随着新冠肺炎疫情在全球蔓延,远程办公需求愈发增加,主打多人视频会议的Zoom公司受到了越来越多的关注,不仅全球用户数量激增,而且市值逆势上扬,较去年IPO翻了两倍,一时间风头无两。可是人红是非多,Zoom在吸引了大量用户的同时,也吸引了网络安全专家和媒体的目光。
近半个月以来,这款视频会议软件接二连三地被爆出安全和隐私漏洞,遭到SpaceX和NASA内部禁用,甚至连美国联邦调查局(FBI)也发出警告,提醒用户使用Zoom时注意网络安全问题,不要在社交媒体上广泛分享会议链接,以防机密信息被黑客获取。2020年4月7日,Zoom,ERIC S. YUAN(袁征CEO), KELLY STECKELBERG (CFO) 在美国加利福尼亚联邦法院被以证券虚假陈述的理由提起证券集体诉讼。Zoom到底做错了什么?
01 Zoom事件背景
Zoom是一家总部设在美国加州的上市公司,成立于2011年,并于2019年4月18日在美国纳斯达克上市,美国500强中有三分之一的企业都在使用Zoom的服务,美国排名前200的大学有90%也是它的客户。该公司之所以被国人关注,最大的原因在于该公司的“中国背景”。它的创始人袁征是土生土长的山东人,其在1997年从中国移民到美国,同时Zoom的大部分产品开发团队驻扎在中国。多伦多大学Citizen Lab指出,Zoom美国用户和加拿大用户会议内容的机密和解密密匙由位于北京的Zoom服务器发出。
2020年4月7日,Zoom,ERIC S. YUAN(袁征CEO), KELLY STECKELBERG (CFO) 在美国加利福尼亚联邦法院被以证券虚假陈述的理由提起证券集体诉讼。原告认为:“Zoom没有足够的数据隐私和安全措施,这跟其上市时陈述的事实相反。同时Zoom的视频服务并非点对点加密,所以这导致其个人数据易于被未授权第三方获取,这些都可能导致Zoom公司视频服务的使用量下降,但是公司对此做了重大虚假陈述。”
Zoom被国人关注的另一个原因在于Zoom的“中国背景”容易与之前的瑞幸事件挂钩。其实这两个实际有本质的区分。瑞幸属于中概股范畴,美国的中国概念股实际上是美国存托凭证(ADR),是由美国金融机构发行的可转让证券票据,代表在美国金融市场交易的外国公司的特定数量的股份。美国存托凭证以美元支付股息,交易方式与普通股类似。1993年至2019年间,在纽约证交所、纳斯达克上市的中国ADR总数达到近300家,约占全球ADR总数的10%,而Zoom跟中概股的概念不符。但是基于其“中国背景”,其在近期连续与中国概念有关证券集体诉讼事件中掀起了一层波浪。
02 Zoom隐私事件(节选)
2019年4月18日Zoom上市,Zoom上市文件中陈述Zoom独特的技术和基础结构使其具有一流的可靠性,Zoom具有强大的安全性能,包括点对点加密、安全登录、管理控制和基于角色的访问控制。同时Zoom在文件中陈述其本地云平台提供可靠的、高质量的、易于使用、管理、部署的视频功能,这些丰富和可靠的聊天功能产生了巨大的可信任的相互作用。Zoom上市文件还向投资者保证Zoom致力于在隐私、数据保护、信息安全等方面的合规。
同时,上市文件中还包含如下模板化的免责陈述:Zoom在网络安全、数据保护和非法入侵方面的风险。公司的安全手段可能在现在、过去和将来被视为不够安全,可能导致客户和主机停止使用公司的产品,从而导致公司的巨大责任和商业利益的损害。实际上或者被视为未能在隐私保护、数据保护和信息安全等法律上的合规可能损害公司的商业利益。
2019年7月8日,安全专家Jonathan Leitschuh在推特上发布了一篇文章,声称黑客可以通过安全瑕疵控制Zoom网络摄像头。这个瑕疵可能导致全世界750,000家公司日常经营被暴露。2019年7月8日,由于该新闻,Zoom的股价跌了1.22%。
2019年7月11日,The Electronic Privacy Information Center在美国联邦贸易委员会提起投诉,声称Zoom故意设计绕开浏览器安全设定的网络会议服务,同时在未经使用者授权情况下远程进入使用者网络摄像头,由此导致使用者暴露在远程监控、不需要的视频通话、拒绝服务攻击下。
2019年7月11日,其股价又下跌了1.42%。
原告认为,在以上信息被披露以后,Zoom即使在之后的财报会议、季度报告中继续使用上市文件中的失实陈述。同时之后的季报中陈述其目前仍然没有成为任何其结果会造成公司商业重大不利诉讼的一方。然而这时其已经被The Electronic Privacy Information Center在联邦贸易委员会因数据安全问题提起法律程序。
2019年12月5日,Zoom财报电话会议上,袁征向投资人表示其认为Zoom公司产品的安全性以及易于使用性会赢得消费者的信任。
2020年3月26日,Zoom帮助facebook收集客户数据的事件发生,之后袁征也承认搜集的信息与提供视频会议服务没有任何关系,并承诺今后这样的事情不会再发生。
之后事件继续发酵,SpaceX公司停止使用Zoom的服务。袁征也在blog发布“致用户信息”承认其隐私安全不够完善。
在2020年3月27日至2020年4月2日,Zoom的股价下降了19.62%。
SEC文件显示,袁征和几个高管在被发现隐私泄露问题期间出售了大量股票。
03 Zoom案件解读
介 绍
Zoom集体诉讼属于美国集体诉讼下的证券集体诉讼,需要补充的是,由于本次隐私泄露事件,2020年4月1日在美国加利福尼亚联邦法院,还有另一个针对Zoom的集体诉讼被提起。该集体诉讼基于加利福尼亚消费者隐私法案等法律,系侵权集体诉讼范畴,但是该案的关注度没有本案高,有兴趣的可以关注一下。
本次Zoom证券集体诉讼,原告依据的条款为The Securities Exchange Act 1934的Section 10(b) 、Section 20(a) 和Rule10b-5。这几个法条主要用于规范重大失实陈述、信息遗漏行为和责任人的认定等,但是其主要条款系联邦法院体系经过多年判例法构成,所以本文的分析主要基于普通法判例的裁判规则。
原告律师策略
根据美国证券集体诉讼的有关法律,原告一般可以基于Zoom上市文件中的失实陈述进行集体诉讼,但是本案中Zoom上市文件中虽然可能存在以下失实陈述:“Zoom具有强大的安全性能,包括点对点加密、安全登录、管理控制和基于角色的访问控制。”但Zoom的上市文件背后列举了兜底免责条款,即“公司的安全手段可能在现在、过去和将来被视为不够安全,可能导致客户和主机停止使用公司的产品,从而导致公司的巨大责任和商业利益的损害。”这个免责条款很难让原告律师获得法庭采信,从而认定Zoom具有重大失实陈述。
由此原告律师没有从上市文件失实陈述这个角度进行诉讼。从诉讼策略角度,笔者认为其又构建了这样一个诉讼策略。
Zoom公司从2019年7月8日被第一次爆出隐私安全问题以后,在财报会议以及季报报告中仍然使用上市文件中对隐私安全具有“强大安全性能以及包括点对点加密、安全登录、管理控制和基于角色的访问控制”的陈述,同时仍然引用上市文件中免责条款,但是这个时候Zoom公司是已经知道其陈述失实,还仍然进行这样的重大失实陈述,所以具有应披露而未披露的责任。
the Electronic Privacy Information Center在美国联邦贸易委员会提起投诉以后,Zoom公司仍然向市场说明其目前没有任何可能对公司导致重大不利影响的诉讼,故存在重大失实陈述。
同时,作为CEO和CFO,根据其职位,其能够直接或者间接的控制失实信息的传播,有义务及时地传播真实信息,但是几次公开场合其言论都没有进行积极的引导,反而一再明示或者暗示地强调公司的安全能力。
具体分析
本案如果不考虑作为Zoom的律师对原告是否符合美国集体诉讼的原告主体资格标准,主要有以下两个法律点:是否构成重大失实陈述、重大事实遗漏以及CEO和CFO是否符合controlling person而需要承担责任。
✰ 是否构成重大事实遗漏或者重大失实陈述?
重大的标准
Omission或者misstatement需要构成重大还是背后的fact需要构成重大,这个构成要件在原文中的表述为material misstatement or omission。根据Greenhouse v. MCG Capital Corp.案件的意见,material (重大)修饰的是fact(事实),重点在这个事实是否构成重大,并非在于做出的失实陈述或者遗漏行为本身是否构成重大。如果本身这个事实不是重大的,那么就算失实陈述或者遗漏行为再严重也不构成material。
同时,根据Greenhouse v. MCG Capital Corp.案件的意见,重大的标准为是否存在实质的可能性,使一个理性投资人会相信所披露不真实事实会改变投资人所获得信息的“total mix”。理性投资人所获得的所有信息指所有公开所获得的信息。这种重大事实也不需要重要到能够改变投资人的决策,而是只要足够重要到能够对理性投资人的决策造成实际的影响。
被告是否存在失实陈述
本案中原告律师知道,即使由于对隐私保护不利未披露或者失实陈述导致股价下降,“隐私保护的能力与事实不符”这样一种事实仍然可能无法构成material,从而导致败诉。为了弥补这一问题,其策略在于向法官展示虽然Zoom“隐私保护的能力与事实不符”这样事实一开始不属于material,但是随着事件的发酵,这一错误事实伴随理性投资者在市场上能获得的其他信息,已经具有对理性投资人决策造成实际影响的程度。从案件本身来说即Zoom的隐私保护能力存在瑕疵,但是Zoom公司还是坚持对外宣传其隐私保护没有安全为题,从这点来看,法官采信的可能性比较高。
被告是否具有披露义务
披露义务主要来源于以下:法律规定需要披露;当公司之前已经做出非精确、非完整和误导的披露而衍生出的补充披露义务;当存在基于保密信息的内部人交易。
普通法告诉我们,一个公司并不需要仅仅由于一个理性投资人可能希望知道的事实而进行披露。需要说明的是,如果一个公司已经进行了部分的披露,那么即使没有独立的义务进行信息披露,公司必须进一步的做出完整和准确的披露。
根据Ross v. A.H. Robins Co. 案件,如果之前正确陈述,由于之后的事件导致可能误导投资者,那么被告有义务修正之前的陈述。
从这点上来看,原告的诉讼策略点在于Zoom公司即使之前的陈述是真实的,那么Zoom公司在后续事件发酵以后也没有及时对事实进行修正的披露。反而在年报等场合仍然坚持过往的事实或者未进行修正。故,Zoom公司存在未履行披露义务。
✰ 袁征等人是否需要承担责任?
原告使用的section 20(a)是证券集体诉讼的control person liability制度,该制度用于认定本案中袁征等控制人是否存在责任以及责任分配的认定。为此,原告需要证明:
被控制人有违法事实;
1、被告控制基础违法者;
2、被告在一定意义上对被控制人的欺诈行为具有责任(culpable participation)。
其核心在于culpable participation有责性参与的认定:根据In re ShengdaTech, Inc. Sec. Litig., 案件,原告对此必须证明被告存在故意,至少是reclklessness疏忽大意,这种有责性可以分为作为和不作为两种。对于不作为形态下的有责性主要需要证明被告明知存在证券欺诈,但是不采取任何措施去阻止违法行为发生。
故,在诉状中,原告列举了袁征和其cfo出售股票的事实、Zoom上市后the Electronic Privacy Information Center投诉但是其没有向投资者披露等事实,从而希望对有责性参与中的“故意”和“疏忽大意”进行认定。
控制的标准:根据 In re Alstom案件,担任公司管理人员或者董事不代表构成控制,但是如果该公司管理人员或者董事在存在重大失实陈述的财务报告上签字,法院可以认定管理人员或者董事对财务报告具有控制。根据 S.E.C. v. First Jersey Sec., Inc., 案件,所谓控制指通过投票权、合同或者其他形式,拥有影响公司管理方向或者个人政策。
所以,如果Zoom被认定存在重大失实陈述或者重大遗漏,由于Zoom的CEO和CFO经常代表公司发表与本次隐私泄露事件有关的活动或者讲话,且在有关上市文件和后续财报等文件上签过字,如果法庭认定其又存在故意或者疏忽大意,其势必要承担责任。根据集体诉讼的相关规定该责任是join and several liability(连带并分割的责任)。
04 总 结
故,从上述对于原告律师案件策略的选择、以及几个主要构成要件的分析中可以发现,这次的证券集体诉讼并非“滥诉”,原告做好了充分的准备,让我们看看Zoom作为一个具有“中国背景”的公司最后会怎样应对。
【本文章版权属于原作者,本网站在取得原作者合法授权后转载,目的在于促进学术交流及传递更多信息,不代表本站观点及立场。】