【编者按】经历半年，美国证券交易委员会（SEC）对美国上市公司SolarWinds及其首席信息安全官（CISO）的诉讼仍未顺利推进，因为此事不仅遭遇被诉主体的强烈反对，也引发美国商界及美国网络安全组织的强烈反对。

SolarWinds案件一旦依照美国证券交易委员会（SEC）的起诉意见推进，所有在美上市的涉网络安全公司将会被赋予更加沉重的网安合规责任，并且首席信息安全官职责范畴和职业生涯也将受到极大影响。

目前，在美上市的中概股群体中，仍有富途控股、海天网络、途牛等多家涉及网络安全业务的企业，《互联网法律评论》密切关注此一事件的进展，为相关上市公司提供最新的资讯。

2024年3月，一个由50多家网络安全领导者和组织组成的联盟要求驳回美国证券交易委员会（SEC）对SolarWinds及其首席信息安全官（CISO）蒂姆·布朗（Tim Brown）提出的经过修订的起诉。

美国的商界、软件行业、前执法官员都加入了网络安全联盟的努力，提交了一份非当事人意见陈述（amici），他们认为美国SEC最近对SolarWinds和布朗的指控——历史上SEC第一次以违反证券规定的罪名指控首席信息安全官——对网络安全和国家安全起到了反作用。

尽管网络安全、企业和政府领导人齐声表示反对，但美国证券交易委员会（SEC）仍在坚持这些指控，突显出这一案件对美国网络安全政策具有重大意义，而且SEC的指控还向企业、高管和网络安全专业人士发出了严厉警告：SEC在未来几年仍将致力于监管网络安全。

一

SolarWinds案件背景

2023年10月，美国证券交易委员会（SEC）指控SolarWinds及其首席信息安全官涉嫌违反证券法规，依据是SolarWinds在经受为期两年网络攻击活动（即“SUNBURST”）期间的公开声明和SEC披露的信息。这是首席信息安全官首次因在公司提交给SEC的文件中涉嫌网络安全虚假陈述而面临指控。（编者注：请见《互联网法律评论》此前的文章）

SolarWinds及首席信息安全官布朗于2024年1月底提出动议，要求驳回美国证券交易委员会（SEC）的起诉。

在驳回动议阶段，四组利益相关方罕见地表示支持SolarWinds及首席信息安全官布朗，并于2024年2月初提交了非当事人意见陈述，对 SEC 的指控提出了重大政策担忧。

以美国科律律师事务所（Cooley）、英国富而德律师事务所美国分所（Freshfields Bruckhaus Deringer US）为代表的首席信息安全官、网络安全专业人士和网络安全组织联盟认为，SEC的责任理论将会“适得其反，可能产生有害后果，包括提高网络攻击的频率和危害，阻碍内部加强网络安全的努力，加剧CISO的招聘和保留危机，并妨害了首席信息安全官与政府合作”。行业组织软件联盟（Software Alliance）提交了一份简报，从软件公司的角度提出了类似的论点。

在另一份非当事人意见陈述中，一位美国前执法官员强调，美国证券交易委员会（SEC）的理论可能会使公司更加不愿意与执法部门分享信息，从而阻碍政府打击网络威胁的努力。

美国商会（US Chamber of Commerce）和商业圆桌会议（Business Roundtable）认为，1934年的《证券交易法》（该法管辖企业财务控制，也是SEC提出指控的核心）从未打算规制网络安全实践。

二

SolarWinds案件最新动态：被诉主体获得商界、行业组织的支持

2024年2月16日，美国证券交易委员会（SEC）撤回了最初的指控，并提交了一份修改后的起诉书，其中包含针对布朗更详细的事实指控，并回应了前述非当事人意见（amici）提出的一些论点。

这份非当事人意见认为，SEC对SolarWinds和布朗的指控，实际上代表对首席信息安全官（CISO）施加新要求的一种努力，就像其他政府组织强调CISO角色灵活性的重要性一样。但在修订后的起诉书第二段中，SEC坚称：“这不是一个孤立的失败案例，即不是一个合规做得很好但不够完美的尝试，也不是SEC试图对SolarWinds或所有上市公司实施自己的一套特定网络安全协议。”

SolarWinds 和布朗于2024年3月22日再次提出驳回动议。根据他们的动议，美国证券交易委员会（SEC）修改后的指控是“试图找到一些理论来支撑其案件”，并且“与修改后的起诉书所依赖的文件相矛盾”。

2024年3月29日提交的最新的非当事人意见（amici），与此前提交文件中提出的担忧相呼应。

值得注意的是，网络安全联盟提交了一份新的非当事人意见陈述，由50多名网络安全负责人签署，其中包括20多名在早先提交文件后新加入的个人。其他非当事人团体则依赖于他们之前的文件。正如BSA在给法院的一封信中解释的那样，修改后的起诉书“提出了与原始诉状中提出的相同的核心责任理论……这将对BSA简报中描述的网络安全产生同样令人不安的影响”。以下是几个主要争议领域的总结，所有这些都突显了SEC的指控给公司和首席信息安全官带来的挑战。

三

美国业界参与事件博弈：非当事人团体对SEC起诉的担忧

总结来看，美国商界、网络安全联盟对美国证券交易委员会（SEC）的执法行动有五点反对意见：

首先，为了证明基于安全声明的主张是合理的，美国证券交易委员会（SEC）修改后的起诉书增加了投资者的评论，指出SolarWinds关于网络安全的陈述对其投资决策和建议至关重要。修改后的投诉还很大程度上依赖于SolarWinds在该公司向SEC提交的文件之外所作的声明，包括引用其网站、客户调查问卷、合同、电子邮件、信件、播客、博客文章、演讲、网络研讨会和其他宣传内容。由此引发了美国商会对SEC严重依赖非财务公开声明的担忧，即“SEC试图将自己定位为远远超出联邦证券法范围的企业行为的超级执法者”。

其次，美国证券交易委员会（SEC）修改后的起诉书还指控SolarWinds不遵守网络安全政策（例如访问控制、密码规则、员工培训、事件响应计划）和/或某些框架（例如国家标准与技术研究所框架）。但正如非当事人意见指出的，将责任归咎于未能遵守内部安全政策或灵活的网络安全框架，可能会阻碍公司和首席信息安全官采用此类政策，并进行自我评估以改进其做法。非当事人意见强调，采用企业网络安全政策，并利用这些政策来识别和纠正违规行为，对于良好的网络安全卫生至关重要。

第三，美国证券交易委员会（SEC）修订后的起诉书增加了SolarWinds有关网络安全风险的内部沟通的详细信息，包括网络安全员工之间的讨论、网络安全专业人员向企业领导层的演示和警告、甚至与受网络攻击影响的客户的事件响应沟通。SEC认为，这些细节与该公司向客户和公众的外部声明不符。但是，正如软件行业和前执法官员在最初的非当事人意见简报中提出的那样，使用内部讨论强制执行网络安全合规性作为责任基础，可能会使“坦率的内部审议”和“公司或首席信息安全官的自愿披露都受到影响，他们在考虑他们的沟通方式……可能会增加未来的责任时变得更加谨慎”。更新后的首席信息安全官简报称，“网络安全专业人员在发送电子邮件之前不应该被要求先行咨询律师”。

第四，美国证券交易委员会（SEC）修改后的投诉继续声称，即使SUNBURST事件从未发生过，SolarWinds对网络安全漏洞的内部识别（例如通过风险审查或其他自我评估）也可能成为责任的基础。但正如更新后的首席信息安全官简报所指出的那样，首席信息安全官及其团队在“信息不完整且无法保证完美安全的动态情况下”对无数网络安全风险进行分类，并识别数百种新风险，这是他们日常工作职能的一部分。非当事人意见警告说，将稀缺资源从解决首席信息安全官认为最关键的漏洞转移到披露所有新发现的风险上，可能会对网络安全产生反作用。

第五，美国证券交易委员会（SEC）修改后的投诉声称，SolarWinds披露任何网络安全漏洞和事件应当以与该公司其他网络安全声明“在技术细节水平方面保持大致相当”——这显然是为了回应非当事人团体的担忧，即SEC的要求可能会导致公披露过多的安全信息并使威胁行为者受益。正如新的CISO简报所警告的那样，真正的困难之处在于，这种公开披露已确定的网络安全风险可能“为有意利用这些漏洞的威胁行为者提供大量有用的情报”。

四

阶段性结论

简而言之，美国证券交易委员会（SEC）修改后的诉状遭受了许多与非当事人意见简报中针对SEC最初诉状提出的批评相同的批评。事实上，无论SEC对SolarWinds和布朗的诉讼是否会通过动议驳回阶段，修订后的诉状都发出了一个强烈警告，即SEC致力于扩大其执法议程，将企业网络安全纳入其中。

因此，公司和网络安全专业人员应该谨慎对待他们关于网络安全的任何声明。在他们识别网络安全风险、评估漏洞和应对网络事件的过程中，他们应该积极考虑SEC、客户、投资者和公众如何解读他们的内部和外部沟通。

作者简介：

Andrew Goldstein，美国科律律师事务所（Cooley）合伙人，白领辩护和调查小组的负责人。此前，他曾担任美国联邦检察官，是前美国检察官办公室公共腐败部门的负责人。

Josef Ansorge，美国科律律师事务所（Cooley）特别顾问，为客户提供网络/数据/隐私诉讼的全面背景知识，重点关注信息技术、隐私、国际贸易和商业诉讼。

编译：《互联网法律评论》

【免责声明】此文仅代表作者个人观点，与本平台无关。本平台对文中陈述、观点判断保持中立，不对所包含内容的准确性、完整性或可靠性提供任何明示或暗示的保证。