013年8月，SEC在纳斯达克交易中断事件后与市场运行主体举行会议，参会单位同意采取措施来改善技术基础设施并降低技术问题带来的风险和影响，包括为关键基础设施系统制定综合行动计划并提供评估报告；根据需要发布“监管暂停、交易中断和重新开放交易相关”的新规则；允许交易所在出现技术故障时关闭交易系统的中断机制。

在此背景下，SEC于2014年11月推出SCI法规，将实行近20年的ARP自动化交易系统审查政策的许多规定正式化并成为强制性规定，适用于自律组织、交易所、清算机构、市场的替代交易系统等市场主体（主要服务于散户投资者的经纪交易商仍适用于ARP，此次改动也提出将经纪交易商纳入Reg SCI监管），主要监管交易、清算和结算、订单路由、市场数据、市场监管和市场监督等具有证券市场功能的系统，并提出四项强制要求：

1. 受监管主体应从管理制度和程序两方面确保系统的运行能力；

2. 在系统安全事件发生时，立即采取补救措施并通知SEC和其他受影响主体；

3. 对遵守SCI规定的情况提交客观的年度审查报告；

4. SEC和市场主体的董事会应通过审查年度报告和管理层对年度报告的内容进行监督。

提到Reg SCI，就无法绕开ARP政策（Automation Review Policy，又称自动化交易系统审核政策）。19世纪80年代初，为应对资本市场越来越多的自动化交易系统，SEC推出ARP政策，要求证券交易所、经纪商的交易系统必须由SEC对其系统可靠性、安全性和完整性进行审批，符合SEC的监管要求和标准后才能投入资本市场使用。ARP政策还要求交易所和经纪商定期向SEC提交系统的性能和操作数据，并及时通报任何重大的系统事件和故障。

随着美国资本市场的快速发展和交易系统的更新升级，ARP政策逐渐显得过时且不足以满足监管要求，SEC在2014年采用Reg SCI规则取代ARP政策。需要注意的是，虽然ARP政策已经不再适用于美国证券市场，但SEC仍然保留了这一政策，并根据ARP政策制定了一系列的技术标准和指南，用于评估和审核自动化交易系统的性能和操作。这些技术标准和指南包括计算机程序、网络通信、数据存储和安全等方面的要求，旨在保证交易系统的可靠性、安全性和完整性。

为了进一步提高美国资本市场基础设施的韧性和可靠性，SEC拟对Reg SCI的若干方面进行修改：

1. 扩大适用范围：将规则适用范围扩大至所有SEC注册的证券交易所、自律组织、清算机构和ATS等，更加全面地监管市场基础设施。

2. 强化自我评估要求：要求相关机构对系统安全性和稳定性进行更全面和深入的评估，并定期报告评估结果。

3. 增强内部控制和监督：要求相关机构加强对其系统和运营的内部控制和监督，确保其符合Reg SCI的要求。

4. 强化应急预案和测试要求：要求相关机构制定更全面、更精细的应急预案，并定期测试其应急计划的有效性和可行性。

5. 加强网络安全事件的通报和信息披露：要求相关机构及时通报和披露其系统故障等网络安全事件，并向SEC提供更加全面和准确的记录和报告。

三

网络安全风险拟议规则目前尚未有正式名称，SEC官网的文件题目为Cybersecurity Risk Management Rule for Broker-Dealers, Clearing Agencies, Major Security-Based Swap Participants, the Municipal Securities Rulemaking Board, National Securities Associations, National Securities Exchanges, Security-Based Swap Data Repositories, Security-Based Swap Dealers, and Transfer Agents，意为“针对经纪交易商、清算机构、证券交易相关参与方、市证券规则制定委员会、证券业协会、证券交易所、证券数据存储库等机构的网络安全风险管理规则”。SEC主要考虑了行业数字化转型进程、风险的互联互通性和网络安全事件频发三个方面推出网络安全风险相关拟议规则。

数字化转型进程加快。随着金融行业数字化转型进程持续推进，经纪商、清算机构和资本市场主体在业务和运营中越来越依赖信息技术和网络基础设施，为行业的网络安全风险管理提出新挑战，需要采取措施来保护其信息系统和网络安全。

风险的互联互通密切。由于市场主体之间的互联网连接和信息传输变得更加频繁和复杂，使得市场主体面临越来越多的网络安全威胁和风险，需要加强网络安全风险管理保证资本市场的稳健运行。

网络安全事件频发。新冠疫情爆发后，数据泄露、网络攻击、勒索软件攻击等网络安全事件急剧增加，对金融实体的网络和信息安全提出严峻挑战，促使监管机构对市场主体的网络安全风险管理提出更加严格的要求。

由于是新提出的拟议规则，SEC在文件中详细明确了“受监管机构”“网络安全事件”“重大网络安全事件” “网络安全相关威胁、漏洞和风险”“信息系统及其数据”“个人信息”等定义，并对不同类型的受监管机构就网络安全相关提出多样化保障要求。

SEC在确定受监管机构范围时，主要考虑了：

1. 机构关键功能因重大网络安全事件导致宕机或不稳定后，是否影响资本市场的公平、有序、高效运行；

2. 机构关键功能因重大网络安全事件导致宕机或不稳定后，投资者可能受到的损害程度；

3. 受监管机构信息技术系统连接对其他市场主体构成网络安全风险的情况；

4. 受监管机构在多大程度上会成为网络攻击者具有吸引力的目标；

5. 存储在受监管机构信息系统上的有关市场实体类型和其他个人、机密和专有商业信息，以及如果该信息被网络攻击者访问或使用后可能造成的损害。

在此要求下，美国资本市场共有经纪自营商、主要证券型互换交易参与者（MSBSPs）、市政证券管理规则制定委员会（MSRB）、证券业协会、证券交易所、证券型互换数据存储库（SBSDRs）、证券型互换交易商（SBSDs，或与MSBSPs合并称为SBS实体）以及转让代理人，其中6类经纪自营商包括托管商（为客户或其他经纪自营商保管证券和现金的经纪自营商）、中介商（在充分披露的基础上将其客户的账户介绍给结转经纪自营商的经纪自营商）、做市商、另类交易经纪商、经纪商（总资产与次级债总和超50万美元）、大型经纪商（总资产超1亿美元）。

在“网络安全事件”定义中，SEC聚焦在“信息系统相关的非法操作”上，而没有强调非法访问、非法攻击、非法泄露等细节上，换句话说，SEC希望尽量扩大“网络安全事件”定义的覆盖范围，只要影响信息系统和数据的机密性、完整性或可用性，就被认定为“网络安全事件”。

需要注意的是，虽然从定义上扩大的覆盖范围，但实际上的“网络安全事件”必须危及（即处于危险之中）信息系统或存储信息的机密性，完整性或可用性。

1. 机密性：如果事件可能导致不允许或无权访问信息系统的人访问，或者影响数据正常披露，包括披露不应当公开的信息以及无法披露应当公开的信息。

2. 完整性：未经许可、无意间的修改、破坏信息系统及数据；以其他方式可能导致信息系统的真实性（包括其操作和输出）和数据受到损害。

3. 可用性：如果事件可能导致受监管机构或其他授权用户无法访问或使用数据，无法及时或可靠地访问、使用信息系统和数据。

在“网络安全事件”的基础上，SEC从两方面对“重大网络安全事件”作出定义。一是网络安全事件或者一系列网络安全事件的发生破坏了信息系统或数据，导致受监管机构无法运行关键系统功能（例如证券交易所的订单路由系统或清算机构的清结算系统），或者无法访问市场高度依赖的数据（例如经纪自营商跟踪和记录的证券交易记录），这种关键功能可能是活动、流程或服务，如果中断，足以影响市场的正常运行。二是网络安全事件或者一系列网络安全事件导致信息系统和数据能够被非法访问，且这种非法访问将对受监管机构或者机构相关方带来重大损害，例如员工非法访问客户交易和持仓数据，或者交易时获得不平的优势。

SEC将网络安全事件、网络安全威胁和网络安全漏洞引起的财务、运营、法律、声誉和等不利影响统称为网络安全风险。

网络安全威胁。任何可能导致对受监管机构信息系统或数据的机密性、完整性或可用性产生不利影响的潜在事件，主要包括外部网络攻击和内部操作失误。

网络安全漏洞。受监管机构的信息系统、信息系统安全程序或内部控制中可能导致网络安全事件的漏洞，包括信息系统本身缺陷以及受监管机构在保护系统和数据时采取的措施中的缺陷。

四

随着数字化转型进程加快，信息技术在助力行业快速发展的同时，也放大了操作风险，并带来了新的网络和信息安全问题，行业网络和信息安全防御能力亟待提升。在《网络安全法》《数据安全法》《个人信息保护法》和《关键信息基础设施安全保护条例》的指导下，参考《证券期货业网络和信息安全管理办法》，经营机构可以通过制定明确的网络安全策略，配置有效的防火墙和安全设备，加强数据加密和访问权限管理，建立和完善安全监控和事件响应机制，提高员工安全意识，定期进行数据备份，第三方风险管理，定期进行IT审计等方式加强网络和信息安全防御能力，具体如下：

1. 网络安全策略。通过明确对网络安全的管理原则和要求，包括网络使用规范、账户权限管理、密码策略、设备配置规范等方式制定网络安全策略。

2. 防火墙和安全设备。建立有效的防火墙系统，对网络流量进行监控和过滤，防范外部攻击。同时，使用安全设备如入侵检测系统（IDS）和安全信息和事件管理系统（SIEM）等，监测和响应潜在的安全威胁。

3. 数据加密。对敏感数据进行加密处理，确保数据在传输和存储过程中的安全性。对数据库、文件传输、通信等环节进行加密处理，保护数据的机密性和完整性。

4. 系统更新和漏洞修复。及时对系统和软件进行更新和漏洞修复，确保系统和应用程序处于最新的安全状态，降低安全漏洞被攻击的风险。

5. 访问权限管理。根据最小权限原则设置权限，严控员工和投资者的访问权限，确保只有授权人员才能访问关键系统和数据。

6. 安全监控和事件响应。建立安全监控机制，对网络和系统进行实时监控，及时发现和处理安全事件。同时，建立完善的安全事件响应计划，包括应急处理流程、通讯渠道、责任分工等，以应对安全事件的发生。

7. 员工培训和安全意识。加强信息技术人员、业务人员、行政人员等员工的网络安全培训，提高员工对网络安全的认知和意识，防范恶意软件、邮件、链接等带来的网络和信息安全问题。

8. 数据备份。定期进行数据备份，妥善保管备份数据，防止数据丢失。

9. 第三方风险管理。对合作的第三方服务提供商（信息技术服务机构、引流平台等）进行安全风险评估和管理，及时清除风险点，避免对信息系统和数据构成安全威胁。

10. 定期进行IT审计。邀请专业的IT审计机构进行安全评估，共享威胁情报，不断提升安全防护能力。