加拿大投资业监管组织引入强制性网络违规报告

加拿大投资业监管组织（IIROC）通过引入强制性网络违规报告，对其交易商成员的网络安全态势提高了警戒。

2019年11月14日，IIROC发布了《19-0194号规则公告》[1]，通知加拿大证券管理局（CSA）已批准对《IIROC交易商成员规则》和《规则手册》的更改，即“要求交易商在发现网络安全事件后三天内向IIROC报告任何网络安全事件”和“要求交易商向IIROC提供发现网络安全事件后30天内的事件调查报告。”

修正案在《公告》发布后立即生效。同一天发布的配套《规则通知之指南通知》[2]提供了有关修正案的进一步细节，就需要报告的情况提供了指导，并列出了在72小时窗口期内报告的预期内容。每份报告必须包括“至少”：

• 对网络安全事件的描述；
• 发现网络安全事件的日期和网络安全事件发生的日期或时间段；
• 对网络安全事件的初步评估，包括对任何人造成伤害或对交易商运营造成影响的风险；
• 对交易商已采取的紧急事件响应措施进行说明；以及
• 可以回答后续问题的个人的联系信息。

初始通知后的“30天报告”必须至少包含以下内容：

• 网络安全事件原因说明；
• 对网络安全事件范围的评估，包括受到伤害的人数和对交易商运营的影响，例如：
  • 受影响的设备数量；
  • 交易商运营受影响的天数；
  • 处理网络安全事件的估计费用，包括交易商是否有网络安全保险和免赔额；
  • 交易商信息系统中哪些信息受到影响，是否包含客户数据；
• 交易商为减轻对人员的伤害风险和对交易商运营的影响而采取的措施详情，包括交易商是否通知了任何其他监管机构或外部机构；
• 交易商为补救对任何人造成的伤害而采取的措施详情，包括交易商是否聘请了任何法律顾问；以及
• 交易商为提高其网络安全事件防范能力而采取的行动。

这些修订生效后的报告义务与交易商会员根据适用的隐私法可能对隐私监管机构负有的任何报告义务不同，并且《指南通知》建议交易商成员咨询外部法律顾问，以确定此类法律可能要求采取的行动。精通加拿大隐私法的人会发现IIROC要求的信息和管辖商业活动的隐私法规要求的报告内容有相当多的重叠。

这一新的报告义务反映了今年早些时候金融机构监管办公室（OSFI）规定的类似义务。今年1月，OSFI发布了一份《公告》[3]（该公告于2019年3月31日生效）。《公告》对联邦监管的金融机构提出了强制性报告要求（向金融机构监管办公室而不是向隐私专员办公室报告），要求它们报告技术或网络安全事件（定义为包括“可能或已经评估为严重影响联邦监管的金融机构正常运营的事件，包括其系统和信息的保密性、完整性或可用性），在机构认为此类事件“具有高或严重程度”[4]的情况下，报告给其负责主管。《公告》列出了应报告事件的特征和示例，以帮助机构确定事件是否必须报告。与IIROC最近的《规则》修正案一样，OSFI的《公告》要求尽快报告事故，但不得迟于事故确定为应报告事故后的72小时。

IIROC和OSFI规定的72小时报告期限比联邦和省隐私法规定的期限更具体。

这些新的强制性报告制度建议，加拿大金融服务领域的监管机构对于网络安全松懈给行业参与者和公众带来的问题承担更大的责任。根据新报告要求产生的数据将会揭示加拿大金融机构的网络就绪性和面临的风险，这将是一件有趣的事情。

本文非属法律建议。本网站提供的任何形式的信息仅供参考。它不是，也不应被视为法律建议。您不应依赖这一信息，或根据这一信息采取或不采取任何行动。请勿由于您在本网站上读到的信息而忽视专业的法律建议或延迟寻求法律建议。高林睿阁的专业人士乐意与您讨论解决您可能遇到的具体法律问题。