《前言》

雙美在去年11月有發生資安事件，不過，在今年股東會年報卻表示無此情事，因為無法從重訊中得知原因，所以本篇討論一下，股東會年報未依格式公告會有甚麼樣的問題。

我們先簡單的看過兩項揭露的狀況：(筆者覺得重要的部分)

（一）敘明資通安全風險管理架構、資通安全政策、具體管理方案及投入資通安全管理之資源等。

(1)資通安全風險管理架構
公司資訊安全之權責單位為資訊室，統籌並執行資訊安全管理辦法等相關作業程序，宣導資訊安全訊息;並由稽核室就內部控制制度進行資訊安全查核，評估公司資訊作業之有效性。

(2)資通安全政策
確保資訊之機密性、完整性，防止駭客及各種病毒入侵及破壞，防止人為意圖不當或不法使用，防止未經授權修改或使用資料與系統，人員資安意識訓練。

(3)具體管理方案與投入資通安全管理之資源
本公司持續投入資安保護相關事務，相關具體措施如下：
(A)系統帳號密碼權限管理
(B)防火牆設定
(C)不使用未經授權之電腦軟體
(D)安裝防毒軟體、更新病毒碼
(E)建置加密VPN、NAS連線存取
(F)資料備份機制
(G)緊急應變處理與系統復原作業
(H)機房管制控管人員進出
(I)資訊安全宣導

（二）列明最近年度及截至年報刊印日止，因重大資通安全事件所遭受之損失、可能影響及因應措施，如無法合理估計者，應說明其無法合理估計之事實。

無此情事。

《分析》：

本篇案例可以討論另外一個資安揭露的問題，如果發行公司資通管理，未依年報揭露的話，發行公司將會出現甚麼狀況呢？

雙美生技於110/11/9曾經發過重訊，公司遭受駭客攻擊，如下圖所示：

該公司的股東會年報是在111/06/10上傳的，如下圖所示：

然而股東會年報並未揭露110/11/09的攻擊事件，事件發生之後到年報上傳，時間上也差不多半年左右了，理論上，是應該要揭露在110年股東會年報上的，但公司卻公告『無此情事』，所以就有點矛盾了。

至於說未揭露的話，會出現甚麼狀況？ 我們根據台灣證券交易所『臺灣證券交易所股份有限公司審閱上市公司年報作業程序（111.07.13）』第2~4條之規定，如下圖：

櫃買中心(OTC)也是一樣的方式來審閱，並列出缺失，參考的網址：
https://dsp.tpex.org.tw/web/listing/audit_annual_report.php

所以依照規定是會發函給公司要求補正，接到交易所或OTC的函文之後，就要在規定的時間內補正完畢，之後再重傳到指定的申報系統上。

假設公司仍未補正，那麼就是送主管機關金管會查處了，因為這是股東的權益，發行公司還是要審慎才對。

罰責可以參考以下的『財團法人中華民國證券櫃檯買賣中心對有價證券上櫃公司資訊申報作業辦法』 第六條規定，但基本上罰款並非太高：

第六條

有價證券上櫃公司違反本作業辦法或申報之資訊有錯誤者，本中心得處新
臺幣一萬元違約金。但其錯漏如係由主管機關、本中心或投資人發現經查
屬實者，得處新臺幣三萬元違約金。
有價證券上櫃公司有前項應處以違約金情事者，依個案情節，本中心得按
其情節依下列各款規定處違約金：
一、最近一年內累計課處次數達二次者，處新臺幣五萬元違約金。
二、最近一年內累計課處次數達三次以上或個案情節出於故意或重大缺失
者，得逕處新臺幣五萬元以上二十萬元以下違約金。
三、經本中心評估對股東權益或證券價格具重大影響性者，最高得逕處新
臺幣一百萬元違約金。
前開事項應於本中心函知後二個營業日內補正；未按期限補正者，每逾一
營業日處以新臺幣一萬元違約金，至補正日為止；另有價證券上櫃公司違
反本作業辦法情節重大者，本中心得依業務規則第十二條或第十二條之一
規定處置。
上櫃公司、第一上櫃公司及發行股票或臺灣存託憑證之第二上櫃公司依本
作業辦法所申報之資訊，如違反本中心「對有價證券上櫃公司重大訊息之
查證暨公開處理程序」者，另依該處理程序第十五條規定處理。
上櫃公司、第一上櫃公司及第二上櫃公司違反本作業辦法規定，被處以違
約金之情形，本中心將於公開資訊觀測站揭示。