上月,美国证券交易委员会(SEC)检查部发布了2026财年《检查重点》。在今年的公告中,SEC宣布将开始对受监管的投资顾问、投资公司及经纪自营商进行审查,重点核查其是否遵守修订后的S-P条例——该条例要求相关机构在发生涉及客户信息的数据泄露事件后30天内上报。
这些修订案于2024年5月16日通过[1],通常被称为"修订版Reg S-P",在2025年6月前任SEC主席加里·根斯勒通过的十四项规则被撤销后得以保留。修订版Reg S-P不仅在此次规则撤销浪潮中幸存,更可能在未来一年及更长时间内,在检查部主导下蓬勃发展。具体而言,在《检查优先事项》中,SEC建议:
为配合委员会对S-P条例修订案的合规期限,本部门将在检查过程中要求各机构说明其在制定事件响应计划方面的进展,该计划需合理设计以检测、应对及恢复客户信息遭未经授权访问或使用的状况。 在适用合规日期之后,本部门将审查各公司是否已根据规则新条款制定、实施并维持相关政策和程序,以落实保护客户信息的行政、技术和物理安全保障措施。[2]
尽管2025年美国证券交易委员会(SEC)的诸多工作重点都经历了迅速而重大的调整,网络安全仍始终是其关注焦点。这不足为奇——无论谁担任SEC主席,网络风险管理都理应成为该机构的长期优先事项。
修订版Reg S-P规则对大型报告公司的合规截止日期为2025年12月3日,对小型报告公司则为2026年6月3日。该规则要求的关键变更包括:
制定并实施书面政策和程序,以建立事件响应计划;
制定并实施书面政策和程序,以监督服务提供商,包括合理设计的程序,确保服务提供商在涉及"客户信息系统"的安全事件发生后72小时内通知相关企业;
在客户的“敏感客户信息”遭到泄露时,须在30天内通知相关客户(包括其他特定金融机构的客户);以及
扩大原《Reg S-P》所涵盖的信息范围,对适用机构实施额外的记录保存义务,并为年度隐私通知送达要求提供例外条款。
因此,企业需做好准备,迎接检查部工作人员对其修订版Reg S-P合规状况的审查。 此外,今年早些时候,美国证券交易委员会在公布其网络与新兴技术部门的监管重点时,特别强调了"受监管实体对网络安全规则与法规的合规性"。这一重点与本文所述的审查优先事项相结合,表明即使SEC主席保罗·阿特金斯已普遍废止"通过执法实现监管"的策略,网络安全仍是该委员会的重点关注领域。
福莱律师事务所证券执法与诉讼业务组在指导客户处理本文所述各类事务方面拥有深厚经验,团队拥有50余名律师——包括前美国证券交易委员会、美国公众公司会计监督委员会、美国商品期货交易委员会及美国金融业监管局官员——曾为上市公司、审计委员会、经纪商、承销商、投资公司及全球市场参与者提供法律咨询。 凭借数十年的监管与诉讼经验,本团队持续协助客户应对监管审查与执法行动,开展内部调查,并就监督管理、合规及风险管理框架提供专业建议。
