2019年8月2日,，新罕布什爾州州長Chris Sununu簽署了194號法案（以下簡稱《法案》）,，要求在該州獲得許可的保險公司（以下簡稱“被許可人”）實施數(shù)據(jù)安全計劃并報告網(wǎng)絡(luò)安全事件,?！斗ò浮穼⒂?020年1月1日生效，被許可人自生效之日起有一年的過渡期來滿足網(wǎng)絡(luò)安全的相關(guān)要求,，兩年的過渡期以確保其第三方供應(yīng)商也實施適當(dāng)?shù)谋Ｗo(hù)措施,，來確保信息系統(tǒng)以及第三方服務(wù)提供商可訪問或持有的非公開信息的安全。

 　　《法案》的主要內(nèi)容包括：

　　數(shù)據(jù)安全計劃

　　《法案》要求被許可人根據(jù)風(fēng)險評估制定,、實施信息安全計劃,，其中包含保護(hù)非公開信息和被許可人信息系統(tǒng)的行政、技術(shù)和物理保障,。信息安全計劃必須采取“緩解……確定的風(fēng)險“以及其他列舉的要求,，旨在“定義并定期重新評估非公開信息留存的時間表，以及在不再需要信息時將其銷毀,。”

　　非公開信息被定義為：（1）無法公開獲取的,；（2）關(guān)于消費(fèi)者的,；（3）可用于識別此類消費(fèi)者的信息,，包含社會保障號碼、駕駛執(zhí)照或非駕駛員身份證號碼,、金融帳戶,、信用卡或借記卡號碼，允許訪問金融帳戶的訪問代碼,、密碼,、生物識別信息。該術(shù)語還包括可用于識別特定消費(fèi)者的某些醫(yī)療保健信息,。

　　安全事件應(yīng)急預(yù)案

　　作為信息安全計劃的一部分,，被許可人還必須制定書面的安全事件應(yīng)急預(yù)案，旨在迅速對網(wǎng)絡(luò)安全事件作出回應(yīng),，這些事件會損害其擁有的非公開信息的機(jī)密性,、完整性或可用性，以及被許可人信息系統(tǒng)的持續(xù)性,、被許可人的業(yè)務(wù)運(yùn)營的穩(wěn)定性,。

　　泄露通知制度

　　當(dāng)確定注冊在新罕布什爾州的被許可人發(fā)生網(wǎng)絡(luò)安全事件或者合理地認(rèn)為網(wǎng)絡(luò)安全事件影響了至少250名新罕布什爾州居民時，被許可人需在三個工作日內(nèi)將網(wǎng)絡(luò)安全事件通知州保險專員,。

　　通知內(nèi)容必須包括：（1）網(wǎng)絡(luò)安全事件的日期; （2）描述信息如何受到損害以及如何發(fā)現(xiàn)違規(guī)行為; （3）受損信息的具體類型的描述; （4）受影響的新罕布什爾州居民的大致數(shù)量; （5）被許可人隱私政策的副本和聲明,、被許可人將調(diào)查并通知受違約行為影響的消費(fèi)者的步驟的聲明; （6）聯(lián)系人的姓名; （7）發(fā)給消費(fèi)者的通知副本?！斗ò浮芬蟊辉S可人根據(jù)新罕布什爾州泄露通知的某些規(guī)定通知消費(fèi)者,。

　　日志留存

　　被許可方必須保留有關(guān)所有網(wǎng)絡(luò)安全事件的日志，自網(wǎng)絡(luò)安全事件發(fā)生之日起至少五年,。此外,，每個在該州注冊的保險公司必須在每年3月1日之前提交年度書面聲明，證明本公司符合規(guī)定的要求,。

　　法律責(zé)任

　　保險專員可以采取“必要或適當(dāng)”的措施來執(zhí)行《法案》,。違反《法案》可能導(dǎo)致被許可人的授權(quán)證書或許可證被暫停或撤銷,，或者單次最高2500美元的罰款,。