澳航削减CEO薪酬预示网络安全问责新时代

董事会、监管机构和投资者施压，企业高管面临数据泄露财务法律后果

2025年9月初，澳大利亚澳航航空董事会决定对CEO Vanessa Hudson及其他高管进行处罚，扣除80万澳元奖金，原因在于6月30日的网络事件导致近600万乘客个人信息泄露。

公开记录显示，上一次董事会因网络安全事件扣减CEO薪酬发生在2017年，雅虎董事会因多次数据泄露事件剥夺CEO Marissa Mayer的200万美元奖金。专家认为，若澳航此举预示CEO需为网络安全承担经济责任的新时代，对CISO而言将是积极转变。

“董事会经济处罚CEO和高管团队，反映其认识到网络安全已成为所有领导层共同责任的新现实，“前优步CISO Joe Sullivan表示。他因涉及数据泄露的指控被定罪，但存在争议。

法律行动和监管加强同样将问责转移至CEO层面。公开扣减CEO薪酬对企业董事会实属罕见。澳航董事会声明称：“尽管财务表现强劲，但董事会决定因网络事件对客户影响削减年度奖金15个百分点，体现共同责任。”

2022年，美国联邦贸易委员会追究酒类配送服务Drizly CEO个人责任，因其未能实施适当信息安全措施导致250万消费者数据泄露。2023年美国证券交易委员会新规要求CEO和CFO对网络安全事件监督、报告和披露承担个人责任，违规罚款可达数百万美元。

律师事务所Redgrave LLP合伙人Martin Tully指出：“CEO法律责任案例必将增多，监管环境持续聚焦高管责任。“管理咨询公司OliverWyman合伙人Paul Mee认为，数据泄露后高管层存在更多隐性后果。

历史承担网络安全主要责任的CISO需关注此趋势。Tully建议：“把握环境预期变化趋势，与董事会和管理团队合作严肃对待网络安全。“随着勒索软件攻击加剧，外部投资者开始要求CEO更多问责。

CEO需与董事会密切合作，将其纳入数据泄露和事件响应流程。Mee强调：“董事会需通过演练熟悉风险，否则事态将迅速恶化。“董事会学习曲线正在加速，网络安全已成为董事会前三关注议题。

明确的是，数据泄露责任终点在于CEO而非CISO安全团队。Mee指出：“过去将保护重任置于可能缺乏权力和影响力的个人身上。“Sullivan总结道：“安全团队无法单独保护公司，公司文化、风险承受力和安全系统投资由CEO集体定义。”