澳交所持续披露上市规则指南更新数据泄露相关规定
现状:澳大利亚证券交易所(“澳交所”)更新了关于持续披露的说明指南,并在其中公布了新的数据泄露示例(“数据泄露示例”)。此份更新的说明指南已于2024年 5月27日开始生效。
结果:数据泄露示例在一系列假设性数据泄露情景中,明确了哪些将被视为市场敏感信息,或者这些信息是否会符合持续披露规则(“上市规则第3.1A条”)的例外情况。
展望:在市场对澳交所上市实体如何应对网络安全事件进行更严格审查的情况下,新指南的出台将为其提供指导,从而倍受欢迎。此外,已有迹象表明《澳大利亚隐私法》将做出新的改革,可能会对遭遇数据泄露的实体规定更加严格的报告和披露义务。
澳交所数据泄露披露新指导概述
数据泄露示例描述了一个假设性数据泄露事件的发展过程,并介绍了澳交所将会在发展过程中的哪些具体节点上,要求或不要求按照持续披露规则向市场披露相关情况。这些节点会根据被泄露的数据是否加密以及所涉人群数量大小的不同而有所区分。
这些节点包括:
- 发现加密的敏感客户数据可能遭到泄露;
- 收到勒索威胁;
- 向监管机构秘密披露泄露事件;
- 发现未加密的数据遭到泄露;
- 发现数据关系到大量个人;
- 支付勒索金;
- 客户数据被发布到暗网;
- 了解到有报道称正在考虑进行集体诉讼,并在征集意向表达。
在判断数据泄露事件是否具有重大价格敏感性以及是否需要向市场披露时,澳交所上市实体不得不应对一些 “灰色”地带问题,上述节点尝试尽量囊括这些较为模糊的问题。此外,数据泄露示例还为澳交所上市实体提供了额外的宽慰,在尚无法明确数据泄露事件是否具有重大价格敏感性而且泄露事件仍旧处于保密状态的情况下,澳交所上市实体也许能够适用澳交所上市规则第3.1A条规定的例外情形。
澳交所指南观察评论
整体而言,我们认为数据泄露示例为澳交所上市实体提供了可喜指引,尤其是在近期发生了多起备受关注的数据泄露事件,这些事件已促使股东、监管机构和媒体更加严密地审视澳交所上市实体是否就网络安全事故和泄露事件作出市场披露。
除数据泄露示例的积极意义及其对披露要求的澄清外,我们还有以下三点观察评论。
首先,我们认为需要认识到,每一起数据泄露事件都有其独特性,在判断是否有必要进行市场披露时,几乎不存在普遍适用的判断方法。当还存在其他需纳入考虑的重要因素时,要注意避免试图将实际场景强行归类为某一数据泄露示例。
其次,如果可以适用披露例外,那么在做出进行披露或不予披露的决策时,还需要考虑到不予披露的后果以及有可能面临的民事诉讼(包括股东集体诉讼)或监管执法行动的风险。
第三,数据泄露示例是根据澳大利亚现行的“应予通知的数据泄露”制度编写的,该制度要求相关实体必须在“切实可行的情况下尽快”向监管机构和受影响个人报告符合应予通知条件的数据泄露事件,并且还允许相关实体在怀疑其可能遭受了数据泄露后30天内,评估相关情形并决定是否存在符合通知条件的数据泄露事件。与此同时,许多澳交所上市实体还须履行其他司法辖区的通知义务,而且这些司法辖区还规定须在更短的时间内向相关监管机构通报数据泄露情况。
澳大利亚新改革有可能会对数据泄露报告提出更严格的要求
澳大利亚总检察长发布的《隐私法审查报告》和联邦政府对该报告所作回应均预示着即将会有一系列改革出台,要求相关实体必须在获知符合通知条件的数据泄露后的更加严格且更为有限的时段(很有可能是72小时)内通知监管机构,并随后通知受影响个人。另外,新规定亦可能缩短目前按照《澳大利亚隐私法》适用的30天可疑数据泄漏事件评估宽限期。
上述潜在改革的影响之一便是数据泄露示例中概述的时间节点将在大幅缩短的时间段内发生。因此,澳交所上市实体将需要以更快的速度,在短时间内评估其披露义务,并且在发现潜在数据泄露情况时,这些上市实体肯定需要紧急准备披露声明草案稿,以便在确定须进行披露后立即公布。但是,对于须履行其他司法辖区更短时限报告义务(例如,欧盟《通用数据保护条例》项下的72小时通知期)的澳交所上市实体而言,这些潜在改革并不会对其产生实质性影响。
我们建议相关澳交所实体制定一项数据泄露快速响应机制,其中包括针对各种情形的声明草案,并且成立快速响应团队,在怀疑或了解到数据泄露事件后及时部署。
制备针对应予披露的数据泄露场景的澳交所公告内容
数据泄露示例和更新的指南就公告草案以及应予披露的数据泄露场景的最终公告应纳入哪些内容提出了相关指导。
指南说明提到了市场公告的内容将取决于届时掌握的所有事实和实际了解的信息,进而规定公告应尽量包含一切重大事实、对经营或财务状况造成的任何重大影响(但我们认为在初期公告阶段很难了解到该等影响)、正在采取的行动以及向市场做出进一步信息披露的预期时间。重大事实包括已知范围内被获取的数据类型、数据是否已外流、受影响的客户数量、数据是否通过第三方系统获取、泄露事故是否仍在继续以及将如何通知受影响客户。
如果正在采取的行动中包括主要为提供法律建议而开展的独立调查,那么应该在市场报告中谨慎提及该调查,因为一旦提及,有可能影响主张该调查报告享有的保密特权。
在澳大利亚联邦法院合议庭近期就Singtel Optus Pty Ltd诉Robertson案做出的[2024] FCAFC第58号判决中,这一问题被突出强调。该案审查了德勤为Optus公司数据泄露事件制定的外部调查报告是否受保密特权保护。对此,合议庭审查了为证明报告首要目的而提交的证据,其中包括一份媒体新闻稿,该新闻稿从首席执行官的角度提到了该调查及其商业目的。根据该证据,合议庭确认报告的编写有多种目的,其中包括法律咨询和诉讼,但证据并不能证明这是主要目的。
三项要点
- 澳交所在其第八号说明指南(持续披露)的更新中公布了若干新的数据泄露示例。该指南围绕多个假设情形进行说明,为被越来越严密关注如何响应网络安全事故的澳交所上市实体提供了指导。
- 尽管说明指南的适用范围较广,但数据泄露事件往往具有独特性,很少有普遍适用的方法用以判断何时须进行市场披露。因此,澳交所上市实体还是必须考虑到更加广泛的持续披露义务。
- 澳大利亚政府已经预示会做出新的改革,这些改革有可能要求遭遇数据泄露的实体在更加严格且更短的时间内向监管机构及受影响个人报告,进而可能意味着相关实体需要在更短时段内评估其披露义务。但在其他司法管辖区,如欧盟和美国加州,一些实体可能已经受到较短数据泄露报告期的限制。
众达出版物不应被视为针对某事件或情形发表的法律意见。众达出版物旨在为读者提供一般信息。未经众达书面同意,任何人不得在其它出版物或诉讼中引用或引述众达出版物的内容。众达保留批准他人引用或引述众达出版物内容的权利。如需申请众达出版物的转载许可,请使用众达网站(www.jonesday.com)上的“联系我们”表格。众达发表出版物的目的并非试图与读者建立律师和客户的服务关系;读者收到众达出版物也不表示律所与读者之间会构成律师和客户的关系。众达出版物中的观点仅属于作者的个人观点,并不一定代表律所的观点。
