美国网络安全法律与实践

关闭所有

1. 法律法规概述

1.1 网络安全监管战略

美国并未采用单一的、全国性的通用网络安全监管体系。相反，联邦和州层面存在多个相互重叠的监管体系，分别针对特定行业或司法管辖区开展网络安全监管。每项监管措施的范围和实质性义务都针对网络安全的特定方面。这些方面可能包括：

可采取哪些技术措施来降低未经授权访问数据的风险；
数据泄露事件响应程序；以及
透明度和报告要求。

这些法规旨在保护国家安全、保障个人信息安全（包括针对敏感财务数据或健康信息的具体法规）以及促进合作与创新。有关特定行业和国家安全法规的更多信息，请参阅第2章"关键基础设施网络安全" 、第3章"金融部门运营弹性法规" 和第6.3章"医疗保健部门网络安全"。

1.2 网络安全法律

联邦层面，有关网络安全的主要法律法规包括：

1999 年的《格雷姆-里奇-布莱利法案》（GLBA）对金融机构处理客户的非公开个人信息提出了安全和透明度要求（更多详情请参见3.1 金融部门运营弹性监管范围）；
《健康保险流通与责任法案》（HIPAA）规范了敏感的医疗保健相关信息的保护（更多详情请参见6.3 医疗保健行业的网络安全）；
2022 年关键基础设施网络事件报告法案 (CIRCIA) 规定了关键基础设施公司披露网络事件的义务（更多详情请参见2.1 关键基础设施网络安全监管范围）；
对联邦政府机构和承包商施加网络安全义务的法律法规，例如《国防联邦采购条例补充条款》（DFARS）和《联邦信息安全管理法》；
美国证券交易委员会的《网络安全风险管理、战略、治理和事件披露规则》要求一些上市公司报告某些网络安全事件，并在公开文件中披露其网络安全战略、网络安全治理和网络安全风险管理。

多项联邦法律法规将黑客行为定为犯罪，并对个人和执法机构使用信息技术的方式进行规范。例如，《计算机欺诈和滥用法案》将未经授权访问计算机系统的行为定为犯罪；《存储通信法案》规范了互联网服务提供商自愿向政府提供存储的电子通信和数据的能力，并规范了政府通过法律程序强制获取存储的电子通信和数据的方式。此外，《窃听法案》和《电话登记法案》分别将非法拦截内容和非内容数据的行为定为犯罪。

除了这些专门针对网络安全的法律法规外，一些更通用的法规也已在网络安全领域得到实施。例如，《联邦贸易委员会法》第5条授权联邦贸易委员会（FTC）对一般的不公平或欺骗性贸易行为进行监管和执法。FTC和联邦法院对该条款的解释是，允许对网络安全进行监管和执法，尤其是在公司安全措施（以及关于这些措施的公开声明）可能构成不公平或欺骗性行为的情况下。

除了正式的法律法规要求外，近几届政府还广泛使用行政命令来指导监管机构的调查审查和规则制定重点。

最后，除了联邦法规外，许多州也通过法律或条例规定了网络安全义务。一些州以法律形式要求公司采取合理措施保护州内居民的敏感个人信息，但对于哪些措施是必需的或被认为是合理的，各州的具体规定程度不一。其他州则拥有更完善的监管体系，例如《加州消费者隐私法案》（CCPA）。有关纽约州金融服务部（NYDFS）颁布的网络安全法规的更多详情，请参阅6.2"网络安全与人工智能"。

1.3 网络安全监管机构

联邦层面的主要网络安全监管机构包括：

联邦贸易委员会（FTC）------如1.2 网络安全法律中所述------作为其监管和打击不公平或欺骗性贸易行为的广泛权力的一部分，负责监管网络安全；
司法部（DOJ）、联邦调查局（FBI）和国土安全部（DHS）负责调查和起诉联邦犯罪活动，包括网络入侵和网络犯罪；
国土安全部负责监管关键基础设施和国家安全的其他方面；
美国卫生与公众服务部（HHS）负责对受 HIPAA 监管的医疗服务提供者执行 HIPAA 法规，包括与数据保护相关的法规；
美国证券交易委员会（SEC）负责监管上市公司，并在发生网络安全漏洞后强制要求披露信息。

联邦监管机构有权在经过公开通知和评论程序后颁布具有法律效力的法规，并通过民事调查（包括强制披露文件和证词）和诉讼来执行这些法规。

在州一级，网络安全可能由州检察长或其下属部门监管。一些州设立了专门的网络安全机构，例如犹他州网络中心；另一些州则将监管权授予了特定行业的监管机构，例如纽约州金融服务部 (NYDFS)。有关纽约州金融服务部的更多详情，请参阅6.2 网络安全与人工智能。

2. 关键基础设施网络安全监管

2.1 关键基础设施网络安全监管范围

在美国，CIRCIA 要求关键基础设施实体在 72 小时内向网络安全和基础设施安全局 (CISA) 报告受该法规约束的网络安全事件，并在 24 小时内报告勒索软件支付情况。CIRCIA 下适用于受约束实体的规则仍在制定中，尽管计划于 2026 年最终定稿，但截至撰写本文时，其状态或最终发布前景尚不明朗。该法规于 2024 年 4 月 4 日发布草案，旨在进一步明确受报告制度约束的实体和事件类别。

《关键基础设施和控制法案》（CIRCIA）的适用范围有意设定得非常广泛，涵盖了国土安全部确定的所有16个关键基础设施领域的实体。这些领域包括对公共安全、经济稳定和国家安全至关重要的行业，例如化工、关键制造业、国防工业基地（DIB）、能源、金融服务、医疗保健和信息技术行业。

行业特定法规

能源------联邦能源监管委员会 (FERC) 执行北美电力可靠性公司 (NERC) 关键基础设施保护 (CIP) 标准，要求电力公司保护网络资产、管理供应链风险并根据《联邦电力法》(FPA) 第 215 条报告事件。
交通运输------美国运输安全管理局 (TSA) 通过指令强制要求管道、铁路和航空运营商进行网络安全管理，这些指令要求进行事件报告、风险缓解和安全计划。
水和废水系统------环境保护署 (EPA) 根据《美国水基础设施法》(AWIA) 强制执行网络安全要求，要求为超过 3,300 人提供服务的公用事业公司评估风险并加强网络安全保护。
核能------国家核安全管理局 (NNSA) 和核管理委员会 (NRC) 对核设施和处理机密数据的承包商实施网络安全，并根据《联邦法规汇编》第 10 篇第 73 部分和能源部网络安全计划 (CSP) 提供严格的保护。
DIB -- 网络安全成熟度模型认证 (CMMC) 和 DFARS 252.204-7012 要求处理受控非密信息的国防承包商满足美国国家标准与技术研究院 (NIST) SP 800-171 网络安全标准，并且单独的部门要求有义务报告已确定类别的网络事件。
医疗保健 -- HIPAA 根据 HIPAA 安全规则强制要求对电子受保护健康信息 ("ePHI") 进行网络安全保护，并根据 HIPAA 违规通知规则规定了违规报告义务（有关 HIPAA 的更多信息，请参阅6.3 医疗保健行业的网络安全）。
其他处理个人健康记录的实体------不受 HIPAA 监管但处理个人健康记录 (PHR) 的实体，根据 FTC 的健康违规通知规则 (HBNR) 有义务通知受影响的个人。

2.2 关键基础设施网络安全要求

在美国，关键基础设施网络安全由针对特定行业的法规进行监管，这些法规旨在应对各行业面临的独特风险。这些法规要求通过强制推行主动风险管理、事件报告和遵循最佳实践，来增强抵御网络威胁的能力。

各行业存在一些特定的网络安全要求，具体如下。

能源行业------联邦能源监管委员会的CIP标准要求制定网络安全计划、访问控制和定期风险评估。
水和废水系统行业------根据《美国水务改进法案》(AWIA)，美国环保署 (EPA) 要求供水企业将网络安全纳入风险评估，并制定应急响应计划。
核能领域------美国核管理委员会（NRC）许可证持有者必须实施广泛的网络安全保障措施，包括访问控制、网络监控、供应链风险管理和事件响应协议，以防止网络威胁损害反应堆运行或敏感核材料。
交通运输行业------美国运输安全管理局 (TSA) 的网络安全指令要求关键基础设施所有者实施漏洞评估、缓解措施和网络安全计划。铁路和航空行业还有其他特殊要求。
医疗保健行业------参见6.3 医疗保健行业的网络安全。
金融服务业------参见3. 金融业运营韧性监管 （特别是3.1 金融业运营韧性监管的范围）。
DIB -- CMMC 框架为处理受控非密信息 (CUI) 的国防承包商制定了分级网络安全要求，更高级别要求采取加密、多因素身份验证和第三方网络安全评估等措施。

2.3 事件响应和通知义务

在美国，关键基础设施所有者和运营者的事故响应和通知义务主要受行业特定法规的约束。CIRCIA 的要求旨在补充而非取代这些行业特定义务。如果 CIRCIA 法规最终确定，将要求：

网络安全事件报告------受监管实体必须在确定发生受监管网络安全事件后的72小时内向CISA报告；
勒索软件支付报告------实体必须在支付勒索软件赎金后 24 小时内通知 CISA。

这些要求旨在使CISA能够更好地协调事件响应工作，并促进政府和私营部门利益相关者之间的信息共享。尽管框架全面，但仍存在以下几个不确定因素。

适用对象------CISA即将出台的法规将确定各行业中哪些组织需要遵守CIRCIA的义务。小型或辅助性实体可能不确定自身是否属于适用范围。
事件阈值------CIRCIA尚未最终确定何为"受监管的网络安全事件"。由于CISA尚未发布最终指南，各实体对报告触发条件缺乏清晰的认识。
重叠的法规------在多个行业运营的实体可能面临联邦和特定行业框架下的重叠义务（例如，HIPAA 与 CIRCIA）。
责任保护------虽然 CIRCIA 为报告实体提供了有限的责任保护，但其与 HIPAA 或 NRC 法规等其他框架下的保密义务之间的互动仍然存在疑问。
国际影响------在国际上运营的组织可能需要协调遵守美国框架（如 CIRCIA）和外国标准（包括欧盟网络和信息安全指令 2（"NIS2"））。

如2.1 关键基础设施网络安全法规范围中所述，除了即将出台的 CIRCIA 要求外，特定行业的通知要求已经存在相当长一段时间了。这些要求包括以下几点。

能源领域------在联邦能源监管委员会 (FERC) 的监管下，北美电力可靠性委员会 (NERC) 要求电力系统 (BES) 实体报告可能影响可靠性的网络安全事件，包括运行中断、未经授权的访问或入侵尝试，并根据事件的严重程度设定通知时限。最严重的事件（即成功入侵 BES 网络系统并影响可靠性的事件）必须在确定后一小时内报告给电力信息共享与分析中心 (E-ISAC) 和网络安全与基础设施安全局 (CISA)。
水和废水系统部门------根据《AWIA》规定，供水公司必须将影响服务交付的任何中断情况（包括网络安全事件造成的中断）通知当地应急计划委员会。
核能领域------美国核管理委员会要求立即通知任何危及对核安全、安保或应急准备至关重要的数字系统的网络安全事件。
交通运输系统领域------美国运输安全管理局 (TSA) 要求管道、铁路和航空运营商在 24 小时内报告已确定的网络安全事件类别，并进行事后审查。
医疗保健行业------参见6.3 医疗保健行业的网络安全。
金融服务业------参见3. 金融业运营韧性监管 （特别是3.1 金融业运营韧性监管的范围）。
DIB -- 处理 CUI 的承包商必须在发现网络安全事件后 72 小时内向国防部 (DoD) 报告。

2.4 国家责任和义务

州政府在增强辖区内关键基础设施的韧性以及识别其面临的威胁方面发挥着至关重要的作用。虽然联邦政府提供总体指导和监管框架，但各州通常充当实施韧性战略、促进信息共享以及支持关键基础设施所有者和运营者的第一线协调者。

韧性责任

国家在增强关键基础设施网络韧性方面的责任如下。

制定全州网络安全战略------许多州已设立网络安全办公室或工作组，负责制定和实施旨在增强公共和私营关键基础设施韧性的战略。这些战略通常与联邦倡议（例如 NIST 网络安全框架）保持一致，同时兼顾各州特有的风险和优先事项。
事件响应协调------各州通常通过其州级融合中心和应急行动中心担任事件响应工作的协调机构。这些机构与网络安全和基础设施安全局 (CISA)、地方政府和私营部门利益相关者密切合作，共同应对和从网络安全事件中恢复。
基础设施韧性补助金和项目------各州负责管理联邦补助金项目，例如州和地方网络安全补助金项目，以资助增强关键基础设施韧性的项目。这些补助金支持系统升级、网络安全培训和漏洞评估等举措。

威胁识别职责

国家在识别关键基础设施面临的网络安全威胁方面的责任如下。

威胁情报共享------州政府作为联邦机构和地方实体之间的桥梁，负责分发威胁情报。这包括利用联邦多州信息共享与分析中心（MS-ISAC），该中心提供针对州和地方政府量身定制的网络安全威胁监控、分析和预警服务。
针对特定行业的威胁监测------许多州重点监测关键行业的威胁，例如供水设施、能源网络和医疗机构，这些行业通常由州一级监管。州公共事业委员会和卫生部门经常与联邦机构合作，识别和减轻威胁。
强制报告和监督------各州强制要求在其管辖范围内运营的企业和其他实体报告数据泄露事件。几乎所有州都已颁布数据泄露通知法，要求组织机构向受影响的个人报告涉及个人身份信息 (PII) 的泄露事件，并且在许多情况下，还需向州检察长或其他监管机构报告。例如：
1. 有些州（例如加利福尼亚州）强制要求详细报告数据泄露的性质以及为解决问题而采取的措施；

一些州法律还规定了违规通知的具体期限，通常在 30 到 90 天之间，具体取决于司法管辖区。

3. 金融领域的运营韧性

3.1 金融部门运营韧性监管的范围

美国联邦储备系统理事会、联邦存款保险公司（FDIC）和货币监理署（OCC）（统称"审慎监管机构"）认为网络安全是美国金融机构运营风险管理框架的一个组成部分，正如监管资本规则和其他地方所描述的那样。

《格雷姆-里奇-比利雷法案》（GLBA）第五章是首部要求金融机构保护客户非公开个人信息（NPPI）的联邦法律。该法案要求各审慎监管机构制定金融机构必须遵守的标准，具体包括：

确保包含非公开个人信息的记录的安全性和保密性；
保护此类记录免受"任何预期威胁或危险"；
防止未经授权访问此类记录（"保障规则"）。

依据这项法定授权制定的《机构间信息安全标准指南》（以下简称"安全指南"）要求所有金融机构都必须制定信息安全计划，以推进保障规则的目标。2020年，美国货币监理署（OCC）和联邦存款保险公司（FDIC）发布了《关于网络安全风险加剧的联合声明》（以下简称"联合声明"），对安全指南进行了详细阐述。

网络安全风险也在《机构间安全稳健标准指南》（简称"安全稳健指南"）中有所涉及，该指南制定了广泛的安全稳健标准，用于评估金融机构。与其他风险管理要素一样，审慎监管机构期望金融机构根据以下因素调整其网络安全风险管理体系：

机构的规模和复杂程度；以及
与其风险状况相关。

2020年，审慎监管机构发布了关于加强运营韧性的跨部门指导文件（简称"稳健实践"），该文件整合了现有的法规、指南、声明和行业通用标准，旨在提升运营韧性。稳健实践承认网络安全风险是"最重要的运营风险类型之一"，并附录了管理网络风险的稳健实践。

联邦金融机构检查委员会 (FFIEC) 是一个促进金融机构监管统一性的跨部门机构，也发布了检查手册和网络安全风险管理指南，其中包括 FFIEC IT 检查手册。

综合来看，这些规则、声明和指南，以及 FFIEC 的检查手册和补充文件，为审慎监管机构提供了有关管理网络安全风险的最新标准。

3.2 信息通信技术服务提供商合同要求

《银行服务公司法》赋予审慎监管机构法定权力，对向金融机构提供服务的某些第三方进行监管。在信息技术领域，这些第三方服务提供商包括核心应用处理商、电子资金转账交换机、网上银行服务商、票据处理商、托管安全服务提供商和数据存储服务提供商。

2012年10月，在联邦金融机构审查委员会（FFIEC）发布其《信息技术审查手册》（详见3.1"金融部门运营弹性监管范围"）中的《技术服务提供商监管手册》（简称"TSP手册"）的同时，审慎监管机构还发布了《关于实施跨部门技术服务提供商监管计划的行政指南》。该指南阐述了如何使用信息技术统一评级系统（URSIT）评估技术服务提供商（TSP）的风险。URSIT评分用于确定对TSP的审查优先级、频率和范围。TSP被分为两类：重要服务提供商（SSP）和区域服务提供商（RSP）。重要服务提供商服务于大量银行，风险较高；区域服务提供商服务于较少银行，风险较低。

多区域数据处理服务商 (MDPS) 计划是一项专门针对"任务关键型"（对核心业务活动的成功持续至关重要）的 TSP 进行特殊监控和机构间监管的计划，这些 TSP 受多个审慎监管机构监管，或通过位于不同地理区域的多个技术服务中心提供服务。

审慎监管机构还会进行共享应用软件审查 (SASR)，以审查大量金融机构使用的主要软件包，或审查大型金融机构中用于高风险应用的软件包（例如用于电汇、资本市场或证券转让的软件包）。

合同要求

尽管审慎监管机构有权监管第三方服务提供商（TSP），但金融机构仍负有确保TSP活动安全稳健开展并遵守适用法律法规的主要责任，并对TSP的违规行为承担责任。因此，金融机构应建立健全的第三方风险管理流程，包括合同制定和持续监控。正如《TSP手册》所述，金融机构与TSP之间的合同应包含以下内容：

有权进行业务连续性计划 (BCP) 测试和审计；
针对所提供的服务制定可衡量的服务水平协议（SLA）；
违约和终止条款；
数据安全和保密性至少需要符合美国监管标准（针对境外服务提供商）；
明确定义数据所有权和处理预期；
有权要求提供信息，说明电信服务提供商对联邦银行业机构的相关法规、监管指导或其他通知的回应；
事件响应和通知职责；以及
将合同条款扩展至分包商。

3.3 关键运营韧性义务

金融机构必须维护与其机构规模和复杂程度相匹配的风险管理系统（称为"量身定制"）。鉴于风险管理具有机构特异性，监管机构尚未针对网络安全风险制定任何强制性流程和控制措施。然而，《金融部门运营韧性监管条例》3.1 条款中所述的监管指南和联邦金融机构审查委员会 (FFIEC) 手册提供了标准和最佳实践，以帮助机构遵守监管机构的目标。 《金融部门运营韧性监管条例》3.1 条款中所述的联合声明总结了有效网络安全控制的要素：

响应和恢复能力------审查、更新和测试事件响应和业务连续性计划；
身份验证------防止未经授权的访问；以及
系统配置------安全地配置系统和服务。

事件和报告义务

审慎监管机构发布了一项规则，自2022年4月起生效，要求金融机构向其主要监管机构报告任何构成"通知事件"的计算机安全事件。最终规则将"通知事件"定义为金融机构认为可能"造成重大干扰、降级或损害"的计算机安全事件：

"银行机构在日常业务过程中，向其大部分客户群开展银行业务、活动或流程，或提供银行产品和服务的能力"；
"任何银行机构的业务线，包括相关运营、服务、职能和支持，如果这将导致收入、利润或特许经营价值的重大损失"；或
"银行机构的运营，包括相关服务、职能和支持（如适用）------其失败或中断将对美国的金融稳定构成威胁"。

金融机构必须在确定发生通知事件后尽快通知其主要监管机构，最迟不得超过36小时。各审慎监管机构均已指定各自的通知联系人，联系方式可在各监管机构的网站上查询。

3.4 运营韧性执行

3.1 金融部门运营韧性监管范围 中所述的法律法规的执行始于审慎监管机构的监管和检查权限。对于金融机构而言，网络安全风险评估是在金融机构的例行监管周期中进行的全面现场检查，或在诸如信息技术检查等专项检查中进行的。审慎监管机构有权监管电信服务提供商（如3.2 信息通信技术服务提供商合同要求中所述），并根据使用 URSIT 评级计算的风险等级对电信服务提供商进行检查。对电信服务提供商的检查重点关注以下问题：

技术管理；
数据的完整性；以及
信息的保密性。
金融机构有权获得与其签订合同的TSP的检查报告（ROE）副本。

除非金融机构遭受重大网络安全漏洞，否则审慎监管机构通常不会对网络安全控制缺陷采取公开执法行动。相反，审慎监管机构可能会发布"需要关注事项"（MRA）、"需要立即关注事项"（MRIA），或者------在联邦存款保险公司（FDIC）的情况下------"需要董事会关注事项"（MRBA）。这些都是保密的监管调查结果，要求金融机构采取纠正措施。董事会应通过书面回复和进度报告对MRA、MRIA和MRBA作出回应，审慎监管机构将持续监督纠正措施的落实情况，直至问题得到解决。如果审慎监管机构对纠正措施不满意，MRA和MRIA可能会导致进一步的正式或非正式调查或执法行动。正式执法行动可能包括停止令、民事罚款令或其他措施。

3.5 国际数据传输

美国对数据传输的主要限制并非仅限于金融领域，而是更广泛地适用于一系列已确定的交易类别。这些限制由第14117号行政命令（2024年）确立，并通过司法部法规《联邦法规汇编》第28篇第202.101条及后续条款实施，旨在限制向已确定的关注国家传输某些类别的大量敏感数据和政府信息。该行政命令还针对特定类别的敏感交易（并非完全禁止）制定了某些控制措施。

3.6 威胁主导的渗透测试

虽然其他司法管辖区已将网络弹性压力测试纳入其监管和审查流程，但美国并没有类似的强制性情景压力测试。相反，美国鼓励金融机构使用包含行业标准和最佳实践的标准化工具来评估其网络安全风险。这些工具包括：

FFIEC 网络安全评估工具（将于 2025 年 8 月停止使用）；
美国国家标准与技术研究院 (NIST) 网络安全框架、互联网安全中心关键安全控制；以及
金融服务业协调委员会网络安全概况。

4. 网络韧性

4.1 网络韧性立法

美国有关网络安全韧性的立法仍在不断发展，具体如下。

美联储与货币监理署和联邦存款保险公司协调，发布了一份关于运营韧性的文件形式的指导意见，其中包括网络风险管理实践的附录。
一些法规对网络安全韧性提出了透明度要求。例如，美国证券交易委员会（SEC）要求上市公司披露其为管理某些网络风险而采取的措施。纽约州金融服务部（NYDFS）的法规（详见6.2网络安全和人工智能）也对备份系统提出了类似的披露要求和技术义务，以增强网络安全韧性。
一项旨在成立一个特别工作组，负责就保护关键基础设施免受外国政府支持的威胁提出结论和建议的立法草案已在国会一院获得通过。

4.2 法律规定的主要义务

立法草案将设立一个工作组，考虑关键基础设施公司可以采取哪些措施来加强抵御外国政府支持的攻击的能力（参见4.1 网络韧性立法）。

5. 信息通信技术产品、服务和流程的安全认证

5.1 关键网络安全认证法规

与欧洲不同，美国对信息通信技术（ICT）产品或服务没有任何安全认证要求。美国网络安全和基础设施安全局（CISA）共同主持信息通信技术供应链风险管理工作组，该工作组是一个公私合作组织，其任务是识别全球信息通信技术供应链风险管理方面的挑战并提出解决方案。该工作组已发布多本手册和资源指南，以帮助私营部门管理信息通信技术供应链风险。此外，美国联邦通信委员会（FCC）针对无线消费物联网（IoT）产品创建了一项自愿性网络安全标签计划------美国网络信任标志（Cyber Trust Mark）。网络信任标志旨在向消费者表明，带有该标志的设备符合严格的网络安全标准，并于2025年正式推出。

6. 其他法规中的网络安全

6.1 网络安全和数据保护

联邦数据保护条例

在联邦层面，《格雷姆-里奇-比利雷法案》（GLBA）指示受监管的金融机构就其信息共享做法提供通知，并实施适当的保障措施，以确保客户信息的安全并防止未经授权的访问。作为GLBA实施细则之一的《保障规则》包含强制性的安全要求，其中包括实施书面信息安全计划的要求。该书面信息安全计划必须包含以下内容：

风险评估；
访问控制；
数据清单；
加密;
多重身份验证；
记录对客户信息的访问情况；
定期监测和检测；
培训；以及
对第三方服务提供商的评估。

《保障规则》还要求受监管的金融机构指定一名负责人，负责该项目，该负责人必须至少每年向理事会提交书面报告。《保障规则》还要求金融机构在发现涉及未经授权获取至少500名消费者未加密信息的安全漏洞后，必须在30天内通知联邦贸易委员会（FTC）。2025年6月，联邦贸易委员会发布了关于《保障规则》的新指南，明确指出为汽车提供融资（或协助融资）的汽车经销商也受该规则约束。

HIPAA 是规范医疗保健提供者数据隐私和安全的主要法律（更多详情请参见6.3 网络安全和医疗保健行业）。

此外，美国证券交易委员会的《SP条例》（"Reg SP"）要求经纪交易商、投资公司和注册投资顾问：

提供有关隐私保护措施的通知；
制定书面政策和程序，以保护客户信息；
安全地处置消费者报告信息；以及
对第三方服务提供商进行充分监督。

Reg SP于2024年进行了修订，要求受监管实体实施事件响应计划，并向受影响的个人提供数据泄露通知，这些个人的敏感客户信息已被或极有可能已被未经授权访问或使用。规模较大的实体（例如，管理资产规模达15亿美元或以上的投资顾问）需要在2025年12月3日前遵守修订内容，而规模较小的实体则必须在2026年6月3日前遵守修订内容。

国家级数据保护法规

许多州已通过全面的数据隐私法，其中也包含网络安全要求。通常，这些州法律要求受监管实体实施合理的安全措施来保护消费者的个人数据。《加州消费者隐私法案》赋予消费者一项私人诉讼权，如果由于企业未能实施合理的安全措施而导致未加密的个人信息遭到泄露，消费者可以提起诉讼。此外，加州隐私保护局 (CPPA) 于 2025 年 9 月最终确定了一项规则，要求受监管企业进行年度独立网络安全审计，并将审计结果提交给企业高管，同时向 CPPA 提交审计认证。该规则的不同部分分阶段执行，具体取决于企业的年度总收入。

6.2 网络安全与人工智能

人工智能监管尚处于起步阶段，但一些政府机构已开始着手解决人工智能带来的网络安全问题。尽管国会迄今尚未通过任何全面的人工智能法案，但总统已发布多项行政命令，强调放松对人工智能的监管。2025年7月，特朗普总统发布了《人工智能行动计划》及若干配套行政命令，鼓励放松监管，倡导"不受自上而下意识形态偏见影响"的人工智能，并推动国内人工智能和数据中心的发展。《人工智能行动计划》探讨了如何加强用于关键基础设施、国家安全或其他安全关键型应用的人工智能系统的网络安全。特朗普政府还在2025年12月发布了一项行政命令，宣布制定一项全面的联邦人工智能监管计划，并指示联邦政府积极挑战那些被认为对人工智能发展限制过大的州级法规。

在州一级，纽约州金融服务部 (NYDFS) 的《纽约州法规、规则和条例》(NYCRR) 第 500 部分（"第 500 部分"）对受监管的金融服务公司实施网络安全保障措施（例如实施多因素身份验证）提出了具体要求。2024 年 10 月，NYDFS 发布了关于公司如何应对人工智能带来的新兴安全威胁的指南。该指南包含一些建议，例如更新员工培训以提高其对人工智能驱动的社会工程攻击的认识，以及设计访问控制以更好地抵御深度伪造和其他人工智能增强型攻击。2025 年 10 月，NYDFS 发布了关于公司如何降低使用第三方服务提供商带来的网络安全风险的指南。

6.3 医疗保健领域的网络安全

HIPAA 是规范医疗保健数据隐私和安全的主要法律。HIPAA 的安全规则包含对受监管实体实施特定安全措施的强制性要求，以确保电子受保护健康信息 (ePHI) 的机密性、完整性和可用性，包括通过以下方式：

风险评估；
加密;
"最小必要"访问控制；
制定恢复任何数据丢失的应急计划；以及
商业伙伴合同。

2024 年 12 月，美国卫生与公众服务部 (HHS) 发布了拟议规则制定通知，并宣布了对安全规则的拟议修改，这将提高对受监管实体的要求------例如，新增要求进行年度渗透测试，以及制定书面技术资产清单，以映射受监管实体系统内 ePHI 的数据流。

此外，HIPAA违规通知规则要求受监管实体向以下机构提供某些受保护健康信息违规事件的通知：

受影响的个人；
美国卫生与公众服务部；以及
媒体。

通过《健康违规通知规则》，联邦贸易委员会单独要求个人健康记录供应商及其第三方服务提供商向受影响的个人和联邦贸易委员会报告某些违规行为。