SEC的新网络安全提案：保护客户信息的措施

关键要点

本周，美国证券交易委员会（SEC）宣布了多项新的拟议规定，要求经纪商在数据泄露后30天内通知客户，立即通知政府，并扩大受数据隐私法规保护的客户信息类型。这些提案旨在标准化网络安全风险的披露并增强金融稳定性，SEC主席加里·根斯勒表示。目前，公众有60天的时间提交意见，随后会进行进一步的投票。

根据提案，经纪商、投资公司、注册投资顾问和转让代理需在确认敏感信息泄露或存在未授权使用风险后，及时通知客户，时间不超过30天。这些变更源于SEC24年来的规定的扩展，该法规监管金融机构保护客户信息。现行的法规要求公司通知客户如何使用财务信息，但不要求客户泄露通知，根斯勒指出。

“我认为我们应该填补这个空白……我相信，如果这些修正案获批，将帮助客户维护隐私，保护自己，”根斯勒在声明中表示。

此外，提案还要求公司在网络事故发生后立即向委员会提供书面通知，并在48小时内提交更详细的报告。

其他在周三宣布的提案还包括要求公司至少每年审查一次网络安全政策和程序的有效性。SEC还扩大并更新2014年的法规系统合规性，要求受监管实体（如证券交易所和清算机构）对第三方风险进行管理，包括来自的风险。

委员会委员马克·T·尤代亚批评了SEC关于网络安全监管的“随意”做法。在一份中，尤代亚表示，该机构应该提出一套整合的规则，而不是多个独立的提案。他还指出，其中一项规定与之前已受到显著批评的提案非常相似。

“委员会的这套‘随意’方法可能会造成混淆和冲突，甚至可能削弱网络安全防护，”尤代亚说道。“虽然提案承认了潜在的重叠，但未能解决这些问题，仅仅是要求评论者识别重复和成本的领域。更可取的方法是提出一套协调一致的规则，并分别考虑这些成本和效益。”

委员海斯特·皮尔斯认为，受监管公司在有合法执法或国家安全原因时，应该有选择推迟数据泄露通知的选项。此外，她担心向SEC提供“立即”事件报告会给安全团队带来额外的负担。

“在发现重大网络安全事件的前48小时内，填写一份详细的政府表格可能不是最佳的时间利用，但情况更糟——签字的人如果提交的信息不准确、真实或完整，面临个人责任，”皮尔斯。

虽然许多行业倡导者同意皮尔斯的看法并表达异议，但前国防部网络政策首席策略官乔纳森·瑞伯（JonathanReiber）表示，要求在48小时内进行即时通知的规则是“早就该来的”和“极为积极的一步”。

“拜登政府刚刚表示，法规需要基于绩效。提供风险管理策略的最佳方式是通过以威胁为导向的防御，侧重对抗敌人，收集关于组织网络安全项目有效性的有效数据，”瑞伯告诉SC媒体。