全球法治觀察 | 摩根士丹利被罰3500萬美元,美國進一步加強金融網絡安全執法


導讀 · 2022.11.11

近日,摩根士丹利(Morgan Stanley)下屬的美邦有限責任公司因怠於保護個人金融信息被罰3500萬美元。美邦有限責任公司是一家成立於美國紐約的國際金融服務公司,提供包括證券、資產管理、企業合併重組和信用卡等金融服務。本文以美國證券交易委員會(SEC)對美邦公司的處罰為例,分析了美國政府對網絡安全特別是金融信息保護的重點關切,總結了以SEC為代表的行政機關在網絡安全執法方面的主要趨勢,簡要歸納了數據企業在網絡安全與個人信息保護的合規實踐標準。

 

引言

近日,美國證券交易委員會(Securities and Exchange Commission)結束了對摩根士丹利美邦有限責任公司(Morgan Stanley Smith Barney LLC.)的調查,發現該公司未能妥善保護約1,500萬金融客戶的個人身份信息(Personal Identifying Information, PII),違反了《S-P條例:消費者金融信息的隱私和保護個人信息》(Regulation S-P)下的保障和處置規則(Safeguards and Disposal Rules)。

摩根士丹利美邦有限責任公司(以下簡稱“美邦公司“),隸屬於摩根士丹利集團,是全球著名的股票承銷商、投資銀行和資產管理公司,也是納斯達克市場的十大做市商之一。美邦公司是2009年由摩根士丹利(Morgan Stanley)與花旗集團(Citigroup)出資創立,一度是全球最大的財富管理公司,擁有740多個辦公室和17,000多名財務顧問,管理著超過2萬億美元的客戶資產。主要客戶包括個人投資者、中小型企業以及大型企業、非營利組織和家庭基金會。

 

圖1:美邦公司資產統計(截止2022年6月30號)

1

来源:Bloomberg/SEC Filing

 

美國證券交易委員會調查發現,至少從2015年開始,美邦公司就未能嚴格遵循法律的規定,沒有建立高效有序的內部規程,以妥善處理儲存有客戶個人身份信息的設備。

第一,美邦公司疏忽大意,在淘汰存儲有數百萬客戶數據的硬盤和服務器時,僱傭的搬家與倉儲公司卻沒有數據銷毀相關的資質,沒有任何的專業知識和服務經驗。

第二,美邦公司沒有及時、審慎地監督這家公司的數據銷毀工作。調查發現,該搬家公司向第三方出售了數以萬計的美邦公司的電子設備,其中包括大量未加密、未刪除的客戶數據的服務器和硬盤。這些設備,最後又流轉到了互聯網拍賣平台被當作二手物品轉售,導致了嚴重的個人信息洩漏。

第三,美邦公司在管理各辦公室和分支機構的服務器時,沒有盡到嚴格保護客戶的個人信息與徵信報告的責任。調查記錄核查顯示,美邦公司遺失了至少42台儲存有未加密的客戶信息和徵信報告的服務器。調查還發現,另外那些正在退役處理中的服務器,雖然已經配備了加密功能,相應的加密軟件卻一直都沒有激活。

“摩根士丹利是全球知名的金融機構,理應在如何處理淘汰硬件方面遵循非常嚴格的準則。作為其子公司的美邦在本案中的失誤,非常令人震驚。”美國證券交易委員會執法部主任(SEC’s Division of Enforcement)Gurbir S. Grewal說:“消費者將個人信息提交給金融專業人士,是信賴這些信息會得到應有的嚴格保護。如果這些敏感信息落入犯罪分子之手,將會給投資者帶來災難性的後果。這次的處罰向金融機構發出了一個明確的信息,即他們必須認真履行數據安全保護的義務。"

 

2

SEC執法部主任格博伯·格魯瓦爾(Gurbir S. Grewal)

(圖源:美國證券交易委員會)

 

SEC顯著加強網絡安全執法

在前主席傑伊·克萊頓(Jay Clayton, 2017年5月至2020年12月在任)的領導之下,美國證券交易委員會曾對網絡安全採取了相對寬鬆的政策。隨著新主席加里·詹斯勒(Gary Gensler)的上任,美國證券交易委員會逐漸出現了強監管趨勢。

 

2

SEC現任主席加里·詹斯勒(Gary Gensler)

(圖源:美國證券交易委員會)

 

前述對摩根士丹利美邦有限責任公司的高額處罰,是SEC要求金融企業加強個人信息保護製度,落實企業內部合規程序的經典案例。除了美邦公司之外,自2021年6月以來,SEC已經開展了多起針對網絡安全與個人信息保護的專項執法行動。

第一,落實網絡安全“保障措施”。

美國證券交易委員會頒布的《S-P條例:消費者金融信息的隱私和保護個人信息》(Regulation S-P),明確要求經紀公司、投資公司和投資顧問 “必須通過書面的規則和程序,建立行政、技術和物理保障措施,保護金融客戶記錄和信息”。  2021年8月30日,SEC在三起執法行動中,對八家投資顧問和經紀商分別處以70萬美元的罰金。 SEC指控後者在公司內部網絡安全規則和程序保障措施等方面存在嚴重失誤,導致未經授權訪問電子郵件賬戶和客戶數據洩密,違反了《S-P條例》第30(a)條規定,侵犯了客戶記錄和信息的安全性、保密性和完整性(security,confidentiality and integrity)要求,給客戶權益造成的重大損害或不便(substantial harm or inconvenience)。

第二,處罰隱瞞數據洩漏事件。

培生集團(Pearson plc)是創立於英國倫敦的全球知名教育集團與媒體公司。作為全球首屈一指的教育出版機構,知名的出版商標有朗文出版社(Longman)、Prentice Hall等。培生的教育及評核產品和服務遍布全球超過70個國家。培生朗文擁有版權內容的《新概念英語》《走遍美國》和《跟我學》等經典教材,影響了幾代中國人的英語學習。

2021年8月16日,美國證券交易委員會與培生集團達成行政執法和解,同意後者支付100萬美元,作為後者未及時、準備地披露數據洩漏事件的處罰。調查顯示,早在2018年,培生集團就出現了涉及13,000多個學校,數百萬學生記錄(包括出生日期和電子郵件地址)被盜竊的網絡入侵事件。而在2019年7月提交的半年度報告中,培生將數據洩漏事件稱為“假設性風險”(hypothetical risk),嚴重誤導了消費者與投資人。不僅如此,培生在知道網絡入侵事件後6個月都沒有修補關鍵安全漏洞,還對外聲稱對此類“假設性風險”有 “嚴格的保護措施”。

第三,處罰公司內部信息洩漏上報製度缺位。

第一美國金融公司(First American Financial Corporation),是一家美國金融服務公司,為房地產和抵押貸款行業提供產權保險和結算服務。其核心業務包括產權保險和結算/結算服務;產權和其他不動產信息記錄(包括消費者個人信息);財產和意外傷害保險;以及銀行、信託和投資諮詢服務。

2021年6月14日,美國證券交易委員會指控第一美國金融公司,網絡安全保護信息披露不完整,並處以近49萬美元的罰款。根據美國證券交易委員會的調查發現,2019年5月24日上午,一名網絡安全記者通知第一美國金融公司,其共享文件圖像的應用程序存在漏洞,暴露了8億多張可追溯到2003年的圖像,包括包含社會安全號碼和財務信息等敏感個人數據的圖像。該公司於2019年5月24日晚間發表了一份公開新聞聲明,並於2019年5月28日向SEC提供了一份8-K表格。然而,調查表明,第一美國金融公司內部,缺乏可以執行的內部信息披露與程序,導致公司的信息安全人員,雖然多個月前就發現了這個安全漏洞,卻沒有按時修補漏洞,更沒有及時向公司的高級管理人員匯報。

美國證券交易委員會

近期執法行動的主要啟示

  二十大報告指出,我們需要” 提高公共安全治理水平”,“加強個人信息保護”。  美國拜登政府在10月12號公佈的《國家安全戰略》(National Security Strategy),也明確提出要加強美國的技術領導地位,推進包容性和負責任的技術開發,縮小監管和法律(與產業發展技術創新的)差距(close regulatory and legal gaps),加強隱私保護與數據安全建設。  從滴滴出行的80.26億人民幣處罰,到摩根士丹利的3500萬美元的罰金,說明了中、美兩國的執法機構,都在向著強監管,重執法的趨勢轉變,不會再對怠於落實網絡安全及數據保護規定的企業網開一面(lax regulation)。  易言之,不斷加強網絡安全執法與個人信息保護,已經是以中、美兩國為代表的數據經濟體,如何保持持續穩健發展的核心命題。  不管是傳統金融企業還是平台服務企業,都必須嚴格遵守相關法律法規,保證企業內部網絡數據安全保障程序的合規性與有效性,規定識別和評估網絡安全事件及其影響的具體步驟,及時將潛在的重大網絡安全事件提交給政府監管機構,確保向投資者披露重大網絡安全事件,根據事件的嚴重程度,規定補救的程序和期限,以建立網絡安全保護最佳實踐標準。

作者遊傳滿

香港中文大學(深圳)前海國際事務研究院副研究員。

GBA Review 新傳媒