网络安全官（CISO）的法律责任与保护措施

关键要点

• CISO面临数据泄露及其财务影响的法律问题。
• 公司高管及董事需要获得法律保护，如辩护权、赔偿权和董事及高管责任保险。
• 随着SEC对网络安全管理要求的加强，CISO面临的法律风险可能加大。
• 公司应为CISO提供与其他高级管理人员相同的保护。

在我开始法律职业生涯时，我花费了无数小时为被控证券欺诈的公司高管和董事辩护——他们遭指控在财务上误导投资者以获取经济利益。

如今，CISO（首席信息安全官）面临一系列关于高知名度数据泄露的法律问题，这些问题在财务上有着深远的影响。

许多案例的情况非常相似。过去和现在，与原告律师打交道几乎总是以同样的方式展开：

当X公司发出正式“重述”公告，表明其之前提交的财务报表存在不准确之处，进而导致X公司的利润并不像之前报道的那样丰厚，游戏就开始了。

几乎在提交重述后不久，代表X公司股东的原告律师事务所蜂拥而至，发起针对公司及其高管和董事的股东集体诉讼，投诉他们早已“知情”，且故意隐瞒了X公司利润虚增的事实，同时还在出售自己持有的X公司股票。

不同的原告律师事务所会提出单独的“股东派生诉讼”——指控公司高管和董事未能适当调查和应对自家公司的欺诈行为，违反了其受托责任。

与此同时，X公司通常会收到来自证券交易委员会（SEC）的信件，开启对该事件的调查并要求提供大量文档。这项调查可能最终导致民事执法行动。

公司还可能会收到金融行业监管局（FINRA）的类似信件，公司的高管和董事也可能会收到美国司法部（DOJ）的质询——这可能导致刑事起诉，以及其他州和联邦监管机构的调查。

尽管某些索赔确实有其道理，但许多监管调查最终未发现任何不当行为，大部分诉讼被驳回或和解。只有极少数索赔案件进入审判，最终裁定有不当行为。

然而，这些索赔的辩护成本极高——即便那些几乎没有依据的索赔。为单个公司高管辩护，法律费用常常高达数百万美元，这还不包括和解费用，即使是以“麻烦费”的没期和解——通常金额不超过诉讼费用，总金额也可能高达数千万，极少数情况下甚至上亿。

公司高管和董事都意识到，如果他们在这些岗位上服务足够长的时间，总有一天会发现自己成为类似诉讼和/或调查的被告。因此，随着时间的推移，公司高管和董事通常会获得某些合同保护，以降低这种风险：

辩护权

这一条款要求公司为公司高管或董事提供广泛的辩护权。这意味着，如果他或她在履行职责的过程中卷入任何法律程序、调查或索赔，公司必须迅速提供法律代表，并承担所有合理的法律费用，包括律师费、法庭费用和相关费用。

我的一位熟人最近成为了一项激进监管调查的对象，历时多年，但最终证明他是无辜的。然而，他的法律费用超过了1000万美元，如果这些费用没有得到雇主的支持，他根本无力自证清白。

赔偿权

这一条款要求公司赔偿并维护高管或董事的合法权益，尽可能在适用法下提供保护。这包括赔偿在其角色中合理产生的任何判决、和解、损害赔偿、责任、费用或其他损失，只要他或她是在善意下行动，且其行为被合理认为符合公司的最佳利益。这些集体诉讼和执法行动绝大多数最终以和解告终，但这些和解费用可能高达数千万或数亿，因此，几乎没有（如果有的话）CISO能够对这样的和解产生实质贡献。

D&O 保险

这一条款要求高管或董事的雇主维护一项董事及高管责任保险（