4个工作日生死线:SEC网络安全披露新规Item 1.05与Reg S-K Item 106执法升级——中概股FPI与中资在美上市企业2026合规深读
引子:从 SolarWinds 到 2026 Q2 执法的"披露及时性"风暴
2026 年第一、二季度,美国证券交易委员会(SEC)持续就 Form 8-K Item 1.05 披露不及时、Reg S-K Item 106 治理披露不充分等问题对在美上市发行人开出和解令与和解金。其执法重心已由"是否发生网络事件"明显前移至"是否在重大性确定后 4 个工作日内披露"以及"披露内容是否避免重大遗漏与误导"。本文系统梳理 SEC 2023 年 7 月 26 日通过的网络安全披露新规——Form 8-K Item 1.05、Form 6-K、Reg S-K Item 106、Form 20-F Item 16K——的核心义务、执法演进,并归纳中概股外国私人发行人(FPI)与中资在美上市企业 2026 年最迫切的五项合规动作。
一、新规架构:两条并行的披露义务线
SEC 于 2023 年 7 月 26 日通过《Cybersecurity Risk Management, Strategy, Governance, and Incident Disclosure》最终规则(Release No. 33-11216)。其制度由两条并行义务构成:
1. 重大事件即时披露(Incident Disclosure)
境内发行人:Form 8-K Item 1.05,须在确定网络安全事件具有"重大性"(material)之日起4 个工作日内披露事件性质、范围、时间,及对发行人运营、财务状况的实质影响。外国私人发行人(FPI,含中概股):Form 6-K,按本国法律或证券交易所要求所披露的"重大网络安全事件"亦须随附提交。生效日:境内大型发行人 2023 年 12 月 18 日;小型报告公司(SRC)2024 年 6 月 15 日。
2. 年度治理与风险管理披露(Annual Disclosure)
境内发行人:Reg S-K Item 106——10-K 年报中须披露 (b) 网络安全风险评估、识别、管理流程,及其与整体企业风险管理的关系;(c) 董事会监督机制、管理层角色与网络安全相关专业经验。FPI:Form 20-F Item 16K,等同于境内 Item 106 的年度披露要求。生效日:财年截止日在 2023 年 12 月 15 日或之后的 10-K / 20-F。
二、"重大性"与"4 个工作日"——披露门槛的两个核心争点
重大性判断(Materiality):SEC 援引 Basic Inc. v. Levinson 与 TSC Industries v. Northway 标准——重大与否取决于理性投资者在投资决策中是否会认为该信息重要。SEC 在最终规则附释中明确:被加密锁死十分钟、未影响财务的小型勒索软件可能不重大;但即便事件本身规模有限,若引发对发行人内控、客户信任、监管合规的实质性疑问,仍可能达到重大性门槛。
4 个工作日的起算点:不是事件发生之日,而是发行人确定事件具有重大性之日。SEC 同时强调:发行人不得通过"延迟做出重大性判断"来事实性规避披露,重大性判断必须"on a reasonable basis and without unreasonable delay"。
国家安全延迟:发行人可援引 17 CFR §229.106(b),向美国司法部长(Attorney General)申请延迟披露,初次延迟 30 日,可延长一次至 60 日;极特殊情况可再延长。延迟须由 AG 书面认定该等披露将危及国家安全或公共安全。
三、执法风暴:从 SolarWinds 到 Four Companies 再到 2026 年和解潮
SolarWinds 案(2023.10):SEC 起诉 SolarWinds 及其首席信息安全官(CISO)Tim Brown,指控其在 SUNBURST 攻击前后就网络安全控制做出重大不实陈述。2024 年 7 月,南纽约州联邦地区法院裁定大部分诉因被驳回,但保留与 SolarWinds 公开发布的"安全声明"(Security Statement)相关的反欺诈诉因。该案确立了"安全公开承诺即可触发证券欺诈责任"的执法基调。
Four Companies 集体执法(2024.10):SEC 一并对 Avaya、Check Point、Mimecast、Unisys 四家在 SolarWinds 事件中受害的发行人发起执法,理由是其披露"重大淡化(materially downplayed)"了攻击的实际影响。四家合计支付约 700 万美元和解金,并接受未来披露程序整改。
2025-2026 年:SEC 持续重点关注 (a) Item 1.05 触发后是否在 4 个工作日内提交;(b) 提交内容是否覆盖事件性质、范围、时间与对运营/财务的实质影响;(c) 后续 10-K/20-F 中是否如实更新事件后果与治理整改。多份和解令显示,SEC 对发行人援引"持续调查中、信息不完整"作为延迟披露理由的容忍度显著下降。
四、跨境维度:中概股 FPI 的特有张力
中国数据安全法律的限制:网络安全事件信息可能落入中国《数据安全法》(DSL)"重要数据"或《个人信息保护法》(PIPL)的出境管控范围;事件细节直接对外披露可能触发国家保密、关键信息基础设施保护、个人信息出境安全评估等多重规制。
SEC 与中国监管沟通机制不畅:国家安全延迟仅适用于美国 AG 认定,不直接采信中国监管机关的保密请求。
HFCAA 与 PCAOB 检查叠加:自 2022 年 PCAOB 检查中概股达成程序性突破以来,审计与披露的协同压力增大,中概股发行人的 Item 16K 治理披露须经得起双重审视。
五、对中资在美上市企业的合规要点(5 项可立即执行)
1. 建立"重大性快速判断协议"(Materiality Rapid Assessment Protocol):明确重大性判断的内部决策路径——CISO 报告 → CFO/总法律顾问初判 → 披露委员会确认 → 4 个工作日时钟启动。重大性判断的"无不合理延迟"是 SEC 重点审查项。
2. 修订并定期演练 Form 6-K / 8-K Item 1.05 模板:预先准备事件性质、范围、时间、对运营/财务影响的标准化字段;同步准备国家安全延迟申请的程序模板;模板须经美方与中方法律顾问双线评审。
3. Form 20-F Item 16K / Reg S-K Item 106 治理披露重检:明确披露董事会的网络安全监督委员会构成、董事会会议中的网络安全议题频率、管理层网络安全负责人(CISO 或同等职位)资历、与整体企业风险管理(ERM)的整合关系。
4. 打通跨境信息合规通道:与中国总部、CIIPC 上级监管机关、信通运营者建立预先约定的事件信息分级机制——区分对外披露版本与内部留存版本,避免事件信息出境同时违反美国披露与中国保密义务。
5. 外部供应商网络事件传导预案:SolarWinds 模式表明,第三方供应商(SaaS、云服务、SDK 提供商)的网络事件可能要求发行人独立判断重大性并披露;应在与关键供应商的合同中嵌入 24 小时内事件通报义务,并建立基于供应链的重大性评估方法论。
六、格知律所如何协助
格知律师事务所(Getech Law)长期为中概股、ADR 发行人、SPAC 上市公司及 IPO 储备项目提供网络安全披露与跨境合规一体化服务。在 SEC 网络安全披露新规语境下,我们可协助客户:(i) 起草并演练 Form 8-K Item 1.05 / Form 6-K / Form 20-F Item 16K 披露模板与重大性判断协议;(ii) 设计披露委员会议事规程与 4 个工作日时钟管理流程;(iii) 协助申请 AG 国家安全延迟与配套备忘录;(iv) 审视 10-K / 20-F 中 Reg S-K Item 106 治理披露的充分性;(v) 与中国法律顾问联动完成 DSL/PIPL 与 SEC 披露的合规协调,特别是 CIIPC 关键信息基础设施运营者与重要数据出境评估;(vi) 提供 SolarWinds 类反欺诈诉讼防御、SEC 询函(Comment Letter)应对、和解令谈判等执法应对支持。我们对中文工作语言、SEC 实务与 PRC 数据合规交叉问题有深入实务经验。
七、结语 / Outlook
SEC 网络安全披露新规已从"规则发布期"进入"执法成熟期"。四个工作日、Item 1.05、Reg S-K Item 106 三个数字与条文并非纸面要求——它们是 2026 年 SEC 与发行人之间最频繁的执法接触面。对中概股 FPI 与中资在美上市企业而言,披露及时性不是技术问题,而是治理问题:它考验的是董事会、披露委员会、CISO、总法律顾问、跨境团队之间的协议化协作能力。建议在 2026 年第二季度内完成一轮针对 Item 1.05 与 Item 16K 的合规自评——执法的代价远高于演练。