律师作者
纽约州有关金融机构网络安全的新法规及其对公司的影响
March 21, 2017
By Paul Hastings Professional
纽约的顶级银行监管机构纽约州金融服务局最近颁布了一项经修订的法规(“修订法规”),该法规要求银行、保险公司和受纽约州金融服务局监管的其他金融机构建立并维护一项全面的网络安全计划,以应对日益增长的网络攻击的威胁。修订法规于2017年3月1日生效。
原法规于2016年9月出台后,在随后的意见征询期内收到了大量的批评意见,修订法规对部分批评意见做出了回应。尽管修订法规保留了原法规中的核心网络安全框架,包括任命一名首席信息安全官的要求,但在总体上引入了更多的灵活性 ,允许机构根据公司的规模以及公司所面临的具体网络风险定制其网络安全政策和计划。此外,修订法规要求网络安全计划旨在“保护”(而不是“确保”)机构信息系统的保密性、完整性和可用性。
主要区别:
修订法规和原法规的主要区别包括:
风险评估[1] 修订法规将风险评估的概念作为各章节的关键组成部分之一,从而使机构可以根据其面临的特定风险调整其网络安全计划。例如,修订法规特别要求网络安全计划的设立要基于受法规管辖的机构的风险评估。[2] 机构应在“合理性必要”的情况下更新该风险评估,以应对信息系统的变化,技术的发展及不断演进更新的网络安全威胁,以及机构业务运营中网络安全的特定风险。风险评估只需“定期”(而不是原法规要求的“每年”)进行。
非公开的定义[3] “非公开信息”的定义被缩小到仅涵盖不可公开获得、及以下任何一种或多种可以进行个人识别的信息:(i)社会保险号,(ii)驾驶证号码,(iii)银行账户号码,信用卡或借记卡号码,(iv)安全码,进入码或密码,或(v)生物测定记录;或来自卫生保健提供者的、与个人健康和提供护理或付款有关的任何信息。
首席信息安全官[4] 修订法规明确规定,负责监督网络安全计划的首席信息安全官可以是关联公司或第三方服务提供商。即使委任了一家第三方提供商,公司本身仍负有合规责任,并必须指定一名高管级别的员工来指导和监督第三方供应商。此外,首席信息安全官必须向董事会或公司内具有同等职能的组织报告。
事件应对计划[5] 修订法规仍然要求机构备有书面的事件应对计划,以应对网络安全事件的发生,网络安全事件的范围已被缩小为“实质”性影响机构的信息系统的完整性,或业务或运营的任何方面的事件。
加密[6] 修订法规对加密并无明确要求,而是要求受法规管辖的机构在风险评估的基础上实施监控(例如加密)来保护非公开信息。如果确定加密为“不可行的”,机构可以通过首席信息安全官批准的“有效的替代补偿控制”来保护非公开信息。机构应在18个月之内完成这项要求的合规工作。
监测和渗透测试[7] 修订法规要求机构“连续”监测其网络安全计划,或进行年度渗透测试及一年两次的弱点测试。
多因素的认证[8] 基于其风险评估,各机构必须使用有效控制,例如多因素认证或者基于风险的认证,以防止未经授权的进入。个人从外部网络进入公司内部网络必须通过多因素的认证,除非首席信息安全官已书面批准使用合理等效的或更安全的系统进入控制。
信息外泄通知[9] 与原法规相比,修订法规中的一项重要变化是要求企业在发现信息外泄后72小时内报告外泄行为,而原法规要求的72小时倒计时是从实际外泄的时间开始计算。此外,机构不必报告每个网络安全事件。因为在修订法规下,只有“有合理可能严重损害正常运营的任何重大部分的”或需要通知任何其他政府机构的网络安全事件才需要报告。现行纽约州法律要求,如果特定类别的个人信息(根据建议法规与“非公开信息”类似的定义)被泄露,则需要通报州总检察长。
数据保留[10] 修订法规要求,公司必须制定政策,对不再是业务运营或其他合法商业目的所必需的非公开信息定期进行处理,除非由于信息的维护方式导致对信息按以上要求进行处理被合理视为不可行的。机构应在18个月之内完成这项要求的合规工作。[11]
豁免[12] 原法规项下,豁免机构应以客户量为基础;修订法规项下,符合以下条件的机构可获得原法规中的部分要求的豁免:员工人数少于10名,或最近三个会计年度总年收入少于500万美元,或年末总资产少于1,000万美元的机构。申请豁免的机构必须通报纽约州金融服务局。
生效日期[13] 修订法案将生效日期由2017年1月延至2017年3月,并为某些条款设置了新的分期实施日期。
要点:
该项法规有着深远的影响。
受法规管辖的机构。首先,该法规不仅涉及银行和保险公司,而且还涉及这些机构的第三方服务供应商。该法规要求受监管的机构所聘用的这些第三方也有实施到位的网络安全政策。第三方还需要维持最低限度的网络安全实践,并将接受定期评估。
综合网络安全政策和计划。其次,该法规是首类要求公司采取全面的网络安全政策和计划的法规。因此,其他州必定会关注纽约州实施这项法规的情况,同时在全国也可能出现类似的立法提议。这项法规可以作为立法机构和监管机构的指路牌,并在各州和联邦层面的执法行动中对如何定义“合理性”起到辅助性作用。
修订法规将继续公开征询公众意见,但如上所述,该法规将于2017年3月1日生效。如果贵司对法规本身或其合规方面有任何问题,敬请联系我所的隐私和网络安全团队的律师。
[1] N.Y. Comp. Codes R. & Regs. tit. 23§§ 500.02, 500.09 (2016).
[2] § 500.03.
[3] § 500.01(g).
[4] §500.04.
[5] §500.16.
[6] §500.15.
[7] §500.05.
[8] §500.12.
[9] §500.17.
[10] §500.13.
[11] §500.22(b)(2).
[12] §500.19.
[13] §500.21.