罗德岛非银行金融机构的新网络安全法

罗德岛州已颁布参议院第603号法案（SB603），该法案于2025年7月2日生效，为该州商业监管部许可的非银行金融机构建立了全面的网络安全框架。尽管SB603紧密仿照了纽约州金融服务部网络安全条例（23 NYCRR Part 500），但SB603引入了几个显著差异，可能会影响合规策略——尤其是在两个司法管辖区均获许可的机构。

核心要求

根据SB603，被许可人必须制定书面信息安全计划和正式的事件响应计划，两者均基于针对机构运营量身定制的风险评估。被许可人还须（i）实施某些技术控制措施，如多因素认证、基于角色的访问限制、威胁检测以及静态和传输中数据的加密；（ii）进行年度渗透测试和半年度的漏洞扫描（在某些情况下）。被许可人还须每年向董事会（或同等高级治理机构）提供机构信息安全计划的年度更新，包括与信息安全计划相关的重要事项，如风险评估、风险管理、服务提供商安排、安全事件以及信息安全计划变更的建议。

违规通知义务

罗德岛州的被许可人必须在确定发生可报告的“安全事件”后的三个工作日内通知DBR主任，此时限与超过25个州采用的NAIC保险数据安全模型法律一致。该法规对安全事件的定义广泛，包括：“导致对信息系统或存储在该信息系统上的信息，或以物理形式持有的客户信息进行未经授权的访问、破坏或滥用的事件。”

如果满足以下条件，则安全事件需向DBR主任报告：

• 该事件触发了根据任何州或联邦法律向政府或自律机构报告的义务；或
• 该事件合理可能对罗德岛州消费者造成重大损害或对被许可人的运营产生重大影响。

与NYDFS Part 500的显著差异

虽然以Part 500为蓝本，但罗德岛州的法律引入了若干实质性差异：

• 适用性：罗德岛州的法律仅适用于由DBR许可的非银行金融机构，而NYDFS Part 500管辖更广泛的实体，包括银行、保险公司、抵押贷款机构和加密货币公司。
• 工作日通知窗口：与NYDFS的72小时规则不同，罗德岛州允许三个工作日，为在周末或节假日发现的事件提供了灵活性。
• 违规通知触发条件：Part 500和SB603均要求在安全事件合理可能严重干扰正常运营时通知监管机构。然而，SB603引入了一个显著差异——如果安全事件合理可能对罗德岛州居民造成重大损害，也要求通知，增加了Part 500未明确包含的以消费者为中心的保护层。也就是说，Part 500有其独特的通知要求，而SB603未包含，包括（i）如果勒索软件在其系统的重大部分部署，覆盖实体必须在72小时内通知部门，以及（ii）如果在网络安全事件中支付了勒索款项，必须在24小时内通知。
• 规定的违规通知内容要求：与Part 500不同，其网络安全条例未包含具体的规范性内容要求，而SB603明确要求被许可人在发生安全事件时向DBR提供特定信息，例如，涉及通知事件（定义为未经授权获取未加密的客户信息）的信息类型描述、通知事件的日期或日期范围（如果可能确定）、受通知事件影响或可能影响的罗德岛州居民总数（如果是估计值，被许可人必须在每次后续报告中向DBR更新）、“发生了什么”的描述、被许可人采取的补救步骤，以及是否已通知执法部门。
• 加密：罗德岛州采取了更灵活的立场，当静态或传输中加密不可行时，允许使用补偿性控制措施。相比之下，Part 500仅允许在静态加密不可行时使用补偿性控制措施——不适用于传输中的数据。此外，SB603将加密要求缩小至“客户信息”，定义为与被许可人有关系的消费者的非公开个人信息；而Part 500则适用于所有非公开信息，包括与业务相关的信息。
• 风险评估标准：罗德岛州要求进行书面评估，并明确评估标准和缓解计划；NYDFS要求进行评估但未指定格式或频率。
• 记录保留规则：SB603要求客户信息在其最后一次使用后的两年内安全处置，除非例外情况适用。相比之下，NYDFS仅要求在数据不再需要时定期处置，没有具体的时间框架。

SB603反映了越来越倾向于更规范、州级监管的趋势。虽然它与Part 500紧密一致，但其独特规定——如包含物理记录和处置时间表——引入了新的合规考虑。在两个司法管辖区运营的机构应采取积极措施协调其网络安全计划，确保满足最严格的要求，同时保持运营灵活性。