罗德岛非银行金融机构网络安全新法

罗德岛州已颁布参议院第603号法案（SB603），该法案于2025年7月2日生效，为该州商业监管部许可的非银行金融机构建立了全面的网络安全框架。尽管SB603紧密仿照了纽约州金融服务局网络安全法规（23 NYCRR Part 500），但SB603引入了若干显著差异，可能影响合规策略——特别是在两个司法管辖区均持牌的机构。

核心要求

根据SB603，持牌人必须制定书面信息安全计划和正式事件响应计划，两者均基于针对机构运营定制的风险评估。持牌人还需（i）实施某些技术控制，如多因素认证、基于角色的访问限制、威胁检测以及静态和传输中数据的加密；（ii）进行年度渗透测试和半年度漏洞扫描（在某些情况下）。持牌人还需每年向董事会（或同等高级治理机构）提供机构信息安全计划的年度更新，包括与信息安全计划相关的重要事项，如风险评估、风险管理、服务提供商安排、安全事件以及信息安全计划变更的建议。

违规通知义务

罗德岛持牌人必须在确定发生可报告的“安全事件”后的三个工作日内通知商业监管部主任，此时限与超过25个州采用的NAIC保险数据安全模型法律一致。该法规广泛定义安全事件，包括：“导致对信息系统或存储在此类系统上的信息，或以物理形式持有的客户信息进行未经授权的访问、破坏或滥用的事件。”

如果满足以下条件，则必须向商业监管部主任报告安全事件：

• 该事件触发根据任何州或联邦法律向政府或自律机构报告的义务；或
• 该事件合理可能对罗德岛消费者造成重大损害或对持牌人的运营产生重大影响。

与NYDFS Part 500的显著差异

虽然以Part 500为模型，罗德岛法律引入了若干实质性差异：

• 适用性：罗德岛法律仅适用于商业监管部许可的非银行金融机构，而NYDFS Part 500管辖更广泛的实体，包括银行、保险公司、抵押贷款机构和加密货币公司。
• 工作日通知窗口：与NYDFS的72小时规则不同，罗德岛允许三个工作日，为在周末或假日发现的事件提供了灵活性。
• 违规通知触发条件：Part 500和SB603均要求当安全事件合理可能严重扰乱正常运营时通知监管机构。然而，SB603引入了一个显著差异——如果安全事件合理可能对罗德岛居民造成重大损害，也需要通知，增加了Part 500未明确包含的以消费者为中心的保护层。但Part 500有其独特的通知要求，SB603未包含，包括（i）如果勒索软件在其系统的重大部分部署，覆盖实体必须在72小时内通知该部门，以及（ii）如果在网络安全事件中支付勒索款项，必须在24小时内通知。
• 规定的违规通知内容要求：与Part 500不同，SB603明确要求持牌人在发生安全事件时向商业监管部提供特定信息，例如，涉及通知事件类型的信息描述（定义为未经授权获取未加密的客户信息）、通知事件的日期或日期范围（如果可能确定）、受通知事件影响或可能影响的罗德岛居民总数（如果是估计值，持牌人必须在每次后续报告中更新商业监管部）、“发生了什么”的描述、持牌人采取的补救步骤，以及是否已联系执法部门。
• 加密：罗德岛采取更灵活的立场，当静态或传输中加密不可行时，允许补偿控制。相比之下，Part 500仅允许在静态加密不可行时使用补偿控制——不适用于传输中的数据。此外，SB603将加密要求缩小至“客户信息”，定义为与持牌人有关系的消费者的非公开个人信息；而Part 500适用于所有非公开信息，包括业务相关信息。
• 风险评估标准：罗德岛要求书面评估，包含定义的评估标准和缓解计划；NYDFS要求评估但未指定格式或频率。
• 记录保留规则：SB603要求客户信息在最后一次使用后两年内安全处置，除非例外情况适用。相比之下，NYDFS仅要求一旦数据不再需要时定期处置，没有具体时间框架。

SB603反映了越来越倾向于更规定性的州级监管趋势。尽管它与Part 500紧密一致，但其独特条款——如包含物理记录和处置时间表——引入了新的合规考虑。在两个司法管辖区运营的机构应采取积极步骤协调其网络安全计划，确保满足最严格的要求，同时保持运营灵活性。