导读 · 2022.11.11

近日，摩根士丹利（Morgan Stanley）下属的美邦有限责任公司因怠于保护个人金融信息被罚3500万美元。美邦有限责任公司是一家成立于美国纽约的国际金融服务公司，提供包括证券、资产管理、企业合并重组和信用卡等金融服务。本文以美国证券交易委员会(SEC)对美邦公司的处罚为例，分析了美国政府对网络安全特别是金融信息保护的重点关切，总结了以SEC为代表的行政机关在网络安全执法方面的主要趋势，简要归纳了数据企业在网络安全与个人信息保护的合规实践标准。

引言

近日，美国证券交易委员会（Securities and Exchange Commission）结束了对摩根士丹利美邦有限责任公司（Morgan Stanley Smith Barney LLC.）的调查，发现该公司未能妥善保护约1,500万金融客户的个人身份信息(Personal Identifying Information, PII)，违反了《S-P条例：消费者金融信息的隐私和保护个人信息》（Regulation S-P）下的保障和处置规则（Safeguards and Disposal Rules）。

摩根士丹利美邦有限责任公司（以下简称“美邦公司“），隶属于摩根士丹利集团，是全球著名的股票承销商、投资银行和资产管理公司，也是纳斯达克市场的十大做市商之一。美邦公司是2009年由摩根士丹利（Morgan Stanley）与花旗集团（Citigroup）出资创立，一度是全球最大的财富管理公司，拥有740多个办公室和17,000多名财务顾问，管理着超过2万亿美元的客户资产。主要客户包括个人投资者、中小型企业以及大型企业、非营利组织和家庭基金会。

图1：:美邦公司资产统计（截止2022年6月30号）

来源：Bloomberg/SEC Filing

美国证券交易委员会调查发现，至少从2015年开始，美邦公司就未能严格遵循法律的规定，没有建立高效有序的内部规程，以妥善处理储存有客户个人身份信息的设备。

第一，美邦公司疏忽大意，在淘汰存储有数百万客户数据的硬盘和服务器时，雇佣的搬家与仓储公司却没有数据销毁相关的资质，没有任何的专业知识和服务经验。

第二，美邦公司没有及时、审慎地监督这家公司的数据销毁工作。调查发现，该搬家公司向第三方出售了数以万计的美邦公司的电子设备，其中包括大量未加密、未删除的客户数据的服务器和硬盘。这些设备，最后又流转到了互联网拍卖平台被当作二手物品转售，导致了严重的个人信息泄漏。

第三，美邦公司在管理各办公室和分支机构的服务器时，没有尽到严格保护客户的个人信息与征信报告的责任。调查记录核查显示，美邦公司遗失了至少42台储存有未加密的客户信息和征信报告的服务器。调查还发现，另外那些正在退役处理中的服务器，虽然已经配备了加密功能，相应的加密软件却一直都没有激活。

“摩根士丹利是全球知名的金融机构，理应在如何处理淘汰硬件方面遵循非常严格的准则。作为其子公司的美邦在本案中的失误，非常令人震惊。”美国证券交易委员会执法部主任（SEC’s Division of Enforcement）Gurbir S. Grewal说：“消费者将个人信息提交给金融专业人士，是信赖这些信息会得到应有的严格保护。如果这些敏感信息落入犯罪分子之手，将会给投资者带来灾难性的后果。这次的处罚向金融机构发出了一个明确的信息，即他们必须认真履行数据安全保护的义务。"

SEC执法部主任格博伯·格鲁瓦尔（Gurbir S. Grewal）

（图源：美国证券交易委员会）

SEC显著加强网络安全执法

在前主席杰伊·克莱顿（Jay Clayton, 2017年5月至2020年12月在任）的领导之下，美国证券交易委员会曾对网络安全采取了相对宽松的政策。随着新主席加里·詹斯勒（Gary Gensler）的上任，美国证券交易委员会逐渐出现了强监管趋势。

SEC现任主席加里·詹斯勒（Gary Gensler）

（图源：美国证券交易委员会）

前述对摩根士丹利美邦有限责任公司的高额处罚，是SEC要求金融企业加强个人信息保护制度，落实企业内部合规程序的经典案例。除了美邦公司之外，自2021年6月以来，SEC已经开展了多起针对网络安全与个人信息保护的专项执法行动。

第一，落实网络安全“保障措施”。

美国证券交易委员会颁布的《S-P条例：消费者金融信息的隐私和保护个人信息》（Regulation S-P），明确要求经纪公司、投资公司和投资顾问 “必须通过书面的规则和程序，建立行政、技术和物理保障措施，保护金融客户记录和信息”。   2021年8月30日，SEC在三起执法行动中，对八家投资顾问和经纪商分别处以70万美元的罚金。SEC指控后者在公司内部网络安全规则和程序保障措施等方面存在严重失误，导致未经授权访问电子邮件账户和客户数据泄密，违反了《S-P条例》第30(a)条规定，侵犯了客户记录和信息的安全性、保密性和完整性（security，confidentiality and integrity）要求，给客户权益造成的重大损害或不便（substantial harm or inconvenience）。

第二，处罚隐瞒数据泄漏事件。

培生集团（Pearson plc）是创立于英国伦敦的全球知名教育集团与媒体公司。作为全球首屈一指的教育出版机构，知名的出版商标有朗文出版社（Longman）、Prentice Hall等。培生的教育及评核产品和服务遍布全球超过70个国家。培生朗文拥有版权内容的《新概念英语》《走遍美国》和《跟我学》等经典教材，影响了几代中国人的英语学习。

2021年8月16日，美国证券交易委员会与培生集团达成行政执法和解，同意后者支付100万美元，作为后者未及时、准备地披露数据泄漏事件的处罚。调查显示，早在2018年，培生集团就出现了涉及13,000多个学校，数百万学生记录（包括出生日期和电子邮件地址）被盗窃的网络入侵事件。而在2019年7月提交的半年度报告中，培生将数据泄漏事件称为“假设性风险”（hypothetical risk），严重误导了消费者与投资人。不仅如此，培生在知道网络入侵事件后6个月都没有修补关键安全漏洞，还对外声称对此类“假设性风险”有 “严格的保护措施”。

第三，处罚公司内部信息泄漏上报制度缺位。

第一美国金融公司（First American Financial Corporation），是一家美国金融服务公司，为房地产和抵押贷款行业提供产权保险和结算服务。其核心业务包括产权保险和结算/结算服务；产权和其他不动产信息记录（包括消费者个人信息）；财产和意外伤害保险；以及银行、信托和投资咨询服务。

2021年6月14日，美国证券交易委员会指控第一美国金融公司，网络安全保护信息披露不完整，并处以近49万美元的罚款。根据美国证券交易委员会的调查发现，2019年5月24日上午，一名网络安全记者通知第一美国金融公司，其共享文件图像的应用程序存在漏洞，暴露了8亿多张可追溯到2003年的图像，包括包含社会安全号码和财务信息等敏感个人数据的图像。该公司于2019年5月24日晚间发表了一份公开新闻声明，并于2019年5月28日向SEC提供了一份8-K表格。然而，调查表明，第一美国金融公司内部，缺乏可以执行的内部信息披露与程序，导致公司的信息安全人员，虽然多个月前就发现了这个安全漏洞，却没有按时修补漏洞，更没有及时向公司的高级管理人员汇报。

美国证券交易委员会

近期执法行动的主要启示

  二十大报告指出，我们需要” 提高公共安全治理水平”，“加强个人信息保护”。   美国拜登政府在10月12号公布的《国家安全战略》（National Security Strategy），也明确提出要加强美国的技术领导地位，推进包容性和负责任的技术开发，缩小监管和法律（与产业发展技术创新的）差距（close regulatory and legal gaps），加强隐私保护与数据安全建设。   从滴滴出行的80.26亿人民币处罚，到摩根士丹利的3500万美元的罚金，说明了中、美两国的执法机构，都在向着强监管，重执法的趋势转变，不会再对怠于落实网络安全及数据保护规定的企业网开一面（lax regulation）。   易言之，不断加强网络安全执法与个人信息保护，已经是以中、美两国为代表的数据经济体，如何保持持续稳健发展的核心命题。   不管是传统金融企业还是平台服务企业，都必须严格遵守相关法律法规，保证企业内部网络数据安全保障程序的合规性与有效性，规定识别和评估网络安全事件及其影响的具体步骤，及时将潜在的重大网络安全事件提交给政府监管机构，确保向投资者披露重大网络安全事件，根据事件的严重程度，规定补救的程序和期限，以建立网络安全保护最佳实践标准。

作者游传满

香港中文大学（深圳）前海国际事务研究院副研究员。

GBA Review 新传媒