美國五大金融協會反對 SEC 網安新規：要求全面撤回揭露義務

美國主要銀行與金融協會反對 SEC 網安事故揭露新規，要求全面撤回

根據 Bloomberg 的報導，於 5 月 22 日（當地時間），五家美國主要金融與銀行業團體聯合致函美國證券交易委員會（SEC），正式要求撤銷其於 2023 年 7 月推行的「網路安全風險管理與事故公告規則」。這些團體認為，該規定將「重大基礎設施保護」的原則與「事故保密通報義務」產生衝突，影響整體資安應對效率。

發起此次行動的，包括美國銀行協會、美國證券業與金融市場協會（SIFMA）、銀行政策研究所、美國社區銀行聯盟（ICBA）與國際銀行業協會（IIB）等五大組織。他們共同指出，現行規則不僅程序過於繁瑣，還阻礙了與執法機關的協調，導致資安事件處理更加困難。

SEC 去年實施的這項新規，要求企業在遭遇網路攻擊、個資外洩等資安事件時，必須迅速公開相關資訊。SEC 此舉旨在加強「資訊透明度」及「投資人保護」。然而，銀行業認為強制公告反而不利資安整體戰略，甚至可能造成額外傷害。

上述團體表明，現行規則中雖設有可延後公告的例外條款，但條件嚴苛且程序繁重，讓金融業者難以避免與市場即時揭露義務的法律衝突。這也進一步造成內部資訊傳遞受阻，並打擊企業自發性的資安事故通報意願。

更值得注意的是，這些機構還提及，有黑客組織已將 SEC 的強制揭露制度作為「勒索工具」，透過威脅企業會被迫公告來索取贖金。因此他們擔心，過於倉促的公開資訊將惡化組織的保險風險與法律責任，有害於攻擊後的復原與調查過程。

評論：SEC 的立場著重保護投資人知情權，但金融產業關切這項規則將可能「反助攻」駭客團體，引起安全漏洞與內部混亂。如何在投資人保障與資安實務之間取得平衡，有待 SEC 與產業界進一步協商。

隨著川普總統持續推動「放寬監管」、減少企業合規負擔的政見主軸，市場觀察人士認為，這項針對 SEC 的規則撤回請求，可能會在政策氣氛的推動下獲得更多支持。根據目前趨勢，監管單位與業界將迎來一波新的博弈與調整。