律新社特約撰稿人丨倪富華
1
隨著新冠肺炎疫情在全球蔓延,遠程辦公需求愈發增加,主打多人視頻會議的Zoom公司受到了越來越多的關注,不僅全球用戶數量激增,而且市值逆勢上揚,較去年IPO翻了兩倍,一時間風頭無兩。
可是人紅是非多,Zoom在吸引了大量用戶的同時,也吸引了網絡安全專家和媒體的目光。近半個月以來,這款視頻會議軟體接二連三地被爆出安全和隱私漏洞,遭到SpaceX和NASA內部禁用,甚至連美國聯邦調查局(FBI)也發出警告,提醒用戶使用Zoom時注意網絡安全問題,不要在社交媒體上廣泛分享會議連結,以防機密信息被黑客獲取。2020年4月7日,Zoom,ERIC S. YUAN(袁征CEO), KELLY STECKELBERG (CFO) 在美國加利福尼亞聯邦法院被以證券虛假陳述的理由提起證券集體訴訟。Zoom到底做錯了什麼?
01
Zoom事件背景
Zoom是一家總部設在美國加州的上市公司,成立於2011年,並於2019年4月18日在美國納斯達克上市,美國500強中有三分之一的企業都在使用Zoom的服務,美國排名前200的大學有90%也是它的客戶。該公司之所以被國人關注,最大的原因在於該公司的「中國背景」。它的創始人袁征是土生土長的山東人,其在1997年從中國移民到美國,同時Zoom的大部分產品開發團隊駐紮在中國。多倫多大學Citizen Lab指出,Zoom美國用戶和加拿大用戶會議內容的機密和解密密匙由位於北京的Zoom伺服器發出。
2020年4月7日,Zoom,ERIC S. YUAN(袁征CEO), KELLY STECKELBERG (CFO) 在美國加利福尼亞聯邦法院被以證券虛假陳述的理由提起證券集體訴訟。原告認為:「Zoom沒有足夠的數據隱私和安全措施,這跟其上市時陳述的事實相反。同時Zoom的視頻服務並非點對點加密,所以這導致其個人數據易於被未授權第三方獲取,這些都可能導致Zoom公司視頻服務的使用量下降,但是公司對此做了重大虛假陳述。」
Zoom被國人關注的另一個原因在於Zoom的「中國背景」容易與之前的瑞幸事件掛鈎。其實這兩個實際有本質的區分。瑞幸屬於中概股範疇,美國的中國概念股實際上是美國存托憑證(ADR),是由美國金融機構發行的可轉讓證券票據,代表在美國金融市場交易的外國公司的特定數量的股份。美國存托憑證以美元支付股息,交易方式與普通股類似。1993年至2019年間,在紐約證交所、納斯達克上市的中國ADR總數達到近300家,約占全球ADR總數的10%,而Zoom跟中概股的概念不符。但是基於其「中國背景」,其在近期連續與中國概念有關證券集體訴訟事件中掀起了一層波浪。
02 Zoom隱私事件(節選)
2019年4月18日Zoom上市,Zoom上市文件中陳述Zoom獨特的技術和基礎結構使其具有一流的可靠性,Zoom具有強大的安全性能,包括點對點加密、安全登錄、管理控制和基於角色的訪問控制。同時Zoom在文件中陳述其本地雲平台提供可靠的、高質量的、易於使用、管理、部署的視頻功能,這些豐富和可靠的聊天功能產生了巨大的可信任的相互作用。Zoom上市文件還向投資者保證Zoom致力於在隱私、數據保護、信息安全等方面的合規。
同時,上市文件中還包含如下模板化的免責陳述:Zoom在網絡安全、數據保護和非法入侵方面的風險。公司的安全手段可能在現在、過去和將來被視為不夠安全,可能導致客戶和主機停止使用公司的產品,從而導致公司的巨大責任和商業利益的損害。實際上或者被視為未能在隱私保護、數據保護和信息安全等法律上的合規可能損害公司的商業利益。
2019年7月8日,安全專家Jonathan Leitschuh在推特上發布了一篇文章,聲稱黑客可以通過安全瑕疵控制Zoom網絡攝像頭。這個瑕疵可能導致全世界750,000家公司日常經營被暴露。2019年7月8日,由於該新聞,Zoom的股價跌了1.22%。
2019年7月11日,The Electronic Privacy Information Center在美國聯邦貿易委員會提起投訴,聲稱Zoom故意設計繞開瀏覽器安全設定的網絡會議服務,同時在未經使用者授權情況下遠程進入使用者網絡攝像頭,由此導致使用者暴露在遠程監控、不需要的視頻通話、拒絕服務攻擊下。
2019年7月11日,其股價又下跌了1.42%。
原告認為,在以上信息被披露以後,Zoom即使在之後的財報會議、季度報告中繼續使用上市文件中的失實陳述。同時之後的季報中陳述其目前仍然沒有成為任何其結果會造成公司商業重大不利訴訟的一方。然而這時其已經被The Electronic Privacy Information Center在聯邦貿易委員會因數據安全問題提起法律程序。
2019年12月5日,Zoom財報電話會議上,袁征向投資人表示其認為Zoom公司產品的安全性以及易於使用性會贏得消費者的信任。
2020年3月26日,Zoom幫助facebook收集客戶數據的事件發生,之後袁征也承認搜集的信息與提供視頻會議服務沒有任何關係,並承諾今後這樣的事情不會再發生。
之後事件繼續發酵,SpaceX公司停止使用Zoom的服務。袁征也在blog發布「致用戶信息」承認其隱私安全不夠完善。
在2020年3月27日至2020年4月2日,Zoom的股價下降了19.62%。
SEC文件顯示,袁征和幾個高管在被發現隱私泄露問題期間出售了大量股票。
03 Zoom案件解讀
介 紹
Zoom集體訴訟屬於美國集體訴訟下的證券集體訴訟,需要補充的是,由於本次隱私泄露事件,2020年4月1日在美國加利福尼亞聯邦法院,還有另一個針對Zoom的集體訴訟被提起。該集體訴訟基於加利福尼亞消費者隱私法案等法律,系侵權集體訴訟範疇,但是該案的關注度沒有本案高,有興趣的可以關注一下。
本次Zoom證券集體訴訟,原告依據的條款為The Securities Exchange Act 1934的Section 10(b) 、Section 20(a) 和Rule10b-5。這幾個法條主要用於規範重大失實陳述、信息遺漏行為和責任人的認定等,但是其主要條款系聯邦法院體系經過多年判例法構成,所以本文的分析主要基於普通法判例的裁判規則。
原告律師策略
根據美國證券集體訴訟的有關法律,原告一般可以基於Zoom上市文件中的失實陳述進行集體訴訟,但是本案中Zoom上市文件中雖然可能存在以下失實陳述:「Zoom具有強大的安全性能,包括點對點加密、安全登錄、管理控制和基於角色的訪問控制。」但Zoom的上市文件背後列舉了兜底免責條款,即「公司的安全手段可能在現在、過去和將來被視為不夠安全,可能導致客戶和主機停止使用公司的產品,從而導致公司的巨大責任和商業利益的損害。」這個免責條款很難讓原告律師獲得法庭採信,從而認定Zoom具有重大失實陳述。
由此原告律師沒有從上市文件失實陳述這個角度進行訴訟。從訴訟策略角度,筆者認為其又構建了這樣一個訴訟策略。
Zoom公司從2019年7月8日被第一次爆出隱私安全問題以後,在財報會議以及季報報告中仍然使用上市文件中對隱私安全具有「強大安全性能以及包括點對點加密、安全登錄、管理控制和基於角色的訪問控制」的陳述,同時仍然引用上市文件中免責條款,但是這個時候Zoom公司是已經知道其陳述失實,還仍然進行這樣的重大失實陳述,所以具有應披露而未披露的責任。
the Electronic Privacy Information Center在美國聯邦貿易委員會提起投訴以後,Zoom公司仍然向市場說明其目前沒有任何可能對公司導致重大不利影響的訴訟,故存在重大失實陳述。
同時,作為CEO和CFO,根據其職位,其能夠直接或者間接的控制失實信息的傳播,有義務及時地傳播真實信息,但是幾次公開場合其言論都沒有進行積極的引導,反而一再明示或者暗示地強調公司的安全能力。
具體分析
本案如果不考慮作為Zoom的律師對原告是否符合美國集體訴訟的原告主體資格標準,主要有以下兩個法律點:是否構成重大失實陳述、重大事實遺漏以及CEO和CFO是否符合controlling person而需要承擔責任。
✰ 是否構成重大事實遺漏或者重大失實陳述
重大的標準
Omission或者misstatement需要構成重大還是背後的fact需要構成重大,這個構成要件在原文中的表述為material misstatement or omission。根據Greenhouse v. MCG Capital Corp.案件的意見,material (重大)修飾的是fact(事實),重點在這個事實是否構成重大,並非在於做出的失實陳述或者遺漏行為本身是否構成重大。如果本身這個事實不是重大的,那麼就算失實陳述或者遺漏行為再嚴重也不構成material。
同時,根據Greenhouse v. MCG Capital Corp.案件的意見,重大的標準為是否存在實質的可能性,使一個理性投資人會相信所披露不真實事實會改變投資人所獲得信息的「total mix」。理性投資人所獲得的所有信息指所有公開所獲得的信息。這種重大事實也不需要重要到能夠改變投資人的決策,而是只要足夠重要到能夠對理性投資人的決策造成實際的影響。
被告是否存在失實陳述
本案中原告律師知道,即使由於對隱私保護不利未披露或者失實陳述導致股價下降,「隱私保護的能力與事實不符」這樣一種事實仍然可能無法構成material,從而導致敗訴。為了彌補這一問題,其策略在於向法官展示雖然Zoom「隱私保護的能力與事實不符」這樣事實一開始不屬於material,但是隨著事件的發酵,這一錯誤事實伴隨理性投資者在市場上能獲得的其他信息,已經具有對理性投資人決策造成實際影響的程度。從案件本身來說即Zoom的隱私保護能力存在瑕疵,但是Zoom公司還是堅持對外宣傳其隱私保護沒有安全為題,從這點來看,法官採信的可能性比較高。
被告是否具有披露義務
披露義務主要來源於以下:法律規定需要披露;當公司之前已經做出非精確、非完整和誤導的披露而衍生出的補充披露義務;當存在基於保密信息的內部人交易。
普通法告訴我們,一個公司並不需要僅僅由於一個理性投資人可能希望知道的事實而進行披露。需要說明的是,如果一個公司已經進行了部分的披露,那麼即使沒有獨立的義務進行信息披露,公司必須進一步的做出完整和準確的披露。
根據Ross v. A.H. Robins Co. 案件,如果之前正確陳述,由於之後的事件導致可能誤導投資者,那麼被告有義務修正之前的陳述。
從這點上來看,原告的訴訟策略點在於Zoom公司即使之前的陳述是真實的,那麼Zoom公司在後續事件發酵以後也沒有及時對事實進行修正的披露。反而在年報等場合仍然堅持過往的事實或者未進行修正。故,Zoom公司存在未履行披露義務。
✰ 袁征等人是否需要承擔責任
原告使用的section 20(a)是證券集體訴訟的control person liability制度,該制度用於認定本案中袁征等控制人是否存在責任以及責任分配的認定。為此,原告需要證明:
-
被控制人有違法事實;
-
被告控制基礎違法者;
-
被告在一定意義上對被控制人的欺詐行為具有責任(culpable participation)。
其核心在於culpable participation有責性參與的認定:根據In re ShengdaTech, Inc. Sec. Litig., 案件,原告對此必須證明被告存在故意,至少是reclklessness疏忽大意,這種有責性可以分為作為和不作為兩種。對於不作為形態下的有責性主要需要證明被告明知存在證券欺詐,但是不採取任何措施去阻止違法行為發生。
故,在訴狀中,原告列舉了袁征和其cfo出售股票的事實、Zoom上市後the Electronic Privacy Information Center投訴但是其沒有向投資者披露等事實,從而希望對有責性參與中的「故意」和「疏忽大意」進行認定。
控制的標準:根據 In re Alstom案件,擔任公司管理人員或者董事不代表構成控制,但是如果該公司管理人員或者董事在存在重大失實陳述的財務報告上簽字,法院可以認定管理人員或者董事對財務報告具有控制。根據 S.E.C. v. First Jersey Sec., Inc., 案件,所謂控制指通過投票權、合同或者其他形式,擁有影響公司管理方向或者個人政策。
所以,如果Zoom被認定存在重大失實陳述或者重大遺漏,由於Zoom的CEO和CFO經常代表公司發表與本次隱私泄露事件有關的活動或者講話,且在有關上市文件和後續財報等文件上籤過字,如果法庭認定其又存在故意或者疏忽大意,其勢必要承擔責任。根據集體訴訟的相關規定該責任是join and several liability(連帶並分割的責任)。
04
總 結
故,從上述對於原告律師案件策略的選擇、以及幾個主要構成要件的分析中可以發現,這次的證券集體訴訟並非「濫訴」,原告做好了充分的準備,讓我們看看Zoom作為一個具有「中國背景」的公司最後會怎樣應對。
在涉美合同糾紛中,貿促會簽發的不可抗力證明有什麼作用?
疫情之下,美國法律服務市場真正進入生存模式
責任編輯:Susan | 版面編輯:田