證券市場網絡風險的法律規制研究
——以國際實踐新發展為視角

周聖

(廈門大學法學院，福建 廈門 361005)

一、問題的提出：網絡風險——一個日益加劇的系統性風險

眾所周知，證券市場一直以來都處于網絡1技術發展的前端。當下絕大部分的證券交易是通過純粹的電子系統進行的，信息技術的高速發展在帶來低成本、高效、便捷的同時，也伴隨著風險產生，并隨著技術的不斷提升與日俱增。網絡風險2被廣泛認為是當今金融市場面臨的最大威脅之一。國際證監會組織(IOSCO)和世界證券交易所聯合會(WFE)對全球46家證券交易所的一份調查顯示，53%的交易所曾經歷過至少一次網絡攻擊。3與其他報告相類似，威瑞森(Verizon)數據泄露調查報告持續將金融業列為受網絡安全事件影響的前三大行業之一。4預計到2021年，網絡犯罪每年造成的損失將高達6萬億美元。5

更重要的是，網絡風險本質上是系統性的，網絡攻擊可能產生影響整個金融系統乃至更廣泛實體經濟的重要連鎖反應。6原因包括：第一，金融市場使用信息技術的程度不斷加深；第二，金融市場參與者相互之間的依賴性和關聯性不斷增長；第三，網絡攻擊者及其動機變得更加多樣化，使威脅來源更加難以預測。7因此，IOSCO新興風險委員會和秘書處研究部在其2015～2016年證券市場風險展望中，將網絡風險確定為一項潛在的重要系統性風險。8

可以預見的是，網絡風險對于證券市場來說將會變得越來越普遍，這就需要國際社會加強合作，對網絡風險進行必要的法律規制，以維護證券市場安全、穩定、有效的運行。

二、證券市場網絡風險法律規制動態考察

隨著世界各國對網絡風險認識程度的不斷加深，越來越多的國際組織和政府針對網絡風險采取了必要的法律規制措施。從既有實踐來看，證券市場網絡風險與其他金融行業相比并無本質區別，但證券市場網絡風險規制手段更為豐富，不僅包括可普遍適用于金融市場各行業的網絡風險管理標準、網絡安全信息共享機制，還包括上市公司網絡風險和網絡安全事件信息披露規則。

(一)網絡風險管理標準指南：三大核心標準

根據金融穩定理事會(FSB)2017年盤點報告，目前三大核心標準(Core Standards)——《增強關鍵基礎設施網絡安全框架》(NIST框架)、《金融市場基礎設施建設的網絡恢復力指南》(CRFMI指南)以及ISO/IEC27000系列標準，是FSB成員適用最廣泛的網絡安全標準，這也在一定程度上促進了金融領域網絡安全監管的一致性。9此外，三大核心標準間不存在規則沖突，監管當局和市場參與者可自由選擇。

比較而言，三大核心標準在網絡風險管理措施上有相似性，但又各有側重、各具特色。NIST框架和CRFMI指南的獲取和使用是免費的，前者為組織機構網絡安全風險管理提供框架指引，并且可吸納諸多其他標準，具有極強的可拓展性；后者則是針對金融市場基礎設施網絡風險管理提出基本原則和操作指引，作為金融市場基礎設施原則(PFMI)的補充。而ISO/IEC27000系列標準的使用并不免費，但組織機構可申請ISO認證，ISO作為獨立的第三方，其認證結果是判斷內部與外部供應商網絡安全體系的重要依據。

1.《增強關鍵基礎設施網絡安全框架》

根據時任總統奧巴馬頒布的第13636號行政命令，美國國家標準與技術研究所(NIST)于2014年2月12日發布了《增強關鍵基礎設施網絡安全框架(1.0版)》，面向關鍵基礎設施運營商，基于風險建立了一個行業標準與最佳實踐相結合的非強制性指引框架，以應對不斷升級的網絡風險。隨后，NIST公開征求框架實施意見，并于2016年、2017年連續舉辦研討會收集各方反饋信息，發布兩份新框架草案供公眾討論，最終在2018年4月16日正式發布《增強關鍵基礎設施網絡安全框架(1.1版)》(以下簡稱《框架1.1》)。與1.0版相比，新框架在驗證和識別、網絡安全風險自我評估、供應商網絡安全管理以及漏洞披露等部分進行了改進和優化。

從內容上看，《框架1.1》10主要包含三個部分，即核心策略(Core)、實施層級(Implementation Tiers)和指標集(Profile)。

首先，核心策略是一組涵蓋網絡安全管理程序、預期目標和參考標準的規劃表，旨在指導機構逐步建立網絡安全風險管理體系。核心策略按照功能、類、子類和參考文件的順序展開，并確立了應對網絡攻擊的五大功能性程序：識別、保護、檢測、響應和恢復。這與我國專家提出的預警、保護、檢測、響應、恢復、反擊具有相似性。11類是對五大功能進行劃分后的網絡安全要素，子類則是對類的進一步細分，并將參考文件，即現有的國際標準、指南和最佳實踐，與子類一一對應，作為機構在制定、完善其網絡安全管理程序時的重要參考。目前，《框架1.1》附錄A將5個功能細分為23個類和108個子類，每個子類代表著一個特定網絡安全目標，機構可通過借鑒羅列在參考文件中的指南和最佳實踐達成前述目標。

其次，實施層級是對組織機構內部網絡風險管理能力成熟度的分級標準，由低到高包括部分實施級、風險預知級、可重復實施級以及自動適應級四個層級。最后，指標集是指組織機構根據自身業務需求、風險容忍度及可利用資源，從《框架1.1》核心策略表中挑選出適應自身情況的類和子類，并進行合理編排以形成與機構發展現狀相匹配的風險管理措施，進而實現標準、指南、最佳實踐與核心策略的一致性。機構分別建立當前指標集(Current Profile)和目標指標集(Target Profile)，前者代表著當前機構網絡安全狀況，而后者則是指機構未來預期想要達成的網絡安全目標。通過比對當前指標集和目標指標集之間類與子類的區別，機構能夠直觀發現兩者間現存差距，并進行自我評估，為不斷完善網絡安全風險防范程序指引方向。

總體而言，《框架1.1》以業務需求為內在邏輯指導機構內部網絡安全活動的開展，并將網絡風險視為機構內部風險管理程序不可或缺的重要部分。更難能可貴的是，《框架1.1》的適用頗具彈性和可擴展性。一方面，框架倡導的網絡風險管理標準并非是一套適用于全部機構、完全一致的規則，而是不同機構可根據各自面臨的各種威脅和漏洞，自主選擇網絡安全目標，采取契合自身實情的網絡風險管理標準程序。這就使得各機構，無論規模幾何、網絡風險敞口大小或網絡安全管理復雜性程度高低，都能運用風險管理的基本原則和最佳實踐以消除或減輕網絡風險帶來的負面影響。另一方面，核心策略中的參考文件并非一成不變，可以進行不斷擴充，以增強框架的現實可操作性。目前《框架1.1》參考文件中選取了5個標準化組織、行業協會制定的標準、指南和最佳實踐，包括美國網絡安全理事會(CCS)發布的關鍵安全控制點標準(CSC)，美國信息系統審計與控制協會(ISACA)發布的信息和相關技術控制目標(COBIT)，國際標準化組織(ISO)發布的工控信息安全標準ISA62443，ISO和國際電工委員會(IEC)共同發布的信息安全管理體系標準ISO/IEC27001:2013，以及NIST發布的聯邦政府信息系統和組織安全控制措施系列特別出版物(NIST SP800)。值得一提的是，N I S T下設的國家卓越網絡安全中心(NCCoE)于2018年9月7日發布了NIST SP1800-5最終版，其中針對信息系統資產管理的最佳實踐，正是為金融服務部門相關領域缺陷提供應對之策。

2.《金融市場基礎設施建設的網絡恢復力指南》

2016年6月，支付與市場基礎設施委員會(CPMI)和IOSCO聯合發布CRFMI指南12，旨在增強金融市場基礎設施(FMI)網絡恢復能力?？紤]到網絡風險動態變化的特征，適用特定固化的措施可能導致指南迅速失效，因此CRFMI指南采取了基于原則的規制模式。雖然該指南主要針對金融市場基礎設施，但相關部門仍可將其應用于其他機構。從內容上看，CRFMI指南由5個風險管理措施和3個重要程序組成，前者包括治理結構、識別、保護、檢測、響應和恢復，后者包含測試、環境感知以及學習和發展。這些措施和程序是建立和完善網絡恢復能力框架的重要基礎，應統籌兼顧每一項內容。具體而言，每項措施都需要循環經歷3個重要程序，如響應措施初步構建后，組織機構應通過演習等方式測試實際效果，根據對內外部網絡風險環境變化評估適時對其進行調整，同時不斷總結實踐經驗，學習新的信息網絡技術以完善具體措施。通過這樣反復打磨從而使得風險管理機制更加行之有效。因此，執行和遵守指南不是一次性的任務，而是長期的、不斷升級的過程。FMI應逐步適應、發展和提高其網絡恢復能力，增加犯罪者實施網絡攻擊的難度，并提高恢復關鍵業務和從網絡攻擊中恢復的能力。

需要特別指出的是，CRFMI指南并沒有制定超出PFMI中規定的金融市場基礎設施基本原則，而是對PFMI部分規則，諸如原則2(治理結構)、原則3(全面的風險管理框架)、原則8(結算終局性)、原則17(運營風險)以及原則20(FMI間相互聯系)等原則的進一步補充細化?？紤]到FMI對金融市場的兩大系統重要性——結算終局性13與運營穩定性，CRFMI指南要求FMI應當采取迅速且可持續的行動加強網絡恢復能力，并提出更高的恢復時間目標(RTO)，即在遭受嚴重網絡攻擊運營中斷后2小時內恢復運營，同時在最遲不超過中斷發生當日完成結算。該指南還特別指出，鑒于金融系統存在廣泛的相互聯系和依賴性，整體市場的網絡恢復能力不僅取決于單個FMI，還取決于相互關聯的FMI、服務供應商和其他市場參與者的網絡安全狀況。

3.ISO/IEC27000系列標準

ISO和IEC制定并公布了27000系列信息安全管理系統標準，旨在幫助組織機構保護其信息資產，包括財務信息、知識產權、員工信息、客戶信息以及第三方信息等。自20世紀90年代發展至今，該系列標準受到跨國公司廣泛采用，其最新版本發布于2013年，并于2018年2月對信息安全管理系統概況和術語部分進行了更新。14根據該系列標準，實施ISO 27001等標準的公司在通過ISO認證機構審核后，即可獲得ISO官方認證。

27000系列標準中最重要的兩個組成部分是I S O/IEC27001和ISO/IEC27002。前者規定了在組織整體業務風險范圍內建立、實施、操作、監控、審查、維護和改進正式信息安全管理系統的要求；后者則是建議性的，提供構建信息安全管理系統的最佳實踐，以實現因信息的保密性、完整性和可用性受到威脅而產生的信息安全控制目標。與《框架1.1》相似，ISO/IEC27001的適用同樣具有廣泛性和靈活性，其構建的信息安全管理系統(ISMS)是一個總體框架，涵蓋所有行業各種規模的公共和私人組織機構。組織機構可根據自身面臨的風險，從ISO/IEC27001附錄A中規定的信息安全目標與控制列表中選擇最合適的措施。具體而言，組織機構首先全面評估其面臨的信息風險，使用ISO/IEC27001明確其控制目標，建立和完善ISMS，并利用ISO/IEC27002最佳實踐采取適當的風險控制措施。

(二)網絡安全信息共享機制

信息共享是網絡安全法律規制的核心內容之一。通過信息共享，單一組織機構能夠集合在一起，共享網絡安全風險管理的能力、知識和經驗，讓組織機構更好地了解網絡安全狀況，包括網絡罪犯使用的技術手段。與此同時，信息共享機制的建立讓組織機構能夠效仿其他機構為防止、檢測、應對和恢復網絡攻擊而采取的有效措施，從而使單個實體或系統迅速提升對網絡威脅的應對能力，以降低整體系統性風險。15此外，監管機構也可從信息共享機制中受益：通過了解市場參與者面臨的網絡威脅類型、網絡安全風險管理策略和辦法以及市場參與者總體應對水平，確?，F行法律法規和監管措施有效性和適當性。

從國內立法層面來看，美國率先建立了綜合性的網絡安全信息共享法律體系。2015年10月27日，美國參議院正式通過了《2015網絡安全信息共享法案》(CISA)16，旨在構建一個自愿性的網絡安全信息共享平臺，采取PPP模式17鼓勵公共和私人實體、各級政府以及監管機構分享網絡威脅信息。CISA將共享信息分為網絡威脅指標(CTI)和防御措施(DM)兩類。前者是指那些對于描述或識別惡意偵察、破壞安全控制或利用安全漏洞的方法、安全漏洞、惡意網絡控制、事件造成的實際或潛在損害、網絡安全威脅的任何其他屬性等必要的信息18，實踐中CTI包括域名、互聯網協議地址、日志數據、惡意軟件、數據包、端口、簽名、時間戳、統一資源定位符等；后者則是指行動、設備、程序、簽名、技術或其他應用在信息系統上的措施，或與儲存、處理或傳遞一個旨在偵查、保護或減少網絡安全威脅或網絡漏洞的信息系統相關的信息。19需要指出的是，CISA為信息共享網絡構建掃清了法律障礙，不僅使兩個及以上私人實體間旨在促進網絡安全威脅防范、調查或影響消除的信息互換不會違反反壟斷規則20，而且私人實體為監控信息系統采取的行動以及分享或獲取CTI信息也享有法律責任豁免特權。21

除此之外，部分監管機構為減少信息安全事件的發生，要求金融機構向其披露自身遭受的網絡攻擊等信息安全事件。例如，根據加拿大《國家指令21-101市場運營》第12.1條(c)款，任何重大系統故障、延遲或安全漏洞應向監管機構匯報，并提供故障、延遲或安全漏洞狀態的最新信息、內部審查結果以及為恢復服務采取的措施。又如，根據美國證券交易委員會(SEC)2014年11月19日通過的《系統、合規和完整性規則》(SCI)，自律監管組織(SRO)包括證券交易所、證券業協會、清算機構以及市政債券規章制定委員會，應通知SEC其發生的網絡入侵事件。這種基于風險的監管方法，有助于監管機構持續考察受監管實體采取的行動是否有效，并可從中總結經驗，制定更加有效的監管規則。

對于金融業信息共享網絡建設，目前大部分行之有效的信息共享倡議是由私人部門發起。22其中，影響力較大的是金融服務信息共享和分析中心(FS-ISAC)，其會員從2004年的68個激增至2015年的5700個。FS-ISAC成立于1999年，總部設于美國，并在英國、新加坡設有辦事處，旨在建立全球性金融服務業網絡和物理威脅情報分析與共享平臺，其任務是分享適時的、相關的、可操作的網絡和物理安全信息并加以分析。FS-ISAC每月處理數千個威脅指標，努力減少網絡犯罪、黑客活動和國家活動，并與其他行業機構合作，協助制定和測試金融部門的風險管理程序，其共享的信息類型包括：惡意網站，威脅行為人及其目標，威脅指標，網絡威脅策略、技術和程序，開發目標，拒絕服務攻擊，惡意郵件，軟件弱點以及惡意軟件。

就國際層面的信息共享合作而言，2016年，IOSCO在2002年《關于協商、合作和信息交流的多邊諒解備忘錄》(M M o U，曾于2012年修訂)的基礎上，發布了《關于加強協商、合作和信息交流的多邊諒解備忘錄》(EMMoU)，以期進一步加強跨境協助與信息交換。EMMoU首先明確了信息交流的基本原則——“允許范圍內的最大協助”23，即監管機構應相互提供“允許范圍內的最大協助”，來調查涉嫌違法行為，以確保遵守和執行各自的法律和條例。這里所指的法律和條例幾乎涵蓋證券市場全部領域，也就是說，申請網絡犯罪協助與信息共享包含在EMMoU規則之內。與此同時，EMMoU還擴大了信息交換的范圍，使成員可獲取儲存在互聯網服務供應商以及其他電子通信供應商的用戶記錄。可以預見的是，EMMoU的有效運行將會在一定程度上促進證券監管機構間跨境執法合作和援助，以應對近年來全球化和技術進步帶來的風險和挑戰。

(三)網絡風險與網絡安全事件的信息披露規則

信息披露制度是上市公司監管的重要手段。網絡風險與網絡安全事件作為可能對公司運營產生重大實質性影響的因素，是投資者作出投資決策不可或缺的基本依據，上市公司應及時、準確地予以披露，以消除信息不對稱帶來的負面影響。同時，網絡風險與網絡安全事件披露，尤其是強制性的信息披露，對于提升企業在網絡安全上的投資無疑會起到積極的促進作用。如果不存在其他因素的干預，企業不會考慮外部效應(如信息泄露對于公眾的影響)而僅依據自身成本和收益選擇最佳的投資策略。24因此，監管者可以通過強制性的信息披露將外部性內化，從而迫使企業加大對網絡安全領域的投資。

SEC下設公司融資部工作人員于2011年10月13日發布了一項上市公司關于網絡安全風險和事件信息披露的指引(2011年指引)，旨在幫助注冊上市公司履行《1933年證券法》要求的注冊聲明以及《1934年證券交易法》要求的定期報告信息披露義務。25值得一提的是，盡管2011指引并非一項正式的法律法規或SEC聲明，但該指引發布后，許多公司都以風險因素的形式披露了其網絡安全信息。26

2018年2月26日，SEC《上市公司網絡安全信息披露委員會聲明和指引》(2018年指引)27正式生效。與2011年指引相比，2018年指引除升級成SEC級規則外，還新增了“網絡安全政策和程序的重要性”和“網絡安全語境下內幕交易禁止規則的適用”兩個議題。一方面，公司必須建立和保持適當有效的披露控制程序，使其能夠準確、及時地披露實質性信息，包括與網絡安全有關的事件；另一方面，指引提醒公司及其董事、高管，以及根據證券法一般反欺詐條款適用內幕交易禁令的其他公司內部人士，他們有義務避免選擇性披露有關網絡安全風險或事件的重大非公開信息。

從內容來看，2018年指引由網絡安全信息披露規則和政策程序兩部分組成。前者從風險因素、財務狀況、經營業績、管理層決策和分析、經營描述、法律訴訟、財務報表、董事會風險監督等常規披露形式對網絡安全信息披露作出指引；后者是對上市公司網絡安全信息披露的監督規則，包括披露控制和程序、內幕交易以及選擇性披露規則。

從操作層面來看，2018年指引要求公司充分考慮網絡安全風險和網絡安全事件是否構成實質性信息而應予向公眾披露。對于實質性的判斷，SEC認為應當是一個理性投資者認為該信息對其作出投資決策起到重要作用或者該信息的披露會顯著改變理性投資者可獲得信息的總體組合。在確定網絡安全風險和事件的披露義務時，公司應權衡所有已識別風險的潛在重要性，網絡安全事件發生后受損信息的重要性以及對公司運營產生的影響。歸結起來，網絡安全風險或事件的重要性取決于：(1)性質、程度和規模，尤其是與公司主要業務和經營范圍的關系程度；(2)造成危害的范圍，包括對公司信譽、財務狀況、客戶關系的影響以及被訴或被監管機構調查處罰的可能性。另外，2018年指引特別指出，公司不應提供過多關于其網絡安全系統、相關網絡和設備或潛在的系統漏洞等技術細節，以避免使信息披露成為不法分子破壞公司網絡安全的“路線圖”；而應披露對投資者決策產生實質影響的信息，包括網絡安全風險或事件帶來的財務影響、法律后果和信譽減損等。

三、證券市場網絡風險法律規制評析及困境

從功能來看，網絡風險管理標準、網絡安全信息共享制度、網絡風險和網絡安全事件信息披露規則三者之間相互聯系，并從不同維度對證券市場面臨的網絡風險進行規制。首先，網絡風險管理標準從風險管理角度對證券市場參與主體內部網絡安全框架和程序設定標準，并可通過最佳實踐向參與主體提供可資借鑒的操作范本；其次，網絡安全信息共享不僅可整合跨行業甚至跨國公私資源，形成合力，在風險發生時迅速采取應對措施，而且在網絡事件處理實踐中會不斷形成最佳實踐并補充到網絡風險管理標準中去；再次，網絡風險和網絡安全事件信息披露通過透明度要求敦促證券市場參與主體重視網絡風險，加大其對內部網絡安全體系建設的投資力度，緩解和消除信息不對稱帶來的金融風險；最后，網絡風險管理標準是信息共享和信息披露的基礎，而通過信息共享和信息披露能促進網絡風險管理標準的不斷完善，三者結合起來形成較為完整的網絡風險法律規制體系。

證券市場網絡風險法律規制的發展趨勢及面臨的困境主要表現為三個方面：

(一)證券市場網絡風險法律規制的趨同化與軟法化

當下，證券市場網絡風險法律規制在形式與內容上呈現出趨同化的發展趨勢。從規制形式來看，信息技術革新速度快與網絡風險內涵和外延的不確定性是證券市場網絡風險法律規制面臨的兩大挑戰。信息技術快速升級的同時，網絡風險類型隨之不斷變化，法律天然的滯后性使傳統規制模式難以應對。因此，相比于專門制定并簽訂新的國際條約對網絡安全加以規范，國際社會傾向于修改、澄清和細化現有規則。28如前述CRFMI指南即是對PFMI的細化和延伸；又如EMMoU，也是在IOSCO原有信息交換平臺基礎上進行更新升級，以促進跨境信息互換合作。這樣做的好處不言而喻，即可以節約造法成本，避免規則間的相互沖突，但同時也會導致立法不成體系、規則碎片化地散落在其他條款中的困境，與網絡安全對于金融市場的極端重要性不相匹配。值得一提的是，大多數現有規則和指南以金融部門為導向，部分領域存在立法空白。例如24個FSB成員發布了針對金融基礎設施和銀行的網絡安全規則或指引，而僅有7個成員對養老基金網絡安全作出具體規范。29

從規制內容來看，盡管世界范圍內網絡風險管理指引數量眾多，尚未形成統一的國際標準，但三大核心標準的形成標志著金融市場網絡風險管理規則向趨同化的方向發展。更重要的是，三大核心標準與國際上其他現有網絡原則和指引30保持一致性，且相互之間在主要議題上有著明顯的相似性。大部分指引都會涉及治理結構，風險分析與評估，信息安全，安全控制和安全事件防范，專家和訓練，監控、測試或審查，安全事件反應和恢復，信息共享，對供應商和第三方的管控以及持續學習等議題?？梢?，國際社會對于組織機構網絡風險規制框架在一定程度上已形成共識。

除趨同化態勢外，全球范圍內證券市場網絡安全法律規制呈現出較強的軟化趨勢，強制性不足是其最顯著的特征。一方面，IOSCO、CPMI等國際金融標準制定機構發布的相關指引和原則，屬于國際軟法，不具有法律拘束力，其有效執行依賴于各國監管機構的轉化適用；另一方面，《框架1.1》以及其他現有網絡安全風險管理指南的適用不具有強制性，監管機構也未強制要求被監管實體適用特定規則，組織機構享有充分的自主選擇權利。這無疑加大了監管機構在判斷特定實體網絡安全合規性時的難度，賦予監管機構過大的自由裁量權，還可能引發監管套利現象。與此同時，無論是依據國內立法CISA構建的信息共享平臺還是私人實體主導的FSISAC，均奉行自愿參與的基本原則，軟性規則成為主流。而在網絡風險和網絡安全事件信息披露規則領域，對于是否披露、以何種形式披露、披露到何種程度等關鍵問題的決策權掌握在上市公司自己手中。雖然監管機構仍有權審查上市公司信息披露情況，但缺少硬法支撐勢必導致其監督執行力相對有限。在缺乏有力監督的情況下，通過非強制性的標準以實現公司自律監管無疑是極為困難的。31

(二)網絡安全信息共享參與主體間的信任困境

幾乎所有的網絡安全指引都建議組織機構在內部和外部建立起信息共享機制，通過資源整合共同應對網絡風險帶來的挑戰。目前已有的倡議，諸如FS-ISAC這樣較為成功的信息共享網絡，大多采取自下而上、會員制的基本結構，并且需要一個非常緩慢的構建過程。這是因為信息共享制度的基石是內部所有參與主體之間較高層次的互相信任，可以說主體間信任程度在極大程度上決定了信息共享網絡的有效性。

以參與主體為視角，可以更直接反映信任機制的內涵。橫向參與者的信任構建，即信息共享方之間，包括私人主體間、私人主體與監管機構間以及不同國家監管機構間信任構建；縱向參與者的信任構建，則是信息提供方與信息獲取方之間的信任構建。現階段，不同參與者之間面臨的信任困境有所不同。具體而言：

1.私人主體間

因各自的規模、網絡安全控制能力、信息獲取與處理能力以及網絡威脅程度不同，私人主體各方利益訴求存在較大差異，而且高頻、高標準、大量的信息共享對小公司來說無疑是巨大負擔。更重要的是，許多私人主體間存在競爭關系，相互間不信任在所難免，更何況共享的網絡安全相關信息可能對組織機構聲譽產生重大影響，其他私人主體能否恪守保密義務并將相關信息僅用于提升網絡危機應對能力就顯得尤為重要。

2.私人主體與監管機構

兩者之間本就關系緊張，私人主體會出于擔心特定共享信息成為監管機構進行處罰的依據而不愿分享信息或僅分享部分信息，從而降低信息共享機制的有效性。盡管CISA明確規定了私人實體為監控信息系統采取的行動以及分享或獲取CTI信息享有法律責任豁免特權，但這僅排除了組織機構采取網絡安全行動而產生的法律責任，監管機構仍可以將其所分享的信息用作處罰決定的基本證據材料。

3.不同國家監管機構間

網絡風險全球化要求網絡安全信息共享也應全球化，各國監管機構之間的信任成為不可回避的核心議題。其中，各國國內網絡安全信息共享立法的域外性問題會在相當程度上減損各國監管機構之間的信任。例如，由于CISA對于CTI和DM的定義極為寬泛，私人實體、政府可收集信息的范圍極大，考慮到數據信息流動本身具有域外性的特征，以及跨國公司業務特性，美國政府可在未經數據來源國同意的基礎上獲得大量他國信息。需要特別指出的是，CISA允許CTI信息的二次傳輸，即當某一美國聯邦政府機構(如SEC)獲取CTI后可能會將其分享給美國國家安全局或美國聯邦調查局。32斯諾登事件的曝光已將信息監聽問題推向了輿論的風口浪尖，各國政府間關于信息合作的政治互信達至冰點狀態，若國內立法的域外性得不到合理限制，無疑會雪上加霜。相比之下，EMMoU則更加尊重信息來源國的知情同意權和國內法律法規，在信息共享與國內法發生沖突時，信息來源國可以拒絕共享該信息，這種彈性合作方式將在一定程度上緩和不同國家監管機構間的不信任。

4.被獲取信息方與信息收集方

隱私權保護是被獲取信息方與信息收集方之間互信的基礎。隱私權保護與網絡安全之間的博弈在CISA立法過程中體現得淋漓盡致。根據CISA對CTI的定義，由于技術上很難將用戶訪問網站活動從分布式拒絕服務攻擊訪問中剝離出來，無辜用戶的網頁瀏覽活動將會作為DDoS攻擊信息的一部分進行分享，甚至那些與釣魚攻擊相關的通信文本，因其構成破壞安全控制而被納入CTI范圍之內，這樣勢必會對公民個人隱私造成嚴重侵犯。33盡管CISA對信息共享中隱私權作出了一定限制，如要求私人實體審查并移除可識別特定個人的CTI34，以及所采取的措施應滿足“網絡安全目的”35，但其實際作用十分有限。一方面，CISA并不要求CTI中完全剔除可識別個人信息，除非“確定地知道”該信息與網絡威脅無關，也就是說，私人實體仍可基于懷疑共享該信息；另一方面，CISA將“網絡安全目的”定義為“保護信息系統及系統中儲存、處理或傳輸的信息免受網絡安全威脅或安全漏洞的影響”36，意味著幾乎所有信息系統的保護措施都可符合“網絡安全目的”。以至于CISA正式通過后，仍有許多著名互聯網企業公開發表聯合聲明反對該法案，并強調“客戶信任至上”“安全不應以損害隱私為代價”。37

(三)網絡風險和網絡安全事件信息披露規則完善之挑戰

2011年指引發布至今已近九年，但對上市公司網絡風險和網絡安全事件有效披露的促進作用十分有限，其有效性受到多方質疑。根據2017年對2168位從事網絡風險和公司風險管理活動員工的調查報告，36%的員工反映公司信息資產的重要丟失并未在公司財務報告中未予以披露，僅有43%的人員證實各自所在公司會在財務報表上披露信息資產損失。38即便是小幅升級后的2018年指引，仍飽受批評，市場認為SEC在此議題上作為過于有限。39無論是2011年指引還是2018年指引，均存在披露要求過于寬泛的缺陷，對于上市公司應提供多少信息沒有清晰的說明，實際作用有限?？梢?，網絡風險和網絡安全事件信息披露規則的完善面臨許多挑戰，包括：

第一，上市公司對于網絡風險與網絡安全事件的信息披露動力不足。上市公司出于擔心信息披露對自身聲譽的影響，以及可能帶來的法律訴訟風險，諸如客戶信息泄露事件披露伴隨而來的客戶訴訟和賠償，其主動披露的積極性較低。同時，事先全面了解所有可能面臨的網絡風險難度較大，在網絡安全事件發生時難以及時發現并且依賴于第三方供應商監測和應對可能發生的網絡事件。如前所述，企業不會主動將網絡安全管理措施的外部效應納入內部投資策略的考慮范疇，使得目前企業在網絡安全上的投資水平較低。還有很多企業并不將網絡風險視作企業經營風險從而未將其納入管理層風險管控框架。

第二，網絡安全事件數據匱乏。尤其是缺少具有代表性的網絡安全事件，給監管機構和企業帶來了諸多挑戰。對監管機構來說，幾乎不可能準確量化網絡安全事件對市場造成的具體影響，導致政府難以判斷是否有必要通過積極措施以及采取何種程度的措施來限制網絡安全風險。同樣，對企業來說，由于缺乏數據，很難正確評估網絡安全風險敞口的預期成本，從而無法確定網絡安全投資的最佳水平。

第三，投資者保護與網絡安全之間存在內在矛盾。一方面，信息披露規則要求披露的信息應更加全面、有效、具體，以消除市場上的信息不對稱；另一方面，過于詳細的信息披露，尤其是披露企業已采取的網絡安全措施，可能為不法分子進行網絡攻擊提供指引，這就讓企業陷入一個兩難境地——將他們置于下一次網絡攻擊的危險之中還是違反信息披露規則。40盡管2018年指引建議上市公司避免過多披露技術層面細節，但應當披露的部分卻過于寬泛，使指引的實際可操作性較低。

四、啟示與借鑒

《國家網絡空間安全戰略》《網絡空間國際合作戰略》和《網絡安全法》的出臺和實施，標志著我國已初步完成網絡空間法律規制的頂層設計。對于證券市場網絡安全，中國人民銀行、中國證監會和中國證券業協會始終保持高度關注，自2005年《證券公司信息技術管理規范》出臺以來，持續發布了許多與網絡風險規制相關的法規、標準和指引41，以加強對證券基金行業的信息安全管理要求。特別是自2012年起，平均每年至少有1個相關規范出臺，2016～2018年更是發布了超過5個推薦性行業標準及強制性管理要求，證監會對于行業信息安全管理監管提升到了新高度。盡管如此，針對證券市場網絡風險的規制仍有進一步完善的空間，具體來說應著重考慮以下三個方面：

(一)引入最佳實踐以提升網絡安全管理標準的可拓展性和靈活性

根據證券期貨業信息安全標準規劃2015年版(以下簡稱2015年規劃)，全國金融標準化技術委員會引入PPDRR模型，包括策略、防護、檢測、響應和恢復5個主要部分，并以風險評估為指導思想，規劃構建一套適用于證券期貨業的信息安全標準。這與《框架1.1》等國際主流網絡安全管理標準具有高度一致性。從2015年規劃附錄D編制工作規劃來看，目前已出臺標準僅有6個，占總計劃的五分之一，標準制定仍任重而道遠?？紤]到在全球范圍內已有諸多標準，為避免重復，借鑒已有標準將比另起爐灶更加有效。在制定《證券期貨業信息安全管理體系要求》時，可采用《框架1.1》最佳實踐模式，在“規范性引用文件”中將國際上通行有效的標準納入我國網絡安全管理標準體系，供市場參與者選擇適用。對于“規范性引用文件”的選擇，則應在中立原則的基礎上進行全面分析后再按需采納，避免某一項標準存在缺陷導致的網絡安全風險。42增強標準可拓展性和靈活性，不僅可對因信息科技技術更迭帶來的網絡安全新問題及時采取應對措施，減輕標準制定滯后性帶來的影響，還能與國際通行標準相接軌，為我國金融機構融入全球市場奠定基礎。

(二)完善以證監會為核心的網絡安全信息共享制度

2018年12月出臺的《證券基金經營機構信息技術管理辦法》(以下簡稱《辦法》)已于2019年6月1日正式實施，該辦法全面覆蓋了證券基金行業各類經營主體，具有強制性的約束力。根據《辦法》相關規定，證券基金經營機構應履行一系列的網絡安全信息報告義務，內容包括新建或更換重要信息系統相關的資料、年度信息技術管理專項報告以及信息安全事件和調查處理報告。同時，信息技術服務機構提供信息技術服務時，應向證監會定期報送相關資料；并在出現可能對投資者合法權益或證券期貨市場造成嚴重影響的事件時，立即報告住所地的中國證監會派出機構。此外，根據《證券期貨業信息安全事件報告與調查處理辦法》，需要履行信息安全事件報告和調查處理的主體除證券基金經營機構外，還包括承擔證券期貨市場公共職能的機構、承擔證券期貨行業信息技術公共基礎設施運營的機構等證券期貨市場核心機構及其下屬機構。

可見，我國已初步建立起以證監會為主導的縱向網絡安全信息報告制度，但與CISA、FS-ISAC等信息共享機制相比缺陷明顯：首先，本質上我國采取的是一種單向的信息報告監管機制，而非信息共享，參與主體間的互動非常有限，未能整合公私資源；其次，參與實體有限，《辦法》適用對象不包括證券期貨交易所等金融基礎設施；最后，從《辦法》條款來看，除網絡安全事件外，報告信息與CISA中DM更為相似，相較于CISA私人實體與政府間實時CTI信息共享要求，在共享信息范圍和時效上存在不足。

鑒于此，中國人民銀行和證監會應在吸納PFMI和CRFMI指南的基礎上盡快出臺《金融基礎設施信息技術管理辦法》，將FMI納入信息共享制度范疇。同時，進行FMI、證券基金經營機構、信息技術服務機構與證監會之間實時CTI信息共享的可行性分析，從而擴大信息共享的范圍。對于私人主體間的信息共享，出于對個人隱私權的保護以及監管難度的考慮，現階段不宜輕易放開。更重要的是，限制私人主體間的信息共享，即信息共享僅由信息收集方儲存與保護，不僅可以減輕被獲取信息方與信息收集方之間的信任困境，還可有效阻止涉及個人隱私甚至是國家安全的信息數據通過跨國企業向境外轉移。而對于促進參與主體間的互動，目前證監會作為網絡安全信息獲取的終端集成者，可在統籌分析的基礎上，建立證券期貨行業信息系統應急案例庫，向參與者分享網絡風險管控的最佳實踐。也就是說，盡管橫向私人主體間的互動被阻斷，但證監會仍可通過典型網絡安全案例使整個信息共享體系活躍起來。此外，證監會應以《網絡空間國際合作戰略》為指導原則，積極參與國際層面網絡安全信息共享合作，合理利用EMMoU平臺，從而減輕網絡風險對國內證券市場的負面影響。

(三)盡快填補上市公司網絡風險和網絡安全事件信息披露規則的空白

信息披露規則完善是我國證券市場注冊制改革的核心議題之一。目前，上市公司網絡風險和網絡安全事件信息披露存在立法空白，有關部門應盡快出臺相應規則加以規范。

國際實踐中，上市公司關于網絡安全的信息披露大多采取風險因素的形式，內容多以商標和信譽減損、對商業的損害程度、數據泄露的后果，公司為維持信息技術系統安全有效的開銷及其對經營業績的負面影響，網絡安全法律法規變化帶來的潛在負面影響，以及上市公司為減輕網絡風險而采取措施的基本信息為主。相比于定量分析，上市公司多采取定性分析的方式進行披露。因此，有關部門在制定相關規則指引時，應重點考慮：(1)上市公司面臨網絡風險的原因；(2)網絡風險的來源和性質以及風險發生路徑；(3)網絡事件可能帶來的后果，包括對上市公司聲譽和客戶信任的影響、對利益相關方和其他第三方的影響、網絡事件后恢復成本、上市公司損害賠償訴訟、上市公司內部信息披露控制的影響等；(4)減輕網絡風險的保護措施和管理策略的適當性。

就操作層面而言，深滬交易所應針對特定行業制定信息披露指引，尤其是網絡風險敞口較高的行業，如互聯網企業、金融機構等，以填補網絡風險和網絡安全事件信息披露規則空白。在必要時，再由證監會以出臺《公開發行證券的公司信息披露編報規則——網絡風險信息披露特別規定》的形式，完善并系統化構建網絡風險和網絡安全事件的信息披露規則。

[基金項目：2019年度福建省社科規劃省法學會專項“金融科技的勃興與監管科技運用的法律路徑”(FJ2019TWFB05)]

注釋

1. 本文所指網絡，英文翻譯為Cyber而非Network。中共中央網絡安全和信息化委員會辦公室官方英文翻譯采用的也是Cyberspace的表述。在我國網絡安全管理相關標準及法規中，多采用“信息技術管理”“信息系統安全管理”的表述。從《網絡安全法》視閾來看，網絡安全(Cyber Security)應是信息技術、信息系統安全的上位概念。為與現行標準和法規保持一致，本文不對網絡安全、信息系統安全做詳細區分。關于信息安全、網絡安全及賽博安全相關詞匯之間的關系與區別，參見謝宗曉. 信息安全、網絡安全及賽博安全相關詞匯辨析[J]. 中國標準導報, 2015, (12): 30-32.

2. 盡管國際社會對于網絡風險及其相關概念的內涵和外延仍存在爭議，但部分詞匯定義已形成一定共識。金融穩定理事會于2018年11月12日發布了網絡詞匯表，對與網絡相關的重要詞匯進行定義。其中，網絡風險被定義為網絡事件發生概率及其影響的組合。See FSB. Cyber lexicon[EB/OL].(2018-11-12)[2019-08-29]. https://www.fsb.org/wp-content/uploads/P121118-1.pdf.

3. See IOSCO&WFE. Cyber-crime, securities markets and systemic risk[EB/OL]. (2013-07-15)[2019-09-12]. https://www.iosco.org/library/pubdocs/pdf/IOSCOPD460.pdf.

4. See Verizon. 2019 Data breach investigations report[EB/OL]. (2019-08-20)[2019-09-30]. https://enterprise.verizon.com/resources/reports/2019-data-breach-investigations-report.pdf.

5. See Nick Eubanks. The true cost of cybercrime for businesses[EB/OL]. (2017-07-13)[2019-09-23]. https://www.forbes.com/sites/theyec/2017/07/13/the-true-cost-of-cybercrime-forbusinesses/#6c0453c44947.

6. 系統性風險是指金融服務中斷的風險，即(1)由金融系統的全部或部分受損引起；(2)可能對實體經濟產生嚴重負面影響。See International Monetary Fund, the Bank for International Settlements, and the Financial Stability Board. Guidance to assess the systemic importance of financial institutions, markets and instruments: initial considerations[EB/OL]. (2009-11-7)[2019-09-27]. https://www.bis.org/publ/othp07.pdf.

7. See CPMI. Cyber resilience in financial market infrastructures [EB/OL]. (2014-11-11)[2019-09-27]. https://www.bis.org/cpmi/publ/d122.pdf.

8. See IOSCO. Securities markets risk outlook 2016[EB/OL]. (2016-03-02)[2019-09-30]. https://www.iosco.org/library/pubdocs/pdf/IOSCOPD527.pdf.

9. See IOSCO. Cyber task force final report[EB/OL]. (2019-6-18)[2019-10-04]. https://www.iosco.org/library/pubdocs/pdf/IOSCOPD633.pdf.

10.See NIST. Framework for improving critical infrastructure cybersecurity version 1.1[EB/OL].(2018-04-16)[2019-10-13]. https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.04162018.pdf.

11. 參見左曉棟, 周亞超. NIST發布新標準對工控系統安全影響深遠[J]. 信息安全與通信保密, 2014, (6): 54-56.

12. See CPMI&IOSCO. Guidance on cyber resilience for financial market infrastructures[EB/OL].(2016-06-29)[2019-10-18]. https://www.bis.org/cpmi/publ/d146.pdf.

13. 結算終局性是指資產或金融工具不可撤銷和無條件轉讓，或金融基礎設施及其參與者根據基礎合同條款履行義務。結算終局性是信用風險、流動性風險、市場風險和法律風險在交易各方之間進行分配的基礎。

14. See ISO. ISO/IEC 27000[EB/OL].(2018-02)[2019-11-12]. https://standards.iso.org/ittf/PubliclyAvailableStandards/c073906_ISO_IEC_27000_2018_E.zip.

15. See Zheng D E, LewisJ A. Cyber threat information sharing: recommendations for congress and the administration[EB/OL]. (2015-03-10)[2019-11-10]. https://csisprod.s3.amazonaws.com/s3fspublic/legacy_files/files/publication/150310_cyberthreatinfosharing.pdf.

16. H.R. 2029, 114th Cong., div. N, tit. I §§ 101-111(2015).

17. PPP模式(Public-Private-Partnership),指政府與私人組織之間，為提供某種公共物品和服務，以特許權協議為基礎，彼此之間形成一種伙伴式的合作關系。

18. H.R. 2029, 114th Cong., div. N, tit. I § 102(6).

19. H.R. 2029, 114th Cong., div. N, tit. I § 102(7).

20. H.R. 2029, 114th Cong., div. N, tit. I § 104(e).

21. H.R. 2029, 114th Cong., div. N, tit. I § 106.

22. See IOSCO. Cyber security in securities markets—an international perspective[EB/OL]. [2016-4-2]. https://www.iosco.org/library/pubdocs/pdf/IOSCOPD528.pdf.

23. 根據EMMoU第1條第2項，“允許范圍內的最大協助”是指監管機構職權范圍內任何形式的協助，無論這種協助是否在EMMoU中列明。

24. See Gordon L A, et al. Externalities and the magnitude of cyber security underinvestment by private sector firms: amodification of the Gordon-Loeb model[J]. Journal of Information Security, 2015, 6(1): 25-26.

25. See SEC. CF disclosure guidance: topic no. 2— cybersecurity [EB/OL]. (2011-10-13)[2019-11-25].https:// www.sec.gov/divisions/corpfin/guidance/ cfguidance-topic2.htm.

26. 例如，Willis North America公司在2013年發布的一份報告中發現，《財富》500強公司中約有88%的上市公司和《財富》501～1000強公司中約有78%的公司在2012年提交的年度報告中披露了網絡安全方面的風險因素。2015年，88%羅素3000標的公司在其信息披露報告中將網絡安全視為風險。

27. See SEC. Commission statement and guidance on public company cybersecurity disclosures[EB/OL]. (2018-2-26)[2019-12-02]. https://www.federalregister.gov/documents/2018/02/26/2018-03858/commission-statement-and-guidance-on-public-company-cybersecuritydisclosures.

28. See Shackleford S J. Managing cyber attacks in international law, business and relations: in search of cyber peace[M]. Cambridge University Press, 2014: 647.

29. See FSB. Stocktake of publicly released cybersecurity regulations, guidance and supervisory practices[EB/OL].(2017-10-13)[2019-11-13]. https://www.fsb.org/wp-content/uploads/P131017-2.pdf.

30. 除三大核心標準外，重要的網絡安全相關指南包括：七國集團(G7)發布的金融部門網絡安全核心要素，美國信息系統審計與控制協會(ISACA)發布的信息和相關技術控制目標(COBIT)，美國聯邦金融機構審查委員會(FFIEC)發布的網絡安全評估工具等。

31. See JohnsonK N. Governing financial markets: regulating conflicts[J]. Washington Law Review, 2013, (1): 187-189.

32. See Open Tech. Inst. Omnibus funding bill is a privacy and cybersecurity failure[EB/OL]. (2015-12-16)[2019-12-10]. https://www.newamerica.org/oti/omnibus-funding-bill-is-a-privacy-andcybersecurity-failure/.

33. 參見方婷, 李欲曉. 安全與隱私——美國網絡安全信息共享的立法博弈分析[J]. 西安交通大學學報(社會科學版), 2016, (1): 72.

34. H.R. 2029, 114th Cong., div. N, tit. I § 103(d)(2).

35. H.R. 2029, 114th Cong., div. N, tit. I § 103(d)(3).

36. H.R. 2029, 114th Cong., div. N, tit. I § 102(4).

37. 參見宋國濤. 試析美國網絡安全信息共享法案[J]. 保密科學技術, 2016, (6): 29.

38. SeeJackson R J Jr. Statement on commission statement and guidance on public company cybersecurity disclosures[EB/OL].(2018-02-21) [2019-12-15].https://www.sec.gov/news/public-statement/statement-jackson-2018-02-21.

39. See SteinK M. Statement on commission statement and guidance on public company cybersecurity disclosures[EB/OL]. (2018-02-21)[2019-12-26].https://www.sec.gov/news/public-statement/statementstein-2018-02-21#_edn14.

40. See Bronstein J. The balance between informing investors and protecting companies: a look at the division of corporate finance’s recent guidelines on cybersecurity disclosure requirements[J]. North Carolina Journal of Law & Technology, 2012, (13): 259.

41. 這些法規、標準和指引主要包括：2005年《證券公司信息技術管理規范》，2007年《關于做好證券業重要信息系統安全等級保護定級工作的通知》，2011年《證券期貨經營機構信息系統備份能力標準》，2012年《證券期貨業信息安全保障管理辦法》《證券期貨業信息安全事件報告與調查處理辦法》《金融行業信息系統信息安全等級保護實施指引》，2013年《證券期貨業信息系統運維管理規范》，2014年《證券期貨業信息系統審計規范》，2016年《證券期貨業信息系統托管基本要求》《證券期貨業信息系統審計指南》(第1-7部分)，2018年《證券基金經營機構信息技術管理辦法》《證券期貨業數據分類分級指引》《證券期貨業機構內部企業服務總線實施規范》。

42. 參見李琪.從標準化角度看NIST網絡安全框架[C]//中國標準化協會. 第十四屆中國標準化論壇論文集.北京:《中國學術期刊(光盤版)》電子雜志社, 2017: 787.