网络安全合规：金融服务行业不可忽视的重要问题

引言

尤其对于金融服务企业而言，《2001年公司法》（Corporations Act 2001 (Cth)）（以下简称“该法案”）规定了相关义务，要求金融服务牌照持有人采取措施，将有关风险降低至金融服务及金融产品消费者可接受的水平。

在近期联邦法院案例 ASIC v RI Advice Group Pty Ltd [2022] FCA 496 中，法院讨论了上述义务，并恰当地阐述了 “网络安全（cyber-security）” 与 “网络韧性（cyber-resilience）”之间的区别：

• 网络安全，是指一个机构保护及防御其网络空间免受攻击的能力；以及
• 网络韧性，是指一个机构在面对利用网络来源进行的系统性不利情况、压力、攻击或入侵时，能够预判、承受、恢复及适应的能力。

案件背景

RI Advice 经营金融服务业务，并持有澳洲金融服务牌照（Australian Financial Services Licence）。该牌照允许授权代表（Authorised Representatives，简称“AR”）依据 RI Advice 的牌照代表其提供金融服务。

在提供金融服务过程中，该等授权代表以电子方式接收、储存及存取约 60,000 名零售客户的机密及敏感个人资料与文件。相关资料包括：

• 个人资料 —— 全名、住址、出生日期及健康资料；
• 联系资料 —— 电话号码及电子邮件地址；以及
• 驾驶执照、护照及其他财务资料等文件副本。

在 2014 年 6 月至 2020 年 5 月期间，多家授权代表业务机构发生网络安全事件（以下简称“违规事件”）。有关违规事件包括：

• 客户收到冒充授权代表发送的诈骗电子邮件，诱导客户转账；
• 授权代表网站被植入虚假主页；
• 授权代表电脑遭受勒索软件攻击，导致档案无法存取；
• 授权代表服务器透过远端存取被黑客入侵，个人资料被勒索并最终无法恢复；
• 未经授权存取服务器，导致数千名客户的个人资料遭泄露；
• 有诈骗电子邮件发送予簿记员，要求进行银行转账；以及
• 向客户及授权代表联系人发送网络钓鱼邮件。

调查发现，导致上述违规事件的主要原因包括：

• 电脑系统安装及运行过时的防毒软件；
• 未有过滤或隔离电子邮件；
• 未有对系统进行备份；以及
• 不良密码管理习惯，包括共用密码。

针对 RI Advice 的法院诉讼程序

澳大利亚证券与投资委员会 (ASIC) 指控 RI Advice 违反《2001年公司法》（以下简称“该法案”）第 912A 条规定。该条文订明金融服务牌照持有人必须遵守的一般义务。其中包括，牌照持有人必须采取一切必要措施，以确保牌照涵盖的金融服务能够有效率及公平地提供，并设有足够的风险管理系统以降低潜在风险。

[1] Corporations Act 2001 (Cth) s 912A(1)(a).C

[2] corporations Act 2001 (Cth) s 912A(1)(h).

在法院最终聆讯前，RI Advice 承认：

• 其有责任识别授权代表（AR）在依据其牌照提供金融服务过程中所面临的网络风险；
• 其有责任建立足够的文件、控制措施及风险管理系统，以管理其授权代表网络中的网络风险；
• 虽然其已实施部分文件、控制措施及风险管理措施，但该等措施不足以妥善管理其授权代表网络中的网络安全风险；以及
• 其本应实施更完善的计划，以确保相关措施能更迅速地于各授权代表业务机构落实。

联邦法院裁定 RI Advice 违反该法案，原因包括：

• 未有采取一切必要措施，以确保牌照涵盖的金融服务能够有效率及公平地提供，原因在于 RI Advice 未能确保其授权代表网络中的网络安全及网络韧性措施已妥善建立及／或充分落实，以管理网络风险；以及
• 未有建立足够的网络安全及网络韧性风险管理系统，导致授权代表客户面临不可接受程度的风险。

监管机构寻求法院作出声明，具有警示及阻吓作用，借此向其他机构表明，法院不会认同类似违规行为。

本案突显，保障金融服务消费者的个人资料属于公众利益事项，而金融服务牌照持有人或其授权代表一旦发生相关违规行为，极有可能因违反该法案而承担法律责任。

联邦法院同时命令 RI Advice：

• 自费聘请网络安全专家，以识别其授权代表网络中仍需建立的文件及控制措施，从而充分管理相关网络风险；
• 自费落实相关措施；
• 向 ASIC 提交有关落实情况的书面报告；以及
• 支付 ASIC 的法律费用 $750,000 澳元。

本案进一步反映，金融服务牌照持有人及其向金融服务及金融产品消费者提供服务的授权代表，不仅需要了解其在该法案下的一般义务，更必须于合理时间内落实相关措施。

尚德律师事务所如何协助您？

尚德律师事务所律师团队多年来一直为企业负责人及管理层提供有关程序及保护措施的法律意见，以协助企业保障知识产权（IP）、财务资料、供应链资料及客户数据。

我们的争议与诉讼法律团队亦为涉及违反数据保护法律，或受到网络安全事件影响的企业提供法律意见及诉讼代理服务。

如您需要有关网络安全、数据保护或企业风险管理方面的法律协助，欢迎联系尚德律师事务所争议与诉讼法律团队。

电话：8561 3388
电邮：sp@sharrockpitman.com.au

‍

免责声明

本文信息仅供一般参考，不构成法律意见。任何具体法律事务应与我们的律师进行个别咨询。

本所承担的责任限于《职业标准法案》规定的法律责任。