证券市场网络风险的法律规制研究
——以国际实践新发展为视角

周聖

(厦门大学法学院，福建 厦门 361005)

一、问题的提出：网络风险——一个日益加剧的系统性风险

众所周知，证券市场一直以来都处于网络1技术发展的前端。当下绝大部分的证券交易是通过纯粹的电子系统进行的，信息技术的高速发展在带来低成本、高效、便捷的同时，也伴随着风险产生，并随着技术的不断提升与日俱增。网络风险2被广泛认为是当今金融市场面临的最大威胁之一。国际证监会组织(IOSCO)和世界证券交易所联合会(WFE)对全球46家证券交易所的一份调查显示，53%的交易所曾经历过至少一次网络攻击。3与其他报告相类似，威瑞森(Verizon)数据泄露调查报告持续将金融业列为受网络安全事件影响的前三大行业之一。4预计到2021年，网络犯罪每年造成的损失将高达6万亿美元。5

更重要的是，网络风险本质上是系统性的，网络攻击可能产生影响整个金融系统乃至更广泛实体经济的重要连锁反应。6原因包括：第一，金融市场使用信息技术的程度不断加深；第二，金融市场参与者相互之间的依赖性和关联性不断增长；第三，网络攻击者及其动机变得更加多样化，使威胁来源更加难以预测。7因此，IOSCO新兴风险委员会和秘书处研究部在其2015～2016年证券市场风险展望中，将网络风险确定为一项潜在的重要系统性风险。8

可以预见的是，网络风险对于证券市场来说将会变得越来越普遍，这就需要国际社会加强合作，对网络风险进行必要的法律规制，以维护证券市场安全、稳定、有效的运行。

二、证券市场网络风险法律规制动态考察

随着世界各国对网络风险认识程度的不断加深，越来越多的国际组织和政府针对网络风险采取了必要的法律规制措施。从既有实践来看，证券市场网络风险与其他金融行业相比并无本质区别，但证券市场网络风险规制手段更为丰富，不仅包括可普遍适用于金融市场各行业的网络风险管理标准、网络安全信息共享机制，还包括上市公司网络风险和网络安全事件信息披露规则。

(一)网络风险管理标准指南：三大核心标准

根据金融稳定理事会(FSB)2017年盘点报告，目前三大核心标准(Core Standards)——《增强关键基础设施网络安全框架》(NIST框架)、《金融市场基础设施建设的网络恢复力指南》(CRFMI指南)以及ISO/IEC27000系列标准，是FSB成员适用最广泛的网络安全标准，这也在一定程度上促进了金融领域网络安全监管的一致性。9此外，三大核心标准间不存在规则冲突，监管当局和市场参与者可自由选择。

比较而言，三大核心标准在网络风险管理措施上有相似性，但又各有侧重、各具特色。NIST框架和CRFMI指南的获取和使用是免费的，前者为组织机构网络安全风险管理提供框架指引，并且可吸纳诸多其他标准，具有极强的可拓展性；后者则是针对金融市场基础设施网络风险管理提出基本原则和操作指引，作为金融市场基础设施原则(PFMI)的补充。而ISO/IEC27000系列标准的使用并不免费，但组织机构可申请ISO认证，ISO作为独立的第三方，其认证结果是判断内部与外部供应商网络安全体系的重要依据。

1.《增强关键基础设施网络安全框架》

根据时任总统奥巴马颁布的第13636号行政命令，美国国家标准与技术研究所(NIST)于2014年2月12日发布了《增强关键基础设施网络安全框架(1.0版)》，面向关键基础设施运营商，基于风险建立了一个行业标准与最佳实践相结合的非强制性指引框架，以应对不断升级的网络风险。随后，NIST公开征求框架实施意见，并于2016年、2017年连续举办研讨会收集各方反馈信息，发布两份新框架草案供公众讨论，最终在2018年4月16日正式发布《增强关键基础设施网络安全框架(1.1版)》(以下简称《框架1.1》)。与1.0版相比，新框架在验证和识别、网络安全风险自我评估、供应商网络安全管理以及漏洞披露等部分进行了改进和优化。

从内容上看，《框架1.1》10主要包含三个部分，即核心策略(Core)、实施层级(Implementation Tiers)和指标集(Profile)。

首先，核心策略是一组涵盖网络安全管理程序、预期目标和参考标准的规划表，旨在指导机构逐步建立网络安全风险管理体系。核心策略按照功能、类、子类和参考文件的顺序展开，并确立了应对网络攻击的五大功能性程序：识别、保护、检测、响应和恢复。这与我国专家提出的预警、保护、检测、响应、恢复、反击具有相似性。11类是对五大功能进行划分后的网络安全要素，子类则是对类的进一步细分，并将参考文件，即现有的国际标准、指南和最佳实践，与子类一一对应，作为机构在制定、完善其网络安全管理程序时的重要参考。目前，《框架1.1》附录A将5个功能细分为23个类和108个子类，每个子类代表着一个特定网络安全目标，机构可通过借鉴罗列在参考文件中的指南和最佳实践达成前述目标。

其次，实施层级是对组织机构内部网络风险管理能力成熟度的分级标准，由低到高包括部分实施级、风险预知级、可重复实施级以及自动适应级四个层级。最后，指标集是指组织机构根据自身业务需求、风险容忍度及可利用资源，从《框架1.1》核心策略表中挑选出适应自身情况的类和子类，并进行合理编排以形成与机构发展现状相匹配的风险管理措施，进而实现标准、指南、最佳实践与核心策略的一致性。机构分别建立当前指标集(Current Profile)和目标指标集(Target Profile)，前者代表着当前机构网络安全状况，而后者则是指机构未来预期想要达成的网络安全目标。通过比对当前指标集和目标指标集之间类与子类的区别，机构能够直观发现两者间现存差距，并进行自我评估，为不断完善网络安全风险防范程序指引方向。

总体而言，《框架1.1》以业务需求为内在逻辑指导机构内部网络安全活动的开展，并将网络风险视为机构内部风险管理程序不可或缺的重要部分。更难能可贵的是，《框架1.1》的适用颇具弹性和可扩展性。一方面，框架倡导的网络风险管理标准并非是一套适用于全部机构、完全一致的规则，而是不同机构可根据各自面临的各种威胁和漏洞，自主选择网络安全目标，采取契合自身实情的网络风险管理标准程序。这就使得各机构，无论规模几何、网络风险敞口大小或网络安全管理复杂性程度高低，都能运用风险管理的基本原则和最佳实践以消除或减轻网络风险带来的负面影响。另一方面，核心策略中的参考文件并非一成不变，可以进行不断扩充，以增强框架的现实可操作性。目前《框架1.1》参考文件中选取了5个标准化组织、行业协会制定的标准、指南和最佳实践，包括美国网络安全理事会(CCS)发布的关键安全控制点标准(CSC)，美国信息系统审计与控制协会(ISACA)发布的信息和相关技术控制目标(COBIT)，国际标准化组织(ISO)发布的工控信息安全标准ISA62443，ISO和国际电工委员会(IEC)共同发布的信息安全管理体系标准ISO/IEC27001:2013，以及NIST发布的联邦政府信息系统和组织安全控制措施系列特别出版物(NIST SP800)。值得一提的是，N I S T下设的国家卓越网络安全中心(NCCoE)于2018年9月7日发布了NIST SP1800-5最终版，其中针对信息系统资产管理的最佳实践，正是为金融服务部门相关领域缺陷提供应对之策。

2.《金融市场基础设施建设的网络恢复力指南》

2016年6月，支付与市场基础设施委员会(CPMI)和IOSCO联合发布CRFMI指南12，旨在增强金融市场基础设施(FMI)网络恢复能力。考虑到网络风险动态变化的特征，适用特定固化的措施可能导致指南迅速失效，因此CRFMI指南采取了基于原则的规制模式。虽然该指南主要针对金融市场基础设施，但相关部门仍可将其应用于其他机构。从内容上看，CRFMI指南由5个风险管理措施和3个重要程序组成，前者包括治理结构、识别、保护、检测、响应和恢复，后者包含测试、环境感知以及学习和发展。这些措施和程序是建立和完善网络恢复能力框架的重要基础，应统筹兼顾每一项内容。具体而言，每项措施都需要循环经历3个重要程序，如响应措施初步构建后，组织机构应通过演习等方式测试实际效果，根据对内外部网络风险环境变化评估适时对其进行调整，同时不断总结实践经验，学习新的信息网络技术以完善具体措施。通过这样反复打磨从而使得风险管理机制更加行之有效。因此，执行和遵守指南不是一次性的任务，而是长期的、不断升级的过程。FMI应逐步适应、发展和提高其网络恢复能力，增加犯罪者实施网络攻击的难度，并提高恢复关键业务和从网络攻击中恢复的能力。

需要特别指出的是，CRFMI指南并没有制定超出PFMI中规定的金融市场基础设施基本原则，而是对PFMI部分规则，诸如原则2(治理结构)、原则3(全面的风险管理框架)、原则8(结算终局性)、原则17(运营风险)以及原则20(FMI间相互联系)等原则的进一步补充细化。考虑到FMI对金融市场的两大系统重要性——结算终局性13与运营稳定性，CRFMI指南要求FMI应当采取迅速且可持续的行动加强网络恢复能力，并提出更高的恢复时间目标(RTO)，即在遭受严重网络攻击运营中断后2小时内恢复运营，同时在最迟不超过中断发生当日完成结算。该指南还特别指出，鉴于金融系统存在广泛的相互联系和依赖性，整体市场的网络恢复能力不仅取决于单个FMI，还取决于相互关联的FMI、服务供应商和其他市场参与者的网络安全状况。

3.ISO/IEC27000系列标准

ISO和IEC制定并公布了27000系列信息安全管理系统标准，旨在帮助组织机构保护其信息资产，包括财务信息、知识产权、员工信息、客户信息以及第三方信息等。自20世纪90年代发展至今，该系列标准受到跨国公司广泛采用，其最新版本发布于2013年，并于2018年2月对信息安全管理系统概况和术语部分进行了更新。14根据该系列标准，实施ISO 27001等标准的公司在通过ISO认证机构审核后，即可获得ISO官方认证。

27000系列标准中最重要的两个组成部分是I S O/IEC27001和ISO/IEC27002。前者规定了在组织整体业务风险范围内建立、实施、操作、监控、审查、维护和改进正式信息安全管理系统的要求；后者则是建议性的，提供构建信息安全管理系统的最佳实践，以实现因信息的保密性、完整性和可用性受到威胁而产生的信息安全控制目标。与《框架1.1》相似，ISO/IEC27001的适用同样具有广泛性和灵活性，其构建的信息安全管理系统(ISMS)是一个总体框架，涵盖所有行业各种规模的公共和私人组织机构。组织机构可根据自身面临的风险，从ISO/IEC27001附录A中规定的信息安全目标与控制列表中选择最合适的措施。具体而言，组织机构首先全面评估其面临的信息风险，使用ISO/IEC27001明确其控制目标，建立和完善ISMS，并利用ISO/IEC27002最佳实践采取适当的风险控制措施。

(二)网络安全信息共享机制

信息共享是网络安全法律规制的核心内容之一。通过信息共享，单一组织机构能够集合在一起，共享网络安全风险管理的能力、知识和经验，让组织机构更好地了解网络安全状况，包括网络罪犯使用的技术手段。与此同时，信息共享机制的建立让组织机构能够效仿其他机构为防止、检测、应对和恢复网络攻击而采取的有效措施，从而使单个实体或系统迅速提升对网络威胁的应对能力，以降低整体系统性风险。15此外，监管机构也可从信息共享机制中受益：通过了解市场参与者面临的网络威胁类型、网络安全风险管理策略和办法以及市场参与者总体应对水平，确保现行法律法规和监管措施有效性和适当性。

从国内立法层面来看，美国率先建立了综合性的网络安全信息共享法律体系。2015年10月27日，美国参议院正式通过了《2015网络安全信息共享法案》(CISA)16，旨在构建一个自愿性的网络安全信息共享平台，采取PPP模式17鼓励公共和私人实体、各级政府以及监管机构分享网络威胁信息。CISA将共享信息分为网络威胁指标(CTI)和防御措施(DM)两类。前者是指那些对于描述或识别恶意侦察、破坏安全控制或利用安全漏洞的方法、安全漏洞、恶意网络控制、事件造成的实际或潜在损害、网络安全威胁的任何其他属性等必要的信息18，实践中CTI包括域名、互联网协议地址、日志数据、恶意软件、数据包、端口、签名、时间戳、统一资源定位符等；后者则是指行动、设备、程序、签名、技术或其他应用在信息系统上的措施，或与储存、处理或传递一个旨在侦查、保护或减少网络安全威胁或网络漏洞的信息系统相关的信息。19需要指出的是，CISA为信息共享网络构建扫清了法律障碍，不仅使两个及以上私人实体间旨在促进网络安全威胁防范、调查或影响消除的信息互换不会违反反垄断规则20，而且私人实体为监控信息系统采取的行动以及分享或获取CTI信息也享有法律责任豁免特权。21

除此之外，部分监管机构为减少信息安全事件的发生，要求金融机构向其披露自身遭受的网络攻击等信息安全事件。例如，根据加拿大《国家指令21-101市场运营》第12.1条(c)款，任何重大系统故障、延迟或安全漏洞应向监管机构汇报，并提供故障、延迟或安全漏洞状态的最新信息、内部审查结果以及为恢复服务采取的措施。又如，根据美国证券交易委员会(SEC)2014年11月19日通过的《系统、合规和完整性规则》(SCI)，自律监管组织(SRO)包括证券交易所、证券业协会、清算机构以及市政债券规章制定委员会，应通知SEC其发生的网络入侵事件。这种基于风险的监管方法，有助于监管机构持续考察受监管实体采取的行动是否有效，并可从中总结经验，制定更加有效的监管规则。

对于金融业信息共享网络建设，目前大部分行之有效的信息共享倡议是由私人部门发起。22其中，影响力较大的是金融服务信息共享和分析中心(FS-ISAC)，其会员从2004年的68个激增至2015年的5700个。FS-ISAC成立于1999年，总部设于美国，并在英国、新加坡设有办事处，旨在建立全球性金融服务业网络和物理威胁情报分析与共享平台，其任务是分享适时的、相关的、可操作的网络和物理安全信息并加以分析。FS-ISAC每月处理数千个威胁指标，努力减少网络犯罪、黑客活动和国家活动，并与其他行业机构合作，协助制定和测试金融部门的风险管理程序，其共享的信息类型包括：恶意网站，威胁行为人及其目标，威胁指标，网络威胁策略、技术和程序，开发目标，拒绝服务攻击，恶意邮件，软件弱点以及恶意软件。

就国际层面的信息共享合作而言，2016年，IOSCO在2002年《关于协商、合作和信息交流的多边谅解备忘录》(M M o U，曾于2012年修订)的基础上，发布了《关于加强协商、合作和信息交流的多边谅解备忘录》(EMMoU)，以期进一步加强跨境协助与信息交换。EMMoU首先明确了信息交流的基本原则——“允许范围内的最大协助”23，即监管机构应相互提供“允许范围内的最大协助”，来调查涉嫌违法行为，以确保遵守和执行各自的法律和条例。这里所指的法律和条例几乎涵盖证券市场全部领域，也就是说，申请网络犯罪协助与信息共享包含在EMMoU规则之内。与此同时，EMMoU还扩大了信息交换的范围，使成员可获取储存在互联网服务供应商以及其他电子通信供应商的用户记录。可以预见的是，EMMoU的有效运行将会在一定程度上促进证券监管机构间跨境执法合作和援助，以应对近年来全球化和技术进步带来的风险和挑战。

(三)网络风险与网络安全事件的信息披露规则

信息披露制度是上市公司监管的重要手段。网络风险与网络安全事件作为可能对公司运营产生重大实质性影响的因素，是投资者作出投资决策不可或缺的基本依据，上市公司应及时、准确地予以披露，以消除信息不对称带来的负面影响。同时，网络风险与网络安全事件披露，尤其是强制性的信息披露，对于提升企业在网络安全上的投资无疑会起到积极的促进作用。如果不存在其他因素的干预，企业不会考虑外部效应(如信息泄露对于公众的影响)而仅依据自身成本和收益选择最佳的投资策略。24因此，监管者可以通过强制性的信息披露将外部性内化，从而迫使企业加大对网络安全领域的投资。

SEC下设公司融资部工作人员于2011年10月13日发布了一项上市公司关于网络安全风险和事件信息披露的指引(2011年指引)，旨在帮助注册上市公司履行《1933年证券法》要求的注册声明以及《1934年证券交易法》要求的定期报告信息披露义务。25值得一提的是，尽管2011指引并非一项正式的法律法规或SEC声明，但该指引发布后，许多公司都以风险因素的形式披露了其网络安全信息。26

2018年2月26日，SEC《上市公司网络安全信息披露委员会声明和指引》(2018年指引)27正式生效。与2011年指引相比，2018年指引除升级成SEC级规则外，还新增了“网络安全政策和程序的重要性”和“网络安全语境下内幕交易禁止规则的适用”两个议题。一方面，公司必须建立和保持适当有效的披露控制程序，使其能够准确、及时地披露实质性信息，包括与网络安全有关的事件；另一方面，指引提醒公司及其董事、高管，以及根据证券法一般反欺诈条款适用内幕交易禁令的其他公司内部人士，他们有义务避免选择性披露有关网络安全风险或事件的重大非公开信息。

从内容来看，2018年指引由网络安全信息披露规则和政策程序两部分组成。前者从风险因素、财务状况、经营业绩、管理层决策和分析、经营描述、法律诉讼、财务报表、董事会风险监督等常规披露形式对网络安全信息披露作出指引；后者是对上市公司网络安全信息披露的监督规则，包括披露控制和程序、内幕交易以及选择性披露规则。

从操作层面来看，2018年指引要求公司充分考虑网络安全风险和网络安全事件是否构成实质性信息而应予向公众披露。对于实质性的判断，SEC认为应当是一个理性投资者认为该信息对其作出投资决策起到重要作用或者该信息的披露会显著改变理性投资者可获得信息的总体组合。在确定网络安全风险和事件的披露义务时，公司应权衡所有已识别风险的潜在重要性，网络安全事件发生后受损信息的重要性以及对公司运营产生的影响。归结起来，网络安全风险或事件的重要性取决于：(1)性质、程度和规模，尤其是与公司主要业务和经营范围的关系程度；(2)造成危害的范围，包括对公司信誉、财务状况、客户关系的影响以及被诉或被监管机构调查处罚的可能性。另外，2018年指引特别指出，公司不应提供过多关于其网络安全系统、相关网络和设备或潜在的系统漏洞等技术细节，以避免使信息披露成为不法分子破坏公司网络安全的“路线图”；而应披露对投资者决策产生实质影响的信息，包括网络安全风险或事件带来的财务影响、法律后果和信誉减损等。

三、证券市场网络风险法律规制评析及困境

从功能来看，网络风险管理标准、网络安全信息共享制度、网络风险和网络安全事件信息披露规则三者之间相互联系，并从不同维度对证券市场面临的网络风险进行规制。首先，网络风险管理标准从风险管理角度对证券市场参与主体内部网络安全框架和程序设定标准，并可通过最佳实践向参与主体提供可资借鉴的操作范本；其次，网络安全信息共享不仅可整合跨行业甚至跨国公私资源，形成合力，在风险发生时迅速采取应对措施，而且在网络事件处理实践中会不断形成最佳实践并补充到网络风险管理标准中去；再次，网络风险和网络安全事件信息披露通过透明度要求敦促证券市场参与主体重视网络风险，加大其对内部网络安全体系建设的投资力度，缓解和消除信息不对称带来的金融风险；最后，网络风险管理标准是信息共享和信息披露的基础，而通过信息共享和信息披露能促进网络风险管理标准的不断完善，三者结合起来形成较为完整的网络风险法律规制体系。

证券市场网络风险法律规制的发展趋势及面临的困境主要表现为三个方面：

(一)证券市场网络风险法律规制的趋同化与软法化

当下，证券市场网络风险法律规制在形式与内容上呈现出趋同化的发展趋势。从规制形式来看，信息技术革新速度快与网络风险内涵和外延的不确定性是证券市场网络风险法律规制面临的两大挑战。信息技术快速升级的同时，网络风险类型随之不断变化，法律天然的滞后性使传统规制模式难以应对。因此，相比于专门制定并签订新的国际条约对网络安全加以规范，国际社会倾向于修改、澄清和细化现有规则。28如前述CRFMI指南即是对PFMI的细化和延伸；又如EMMoU，也是在IOSCO原有信息交换平台基础上进行更新升级，以促进跨境信息互换合作。这样做的好处不言而喻，即可以节约造法成本，避免规则间的相互冲突，但同时也会导致立法不成体系、规则碎片化地散落在其他条款中的困境，与网络安全对于金融市场的极端重要性不相匹配。值得一提的是，大多数现有规则和指南以金融部门为导向，部分领域存在立法空白。例如24个FSB成员发布了针对金融基础设施和银行的网络安全规则或指引，而仅有7个成员对养老基金网络安全作出具体规范。29

从规制内容来看，尽管世界范围内网络风险管理指引数量众多，尚未形成统一的国际标准，但三大核心标准的形成标志着金融市场网络风险管理规则向趋同化的方向发展。更重要的是，三大核心标准与国际上其他现有网络原则和指引30保持一致性，且相互之间在主要议题上有着明显的相似性。大部分指引都会涉及治理结构，风险分析与评估，信息安全，安全控制和安全事件防范，专家和训练，监控、测试或审查，安全事件反应和恢复，信息共享，对供应商和第三方的管控以及持续学习等议题。可见，国际社会对于组织机构网络风险规制框架在一定程度上已形成共识。

除趋同化态势外，全球范围内证券市场网络安全法律规制呈现出较强的软化趋势，强制性不足是其最显著的特征。一方面，IOSCO、CPMI等国际金融标准制定机构发布的相关指引和原则，属于国际软法，不具有法律拘束力，其有效执行依赖于各国监管机构的转化适用；另一方面，《框架1.1》以及其他现有网络安全风险管理指南的适用不具有强制性，监管机构也未强制要求被监管实体适用特定规则，组织机构享有充分的自主选择权利。这无疑加大了监管机构在判断特定实体网络安全合规性时的难度，赋予监管机构过大的自由裁量权，还可能引发监管套利现象。与此同时，无论是依据国内立法CISA构建的信息共享平台还是私人实体主导的FSISAC，均奉行自愿参与的基本原则，软性规则成为主流。而在网络风险和网络安全事件信息披露规则领域，对于是否披露、以何种形式披露、披露到何种程度等关键问题的决策权掌握在上市公司自己手中。虽然监管机构仍有权审查上市公司信息披露情况，但缺少硬法支撑势必导致其监督执行力相对有限。在缺乏有力监督的情况下，通过非强制性的标准以实现公司自律监管无疑是极为困难的。31

(二)网络安全信息共享参与主体间的信任困境

几乎所有的网络安全指引都建议组织机构在内部和外部建立起信息共享机制，通过资源整合共同应对网络风险带来的挑战。目前已有的倡议，诸如FS-ISAC这样较为成功的信息共享网络，大多采取自下而上、会员制的基本结构，并且需要一个非常缓慢的构建过程。这是因为信息共享制度的基石是内部所有参与主体之间较高层次的互相信任，可以说主体间信任程度在极大程度上决定了信息共享网络的有效性。

以参与主体为视角，可以更直接反映信任机制的内涵。横向参与者的信任构建，即信息共享方之间，包括私人主体间、私人主体与监管机构间以及不同国家监管机构间信任构建；纵向参与者的信任构建，则是信息提供方与信息获取方之间的信任构建。现阶段，不同参与者之间面临的信任困境有所不同。具体而言：

1.私人主体间

因各自的规模、网络安全控制能力、信息获取与处理能力以及网络威胁程度不同，私人主体各方利益诉求存在较大差异，而且高频、高标准、大量的信息共享对小公司来说无疑是巨大负担。更重要的是，许多私人主体间存在竞争关系，相互间不信任在所难免，更何况共享的网络安全相关信息可能对组织机构声誉产生重大影响，其他私人主体能否恪守保密义务并将相关信息仅用于提升网络危机应对能力就显得尤为重要。

2.私人主体与监管机构

两者之间本就关系紧张，私人主体会出于担心特定共享信息成为监管机构进行处罚的依据而不愿分享信息或仅分享部分信息，从而降低信息共享机制的有效性。尽管CISA明确规定了私人实体为监控信息系统采取的行动以及分享或获取CTI信息享有法律责任豁免特权，但这仅排除了组织机构采取网络安全行动而产生的法律责任，监管机构仍可以将其所分享的信息用作处罚决定的基本证据材料。

3.不同国家监管机构间

网络风险全球化要求网络安全信息共享也应全球化，各国监管机构之间的信任成为不可回避的核心议题。其中，各国国内网络安全信息共享立法的域外性问题会在相当程度上减损各国监管机构之间的信任。例如，由于CISA对于CTI和DM的定义极为宽泛，私人实体、政府可收集信息的范围极大，考虑到数据信息流动本身具有域外性的特征，以及跨国公司业务特性，美国政府可在未经数据来源国同意的基础上获得大量他国信息。需要特别指出的是，CISA允许CTI信息的二次传输，即当某一美国联邦政府机构(如SEC)获取CTI后可能会将其分享给美国国家安全局或美国联邦调查局。32斯诺登事件的曝光已将信息监听问题推向了舆论的风口浪尖，各国政府间关于信息合作的政治互信达至冰点状态，若国内立法的域外性得不到合理限制，无疑会雪上加霜。相比之下，EMMoU则更加尊重信息来源国的知情同意权和国内法律法规，在信息共享与国内法发生冲突时，信息来源国可以拒绝共享该信息，这种弹性合作方式将在一定程度上缓和不同国家监管机构间的不信任。

4.被获取信息方与信息收集方

隐私权保护是被获取信息方与信息收集方之间互信的基础。隐私权保护与网络安全之间的博弈在CISA立法过程中体现得淋漓尽致。根据CISA对CTI的定义，由于技术上很难将用户访问网站活动从分布式拒绝服务攻击访问中剥离出来，无辜用户的网页浏览活动将会作为DDoS攻击信息的一部分进行分享，甚至那些与钓鱼攻击相关的通信文本，因其构成破坏安全控制而被纳入CTI范围之内，这样势必会对公民个人隐私造成严重侵犯。33尽管CISA对信息共享中隐私权作出了一定限制，如要求私人实体审查并移除可识别特定个人的CTI34，以及所采取的措施应满足“网络安全目的”35，但其实际作用十分有限。一方面，CISA并不要求CTI中完全剔除可识别个人信息，除非“确定地知道”该信息与网络威胁无关，也就是说，私人实体仍可基于怀疑共享该信息；另一方面，CISA将“网络安全目的”定义为“保护信息系统及系统中储存、处理或传输的信息免受网络安全威胁或安全漏洞的影响”36，意味着几乎所有信息系统的保护措施都可符合“网络安全目的”。以至于CISA正式通过后，仍有许多著名互联网企业公开发表联合声明反对该法案，并强调“客户信任至上”“安全不应以损害隐私为代价”。37

(三)网络风险和网络安全事件信息披露规则完善之挑战

2011年指引发布至今已近九年，但对上市公司网络风险和网络安全事件有效披露的促进作用十分有限，其有效性受到多方质疑。根据2017年对2168位从事网络风险和公司风险管理活动员工的调查报告，36%的员工反映公司信息资产的重要丢失并未在公司财务报告中未予以披露，仅有43%的人员证实各自所在公司会在财务报表上披露信息资产损失。38即便是小幅升级后的2018年指引，仍饱受批评，市场认为SEC在此议题上作为过于有限。39无论是2011年指引还是2018年指引，均存在披露要求过于宽泛的缺陷，对于上市公司应提供多少信息没有清晰的说明，实际作用有限。可见，网络风险和网络安全事件信息披露规则的完善面临许多挑战，包括：

第一，上市公司对于网络风险与网络安全事件的信息披露动力不足。上市公司出于担心信息披露对自身声誉的影响，以及可能带来的法律诉讼风险，诸如客户信息泄露事件披露伴随而来的客户诉讼和赔偿，其主动披露的积极性较低。同时，事先全面了解所有可能面临的网络风险难度较大，在网络安全事件发生时难以及时发现并且依赖于第三方供应商监测和应对可能发生的网络事件。如前所述，企业不会主动将网络安全管理措施的外部效应纳入内部投资策略的考虑范畴，使得目前企业在网络安全上的投资水平较低。还有很多企业并不将网络风险视作企业经营风险从而未将其纳入管理层风险管控框架。

第二，网络安全事件数据匮乏。尤其是缺少具有代表性的网络安全事件，给监管机构和企业带来了诸多挑战。对监管机构来说，几乎不可能准确量化网络安全事件对市场造成的具体影响，导致政府难以判断是否有必要通过积极措施以及采取何种程度的措施来限制网络安全风险。同样，对企业来说，由于缺乏数据，很难正确评估网络安全风险敞口的预期成本，从而无法确定网络安全投资的最佳水平。

第三，投资者保护与网络安全之间存在内在矛盾。一方面，信息披露规则要求披露的信息应更加全面、有效、具体，以消除市场上的信息不对称；另一方面，过于详细的信息披露，尤其是披露企业已采取的网络安全措施，可能为不法分子进行网络攻击提供指引，这就让企业陷入一个两难境地——将他们置于下一次网络攻击的危险之中还是违反信息披露规则。40尽管2018年指引建议上市公司避免过多披露技术层面细节，但应当披露的部分却过于宽泛，使指引的实际可操作性较低。

四、启示与借鉴

《国家网络空间安全战略》《网络空间国际合作战略》和《网络安全法》的出台和实施，标志着我国已初步完成网络空间法律规制的顶层设计。对于证券市场网络安全，中国人民银行、中国证监会和中国证券业协会始终保持高度关注，自2005年《证券公司信息技术管理规范》出台以来，持续发布了许多与网络风险规制相关的法规、标准和指引41，以加强对证券基金行业的信息安全管理要求。特别是自2012年起，平均每年至少有1个相关规范出台，2016～2018年更是发布了超过5个推荐性行业标准及强制性管理要求，证监会对于行业信息安全管理监管提升到了新高度。尽管如此，针对证券市场网络风险的规制仍有进一步完善的空间，具体来说应着重考虑以下三个方面：

(一)引入最佳实践以提升网络安全管理标准的可拓展性和灵活性

根据证券期货业信息安全标准规划2015年版(以下简称2015年规划)，全国金融标准化技术委员会引入PPDRR模型，包括策略、防护、检测、响应和恢复5个主要部分，并以风险评估为指导思想，规划构建一套适用于证券期货业的信息安全标准。这与《框架1.1》等国际主流网络安全管理标准具有高度一致性。从2015年规划附录D编制工作规划来看，目前已出台标准仅有6个，占总计划的五分之一，标准制定仍任重而道远。考虑到在全球范围内已有诸多标准，为避免重复，借鉴已有标准将比另起炉灶更加有效。在制定《证券期货业信息安全管理体系要求》时，可采用《框架1.1》最佳实践模式，在“规范性引用文件”中将国际上通行有效的标准纳入我国网络安全管理标准体系，供市场参与者选择适用。对于“规范性引用文件”的选择，则应在中立原则的基础上进行全面分析后再按需采纳，避免某一项标准存在缺陷导致的网络安全风险。42增强标准可拓展性和灵活性，不仅可对因信息科技技术更迭带来的网络安全新问题及时采取应对措施，减轻标准制定滞后性带来的影响，还能与国际通行标准相接轨，为我国金融机构融入全球市场奠定基础。

(二)完善以证监会为核心的网络安全信息共享制度

2018年12月出台的《证券基金经营机构信息技术管理办法》(以下简称《办法》)已于2019年6月1日正式实施，该办法全面覆盖了证券基金行业各类经营主体，具有强制性的约束力。根据《办法》相关规定，证券基金经营机构应履行一系列的网络安全信息报告义务，内容包括新建或更换重要信息系统相关的资料、年度信息技术管理专项报告以及信息安全事件和调查处理报告。同时，信息技术服务机构提供信息技术服务时，应向证监会定期报送相关资料；并在出现可能对投资者合法权益或证券期货市场造成严重影响的事件时，立即报告住所地的中国证监会派出机构。此外，根据《证券期货业信息安全事件报告与调查处理办法》，需要履行信息安全事件报告和调查处理的主体除证券基金经营机构外，还包括承担证券期货市场公共职能的机构、承担证券期货行业信息技术公共基础设施运营的机构等证券期货市场核心机构及其下属机构。

可见，我国已初步建立起以证监会为主导的纵向网络安全信息报告制度，但与CISA、FS-ISAC等信息共享机制相比缺陷明显：首先，本质上我国采取的是一种单向的信息报告监管机制，而非信息共享，参与主体间的互动非常有限，未能整合公私资源；其次，参与实体有限，《办法》适用对象不包括证券期货交易所等金融基础设施；最后，从《办法》条款来看，除网络安全事件外，报告信息与CISA中DM更为相似，相较于CISA私人实体与政府间实时CTI信息共享要求，在共享信息范围和时效上存在不足。

鉴于此，中国人民银行和证监会应在吸纳PFMI和CRFMI指南的基础上尽快出台《金融基础设施信息技术管理办法》，将FMI纳入信息共享制度范畴。同时，进行FMI、证券基金经营机构、信息技术服务机构与证监会之间实时CTI信息共享的可行性分析，从而扩大信息共享的范围。对于私人主体间的信息共享，出于对个人隐私权的保护以及监管难度的考虑，现阶段不宜轻易放开。更重要的是，限制私人主体间的信息共享，即信息共享仅由信息收集方储存与保护，不仅可以减轻被获取信息方与信息收集方之间的信任困境，还可有效阻止涉及个人隐私甚至是国家安全的信息数据通过跨国企业向境外转移。而对于促进参与主体间的互动，目前证监会作为网络安全信息获取的终端集成者，可在统筹分析的基础上，建立证券期货行业信息系统应急案例库，向参与者分享网络风险管控的最佳实践。也就是说，尽管横向私人主体间的互动被阻断，但证监会仍可通过典型网络安全案例使整个信息共享体系活跃起来。此外，证监会应以《网络空间国际合作战略》为指导原则，积极参与国际层面网络安全信息共享合作，合理利用EMMoU平台，从而减轻网络风险对国内证券市场的负面影响。

(三)尽快填补上市公司网络风险和网络安全事件信息披露规则的空白

信息披露规则完善是我国证券市场注册制改革的核心议题之一。目前，上市公司网络风险和网络安全事件信息披露存在立法空白，有关部门应尽快出台相应规则加以规范。

国际实践中，上市公司关于网络安全的信息披露大多采取风险因素的形式，内容多以商标和信誉减损、对商业的损害程度、数据泄露的后果，公司为维持信息技术系统安全有效的开销及其对经营业绩的负面影响，网络安全法律法规变化带来的潜在负面影响，以及上市公司为减轻网络风险而采取措施的基本信息为主。相比于定量分析，上市公司多采取定性分析的方式进行披露。因此，有关部门在制定相关规则指引时，应重点考虑：(1)上市公司面临网络风险的原因；(2)网络风险的来源和性质以及风险发生路径；(3)网络事件可能带来的后果，包括对上市公司声誉和客户信任的影响、对利益相关方和其他第三方的影响、网络事件后恢复成本、上市公司损害赔偿诉讼、上市公司内部信息披露控制的影响等；(4)减轻网络风险的保护措施和管理策略的适当性。

就操作层面而言，深沪交易所应针对特定行业制定信息披露指引，尤其是网络风险敞口较高的行业，如互联网企业、金融机构等，以填补网络风险和网络安全事件信息披露规则空白。在必要时，再由证监会以出台《公开发行证券的公司信息披露编报规则——网络风险信息披露特别规定》的形式，完善并系统化构建网络风险和网络安全事件的信息披露规则。

[基金项目：2019年度福建省社科规划省法学会专项“金融科技的勃兴与监管科技运用的法律路径”(FJ2019TWFB05)]

注释

1. 本文所指网络，英文翻译为Cyber而非Network。中共中央网络安全和信息化委员会办公室官方英文翻译采用的也是Cyberspace的表述。在我国网络安全管理相关标准及法规中，多采用“信息技术管理”“信息系统安全管理”的表述。从《网络安全法》视阈来看，网络安全(Cyber Security)应是信息技术、信息系统安全的上位概念。为与现行标准和法规保持一致，本文不对网络安全、信息系统安全做详细区分。关于信息安全、网络安全及赛博安全相关词汇之间的关系与区别，参见谢宗晓. 信息安全、网络安全及赛博安全相关词汇辨析[J]. 中国标准导报, 2015, (12): 30-32.

2. 尽管国际社会对于网络风险及其相关概念的内涵和外延仍存在争议，但部分词汇定义已形成一定共识。金融稳定理事会于2018年11月12日发布了网络词汇表，对与网络相关的重要词汇进行定义。其中，网络风险被定义为网络事件发生概率及其影响的组合。See FSB. Cyber lexicon[EB/OL].(2018-11-12)[2019-08-29]. https://www.fsb.org/wp-content/uploads/P121118-1.pdf.

3. See IOSCO&WFE. Cyber-crime, securities markets and systemic risk[EB/OL]. (2013-07-15)[2019-09-12]. https://www.iosco.org/library/pubdocs/pdf/IOSCOPD460.pdf.

4. See Verizon. 2019 Data breach investigations report[EB/OL]. (2019-08-20)[2019-09-30]. https://enterprise.verizon.com/resources/reports/2019-data-breach-investigations-report.pdf.

5. See Nick Eubanks. The true cost of cybercrime for businesses[EB/OL]. (2017-07-13)[2019-09-23]. https://www.forbes.com/sites/theyec/2017/07/13/the-true-cost-of-cybercrime-forbusinesses/#6c0453c44947.

6. 系统性风险是指金融服务中断的风险，即(1)由金融系统的全部或部分受损引起；(2)可能对实体经济产生严重负面影响。See International Monetary Fund, the Bank for International Settlements, and the Financial Stability Board. Guidance to assess the systemic importance of financial institutions, markets and instruments: initial considerations[EB/OL]. (2009-11-7)[2019-09-27]. https://www.bis.org/publ/othp07.pdf.

7. See CPMI. Cyber resilience in financial market infrastructures [EB/OL]. (2014-11-11)[2019-09-27]. https://www.bis.org/cpmi/publ/d122.pdf.

8. See IOSCO. Securities markets risk outlook 2016[EB/OL]. (2016-03-02)[2019-09-30]. https://www.iosco.org/library/pubdocs/pdf/IOSCOPD527.pdf.

9. See IOSCO. Cyber task force final report[EB/OL]. (2019-6-18)[2019-10-04]. https://www.iosco.org/library/pubdocs/pdf/IOSCOPD633.pdf.

10.See NIST. Framework for improving critical infrastructure cybersecurity version 1.1[EB/OL].(2018-04-16)[2019-10-13]. https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.04162018.pdf.

11. 参见左晓栋, 周亚超. NIST发布新标准对工控系统安全影响深远[J]. 信息安全与通信保密, 2014, (6): 54-56.

12. See CPMI&IOSCO. Guidance on cyber resilience for financial market infrastructures[EB/OL].(2016-06-29)[2019-10-18]. https://www.bis.org/cpmi/publ/d146.pdf.

13. 结算终局性是指资产或金融工具不可撤销和无条件转让，或金融基础设施及其参与者根据基础合同条款履行义务。结算终局性是信用风险、流动性风险、市场风险和法律风险在交易各方之间进行分配的基础。

14. See ISO. ISO/IEC 27000[EB/OL].(2018-02)[2019-11-12]. https://standards.iso.org/ittf/PubliclyAvailableStandards/c073906_ISO_IEC_27000_2018_E.zip.

15. See Zheng D E, LewisJ A. Cyber threat information sharing: recommendations for congress and the administration[EB/OL]. (2015-03-10)[2019-11-10]. https://csisprod.s3.amazonaws.com/s3fspublic/legacy_files/files/publication/150310_cyberthreatinfosharing.pdf.

16. H.R. 2029, 114th Cong., div. N, tit. I §§ 101-111(2015).

17. PPP模式(Public-Private-Partnership),指政府与私人组织之间，为提供某种公共物品和服务，以特许权协议为基础，彼此之间形成一种伙伴式的合作关系。

18. H.R. 2029, 114th Cong., div. N, tit. I § 102(6).

19. H.R. 2029, 114th Cong., div. N, tit. I § 102(7).

20. H.R. 2029, 114th Cong., div. N, tit. I § 104(e).

21. H.R. 2029, 114th Cong., div. N, tit. I § 106.

22. See IOSCO. Cyber security in securities markets—an international perspective[EB/OL]. [2016-4-2]. https://www.iosco.org/library/pubdocs/pdf/IOSCOPD528.pdf.

23. 根据EMMoU第1条第2项，“允许范围内的最大协助”是指监管机构职权范围内任何形式的协助，无论这种协助是否在EMMoU中列明。

24. See Gordon L A, et al. Externalities and the magnitude of cyber security underinvestment by private sector firms: amodification of the Gordon-Loeb model[J]. Journal of Information Security, 2015, 6(1): 25-26.

25. See SEC. CF disclosure guidance: topic no. 2— cybersecurity [EB/OL]. (2011-10-13)[2019-11-25].https:// www.sec.gov/divisions/corpfin/guidance/ cfguidance-topic2.htm.

26. 例如，Willis North America公司在2013年发布的一份报告中发现，《财富》500强公司中约有88%的上市公司和《财富》501～1000强公司中约有78%的公司在2012年提交的年度报告中披露了网络安全方面的风险因素。2015年，88%罗素3000标的公司在其信息披露报告中将网络安全视为风险。

27. See SEC. Commission statement and guidance on public company cybersecurity disclosures[EB/OL]. (2018-2-26)[2019-12-02]. https://www.federalregister.gov/documents/2018/02/26/2018-03858/commission-statement-and-guidance-on-public-company-cybersecuritydisclosures.

28. See Shackleford S J. Managing cyber attacks in international law, business and relations: in search of cyber peace[M]. Cambridge University Press, 2014: 647.

29. See FSB. Stocktake of publicly released cybersecurity regulations, guidance and supervisory practices[EB/OL].(2017-10-13)[2019-11-13]. https://www.fsb.org/wp-content/uploads/P131017-2.pdf.

30. 除三大核心标准外，重要的网络安全相关指南包括：七国集团(G7)发布的金融部门网络安全核心要素，美国信息系统审计与控制协会(ISACA)发布的信息和相关技术控制目标(COBIT)，美国联邦金融机构审查委员会(FFIEC)发布的网络安全评估工具等。

31. See JohnsonK N. Governing financial markets: regulating conflicts[J]. Washington Law Review, 2013, (1): 187-189.

32. See Open Tech. Inst. Omnibus funding bill is a privacy and cybersecurity failure[EB/OL]. (2015-12-16)[2019-12-10]. https://www.newamerica.org/oti/omnibus-funding-bill-is-a-privacy-andcybersecurity-failure/.

33. 参见方婷, 李欲晓. 安全与隐私——美国网络安全信息共享的立法博弈分析[J]. 西安交通大学学报(社会科学版), 2016, (1): 72.

34. H.R. 2029, 114th Cong., div. N, tit. I § 103(d)(2).

35. H.R. 2029, 114th Cong., div. N, tit. I § 103(d)(3).

36. H.R. 2029, 114th Cong., div. N, tit. I § 102(4).

37. 参见宋国涛. 试析美国网络安全信息共享法案[J]. 保密科学技术, 2016, (6): 29.

38. SeeJackson R J Jr. Statement on commission statement and guidance on public company cybersecurity disclosures[EB/OL].(2018-02-21) [2019-12-15].https://www.sec.gov/news/public-statement/statement-jackson-2018-02-21.

39. See SteinK M. Statement on commission statement and guidance on public company cybersecurity disclosures[EB/OL]. (2018-02-21)[2019-12-26].https://www.sec.gov/news/public-statement/statementstein-2018-02-21#_edn14.

40. See Bronstein J. The balance between informing investors and protecting companies: a look at the division of corporate finance’s recent guidelines on cybersecurity disclosure requirements[J]. North Carolina Journal of Law & Technology, 2012, (13): 259.

41. 这些法规、标准和指引主要包括：2005年《证券公司信息技术管理规范》，2007年《关于做好证券业重要信息系统安全等级保护定级工作的通知》，2011年《证券期货经营机构信息系统备份能力标准》，2012年《证券期货业信息安全保障管理办法》《证券期货业信息安全事件报告与调查处理办法》《金融行业信息系统信息安全等级保护实施指引》，2013年《证券期货业信息系统运维管理规范》，2014年《证券期货业信息系统审计规范》，2016年《证券期货业信息系统托管基本要求》《证券期货业信息系统审计指南》(第1-7部分)，2018年《证券基金经营机构信息技术管理办法》《证券期货业数据分类分级指引》《证券期货业机构内部企业服务总线实施规范》。

42. 参见李琪.从标准化角度看NIST网络安全框架[C]//中国标准化协会. 第十四届中国标准化论坛论文集.北京:《中国学术期刊(光盘版)》电子杂志社, 2017: 787.