2019年8月2日,新罕布什尔州州长Chris Sununu签署了194号法案[1](以下简称《法案》),要求在该州获得许可的保险公司(以下简称“被许可人”)实施数据安全计划并报告网络安全事件。《法案》将于2020年1月1日生效,被许可人自生效之日起有一年的过渡期来满足网络安全的相关要求,两年的过渡期以确保其第三方供应商也实施适当的保护措施,来确保信息系统以及第三方服务提供商可访问或持有的非公开信息的安全。
《法案》的主要内容包括:
数据安全计划
《法案》要求被许可人根据风险评估制定、实施信息安全计划,其中包含保护非公开信息和被许可人信息系统的行政、技术和物理保障。信息安全计划必须采取“缓解……确定的风险“以及其他列举的要求,旨在“定义并定期重新评估非公开信息留存的时间表,以及在不再需要信息时将其销毁。”
非公开信息被定义为:(1)无法公开获取的;(2)关于消费者的;(3)可用于识别此类消费者的信息,包含社会保障号码、驾驶执照或非驾驶员身份证号码、金融帐户、信用卡或借记卡号码,允许访问金融帐户的访问代码、密码、生物识别信息。该术语还包括可用于识别特定消费者的某些医疗保健信息。
安全事件应急预案
作为信息安全计划的一部分,被许可人还必须制定书面的安全事件应急预案,旨在迅速对网络安全事件作出回应,这些事件会损害其拥有的非公开信息的机密性、完整性或可用性,以及被许可人信息系统的持续性、被许可人的业务运营的稳定性。
泄露通知制度
当确定注册在新罕布什尔州的被许可人发生网络安全事件或者合理地认为网络安全事件影响了至少250名新罕布什尔州居民时,被许可人需在三个工作日内将网络安全事件通知州保险专员。
通知内容必须包括:(1)网络安全事件的日期; (2)描述信息如何受到损害以及如何发现违规行为; (3)受损信息的具体类型的描述; (4)受影响的新罕布什尔州居民的大致数量; (5)被许可人隐私政策的副本和声明、被许可人将调查并通知受违约行为影响的消费者的步骤的声明; (6)联系人的姓名; (7)发给消费者的通知副本。《法案》要求被许可人根据新罕布什尔州泄露通知的某些规定[2]通知消费者。
日志留存
被许可方必须保留有关所有网络安全事件的日志,自网络安全事件发生之日起至少五年。此外,每个在该州注册的保险公司必须在每年3月1日之前提交年度书面声明,证明本公司符合规定的要求。
法律责任
保险专员可以采取“必要或适当”的措施来执行《法案》。违反《法案》可能导致被许可人的授权证书或许可证被暂停或撤销,或者单次最高2500美元的罚款。
[1]原文地址:https://legiscan.com/NH/text/SB194/id/2037480/New_Hampshire-2019-SB194-Amended.html
[2]根据《新罕布尔什州法》(NH Rev. Stat)第359-C:19,359-C:20,359-C:21相关规定。
作者简介:李雅文,中国信息通信研究院互联网法律研究中心研究员
声明:本文来自CAICT互联网法律研究中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。